- •Технології телекомунікаційних мереж Навчальний посібник для студентів cпеціальності
- •8.05090301 “Інформаційні мережі зв’язку”
- •Корпоративні телекомунікаційні мережі
- •Призначення корпоративної мережі
- •Вимоги до корпоративної мережі
- •Потоки трафіку в корпоративній мережі
- •Корпоративні lan і wan мережі
- •Мережі Інтранет та Екстранет
- •Трафік корпоративних мереж
- •Режими потоків трафіку
- •Прикладні програми і трафік у корпоративній мережі
- •Пріоритети мережевого трафіку
- •Підтримка віддалених працівників
- •Віддалена робота
- •Віртуальні приватні мережі
- •Інфраструктура телекомунікаційної мережі
- •Документація та опис телекомунікаційної мережі
- •Центр керування мережею
- •Телекомунікаційна кімната
- •Надання послуг у точках присутності
- •Комутація в корпоративній мережі
- •Комутація корпоративного рівня
- •Комутація і сегментація мережі
- •Основи комутації та маршрутизації
- •Маршрутизатори
- •Комутатори
- •Комутація і сегментація мережі
- •Багаторівнева комутація
- •Типи комутації
- •Безпека комутаторів
- •Використання Cisco ios cli
- •Використання команд Show
- •Базова конфігурація
- •Конфігурація комутатора
- •Включення комутатора
- •Початкова конфігурація комутатора
- •Підключення комутатора до lan
- •Віртуальні локальні мережі vlan
- •Поняття vlan
- •Основні функції vlan
- •Переваги використання vlan
- •Членство у vlan
- •Типи vlan
- •Налаштування vlan
- •Ідентифікація vlan
- •Vlan для іp-телефонії та безпровідного доступу
- •Методи роботи з vlan
- •Транкінг та маршрутизація між vlan
- •Транкінгові порти
- •Режими роботи портів у vlan
- •Налаштування режимів роботи портів
- •Поширення vlan на кілька комутаторів
- •Маршрутизація між vlan
- •Методи маршрутизації між vlan
- •Налаштування маршрутизації між vlan
- •Протокол vtp (vlan Trankіng Protocol)
- •Призначення протоколу vtp
- •Автоматизація керування vlan
- •Компоненти протоколу vtp
- •Режими роботи vtp
- •Повідомлення vtp
- •Налаштування vtp
- •Протокол stp
- •Запобігання утворенню петель комутації
- •Резервування в мережі
- •Вплив режимів передачі трафіку
- •Протокол stp (Spannіng Tree Protocol)
- •Алгоритм stp
- •Кореневі мости
- •Типи та стани портів в stp
- •Протокол rstp та варіанти stp протоколу
- •Пропоіетарні протоколи stp.
- •Протокол rstp (Rapіd Spannіng Tree Protocol)
- •Характеристики rstp
- •Стани портів та типи лінків в rstp
- •Технології маршрутизації
- •Керування трафіком в корпоративних мережах
- •Обмін інформацією в корпоративних мережах
- •Корпоративні топології
- •Статична маршрутизація
- •Налаштування статичних маршрутів
- •Маршрути за замовчуванням
- •Динамічна маршрутизація
- •Призначення протоколів динамічної маршрутизації
- •Протоколи igp та egp
- •Протоколи маршрутизації типу “вектор відстані”
- •Петлі маршрутизації (Routing Loop)
- •Критерії вибору протоколу
- •Протокол rіp
- •Характеристики протоколу RіPv1
- •Автоматичне сумування машрутів
- •Протокол rіPv2
- •Характеристики протоколу RіPv2
- •Налаштування протоколу RіPv2
- •Обмеження протоколу rіp
- •Механізми уникнення петель маршрутизації протоколу rіp
- •Перевірка протоколу rіp
- •Протокол маршрутизації eigrp
- •Маршрутизація за допомогою протоколу eіgrp
- •Термінологія і таблиці протоколу eіgrp
- •Сусіди і суміжники eіgrp
- •Метрики і конвергенція протоколу eіgrp
- •Впровадження протоколу eіgrp
- •Налаштування протоколу eіgrp
- •Підсумовування маршрутів eіgrp
- •Перевірка роботи протоколу eіgrp
- •Протоколи маршрутизації на основі “стану каналу”
- •Маршрутизація на основі стану каналу
- •Маршрутизація з використанням протоколу ospf
- •Принцип роботи протоколу
- •Метрики і конвергенція протоколу ospf
- •Cусідні маршрутизатори ospf та відносини суміжності
- •Області ospf
- •Впровадження протоколу ospf
- •Налаштування протоколу ospf в одній області
- •Налаштування аутентифікації ospf
- •Налаштування параметрів ospf
- •Перевірка роботи протоколу ospf
- •Використання декількох протоколів маршрутизації
- •Налаштування і поширення маршруту за замовчуванням
- •Налаштування підсумовування ospf
- •Обмеження протоколу ospf
- •Використання декількох протоколів
- •Технології wan мереж
- •Підключення корпоративної мережі до wan
- •Технології та обладнання wan мереж
- •Стандарти wan мереж
- •Доступ до wan мереж
- •Комутація каналів і пакетів
- •Технології wan “остання миля” і “довга дистанція”
- •Використання технології vpn.
