Książka BezpieczeÅ„stwo sieci komputerowych - Praktyczne przykÅ‚ady i ćwiczenia w symulatorze Cisco Packet Tracer, kierowana jest do szerokiego grona osób chcÄ…cych poszerzyć swojÄ… wiedzÄ™ z zakresu bezpiecznego wykorzystania sieci komputerowych w codziennym życiu. Nauczyć siÄ™ od podstaw projektować i wdrażać zasady bezpieczeÅ„stwa. Nie jest to jednak materiaÅ‚ uczÄ…cy bezpiecznego korzystania z usÅ‚ug sieciowych od strony standardowego użytkownika Internetu.
Pozycja ta, to również idealny podrÄ™cznik dopeÅ‚niajÄ…cy wiedzÄ™ praktycznÄ… podczas nauki w techniku informatycznym, technikum teleinformatycznym i Akademiach CISCO CCNA. To materiaÅ‚ uzupeÅ‚niajÄ…cy, dziÄ™ki któremu w prosty sposób można poszerzyć i uzupeÅ‚nić swojÄ… wiedzÄ™ i przygotować siÄ™ do uzyskania kwalifikacji potwierdzajÄ…cych kompetencje zawodowe.
Książka zawiera materiaÅ‚ poÅ›wiÄ™cony klasyfikowaniu zagrożeÅ„ w sieciach, zasadom pozwalajÄ…cym na unikanie cyber-ataków, zaÅ‚ożeniom polityki bezpieczeÅ„stwa, protokoÅ‚om SSH, NTP, SYSLOG, RADIUS, TACACS+, GRE, IPsec, usÅ‚ugom AAA a także problemom zwiÄ…zanym z prawem ogólnego rozporzÄ…dzenia o ochronie danych osobowych RODO (GDRP).
IstotnÄ… zaletÄ… książki sÄ… zaÅ‚Ä…czone gotowe rozwiÄ…zania w postaci plików PKT oraz PKA, zawierajÄ…cych prawidÅ‚owe rozwiÄ…zania przykÅ‚adów i ćwiczeÅ„. Wszystkie opisane pliki, sÄ… dostÄ™pne poprzez witrynÄ™ naszego wydawnictwa pod adresem http://security.itstart.pl
Autorem tej książki jest Jerzy Kluczewski, dÅ‚ugoletni instruktor Akademii CISCO CCNA, wykÅ‚adowca akademicki a zarazem nauczyciel dyplomowany. Pan Jerzy, w swoim dorobku autorskim posiada już kilka publikacji książkowych na temat symulatora Packet Tracer. Jest osobÄ… zaangażowanÄ… w proces tÅ‚umaczenia materiaÅ‚ów edukacyjnych CCNA Routing & Switching na jÄ™zyk polski. Swoje doÅ›wiadczenie zdobywaÅ‚ podczas pracy w przemyÅ›le, obecnie jest wykÅ‚adowcÄ… w Wyższej Szkole Bankowej w GdaÅ„sku.

