第5章局域網安全技術編著：

秦燊勞翠金

任務5.1搭建局域網安全基本環境

A公司通過VPN技術實現了總公司和各分公司之間的網絡的安全互連，也使在家辦工的員工以和出差的員工可以安全的連接到公司內網。防火墻技術則將公司內部網絡的可信任區域與公司外部網絡的不可信任區域隔離開來，通過安全策略有效的阻止了黑客從外網的入侵。然而，小張發現，A公司內部的局域網仍然有攻擊存在。攻擊者可能就是內部人員，也可能是內部的某臺電腦中了木馬病毒，還可能是黑客利用某種漏洞繞過了防火墻的防護，控制了內網的某臺主機，并以此為跳板，對內部實施了攻擊。因此，進一步加強局域網內部的安全是很必要的。任務5.1搭建局域網安全基本環境1.打開VMwareWorkstaton，分別啟動EVE-NG、三臺Windowsserver（用作DHCP服務器、惡意DHCP服務器、客戶機）和KaliLinux（攻擊者）。其中，EVE-NG上的虛擬網卡需要5塊，按順序分別是Vmnet8、Vmnet1、Vmnet2、Vmnet3、Vmnet4，第一塊網卡Vmnet8用于供瀏覽器連接打開EVE平臺，也用于連接Internet上網，其它四塊網卡用于連接windows或Linux主機。2.DHCP服務器連接到Vmnet1、惡意DHCP服務器連接到Vmnet2、客戶機連接到Vmnet3、攻擊者KaliLinux連接到Vmnet4。5.1.1基本配置3.圖5-1-1提示，輸入00，可連接到EVE-NG。4.打開firefox瀏覽器，輸入EVE-NG第一塊網卡Vmnet8的IP地址00，連接到EVE-NG。5.新建EVE項目，添加兩個Node，類型選CiscovIOSL2交換機和CiscovIOS路由器；添加5個NETWORK，Type分別選為Cloud0、Cloud1、Cloud2、Cloud3、Cloud4，對應于VMware虛擬機的網卡分別是Vmnet8（NAT模式）、Vmnet1、Vmnet2、Vmnet3、Vmnet4，分別連接到NAT模式的VMnet8、DHCP服務器、惡意DHCP服務器、客戶機和攻擊者的KaliLinux。圖5-1-1EVE-NG啟動后的界面6.按圖5-1-2的規劃，完成拓撲的連接。圖5-1-2實驗拓撲7.DHCP服務器的IP地址設置為0、惡意DHCP服務器的IP地址設置為0、客戶機的IP地址設置為自動獲取、攻擊者KaliLinux的IP地址設置為1，它們的網關為54。8.配置路由器R1(config)#intg0/0R1(config-if)#ipadd54R1(config-if)#noshuR1(config)#intg0/1R1(config-if)#ipadd0R1(config-if)#noshuR1(config)#iproute一、規劃MAC地址設備出廠后，其MAC地址是固定不變的，但為了便于實驗測試，我們將各虛擬機和路由器接口的MAC地址重新規劃如下：1.DHCP服務器的MAC地址：1010.1010.1010；2.惡意DHCP服務器的MAC地址：2020.2020.2020；3.客戶機的MAC地址：3030.3030.30304.KaliLinux的MAC地址：6060.6060.60605.路由器Gi0/0接口的MAC地址：8080.8080.80805.1.2規劃MAC地址二、設置兩臺DHCP服務器和一臺客戶機的MAC地址DHCP服務器和客戶機選用win2003，若真機內存足夠大，也可選用win2008操作系統。為win2003設置MAC地址的方法如下：1.如圖5-1-3所示，在“開始”菜單的“管理工具”中，打開“計算機管理”。圖5-1-3計算機管理2.如圖5-1-4所示，在左側點擊“設備管理器”，在右側找到“網絡適配器”下的具體網卡，在其上點擊右鍵，選擇“屬性”。圖5-1-4網絡適配器屬性3.如圖5-1-5所示，選擇“高級”選項卡，在“屬性”欄中，點擊“LocallyAdministeredAddress”，在⑥的位置為其值輸入規劃的MAC地址，請注意是連續的12位數字，中間沒有任何連接符號隔開，如DHCP服務器的MAC地址設置為：101010101010。圖5-1-5修改MAC地址4.查看修改好的MAC地址C:\DocumentsandSettings\Administrator>ipconfig/allEthernetadapter本地連接:Connection-specificDNSSuffix.:Description...........:Intel(R)PRO/1000MTNetworkConnectionPhysicalAddress.........:10-10-10-10-10-10DHCPEnabled...........:NoIPAddress............:0SubnetMask...........:DefaultGateway.........:54DNSServers...........:8二、設置kaliLinux的MAC地址KailLinux是基于Debian的操作系統，網絡接口的配置位于/etc/network/interfaces文件中。1．用vim打開網絡接口配置文件：#vim/etc/network/interfaces2．在文件中添加一行腳本，設置新的MAC地址：pre-upifconfigeth0hwether60:60:60:60:60:60然后按ESC鍵并輸入:wq命令，存盤退出；3．重啟網卡，使新設置的MAC地址生效：root@kali:~#/etc/init.d/networkingrestart4.查看修改好的MAC地址：root@kali:~#ifconfigeth0:flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>mtu1500inet1netmaskbroadcast55inet6fe80::6260:60ff:fe60:6060prefixlen64scopeid0x20<link>ether60:60:60:60:60:60txqueuelen1000(Ethernet)RXpackets432674bytes497743648(474.6MiB)RXerrors0dropped24986overruns0frame0TXpackets6189093bytes371862889(354.6MiB)TXerrors0dropped0overruns0carrier0collisions0三、設置路由器的MAC地址1．為路由器的g0/0接口設置新的MAC地址。R1(config)#intg0/0R1(config-if)#mac-address8080.8080.80802．查看修改好的MAC地址。R1#showintg0/0GigabitEthernet0/0isup,lineprotocolisupHardwareisiGbE,addressis8080.8080.8080(bia5000.0002.0000)Internetaddressis54/24MTU1500bytes,BW1000000Kbit/sec,DLY10usec5.1.3配置DHCP服務及NAT一、配置DHCP服務器1.如圖5-1-6所示，在DHCP服務器上，打開DHCP服務，將DHCP服務器的作用域設為0-0。2.如圖5-1-7所示，在DHCP服務器的作用域選項中，設置003路由器指向54，設置006DNS服務器指向14。圖5-1-6DHCP服務圖5-1-7DCHP作用域選項

二、測試客戶機

為了避免真機上VMwareDHCP服務的干擾，首先要將真機上的VMwareDHCPService停用。方法是在真機上，右擊桌面上的“此電腦”圖標，選擇“管理”選項，展開“服務和應用程序”中的“服務”選項，找到“VMwareDHCPService”項，將其停用。然后，再測試客戶機能否正常分配到IP地址和網關，方法如下：

1.如圖5-1-8所示，在win3客戶機上，設置自動獲取IP地址及DNS服務器地址。圖5-1-8win3客戶機自動獲取IP地址2.如圖5-1-9所示，查看IP地址獲取結果。圖5-1-9查看IP地址獲取結果三、將VMnet8的NAT網關地址設置為。1.如圖5-1-10所示，點擊VMwarer的菜單項“編輯”，選擇“虛擬網絡編輯器”。圖5-1-10打開虛擬網絡編輯器2.在彈出的“虛擬網絡編輯器”中，選中“VMnet8