1 00:00:00,270 --> 00:00:02,870 Zebra O que você está fazendo? 2 00:00:02,900 --> 00:00:09,410 Como você vale uma zebra desagradável enquanto guarda a zebra? 3 00:00:09,730 --> 00:00:12,580 Vamos quebrar alguns bloqueios de modelo neste vídeo. 4 00:00:12,580 --> 00:00:18,190 Vou mostrar como implementar a inspeção dinâmica dinâmica, a inspeção dinâmica dinâmica interrompe ataques como envenenamento 5 00:00:18,250 --> 00:00:19,370 por OP. 6 00:00:19,540 --> 00:00:25,030 E o man in the middle ataques em um vídeo anterior, que eu linkei aqui e 7 00:00:25,030 --> 00:00:31,960 abaixo, mostrei como usar o Kelly ou o Collie Linux, se você preferir implementar um homem no meio do ataque 8 00:00:31,960 --> 00:00:34,120 envenenando os caches de dispositivos OP. 9 00:00:34,270 --> 00:00:40,900 Tivemos Kelly envenenando o cache OP de um dispositivo Windows e um roteador Cisco e, em seguida, implementando um homem no meio do 10 00:00:40,900 --> 00:00:44,770 ataque, em que todo o tráfego desse Windows hospedava em seu gateway padrão. 11 00:00:44,770 --> 00:00:52,330 O piloto da Cisco foi roteado ou alternado nesse caso através do host linux da Kelly. Assim, Carly conseguiu ver todo 12 00:00:52,660 --> 00:00:57,440 o tráfego do Windows para o piloto e do Windows para a Internet. 13 00:00:57,460 --> 00:01:02,180 Como exemplo, conseguimos capturar senhas de telnet e senhas de HDP. 14 00:01:02,200 --> 00:01:07,600 Você não deveria estar usando protocolos de texto não criptografado em sua rede hoje; portanto, não 15 00:01:07,600 --> 00:01:14,620 deveria usar protocolos como HDP ou telnet, mas se alguém usasse senhas em texto não criptografado, eu teria visibilidade dessas senhas 16 00:01:15,010 --> 00:01:20,260 e visibilidade dos dados, porque todos o tráfego é enviado através do host linux Kelly. 17 00:01:20,560 --> 00:01:23,720 Que neste caso implementou um homem no meio do ataque. 18 00:01:23,770 --> 00:01:29,560 Podemos parar esse tipo de besteira implementando a inspeção dinâmica do OP A inspeção dinâmica 19 00:01:29,590 --> 00:01:36,670 do OP requer a espionagem DHB ou a configuração manual dos endereços MAC desses comutadores basicamente espionando ou 20 00:01:36,670 --> 00:01:44,620 atendendo às solicitações da HP de hosts ou dispositivos ao servidor DHB e, em seguida, criando dinamicamente ao usar o 21 00:01:44,680 --> 00:01:50,290 DHB bisbilhotando um mapeamento de endereço MAC para endereço IP para uma interface. 22 00:01:50,290 --> 00:01:54,970 Por isso, diz que esse endereço MAC pertence a essa interface. 23 00:01:55,000 --> 00:02:01,120 Se você alterar seu endereço MAC, esse tráfego será negado e eu vou demonstrar isso usando o 24 00:02:01,120 --> 00:02:02,920 Kelly Linux neste vídeo. 25 00:02:03,010 --> 00:02:10,540 Então, eu vou lhe mostrar como você pode implementar a inspeção dinâmica de OP snooping da HP e impedir que Kelly envie 26 00:02:10,870 --> 00:02:13,690 tráfego quando ele alterar o endereço do Mac. 27 00:02:13,690 --> 00:02:16,170 Então, vamos parar de parar de envenenar ataques. 28 00:02:16,330 --> 00:02:21,300 Agora, para facilitar, adicionamos esta apresentação abaixo deste vídeo. 29 00:02:21,350 --> 00:02:27,840 Esta apresentação mostra a rede que estou usando e mostra como configurar a inspeção dinâmica 30 00:02:27,840 --> 00:02:28,780 de IP. 31 00:02:28,780 --> 00:02:35,410 Portanto, tenho links aqui para a Cisco e outros sites que fornecem 32 00:02:35,410 --> 00:02:42,970 mais informações, mas também mostro como configurar a espionagem DHB e a dinâmica da inspeção. 