CCNA Security 210-260 : przygotowanie do egzaminu na certyfikat
Transkrypt
CCNA Security 210-260 : przygotowanie do egzaminu na certyfikat
CCNA Security 210-260 : przygotowanie do egzaminu na certyfikat : oficjalny przewodnik / Omar Santos, John Stuppi. – Warszawa, 2016 Spis treści Wprowadzenie XXVII Część I. Podstawy bezpieczeństwa sieci 1 Zasady zabezpieczania sieci Test „Czy już to wiesz?" Podstawowe zagadnienia Sieci i podstawy bezpieczeństwa informacji Cele zabezpieczania sieci Poufność, integralność i dostępność Analiza kosztów i korzyści wynikających z zabezpieczeń Klasyfikacja zasobów Klasyfikowanie luk bezpieczeństwa Klasyfikowanie środków zaradczych Co robimy z ryzykiem? Rozpoznawanie aktualnych zagrożeń w sieci Potencjalni napastnicy Metody ataku Kierunki ataków Ataki przez pośrednika Inne metody ataku Stosowanie podstawowych zasad bezpieczeństwa w projekcie sieci Wskazówki Topologie sieci Bezpieczeństwo sieci a środowisko wirtualne Jak to wszystko do siebie pasuje Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć 1 1 4 4 4 4 5 7 8 9 10 10 10 11 13 13 14 16 16 17 20 22 24 24 24 24 2. Częste zagrożenia bezpieczeństwa Test „Czy już to wiesz?" Podstawowe zagadnienia Krajobraz zagrożeń bezpieczeństwa sieci Rozproszone ataki odmowy usługi Metody socjotechniczne Taktyka socjotechniki 27 27 30 30 30 31 32 Obrona przed atakami opartymi na socjotechnice Narzędzia do identyfikacji złośliwego oprogramowania Dostępne metody identyfikacji złośliwego oprogramowania Utrata danych i metody eksfiltracji Podsumowanie Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć 32 33 34 35 36 37 37 37 37 Część II. Bezpieczny dostęp 3. Implementacja AAA w Cisco IOS Test „Czy już to wiesz?" Podstawowe zagadnienia Serwery Cisco Secure ACS, RADIUS i TACACS Dlaczego używamy Cisco ACS? Na jakiej platformie działa ACS? Czym jest ISE? Protokoły używane między ACS a routerem Wybór protokołu do komunikacji między serwerem ACS a klientem (routerem) Konfigurowanie routerów do współpracy z serwerem ACS Konfigurowanie serwera ACS do współpracy z routerem Weryfikacja i rozwiązywanie problemów interakcji między routerem a serwerem ACS Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć Zestawienie poleceń 39 39 43 43 43 44 44 44 4. Przynieś własne urządzenie (BYOD) Test „Czy już to wiesz?" Podstawowe zagadnienia Podstawy BYOD Struktura architektury BYOD Komponenty rozwiązania BYOD Zarządzanie urządzeniami mobilnymi (MDM) Opcje wdrażania MDM Wdrażanie MDM w lokalizacji firmy Wdrażanie MDM opartego na chmurze Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list 77 77 80 80 81 82 83 84 84 86 88 88 88 45 46 57 66 73 73 73 73 73 Definicje najważniejszych pojęć 88 Część III. Wirtualne sieci prywatne (VPN) 5. Podstawy technologii VPN i kryptografii Test „Czy już to wiesz?" Podstawowe zagadnienia Pojęcie sieci VPN i dlaczego jej używamy Czym jest VPN? Typy sieci VPN Dwa główne typy sieci VPN Główne zalety sieci VPN Poufność Integralność danych Uwierzytelnianie Ochrona przed atakami przez powtarzanie Podstawowe pojęcia kryptografii Szyfry i klucze Szyfry Klucze Szyfry blokowe i strumieniowe Szyfry blokowe Szyfry strumieniowe Algorytmy symetryczne i asymetryczne Symetryczne Asymetryczne Funkcja skrótu Kod uwierzytelniania wiadomości, HMAC Podpisy cyfrowe Podpisy cyfrowe w działaniu Zarządzanie kluczami Protokoły szyfrowania następnej generacji IPsec i SSL IPsec SSL Infrastruktura klucza publicznego Pary kluczy publiczny-prywatny Algorytm RS A, klucze i certyfikaty cyfrowe Kto ma klucze i cyfrowe certyfikaty? Jak dwie strony wymieniają klucze publiczne Tworzenie podpisu