From 4103d9e7f442654955cee7346b41355804de0210 Mon Sep 17 00:00:00 2001 From: xf0r3m Date: Sat, 3 Feb 2024 18:54:58 +0100 Subject: [PATCH] =?utf8?q?Rozpocz=C4=99cie=20tworzenia=20materia=C5=82u=20?= =?utf8?q?z=20kurs=C3=B3w=20CCNA.=20Zako=C5=84czono=20pisanie=20rodzia?= =?utf8?q?=C5=82u=2016.=20Do=20przeredagowania.?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit --- articles/terminallog/Cisco_-_CCNA.html | 487 +++++++++++++++++++++++++ 1 file changed, 487 insertions(+) create mode 100755 articles/terminallog/Cisco_-_CCNA.html diff --git a/articles/terminallog/Cisco_-_CCNA.html b/articles/terminallog/Cisco_-_CCNA.html new file mode 100755 index 0000000..357bc7e --- /dev/null +++ b/articles/terminallog/Cisco_-_CCNA.html @@ -0,0 +1,487 @@ + + + + + + + + + +
+
+

Cisco Systems - Cisco Certified Network Associate

+ +

+ Źródła: +

+
    +
  1. Kurs CCNAv7: Introduction to Networks - netacad.com. Dostęp do + kursu zapewniony podczas kursów Cisco CCNA na jeden z uczelnii + wyższych w Polsce. Autor nieznany/wielu autorów na przestrzeni + lat. +
    2. +
+

+ ~xf0r3m
+ 2022; COPYLEFT; ALL RIGHTS REVERSED; +

+
+
+
+
+            _               _
+        _  | |  _       _  | |  _
+    _  | | | | | |  _  | | | | | |  _
+   |_| |_| | | |_| |_| |_| | | |_| |_|
+           |_|             |_| 
+    ____   ___   ____     ____    ___  
+   / ___| |_ _| / ___|   / ___|  / _ \ 
+  | |      | |  \___ \  | |     | | | |
+  | |___   | |   ___) | | |___  | |_| |
+   \____| |___| |____/   \____|  \___/ 
+                                     
+
+ +
+

0. Wstęp

+

+   +

+

+ Przedstawione tutaj informacje mogą nie tyle mijać się z celem, co być + nie kompletne na dzień dzisiejszy. Celem tego kursu najwidoczniej nie + jest nauka z zakresu sieci komputerowych (poniekąd), tylko uzyskanie + certyfikatów, chcąc certyfikować ludzi na całym świecie trzeba utworzyć + pewien standard i zdający muszą zdawać zgodnie z tym standardem + (kluczem). Niektóre z informacji zawartych tutaj też mogą + wydawać się nieco dziwne, dlatego też przy takich informacjach będę + zapisywać oznacznie oryginalności zapisu (sic/sic!). +

+

1.16. Wprowadzenie do bezpieczeństwa sięci

+

+ Jak możemy sobie zdawać sprawę lub też nie zadaniem sieci w ujęciu + teleinformatycznym jest umożliwienie komunikacji między jednym a drugim + węzłem tej sieci. A jak wszystko na świecie, każdy kij ma dwa końce, + przez co posiadanie możliwości komunikacji, może mieć negatyny wpływ + na nasze urządzenia, poufne dane a co za tym idzie na nas samych. + Oczywiście możemy kontragrumentować tę tezę przedstawiając przypadek + połączeń między zaufanymi węzłami, jednak i one mogą w wyniku + zaniedbań, ludzkiej omylności lub też celowego działania mogą zostać + wykorzystane przeciwko nam, nasze zaufanie tylko ułatwi to zadanie. + W tym rozdziale spróbujemy zapoznać się z rodzajami zagrożeń z jakimi + możemy się spotkać. +

+

1.16.1. Zagrożenia i podatności.

+

+ Zagrozenia mogą wynikać z wielu aspektów. Atakujący mogą wykorzystywać + podatności w oprogramowaniu czy sprzęcie, jednak nie + wszystkie ich działania są tak wyrafinowane. Często udaję się odgadnąć + czyjeś dane logwania. Osoby wykorzystujące luki w oprogramowaniu lub + w jaki kolwiek sposób będące w stanie zmodyfikować oprogramowanie aby + uzyskać dostęp do systemu są nazwywane w nomenklaturze Cisco + podmiotem zagrożenia. +

+

+ Można natomiast określić cztery rodzaje zagrożeń na jakie mogą być + narażeni użytkownicy sieci w momencie, gdy podmiot zagrożenia uzyska + do niej dostęp: +

