1 00:00:00,270 --> 00:00:02,870 Zebra ¿Qué haces? 2 00:00:02,900 --> 00:00:09,410 ¿Cómo vales una cebra desagradable mientras la proteges? 3 00:00:09,730 --> 00:00:12,580 Vamos a romper algunas cerraduras modelo en este video. 4 00:00:12,580 --> 00:00:18,190 Le mostraré cómo implementar la inspección dinámica ascendente La inspección dinámica ascendente detiene los ataques como el 5 00:00:18,250 --> 00:00:19,370 envenenamiento por OP. 6 00:00:19,540 --> 00:00:25,030 Y los ataques de hombre en el medio en un video anterior que he vinculado aquí 7 00:00:25,030 --> 00:00:31,960 y a continuación, le mostré cómo usar Kelly o Collie Linux si prefiere implementar un ataque de hombre en el medio 8 00:00:31,960 --> 00:00:34,120 envenenando los cachés de dispositivos OP. 9 00:00:34,270 --> 00:00:40,900 Tuvimos a Kelly envenenando el caché OP de un dispositivo Windows y un enrutador Cisco y luego implementando un ataque de hombre en el medio 10 00:00:40,900 --> 00:00:44,770 donde todo el tráfico de ese host Windows a su puerta de enlace predeterminada. 11 00:00:44,770 --> 00:00:52,330 El rider de Cisco fue enrutado o cambiado en este caso a través del host de Linux de Linux. Así que Carly 12 00:00:52,660 --> 00:00:57,440 pudo ver todo el tráfico desde Windows al rider y ventanas a Internet. 13 00:00:57,460 --> 00:01:02,180 Como ejemplo, pudimos capturar contraseñas telnet y contraseñas HDP. 14 00:01:02,200 --> 00:01:07,600 No debería usar protocolos de texto claro en su red hoy, por lo que no debería usar 15 00:01:07,600 --> 00:01:14,620 protocolos como HDP o telnet, pero si alguien usara contraseñas de texto claro, tendría visibilidad de esas contraseñas y visibilidad de los 16 00:01:15,010 --> 00:01:20,260 datos porque todos el tráfico se envía a través del host de Linux de Kelly. 17 00:01:20,560 --> 00:01:23,720 Lo que en este caso implementó un hombre en el medio ataque. 18 00:01:23,770 --> 00:01:29,560 Podemos detener ese tipo de tonterías implementando la inspección dinámica 19 00:01:29,590 --> 00:01:36,670 de OP. La inspección dinámica de OP requiere ya sea DHB snooping 20 00:01:36,670 --> 00:01:44,620 o que configure manualmente las direcciones MAC. cuando se usa DHB espiando una dirección 21 00:01:44,680 --> 00:01:50,290 MAC a una dirección IP asignada a una interfaz. 22 00:01:50,290 --> 00:01:54,970 Entonces dice que esta dirección MAC pertenece a esta dirección IP en esta interfaz. 23 00:01:55,000 --> 00:02:01,120 Si cambia su dirección de Mac, se denegará el tráfico y voy a demostrar que usa Kelly 24 00:02:01,120 --> 00:02:02,920 Linux en este video. 25 00:02:03,010 --> 00:02:10,540 Así que le mostraré cómo puede implementar la inspección de OP dinámica de inspección de HP y luego evitar que Kelly 26 00:02:10,870 --> 00:02:13,690 envíe tráfico cuando cambie su dirección Mac. 27 00:02:13,690 --> 00:02:16,170 Así que vamos a dejar de detener los ataques de envenenamiento. 28 00:02:16,330 --> 00:02:21,300 Ahora, para hacerlo más fácil, agregué esta presentación debajo de este video. 29 00:02:21,350 --> 00:02:27,840 Esta presentación le muestra la red que estoy usando y luego le muestra cómo configurar la inspección dinámica 30 00:02:27,840 --> 00:02:28,780 de IP. 31 00:02:28,780 --> 00:02:35,410 Así que tengo enlaces aquí a Cisco y otros sitios web que le brindan 32 00:02:35,410 --> 00:02:42,970 más información, pero también le muestro cómo configurar tanto la inspección DHB como la dinámica de inspección. 