ARP
K čemu slouží ARP? Proč?
K nalezení MAC adresy pomocí IP adresy
Na spojové vrstvě komunikujeme pomocí MAC adres. Jako uživatelé ale používáme IP adresy
Do jakých VLAN může mít trunk přístup?
Do všech
Jak probíhá DHCP komunikace?
DHCP DISCOVER - hledání DHCP, žádost
DHCP OFFER - zpráva, která obsahuje IP adresy
DHCP REQUEST - žádost o nabídnuté adresy
DCP ACK - potvrzení přijetí
Jak může vypadat útok na STP?
Útočník pošle BPDU rámec
Tím ovlivní výběr RootBridge a to změní alternate porty
To může znemožnit komunikaci
Nebezpečí v síti vzniká, jakmile do ní vnikne útočník
Jaká jsou základní opatření, aby se něco takového nestalo?
Vypnout nevyužité porty
Nevyužité porty dát do static access
Nastavit VLANu, která se nevyužívá
Jak probíhá proces ARP?
Počítač zašle broadcast "kdo má takovou IP adresu?"
Ten, kdo ji má, odpoví
Z eth. rámce odpovědi se vezme MAC adresa
Kde se může vzít netagovaný provoz?
Např. ze switche, který neumí VLANy a je připojen na trunk switche, který VLANy umí
Jak funguje DHCP starvation?
Útok typu DOS, úzké hrdlo je počet IP adres v rozsahu
Útočník posílá žádosti o IP adresu
DHCP server však jednomu žadateli nabídne vždy stejnou adresu
Proto si útočník náhodně mění adresy
Adresy dojdou a DHCP je nedostupné
K čemu slouží BPDU guard?
Pokud na port, který má zapnutý BPDU Guard, přijde nějaký BPDU rámec, tak se port přepne do error-disabled stavu
Jak funguje port-security aging? Jaké jsou typy?
Absolute - MAC adresa se smaže X minut po nastavení této možnosti
Inactavity - MAC adresa se smaže po X minutách neaktivity
Jak funguje ARP spoofing?
Útočník odpoví na ARP zprávu
ARP tazatel bere tu poslední odpověď - útočník odpoví s prodlevou, aby byl jako poslední
Co zneužívá VLAN hopping? Jak proběhne? Co je cílem?
Z access portu si vykomunikujeme trunk pomocí DTP
Pomocí trunku může útočník do jiných VLAN
Jak funguje DHCP spoofing? K čemu jej můžete zneužít?
Útočník odpovídá na DHCP DISCOVER
Zasílá podvržené DHCP OFFER zprávy
Tí může docílit MitM útoku
K čemu slouží PortFast?
Port se instantně přepne do forwarding stavu
Tím se minimalizuje čas během kterého může útočník zneužít port
Jaké jsou violation módy? Co když je port kvůli porušení jednoho z těchto módů vypnut?
Protect, restrict, shutdown
Port se musí ručně vypnout a zapnout
Jak se bránit útokům na ARP?
Pomocí DAI, která skenuje ARP zprávy a ukládá si MAC adresy a IP adresy
Jak funguje VLAN double tagging?
Útočník pronikne i přes access port
Využije toho, že na access portu je stejná VLAN jako je na trunku native
Útočník do záhlaví rámce přidá VLAN tag access portu a tag cílové VLANySwitch rámec vezme, odstraní tag access portu a pošle rámec dašímu switchi
Další switch to vidí jako rámec z cílové VLANJak se bránit DHCP útokům?
Pomocí DHCP snooping
Ten si do binding table ukládá porty, jestli jsou trusted/untrusted a rate limit
Trusted porty jsou ty, ze kterých mohou přícházet DHCP OFFER zprávy - porty směrem OD DHCP serveru
Co se stane, když nastavíte PortFast na linkách mezi switchemi?
V takové situaci není na dané lince STP aktivní a může vzniknout smyčka
Jaké máte nastavení MAC adres u port-security? K čemu slouží?
Limit MAC adres
MAC adresy může mít zadané - ručně, dynamicky, dynmicky - sticky