Security CCNA 210-260. Zostań administratorem sieci ...

• Kup książkę• Poleć książkę • Oceń książkę

• Księgarnia internetowa• Lubię to! » Nasza społeczność

Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całościlub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione.Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanieksiążki na nośniku filmowym, magnetycznym lub innym powoduje naruszeniepraw autorskich niniejszej publikacji.

Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymibądź towarowymi ich właścicieli.

Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawartew tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnejodpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualnenaruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELIONnie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłez wykorzystania informacji zawartych w książce.

Opieka redakcyjna: Ewelina Burska

Projekt okładki: ULABUKA

Materiały graficzne na okładce zostały wykorzystane za zgodą Shutterstock.

Wydawnictwo HELIONul. Kościuszki 1c, 44-100 GLIWICEtel. 32 231 22 19, 32 230 98 63e-mail: [email protected]: http://helion.pl (księgarnia internetowa, katalog książek)

Drogi Czytelniku!Jeżeli chcesz ocenić tę książkę, zajrzyj pod adreshttp://helion.pl/user/opinie/seccnaMożesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.

ISBN: 978-83-283-1814-4

Copyright © Helion 2016

Printed in Poland.

http://helion.pl/rt/seccna

http://helion.pl/rf/seccna

http://helion.pl/ro/seccna

http://helion.pl

http://ebookpoint.pl/r/4CAKF

Spis tre ci

Wst p .............................................................................................. 7

Rozdzia 1. Podstawy bezpiecze stwa sieci ........................................................ 9Firma Cisco ...................................................................................................................... 9Certyfikacja i egzamin .................................................................................................... 10

Tematyka i materia CCNA Security ........................................................................ 11Historia bezpiecze stwa sieci ......................................................................................... 13Bezpiecze stwo sieci i zarz dzanie nim ......................................................................... 15

Organizacje zwi zane z bezpiecze stwem ............................................................... 16G ówne rodzaje niebezpiecze stw ............................................................................ 21NFP — ochrona infrastruktury sieciowej ................................................................. 24

Sprz t potrzebny podczas nauki ..................................................................................... 28

Rozdzia 2. Lokalne zabezpieczenie urz dze .................................................... 31Zabezpieczanie urz dzenia za pomoc lokalnej bazy i CLI ............................................ 31

Zabezpieczenie routera za pomoc lokalnej bazy hase ............................................ 32Informacje wst pne na temat Cisco Configuration Professional (CCP) ......................... 55

Konfiguracja CCP Express na routerze uruchomionym w programie GNS ............. 56Konfiguracja CCP na stacji roboczej

i pod czenie do routera uruchomionego w programie GNS3 ............................... 70Model AAA .................................................................................................................... 76

Rozdzia 3. Dzia anie i wykorzystanie RADIUS i TACACS+ ................................. 79RADIUS ......................................................................................................................... 79

Instalacja RADIUS-a na serwerze Microsoft Server 2008R2i uwierzytelnienie z routera R1 .............................................................................. 80

Podstawowe informacje o TACACS+ ............................................................................ 93Cisco Secure Access Control System ....................................................................... 94Opcja Security Audit w CCP .................................................................................. 110

Konfiguracja lokalnych trybów pracy (widoków) ........................................................ 118

Rozdzia 4. Sposoby zabezpieczania warstwy 2. modelu ISO OSI ...................... 121Informacje wst pne o warstwie 2. ISO OSI .................................................................. 121Urz dzenia warstwy 2. — prze czniki ........................................................................ 124Oprogramowanie do przeprowadzania ataków — Kali Linux ...................................... 126

Poleć książkęKup książkę



4 Security CCNA 210-260. Zosta administratorem sieci komputerowych Cisco

Przeprowadzanie niektórych ataków i zabezpieczanie urz dze .................................. 127DHCP snooping ...................................................................................................... 128Tablica MAC i Port Security .................................................................................. 134Podstawowe informacje o sieciach VLAN ............................................................. 148Po czenia TRUNK ................................................................................................ 153Atak VLAN hooping .............................................................................................. 157

Rozdzia 5. Listy ACL w sieci IPv4 .................................................................. 193Informacje wst pne ...................................................................................................... 193Rodzaje list ACL .......................................................................................................... 194Konfiguracja standardowych list ACL ......................................................................... 195Konfiguracja rozszerzonych list ACL .......................................................................... 207

Rozdzia 6. Listy ACL w sieci IPv6 .................................................................. 221Podstawowe informacje o IPv6 .................................................................................... 221

Konfiguracja interfejsu routera za pomoc adresu IPv6 ......................................... 223Rodzaje adresów IPv6 ............................................................................................ 224

Listy ACL w IPv6 ........................................................................................................ 227

Rozdzia 7. Firewall i jego zastosowanie w oparciu o IOS ................................ 233Podstawy dzia ania firewalla ........................................................................................ 233NAT w IPv4 ................................................................................................................. 235Port Address Translation (PAT) ................................................................................... 236Stateful Packet Inspection (SPI) ................................................................................... 239Context Based Access Control (CBAC) ....................................................................... 242

Konfiguracja CBAC ............................................................................................... 243Zone Based Firewalls (ZBF) ........................................................................................ 244

Edycja ZBF ............................................................................................................ 251Statystyki dzia ania ZBF ........................................................................................ 260Przyk ad r cznej konfiguracji ZBF ......................................................................... 264

Rozdzia 8. Firewall oparty na urz dzeniu Cisco ASA ....................................... 267Urz dzenie Cisco ASA ................................................................................................. 267

Funkcje urz dzenia ASA 5505 ............................................................................... 268Przygotowanie urz dzenia do pracy za pomoc CLI .................................................... 270

R czna zmiana podstawowych ustawie na przyk adzie urz dzenia ASA 5505 .... 271Pod czenie urz dzenia ASA do sieci zewn trznej (internet) ................................. 277

Konfiguracja urz dzenia ASA przez ASDM ................................................................ 287Instalacja ASDM na lokalnym dysku ..................................................................... 289Menu programu ...................................................................................................... 290Przywracanie ustawie fabrycznych w ASDM ...................................................... 294Konfiguracja za pomoc kreatora ........................................................................... 295Narz dzia do testowania komunikacji .................................................................... 301Zarz dzanie has ami i u ytkownikami ................................................................... 304Konfiguracja interfejsów ........................................................................................ 307Ustawienia czasu .................................................................................................... 310Routing statyczny ................................................................................................... 310Konfiguracja serwera DHCP .................................................................................. 311Konfiguracja PAT w ASDM .................................................................................. 312Aktualizacja oprogramowania z poziomu ASDM .................................................. 313Obiekty i grupy obiektów ....................................................................................... 315Listy ACL na urz dzeniu ASA ............................................................................... 318Konfiguracja dost pu do urz dzenia ASA za pomoc serwera TACACS+ ........... 323Dost p do urz dzenia ASA za pomoc serwera TACACS+

konfiguracja w ASDM .................................................................................... 325




Spis tre ci 5

Wykorzystanie grup w listach ACL ....................................................................... 328Monitorowanie urz dzenia ASA z poziomu ASDM .............................................. 330Urz dzenia ASA w GNS3 ...................................................................................... 331

Rozdzia 9. Systemy IPS (Intrusion Prevention System) ................................... 339Sposób dzia ania systemów IPS ................................................................................... 339W czenie IPS na routerze z systemem IOS i konfiguracja przez CLI ......................... 345Przyk adowy atak na sie chronion przez IPS i analiza wyników ............................... 353Ustawienie akcji dla sygnatury w CLI .......................................................................... 358Dezaktywacja sygnatur IPS w CLI ............................................................................... 361W czenie IPS na routerze z systemem IOS i konfiguracja przez CCP ........................ 362