cyfrowego Urzędy certyfikacji (CA) Certyfikaty główne i certyfikaty tożsamości Certyfikat główny Certyfikat tożsamości 91 91 96 96 96 97 97 98 98 99 99 100 100 100 100 101 101 101 102 102 102 103 104 105 105 105 106 107 107 107 108 110 110 110 111 111 111 111 112 112 113 Użycie certyfikatów cyfrowych do uzyskania klucza publicznego Certyfikaty X.500 i X.509v3 Uwierzytelnienie i rejestracja przez CA Standardy kryptograficzne klucza publicznego Prosty protokół rejestracji certyfikatu Unieważnione certyfikaty Zastosowania certyfikatów cyfrowych Topologie PKI Jeden główny CA Hierarchiczny CA z podległymi CA Certyfikacja krzyżowa CA Elementy PKI w działaniu Domyślny certyfikat ASA Oglądanie certyfikatów w ASDM Dodawanie nowego certyfikatu głównego Łatwiejsza metoda instalowania certyfikatów głównych oraz certyfikatów tożsamości Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć Zestawienie poleceń do powtórki 114 114 115 116 117 117 118 118 119 119 119 119 120 120 121 6. Podstawy IP Security Test „Czy już to wiesz?" Podstawowe zagadnienia Pojęcia, składniki i działania IPsec Cel IPsec Protokół IKE (Internet Key Exchange) IPsec krok po kroku Krok 1. Uzgadnianie tunelu - faza 1 IKEv1 Krok 2: Uruchamianie protokołu wymiany klucza DH Krok 3: Uwierzytelnianie element równorzędnego Co się dzieje z oryginalnym pakietem użytkownika? Wykorzystanie utworzonych tuneli Teraz IPsec może chronić pakiety użytkowników Ruch przed IPsec Ruch po IPsec Podsumowanie opisu IPsec Konfigurowanie i weryfikowanie IPsec Narzędzia konfiguracji tuneli Rozpoczęcie planowania Konfigurowanie Odpowiednie polecenia wiersza poleceń na routerze Kończenie konfiguracji i weryfikacja IPsec 131 131 134 134 134 135 136 136 138 138 138 138 139 139 140 141 141 141 141 142 149 151 123 128 128 129 129 129 Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć Zestawienie poleceń do powtórki 158 158 158 158 159 7. Implementowanie sieci VPN IPsec lokalizacja-lokalizacja Test „Czy już to wiesz?" Podstawowe zagadnienia Planowanie i przygotowywanie sieci VPN IPsec lokalizacja-lokalizacja Potrzeby klientów Planowanie fazy 1 IKEv1 Planowanie fazy 2 IKEv1 Implementowanie i weryfikowanie sieci VPN lokalizacja-lokalizacja IPsec na urządzeniach Cisco IOS Rozwiązywanie problemów IPsec sieci VPN lokalizacja-lokalizacja w Cisco IOS Implementowanie i weryfikowanie sieci VPN lokalizacja-lokalizacja IPsec w Cisco ASA Rozwiązywanie problemów z sieciami VPN lokalizacja-lokalizacja IPsec w Cisco ASA Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć Zestawienie poleceń do powtórki 161 161 165 165 165 167 168 8. Implementowanie sieci VPN SSL za pomocą Cisco ASA Test „Czy już to wiesz?" Podstawowe zagadnienia Funkcje i zastosowanie SSL w sieciach VPN Czy IPsec został wyeliminowany? Struktura SSL i protokołu TLS SSL dla sieci VPN krok po kroku Wersje VPN SSL Konfigurowanie sieci VPN SSL bez klienta na ASA Używanie kreatora VPN SSL Certyfikaty cyfrowe Dostęp do profilu połączenia Uwierzytelnianie użytkowników Logowanie Przeglądanie działań VPN z serwera Wykorzystanie Cisco AnyConnect Secure Mobility Client Rodzaje sieci VPN SSL Konfigurowanie Cisco ASA do kończenia połączeń Cisco AnyConnect 217 217 220 220 220 221 222 223 224 224 226 226 226 230 232 233 233 170 178 192 207 213 213 213 213 213 Secure Mobility Client Grupy profile połączeń i wartości domyślne Jeden element o trzech różnych nazwach Podzielone tunelowanie Rozwiązywanie problemów VPN SSL Rozwiązywanie problemów z uzgodnieniem SSL Rozwiązywanie problemów z AnyConnect Client Początkowe problemy z łącznością Problemy związane z