33 00:02:42,970 --> 00:02:47,210 Entonces, en este video, les mostraré muchos detalles sobre cómo funciona todo esto. 34 00:02:47,320 --> 00:02:51,930 Use el menú aquí para saltar a un tema específico si lo desea. 35 00:02:51,940 --> 00:02:56,800 Así que le mostraré cómo configurar DHB snooping, pero lo he cubierto una vez más en este 36 00:02:56,800 --> 00:03:02,380 video, así que si solo desea ver la parte de inspección dinámica de IP del video, vaya a la marca 37 00:03:02,470 --> 00:03:04,000 de tiempo específica de interés. 38 00:03:04,000 --> 00:03:06,660 He incluido esto una vez más debajo de este video. 39 00:03:06,730 --> 00:03:25,600 Esta presentación le muestra cómo configurar esto, cómo verificarlo en un conmutador Cisco. 40 00:03:27,160 --> 00:03:30,890 Ahora, lo primero que debemos hacer es habilitar la inspección DHB. 41 00:03:30,890 --> 00:03:35,770 Ahora he cubierto esto y muchos detalles en un video anterior, así que todo lo que voy a hacer 42 00:03:35,770 --> 00:03:38,690 aquí es copiar y pegar los comandos en el interruptor. 43 00:03:38,710 --> 00:03:39,720 Echa un vistazo a este video. 44 00:03:39,730 --> 00:03:45,070 Si desea ver un video de indagación de DHB que analiza esto con mucho detalle. 45 00:03:45,700 --> 00:03:52,660 Bien, entonces lo que voy a hacer es copiar los comandos de esta presentación y pegar los 46 00:03:52,660 --> 00:03:54,300 comandos en nuestro interruptor. 47 00:03:54,370 --> 00:04:00,210 Ahora ya no eres topología, una vez más tenemos un Cisco más amplio, este rider está configurado con un servidor DHB. 48 00:04:00,700 --> 00:04:09,140 Así que veamos primero que aquí está la tubería de ejecución del programa de datos sin procesar. 49 00:04:09,170 --> 00:04:20,310 Comience DHEA P que solo me permite alterar la configuración hasta que se encuentre la palabra clave DHEA P, así que está 50 00:04:20,350 --> 00:04:21,610 el comando. 51 00:04:21,680 --> 00:04:23,880 Aquí está mi tirón de DHB. 52 00:04:24,040 --> 00:04:28,900 Puede ver que la red utilizó su barra diagonal 10 1 1 0 24. 53 00:04:28,900 --> 00:04:37,660 La puerta de enlace derecha o predeterminada predeterminada es el enrutador local que un servidor DNS está configurado en google, el enrutador 54 00:04:37,660 --> 00:04:43,400 tiene esta dirección IP 10 1 1 2 5 4 configurada en gigabit 0. 55 00:04:43,570 --> 00:04:52,030 Entonces, esta interfaz está configurada con la dirección IP 10 1 1 2 5 4 y la derecha está asignando direcciones 56 00:04:52,030 --> 00:05:00,070 IP a dispositivos y podemos ver que al escribir show IP DHB vinculante podemos ver que dos dispositivos han 57 00:05:00,100 --> 00:05:01,540 recibido direcciones IP. 58 00:05:01,540 --> 00:05:04,390 Esta es la dirección IP asignada a Kelly Linux. 59 00:05:04,390 --> 00:05:08,080 Esta es la dirección IP asignada a la computadora con Windows. 60 00:05:08,140 --> 00:05:09,520 Podemos verificar eso 61 00:05:12,980 --> 00:05:16,290 usando la dirección IP del comando en Kelly. 62 00:05:16,430 --> 00:05:24,860 Observe que hay una dirección IP asignada al host de Linux de Kelly y en la computadora con Windows. 63 00:05:24,860 --> 00:05:30,410 Abriré una configuración de IP de solicitud C y D. 64 00:05:30,410 --> 00:05:36,220 Esta es la dirección IP de la computadora con Windows, por lo que se ha configurado el servidor DHB. 65 00:05:36,230 --> 00:05:40,220 Está asignando direcciones IP a los dispositivos en la red. 66 00:05:40,250 --> 00:05:45,730 Lo que tenemos que hacer ahora es configurar DHB snooping en el switch. 