33 00:02:42,970 --> 00:02:47,210 Então, neste vídeo, mostrarei muitos detalhes de como tudo isso funciona. 34 00:02:47,320 --> 00:02:51,930 Use o menu aqui para ir para um tópico específico, se desejar. 35 00:02:51,940 --> 00:02:56,800 Vamos mostrar como configurar a espionagem do DHB, mas abordamos isso mais uma vez neste vídeo. 36 00:02:56,800 --> 00:03:02,380 Se você quiser ver a parte da inspeção dinâmica de IP do vídeo, pule para o carimbo de data / 37 00:03:02,470 --> 00:03:04,000 hora específico do seu interesse. 38 00:03:04,000 --> 00:03:06,660 Incluí isso mais uma vez abaixo deste vídeo. 39 00:03:06,730 --> 00:03:25,600 Esta apresentação mostra como configurar isso como verificá-lo em um switch Cisco. 40 00:03:27,160 --> 00:03:30,890 Agora, a primeira coisa que precisamos fazer é ativar a espionagem do DHB. 41 00:03:30,890 --> 00:03:35,770 Agora, eu cobri isso e muitos detalhes em um vídeo anterior, então tudo o que vou fazer 42 00:03:35,770 --> 00:03:38,690 aqui é copiar e colar os comandos no comutador. 43 00:03:38,710 --> 00:03:39,720 Dê uma olhada neste vídeo. 44 00:03:39,730 --> 00:03:45,070 Se você quiser assistir a um vídeo de espionagem do DHB que discute isso com muitos detalhes. 45 00:03:45,700 --> 00:03:52,660 Ok, então o que vou fazer é copiar os comandos desta apresentação e colar os comandos 46 00:03:52,660 --> 00:03:54,300 no nosso switch. 47 00:03:54,370 --> 00:04:00,210 Agora você não é topologia mais uma vez, temos um Cisco mais amplo, esse piloto está configurado com um servidor DHB. 48 00:04:00,700 --> 00:04:09,140 Então, vamos ver que primeiro, aqui está o canal de execução dos dados brutos. 49 00:04:09,170 --> 00:04:20,310 Comece o DHEA P, que só me permite alterar a configuração até que a palavra-chave DHEA P seja encontrada, para que haja 50 00:04:20,350 --> 00:04:21,610 o comando. 51 00:04:21,680 --> 00:04:23,880 Aqui está a minha força DHB. 52 00:04:24,040 --> 00:04:28,900 Você pode ver a rede usando sua barra 10 1 1 0 24. 53 00:04:28,900 --> 00:04:37,660 O gateway padrão ou o gateway padrão é o roteador local em que um servidor DNS está definido como google, o roteador 54 00:04:37,660 --> 00:04:43,400 tem esse endereço IP 10 1 1 2 5 4 configurado no gigabit 0. 55 00:04:43,570 --> 00:04:52,030 Portanto, essa interface é configurada com o endereço IP 10 1 1 2 5 4 e o direito está alocando 56 00:04:52,030 --> 00:05:00,070 endereços IP para dispositivos, e podemos ver que, digitando show IP DHB binding, podemos ver que dois dispositivos 57 00:05:00,100 --> 00:05:01,540 receberam endereços IP. 58 00:05:01,540 --> 00:05:04,390 Este é o endereço IP alocado para o Kelly Linux. 59 00:05:04,390 --> 00:05:08,080 Este é o endereço IP alocado para o computador Windows. 60 00:05:08,140 --> 00:05:09,520 Podemos verificar 61 00:05:12,980 --> 00:05:16,290 isso usando o comando IP address em Kelly. 62 00:05:16,430 --> 00:05:24,860 Observe que há o endereço IP alocado para o host linux Kelly e no computador com Windows. 63 00:05:24,860 --> 00:05:30,410 Vou abrir uma configuração de IP de prompt C e D. 64 00:05:30,410 --> 00:05:36,220 Este é o endereço IP do computador Windows, para que o servidor DHB tenha sido configurado. 