Osoby które kupowały "Bezpieczeństwo sieci komputerowych - Praktyczne przykłady i ćwiczenia w symulatorze Cisco Packet Tracer", wybierały także:

• Oszukaj mnie, jeÅ›li potrafisz. Proste sposoby przechytrzenia współczesnych kanciarzy 44,84 zÅ‚, (13,90 zÅ‚ -69%)
• BezpieczeÅ„stwo defensywne. Podstawy i najlepsze praktyki 57,74 zÅ‚, (17,90 zÅ‚ -69%)
• Windows Server 2003. BezpieczeÅ„stwo sieci 74,69 zÅ‚, (23,90 zÅ‚ -68%)
• CyberbezpieczeÅ„stwo w bashu. Jak za pomocÄ… wiersza poleceÅ„ prowadzić dziaÅ‚ania zaczepne i obronne 69,00 zÅ‚, (34,50 zÅ‚ -50%)
• Informatyka w kryminalistyce. Praktyczny przewodnik. Wydanie II 149,00 zÅ‚, (74,50 zÅ‚ -50%)

Spis treści

Bezpieczeñstwo sieci komputerowych - Praktyczne przyk³ady i æwiczenia w symulatorze Cisco Packet Tracer eBook -- spis tre¶ci

1 WSTÊP ............................................................................................................. 11
2 PODSTAWOWE DEFINICJE I ZAGRO¯ENIA ......................................................... 15
2.1.1 Podstawowa klasyfikacja zagro¿eñ ......................................................... 16
2.1.2 Zagro¿enia wg przyczyn .......................................................................... 16
2.1.3 Zagro¿enia wg miejsca powstawania ..................................................... 17
2.1.4 Zagro¿enia wg czynników socjologicznych (tzw. oszustwa internetowe) 17
2.1.5 Zagro¿enia fizyczne ................................................................................. 17
2.1.6 Zagro¿enia wirusami, robakami oraz typowe ataki sieciowe .................. 18
2.2 ZAGRO¯ENIA ZWI¡ZANE Z DZIA£ANIEM WIRUSÓW I ROBAKÓW ....................................... 18
2.3 RODZAJE TYPOWYCH ATAKÓW SIECIOWYCH ............................................................... 19
2.3.1 Ataki pasywne i aktywne ......................................................................... 19
2.3.1.1 Pasywne ........................................................................................................... 19
2.3.1.2 Aktywne ........................................................................................................... 19
2.3.2 Pozosta³e typy ataków ............................................................................ 20
2.3.2.1 Ataki typu Rekonesans/Rozpoznanie (ang. Reconnaissance) .......................... 20
2.3.2.2 Ataki typu skanowanie za pomoc± ping (ang. ping sweep) ............................. 20
2.3.2.3 Ataki typu skanowanie portów (ang. port scanning) ....................................... 21
2.3.2.4 Ataki dostêpowe (ang. access attacks) ............................................................ 21
2.3.2.5 Ataki typu DoS (ang. Denial of Service) ........................................................... 22
2.3.2.6 Ataki typu DDoS (ang. Distributed Denial of Service) ...................................... 22
2.4 OGÓLNE ZASADY OBRONY SIECI PRZED ATAKAMI ......................................................... 24
2.5 POLITYKA BEZPIECZEÑSTWA WG CISCO SYSTEMS ........................................................ 25
2.6 TECHNIKI TESTOWANIA BEZPIECZEÑSTWA .................................................................. 25
2.6.1 Bezpieczeñstwo operacyjne ..................................................................... 25
2.6.2 Testowanie i ocena bezpieczeñstwa sieci ................................................ 26
2.6.3 Typy testów sieciowych ........................................................................... 26
2.6.4 Wykorzystanie wyników testu bezpieczeñstwa sieci ............................... 27
2.6.5 Narzêdzia do testowania sieci ................................................................. 28
2.6.5.1 Nmap ............................................................................................................... 28
2.6.5.2 Zenmap ............................................................................................................ 29
2.6.5.3 SIEM ................................................................................................................. 29
2.6.6 Podsumowanie ........................................................................................ 30
2.7 CYKL PROJEKTOWANIA BEZPIECZEÑSTWA SIECI ........................................................... 31
2.8 PROJEKTOWANIE ZASAD POLITYKI BEZPIECZEÑSTWA .................................................... 32