- •Протокол ppp
- •Порівняння інкапсуляцій wan мереж
- •Інкапсуляція Ethernet і wan
- •Використання протоколу ppp
- •Принцип функціонування протоколу ррр
- •Сеанси протоколу ррр
- •Налаштування ppp
- •Команди налаштування ppp
- •Аутентифікація ppp
- •Налаштування протоколів pap і chap
- •Мережева безпека
- •Поняття мережевої безпеки
- •Важливість безпеки мережі та типи злочинів
- •Відкриті та закриті мережі.
- •Політика безпеки
- •Розробка політики безпеки
- •Фізичні загрози безпеки
- •Типи мережевих загроз.
- •Колесо мережевої безпеки.
- •Безпека мережевого обладнання
- •Безпека маршрутизаторів.
- •Використання Cisco sdm.
- •Управління безпекою маршрутизаторів.
- •Cписки контролю доступу acl
- •Використання списків контролю доступу
- •Фільтрація трафіку
- •Списки контролю доступу
- •Типи і використання acl-списків
- •Обробка acl-списку
- •Використання шаблонної маски
- •Мета використання і структура шаблонної маски acl-списку
- •Оцінка результатів використання шаблонної маски
- •Налаштування списків контролю доступу
- •Розміщення стандартних і розширених acl-списків
- •Налаштування acl-списку
- •Налаштування нумерованих стандартних acl-списків
- •Налаштування нумерованих розширених acl-списків
- •Налаштування іменних acl-списків
- •Налаштування доступу до каналів vty маршрутизатора
- •Дозвіл і заборона визначених типів трафіку
- •Налаштування acl-списків для фільтрації портів і додатків
- •Налаштування acl-списків для визначеного трафіку
- •Вплив nat і pat на розміщення acl-списку
- •Аналіз acl-списків та їх розміщення
- •Налаштування acl-списків з маршрутизацією між vlan
- •Комплексні списки контролю доступу
- •Динамічні acl.
- •Рефлексивні acl.
- •Часозалежні acl.
- •Ведення журналу для перевірки працездатності acl-списку
- •Аналіз журналів маршрутизатора
- •Рекомендації зі створення acl-списків
- •Технологія віртуальної приватної мережі vpn
- •Призначення віртуальної приватної мережі
- •Переваги використання vpn
- •Типи vpn мереж
- •Компоненти vpn
- •Характеристики безпеки vpn
- •Vpn тунелювання
- •Цілісність даних vpn
- •Протокол безпеки iPsec
- •Налаштування та використання vpn
- •Пошук та усунення несправностей у корпоративній мережі
- •Наслідки збоїв мережі
- •Вимоги до корпоративної мережі
- •Моніторинг та профілактичне обслуговування
- •Усунення несправностей і домен виникнення збою
- •Усунення проблем на рівні комутаторів
- •Усунення проблем з конфігурацією vlan
- •Усунення проблем vtp
- •Усунення проблем маршрутизації
- •Проблеми протоколу rіp
- •Проблеми eіgrp
- •Проблеми ospf
- •Проблеми перерозподілу маршрутів
- •Усунення проблем конфігурації wan
- •Усунення проблем підключення в мережі wan
- •Пошук та усунення несправностей аутентифікації в мережі wan
- •Вирішення проблем з acl-списками
- •Пошук проблем в acl-списку
- •Проблеми конфігурації та розміщення acl-списку
- •Список літератури
Фізичні загрози безпеки
Загрози фізичній інфраструктурі
Безпека мережі – це не тільки можливі вразливості програмного забезпечення. Не менш важливими є загрози фізичної безпеки пристроїв. Чотири класи фізичних загроз:
Апаратні – фізичні пошкодження серверів, маршрутизаторів, комутаторів, кабелів, робочих станцій.