65 00:05:36,230 --> 00:05:40,220 Está alocando endereços IP para os dispositivos na rede. 66 00:05:40,250 --> 00:05:45,730 O que precisamos fazer agora é configurar a espionagem DHB no comutador. 67 00:05:45,740 --> 00:05:53,660 No momento, nenhum rastreamento de DHB foi ativado para que você possa ver que nenhum comando DCP foi ativado 68 00:05:54,380 --> 00:05:57,790 e não habilitamos a inspeção dinâmica dinâmica. 69 00:05:57,800 --> 00:06:05,240 Ok, então a primeira coisa que vou fazer é copiar os comandos de espionagem DHB P para o 70 00:06:08,250 --> 00:06:09,600 comutador, cole-os 71 00:06:16,440 --> 00:06:21,450 e você pode ver aqui que a espionagem DHB foi ativada globalmente. 72 00:06:21,510 --> 00:06:24,390 Foi ativado para a VLAN 1. 73 00:06:24,840 --> 00:06:34,560 Desativamos a opção 82 e o comando show IP snooping IP DHB nos mostra que o snooping do DHB agora 74 00:06:35,040 --> 00:06:40,500 está ativado na v 1, nenhuma porta confiável ainda foi configurada. 75 00:06:40,560 --> 00:06:45,150 Agora, mais uma vez, eu lhe mostrei anteriormente como configurar o espião da HP e expliquei-o 76 00:06:45,150 --> 00:06:48,370 com muitos detalhes, por isso não estou fazendo isso aqui. 77 00:06:48,590 --> 00:06:48,910 OK. 78 00:06:48,920 --> 00:06:58,710 A próxima etapa é configurar as portas confiáveis, tendo em vista que a topologia gigabit 0 0 é uma porta confiável Ok, 79 00:06:58,710 --> 00:07:01,120 portanto, pode topologia em gigabit. 80 00:07:01,170 --> 00:07:09,150 0 0 é a interface que se conecta ao rotor, o rotor está executando o serviço 81 00:07:09,150 --> 00:07:18,360 DHB; está alocando endereços IP; queremos confiar no servidor CHP; não queremos confiar neste host linux Kelly como servidor DHB. 82 00:07:19,170 --> 00:07:30,360 Então, voltando ao switch, eu vou colar esses comandos gigabit 0 0 agora é uma interface confiável show IP the DHB snooping, podemos ver 83 00:07:30,840 --> 00:07:41,040 que gigabit 0 0 agora é uma interface confiável agora também podemos atingir um limite de solicitações de DHEA P para parar 84 00:07:41,060 --> 00:07:50,700 um ataque de negação de serviço, por isso vou classificar o limite de mensagens DCP para 10 pacotes por segundo 85 00:07:50,700 --> 00:07:59,070 no gigabit 0 1, que é a interface que me conecta ao host Kelly linux novamente. Expliquei 86 00:07:59,070 --> 00:08:04,170 isso com muitos detalhes no vídeo anterior peça vendida àquela que 87 00:08:12,540 --> 00:08:15,070 digitou primeiro a quantidade. 88 00:08:15,450 --> 00:08:17,080 Então tente isso de novo. 89 00:08:17,090 --> 00:08:18,980 Aqui vamos nós. 90 00:08:19,040 --> 00:08:23,200 Então, mostre a interface de execução gigabit 00. 91 00:08:23,390 --> 00:08:26,090 Estamos confiando nessa interface. 92 00:08:26,150 --> 00:08:30,130 Não estamos confiando nessa interface. 93 00:08:30,170 --> 00:08:36,740 Esta interface de gigabit 0 1 está com taxa limitada 0 0 está sendo confiável. 94 00:08:37,490 --> 00:08:44,000 Ok, agora que eu configurei o DHB Snooping, eu posso configurar a inspeção 95 00:08:44,000 --> 00:08:53,150 dinâmica dinâmica A inspeção dinâmica dinâmica é bastante simples de configurar, o que vamos fazer é configurá-la globalmente no 96 00:08:53,150 --> 00:09:05,330 comutador usando o comando IP inspeção VLAN 1, para confete a inspeção IP OPP especifique a VLAN meu exemplo é v land 1 porque todas 97 00:09:05,330 --> 00:09:16,070 as portas do switch estão atualmente configuradas na VLAN 1 agora normalmente no mundo real, você não colocaria seus dispositivos e na 98 00:09:16,070 --> 00:09:22,580 VLAN, você os colocaria em uma VLAN diferente, agora observe o que está 99 00:09:22,580 --> 00:09:23,210 acontecendo. 