rzecz, mianowicie: routery na swoich interfejsach nie mogą mieć więcej
niż jeden adres. W przypadku skonfigurowania jednego z protokołów
FHRP, interfejsy będą miały jeszcze jeden komplet z adresu MAC oraz
- IPv4 należące do <strong>wirtualnego
- routera</strong> i to ten adres IPv4 będą miały hosty zapisany jako
- adres
+ IPv4 należące do <strong>wirtualnego routera</strong> i to ten adres
+ IPv4 będą miały hosty zapisany jako adres
bramy. Podczas pracy routery, przesyłają miedzy sobą komunikat, aby
- dać znać, że działają. Wysyłają go co określony okres czasu, jeśli
+ dać znać, że działają. Wysyłają go co określoną ilość czasu, jeśli
przez jakiś określony czas router pasywny nie otrzyma tego pakietu, to
uzna on, że obecne urządzenie aktywne uległo awarii i przejdzie w tryb
aktywny. Do określenia ról routerów w tym protokole wykorzystuje się
<h2 id="2.9.1.hsrpprotocol">2.9.1 Protokół HSRP</h2>
<p>
Protokół HSRP jest zastrzeżoną przez Cisco implementacją
- transparentny tryb <em>failover</em> zapewniający zawsze
+ transparentnego trybu <em>failover</em> zapewniający zawsze
dostęp do routera dla hostów IPv4, po przez przełączanie się pomiedzy
urządzeniem aktywnym, a <em>standby</em>-em. HSRP łączy routery w grupy
i przełącza je w tych grupach, przyczym jeden router może należeć do
wirtualnego routera dla grupy drugiej. Na koniec podajemy priorytet
w sposób jawny, aby nie pozostawiać niczego domysłom. Na drugim
routerze w tej sieci, dokonujemy analogicznej konfiguracji ale dla
- grupy drugiej, jako natywna (R-3 będzie urządzeniem aktywnym w tej
+ grupy drugiej jako natywna (R-3 będzie urządzeniem aktywnym w tej
grupie), natomiast grupe pierwszą wskazujemy jako definicję aby to
urządzenie również było jej <em>członkiem</em>.
</p>
<a href="">Przewodnik konfiguracji HSRP - scenariusz</a><br />
<a href="">Przewodnik konfiguracji HSRP - zadanie</a>
</p>
- <h2 id="ch9summary">Podsumowanie</h2>
+ <h2 id="2.9.summary">Podsumowanie</h2>
<p>
W tym rozdziale zapoznaliśmy z technologią FHRP, poznaliśmy metody
działania jej protokołów oraz ich rodzaje. Omówiliśmy sobie protokół
chcą z niej skorzystać, staje się ona niedostępna.</li>
<li><strong>Naruszenie danych</strong> - tutaj najczęściej padają
ofiarą hosty użytkowników końcowych oraz serwery. Dane z tych
- komputerów mogą zostać skradzone.</li>
+ komputerów mogą zostać skradzione.</li>
<li><strong>Malware</strong> - złośliwe opgrogramowanie dokonujące
lub pozwalające na inne rodzaje ataków.<li>
</ul>
<li><strong>NGFW</strong> - zapora sieciowa nowej generacji. Tak jak
tradycyjne urządzenia filtrują ruch na podstawie informacji
warstwy 3 oraz 4. W przypadku urządzeń nowej generacji filtrowanie
- nieporządanych wiadomości, może odbywać się na pozimie komunikatów
+ nieporządanych wiadomości, może odbywać się na poziomie komunikatów
warstwy aplikacji.</li>
<li><strong>NAC</strong> - urządzenia opowiadające za uwierzytelnianie,
autoryzacje oraz ewidencjonowanie.
pewne obawy co do bezpieczeństwa transmisji jak i samego połączenia.
Istnieje kilka ataków, które mogą zaistnieć w naszej sieci. Działania
te głównie skupiają się wokół przełącznika, a urządzenia Cisco
- posiadają odpowiednie środki zapobiegawcze mogą spowodować, że będą
+ posiadają odpowiednie środki zapobiegawcze mogące spowodować, że będą
one niewrażliwego na te zagrożenia.
</p>
<ul>
<p>
Innym atakiem na sieci VLAN, jest
<strong>atak podwójnego tagowania</strong>, atakujący znając
- identyfikator natywnego VLAN-u, może skomunikować się z dowolnym hostem
- w dowolnym VLAN-ie. Jego zadaniem będzie przygotowanie ramki
+ identyfikator natywnego VLAN-u, może wysłać dane do dowolnym hostem
+ w dowolnym VLAN-ie, powodując np. atak odmowy usługi.