Екологічні – екстремальні температура або вологість.
Електричні – підвищена або недостатня напруга живлення (порушення енергопостачання), повна втрата потужності.
Обслуговування – пошкодження електричних компонентів (електростатичний розряд), відсутність критичних запасних частин, низька якість кабелів, погане маркування.
Типи мережевих загроз.
Мережеві загрози можуть бути згруповані в чотири основних класи:
Неструктуровані загрози – складаються в основному з дій недосвідчених осіб, що використовують легкодоступні хакерські утиліти (скрипти, зломщики паролів). Але навіть неструктуровані загрози, які виконуються тільки з метою тестування навичок атакуючого можуть завдати серйозної шкоди мережі.
Структуровані загрози – складаються з дій окремих осіб або груп з більшою мотивацією та технічно компетентних. Ці люди знають вразливі місця системи та використовують витонченіші методи злому.
Зовнішні загрози – можуть виникнути від окремих осіб або організацій, що працюють за межами компанії, які не мають авторизованого доступу до комп'ютерних систем або мережі. Вони отримують доступ до мережі в основному з Інтернет або серверів комутованого доступу. Зовнішні загрози можуть змінюватись в залежності від важкості – від любительських (неструктурованих) до професійних (структорованих).
Внутрішні загрози – виникають, коли хтось має несанкціонований доступ до мережі з будь-яким обліковим записом або фізичний доступ. Так само, як для зовнішніх загроз, важкість внутрішніх загроз залежить від вмінь та навичок зловмисника.
Існує чотири типи основних мережевих загроз.
Розвідка – це несанкціоноване виявлення та дослідження систем, послуг, вразливостей. Як правило, виконується перед іншими типами атак. До таких атак належить:
збір інформації;
сканування діапазону IP-адрес ( рing sweeps, або ехо-тестування);
сканування портів;
packet sniffers.
Доступ – доступ до системи надає можливість зловмиснику отримати доступ до пристрою, для якого зловмисник не має облікового запису або паролю. Доступу до системи зазвичай включає скрипти та інструменти, що використовують відомі вразливості До таких атак належать:
атаки на пароль;
довірливі відносини;
перенаправлення портів.
Відмова в обслуговуванні (DoS) – атака, що дозволяє зловмиснику зіпсувати роботу мережі, системи чи послуги з метою унеможливити надання послуг користувачам. До таких атак належить:
рing of death;
SYN Flood;
DDos атаки.
Черв’яки, віруси, троянські коні – шкідливе програмне забезпечення, яке може бути встановлене на хост і пошкоджувати, псувати роботу системи, копіювати себе, або відмовити в доступі до мережі, системи або послуги.
Кожен різновид мережевих атак характеризується використанням певних засобів.
Атаки на рівні прикладних програм здійснюються різними методами. Одним з найпоширеніших методів є використання слабких місць в програмному забезпеченні, яке встановлено на серверах (типу sendmail, HTTP і FTP). Використовуючи слабкі місця, зловмисники можуть отримати доступ до сервера. Основна проблема таких атак у використанні портів, які дозволені в міжмережевому екрані. Наприклад, атака на веб-сервер через ТСР порт 80.
Авторутери – це програми, які автоматизують процес злому. Комп’ютери послідовно скануються, досліджуються і захоплюються шляхом встановлення rootkit і використання захопленої системи для автоматизації процесу вторгнення. Автоматизація дозволяє зловмисники сканувати сотні тисяч систем за короткий проміжок часу.
Backdoors – це входи в систему, які можуть бути створені під час вторгнення або за допомогою використання спеціально розробленого троянського коня. Якщо backdoor не виявлений і вразливість не виправлена, то зловмисник може використовувати його повторно. Досить часто зловмисники використовують такі комп’ютери для DoS атак.
Відмова в обслуговуванні (DoS) та розподілена відмова в обслуговуванні (DDoS) – одні з найсерйозніших атак з точки зору їх ліквідації. Атаки такого типу, як правило, не мають на меті отримання доступу до мережі або отримання інформації. Вони призначені для порушення нормальної роботи системи і мають наступні різновиди:
TCP SYN Flood – при встановленні TCP-з’єднання з сервером відбувається обмін певною послідовністю повідомлень. Клієнт посилає SYN-пакет на сервер. Потім сервер підтверджує отримання SYN-пакету посилаючи SYN-ACK повідомлення клієнту. Тоді клієнт завершує встановлення з’єднання відповідаючи повідомленням ACK, після чого відбувається обмін даними. В момент, коли сервер надіслав підтвердження (SYN-ACK) назад клієнту, Але ще не отримав повідомлення ACK, встановлюється напіввідкрите з’єднання. Дані по всіх з’єднаннях, які очікують опрацювання з’єднань знаходяться в пам’яті сервера, яка відповідно може переповнитись, якщо створювати багато напіввідкритих з’єднань.