100 00:09:23,210 --> 00:09:28,870 Já estamos vendo mensagens OP inválidas recebidas no gigabit 02. 101 00:09:28,970 --> 00:09:33,640 Esse é o host do Windows. 102 00:09:33,640 --> 00:09:36,020 Não estamos confiando em ninguém no momento. 103 00:09:36,020 --> 00:09:38,450 Estamos basicamente bloqueando todo o tráfego. 104 00:09:39,230 --> 00:09:46,870 Portanto, o host do Windows está tentando acessá-lo em seu gateway padrão, tentando acessar 10 1 1 2 5 4. 105 00:09:47,190 --> 00:09:52,970 Há o endereço IP do host do Windows O endereço Mac do host do Windows está 106 00:09:52,970 --> 00:09:57,050 tentando acessar o gateway padrão e o tráfego está sendo negado. 107 00:09:57,050 --> 00:09:59,170 Podemos ver isso como um exemplo nas janelas. 108 00:09:59,160 --> 00:10:06,170 P. S. Se eu tentar executar ping no roteador, ele não funcionará. 109 00:10:06,170 --> 00:10:07,100 O tráfego é 110 00:10:09,920 --> 00:10:11,800 negado e, na verdade, deixe-me demonstrar isso. 111 00:10:11,930 --> 00:10:19,580 Vou remover a inspeção dinâmica do OP, para que seja removida e o que você notará é o P. C. as janelas 112 00:10:19,580 --> 00:10:27,890 P. C. pode executar ping no roteador, mas o que você notará também é que o host do Kelly Linux pode executar ping no P. C. o que não queremos que ele faça e 113 00:10:27,890 --> 00:10:35,900 pode executar ping no roteador para que Kelly possa executar ping nas duas janelas P. C. assim como o roteador, mas 114 00:10:35,900 --> 00:10:44,540 assim que habilitamos a inspeção dinâmica, basicamente interrompemos a rede porque o tráfego de 10 1 1 2 115 00:10:45,200 --> 00:10:56,330 2 10 1 1 100 está sendo negado, porque agora, quando tentamos executar o ping, diz que as janelas hospedam o tráfego é 116 00:10:56,330 --> 00:11:06,830 negado Kelly não é capaz de executar ping no host do Windows e não é capaz de executar ping no gateway padrão; 117 00:11:06,830 --> 00:11:12,110 o host do Windows não consegue acessar o gateway padrão. 118 00:11:12,110 --> 00:11:13,070 Isso é um problema. 119 00:11:13,070 --> 00:11:16,880 Queremos que ele seja capaz de falar com seu gateway padrão. 120 00:11:16,880 --> 00:11:24,810 Então, o que vamos fazer é definir o gigabit 0 0 como uma porta confiável. 121 00:11:24,970 --> 00:11:28,210 Essa é a porta que nos conecta ao rotor. 122 00:11:28,640 --> 00:11:39,010 Portanto, na inspeção da interface do switch gigabit 00 IP OPP, basta usar o ponto de interrogação novamente. 123 00:11:39,010 --> 00:11:46,160 Confiaremos nessa interface, portanto, mostre a interface de execução gigabit 00. 124 00:11:46,330 --> 00:11:56,880 Este comando mostra que essa interface é confiável para a espionagem do DHB e para a inspeção OP, agora as 125 00:11:56,880 --> 00:12:00,590 janelas P. C. faça ping no rotor. 126 00:12:00,780 --> 00:12:03,800 No momento, podemos ver que não pode. 127 00:12:04,020 --> 00:12:08,670 Ainda temos um monte de negações no switch show 128 00:12:11,190 --> 00:12:14,910 IPD HP snooping, vamos ver as ligações. 