Konfiguracja IPS przy u yciu kreatora ................................................................... 363Konfiguracja parametrów IPS ................................................................................ 368Przyk adowy atak SYN_flood ................................................................................ 369Modyfikacja sygnatur w CCP ................................................................................ 372Monitoring IPS ....................................................................................................... 376

Rozdzia 10. Konfiguracja szyfrowania i sieci VPN ............................................. 379Podstawy kryptografii i szyfrowania ............................................................................ 379

Zachowanie poufno ci — szyfrowanie .................................................................. 380Zachowanie integralno ci ....................................................................................... 383Uwierzytelnienie .................................................................................................... 386

Sieci VPN ..................................................................................................................... 386Implementacja VPN site-to-site na routerze Cisco za pomoc CLI .............................. 389Implementacja VPN site-to-site na routerze Cisco za pomoc CCP ............................. 399

Tunel GRE w site-to-site ........................................................................................ 408Implementacja VPN site-to-site na urz dzeniu ASA 5505 za pomoc ASDM ............. 416Implementacja VPN remote access na urz dzeniu ASA 5505 za pomoc ASDM ....... 422

Opis dzia ania SSL/TLS ......................................................................................... 423Konfiguracja dost pu przez przegl dark .............................................................. 425Konfiguracja dost pu przez klienta VPN ............................................................... 434

Rozdzia 11. Logowanie zdarze , raportowaniei zarz dz nie bezpiecze stwem sieci za pomoc 802.1x ................ 451Logowanie zdarze i raportowanie ............................................................................... 451

Obs uga logów systemowych syslog ...................................................................... 452Wykorzystanie SNMP ............................................................................................ 456Network Time Protocol (NTP) ............................................................................... 464U ycie uwierzytelniania 802.1x dla stacji roboczej ............................................... 465

Zako czenie ................................................................................ 501

Skorowidz .................................................................................... 50




Rozdzia 1.

Podstawybezpiecze stwa sieci

CCNA Security to kolejna cie ka certyfikacji, jak oferuje firma Cisco w ramachswojego programu nauki. Napisa em „kolejna cie ka” celowo, gdy nie zalecam za-czynania w a nie od niej swojej przygody z certyfikatami i nauk Cisco.

Zanim przejdziesz do cie ki zwi zanej z zabezpieczeniem sieci komputerowych,trzeba zapozna si z podstawowym dzia aniem urz dze sieciowych i nauczy siich podstawowej konfiguracji, a to gwarantuje cie ka CCNA Routing and Switching.Tak wi c, jak ju wspomnia em, je li chcesz zajmowa si bezpiecze stwem sieci,wpierw zapoznaj si z materia em tej certyfikacji. Pomoc mo e by ksi ka CCNA200-120. Zosta administratorem sieci komputerowych Cisco, poniewa dzi ki niej po-znasz materia , którego nieznajomo by aby dla Ciebie przeszkod w opanowaniu za-gadnie zawartych w niniejszej ksi ce.

A je li ju masz opanowan tre zaleconej lektury lub mimo wszystko chcesz spróbo-wa bez tego, zapraszam na pok ad, witam Ci i zaczynamy przygod z bezpiecze stwemsieci na poziomie CCNA.

Firma CiscoZanim przejdziemy do tematów zwi zanych z bezpiecze stwem i przygotowaniemCi do roli administratora i do zdania egzaminu, napisz kilka s ów o firmie, która jestautorem opisywanej tutaj cie ki certyfikuj cej. Równie na sprz cie tej firmy b dziemywspólnie praktykowa opisywane tematy.

Firma zosta a za o ona w 1984 roku przez pracowników Uniwersytetu Stanforda. Nazwa„Cisco” pochodzi od nazwy jednego z ameryka skich miast, mianowicie San Francisco,a logo przedstawiaj ce dziewi pionowych linii symbolizuje znajduj cy si tam most





Golden Gate. Obecnie szefem Cisco jest Chuck Robbins. Firma zajmuje si nie tylkoprodukcj routerów, lecz tak e ogromu innych urz dze zapewniaj cych i rozwijaj -cych dost p do sieci internetowej, ale równie maj cych nieco mniejsze mo liwo ci.

Obecnie Cisco posiada w swojej ofercie mi dzy innymi routery, prze czniki, punktydost powe, serwery, sprz t do telekonferencji oraz telefonii IP i przekazu wideo. Po-nadto z roku na rok stara si wkracza równie w inne dziedziny sieciowego ycia,takie jak wirtualizacja, serwerownie i urz dzenia ko cowe. Sztandarowym produktemCisco, bez którego urz dzenia by yby bezu yteczne, s ich systemy operacyjne, którew zale no ci od modelu urz dzenia i jego przeznaczenia mog wyst powa w ró nychwersjach.

Ze wzgl du na tak ogromn ofert firma stara si od samego pocz tku dba o swoichprzysz ych specjalistów i systematycznie wdra a swój program nauki do szkó rednichi uczelni wy szych.

Certyfikacja i egzaminCertyfikacja w firmie Cisco sk ada si z kilku poziomów (CCENT, CCNA, CCNP,CCIE oraz CCAr). Zawsze punktem wyj ciowym jest certyfikat CCNA (Cisco CertifiedNetwork Associate).

Wyró niamy poziom pocz tkuj cy, w którym mo esz zdoby mi dzy innymi certyfikatCCENT (Cisco Certified Entry Networking Technician) lub CCT (Cisco Certified Tech-nician). Certyfikat CCENT otrzymasz po zdaniu egzaminu ICND1 100-101.

Certyfikaty pocz tkowe nie uprawniaj Ci do pod ania dalej cie k certyfikacyjn .Tak jak wspomnia em wcze niej, umo liwi to dopiero uzyskanie certyfikatu CCNA.

Obecnie certyfikat CCNA mo esz zdoby w kilku dziedzinach. W tej ksi ce skupiamysi na materiale z zakresu bezpiecze stwa. Je li chcesz zdoby certyfikat z tej dziedziny,musisz opanowa wiedz z tego zakresu i zda egzamin oznaczony jako 210-260 IINSImplementing Cisco Network Security (IINS). Szczegó owe informacje dotycz ce tegoegzaminu znajdziesz na stronie www.cisco.com/certifications.

Je li chodzi o sam egzamin, to przygotowa si do niego mo esz na wiele sposobów.Pierwszym z nich jest wiedza teoretyczna. Niniejsza ksi ka ma na celu gruntowneprzedstawienie wszystkich pojawiaj cych si na egzaminie tematów, tak aby u atwiCi optymalne przygotowanie si do niego. Nie znajdziesz tu jednak gotowych odpo-wiedzi do zada egzaminacyjnych. Podobnie jak w ka dym innym egzaminie Cisco,wa ne jest posiadanie wiedzy praktycznej, która pomo e Ci lepiej zrozumie wszystkietematy teoretyczne. W tej ksi ce staram si wi kszy nacisk po o y na praktycznepodej cie, ze wzgl du na to, e administrator sieci raczej powinien cechowa si wie-dz praktyczn . Niestety na egzaminie certyfikuj cym CCNA wiedza teoretycznastanowi wi kszo .




Rozdzia 1. Podstawy bezpiecze stwa sieci 11

Je li chodzi o ród o wiedzy, to ta ksi ka, uzupe niona o materia y z oficjalnej stronyCisco i po czona z praktyk , powinna wystarczy . Niemniej jednak ka dy z nas uczysi w inny sposób, poza tym jedni przyswajaj wiedz szybciej, inni wolniej, dlategosamodzielnie musisz zdecydowa , czy nasta odpowiedni moment, by podej do eg-zaminu.