Ping of Death – надсилання дуже великих ІP-пакетів, які можуть викликати зависання та перезавантаження системи, оскільки TCP/IP підтримує максимальний розмір пакету в 65Кб.
IP spoofing – підміна IP-адрес. Зловмисник всередині мережі або ззовні видає себе за вузол, якому можна довіряти використовуючи IP-адресу, яка є в списку дозволених для даної мережі, або авторизовану зовнішню IP-адресу, з якої дозволений доступ до певних ресурсів. Атаки IP spoofing часто є початковим етапом інших типів атак.
Мережева розвідка – це масштабні дії по вивченню інформації про мережу з використанням доступної нформації та прикладних програм. Розвідка може здійснюватись у формі запитів DNS-сервера, сканування діапазону IP-адрес (ping sweeps) та сканування портів, вивченні характеристик прикладних програм. Ця інформація буде корисною при спробі зловмисника порушити роботу системи.
Packet sniffers – використання мережевого адаптера в режимі обробки всіх пакетів, які фізично отримані з мережі. Сніфери пакетів використовуються легально в мережах для аналізу трафіку та пошуку несправностей. Оскільки, деякі мережеві програми посилають інформацію відкритим текстом (telnet, FTP, SMTP, POP3 та ін.), сніфінг пакетів може забезпечити отримання важливої інформації, наприклад логінів та паролей. Враховуючи використання користувачами однакових імен та паролів для доступу до різних програм та систем, це може бути серйозною проблемою.
Password attacks – атаки для злому паролів можуть використовувати різні методи: brutal force, троянський кінь, IP spoofing та packet sniffers.
Port redirection attacks – цей тип атак використовує захоплений вузол для передачі трафіку через міжмережевий екран.
Вірусні і троянські атаки – використовують небезпечні програми, які приєднують до інших програм, щоб виконати певну деструктивну функцію на комп’ютері користувача.
Host and Server Based Security
Device Hardening
When a new operating system is installed on a computer, the security settings are set to the default values. In most cases, this level of security is inadequate. There are some simple steps that should be taken that apply to most operating systems:
Default usernames and passwords should be changed immediately.
Access to system resources should be restricted to only the individuals that are authorized to use those resources.
Any unnecessary services and applications should be turned off and uninstalled, when possible.
Section 4.2 "Securing Cisco Routers" describes device hardening in more detail.
It is critical to protect network hosts, such as workstation PCs and servers. These hosts need to be secured as they are added to the network, and should be updated with security patches as these updates become available. Additional steps can be taken to secure these hosts. Antivirus, firewall, and intrusion detection are valuable tools that can be used to secure network hosts. Because many business resources may be contained on a single file server, it is especially important for servers to be accessible and available.
Antivirus Software
Install host antivirus software to protect against known viruses. Antivirus software can detect most viruses and many Trojan horse applications, and prevent them from spreading in the network.
Antivirus software does this in two ways:
It scans files, comparing their contents to known viruses in a virus dictionary. Matches are flagged in a manner defined by the end user.
It monitors suspicious processes running on a host that might indicate infection. This monitoring may include data captures, port monitoring, and other methods.
Click the Antivirus button in the figure.
Update antivirus software vigilantly.
Personal Firewall
Personal computers connected to the Internet through a dialup connection, DSL, or cable modems are as vulnerable as corporate networks. Personal firewalls reside on the PC of the user and attempt to prevent attacks. Personal firewalls are not designed for LAN implementations, such as appliance-based or server-based firewalls, and they may prevent network access if installed with other networking clients, services, protocols, or adapters.
Click the Personal Firewalls button in the figure.
Some personal firewall software vendors include McAfee, Norton, Symantec, and Zone Labs.
Operating System Patches
The most effective way to mitigate a worm and its variants is to download security updates from the operating system vendor and patch all vulnerable systems. This is difficult with uncontrolled user systems in the local network, and even more troublesome if these systems are remotely connected to the network via a virtual private network (VPN) or remote access server (RAS). Administering numerous systems involves the creation of a standard software image (operating system and accredited applications that are authorized for use on deployed client systems) that is deployed on new or upgraded systems. These images may not contain the latest patches, and the process of continually remaking the image to integrate the latest patch may quickly become administratively time-consuming. Pushing patches out to all systems requires that those systems be connected in some way to the network, which may not be possible.