+ Jego zadaniem będzie przygotowanie ramki
zawierającej pole 802.1Q z identyfikatorem natywnego VLAN-u, jak i
drugie pole 802.1Q zawierające identyfikator docelowej sieci VLAN.
Domyślnie natywną siecią VLAN, jest VLAN 1. Natomiast <em>id</em>
Metodą zapobiegawczą dla tego rodzaju zagrożenia, jest uruchomienie
na portach mechnizmu <strong>DHCP Snooping</strong>, pozwala on na
wybranie portu z którego mogą przychodzić odpowiedzi z serwera DHCP
- oraz nałożenie limitów na ilość zapytań. Komunikatów DHCP DISCOVER.
+ oraz nałożenie limitów na ilość zapytań - komunikatów DHCPDISCOVER.
Ciekawym faktem jest to, że uruchomienie tej funkcjonalności pozwala
nam zamienić przełącznik, działający w warstwie 2 w nieco bardziej
inteligente urządzenie, które musi spojrzeć aż do pola danych w
jego otwartego odpowiednika - LLDP
(<em>Link-Layer Discovery Protocol</em>).
</p>
- <h2 id="ch10summary">Podsumowanie</h2>
+ <h2 id="2.10.summary">Podsumowanie</h2>
<p>
W tym rozdziale zapoznaliśmy się koncepcjami bezpieczeństwa warstwy
drugiej. Dowiedzieliśmy się jak są rodzaje ataków i środki zaradcze.
opcji to musimy sobie wyjaśnić pewną rzecz. Domyślnie włączony jest
protokoł DTP, natomiast porty znajdują się w domyślnym stanie
<em>dynamic auto</em>. Zabezpieczenia portu wymagają, aby port był
- portem dostępowym, więc przez uruchomienieniem zabezpieczeńm portów
+ portem dostępowym, więc przed uruchomienieniem zabezpieczeńm portów
musimy przełączyć port w tryb dostępu:
</p>
<pre class="code-block">
<li>Porty z odpowiedzią DHCP uznajemy za zaufane za pomocą polecenia:
<code class="code-inline">ip dhcp snooping trust</code>.</li>
<li>Na portach niezaufanych ustawiamy limit zapytań do DHCP - liczbę
- odebranych komunikatów DHCP DISCOVER na sekundę. Dokonujemy tego
+ odebranych komunikatów DHCPDISCOVER na sekundę. Dokonujemy tego
za pomocą polecenia:
<code class="code-inline">ip dhcp snooping limit rate X</code>, gdzie
<code class="code-inline">X</code> to liczba zapytań.</li>
jako zaufany dla <em>DHCP Snooping</em>-u oraz inspekcji ARP.
</p>
<p>
- Mechanim DAI może zostać również skonfigurowany w taki sposób aby
+ Mechanizm DAI może zostać również skonfigurowany w taki sposób aby
weryfikował adresy przekazywane we wiadomości ARP z adresami zawartymi
w nagłówku ramki <em>Ethernet</em>. Do wyboru mamy takie warunki jak:
</p>
<h2 id="2.11.5.limitingstpattacks">2.11.5. Ograniczanie ataków STP</h2>
<p>
W przypadku ataków STP, atakujący może podłączyć swoje urządzenie i
- wymusić zmianę topologi poprzez wysłanie BPDU z wysokim priorytetem w
+ wymusić zmianę topologii poprzez wysłanie BPDU z wysokim priorytetem w
BID. Ochroną przed tego typu działaniami jest użycie technologii
<strong>PortFast</strong> oraz <strong>BPDU Guard</strong>.
</p>
Total 0 0 0 0 0
</pre>
<p>
- Drguim mechanizm do skonfigurowania jest <em>BPDU Guard</em>. Metoda
+ Drugim mechanizm do skonfigurowania jest <em>BPDU Guard</em>. Metoda
jest taka sama jak w przypadku <em>PortFast</em>, różnią się tylko
polecenia.
</p>
Ponowne włączenie tych protokołów wymaga użycia tych samych poleceń,
ale bez słowa <code class="code-inline">no</code> na początku.
</p>
- <h2 id="ch11summary">Podsumowanie</h2>
+ <h2 id="2.11.summary">Podsumowanie</h2>
<p>
W tym rodziale dowiedzieliśmy się jak możemy skonfigurować Cisco IOS na
przełącznikach, aby zapobiec atakom z poznanym w 10 rozdziale.