Je eli podejmiesz decyzj , aby spróbowa zda egzamin certyfikuj cy, to po zako -czonej nauce konieczna b dzie wizyta na stronie www.pearsonvue.com. Je li jeszczenie posiadasz tam konta, nale y je za o y , a je li je posiadasz, to zapewne ju wiesz,jak odszuka w a ciwy egzamin i go op aci .

Egzamin 210-260 IINS Implementing Cisco Network Security (IINS) kosztuje oko o310 dolarów z VAT. Podobnie jak pozosta e certyfikaty Cisco, równie certyfikatCCNA Security wa ny jest przez trzy lata; wyj tek stanowi certyfikaty CCIE, którychwa no wynosi dwa lata. Ka dy kolejny zdany egzamin certyfikuj cy przed u a wa -no certyfikatów tego samego poziomu lub ni szych.

Tematyka i materia CCNA Security

CCNA Security to du a porcja materia u z zakresu podstaw bezpiecze stwa sieciowego.Z punktu widzenia egzaminu teoria jest istotna i stanowi fundament konieczny do zro-zumienia praktyki. Tematy wchodz ce w zakres CCNA Security to mi dzy innymi:

ogólne informacje dotycz ce bezpiecze stwa;

opis najcz ciej przeprowadzanych ataków;

informacje dotycz ce bezpiecze stwa urz dze Cisco;

konfiguracja ustawie bezpiecze stwa w Cisco Configuration Professional (CCP);

podstawy NFP;

konfiguracja zabezpiecze w oparciu o IPv6;

implementacja AAA;

konfiguracja TACACS+ i RADIUS;

listy ACL oparte na IPv4 i IPv6;

filtrowanie ruchu;

omówienie protoko ów SSH, SNMP, NTP, SCP i SLL;

bezpiecze stwo warstwy 2 ISO OSI;

konfiguracja VLAN i implementacja Spannig Tree;

technologie zwi zane z poj ciem firewall;

konfiguracja NAT;

konfiguracja Zone Based Firewall;

konfiguracja wst pna urz dze Cisco ASA;





rozwi zania IPS i ich konfiguracja w CCP;

technologia VPN;

szyfrowanie symetryczne i asymetryczne;

certyfikaty i podpis cyfrowy;

konfiguracja VPN w CCP i CLI;

omówienie programu Cisco Any Connect i konfiguracja VPN.

Tak wi c tematów, które b d si stara Ci przybli y w tej publikacji, jest wiele. Dzi kitemu, mam nadziej , rozpoczniesz swoj przygod z bezpiecze stwem sieci, a dodat-kowo przygotujesz si do egzaminu certyfikuj cego.

Rodzaj pyta egzaminacyjnych i opis egzaminu

Je li ju masz za sob egzamin certyfikuj cy, mo esz pomin ten podrozdzia . Je li zaCCNA Security b dzie Twoim pierwszym egzaminem, mo esz przeczyta poni ej o jegoprzebiegu.

Podczas egzaminu w przygotowanej przez Cisco aplikacji w prawym górnym roguznajduje si zegar odliczaj cy czas. Staraj si nie zatrzymywa zbyt d ugo na jednymzagadnieniu. Je li naprawd nie znasz odpowiedzi na pytanie, nie zostawiaj pustego pola,lecz postaraj si odrzuci w pierwszej kolejno ci prawdopodobne b dne odpowiedzi.Je eli zostanie kilka Twoim zdaniem prawid owych, a dalej nie b dziesz wiedzie , którajest w a ciwa, po prostu strzel.

Niestety na egzaminie nie mo na wraca do wcze niejszych pyta . Nie jest mo liwerównie przejrzenie pyta , a nast pnie powrót do pocz tku. Pami taj, e po klikni ciuprzycisku Next przechodzisz do nast pnego pytania i nie ma mo liwo ci powrotu. Naegzaminie lepiej po wi ci wi cej czasu na pytania symulacyjne, które s wy ej punkto-wane ni pytania jednokrotnego wyboru, cho te równie s wa ne. Pami taj, e punktyliczone s przy u yciu redniej wa onej i okre lonych przez Cisco algorytmów. Nawetje li na niektóre pytania odpowiesz le, jest szansa, e zdasz egzamin.

Przed rozpocz ciem jest oko o15 minut na zapoznanie si z wprowadzeniem do eg-zaminu. B dzie to kilka przyk adowych pyta i jedna symulacja, tak aby mo na by o sizapozna ze specyfik testu. Je li uznasz, e nie potrzebujesz wst pu, mo esz w ka dejchwili go zako czy i rozpocz w a ciwy egzamin.

Oto rodzaj i zakres pyta , z jakimi si spotkasz:

pytania wielokrotnego wyboru (ang. multiple choice);

pytania z jedn poprawn odpowiedzi (ang. single choice);

pytania typu „przeci gnij i upu ” (ang. drag and drop);

wype nianie luk (ang. filling gaps);

symulacje (ang. simulations).





Pytania wielokrotnego wyboru charakteryzuj si tym, e w ród zaproponowanychodpowiedzi musisz wybra kilka prawid owych. W nawiasie podana jest liczba popraw-nych odpowiedzi; je li zaznaczysz mniej lub wi cej, system poinformuje Ci o tym.

Pytania jednokrotnego wyboru zawieraj tylko jedn poprawn odpowied i nie ma w nichmo liwo ci zaznaczenia kilku odpowiedzi.

W pytaniach typu „przeci gnij i upu ” musisz przeci gn odpowiedzi w odpowiedniemiejsca.

Wype nianie luk to rodzaj pytania, w którym odpowied musisz wpisa w okre lonepole, na przyk ad: „W bia e pole wpisz wynik dodawania 2 + 3”. Wtedy w wolnympolu wpisujesz prawid ow odpowied , w tym przypadku 5.

Z ca ego egzaminu najbardziej rozbudowanymi pytaniami s symulacje. Jest ich kilkarodzajów. W innych pytaniach b dziesz mie mo liwo zalogowania si do routerai na podstawie dost pnych polece b dziesz uzupe nia rysunek lub wykonywa czyn-no ci zabezpieczaj ce.

Pytania oparte na symulacji nie s trudne, wymagaj jednak szybkich odpowiedzi zewzgl du na czas i liczb czynno ci do wykonania. Po kilku wykonanych w domuwiczeniach i scenariuszach (które mo esz sobie dowolnie wymy la ) dojdziesz do

takiej wprawy, e nie b dziesz si zastanawia nad wykonaniem wiczenia, tylko poprostu odpowiedzi same b d przychodzi y. Praktyka czyni mistrza — to powiedzenieprzecie znasz.

Po udzieleniu odpowiedzi na wszystkie pytania i klikni ciu przycisku END musiszodczeka oko o 30 sekund na podliczenie i wy wietlenie na ekranie monitora wynikuegzaminu. B dzie to najd u sze 30 sekund w Twoim yciu. No i tylko dwie mo liwo ci:ZDANE (ang. PASSED) albo NIEZDANE (ang. FAILED).

Historia bezpiecze stwa sieciBezpiecze stwo sieci komputerowych to bardzo z o ony temat. Przede wszystkimjest to umiej tno . Umiej tno spogl dania w przysz o i my lenia jak potencjalnyw amywacz. Cz sto eby dobrze zabezpieczy stacj robocz , warto samemu spróbowasi do niej w ama . Pomy le , co si stanie, je li kto j teraz ukradnie, czy dane sbezpieczne, jak je zabezpieczy .

Obecnie bezpiecze stwo sieci komputerowych stanowi jeden z najwa niejszych pro-blemów i wyzwa , przed jakimi stoi administrator.

Kiedy bezpiecze stwo danych wygl da o zupe nie inaczej i opiera o si na zapewnieniubezpiecze stwa g ównie fizycznego. Wi kszo danych znajdowa a si bowiem napapierze i chowana by a w szafie. Obecnie odwróci o si to o 180 stopni.