+
    +
  • Kradzież informacji
    • +
  • Utrada danych, bądź ich zmiana
    • +
  • Kradzież tożsamości
    • +
  • Przerwanie dostępu do usług
    • +
+

+ Podatnością możemy nazwać słaby punkt czy to w + urządzeniu czy też w oprogramowaniu. Podaności na uzyskanie + nieautoryzowanego dostępu może posiadać każde urządzeń, które + podłączamy do sieci. Podaności można uprządkować bazując na genezie jej + powstania (pominiemy podatności związane, z błędami lub + niedociągnięciami programistycznymi, chociaż pierwsze dwa rodzaje w + niższych wartstwach też je obejmują): +

+
    +
  • podatność technologiczna - wynika ze słabości + samych protokół sieciowych, systemów operacyjnych czy oprogramowania + (firmware-u) urządzeń sieciowych.
    • +
  • podatność konfiguracyjna - wynika z zaniedbań + podczas wdrażania urządzeń sieciowych lub usług. Opiera się na + przykład na domyślnych konfiguracjach, nie zmienionych domyślnych + hasłach dostępu (w przypadku urządzeń sieciowych), ale także na złym + zarządaniu użytkownikami.
    • +
  • podaności polityki bezpieczeństwa - wynikające + z braku lub niejednoznacności zasad bezpieczeństwa przyjętych + w organizacji. Mogą również wynikać z lokalnego prawa, czy też braku + jasno określonych działań podczas awarii.
  • +
+

+ Inna bardzo często pomijaną kwestią związaną z bezpieczeństwem sieci, + jest bezpieczeństwo fizyczne zarówno serwerownii + jak i pomieszczeń + biurowych, w których może być przeprowadzany krytyczny dla organizacji + proces technologiczny lub przetważane są istotne dane. Nie mniej + jednak tutaj raczej skupimy się na tzw. czynnikach środowiskowych +

+

+ Możemy określić cztery klasy zagrożeń fizycznych, które np. mogą + prowadzić do zagrożenia przerwania dostępności usług. +

+
    +
  • zagrożenia sprzętowe - uszkodzenia serwerów i + sprzętu sieciowego.
    • +
  • zagrożenia środowiskowe - praca urządzeń poza + zakresem ich temperatur oraz w pomieszczeniach o niewłaściwej + wilgotności powietrza.
    • +
  • zagrożenia elektryczne - zniki zasilania lub + niewłaściwe parametry fizczne energii elektrycznej, którą są zasilane + urządzenia.
    • +
  • zagrożenia konserwacyjne - brak cześci zamiennych, + nieumiejętnie przezprowadzone prace serwisowe, złej jakości + okablowanie oraz niejednoznacze opisy w szafach krosowych oraz + w punktach dystrybucyjnych.
    • +
+

1.16.2. Ataki sieciowe

+

+ Najczęściej zadaniem ataku sieciowego jest uzyskanie + nieautoryzowanego dostepu do określonego i chronionego zasobu. Można + wróżnić kilka podstawowych rodzajów ataków sieciowych, które mogą + wpasowywać się w zagrożenia opisane na początku tego rozdziału. +