<li><strong>Wireless Personal-Area Networks (WPAN)</strong> - Nadajniki
w tej sieci korzystają z niskiej mocy. Zasieg zwykle osiąga od 6 do 9
metrów. Przykładami takich sieci może być technologia
- <strong>Bluetooth</strong> czy <strong>ZigBee</strong>(wykorzystywane
+ <strong>Bluetooth</strong> czy <strong>ZigBee</strong> (wykorzystywane
głównie w IOT). Technologię wykorzystywaną do sieci WPAN opisują
standardy 802.15. Sieci tego typu wykorzystują częstotliwości 2.4GHz.
</li>
w średniej wielkości biurze lub domu. Nie kiedy pochodne komunikacji
tego rodzaju wykorzystywane są do łączenia sieci między budynkami,
czy nieco dłuższe odległości. Sieci WLAN opisują technologie 802.11 i
- korzystają one z ogólno dostępnych pasm 2.4 GHz oraz 5 GHz.</li>
+ korzystają one z ogólnodostępnych pasm 2.4 GHz oraz 5 GHz.</li>
<li><strong>Wireless MANs (WMAN)</strong> - Łączność bezprzewodowa
rozciągająca się na obszarze jednego miasta lub określonej jego
części. Wykorzystuję najczęściej licencjonowane częstotliwości.</li>
komórce. Istnieją dwa rodzaje sieci komórkowej <strong>GSM</strong> -
standard międzynarodowy oraz <strong>CDMA</strong> działający jedynie
w Stanach Zjednoczonych. Obecna dominującą technologią w sieci
- komórkowej jest sieć 4 genracji, jednak już wiele urządzeń korzysta
+ komórkowej jest sieć 4 generacji, jednak już wiele urządzeń korzysta
sieci 5 generacji, pozwalającej na 100 razy szybsze transfery oraz
większą pojemność komórek.</li>
<li><strong>Szerokopasmowe łącza satelitarne</strong> - Tego rodzaju
wymaga licencji,
w którą należy się zaopatrzyć przed uruchomieniem tego protokołu na
AP. DTLS daje dodatkową warstwę ochrony, gdzie tak naprawdę jej nie
- ma. Metody bezpieczeń sieci bezprzewodych tyczą się tylko i wyłącznie
+ ma. Metody zabezpieczeń sieci bezprzewodych tyczą się tylko i wyłącznie
odcinka od klient do punktu dostępowego.
</p>
<p>
<strong>uwierzytelnianie systemu otwartego</strong>, ta metoda to
tak naprawdę jego brak. Klikamy nazwę sieci i jesteśmy podłączeni.
Obecnie nawet publicznie dostępne sieci, rezygnują z tego rozwiązania
- na rzecz udostępionego publicznie klucza współdzelnego (tzw. hasła do
+ na rzecz udostępionego publicznie klucza współdzielnego (tzw. hasła do
WiFi). Drugą metodą powszechnie stosowaną jest użycie <strong>klucza
współdzielonego</strong>, metoda ta wymaga znajomości tego klucza,
przez klienta.
współdzielonego, dobre do zastosowań domowych, gdzie możemy
zaufać urządzeniom i użytkownikom.</li>
<li><strong>Enterprise</strong> - uwierzytelnienia za pomocą
- polecenia serwera uwierzytelniania znanego z portokołu 802.1X,
+ polecenia serwera uwierzytelniania znanego z protokołu 802.1X,
takiego jak <strong>RADIUS</strong>, gdzie wówczas punkt dostępu
jest wystawcą uwierzytelniania. Klient natomiast do połączania się
do takiej sieci, będzie musiał podać swój indywidualny login oraz
Standard WPA2 nie może już zostać uznany za bezpieczny. Tryb
personalnego WPA3 udaremnia ataki siłowe, dla trybu Enterprise
eliminuje mieszanie protokołów bezpieczeństwa z poprzednich standardów
- 802.11. WPA3 pozwala na szyfrowane sieci otwarte, w których nie
+ 802.11. WPA3 pozwala na szyfrowane sieci otwartych, w których nie
podaje się żadnych haseł, a przesłanie danych między klietem a AP nadal
jest bezpieczne. WPA3 poprawia uwierzytelnianie wśród składników
internetu rzeczy, eliminując potrzebę działania niebezpiecznego
mechanizmu WPS.
</p>
- <h2 id="ch12summary">Podsumowanie</h2>
+ <h2 id="2.12.summary">Podsumowanie</h2>
<p>
W tym rozdziale zapoznaliśmy z działaniem sieci bezprzewodowych
poznaliśmy ich rodzaje, które występują wokół nas, ich topologie, z
projects / mmdev.git / commitdiff