Jak přemýšlí hacker: ochrana proti útokům ARP, MITM a replay v sítích Cisco

Vítejte v zákulisí síťové bezpečnosti! V tomto článku se podíváme na tři typy útoků, kterými se hacker často snaží zneužít slabá místa ve vaší infrastruktuře:

ARP spoofing – ohrozí lokální síť tak, že klienti posílají datový tok útočníkovi namísto brány
MITM útok (Man-In-The-Middle) – umožňuje měnit a sledovat komunikaci mezi dvěma stranami
Replay útoky – opětovné vysílání zachycených paketů, které mohou vést k duplicitnímu provozu

Projdeme si teorii, ukázky z Cisco IOS a praktické tipy, jak tyto hrozby eliminovat pomocí dostupných technologií – filtrů, ACL, NAT – a dobře navržené architektury sítě.

1. ARP spoofing – co se děje v pozadí?

Útočník v LAN odešle falešné ARP odpovědi: místo MAC adresy brány odešle svou vlastní. Síťová zařízení následně směrují své pakety přes jeho stroj. To mu umožní odchytit, měnit nebo blokovat komunikaci.

1.1 Jak identifikovat ARP útok?

Na klientovi: příkaz arp -a zobrazí nesprávné MAC adresy
Na switchi: nestabilní ARP záznamy, opakované ARP requesty
Na Cisco routeru: použití funkce show ip arp a výstrahy pro kolidující MAC adresy

1.2 Ochrana před ARP spoofingem

Statický ARP na kritických zařízeních: např. brána:
```
arp 10.0.0.1 00aa.bbcc.ddee ARPA
```

Dynamic ARP Inspection (DAI) na Cisco switchi:

ip arp inspection vlan 10
interface Gig0/1
 switchport access vlan 10
 ip arp inspection trust

Port security: pomocí ACL na switchi:

mac-address-table static 00aa.bbcc.ddee vlan 10
interface Gig0/2
 switchport port-security
 switchport port-security mac-address sticky 00aa.bbcc.ddee

2. MITM (Man‑In‑The‑Middle) – když hacker rozdělí komunikaci

MITM útok často kombinuje ARP spoofing s SSL-stripem nebo DNS hijackingem – útočník se dostane do komunikace, upravuje obsah nebo odposlouchává paketový tok.

2.1 Jak vypadá MITM útok v praxi?

Uživatel se připojí k AP s falešným certifikátem
Komunikační kanál je přesměrován přes útočníka, který vidí plaintext data
Zároveň může měnit odpovědi (např. přesměrování na falešnou stránku)

2.2 Příklady ochrany:

UAE v Cisco ASA / IOS Firewall: url inspection, SSL decryption, anti‑spoofing
ACL omezující komunikaci mezi interními VLAN a DMZ – podsítě jsou izolované
SSL pinning / HSTS na úrovni aplikací

2.3 Nastavení ACL proti MITM

ip access-list extended BLOCK_INTERNET_DMZ
 permit ip 192.168.10.0 0.0.0.255 any
 deny   ip 192.168.20.0 0.0.0.255 any
 permit ip any any
!
interface Gig0/1
 ip access-group BLOCK_INTERNET_DMZ in

Tímto způsobem zabráníte tomu, aby DMZ zařízení komunikovala přímo do interní sítě bez kontroly.

3. Replay útoky – opakování záznamu se škodlivými následky

Při replay útocích hacker odchytí data (např. ARP requesty, HTTP session cookies) a později je znovu odešle, čímž např. odemkne sessions nebo vyprázdní finance.

Networking Vás výzýva!

Chcete zažiariť? Za 5 dní nadobudnete skvelé základy administrácie TCP/IP sietí, ktoré vám dajú networking skills na celý život. Stačí konať a prijať Networking výzvu a rezervovať si tento kurz

Prvá hodina zadarmo!

Ovládnite VLANy a Switche

Počítač môžete využiť aj inak ako na hry a zábavu. Poďte zarábať ako králi. Iba týždeň Vám stačí a máš skvelé základy TCP/IP networkingu nato, aby ste si napr. našli job ako jr. Networking engineer. Stačí prijať Networking výzvu

Prvá hodina zadarmo!

3.1 Jak se bránit?

Timestamping a sekvenční mechanizmus při TLS / IPsec
Anti-replay ochrana v IPSec: konfigurace ESP paketů s číslem sekvence (seq num)

crypto ipsec transform-set PFS esp-aes 256 esp-sha-hmac
crypto map VPN-MAP 10 ipsec-isakmp
 match address VPN_ACL
 set transform-set PFS
 set pfs group2
 set isakmp-profile VPN-PROFILE

Omezení platnosti autentifikačních tokenů v systémech a aplikacích

4. Kombinovaná ochrana – ACL, NAT, Firewall

Samo o sobě filtry nestačí. Následující kroky vám pomohou zlepšit obranu vaší infrastruktury:

Rozdělení sítí – interní, DMZ, Wi‑Fi VLANy
ACL na routeru/ASA k filtrování podezřelého provozu
NAT filtering – např. blokace vnitřních IP směrem ven

ip nat inside source list LAN_OUT interface Gig0/0 overload
access-list 101 deny ip 192.168.20.0 0.0.0.255 any log
access-list 101 permit ip any any

Ukládání a analýza logů: aktivujte Syslog, NetFlow, IDS/IPS systémy

5. Doporučené kroky pro praktický bezpečnostní audit

Analýza aktuální konfigurace ARP tabulky a switch portů
Test ARP spoofingu v lab prostředí (např. Kali Linux)
Ověření funkčnosti ACL pomocí ping, traceroute a packet‑capture
Simulace replay útoku pomocí Wireshark a nástroje tcpreplay
Výsledná zpráva s doporučeními na změny konfigurace

Závěr

Útoky jako ARP spoofing, MITM či replay mohou mít vážné následky – od ohrožení citlivých dat až po úplný výpadek služby. Pomocí správně nastavených ARP filtrů, DAI, ACL, NAT a IPSec ochrany dokážete vytvořit pevné základy bezpečné infrastruktury v Cisco sítích. Klíčem je kombinace teorie a praktického testování – nasazení v reálném prostředí a simulace útoků vám přinese nejen ochranu, ale i jistotu při správě sítě.

Tip na závěr: implementujte tato opatření krok za krokem, dokumentujte výstupy a postupy – vytvoříte tak robustní proces bezpečnostního hardeningu pro vaše Cisco síťové prostředí.

Pokud vás tato problematika zaujala a chcete si všechny kroky vyzkoušet prakticky, doporučujeme kurz NP2 – Bezpečnost v TCP/IP sítích, tunelování IPSec a VPN.

Kurz NA0 - Administrace a návrh LAN/WAN TCP/IP sítí - základní koncepty

Kurz NA1 - Základy administrace sítí LAN/WAN a směrování v TCP/IP sítích

Jak začít programovat?

Úvod do programování pro každého bez předchozích znalostí.

Stáhněte si náš ebook teď výjimečně zdarma!!!

STÁHNOUT TEĎ

Viac informacií preberáme na kurze:

Kurz NP2 - Bezpečnost v TCP/IP sítích, tunelování IPSec a VPN

Marián Knězek