2.8.1 Odbiorcy polityki bezpieczeñstwa ........................................................... 33
2.8.2 Polityka zabezpieczeñ na poziomie kadry zarz±dzaj±cej ......................... 33
2.8.3 Polityka zabezpieczeñ na poziomie kadry technicznej............................. 34
2.8.4 Polityka zabezpieczeñ na poziomie u¿ytkownika koñcowego ................. 34
2.8.5 Dokumenty dotycz±ce polityki zabezpieczeñ ........................................... 35
2.8.6 Dokumenty dotycz±ce procedur .............................................................. 35
2.8.7 Kadra zarz±dzaj±ca polityk± zabezpieczeñ wg CISCO ............................. 35
2.8.8 Szkolenia u¶wiadamiaj±ce zagro¿enia .................................................... 36
2.8.9 Szkolenia dotycz±ce bezpieczeñstwa ....................................................... 36
2.8.10 Proces zbierania danych .......................................................................... 38
2.8.11 RODO ‐ Rozporz±dzenie o ochronie danych osobowych ......................... 38
2.8.11.1 RODO – Zakres rozporz±dzenia ................................................................... 39
2.8.11.2 RODO – Obowi±zki przedsiêbiorstw (organizacji) ....................................... 39
2.8.11.3 RODO – Procedura oceny oddzia³ywania na ochronê danych osobowych . 40
2.8.11.4 RODO – Wp³yw na procesy pozyskiwania danych od klientów ................... 40
2.8.11.5 RODO – Zgoda na przetwarzanie danych .................................................... 41
2.8.11.6 RODO – Obowi±zek powiadamiania i kary .................................................. 41
3 MINIMALNE ZABEZPIECZENIA DOSTÊPU DO ROUTERÓW .................................. 45
3.1 PODSTAWOWE ZABEZPIECZENIA ROUTERÓW CISCO ................................................... 45
3.2 POD£¡CZENIE KABLA KONSOLOWEGO ....................................................................... 45
3.3 TWORZENIE BANERÓW OSTRZEGAJ¡CYCH I INFORMUJ¡CYCH ......................................... 52
3.4 HAS£O DO PORTU KONSOLOWEGO ........................................................................... 55
3.5 HAS£O DOSTÊPU DO TRYBU UPRZYWILEJOWANEGO ..................................................... 61
3.6 WY£¡CZENIE US£UGI TELNET I SSH .......................................................................... 65
4 ZABEZPIECZENIA ROUTERÓW CISCO ................................................................. 71
4.1 W£¡CZENIE I KONFIGUROWANIE US£UGI SSH ............................................................ 71
4.2 POZIOMY UPRAWNIEÑ DLA U¯YTKOWNIKÓW ............................................................. 74
4.3 MECHANIZM RBAC .............................................................................................. 75
4.4 KONFIGUROWANIE RBAC ...................................................................................... 84
4.4.1 Definicje ................................................................................................... 84
4.4.2 Wymagania ............................................................................................. 84
4.4.3 Przyk³adowa konfiguracja krok po kroku ................................................ 85
4.5 ZABEZPIECZANIE OBRAZU SYSTEMU IOS I PLIKÓW KONFIGURACYJNYCH ........................... 91
4.5.1 Archiwizowanie systemu IOS oraz konfiguracji za pomoc± TFTP ............ 91
4.5.2 Procedura przywracania IOS i konfiguracji z serwera TFTP ..................... 95
4.6 PROTOKO£Y NTP, SYSLOG ................................................................................... 99
4.6.1 Wprowadzenie i definicje ........................................................................ 99
4.6.2 Protokó³ NTP ......................................................................................... 100
4.6.3 Polecenia konfiguracyjne NTP i SYSLOG ................................................ 100
4.7 US£UGI AAA ORAZ PROTOKO£Y RADIUS I TACACS+ ............................................... 108
4.7.1 Wstêp do protoko³ów i zabezpieczeñ .................................................... 108
4.7.2 Protokó³ RADIUS .................................................................................... 108
4.7.3 Protokó³ TACACS+ .................................................................................. 109
4.7.4 Ró¿nice pomiêdzy protoko³ami RADIUS i TACACS+ ............................... 109