Mamy do czynienia z coraz wi ksz cyfryzacj ró nego rodzaju danych. Staj si wi cone podatne na przechwycenie lub skasowanie. Zapewne za kilkana cie lat wykasowanieczyjej to samo ci z systemu stanie si bardziej realne. Czyli to, co teraz mo emy ogl -da jedynie w filmach science fiction, zamieni si w rzeczywisto .

Praktycznie od momentu powstania komputerów mamy do czynienia równie z wiru-sami komputerowymi, czyli realnym niebezpiecze stwem dla danych na nich umiesz-czonych. W latach siedemdziesi tych ubieg ego wieku powsta y bowiem pierwszeprogramy, które potrafi y samodzielnie si kopiowa . Nie by y to jeszcze wirusy, ale ichzapowied . Kilka lat pó niej na komputerach Apple’a pojawi si wirus o nazwie ElkCloner, powoduj cy wy wietlenie komunikatu. Pó niejsze lata to pierwszy wirus, któ-rego celem by y komputery IBM: Brain infekowa dyskietki i równie wy wietlakomunikat. Potem by o ju tylko gorzej…

Pierwszy wirus zosta nazwany Melissa i powsta w 1999 roku. Napisa go programistaze Stanów Zjednoczonych David Smith. Wirus zosta rozpropagowany jako za cznikdo wiadomo ci e-mail i powodowa przepe nianie pami ci serwerów pocztowych. Dzia-a na tej zasadzie, e wybiera 50 pierwszych odbiorców z ksi ki adresowej programu

Outlook i rozsy a si dalej, powoduj c przeci enia systemów pocztowych.

Warto równie wspomnie o wirusie ILOVEYOU, który zainfekowa kilkaset tysi cykomputerów, a szacowane straty to kilkana cie milionów dolarów. Istot jego dzia aniaby o replikowanie si do wszystkich u ytkowników ksi ki adresowej i rozsy anie sidalej. Nazwa wirusa widnia a w temacie ka dej przesy anej wiadomo ci. Wirusem, któryrównie zapisa si niechlubnie w historii, by MyDoom, dzia aj cy podobnie jakILOVEYOU. Umieszczony w za czniku wiadomo ci, powodowa swoje dalsze rozsy-anie i w konsekwencji spowalnianie dzia ania internetu.

Oczywi cie w miar up ywu czasu i pojawiania si nowych technologii, takich jakJava, ActiveX czy SQL, powstawa o coraz wi cej wirusów, robaków i koni troja skich.Powstawa y równie firmy zajmuj ce si ochron przed z o liwym oprogramowaniem.

Wirusy to jednak nie jedyny temat zwi zany z bezpiecze stwem sieci. W miar roz-woju sieci komputerowych i sieci internet mo liwo ci ataków si poszerza y. Siecikomputerowe zacz y si czy , a to umo liwia o rozpocz cie zdalnych ataków. Nasta awi c nowa era i pojawi y si nowe mo liwo ci w ama do sieci komputerowych.

W amania te mia y ró ne konsekwencje, a najpowa niejsze w skutkach by y mi dzyinnymi ataki z 2005 roku na instytucje obs uguj ce p atno ci elektroniczne. Hakerzyw amali si wtedy do baz danych za pomoc kodu SQL i wyciek y dane kilku milionówu ytkowników kart kredytowych. Natomiast w 2009 roku mia miejsce atak chi skichhakerów polegaj cy na w amaniach do firm takich jak Google, Yahoo i Microsoftw 2009 roku w celu dokonania kradzie y danych osobowych.

Wielki problem stanowi równie brak mechanizmów obrony sieci firmowej od we-wn trz i ochrona danych przed nieuczciwymi pracownikami. W dziedzinie ochronydanych wewn trz firmy znacz cy wp yw mia o wprowadzenie systemu zwanego In-trusion Detection System (IDS), który umo liwia wykrywanie okre lonych rodzajówruchu, które zosta y zdefiniowane we wzorcach.





Zatem w pierwszej kolejno ci nale a o opracowa sygnatury ruchu, który jest uwa anyza poprawny. Podczas dzia ania systemu IDS mo na wyró ni trzy g ówne komponenty:sensory, modu zarz dzaj cy i konsola.

Sensor to rodzaj aplikacji monitoruj cej ruch i wyst puj cej w ró nych cz ciach sieci.Ka dy sensor przesy a swoje dane do modu u zarz dzaj cego, który ma zainstalowanesygnatury okre lonego (poprawnego) dzia ania. Sensory odpowiedzialne s wi c za mo-nitorowanie ruchu i sprawdzane go z istniej cymi sygnaturami. Je li rodzaj przesy anegoruchu nie pasuje do sygnatur, wówczas w cza si alarm.

Trzeba pami ta , e dzia anie systemów IDS by o oparte g ównie na analizie zdarzepost factum, co oznacza, e nie blokowa y one ruchu przed atakiem, ale podnosi y alarmpo ataku.

Trzeci komponent systemów IDS, czyli konsola, s u y do konfiguracji sensorów.

To w a nie ograniczenie spowodowane brakiem ochrony w czasie rzeczywistym by opowodem opracowania rozbudowanej wersji systemu ochrony sieci. Mowa tutaj o In-trusion Prevention System (IPS). Jest to system wykrywania i blokowania zagro e . DoIPS jeszcze wrócimy w dalszej cz ci ksi ki.

Pami taj na tym etapie o tym, e je li sie ma by w stu procentach bezpieczna, totrzeba j po prostu wy czy . Mo e wydawa Ci si to dziwne, ale tak naprawd wszel-kie zabiegi maj ce na celu zabezpieczenie sieci nigdy nie b d w stu procentach sku-teczne. Zawsze istnieje bowiem ryzyko, e o czym zapomnia e lub kto u y nowejtechniki do w amania. Wszystkie czynno ci opisane w tej ksi ce obni aj jedynieryzyko w amania, nigdy jednak nie s w stanie zupe nie go wyeliminowa .

Bezpiecze stwo sieci i zarz dzanie nimZarz dzanie bezpiecze stwem to wiele czynno ci i celów. Przede wszystkim nale yzapewni poufno przesy anych danych (ang. confidentiality). Zapewnienie poufno ciprzesy anych danych to podj cie takich kroków, które uniemo liwi innym osobomuzyskanie dost pu do tych danych i poznanie ich zawarto ci. Typowym przyk ademjest zastosowanie szyfrowania.

Kolejnym celem jest zachowanie integralno ci danych (ang. integrity). Jest to pew-no , e dane od miejsca wys ania do miejsca docelowego nie zostan przez kogozmienione. Wyobra sobie sytuacj , w której piszesz do kogo wiadomo i nagle siokazuje, e odbiorca otrzymuje sfabrykowanego maila. Oczywi cie skutki mog ybyby op akane.

Trzecim wa nym celem jest dost pno (ang. availability), nie mniej wa na ni inte-gralno i poufno . Bo co to za sie , je li nie mo na z niej skorzysta ? Co to za ad-ministrator, je li na to pozwala? Sie musi by dost pna i niewa ne, czy jest atakowana,czy nie, musi dzia a .





Oczywi cie powy sze cele to jedynie wst p do do rozbudowanej teorii bezpiecze stwasieci. Twoim wrogiem w ich realizacji b d wszelkiego rodzaju zagro enia i niebez-piecze stwa, które równie mo na dla u atwienia zrozumienia ich dzia ania podzieli .

I tak zagro enia sieci mo na podzieli na external threat, czyli spoza sieci, i internalthreat, czyli zagro enia pochodz ce z sieci wewn trznej.