+
    +
  • złośliwe oprogramowanie - oprogramowanie lub + fragment kodu, którego celem jest wykonanie dowolnej niepożądanej + przez nas czynności na komputerze. Wśród nich możemy wyróżnić: +
      +
    • wirusy - złośliwy samodzielny program lub + fragment innego programu. Na skutek nie uwagi użytkownika może + infekować wiele komputerów, do infekcji wirusem potrzebne jest + działanie użytkownika, np. uruchomienie zainfekowanego programu. +
      • +
    • robaki - rodzaj wirusa, który nie wymaga + działania użytkownika do infekcji. Robaki często wykorzystują + znane podatności w systemach operacyjnych, usługach lub innych + programach i replikują się na skompromitowanych hostach.
      • +
    • konie trojańskie - złośliwe oprogramowanie + podszywające się pod przydatne programy.
      • +
    +
    • +
  • rozpoznanie - samo w sobie rozpoznanie nie jest + atakiem, a jego fazą przygotowawczą, chociaż i w tej fazie można + użyć narzędzi, który przy wysokim poziomie bezpieczeństwa w + organizacji mogą wywołąć alarm. Do rozpoznania można również + wykorzystać dane publicznie dostępne w Internecie. Takie jak np. + adresację IP sieci publicznej wykorzystywanej w organizacji.
    • +
  • ataki dostępowe - ataki dostępowe polegają już + głównie na eksploatacji podatności, ale jak również takie czynności + jak odgadywanie czy łamanie haseł oraz próba przechwycenia danych + logowania. Możemy wyróżnić cztery typy takich ataków: +
      +
    • ataki na hasła - mogą obejmować odgadywanie, + łamanie ale jak i również przechwytywanie ciągów znaków w jakich + zaszyfrowane są hasła (tzw. hash hasła), które poźniej mogą + zostać złamane.
      • +
    • Wykorzystanie zaufania - podmiot zagrożenia + może wykorzystywać nieautoryzowane uprawnienia w celu zwiększenia + dostępu do systemu, możliwe przejmując kontrolę nad celem.(sic) +
      • +
    • Przekierowanie portów - podmiot zagrożenia + wykorzystuje przejęty host A, łącząc się z nim przez SSH + (port TCP/22), następnie ze względu na to, że host a jest + uprawniony do połączenia z hostem B przez Telnet (port TCP/23) + napastnik to wykorzystuje (sic).
      • +
    • atak Man-in-the-middle - napastnik znajduje + gdzieś miedzy na drodze między jednym wezłem a drugim. Zbiera on + dane wymieniane między tymi hostami, może również je zmieniać + lub wpływać na ruch między nimi.
      • +
    +
    • +
  • ataki odmowy usługi - atak ten polega nawiązaniu + tak dużej ilości połączeń z daną aplikacją na serwerze, że ten nie + będzie w stanie obsłużyć kolejnych, przez co usługa staje się + niedostępna dla innych osób. Ataki DoS są wyjątkowo łatwe w + implementacji więc mogą być stosowane przez mniej doświadczone + osoby. Odmianą ataków odmowy usługi (DoS) są ataki DDoS, + które różnią się rozproszeniem podmiotu zagrożenia na wiele hostów. + Do ataków DDoS wykorzystuję się sieci przyjętych lub zainfekowanych + złośliwym oprogramowaniem hostów tzw. botnet. Do + kontroli takiej sieci wykorzystuje się inne przejęte hosty + tzw. Command&Control przez co napastnik może + pozostać nieuchwytny.
    • +
+

Laboratorium

+

+ Badanie zagrożeń bezpieczeństwa sieci +

+

1.16.3. Zabezpieczanie sieci

+

+ Aby zabezpieczyć się przez opisanymi w tym rozdziale atakami należy + wdrożyć odpowiednie rozwiązania. Przed zakupem nie wiadomo jak + drogiego komercyjnego systemu warto na początku zadbać o + zabezpieczenie takich urządzeń jak serwery, routery, switche oraz + urządzenia użytkowników końcowych. Po zabezpieczeniu tych urządzeń + można wówczas pomyśleć o wdrożeniu systemów IPS/IDS, + systemów AAA (sic) czy filtrów treści. Warto dodać, aby przy wyborze + rozwiązań jednym z kluczowych składników było to aby jedne rozwiązania + mogły współpracować z pozostałymi elemtami systemu bezpieczeństwa, ale + także rozwiązanimi już obecnie działającymi w naszej sieci. +

+

+ Jedną z tych podstawowych czynności, jakie możemy podjąć czyniąc naszą + infrastrukturę teleinformatyczną bardziej bezpieczną jest zapewnienie + kopii zapasowej istotnych dla organizacji danych. Podczas rozważań + na temat kopii zapasowej należy wziąć pod uwagę cztery poniższe + zagadnienia: +

+
    +
  • Częstotliwość - Kopie zapasowe należy wykonywać w + regularnych odstępach czasu + najlepiej codziennie. Częstotliwość kopii zapasowych powinna być + ujęta w polityce bezpieczeństwa. + Wykonywanie pełnych kopii może być czasochonne więc warto + wydzielić czas (powiedzmy raz w tygodniu) na wykonanie takiej + kopii, w pozostałe dni można robić kopie tylko tych plików, + które były ostatnio modyfikowane.
    • +
  • Przechowywanie kopii - jeśli organizacja obejmuje + kilka budynków to warto trzymać te kopie poza budynkiem, w którym + te dane są przetwarzane. Możemy tutaj posłużyć się zasadą 3-2-1 - + minimum 3 kopie, w 2 różnych miejscach, a 1 poza główną siedzibą. + Jeśli organizacja jest na tyle duża, to może wynająć przestrzeń + dyskową w lokalnym centrum danych.
    • +
  • Bezpieczeństwo kopii - Każda kopia powinna być + chroniona hasłem. Tak samo jak procedura jej przywrócenia.
    • +
  • Integralność kopii - Należy dbać o poprawność + i integralność kopii zapasowej. Raz na jakiś czas należy jedną + losową kopię przywrócić w środowisku testowym.
    • +
+

