Labb 27: Säkra switchar Labb 29: ARP inspection
Syftet med denna laboration är att implementera och testa säkerhetsåtgärder på en Cisco 2960-switch med DHCP Snooping. Detta säkerställer att endast legitima DHCP-servrar kan ge IP-adresser till klienter, medan falska DHCP-servrar blockeras. Vi kommer också att stänga av oanvända portar och säkra VLAN 1, som ofta är ett mål för attacker.
Bakgrund
I nätverk med flera DHCP-servrar kan en rogue DHCP-server skapa problem genom att ge ut felaktiga IP-adresser. DHCP Snooping är en säkerhetsfunktion på L2-nivå som filtrerar DHCP-meddelanden och ser till att bara betrodda servrar kan ge adresser till klienter. Rogue DHCP-servrar blockeras genom att endast tillåta DHCP-svar från betrodda portar.
Topologi
Konfigurationer
- IP-adressering: Tilldela rätt IP-adresser till DHCP-servrarna.
- Konfigurera VLAN 1, 10 och 20: Skapa VLAN för Students (VLAN 10) och Teachers (VLAN 20) och tilldela portar till respektive VLAN. VLAN 1 behåller de övriga portarna.
- Aktivera och konfigurera DHCP Snooping: Skydda nätverket genom att aktivera DHCP Snooping på VLAN 10 och 20.
- Blockera oanvända portar: Stäng av alla portar som inte används för att förhindra obehörig åtkomst.
- Rate limiting på icke-betrodda portar: Begränsa antalet DHCP-meddelanden från icke-betrodda portar för att förhindra attacker.
- Markera betrodda portar: Definiera legitima DHCP-servrar som betrodda så att deras DHCP-svar accepteras.
- Konfigurera DHCP-klienter: Ställ in att klienter i VLAN 10 och 20 får IP-adresser dynamiskt från de betrodda servrarna.
- Stäng av DHCP-tjänster på legitima servrar: Simulera en störning genom att tillfälligt stänga av legitima DHCP-servrar.
- Starta rogue DHCP-server: Starta en rogue DHCP-server och observera dess påverkan på klienterna i nätverket.
- Lägg till en ny DHCP-klient på Fa0/18: Kontrollera om den nya klienten får en IP-adress från rogue-servern.
- Stäng av oanvända portar i VLAN 1: Öka säkerheten genom att stänga av oanvända portar i VLAN 1.
- Starta legitima DHCP-servrar och verifiera: Starta om legitima DHCP-servrar och kontrollera att klienterna får rätt IP-adresser.
- Övervaka och validera: Kontrollera att DHCP Snooping fungerar korrekt genom att granska DHCP-bindningarna.
IP adressering
- Server DHCP-10
- IP address: 192.168.10.2
- Subnet Mask: 255.255.255.0
- Default Gateway: 192.168.10.1
- DNS server: 192.168.10.2
- DHCP pool
- Pool name: serverPool
- Default Gateway: 192.168.10.1
- DNS server: 192.168.10.2
- Start IP Address: 192.168.10.10
- Subnet Mask: 255.255.255.0
- Maximum Number of Users: 20
- Server DHCP-20
- IP address: 192.168.120.2
- Subnet Mask: 255.255.255.0
- Default Gateway: 192.168.20.1
- DNS server: 192.168.20.2
- DHCP pool
- Pool name: serverPool
- Default Gateway: 192.168.20.1
- DNS server: 192.168.20.2
- Start IP Address: 192.168.20.20
- Subnet Mask: 255.255.255.0
- Maximum Number of Users: 20
- DHCP-ROGUE
- IP address: 100.100.100.2
- Subnet Mask: 255.255.255.0
- Default Gateway: 100.100.100.1
- DNS server: 100.100.100.2
- DHCP pool
- Pool name: serverPool
- Default Gateway: 100.100.100.1
- DNS server: 100.100.100.2
- Start IP Address: 100.100.100.100
- Subnet Mask: 255.255.255.0
- Maximum Number of Users: 20
S1 konfigurationer
- S1(config)# vlan 10
- S1(config-vlan)# name Students
- S1(config-vlan)# vlan 20
- S1(config-vlan)# name Teachers
- S1(config-vlan)# exit
- S1(config)# interface range fa0/1-3
- S1(config-if-range)# switchport mode access
- S1(config-if-range)#switchport access vlan 10
- S1(config-if-range)# exit
- S1(config)# interface range fa0/9-11
- S1(config-if-range)# switchport mode access
- S1(config-if-range)#switchport access vlan 20
- S1(config-if-range)# exit
- S1(config)#
Aktivera DHCP snooping
- Alla portar kategoriseras som "Untrusted"
- S1(config)# ip dhcp snooping
- Per VLAN
- S1(config)# ip dhcp snooping vlan 10
- S1(config)# ip dhcp snooping vlan 20
- Markera betrodda portar
- S1(config)# interface fa0/1
- S1(config-if)# ip dhcp snooping trust
- S1(config-if)# exit
- Begränsa antalet DHCP-meddelanden (Discover, Offer, Request, Ack, Nak).
- S1(config)# interface range fa0/2-3
- S1(config-if)# ip dhcp snooping limit rate 10
- S1(config-if)# exit
- Markera betrodda portar
- S1(config)# interface fa0/9
- S1(config-if)# ip dhcp snooping trust
- S1(config-if)# exit
- Begränsa antalet DHCP-meddelanden (Discover, Offer, Request, Ack, Nak).
- S1(config)# interface range fa0/10-11
- S1(config-if)# ip dhcp snooping limit rate 10
- S1(config-if)# exit
- S1(config)#
Konfigurera DHCP klienter
Stänga av DHCP tjänster
Gör det samma med DHCP-20 servern
starta DHCP-ROGUE
Stänga ner oanvända portar i VLAN 1
- S1(config)# interface range fa0/4-8, fa0/12-24, g0/1-2
- S1(config-if-range)# shutdown
- S1(config-if-range)# exit
- S1(config)#
Starta legitima DHCP servrar
Övervaka och validera
- S1# show ip dhcp snooping
Det här kommandot visar:
Vilka VLAN som har DHCP Snooping aktiverat.
Vilka portar som är betrodda (trusted) och icke-betrodda (untrusted).
Eventuella meddelanden om fel eller misslyckade DHCP-förfrågningar.
- S1# show ip dhcp snooping binding
Den här kommando visar en databas som innehåller:
- IP-adress som tilldelats till en klient.
- MAC-adress för den enhet som fått IP-adressen.
- Gränssnitt på switchen där klienten är ansluten.
För att se detaljer i DHCP-trafik exekvera:
- show logging