Trzeba przyzna , e zagro enia z sieci s znacznie bardziej niebezpieczne. W tymprzypadku potencjalny w amywacz lub z odziej jest ju bowiem w Twojej sieci i mado niej dost p. Natomiast osoby próbuj ce prze ama zabezpieczenia sieci okre la simianem hakerów.

Oczywi cie tak jak z odziei mo na podzieli na takich, którzy kradn jab ka od prze-kupki na targu, i na takich, którzy napadaj na banki, tak i w ród hakerów s tacy,którzy tylko amatorsko korzystaj z gotowych programów, nie zacieraj c za sob la-dów, i jedynie próbuj u ywa ogólnodost pnych technologii, i tacy specjali ci, którzyznaj systemy komputerowe bardzo dog bnie i wykorzystuj ró nego rodzaju znale-zione w nich luki, aby przej nad nimi kontrol . Sam sposób w amania zale y jednakod wielu czynników. Mo e to by podejrzenie has a dost pu przez rami , a mo e toby bardzo skomplikowany atak programistyczny.

Warto w tym miejscu wspomnie , e tak szeroki temat, jakim jest bezpiecze stwosieci, wymaga rozleg ej wiedzy i sporych umiej tno ci. Ta rozbudowana tematyka corazcz ciej powoduje wyodr bnianie specjalizacji w zakresie bezpiecze stwa sieciowego.To w a nie dzi ki temu mo esz zaobserwowa na rynku pracy oferty przeznaczone dlatakich specjalistów jak network security engineer (in ynier bezpiecze stwa sieci), infor-mation security analyst (analityk systemów bezpiecze stwa), network security specialist(specjalista bezpiecze stwa sieci), network security administrator (administrator bezpie-cze stwa sieci) czy network security architect (architekt bezpiecze stwa sieci).

Wszystkie te specjalizacje nastawione s na tematyk zwi zan z bezpiecze stwemsieci, a wyodr bnienie specjalizacji powoduje, e specjalista powinien zna si nawszystkich, ale specjalizowa si w jednej konkretnej. Dzi ki temu przy ogromie in-formacji i zachodz cych w b yskawicznym tempie zmianach b dzie móg skupi si naswojej tematyce i by na bie co ze wszystkimi trendami.

Organizacje zwi zane z bezpiecze stwem

Wiedz z zakresu bezpiecze stwa sieci mo esz czerpa z ksi ek takich jak ta lub zainte-resowa si ró nego rodzaju materia ami publikowanymi na stronach organizacji naco dzie zajmuj cych si bezpiecze stwem teleinformatycznym.

Jedn z organizacji zajmuj cych si bezpiecze stwem sieci jest SANS. Zajmuje si onaorganizowaniem bada i prowadzeniem szeroko poj tej edukacji obecnych i przysz ychspecjalistów w dziedzinie bezpiecze stwa informatycznego. Organizacja nie skupiasi jedynie na bezpiecze stwie sieci, ale na znacznie szerszym poj ciu, jakim jest bezpie-cze stwo informatyczne.





SANS powsta w 1989 roku i wyszkoli setki audytorów i specjalistów w zakresie bez-piecze stwa. Organizacja oferuje program studiów, egzaminy certyfikuj ce i ró negorodzaju kursy. Prowadzi równie badania nad bezpiecze stwem informacji i publikujerozmaite artyku y zwi zane z bezpiecze stwem. Strona organizacji znajduje si podadresem www.sans.org.

Najbardziej znan organizacj tego typu jest powo any w 1988 roku CERT (Compu-ter Emergency Response Team). G ównym celem jego powstania by o sta e nadzoro-wanie ruchu internetowego i przeciwdzia anie ró nego rodzaju zmasowanym atakomw razie ich wyst pienia. Organizacja ta zajmuje si opracowywaniem metod i technologiizapobiegaj cych zagro eniom cybernetycznym, przeprowadza wiele bada w zakresiebezpiecze stwa sieci internetowej, rejestruje i obs uguje zdarzenia bezpiecze stwa siecioraz nieustannie rozwija narz dzia do wykrywania i analizy zagro e . Strona organizacjiznajduje si pod adresem www.cert.org.

Ogromny wk ad w bezpiecze stwo sieci ma tak e ISO (International Organization forStandardization), czyli Mi dzynarodowa Organizacja Normalizacyjna, która powsta aw 1946 roku w Londynie. Organizacja ta 17 wrze nia 2007 roku opublikowa a normISO/IEC27002, w której znalaz o si kilka dziedzin zwi zanych z zapewnieniem bez-piecze stwa teleinformatycznego sieci komputerowych. Wi cej na temat tej normy mo-esz przeczyta na stronie http://www.iso27001security.com/html/27002.html. W niniej-

szej ksi ce chcia bym si skupi jedynie na dwóch dziedzinach z tej normy, moimzdaniem najwa niejszych, a mianowicie na zarz dzaniu ryzykiem (ang. risk assessment)i polityce bezpiecze stwa (ang. security policy).

Zarz dzenie ryzykiem i analiza ryzyka

Je li chodzi o aspekt teoretyczny zagadnie zwi zanych z zarz dzaniem ryzykiem czyanaliz ryzyka, istnieje wiele opracowa , które zawieraj ogrom teoretycznych opisówi schematów. Chcia bym je pomin i skupi si na praktycznym podej ciu do tego te-matu. Zacznijmy od tego, e ryzyko wyst puje zawsze i wsz dzie — to tak jak strach.

Strach towarzyszy nam w ci gu ca ego naszego ycia. Jest to naturalne, a nawet dobre.Nienaturalne jest natomiast uleganie mu lub pozwolenie na to, aby nas parali owa . Oczy-wi cie strachu nie mo na lekcewa y , poniewa jest strach, który chroni nasze ycie.

Podobnie jest z ryzykiem. Pod czaj c urz dzenie do sieci publicznej, musisz liczy siz tym, e Twoje dane trafi w niepowo ane r ce i zostan skradzione lub zniszczone.Mo na st d wyci gn wniosek, e skoro pod czenie komputera do sieci niesie ze sobryzyko utraty danych, to nie nale y go pod cza . S usznie, zawsze mo esz tak zro-bi , ale taki sposób my lenia spowodowa by, e internet przesta by istnie . Tak wi cpod czasz komputer do sieci, bo chcesz z niej korzysta . Wiesz o ryzyku zwi zanymz tym dzia aniem, wiadomie jednak na nie si decydujesz.

Co jeszcze robisz? Minimalizujesz ryzyko, zabezpieczaj c komputer programem an-tywirusowym, firewallem oraz innym oprogramowaniem, które ma zabezpieczy Twojsie . Sam zatem nara asz si na niebezpiecze stwo, a potem tylko minimalizujesz ry-zyko. W tych kilku liniach tekstu zawarta jest teoria tego, co nazywamy analiz ryzykai zarz dzaniem ryzykiem.