ruchem Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć 233 241 242 242 243 243 244 244 245 246 246 246 246 Część IV. Bezpieczny routing i przełączanie 9. Techniki zabezpieczania warstwy 2 Test „Czy już to wiesz?" Podstawowe zagadnienia Podstawy sieci VLAN i magistrali Czym jest sieć VLAN? Stosowanie magistrali z 802.1Q Krok po kroku podążamy za ramką Macierzysta sieć VLAN na magistrali Kim więc chcemy być? (pyta port) Routing między sieciami VLAN Problem korzystania wyłącznie z fizycznych interfejsów Korzystanie z wirtualnych „podinterfejsów" Podstawy protokołu drzewa rozpinającego Pętle w sieci nie są zwykle dobre Życie pętli Rozwiązanie problemu pętli warstwy 2 STP jest ostrożny wobec nowych portów Skracanie czasu przed przekazaniem Częste zagrożenia w warstwie 2 i sposoby ich ograniczania Zakłócenie na dole powoduje także zakłócenie na górze Najlepsze praktyki warstwy 2 Nie zezwalaj na uzgadnianie Narzędzia zabezpieczeń warstwy 2 Określone ograniczenia w warstwie 2 z punktu widzenia CCNA Security BPDU Guard Root Guard Zabezpieczenie portu CDP i LLDP DHCP Snooping 249 249 253 253 253 255 256 256 257 257 257 257 258 259 259 259 262 263 263 264 264 265 265 266 266 268 268 270 271 Dynamiczna inspekcja ARP Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Opis wideo zabezpieczeń portów dołączonego do książki Definicje najważniejszych pojęć Zestawienie poleceń 273 276 276 277 277 277 277 10. Network Foundation Protection (NFP) Test „Czy już to wiesz?" Podstawowe zagadnienia Korzystanie z NFP do ochrony sieci Infrastruktura sieci Struktura NFP Wzajemne zależności Implementacja NFP Opis płaszczyzny zarządzania Wszystko po kolei Najlepsze praktyki ochrony płaszczyzny zarządzania Opis płaszczyzny kontrolnej Najlepsze praktyki ochrony płaszczyzny kontrolnej Opis płaszczyzny danych Najlepsze praktyki ochrony płaszczyzny danych Dodatkowe mechanizmy ochronne płaszczyzny danych Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć 281 281 284 284 284 284 285 285 287 287 287 289 289 290 292 292 294 294 294 294 11. Zabezpieczanie płaszczyzny zarządzania na urządzeniach z systemem Cisco IOS Test „Czy już to wiesz?" Podstawowe zagadnienia Zabezpieczanie ruchu związanego z zarządzaniem Czym jest ruch związany z zarządzaniem i płaszczyzna zarządzania? Nie tylko niebieski kabel do konsoli Najlepsze praktyki na płaszczyźnie zarządzania Zalecenia przy tworzeniu haseł Używanie AAA do weryfikacji użytkowników Składniki AAA Możliwe miejsca przechowywania nazw użytkowników, haseł i reguł dostępu Autoryzacja użytkowników wirtualnej sieci prywatnej (VPN) Uwierzytelnianie dostępu do routera Lista metod AAA 297 297 300 300 300 300 301 303 304 304 305 306 307 308 Kontrola dostępu oparta na rolach (RBAC) Niestandardowe poziomy uprawnień Ograniczanie możliwości administratora poprzez przypisanie widoku Zaszyfrowane protokoły zarządzania Używanie plików dziennika Protokół NTP (Network Time Protocol) Ochrona plików systemu Cisco IOS Implementacja zabezpieczeń w celu ochrony płaszczyzny zarządzania Implementacja silnych haseł Uwierzytelnianie użytkowników za pomocą AAA Używanie CLI do rozwiązywania problemów z AAA na routerach Cisco Poziom uprawnień/widok analizatora w RBAC Implementowanie widoków analizatora SSH i HTTPS Implementacja funkcji zapisywania w dzienniku Konfiguracja obsługi syslog Cechy protokołu SNMP Konfiguracja NTP Protokół SCP (Secure Copy Protocol) Zabezpieczanie obrazu Cisco IOS i plików konfiguracyjnych Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć Zestawienie poleceń 309 310 310 310 311 313 313 314 314 316 320 325 327 329 332 332 334 338 339 340 342 342 343 343 