Mission 9 — Tester les protections avec Kali
Objectif : Prouver que Port‑Security, DHCP Snooping, Dynamic ARP Inspection, ACL/pare‑feu, Wi‑Fi résistent, et que tout est journalisé sur le serveur de logs.
Cas de test :
Port‑Security
- Brancher PC‑A (MAC‑1) → OK.
- Remplacer par Kali (MAC‑2) → violation attendue.
- Vérifier :
|
show port-security interface GiX/Y
show logging
|
--> Sur rsyslog, il doit y avoir une alerte !!!
DHCP Snooping
Sur Kali :
| sudo dhclient -v eth0 |
--> Tenter faux serveur (sur port non-trusted) --> Il doit échouer côté client
Vérifier dans Wireshark --> Filtrer "bootp" + logs switch.
DAI (ARP Inspection)
Observation de l'ARP :
| sudo arp-scan --interface eth0 --localnet |
Tenter ARP spoof (poste de test) --> DAI doit le bloquer
Pour le contrôler :
Pour le contrôler :
|
show ip arp inspection statistics show logging |
--> Faire une capture Wireshark filtre arp
ACL/Pare‑feu routeur
Depuis Kali (VLAN test), scanner services admin routeur/NAS :
| nmap -sS -p 22,23,80,443,161,514 (IP routeur) |
Essais directs (doivent normalement échouer) :
|
ssh admin@172.16.0.1
curl -k https://172.16.0.1
|
→ Attendu : inaccessible (filtré). Logs côté routeur/rsyslog
Borne de test
Recon :
|
sudo airmon-ng start wlan0
airodump-ng wlan0mon
|
Traçabilité
Test
| sudo tail -f /var/log/syslog |
Heure (NTP) cohérent et avec des événements (routeur + switch).
BONUS (IL FAUT DEMANDER) :
- Ettercap/Bettercap (démonstration DAI)
- John the Ripper (hash fourni)