129 00:12:14,970 --> 00:12:16,060 Observe o problema. 130 00:12:16,080 --> 00:12:18,830 Não há ligações D HP no momento. 131 00:12:19,020 --> 00:12:24,700 Contamos com o banco de dados de ligações D HP para implementar a inspeção dinâmica do OP. 132 00:12:24,750 --> 00:12:30,240 Precisamos ter as ligações no banco de dados para que a dinâmica da inspeção funcione. 133 00:12:31,790 --> 00:12:39,920 Portanto, estamos constantemente recebendo essas negações no momento, porque não há entrada no banco de dados de espionagem do 134 00:12:39,920 --> 00:12:40,510 DHB. 135 00:12:41,060 --> 00:12:49,180 Então, eu vou para o topo da barra de configuração de IP para liberar meu endereço IP e digitar 136 00:12:49,330 --> 00:12:53,660 renew para renovar o endereço IP no computador Windows. 137 00:12:53,710 --> 00:13:04,030 Agora está sendo dado esse endereço IP de volta no switch show IP snooping binding do DHB, podemos ver que esse 138 00:13:04,150 --> 00:13:13,990 endereço mac recebeu esse endereço IP e podemos ver que via DHB snooping na VLAN 1, a interface na qual esse 139 00:13:14,020 --> 00:13:19,420 host reside é gigabit 02, portanto de volta nas janelas. 140 00:13:19,420 --> 00:13:24,610 P. S. Agora ele pode executar ping no gateway padrão. 141 00:13:24,800 --> 00:13:26,720 E a resposta é sim, pode. 142 00:13:26,720 --> 00:13:34,100 Portanto, lembre-se, porque estamos usando a espionagem da HP, as peças precisam solicitar endereços IP e esses endereços 143 00:13:34,100 --> 00:13:37,140 IP devem ser alocados através do DHEA. 144 00:13:37,250 --> 00:13:43,340 Temos que ter o DHB bisbilhotando a conversa, pois o usuário aloca o 145 00:13:43,340 --> 00:13:50,180 endereço IP ao P. C. e, por isso, os bancos de dados de 146 00:13:50,450 --> 00:13:55,190 espionagem do DHB disparam e a inspeção dinâmica pode alavancar esse banco de dados para permitir dispositivos. 147 00:13:55,190 --> 00:14:02,870 Então, novamente no switch show IP snooping binding do DHB, podemos ver que esse endereço IP 148 00:14:02,870 --> 00:14:06,770 foi alocado para esse endereço Mac nesta interface. 149 00:14:06,770 --> 00:14:19,770 Agora, Kelly pode parar de pagar o gateway padrão porque um endereço IP não foi adicionado ao banco de dados de espionagem 150 00:14:19,770 --> 00:14:21,280 do DHB. 151 00:14:21,300 --> 00:14:27,920 Então, o que vou fazer é editar as conexões em Kelly. 152 00:14:28,210 --> 00:14:33,490 Vou para as configurações da versão 4 do IP, desabilitar a 153 00:14:38,090 --> 00:14:42,560 interface e voltar a usá-lo DHEA PI have 154 00:14:47,850 --> 00:14:53,450 config nos mostra que ele tem seu endereço IP show IP 155 00:14:56,120 --> 00:15:04,070 DHB binding no switch, você pode ver que esse endereço IP foi alocado para esse endereço MAC, 156 00:15:04,640 --> 00:15:14,700 que é o endereço MAC do host Kelly Lennox, termina em 5 a 0 0, que é o que vemos aqui. 157 00:15:14,710 --> 00:15:20,080 O host Kelly Lennox também pode executar ping no gateway padrão. 158 00:15:20,080 --> 00:15:21,030 Sim pode. 159 00:15:21,670 --> 00:15:26,960 Então, no switch, mais uma vez, mostre a ligação de espionagem IP DHEA. 160 00:15:27,430 --> 00:15:39,780 Podemos ver que dois endereços IP foram alocados para endereços MAC específicos, mostrando inspeção de IP. 161 00:15:40,440 --> 00:15:42,260 Então, há o comando novamente. 