SkorowidzA

AAA, authentication, authorization, accounting, 76ACL, Access Control List, 193

konfiguracja list rozszerzonych, 207konfiguracja list standardowych, 195przypisanie do interfejsu, 203przypisywanie do linii wirtualnych, 206wstawianie komentarzy, 199wykorzystanie grup, 328

ACS, Access Control System, 94Common Tasks, 102dodawanie urz dzenia, 99instalacja, 94, 95konfiguracja, 96tworzenie u ytkownika, 100uwierzytelnienie TACACS+, 99

ActiveX, 447adres

global, 224IPv4, 128IPv6, 223link-local, 224loopback, 224MAC, 124MAC multicast, 123multicast, 224unspecified, 224

agenty SNMP, 457AIM, Advanced Integration Modules, 387akcja dla sygnatury, 358, 374alarmy, 357

fa szywe, 343prawdziwe, 344

algorytmAES, 391drzewa rozpinaj cego, 164

alias, 38

analizaruchu, 342

anomaly-based, 343honeypot detection, 343policy-based, 343signature-based, 343

ryzyka, 17aplet U ytkownicy, 483ARP, Address Resolution Protocol, 123ARP spoofing, 178ASA, Adaptive Security Appliance, 267

aktualizacja oprogramowania, 313dost p do urz dzenia, 323, 325funkcje, 268grupy obiektów, 315implementacja VPN remote access, 422implementacja VPN site-to-site, 416konfiguracja dost pu, 323konfiguracja przez CLI, 270konfiguracja urz dzenia, 287konsola, 336listy ACL, 318monitorowanie urz dzenia, 330obiekty, 315pod czenie do sieci, 277projekt sieci, 335reset has a, 286reset ustawie , 286serwer DHCP, 280wgranie oprogramowania, 284, 285zaawansowane ustawienia, 334zmiana ustawie , 271

ASDM, 287aktualizacja oprogramowania ASA, 313implementacja VPN remote access, 422implementacja VPN site-to-site, 416instalacja, 289





ASDMkonfiguracja interfejsów, 307konfiguracja PAT, 312konfigurowanie regu ACL, 320kreator konfiguracji, 295logowanie, 325menu Configuration, 292menu górne, 293menu programu, 290monitorowanie urz dzenia ASA, 330ustawienia czasu, 310ustawienia fabryczne, 294zarz dzanie has ami, 304zarz dzanie u ytkownikami, 304

atakARP spoofing, 178Buffer overflow attack, 23Claiming Root Role, 176DTP, 158man-in-the-middle, 23, 385na root bridge, 175na sie chronion przez IPS, 353na STP, 174Passwords attack, 22Smurf attack, 23SYN_flood, 369Trust exploitation attack, 23typu rekonesans, 22VLAN hooping, 157

audyt bezpiecze stwa urz dzenia, 113authenticator, 81autokonfiguracja zabezpiecze , 26automatyczna konfiguracja sieci przewodowej, 496autoryzacja, authorization, 76, 108

Bbaner informuj cy, 44banner motd, 36bezpiecze stwo sieci, 9, 13, 15blokowanie, blocking, 172BPDU, Bridge Protocol Data Units, 164BPDU guard, 176broadcast storm, 163burza rozg oszeniowa, 163

CC3PL, 263CBAC, Context Based Access Control, 242CCNA Security, 11CCP, Cisco Configuration Professional, 29, 55

funkcja one-step lockdown, 116funkcja perform security audit, 113

implementacja VPN site-to-site, 399instalacja, 71konfiguracja firewalla, 246, 251konfiguracja IPS, 362konfiguracja syslog, 455, 456konfiguracja zabezpiecze , 74modyfikacja sygnatur, 372monitorowanie urz dzenia, 74okno g ówne, 71, 73opcja Security Audit, 110pierwsze uruchomienie, 71standardowe listy, 199

CCP Express, 56, 68cele ataku, 182certyfikacja, 10certyfikat, 424

serwera, 437character mode, 76Cisco

AnyConnect, 445ASA, 267ASA 5505, 268ASDM, 287Secure ACS, 94Switched Port Analyzer, 187

class map, 26, 27CLI, 31, 270

dezaktywacja sygnatur, 361implementacja VPN site-to-site, 389konfiguracja IPS, 345konfiguracja SNMPv3, 458konfiguracja urz dzenia ASA, 270ustawienie akcji, 358

CoPP, Control Plane Policing, 26

DDAD, Duplicate Address Detection, 225Data Plane, 26detekcja ruchu, 343dezaktywacja sygnatur IPS, 361DHCP, 67

Discover, 128, 133Offer, 128Request, 128snooping, 128, 132, 191

dodawanieprzystawki, 477regu y, 200, 254roli, 467ról, 468urz dzenia, 461u ytkownika do grupy, 486




Skorowidz 505

dost pdo ASA, 275, 323, 325do logowania, 88do routera, 110do sieci VPN, 387do trybu uprzywilejowanego, 52przez klienta VPN, 434przez przegl dark , 425

dzia aniefirewalla, 233SSL/TLS, 423STP, 164systemów IPS, 339tunelu VPN, 407ZBF, 260

dziennik zdarze , 499

EEdge router, 31edycja

par stref, 259regu y, 253stref, 257ZBF, 251zone pairs, 258

egzamin, 10, 12ekran powitalny ASDM, 274eksport certyfikatu, 479

Ffiltrowanie pakietów, 244firewall, 233, 267

sprz towy, 32firma

Cisco, 9QNAP, 80

format eksportu certyfikatu, 481forwarding, 172funkcja

autouruchamiania interfejsu, 147Dynamic ARP Inspection, 184one-step lockdown, 116perform security audit, 113RiskRating, 375Storm Control, 186

funkcje urz dzenia ASA, 268funkcjonalno BPDU Guard, 162

Ggenerowanie

certyfikatu, 438klucza, 49

GNS3dodawanie urz dzenia, 63

czenie wirtualnych stacji, 60obszar roboczy, 58projekt sieci, 66uruchomienie maszyny wirtualnej, 60urz dzenia ASA, 331ustawienia, 56wykorzystanie VirtualBox, 59zmiana ustawie , 63

graficzny interfejs u ytkownika, GUI, 55GRE, Generic Routing Encapsulation, 408grupa

administratorów, 329obiektów, 315u ytkowników, 330

GUI, graphical user interface, 55

Hhas o

trybu uprzywilejowanego, 36u ytkownika, 485

historia bezpiecze stwa sieci, 13HMAC, Hashed Message Authentication Code, 385

IIdle PC, 65IKE, 419implementacja

VPN remote access, 422VPN site-to-site, 389, 399, 416

implementowanie listy, 202import certyfikatu, 446informacje o IPv6, 221instalacja

ACS, 95ASDM, 289ról serwera, 476

instalatorAnyConnect, 440Cisco AnyConnect, 447

integralno danych, 383IOS, 62, 233, 345, 362IPS, Intrusion Prevention System, 339

konfiguracja parametrów, 368konfiguracja przez CCP, 362konfiguracja przez CLI, 345





IPS, Intrusion Prevention Systemkreator konfiguracji, 363monitoring, 376

IPv6, 221istotno alarmu, 357

KKali Linux, 126kierunek stref, 258klawisze skrótu Ctrl+Break, 54klient

RADIUS, 490, 492VPN, 434

klucz, 365prywatny, 386publiczny, 48, 386tajny, 387

komenda, Patrz poleceniekomunikat Bad secrets, 52konfiguracja

802.1x, 467ACS, 96bazy danych certyfikatów, 475CBAC, 243CCP, 70CCP Express, 56dost pu przez klienta VPN, 434dost pu przez przegl dark , 425elementów kontroli ruchu w sieci, 491firewalla, 251IKE Phase 1, 390, 393interfejsów, 307interfejsu, 401interfejsu routera, 223interfejsu zewn trznego, 278IPS, 345, 348, 362klucza prywatnego, 472kryptografii, 473linku, 431lokalnych trybów pracy, 118metod uwierzytelniania, 88, 490NAT, 249NAT dynamicznego, 284NAT statycznego, 283nazwy urz du certyfikacji, 473parametrów IPS, 368PAT, 282, 312po czenia 802.1X, 488Port Security, 136, 137profilu po czenia, 444programu GNS3, 56PRTG, 460prze cznika, 494

przystawki certyfikatów, 478regu ACL, 320routera, 89, 103routera do pracy z TACACS+, 103, 105rozszerzonych list ACL, 207serwera DHCP, 311sieci przewodowej, 496SNMP, 462SNMPv3, 458SSH, 49stacji roboczej, 495sygnatur, 373syslog, 456tunelu GRE, 409uwierzytelniania, 401VPN, 396ZBF, 264