343 12. Zabezpieczanie płaszczyzny danych w IPv6 Test „Czy już to wiesz?" Podstawowe zagadnienia Omówienie i konfiguracja IPv6 Dlaczego IPv6? Format adresu IPv6 Omówienie skrótów Mamy jakiś dodatkowy adres? Typy adresów IPv6 Konfiguracja routingu IPv6 Przechodzenie na IPv6 Tworzenie planu bezpieczeństwa IPv6 Najlepsze praktyki wspólne dla IPv4 i IPv6 Wspólne zagrożenia dla IPv4 i IPv6 Bezpieczeństwo protokołu IPv6 Nowe potencjalne zagrożenia związane z IPv6 Najlepsze praktyki IPv6 Listy kontroli dostępu IPv6 Zadania przygotowujące do egzaminu 347 347 350 350 350 351 353 353 353 356 357 358 358 359 360 361 363 364 366 Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć Zestawienie poleceń 366 366 366 366 13. Zabezpieczanie protokołów routingu i płaszczyzny kontrolnej Test „Czy już to wiesz?" Podstawowe zagadnienia Zabezpieczanie płaszczyzny kontrolnej Minimalizowanie wpływu ruchu płaszczyzny kontrolnej na procesor Zasady płaszczyzny kontrolnej Ochrona płaszczyzny kontrolnej Zabezpieczanie protokołów routingu Implementacja uwierzytelniania aktualizacji routingu OSPF Implementacja uwierzytelniania aktualizacji routingu EIGRP Implementacja uwierzytelniania aktualizacji routingu RIP Implementacja uwierzytelniania aktualizacji routingu BGP Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć 369 369 372 372 372 374 376 376 377 378 379 380 382 382 382 382 Część V. Technologie zapór sieciowych Cisco i systemu ochrony przed intruzami 14. Podstawy zapór sieciowych Test „Czy już to wiesz?" Podstawowe zagadnienia Pojęcia i technologie związane z zaporami sieciowymi Technologie zapór sieciowych Cechy dobrej zapory sieciowej Uzasadnienie stosowania zapór sieciowych Metoda dogłębnej obrony Metodologie zapór sieciowych Statyczne filtrowanie pakietów Brama warstwy aplikacji Stanowe filtrowanie pakietów Inspekcja aplikacji Transparentne zapory sieciowe Zapory następnej generacji Korzystanie z translacji adresów sieciowych (NAT) NAT ma związek z ukrywaniem lub zmianą informacji o adresach źródłowych Wewnętrzny zewnętrzny, lokalny, globalny Translacja adresów portów 385 385 388 388 388 388 389 391 392 393 394 394 396 396 397 397 398 398 400 Opcje NAT Tworzenie i wdrażanie zapór sieciowych Technologie zapór sieciowych Kwestie projektu zapory sieciowej Reguły dostępu w zaporach sieciowych Struktura reguły dostępu dla filtrowania pakietów Wskazówki dotyczące projektu reguł zapory sieciowej Konsekwentna implementacja reguł Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć 15. Implementowanie zapór sieciowych Cisco IOS opartych na strefach Test „Czy już to wiesz?" Podstawowe zagadnienia Zapory sieciowe Cisco IOS oparte na strefach Jak działa zapora sieciowa oparta na strefach Funkcje charakterystyczne zapór sieciowych opartych na strefach Strefy i dlaczego są potrzebne parami Składanie elementów w całość Zasady obsługi Strefa self Konfigurowanie i weryfikowanie zapór sieciowych Cisco IOS opartych na strefach Wszystko po kolei Wykorzystanie CCP do konfiguracji zapory sieciowej Weryfikacja zapory sieciowej Weryfikacja konfiguracji z wiersza poleceń Implementacja NAT oprócz ZBF Sprawdzanie, czy NAT działa Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć Zestawienie poleceń do powtórki 16. Konfigurowanie zasad podstawowej zapory sieciowej dla Cisco ASA Test „Czy już to wiesz?" Podstawowe zagadnienia Rodzina urządzeń ASA i ich funkcje Rodzina urządzeń ASA Funkcje i usługi ASA 401 402 402 402 403 404 404 405 408 408 408 408 411 411 414 414 414 414 415 416 417 420 420 420 421 434 436 439 443 444 444 444 444 444 447 447 450 450 450 451 Podstawy zapory sieciowej