МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,
СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
Дисциплина Принципы организации глобальных вычислительных сетей
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №5
Направление/специальность подготовки
10.03.01 Информационная безопасность
(код и наименование направления/специальности)
Выполнили:
Ящук А.А., ИКБ-14 ___________
(Ф.И.О., № группы) (подпись)
Федченко А.С., ИКБ-14 ___________
(Ф.И.О., № группы) (подпись)
Травкина Е.А., ИКБ-14 ___________
(Ф.И.О., № группы) (подпись)
Преподаватель:
доц. Беккель Л.С.
(должность, Ф.И.О.) (подпись)
5.1. Лабораторная работа. Dchp, dhcp Snooping, ipsg, arp inspection
О лабораторной работе:
DHCP snooping - функция коммутатора, предназначенная для защиты от атак с использованием протокола ОНСР. Например, атаки с подменой DHCP-сервера в сети
IP Source Guard - функция коммутатора, которая ограничивает IP-трафик на интерфейсах, фильтруя трафик на основании таблицы привязок DHCP snooping или статических соответствий.
Dynamic ARP Inspection - функция коммутатора, предназначенная для защиты от атак с использованием протокола ARP. Например, атаки ARP-spoofing, позволяющей перехватывать трафик между узлами, которые расположены в пределах одного широковещательного домена.
Часть 1. Настройка и проверка работы dhcp snooping
А. Включили DHCP snooping на коммутаторе МЕЅ2308Р (см. Рис. 1):
Рис. 1. Команды включения DHCP snooping
Б. На коммутаторе MES2308P выполнили команду show ip dhcp snooping binding и проверили, что в таблице DHCP snooping присутствует запись о клиенте:
MES2308P# show ip dhcp snooping binding
Г. На коммутаторе MES2308P удалили из конфигурации доверенный порт и очистили таблицу DHCP snooping (см. Рис. 2).
Рис. 2. Команды удаления доверенного порта и отчистка таблицы DHCP snooping
Д. На коммутаторе MЕЅ1428 сбросили аренду адреса командой:
MES1428# renew dhcp vlan 1
E. На коммутаторе MES2308P верули настройку доверенного порта для интерфейса і 0/1:
MES2308P (config)# int gi0/1
MES2308P (config-if)# ip dhcp snooping trust
Часть 2. Настройка и проверка работы ip Source Guard
А. Включили IP Source Guard на коммутаторе МЕЅ2308Р (см. Рис. 3):
Рис. 3. Команды включения IP Source Guard
Б. На коммутаторе MЕЅ1428 назначили статический IP-адрес на int vlan 1 из той же подсети, в которой находится DHCP-сервер, отличный от уже назначенного на 30 в большую сторону. В данном примере итоговый адрес будет 10.0.1.80 (50+30):
MES1428 (config)# int vlan 1
MES1428(config-if)# ip address 10.0.1.80 255.255.255.0
В. На коммутаторе MES2308P выполнили команду show ip dhcp snooping binding и проверили, что в таблице ДНСP snooping отсутствует запись о клиенте (см. Рис. 4).
Рис. 4. Вывод show ip dhcp snooping binding
Е. На коммутаторе MЕЅ1428 вернули DHCP-клиента на interface vlan 1 командами:
MES1428 (config)# int vlan 1
MES1428(config-if)# no ip address
MES1428 (config-if)# ip address dhcp
Ж. Выключили IP Source Guard на коммутаторе MES2308P:
MES2308P (config)# no ip source-guard
MES2308P (config)# int gi0/3
MES2308P (config-if)# no ip source-guard
Часть 3. Настройка и проверка работы arp Inspection
А. Включили ARP Inspection на коммутаторе MЕЅ2308P (см. Рис. 5):
Рис. 5. Команды включения ARP Inspection
Б. На коммутаторе MES1428 сбросили аренду адреса командой:
MES1428# renew dhcp vlan 1
В. На коммутаторе MЕЅ1428 назначили статический IP-адрес на int vlan 1 из той же подсети, в которой находится DHCP-сервер, отличный от уже назначенного на 30 в большую сторону. В данном примере итоговый адрес будет 10.0.1.80 (50+30):
MES1428 (config)# int_vlan 1
МЕЅ1428(config-if)# ip address 10.0.1.80 255.255.255.0
Г. На коммутаторе MES2308P выполнили команду show ip dhcp snooping binding и проверили, что в таблице DHCP snooping отсутствует запись о клиенте (см. Рис. 6).
Рис. 6. Команда show ip dhcp snooping binding