konsola MMC, 476konto u ytkownika, 40ko troja ski, trojan horse, 22koszty tras, 169kreator

dodawania ról, 81konfiguracji GRE, 409konfiguracji IPS, 363po czenia VPN, 426

kryptografia, 379

Llearning, 172linia

aux, line aux, 33konsolowa, 110konsolowa, line console, 33wirtualna, line vty, 33

listadost pu, 43hostów, 182linków, 431sesji, 262zak adek, 430

listening, 172listy

ACL, 318ACL w sieci IPv4, 193ACL w sieci IPv6, 221, 227rozszerzone ACL, 207standardowe ACL, 195

logi, 91systemowe, 452

logowaniedo ACS, 97do routera, 45




Skorowidz 507

do sieci, 498do sieci VPN, 433z wykorzystaniem grupy VPN, 446zdarze , 451

lokalnabaza, 31baza hase , 32, 45

lokalnetryby pracy, 118zabezpieczenie urz dze , 31

adowanie sygnatur, 351

Mmechanizm CSMA/CD, 121metoda

asymetryczna, 382HMAC, 385symetryczna, 381

metody ochrony, 189MIB, Management Information Base, 457Microsoft Server 2008R2, 80model

AAA, 76ISO OSI, 121

modyfikacjalisty ACL, 368sygnatur, 372ramki, 161

monitoring IPS, 376monitorowanie

urz dzenia, 74urz dzenia ASA, 330zdarze , 344

NNAC, Network Admission Control, 189naprawa problemów, 115narz dzie

Nmap, 354Packet Tracer, 303Ping, 301Traceroute, 302

NAS, Network Attached Storage, 80nas uchiwanie, 172NAT, Network Address Translation, 235, 442NAT w IPv4, 235nazwa zasady, 86ND, Neighbour discovery, 224

negocjacja ustawie , 388NFP, Network Foundation Protection, 24niezaufane po czenie, 50niezaufany certyfikat wydawcy, 447NTP, Network Time Protocol, 464

Oobiekty, 315obs uga

logów systemowych, 452sygnatur, 366

obszar roboczy GNS3, 58ochrona infrastruktury sieciowej, NFP, 24okno

Add a Rule, 255, 256Add AAA Server, 107Add Network Object, 317Add Target Value Rating, 375Add Traffic, 255Additional Tasks, 257Administrative Access, 300AnyConnect Client Deployment, 443Attacks list, 130Authentication, 411Basic Configuration, 296Choose attack, 130Client Images, 440Deliver Configuration to Device, 75, 107, 115,

202, 250, 367, 403, 414dodawania przystawki, 477Edit VTY Lines, 109edycji policy maps, 263edycji regu y, 253Eksportowanie klucza prywatnego, 480File Management, 313Follow TCP Stream, 46, 47, 50g ówne CCP, 71g ówne PRTG, 460GRE Tunnel Information, 410Grupy u ytkowników, 86informacyjne Cisco CP Warning, 117Information, 327Interface IP Address Configuration, 298Introduction, 417Java Control Panel, 445konfiguracji linku, 431konfiguracji NAT i PAT, 313konfiguracji sygnatur, 373konfiguracji VPN, 400Konfigurator urz dzenia, 64Konfigurowanie bazy danych certyfikatów, 475Konfigurowanie klucza prywatnego, 472Konfigurowanie kryptografii, 473





oknoKonfigurowanie nazwy urz du certyfikacji, 473Kreator dodawania ról, 81logowania, 433logowania do routera, 68logowania do sieci, 498Manage Identity Certificates, 437Mened er serwera, 81, 82NAT, 238NAT Exempt, 420New IOS router template, 63Okre lanie grup u ytkowników, 491Okre lanie prze czników 802.1X, 489Okre lanie typu instalacji, 471Okre lanie typu urz du certyfikacji, 472podsumowania konfiguracji, 414Potwierdzanie opcji instalacji, 475powitalne kreatora eksportu, 480przegl dania raportów, 104PuTTY Security Alert, 49Select Bookmark Type, 430Select Routing Protocol, 413Serwer zasad sieciowych, 487Sessions, 449Signature Compilation Status, 374Signature File and Public Key, 364Site-to-Site VPN, 400Summary, 366Summary of the Configuration, 403Targets, 183Test AAA Server, 327testowania tunelu VPN, 406Traffic to protect, 403, 418Transform Set, 403, 412Ustawianie okresu wa no ci, 474ustawie globalnych, 369W a ciwo ci zdarzenia, 500Wybieranie komputera, 478Wybieranie us ug ról, 470wyboru ataku, 175wyboru interfejsów, 247, 364wyboru interfejsu, 181wyboru peera, 418wyboru poziomu zabezpiecze , 248Wybrane przystawki, 478wydajno ci routera, 70zarz dzania grup urz dze , 72Zasady da po cze , 493

opcjaScan for Hosts, 181Security Audit, 110

organizacjaISO, 17CERT, 17SANS, 16

Ppacket mode, 77PAT, Port Address Translation, 236, 282PCP, Payload Compression Protocol, 228p tla, 163podgl d

przechwyconej zawarto ci, 51uwierzytelnienia, 92

pod czenie do sieci, 495podpis elektroniczny, 386podsumowanie konfiguracji, 404, 414, 420, 432polecenie

aaa authentication login, 103, 119aaa new-model, 103, 118apt-get install isc-dhcp-server, 134authentication, 391auto secure, 110banner motd, 37, 44block-for, 42category, 349category all, 349clock set, 464configure terminal, 33confreg 0x2142, 52copy, 351copy startup-cunfig running-config, 53crypto isakmp policy, 391crypto map, 393debug aaa authentication, 91disable, 37enable secret ?, 37enable view, 119encryption, 391exec-timeout, 40exit, 34, 349hash, 391hostname, 48idconf, 351ip access-group, 240ip dhcp snooping, 132ip dhcp snooping trust, 132ip http secure-server, 74ip ips, 350ip ips config location, 346ip ips name, 347ip ips notify log, 347ip ips notify sdee, 347ip sdee subscriptions 2, 347ip ssh version 2, 49line console, 33logging, 347logging host, 454logging on, 454




Skorowidz 509

logging source-interface, 454logging trap, 454login, 34login delay, 42login local, 40login quiet-mode access-class, 44name, 151nmap, 354no service password-recovery, 54ping, 38qemu-img create, 332remark, 43retired false, 350security password min-length, 40service password-encryption, 35show crypto ipsec sa, 397show crypto isakmp peers, 395, 398show crypto isakmp sa, 394, 397show crypto map, 394show ip, 118show ip dhcp binding, 129, 131, 185show ip ips signature count, 352show ip route, 38show ips signatures count, 350show login failures, 43show monitor session, 188show parser view, 119show port-security, 143, 144show privilege, 38show processes cpu utilization, 175show running-config, 34, 120show secure bootset, 54show snmp, 459show spanning-tree, 164, 165, 167show spanning-tree summary, 165show vlan, 151shutdown, 133switchport mode access, 152switchport trunk allowed vlan, 156transport input ssh, 49username, 39username test password test, 41vlan, 151who, 40

policy map, 26, 27polityka bezpiecze stwa, 19po czenia TRUNK, 153po czenie

802.1X, 488do routera, 51VPN site-to-site, 392, 422z serwerem RADIUS, 499z VPN przez Cisco AnyConnect, 445

port g ówny, 168

Port Security, 134, 147PortFast, 172POST, Power On Self Test, 270potwierdzanie opcji instalacji, 475proces EUI-64 i DAD, 225program