67 00:05:45,740 --> 00:05:53,660 Por el momento no se ha habilitado la inspección DHB, por lo que puede ver que no se han habilitado los comandos DCP y 68 00:05:54,380 --> 00:05:57,790 que no hemos habilitado la inspección dinámica hacia arriba. 69 00:05:57,800 --> 00:06:05,240 Bien, lo primero que haré es copiar los comandos de inspección de DHB P en el conmutador, 70 00:06:08,250 --> 00:06:09,600 pegarlos y 71 00:06:16,440 --> 00:06:21,450 ver aquí que la inspección de DHB se ha habilitado globalmente. 72 00:06:21,510 --> 00:06:24,390 Se ha habilitado para la VLAN 1. 73 00:06:24,840 --> 00:06:34,560 Hemos deshabilitado la opción 82 y el comando show IP DHB snooping nos muestra que para DHB snooping ahora está habilitado 74 00:06:35,040 --> 00:06:40,500 en v 1, todavía no se han configurado puertos de confianza. 75 00:06:40,560 --> 00:06:45,150 Ahora, una vez más, le mostré previamente cómo configurar el HP snooping y lo expliqué 76 00:06:45,150 --> 00:06:48,370 con mucho detalle, así que no lo haré aquí. 77 00:06:48,590 --> 00:06:48,910 Bueno. 78 00:06:48,920 --> 00:06:58,710 El siguiente paso es configurar puertos confiables en mente. Topología Gigabit 0 0 es un puerto confiable Ok, 79 00:06:58,710 --> 00:07:01,120 entonces podría topología Gigabit. 80 00:07:01,170 --> 00:07:09,150 0 0 es la interfaz que se conecta al rotor, el rotor está ejecutando el servicio DHB, está asignando 81 00:07:09,150 --> 00:07:18,360 direcciones IP en las que queremos confiar en el servidor CHP, no queremos confiar en este host Linux Kelly como servidor DHB. 82 00:07:19,170 --> 00:07:30,360 Entonces, de vuelta en el interruptor, voy a pegar esos comandos gigabit 0 0 ahora es una interfaz confiable que muestra IP, la inspección DHB podemos 83 00:07:30,840 --> 00:07:41,040 ver que gigabit 0 0 ahora es una interfaz confiable ahora también podemos alcanzar un límite de solicitudes de DHEA P para detener un 84 00:07:41,060 --> 00:07:50,700 ataque de denegación de servicio, así que voy a calificar el límite de mensajes DCP a 10 paquetes por segundo en gigabit 0 85 00:07:50,700 --> 00:07:59,070 1, que es la interfaz que me conecta de nuevo con el host de Kelly Linux. Lo expliqué con 86 00:07:59,070 --> 00:08:04,170 mucho detalle en el video anterior La pieza vendida a eso tiene 87 00:08:12,540 --> 00:08:15,070 que escribir primero la cantidad. 88 00:08:15,450 --> 00:08:17,080 Intenta eso de nuevo. 89 00:08:17,090 --> 00:08:18,980 Aquí vamos. 90 00:08:19,040 --> 00:08:23,200 Así que muestra la interfaz de ejecución gigabit 00. 91 00:08:23,390 --> 00:08:26,090 Estamos confiando en esta interfaz. 92 00:08:26,150 --> 00:08:30,130 No estamos confiando en esta interfaz. 93 00:08:30,170 --> 00:08:36,740 Esta interfaz gigabit 0 1 tiene una velocidad limitada 0 0 es de confianza. 94 00:08:37,490 --> 00:08:44,000 Bien, ahora que configuré la inspección DHB, puedo configurar la inspección dinámica hacia arriba 95 00:08:44,000 --> 00:08:53,150 La inspección dinámica hacia arriba es bastante simple de configurar, lo que vamos a hacer es configurarlo globalmente en 96 00:08:53,150 --> 00:09:05,330 el conmutador mediante el comando IP inspección VLAN 1, así que confeti IP OPP inspección especifique la VLAN, mi ejemplo es v land 1 porque todos 97 00:09:05,330 --> 00:09:16,070 los puertos en el conmutador están configurados actualmente en la VLAN 1, ahora en el mundo real normalmente no colocaría sus dispositivos y 98 00:09:16,070 --> 00:09:22,580 la VLAN que colocaría en una VLAN diferente ahora nota lo que está 99 00:09:22,580 --> 00:09:23,210 sucediendo. 