+ Jedną z najprostszych rzeczy jakie możemy wykonać na urządzeniach + użytkowników jest sprawdzenie poprawności konfiguracji automatycznych + aktulizacji. I jeśli brakuje poprawek w systemach to należy je + niezwłocznie zainstalować. To samo tyczy się programów antywirusowych, + program ten może aktualizować swoje bazy kilka razy w ciągu dnia. + Dystrybucje Linuksa posiadają takie rozwiązania jak + unattend-upgrades, które instalują automatycznie pakiety + z takich gałezi repozytoriów jak security. +

+

+ Istotne podczas zabepieczenia sieci jest również kontrola użytkownika + który ma z niej korzystać i nie musi się to tyczyć wyłącznie komputerów + ale jeśli jest taka możliwość to i urządzeń sieciowych i taką usługą + może być serwer AAA. Najprostszą a zarazem jedną z + lepszych jest + protokół LDAP, zarówno jak i w wolnej implementacji Samba AD czy + własnościowej MS Windows Active Directory. +

+

+ Urządzenie, które powinno znaleźć się w każdej sieci to + zapora. Jej zadaniem jest monitorowanie i zarządzanie + ruchem na podstawie zdefiniowanych przez administratora reguł. Zapory + mogą tworzyć specjalny rodzaj sieci tzw. + strefę zdemilitaryzowaną - DMZ. W tej sieci + umiesczane są serwery usług, które mają być osiągalne z poziomu sieci + Internet. DMZ-ty najczęsciej konfigurowane są w taki sposób, że + użytkownicy sieci lokalnych w organizacji mogą się łączyć bezproblemu + z tymi serwerami, jednak te same serwery nie są w stanie inicjować + połączeń z hostami w sieciach lokalnych. Kiedy jeden z tych serwerów + zostanie przejęty przez napastnika, zostanie on ograniczony tylko do + DMZ (oczywiście, nie należy takiego włamania lekceważyć) i nie będzie + w stanie narobić wiecej szkód w innych sieciach. Same zapory + najczęsciej są skonfigurowane tak aby blokować cały ruch pochodzący + z Internetu, chyba, że przekierowano porty. Wówczas ruch na tych + wybranych portach jest możliwy. Dostępnych jest kilka różnych metod + filtrowania ruchu przez zapory o to cztery z nich +

+
    +
  • Filtrowanie pakietów - filtowanie pakietów na + podstawie adresów IP czy adresów MAC.
    • +
  • Filtrowanie aplikacji - filtrowanie pakietów na + podstawie numerów protów.
    • +
  • Filtrowanie treści - filtrowanie całych domen oraz + pojedynczych stron na podstawie ogólnodostępnych list w internetcie. +
    • +
  • Inspekcja stanów pakietów (SPI) - metoda + filtrowania pakietów, która pozwala odfiltrować pakiety TCP z + ustawionymi odpowiednimi flagami, przez co możliwa jest tylko + przepuszczenie odpowiedzi z Internetu na połączenia, których źródłem + są hosty wewnętrzne. SPI ma możliwość wykrywania i blokowania + róznych ataków w tym ataków DoS.
    • +
+

1.16.4. Bezpieczeństwo urządzeń

+

+ Poza serwera i urządzeniam użytkowników końcowych, do zabezpieczenia + pozostały nam jeszcze urządzenia sieciowe takie jak routery czy + switche. +

+

+ W przypadku routerów Cisco mamy dyspozycji narzędzie + Cisco AutoSecure, które pomoże nam przeprowadzić proces + zabezpieczania urządzenia. Mimo to czynności podejmowane w celu + zabezpieczenia urządzenia sieciowego nie za bardzo różnią się od + procesu zabepieczania np. serwera, zaraz po zainstalowaniu na nim + systemu operacyjnego. +

+

+ Oczywiście na tym poziomie do uzyskania dostępu do urządzenia + sieciowego będziemy wykorzystywać hasła. Warto zatem mieć na uwadzę + kilka reguł dotyczących tworzenia bezpiecznych haseł: +