162 00:15:42,330 --> 00:15:48,950 Podemos ver que ele está ativado para vitela e muitos pacotes foram descartados. 163 00:15:49,200 --> 00:15:59,460 Agora, na Kelly, mais uma vez, o config me mostra que este é o endereço MAC do host que termina em 5 164 00:15:59,490 --> 00:16:09,620 a 0 0 no banco de dados de snooping IP DHB do switch show, que o endereço MAC foi atribuído a 165 00:16:10,920 --> 00:16:15,960 esse endereço IP que Kelly pode pagar pelo gateway padrão. 166 00:16:15,960 --> 00:16:29,050 Mais uma vez esse endereço IP, este endereço MAC, eu vou mudar o endereço MAC usando o trocador de Mac. A mudança de Mac nos diz que 167 00:16:29,050 --> 00:16:36,040 podemos ver o endereço MAC usando S. como opção e, em seguida, podemos criar 168 00:16:36,040 --> 00:16:48,070 um endereço MAC aleatório usando barra de hífens ou hífen, para que o Mac altere o zero Ethernet do traço, que é o endereço 169 00:16:48,070 --> 00:16:49,480 mac atual. 170 00:16:49,480 --> 00:16:53,440 Esse é o endereço MAC permanente rolando para cima mais uma vez. 171 00:16:53,650 --> 00:16:57,830 Esse é o endereço MAC que vimos anteriormente com tenho config. 172 00:16:58,570 --> 00:17:02,210 Então, vamos criar um endereço MAC aleatório. 173 00:17:02,650 --> 00:17:05,540 O endereço MAC que nos foi dito agora é esse. 174 00:17:05,650 --> 00:17:13,510 Então, eu tenho config nos mostra que esse é o novo endereço MAC que recebemos endereço MAC aleatório. 175 00:17:13,510 --> 00:17:19,030 Podemos pagar a resposta padrão do gateway? Não, não podemos, e estamos vendo 176 00:17:22,600 --> 00:17:24,550 muitas negações no switch. 177 00:17:24,550 --> 00:17:31,990 Você não pode simplesmente criar um endereço MAC aleatório ou tentar implementar falsificação de operações ou envenenamento por 178 00:17:31,990 --> 00:17:36,700 OP, porque agora temos a inspeção dinâmica ativada no comutador. 179 00:17:36,700 --> 00:17:40,390 E eu vou parar o ping em Kelly. 180 00:17:40,900 --> 00:17:46,920 O único endereço MAC permitido é o endereço MAC na interface gigabit 0 1. 181 00:17:46,960 --> 00:17:51,310 Este endereço MAC é permitido no gigabit 02. 182 00:17:51,700 --> 00:18:04,210 Portanto, ao alterar aleatoriamente meu endereço mac usando o Mac changer deste endereço para este endereço, o tráfego agora está sendo negado 183 00:18:04,210 --> 00:18:14,530 e também impede que alguém use um aplicativo como um limite para envenenar os caches do OP. 184 00:18:14,530 --> 00:18:24,910 Então, novamente, mostrei anteriormente como usá-lo como um limite para envenenar hosts na rede. Se eu tentar procurar hosts agora 185 00:18:24,910 --> 00:18:31,990 que o tráfego será negado pelo switch por causa da inspeção dinâmica, não 186 00:18:32,320 --> 00:18:39,970 posso implementar envenenamento por usando um limite ao contrário de quando demonstrei neste vídeo porque 187 00:18:40,420 --> 00:18:44,370 temos uma inspeção dinâmica de OP ativada. 188 00:18:44,370 --> 00:18:44,620 OK. 189 00:18:44,620 --> 00:18:49,750 Vídeo muito longo, mais uma vez, mas espero que tenha lhe mostrado claramente como configurar uma 190 00:18:50,050 --> 00:18:56,200 dinâmica de inspeção e como testá-lo. Você pode novamente fazer o download desta apresentação se quiser ter um resumo 191 00:18:56,200 --> 00:18:59,680 do que fizemos e deseja mantenha isso como uma referência.