100 00:09:23,210 --> 00:09:28,870 Ya estamos viendo mensajes OP no válidos recibidos en gigabit 02. 101 00:09:28,970 --> 00:09:33,640 Ese es el host de Windows. 102 00:09:33,640 --> 00:09:36,020 No estamos confiando en nadie en este momento. 103 00:09:36,020 --> 00:09:38,450 Básicamente estamos bloqueando todo el tráfico. 104 00:09:39,230 --> 00:09:46,870 Entonces, el host de Windows está tratando de llevarlo a su puerta de enlace predeterminada, por lo que está tratando de llegar a 10 1 1 2 5 4. 105 00:09:47,190 --> 00:09:52,970 Está la dirección IP del host de Windows. La dirección Mac del host de Windows que intenta 106 00:09:52,970 --> 00:09:57,050 acceder a su puerta de enlace predeterminada y se niega el tráfico. 107 00:09:57,050 --> 00:09:59,170 Podemos ver eso como un ejemplo en las ventanas. 108 00:09:59,160 --> 00:10:06,170 pag. S. Si intento hacer ping al enrutador, no funcionará. 109 00:10:06,170 --> 00:10:07,100 Se niega 110 00:10:09,920 --> 00:10:11,800 el tráfico y, de hecho, déjame demostrarlo 111 00:10:11,930 --> 00:10:19,580 Voy a eliminar la inspección dinámica de OP para que se elimine y lo que notará es la P. C. las ventanas 112 00:10:19,580 --> 00:10:27,890 P. C. puede hacer ping al enrutador, pero lo que también notará es que el host Kelly Linux puede hacer ping al P. C. lo que no queremos que haga y puede 113 00:10:27,890 --> 00:10:35,900 hacer ping al enrutador para que Kelly pueda hacer ping a ambas ventanas P. C. así como el enrutador, pero 114 00:10:35,900 --> 00:10:44,540 tan pronto como habilitamos la inspección dinámica hacia arriba, básicamente rompemos la red porque se notifica el tráfico de 115 00:10:45,200 --> 00:10:56,330 10 1 1 2 2 10 1 1 100 porque ahora cuando intentamos hacer ping y decimos que el host de Windows se niega el 116 00:10:56,330 --> 00:11:06,830 tráfico Kelly no puede hacer ping al host de Windows y no puede hacer ping a su puerta de enlace predeterminada, el host 117 00:11:06,830 --> 00:11:12,110 de Windows no puede acceder a su puerta de enlace predeterminada. 118 00:11:12,110 --> 00:11:13,070 Eso es un problema. 119 00:11:13,070 --> 00:11:16,880 Queremos que pueda hablar con su puerta de enlace predeterminada. 120 00:11:16,880 --> 00:11:24,810 Entonces, lo que vamos a hacer es establecer gigabit 0 0 como un puerto confiable. 121 00:11:24,970 --> 00:11:28,210 Ese es el puerto que nos conecta al rotor. 122 00:11:28,640 --> 00:11:39,010 Por lo tanto, en la inspección de OPP IP de gigabit 00 de la interfaz del conmutador, simplemente use el signo de interrogación nuevamente, confíe 123 00:11:39,010 --> 00:11:46,160 en que vamos a confiar en esa interfaz, así que muestre la interfaz de ejecución gigabit 00. 124 00:11:46,330 --> 00:11:56,880 Este comando nos muestra que esta interfaz es confiable para la inspección DHB, así como para la inspección de OP, por lo que ahora las 125 00:11:56,880 --> 00:12:00,590 ventanas P. C. hacer ping al rotor. 126 00:12:00,780 --> 00:12:03,800 Por el momento podemos ver que no puede. 127 00:12:04,020 --> 00:12:08,670 Todavía recibimos un montón de negaciones en el interruptor que muestra IPD 128 00:12:11,190 --> 00:12:14,910 HP husmeando echemos un vistazo a los enlaces. 129 00:12:14,970 --> 00:12:16,060 Note el problema 130 00:12:16,080 --> 00:12:18,830 No hay enlaces D HP en este momento. 