4.7.5 Us³ugi AAA ............................................................................................. 110
4.7.6 Konfigurowanie lokalnego uwierzytelniania AAA ................................. 111
4.7.7 Konfigurowanie zdalnego uwierzytelniania AAA za pomoc± serwerów 115
4.8 STANDARDOWE I ROZSZERZONE LISTY KONTROLI DOSTÊPU .......................................... 121
4.8.1 Standardowe ACL .................................................................................. 121
4.8.2 Rozszerzone ACL .................................................................................... 122
4.8.3 Przyporz±dkowanie list ACL do interfejsu .............................................. 122
4.8.4 Nazywane ACL ....................................................................................... 123
4.8.5 Rejestrowanie operacji na ACL (logi systemowe) .................................. 124
4.9 KONFIGUROWANIE STANDARDOWYCH I ROZSZERZONYCH ACL .................................... 125
4.9.1 Przyk³ad konfiguracji listy standardowej ............................................... 125
4.9.2 Przyk³ad konfiguracji listy rozszerzonej ................................................. 126
4.9.3 Przetwarzanie listy ACL–algorytm dla ruchu wej¶ciowego ................... 127
4.9.4 Przetwarzanie listy ACL–algorytm dla ruchu wyj¶ciowego ................... 127
4.10 KONTEKSTOWA KONTROLA DOSTÊPU CBAC ............................................................ 129
4.10.1 Wstêp do kontekstowej kontroli dostêpu .............................................. 129
4.10.2 Polecenia monitoruj±ce (inspekcyjne) ................................................... 129
4.10.3 Przyk³adowe konfigurowanie kontekstowej kontroli dostêpu ............... 130
5 ZABEZPIECZENIA W WARSTWIE 2 ................................................................... 145
5.1 G£ÓWNE ZAGRO¯ENIA WYSTÊPUJ¡CE W WARSTWIE 2 ................................................ 145
5.1.1 Przypomnienie zasady dzia³ania prze³±cznika warstwy 2 ..................... 145
5.1.2 Atak typu MAC Address Table Overflow ............................................... 146
5.1.3 Atak typu MAC Address Spoofing .......................................................... 146
5.1.4 Atak typu Storm .................................................................................... 147
5.1.5 Atak STP Manipulation .......................................................................... 148
5.2 KONFIGUROWANIE ZABEZPIECZEÑ W WARSTWIE 2 .................................................... 149
5.2.1 Konfiguracja VTP oraz sieci VLAN .......................................................... 149
5.2.2 Tryb PortFast oraz Storm Control na aktywnych portach ..................... 154
5.2.3 Zabezpieczanie portów prze³±cznika dostêpowego .............................. 159
6 TUNELOWANIE .............................................................................................. 169
6.1 TUNELOWANIE OPARTE NA PROTOKOLE GRE ........................................................... 170
6.1.1 Protokó³ GRE ......................................................................................... 170
6.1.2 Konfigurowanie sieci Site‐to‐Site za pomoc± GRE ................................. 170
6.2 TUNELOWANIE ZA POMOC¡ PROTOKO£U IPSEC ........................................................ 175
6.2.1 Protokó³ IPsec ........................................................................................ 175
6.2.2 Konfigurowanie sieci VPN Site‐to‐Site za pomoc± IPsec ........................ 175
7 ZAPORY SIECIOWE ......................................................................................... 187
7.1 PROSTA ZAPORA SIECIOWA NA SERWERZE I ROUTERZE ............................................... 187
7.1.1 Konfiguracja zapory sieciowej na serwerze ........................................... 187
7.1.2 Konfiguracja zapory sieciowej na routerze ............................................ 198
7.2 ADAPTACYJNE URZ¡DZENIE ZABEZPIECZAJ¡CE ASA 5505 ........................................... 203
7.2.1 Ogólny opis urz±dzenia ASA 5505 ......................................................... 203
7.2.2 Konfigurowanie ASA 5505 ..................................................................... 207
7.2.3 Filtrowanie ruchu ICMP ......................................................................... 214