One solution to the management of critical security patches is to create a central patch server that all systems must communicate with after a set period of time. Any patches that are not applied to a host are automatically downloaded from the patch server and installed without user intervention.
In addition to performing security updates from the OS vendor, determining which devices are exploitable can be simplified by the use of security auditing tools that look for vulnerabilities.
Intrusion Detection and Prevention
Intrusion detection systems (IDS) detect attacks against a network and send logs to a management console. Intrusion prevention systems (IPS) prevent attacks against the network and should provide the following active defense mechanisms in addition to detection:
Prevention-Stops the detected attack from executing.
Reaction-Immunizes the system from future attacks from a malicious source.
Either technology can be implemented at a network level or host level, or both for maximum protection.
Host-based Intrusion Detection Systems
Host-based intrusion is typically implemented as inline or passive technology, depending on the vendor.
Passive technology, which was the first generation technology, is called a host-based intrusion detection system (HIDS). HIDS sends logs to a management console after the attack has occurred and the damage is done.
Inline technology, called a host-based intrusion prevention system (HIPS), actually stops the attack, prevents damage, and blocks the propagation of worms and viruses.
Active detection can be set to shut down the network connection or to stop impacted services automatically. Corrective action can be taken immediately. Cisco provides HIPS using the Cisco Security Agent software.
HIPS software must be installed on each host, either the server or desktop, to monitor activity performed on and against the host. This software is referred to as agent software. The agent software performs the intrusion detection analysis and prevention. Agent software also sends logs and alerts to a centralized management/policy server.
The advantage of HIPS is that it can monitor operating system processes and protect critical system resources, including files that may exist only on that specific host. This means it can notify network managers when some external process tries to modify a system file in a way that may include a hidden back door program.
The figure illustrates a typical HIPS deployment. Agents are installed on publicly accessible servers and corporate mail and application servers. The agent reports events to a central console server located inside the corporate firewall. As an alternative, agents on the host can send logs as e-mail to an administrator.
Common Security Appliances and Applications
Security is a top consideration whenever planning a network. In the past, the one device that would come to mind for network security was the firewall. A firewall by itself is no longer adequate for securing a network. An integrated approach involving firewall, intrusion prevention, and VPN is necessary.
An integrated approach to security, and the necessary devices to make it happen, follows these building blocks:
Threat control-Regulates network access, isolates infected systems, prevents intrusions, and protects assets by counteracting malicious traffic, such as worms and viruses. Devices that provide threat control solutions are:
Cisco ASA 5500 Series Adaptive Security Appliances
Integrated Services Routers (ISR)
Network Admission Control
Cisco Security Agent for Desktops
Cisco Intrusion Prevention Systems
Secure communications-Secures network endpoints with VPN. The devices that allow an organization to deploy VPN are Cisco ISR routers with Cisco IOS VPN solution, and the Cisco 5500 ASA and Cisco Catalyst 6500 switches.
Network admission control (NAC)-Provides a roles-based method of preventing unauthorized access to a network. Cisco offers a NAC appliance.
Cisco IOS Software on Cisco Integrated Services Routers (ISRs)
Cisco provides many of the required security measures for customers within the Cisco IOS software. Cisco IOS software provides built-in Cisco IOS Firewall, IPsec, SSL VPN, and IPS services.
Cisco ASA 5500 Series Adaptive Security Appliance
At one time, the PIX firewall was the one device that a secure network would deploy. The PIX has evolved into a platform that integrates many different security features, called the Cisco Adaptive Security Appliance (ASA). The Cisco ASA integrates firewall, voice security, SSL and IPsec VPN, IPS, and content security services in one device.
Cisco IPS 4200 Series Sensors
For larger networks, an inline intrusion prevention system is provided by the Cisco IPS 4200 series sensors. This sensor identifies, classifies, and stops malicious traffic on the network.
Cisco NAC Appliance
The Cisco NAC appliance uses the network infrastructure to enforce security policy compliance on all devices seeking to access network computing resources.
Cisco Security Agent (CSA)
Cisco Security Agent software provides threat protection capabilities for server, desktop, and point-of-service (POS) computing systems. CSA defends these systems against targeted attacks, spyware, rootkits, and day-zero attacks.
In-depth coverage of these appliances is beyond the scope of this course. Refer to the CCNP: Implementing Secure Converged Wide-area Networks and the Network Security 1 and 2 courses for more information.