131 00:12:19,020 --> 00:12:24,700 Confiamos en la base de datos de enlaces D HP para implementar la inspección dinámica de OP. 132 00:12:24,750 --> 00:12:30,240 Necesitamos tener los enlaces en la base de datos para que funcione la dinámica de inspección. 133 00:12:31,790 --> 00:12:39,920 Por lo tanto, estamos constantemente recibiendo estas denegaciones en este momento porque no hay entrada en la base de datos de indagación de 134 00:12:39,920 --> 00:12:40,510 DHB. 135 00:12:41,060 --> 00:12:49,180 Así que voy a la parte superior de la barra diagonal de configuración de IP para liberar mi dirección IP y luego voy 136 00:12:49,330 --> 00:12:53,660 a escribir renovar para renovar la dirección IP en la computadora Windows. 137 00:12:53,710 --> 00:13:04,030 Ahora se le está devolviendo esta dirección IP en el conmutador que muestra el enlace de inspección IP DHB. Podemos ver que esta dirección MAC 138 00:13:04,150 --> 00:13:13,990 recibió esta dirección IP y podemos ver que a través de la inspección DHB en la VLAN 1, la interfaz donde reside ese 139 00:13:14,020 --> 00:13:19,420 host es gigabit 02, por lo que De vuelta en las ventanas. 140 00:13:19,420 --> 00:13:24,610 pag. S. ¿Puede ahora hacer ping a su puerta de enlace predeterminada? 141 00:13:24,800 --> 00:13:26,720 Y la respuesta es sí, sí puede. 142 00:13:26,720 --> 00:13:34,100 Entonces recuerde porque estamos usando el HP que inspecciona las piezas tienen que solicitar direcciones IP y esas direcciones 143 00:13:34,100 --> 00:13:37,140 IP deben asignarse a través de DHEA. 144 00:13:37,250 --> 00:13:43,340 Tenemos que hacer que DHB husmeando escuchando la conversación y viendo que el piloto asigna la 145 00:13:43,340 --> 00:13:50,180 dirección IP a la P. C. y luego debido a eso, el perno de las 146 00:13:50,450 --> 00:13:55,190 bases de datos de inspección DHB y la inspección dinámica pueden aprovechar esa base de datos para permitir dispositivos. 147 00:13:55,190 --> 00:14:02,870 Entonces, nuevamente en el conmutador muestra el enlace de indagación IP DHB, podemos ver que esta dirección IP 148 00:14:02,870 --> 00:14:06,770 se asignó a esta dirección Mac en esta interfaz. 149 00:14:06,770 --> 00:14:19,770 Ahora Kelly puede detenerse al no pagar la puerta de enlace predeterminada porque no se ha agregado una dirección IP a la base de datos de 150 00:14:19,770 --> 00:14:21,280 indagación DHB. 151 00:14:21,300 --> 00:14:27,920 Entonces, lo que voy a hacer es editar las conexiones en Kelly. 152 00:14:28,210 --> 00:14:33,490 Voy a ir a la configuración de la versión 153 00:14:38,090 --> 00:14:42,560 4 de IP, deshabilite la interfaz, 154 00:14:47,850 --> 00:14:53,450 regrese y haga que use DHEA. PI config nos muestra 155 00:14:56,120 --> 00:15:04,070 que tiene su dirección IP. a esta dirección mac, que es la dirección 156 00:15:04,640 --> 00:15:14,700 MAC del host Kelly Lennox, termina en 5 a 0 0, que es lo que vemos aquí. 157 00:15:14,710 --> 00:15:20,080 Entonces, ¿puede el host de Kelly Lennox hacer ping a la puerta de enlace predeterminada? 158 00:15:20,080 --> 00:15:21,030 Sí puede. 159 00:15:21,670 --> 00:15:26,960 Entonces, en el interruptor, una vez más, muestre el enlace de inspección IP DHEA. 160 00:15:27,430 --> 00:15:39,780 Podemos ver que se han asignado dos direcciones IP a direcciones MAC específicas que muestran la inspección de IP up. 161 00:15:40,440 --> 00:15:42,260 Así que ahí está el comando nuevamente. 