Syftet med denna laboration är att implementera och testa säkerhetsåtgärder på en Cisco 2960-switch med hjälp av DHCP Snooping. Laborationen kommer att säkerställa att endast legitima DHCP-servrar kan ge IP-adresser till klienter, medan falska DHCP-servrar blockeras. Vi kommer också att arbeta med att stänga av oanvända portar och säkra VLAN 1, vilket är ett vanligt mål för attacker.
Bakgrund
I nätverk där flera DHCP-servrar är närvarande kan en rogue DHCP-server orsaka problem genom att distribuera felaktiga IP-adresser. DHCP Snooping är en L2-säkerhetsfunktion som skyddar nätverket genom att filtrera DHCP-meddelanden och säkerställa att endast betrodda DHCP-servrar kan ge adresser till klienter. Rogue DHCP-servrar blockeras genom att endast betrodda portar tillåts skicka DHCP-svar.
Topologi
Konfigurationer
- IP-adressering: Tilldela korrekta IP-adresser till DHCP-servrar
- Konfigurera VLAN 1, 10 och 20: Skapa och tilldela portar till respektive VLAN (Students, Teachers). VLAN 1 får behålla de andra portarna.
- Aktivera och konfigurera DHCP Snooping: Skydda nätverket genom att aktivera DHCP Snooping på VLAN 10 och 20.
- Blockera alla oanvända portar: Stäng ner alla portar som inte används för att skydda mot obehörig åtkomst.
- Blockera de tilldelade portarna (rate limiting på icke-betrodda portar): Sätt en gräns på antalet DHCP-meddelanden från icke-betrodda portar för att förhindra attacker.
- Markera betrodda portar: Markera legitima DHCP-servrar som betrodda för att möjliggöra deras DHCP-svar.
- Konfigurera DHCP-klienter: Ställ in klienter i VLAN 10 och 20 att få IP-adresser dynamiskt från legitima servrar.
- Stänga av DHCP-tjänster på legitima servrar: Simulera en störning genom att stänga av legitima DHCP-servrar.
- Starta rogue DHCP-server: Starta en rogue DHCP-server och studera dess påverkan på klienterna i nätverket.
- Lägg till en ny DHCP-klient på Fa0/18: Testa om den nya klienten får en dynamisk IP-adress från rogue-servern.
- Stänga ner oanvända portar i VLAN 1: Minimera riskerna genom att stänga ner oanvända portar, särskilt i VLAN 1.
- Starta legitima DHCP-servrar och verifiera att klienter har rätt adressering
- Övervaka och validera: Kontrollera att DHCP Snooping fungerar korrekt genom att övervaka och granska DHCP-bindningar.
IP adressering
- Server DHCP-10
- IP address: 192.168.10.2
- Subnet Mask: 255.255.255.0
- Default Gateway: 192.168.10.1
- DNS server: 192.168.10.2
- DHCP pool
- Pool name: serverPool
- Default Gateway: 192.168.10.1
- DNS server: 192.168.10.2
- Start IP Address: 192.168.10.10
- Subnet Mask: 255.255.255.0
- Maximum Number of Users: 20
- Server DHCP-20
- IP address: 192.168.1´20.2
- Subnet Mask: 255.255.255.0
- Default Gateway: 192.168.20.1
- DNS server: 192.168.20.2
- DHCP pool
- Pool name: serverPool
- Default Gateway: 192.168.20.1
- DNS server: 192.168.20.2
- Start IP Address: 192.168.20.20
- Subnet Mask: 255.255.255.0
- Maximum Number of Users: 20
- DHCP-ROGUE
- IP address: 100.100.100.2
- Subnet Mask: 255.255.255.0
- Default Gateway: 100.100.100.1
- DNS server: 100.100.100.2
- DHCP pool
- Pool name: serverPool
- Default Gateway: 100.100.100.1
- DNS server: 100.100.100.2
- Start IP Address: 100.100.100.100
- Subnet Mask: 255.255.255.0
- Maximum Number of Users: 20
S1 konfigurationer
- S1(config)# vlan 10
- S1(config-vlan)# name Students
- S1(config-vlan)# vlan 20
- S1(config-vlan)# name Teachers
- S1(config-vlan)# exit
- S1(config)# interface range fa0/1-3
- S1(config-if-range)# switchport mode access
- S1(config-if-range)#switchport access vlan 10
- S1(config-if-range)# exit
- S1(config)# interface range fa0/9-11
- S1(config-if-range)# switchport mode access
- S1(config-if-range)#switchport access vlan 20
- S1(config-if-range)# exit
- S1(config)#
Aktivera DHCP snooping
- Alla portar kategoriseras som "Untrusted"
- S1(config)# ip dhcp snooping
- Per VLAN
- S1(config)# ip dhcp snooping vlan 10
- S1(config)# ip dhcp snooping vlan 20
- Markera betrodda portar
- S1(config)# interface fa0/1
- S1(config-if)# ip dhcp snooping trust
- S1(config-if)# exit
- Begränsa antalet DHCP-meddelanden (Discover, Offer, Request, Ack, Nak).
- S1(config)# interface range fa0/2-3
- S1(config-if)# ip dhcp snooping limit rate 10
- S1(config-if)# exit
- Markera betrodda portar
- S1(config)# interface fa0/9
- S1(config-if)# ip dhcp snooping trust
- S1(config-if)# exit
- Begränsa antalet DHCP-meddelanden (Discover, Offer, Request, Ack, Nak).
- S1(config)# interface range fa0/10-11
- S1(config-if)# ip dhcp snooping limit rate 10
- S1(config-if)# exit
- S1(config)#
Konfigurera DHCP klienter
Stänga av DHCP tjänster
Gör det samma med DHCP-20 servern
starta DHCP-ROGUE
Stänga ner oanvända portar i VLAN 1
- S1(config)# interface range fa0/4-8, fa0/12-24, g0/1-2
- S1(config-if-range)# shutdown
- S1(config-if-range)# exit
- S1(config)#
Starta legitima DHCP servrar
Övervaka och validera
- S1# show ip dhcp snooping
Det här kommandot visar:
Vilka VLAN som har DHCP Snooping aktiverat.
Vilka portar som är betrodda (trusted) och icke-betrodda (untrusted).
Eventuella meddelanden om fel eller misslyckade DHCP-förfrågningar.
- S1# show ip dhcp snooping binding
Den här kommando visar en databas som innehåller:
- IP-adress som tilldelats till en klient.
- MAC-adress för den enhet som fått IP-adressen.
- Gränssnitt på switchen där klienten är ansluten.
För att se detaljer i DHCP-trafik exekvera:
- show logging