7.2.4 Filtrowanie ruchu WWW ....................................................................... 218
7.2.5 Strefa DMZ oraz listy ACL filtruj±ce ruch ............................................... 226
8 SYSTEMY IDS ORAZ IPS ................................................................................... 239
8.1 OGÓLNA KLASYFIKACJA ORAZ CECHY SYSTEMÓW IDS/IPS .......................................... 239
8.2 SYSTEMY OCHRONY PRZED W£AMANIAMI IPS .......................................................... 239
8.2.1 Typy technologii systemów IPS .............................................................. 240
8.2.2 Zalety i wady Host‐Based IPS ................................................................ 240
8.2.3 Zalety i wady Network‐Based IPS .......................................................... 240
8.3 KONFIGURACJA IDS/IPS ..................................................................................... 241
8.3.1 Konfiguracja IDS w systemie IOS (monitorowanie) ............................... 242
8.3.2 Konfiguracja IPS w systemie IOS (blokowanie) ...................................... 251
9 ÆWICZENIA .................................................................................................... 257
9.1 ZABEZPIECZENIA ROUTERÓW CISCO ....................................................................... 257
9.1.1 Æwiczenie 9‐1‐1 (banery, has³a, timeout) .............................................. 257
9.1.2 Æwiczenie 9‐1‐2 (konfigurowanie ssh) ................................................... 264
9.1.3 Æwiczenie 9‐1‐3 (kontrola adresów MAC) ............................................. 269
9.1.4 Æwiczenie 9‐1‐4 (poziomy uprawnieñ oraz RBAC) ................................. 275
9.1.5 Æwiczenie 9‐1‐5 (przywracanie obrazu IOS) .......................................... 285
9.1.6 Æwiczenie 9‐1‐6 (konfigurowanie NTP i SYSLOG) .................................. 289
9.2 KONFIGUROWANIE UWIERZYTELNIANIA RADIUS, TACACS+ ..................................... 297
9.2.1 Æwiczenie 9‐2‐1 (protokó³ RADIUS) ....................................................... 297
9.2.2 Æwiczenie 9‐2‐2 (protokó³ TACACS+) ..................................................... 302
9.3 KONFIGUROWANIE STANDARDOWYCH LIST KONTROLI DOSTÊPU ................................... 306
9.3.1 Æwiczenie 9‐3‐1 (standardowa ACL blokuj±ca ruch do podsieci) ........... 306
9.3.2 Æwiczenie 9‐3‐2 (standardowa ACL blokuj±ca ruch z podsieci) ............. 309
9.3.3 Æwiczenie 9‐3‐3 (standardowa ACL blokuj±ca ruch telnetu) ................. 312
9.4 KONFIGUROWANIE ROZSZERZONYCH LIST KONTROLI DOSTÊPU ..................................... 316
9.4.1 Æwiczenie 9‐4‐1 (rozszerzona ACL blokuj±ca us³ugê FTP) ...................... 316
9.4.2 Æwiczenie 9‐4‐2 (rozszerzona ACL blokuj±ca us³ugê WWW) ................. 322
9.4.3 Æwiczenie 9‐4‐3 (rozszerzona ACL blokuj±ca us³ugê e‐mail) ................. 327
9.4.4 Æwiczenie 9‐4‐4 (rozszerzona ACL blokuj±ca protokó³ icmp) ................. 331
9.4.5 Æwiczenie 9‐4‐5 (rozszerzona ACL blokuj±ca protokó³ telnet) ............... 335
9.4.6 Æwiczenie 9‐4‐6 (rozszerzona ACL blokuj±ca protokó³ dns) ................... 338
9.4.7 Æwiczenie 9‐4‐7 (rozszerzone nazywane ACL) ....................................... 342
9.5 KONFIGUROWANIE ZABEZPIECZEÑ W WARSTWIE 2 .................................................... 350
9.5.1 Æwiczenie 9‐5‐1 (konfigurowanie VTP oraz routera na patyku) ............ 350
9.5.2 Æwiczenie 9‐5‐2 (konfigurowanie trybu PortFast) ................................. 357
9.5.3 Æwiczenie 9‐5‐3 (konfigurowanie blokady portu prze³±cznika) ............. 362
9.5.4 Æwiczenie 9‐5‐4 (konfigurowanie blokad portów prze³±cznika) ............ 367
9.6 KONFIGUROWANIE TUNELOWANIA ........................................................................ 374
9.6.1 Æwiczenie 9‐6‐1 (konfigurowanie tunelu z trasami statycznymi) .......... 374
9.6.2 Æwiczenie 9‐6‐2 (konfigurowanie tunelu za pomoc± protoko³u GRE) ... 376
9.6.3 Æwiczenie 9‐6‐3 (konfigurowanie tunelu za pomoc± protoko³u IPsec) .. 382
9.6.4 Æwiczenie 9‐6‐4 (sieæ VPN IPsec Site‐to‐Site‐zabezpieczenia routerów) 390
9.7 KONFIGUROWANIE URZ¡DZENIA ZABEZPIECZAJ¡CEGO ASA ........................................ 401
9.7.1 Æwiczenie 9‐7‐1 (konfiguracja podstawowa) ........................................ 401
9.7.2 Æwiczenie 9‐7‐2 (odblokowanie ruchu http) .......................................... 408