162 00:15:42,330 --> 00:15:48,950 Podemos ver que está habilitado para ternera y se han descartado tantos paquetes. 163 00:15:49,200 --> 00:15:59,460 Ahora, en Kelly, una vez más, la configuración me muestra que esta es la dirección MAC del host que termina en 5 a 164 00:15:59,490 --> 00:16:09,620 0 0 en el conmutador muestra la base de datos de indagación IP DHB de que la dirección MAC se ha asignado a 165 00:16:10,920 --> 00:16:15,960 esta dirección IP Kelly puede pagar la puerta de enlace predeterminada. 166 00:16:15,960 --> 00:16:29,050 Una vez más esa dirección IP esta dirección MAC Voy a cambiar la dirección MAC usando el cambiador de Mac Mac cambio nos dice que podemos 167 00:16:29,050 --> 00:16:36,040 ver la dirección MAC usando S. como una opción y luego podemos crear 168 00:16:36,040 --> 00:16:48,070 una dirección MAC aleatoria usando la barra de guiones o guiones, o así Mac cambia el cero de Ethernet del guión que es la dirección 169 00:16:48,070 --> 00:16:49,480 mac actual. 170 00:16:49,480 --> 00:16:53,440 Esa es la dirección MAC permanente que se desplaza hacia arriba una vez más. 171 00:16:53,650 --> 00:16:57,830 Esa es la dirección MAC que vimos anteriormente con I config. 172 00:16:58,570 --> 00:17:02,210 Entonces, creemos una dirección MAC aleatoria. 173 00:17:02,650 --> 00:17:05,540 La dirección MAC que nos han dicho es ahora esto. 174 00:17:05,650 --> 00:17:13,510 Entonces, config nos muestra que esa es la nueva dirección mac que se nos ha dado una dirección MAC aleatoria. 175 00:17:13,510 --> 00:17:19,030 ¿Podemos pagar la respuesta de la puerta de enlace predeterminada? No, no podemos y estamos viendo 176 00:17:22,600 --> 00:17:24,550 muchas negaciones en el switch. 177 00:17:24,550 --> 00:17:31,990 No puede crear una dirección MAC aleatoria o intentar implementar operaciones de suplantación de identidad o envenenamiento de 178 00:17:31,990 --> 00:17:36,700 OP porque ahora tenemos habilitada la inspección dinámica en el conmutador. 179 00:17:36,700 --> 00:17:40,390 Y simplemente detendré el ping sobre Kelly. 180 00:17:40,900 --> 00:17:46,920 La única dirección MAC permitida es esa dirección MAC en la interfaz gigabit 0 1. 181 00:17:46,960 --> 00:17:51,310 Esta dirección MAC está permitida en gigabit 02. 182 00:17:51,700 --> 00:18:04,210 Entonces, al cambiar aleatoriamente mi dirección Mac usando el cambiador de Mac de esta dirección a esta dirección, ahora se niega 183 00:18:04,210 --> 00:18:14,530 el tráfico, también evita que alguien use una aplicación como un límite para envenenar los cachés OP. 184 00:18:14,530 --> 00:18:24,910 Entonces, nuevamente, le mostré cómo usar un límite para envenenar hosts en la red, así que si trato de buscar hosts ahora, 185 00:18:24,910 --> 00:18:31,990 el conmutador negará el tráfico debido a la inspección dinámica hacia arriba, no puedo implementar 186 00:18:32,320 --> 00:18:39,970 el envenenamiento por usando un límite, a diferencia de cuando lo demostré en este video porque 187 00:18:40,420 --> 00:18:44,370 tenemos habilitada una inspección dinámica de OP. 188 00:18:44,370 --> 00:18:44,620 Bueno. 189 00:18:44,620 --> 00:18:49,750 Un video muy largo una vez más, pero espero haberle enseñado claramente cómo configurar una 190 00:18:50,050 --> 00:18:56,200 dinámica de inspección y cómo probarla. Puede descargar esta presentación una vez más si desea tener un resumen de 191 00:18:56,200 --> 00:18:59,680 lo que hemos hecho y desea mantén esto como referencia.