cv04-port security

Příprava - organizace

Každý nejprve splní úlohu v PT. Poté ti, kdo mají úlohu nejdříve hotovou, vytvoří skupiny po 3 žácích (1xswitch + 3xPC).

PT

Otevřete si aktivitu 5.2.2.7 z originálních studijních materiálů a splňte ji podle pokynů v ní.

!!! PTEJTE SE, POKUD BUDE COKOLIV NEJASNÉ !!!

Cisco

• Ve skupině si rozdělte role (switch, PC1, PC2, Rogue PC), jednotlivá PC simulujte pomocí reálných Win (bez virtuálních PC!!!) - síťová karta "Test" s IP adresací 169.254.?.? /16 (je nastavena z DHCP, nemáte možnost ji měnit! - objeví se až po zapojení do switche).

  • otázka NAVÍC - jak se tam ta IP adresa dostala, a proč zrovna 169.254.?.? /16 ?

  • navrhněte si také odpovídající IP adresu pro váš switch

• Nakreslete si topologii - včetně všech IP a MAC adres !!!

• Switch - vyresetujte konfiguraci a nastavte IP adresaci

• Splňte tutéž úlohu jako v PT na reálném zařízení - rozdíly:

  • cisco zařízení a "interface range" ... jsou potřeba mezery kolem "-" ... tj.: Switch(config)# interface range fa0/1 - 2

  • !!! před zapnutím port-security na portech je potřeba zadat příkaz: Switch(config-if-range)# switchport mode access

• vyzkoušejte rozdíly mezi violation módy restrict/protect/shutdown

Pokud zbude čas - ukázka

• broadcasty

  • všichni ve skupině (u 1 switche) spustí WireShark

  • jeden ze skupiny "pingne" IP adresu, která patří do vaší sítě, ale není využita

  • všichni zachytí ARP dotaz - broadcast

• MAC address flooding (macof/dsniff)

• DHCP snooping (wireshark)

  • test např. pomocí ftp ftp.linux.cz