3CDaemon, 453ASDM, 287CCP, 29CCP Express, 69ettercap, 181GNS, 56GNS3, 28, 56, 331Kali Linux, 126KALI LINUX, 29PRTG, 460PuTTY, 45VirtualBox, 59, 29VMware, 29Wireshark, 45, 92, 160Yersinia, 133

projekt sieci, 66protoko y

hashuj ce, 380IPsec, 380negocjacyjne, 380ochrony procesu wymiany kluczy, 380szyfrowania, 380

protokóAHP, 227ARP, 123EAP, 497ESP, 227ICMP, 27, 228, 241IP, 228IKE, 388NTP, 464OSPF, 310PCP, 228RADIUS, 79SDEE, 343SHA, 387SNMP, 456STP, 162TACACS+, 93

przechwyconakomunikacja, 189sesja logowania, 425

przechwycone ramki, 399przechwycony atak, 184przechwytywanie pakietów, 45przegl danie

logów, 91raportów, 104





przegl darka, 425przekazywanie informacji, 172, 451prze cznik, 124, 494

Cisco, 29przycisk

Crack Password, 35Launch attack, 130

przypisanie akcji do sygnatury, 374PSK, preshared key, 387PVST, Per-VLAN Spanning Tree, 165pytania egzaminacyjne, 12

RRADIUS, 79, 466

instalacja, 80konfiguracja routera, 89konfigurowanie metod uwierzytelniania, 88tworzenie klienta, 82tworzenie u ytkownika, 89tworzenie zasady, 86tworzenie zasady po cze , 83uwierzytelnianie, 81wybieranie atrybutu, 85

ramkaBPDU, 164, 174DTP, 159ethernetowa, 122

ramki dotycz ce uwierzytelnienia, 92raportowanie, accounting, 76, 77, 451rejestracja serwera zasad sieciowych, 487rekonesans, 22

Nmap, 356rekonfiguracja listy, 368robak, worm, 21rodzaje

adresów IPv6, 224ataków, 22list ACL, 194niebezpiecze stw, 21pyta , 12

rolaUs ugi certyfikatów, 468Us ugi zasad i dost pu sieciowego, 468

root bridge, 167root port, 168router, 65

brzegowy, 31routing statyczny, 310rozszerzona lista dost pu, 27ruch VOIP, 248ryzyko, 17

SSDEE, Security Device Event Exchange, 343sensor IPS, 342, 345service policy, 27serwer

ACS, 97DHCP, 67, 280, 311Microsoft Server 2008R2, 80NAS, 434NTP, 464RADIUS, 80syslog, 453, 454, 455TACACS+, 323TFTP, 285VPN, 387zasad sieciowych, 81, 487, 488

sieIPv4, 193LAN, 188VLAN, 148VPN, 386z IPS, 345

SLAAC, 226SNMP, 456, 457specyfikacja RFC4250-RFC4254, 47SPI, Stateful Packet Inspection, 239sprawdzanie bezpiecze stwa SSH, 50SSH, secure shell, 45, 51, 275SSL, Secure Socket Layer, 423SSL handshake, 424stan

blocking, 172forwarding, 172learning, 172listening, 172

standard IEEE 802.1Q, 148status po czenia VPN, 448statusy STP, 172statystyki dzia ania ZBF, 260STP, Spanning Tree Protocol, 162strefa, 244

DMZ, 247supplicant, 81sygnatura

enabled, 348retired false, 348

sygnaturyatomic, 344composite, 344funkcja RiskRating, 375ustawienie akcji, 358

systemy IPS, 339szacowanie ryzyka, 357




Skorowidz 511

szyfrowanie, 379, 380metoda asymetryczna, 382metoda symetryczna, 381

Ttablica

ARP, 123MAC, 125, 134translacji, 235

TACACS+, 93, 323konfiguracja routera, 103

Telnet, 275testowanie

komunikacji, 301tunelu VPN, 406

translacja, 442trunk, 154tryb

interactive, 110rommon, 53, 54uprzywilejowany, 37uwierzytelniania, 497znakowy, 76

tunelGRE, 408VPN SSL, 423

tworzeniealiasu, 38banera informuj cego, 44crypto map, 393grupy, 100, 484grupy u ytkowników VPN, 429klienta RADIUS, 83listy dost pu, 43listy rozszerzonej, 208menu strony, 429metody autoryzacji, 108metody uwierzytelniania, 108nazwy dla urz dzenia, 333obiektu, 483profilu VPN, 435puli adresów IP, 442trasy statycznej, 413urz dzenia, 333u ytkownika, 39, 89, 100, 306, 441, 484u ytkownika VPN, 428zasady, 86zasady po cze , 83zasady sieciowej, 87

typy list ACL, 319

Uuaktualnienia NTP, 465uczenie si , 172ujawnienie konfiguracji, 52uprawnienia dla grupy, 101uruchamianie

ActiveX, 447alarmu, 357konsoli MMC, 476maszyny wirtualnej, 60serwera RADIUS, 81tunelu GRE, 408

urz dzeniaNAC, 189warstwy 2., 124

urz dzenieASA, 268ASA 5505, 268, 416, 422Cisco ASA, 267IPS, 344

us ugaActive Directory, 80, 468RADIUS, 492syslog, 452

ustawieniaalgorytmu szyfrowania, 402banerów informacyjnych, 305Cisco AnyConnect, 448crypto map, 394czasu, 310globalne IPS, 369IKE, 412NAT, 443TCP\IP, 450

ustawienieakcji dla sygnatury, 358okresu wa no ci, 474zdarze , 455

uwierzytelnienie, authentication, 76, 108, 386, 498802.1x, 465informacji, 26oparte na serwerze, 77RADIUS, 81TACACS+, 99u ytkownika lub komputera, 497

u ytkownik, 39

VVirtualBox, 59VLAN, Virtual LAN, 148VLAN site-to-site, 389





VOIP, 248VPN, Virtual Private Network, 77, 386VPN remote access, 422VPN site-to-site, 389

Wwarstwa 2. modelu ISO OSI, 121warto Idle PC, 65weryfikacja

adresu, 489nazwy, 489

widoki, 118wirtualizacja, 59wirtualna karta pami ci, 66wirus, 21w a ciwo ci

chronionego protoko u EAP, 497klienta RADIUS, 492zdarzenia, 500

w czenie IPS, 345, 362wstawianie komentarzy, 199wybór

adresów, 404akcji, 358algorytmu szyfrowania, 420formatu eksportu certyfikatu, 481interfejsów, 113interfejsu po czeniowego, 435metody ataku, 183metody uwierzytelnienia, 441protoko u, 436roota, 175ról serwera, 81, 468us ug ról, 469wersji IKE, 419

wymiana kluczy, 48wyszukiwanie hostów, 181

Zzabezpieczanie

konfiguracji, 52, 54konta u ytkownika, 40linii, 33routera, 32trybu uprzywilejowanego, 37urz dzenia, 31, 127warstwy 2., 190

zabezpieczenie BPDU guard, 176zak adka

AnyConnect Connection Profiles, 444Authentication Methods, 419Common Tasks, 102Edit IPS, 367IKE Policy, 419IPS Alert Statistics, 377IPSSignature Statistics, 376Syslog Server, 453

zako czenie eksportu, 482zapisywanie konfiguracji, 405zapytanie ARP, 180zarz dzanie

bezpiecze stwem, 15has ami, 304listami ACL, 321ryzykiem, 17u ytkownikami, 304

zasadylokalnego konta, 93

da po cze , 493ZBF, Zone Based Firewalls, 244zdarzenia logowania, 104zmiana has a, 52




http://program-partnerski.helion.pl

Security CCNA 210-260. Zostań administratorem sieci ...

Documents

Transcript of Security CCNA 210-260. Zostań administratorem sieci ...