《计算机网络安全防护技术（第二版）》 课件 第5章 任务5.1 搭建局域网安全基本环境

第5章局域网安全技术编著：

秦燊劳翠金

任务5.1搭建局域网安全基本环境

A公司通过VPN技术实现了总公司和各分公司之间的网络的安全互连，也使在家办工的员工以和出差的员工可以安全的连接到公司内网。防火墙技术则将公司内部网络的可信任区域与公司外部网络的不可信任区域隔离开来，通过安全策略有效的阻止了黑客从外网的入侵。然而，小张发现，A公司内部的局域网仍然有攻击存在。攻击者可能就是内部人员，也可能是内部的某台电脑中了木马病毒，还可能是黑客利用某种漏洞绕过了防火墙的防护，控制了内网的某台主机，并以此为跳板，对内部实施了攻击。因此，进一步加强局域网内部的安全是很必要的。任务5.1搭建局域网安全基本环境1.打开VMwareWorkstaton，分别启动EVE-NG、三台Windowsserver（用作DHCP服务器、恶意DHCP服务器、客户机）和KaliLinux（攻击者）。其中，EVE-NG上的虚拟网卡需要5块，按顺序分别是Vmnet8、Vmnet1、Vmnet2、Vmnet3、Vmnet4，第一块网卡Vmnet8用于供浏览器连接打开EVE平台，也用于连接Internet上网，其它四块网卡用于连接windows或Linux主机。2.DHCP服务器连接到Vmnet1、恶意DHCP服务器连接到Vmnet2、客户机连接到Vmnet3、攻击者KaliLinux连接到Vmnet4。5.1.1基本配置3.图5-1-1提示，输入00，可连接到EVE-NG。4.打开firefox浏览器，输入EVE-NG第一块网卡Vmnet8的IP地址00，连接到EVE-NG。5.新建EVE项目，添加两个Node，类型选CiscovIOSL2交换机和CiscovIOS路由器；添加5个NETWORK，Type分别选为Cloud0、Cloud1、Cloud2、Cloud3、Cloud4，对应于VMware虚拟机的网卡分别是Vmnet8（NAT模式）、Vmnet1、Vmnet2、Vmnet3、Vmnet4，分别连接到NAT模式的VMnet8、DHCP服务器、恶意DHCP服务器、客户机和攻击者的KaliLinux。图5-1-1EVE-NG启动后的界面6.按图5-1-2的规划，完成拓扑的连接。图5-1-2实验拓扑7.DHCP服务器的IP地址设置为0、恶意DHCP服务器的IP地址设置为0、客户机的IP地址设置为自动获取、攻击者KaliLinux的IP地址设置为1，它们的网关为54。8.配置路由器R1(config)#intg0/0R1(config-if)#ipadd54R1(config-if)#noshuR1(config)#intg0/1R1(config-if)#ipadd0R1(config-if)#noshuR1(config)#iproute一、规划MAC地址设备出厂后，其MAC地址是固定不变的，但为了便于实验测试，我们将各虚拟机和路由器接口的MAC地址重新规划如下：1.DHCP服务器的MAC地址：1010.1010.1010；2.恶意DHCP服务器的MAC地址：2020.2020.2020；3.客户机的MAC地址：3030.3030.30304.KaliLinux的MAC地址：6060.6060.60605.路由器Gi0/0接口的MAC地址：8080.8080.80805.1.2规划MAC地址二、设置两台DHCP服务器和一台客户机的MAC地址DHCP服务器和客户机选用win2003，若真机内存足够大，也可选用win2008操作系统。为win2003设置MAC地址的方法如下：1.如图5-1-3所示，在“开始”菜单的“管理工具”中，打开“计算机管理”。图5-1-3计算机管理2.如图5-1-4所示，在左侧点击“设备管理器”，在右侧找到“网络适配器”下的具体网卡，在其上点击右键，选择“属性”。图5-1-4网络适配器属性3.如图5-1-5所示，选择“高级”选项卡，在“属性”栏中，点击“LocallyAdministeredAddress”，在⑥的位置为其值输入规划的MAC地址，请注意是连续的12位数字，中间没有任何连接符号隔开，如DHCP服务器的MAC地址设置为：101010101010。图5-1-5修改MAC地址4.查看修改好的MAC地址C:\DocumentsandSettings\Administrator>ipconfig/allEthernetadapter本地连接:Connection-specificDNSSuffix.:Description...........:Intel(R)PRO/1000MTNetworkConnectionPhysicalAddress.........:10-10-10-10-10-10DHCPEnabled...........:NoIPAddress............:0SubnetMask...........:DefaultGateway.........:54DNSServers...........:8二、设置kaliLinux的MAC地址KailLinux是基于Debian的操作系统，网络接口的配置位于/etc/network/interfaces文件中。1．用vim打开网络接口配置文件：#vim/etc/network/interfaces2．在文件中添加一行脚本，设置新的MAC地址：pre-upifconfigeth0hwether60:60:60:60:60:60然后按ESC键并输入:wq命令，存盘退出；3．重启网卡，使新设置的MAC地址生效：root@kali:~#/etc/init.d/networkingrestart4.查看修改好的MAC地址：root@kali:~#ifconfigeth0:flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>mtu1500inet1netmaskbroadcast55inet6fe80::6260:60ff:fe60:6060prefixlen64scopeid0x20<link>ether60:60:60:60:60:60txqueuelen1000(Ethernet)RXpackets432674bytes497743648(474.6MiB)RXerrors0dropped24986overruns0frame0TXpackets6189093bytes371862889(354.6MiB)TXerrors0dropped0overruns0carrier0collisions0三、设置路由器的MAC地址1．为路由器的g0/0接口设置新的MAC地址。R1(config)#intg0/0R1(config-if)#mac-address8080.8080.80802．查看修改好的MAC地址。R1#showintg0/0GigabitEthernet0/0isup,lineprotocolisupHardwareisiGbE,addressis8080.8080.8080(bia5000.0002.0000)Internetaddressis54/24MTU1500bytes,BW1000000Kbit/sec,DLY10usec5.1.3配置DHCP服务及NAT一、配置DHCP服务器1.如图5-1-6所示，在DHCP服务器上，打开DHCP服务，将DHCP服务器的作用域设为0-0。2.如图5-1-7所示，在DHCP服务器的作用域选项中，设置003路由器指向54，设置006DNS服务器指向14。图5-1-6DHCP服务图5-1-7DCHP作用域选项

二、测试客户机

为了避免真机上VMwareDHCP服务的干扰，首先要将真机上的VMwareDHCPService停用。方法是在真机上，右击桌面上的“此电脑”图标，选择“管理”选项，展开“服务和应用程序”中的“服务”选项，找到“VMwareDHCPService”项，将其停用。然后，再测试客户机能否正常分配到IP地址和网关，方法如下：

1.如图5-1-8所示，在win3客户机上，设置自动获取IP地址及DNS服务器地址。图5-1-8win3客户机自动获取IP地址2.如图5-1-9所示，查看IP地址获取结果。图5-1-9查看IP地址获取结果三、将VMnet8的NAT网关地址设置为。1.如图5-1-10所示，点击VMwarer的菜单项“编辑”，选择“虚拟网络编辑器”。图5-1-10打开虚拟网络编辑器2.在弹出的“虚拟网络编辑器”中，选中“VMnet8