+
    +
  • Dobre hasło powinno mieć co najmniej 8 znaków, ale lepsze hasła + zawierają 10 i więcej.
    • +
  • Hasło powinno być dość złożone, tzn. składać losowych małych, + wielkich liter, cyfr, znaków specjalnych a jeszcze lepiej jakby + zawierało spację.
    • +
  • Najlepiej jakby hasło nie zawiera żadnych informacji, które można + znaleźć na nasz temat np. daty urodzenia czy imienia naszego + zwierzaka. Najlepiej omijać także powtórzenia lub często + stosowane słowa.
    • +
  • Jeśli korzystamy z całych słów, to warto je urozmaicić wprowadzając + błędy, podobnie brzmiące litery lub zamias konkretnych liter + przypominające je cyfry.
    • +
  • Hasła należy zmieniać co jakiś czas, np. co 6 miesięcy.
    • +
  • Nie należy nigdzie zapisywać haseł.
    • +
+

+ Jeśli chcemy stosować spację na urządzenia Cisco, to musimy podać ją + jako drugi lub kolejny znak. IOS ignoruje początkowe spacje. +

+

+ Teraz znając zasady dotyczące haseł możemy wygenerować hasła i + następnie ustawić je na naszych urządzeniach do dając przy tym kilka + dodatkowych ustawień zapisanych poniżej (pierwsze trzy opcje, + ustawiamy w trybie konfiguracji globalnej): +

+
    +
  • Szyfrowanie haseł: + service password-encryption +
    • +
  • Minimalna długość hasła: + security passwords min-length 10 +
    • +
  • Blokada na N sekund po X prób logowania w ciągu Y sekund: + login block-for N attempts X within Y +
    • +
  • Automatyczne wyjście z trybu privileged EXEC po określonym czasie: + (uwaga, tę opcję zmieniamy w konfiguracji linii) + exec-timeout min. sek. +
    • +
+

+ Teraz wiedząc jak bezpiczenie ustawić dostęp oparty o hasło do + urządzeń sieciowych Cisco. Możemy uruchomić bezpiecznych dostęp + przez SSH. Poniżej polecenie, które trzeba wykonać + (cztery pierwsze opcje są wykonywane w trybie konfiguracji globalnej): +

+
    +
  • Ustawienie unikalnej nazwy hosta: + hostname r1 +
    • +
  • Ustawienie nazwy domenowej: + ip domain name example.com +
    • +
  • Wygenerowanie kluczy RSA dla SSH o długości X bitów: + crypto key generate rsa general-keys modulus X +
    • +
  • Utworzenie użytkownika w lokalnej bazie użytkowników urządzenia: + username xf0r3m secret 5up3r74jn3Has|_0 +
    • +
  • Włączenie uwierzytelniania przy użyciu lokalnej bazy: + (uwaga, tę opcję wprowadzamy w trybie konfiguracji linii vty) + login local +
    • +
  • Włączenie SSH dla zdalnych połączeń: + (uwaga, tę opcję wprowadzamy w trybie konfiguracji linii vty) + transport input ssh +
    • +
+

+ Po zapewnieniu prawidłowego dostępu zdalnego możemy wykonać ostatnią + czynność jaką jest wyłączenie zbędnych usług. Tutaj istotna może być + wersja IOS, jaką posiadamy na swoich urządzeniach. W starszych + urządzeniach (z przed IOS-XE) możemy podejrzeć listę otwartych portów + za pomocą polecenia:
+ show control-plane host open-ports. + Natomiast w nowszych wersjach (od IOS-XE) używa się nieco krótszego + polecenia:
+ show ip ports all + Te polecenia wydajemy w trybie uprzywilejowanym EXEC bez konfiguracji. + Chcąc wyłączyć usługę powiedzmy http, musimy przejść do trybu + konfiguracji globalnej i następnie wydać polecenie:
+ no ip http server +

+

Zadanie praktyczne - Packet Tracer

+

+ Konfiguracja bezpiecznych haseł i SSH +

+

Laboratorium

+

+ Konfiguracja urządzeń sieciowych za pomocą SSH +

+

Podsumowanie

+

+ W tym module zapoznaliśmy się z podstawami sieci. Poznaliśmy zagrożenia + oraz genezę wielu podatności. Dowiedzieliśmy się jakie są podstawowe + ataki oraz jak niewiele potrzeba, aby utrudnić atakującym dostęp do + naszych urządzeń. Na koniec podnieślismy poziom bezpieczeństwa haseł + na naszych urządzeniach Cisco oraz w bezpieczny sposób uruchomiliśmy + usługę SSH. Poniżej znajdują się ćwiczenia praktyczne do wykonania w + programie Cisco Packet Tracer oraz bardziej zaawansowane zadanie w + postaci laboratorium. +

+

Zadanie praktyczne - Packet Tracer

+

+ Bezpieczeństwo urządzeń sieciowych +

+

Laboratorium

+

+ Bezpieczeństwo urządzeń sieciowych +

+
+ + -- 2.39.5