ASA Poziomy bezpieczeństwa urządzeń ASA Domyślny przepływ ruchu Narzędzia do zarządzania urządzeniem ASA Dostęp początkowy Filtrowanie pakietów na ASA Implementowanie list ACL filtrujących pakiety Modułowa struktura zasad Gdzie stosować zasadę Konfigurowanie ASA Rozpoczynanie konfiguracji Wejście do interfejsu graficznego użytkownika ASDM Konfigurowanie interfejsów Adresy IP dla klientów Podstawowy routing do Internetu NAT i PAT Zezwolenie na dodatkowy dostęp przez zaporę sieciową Używanie Packet Tracer do sprawdzania, które pakiety są dozwolone Weryfikowanie zasady „bez Telnetu" Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć Zestawienie poleceń do powtórki 453 454 455 457 457 457 458 459 460 460 460 469 471 478 479 480 482 485 489 490 490 490 490 491 17. Podstawy Cisco IDS/IPS Test „Czy już to wiesz?" Podstawowe zagadnienia IPS a IDS Co robią czujniki Różnica między IPS a IDS Platformy czujników Prawdziwy lub fałszywy, negatywny lub pozytywny Terminy pozytywny i negatywny Identyfikacja złośliwego ruchu w sieci IPS/IDS oparty na sygnaturach IPS/IDS oparte na zasadach IPS/IDS oparty na anomaliach IPS/IDS oparty na reputacji Kiedy czujniki wykrywają złośliwy ruch Sterowanie działaniami, które może podjąć czujnik Wdrażanie działań na postawie oceny ryzyka Omijanie IPS/IDS Zarządzanie sygnaturami Sygnatura czy poziomy znaczenia ataku 493 493 496 496 496 496 498 499 499 500 500 500 501 501 502 503 505 505 506 507 Monitorowanie i zarządzanie alarmami i alertami Informacje o bezpieczeństwie Najlepsze praktyki IPS/IDS Rozwiązania nowej generacji IPS Cisco Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć 508 508 509 510 511 511 511 511 Część VI. Zabezpieczenie treści i punktów końcowych 18. Techniki ograniczania zagrożeń atakami opartymi na poczcie e-mail oraz sieci WWW Test „Czy już to wiesz?" Podstawowe zagadnienia Techniki ograniczania zagrożeń opartych na poczcie Zagrożenia oparte na poczcie elektronicznej Zabezpieczanie poczty przez chmurę Cisco Hybrydowe rozwiązania Cisco do zabezpieczenia poczty Urządzenia Cisco do zabezpieczania poczty e-mail (ESA) Początkowa konfiguracja Cisco ESA Techniki ograniczania zagrożeń opartych na sieci WWW Cisco CWS Cisco WSA Urządzenie Cisco do zarządzania bezpieczeństwem treści Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień Uzupełnianie tabel i list Definicje najważniejszych pojęć Zestawienie poleceń do powtórki 19. Techniki ograniczania zagrożeń dla punktów końcowych Test „Czy już to wiesz?" Podstawowe zagadnienia Rozwiązania chroniące przez wirusami i innym złośliwym oprogramowaniem Osobiste zapory sieciowe i systemy ochrony przed intruzami na hostach Zaawansowana ochrona przez złośliwym oprogramowaniem dla punktów końcowych Sprzętowe i programowe szyfrowanie danych w punktach końcowych Szyfrowanie poczty e-mail Szyfrowanie danych przechowywanych w punktach końcowych Wirtualne sieci prywatne Zadania przygotowujące do egzaminu Powtórzenie najważniejszych zagadnień 513 513 516 516 516 516 517 517 520 523 523 525 529 531 531 531 531 531 533 533 536 536 538 538 540 540 541 541 543 543 Uzupełnianie tabel i list Definicje najważniejszych pojęć 543 543 Część VII. Ostatnie przygotowania 20. Końcowe przygotowania Narzędzia do końcowych przygotowań Mechanizm egzaminacyjny i pytania na płycie CD Instalowanie mechanizmu egzaminacyjnego Aktywacja i pobranie egzaminu próbnego Aktywacja innych egzaminów Cisco Learning Network Tabele do nauczenia na pamięć Ćwiczenia do powtarzania materiału na końcu rozdziałów Plan nauki Przypominanie faktów Ćwiczenie konfiguracji Korzystanie z mechanizmu egzaminacyjnego 545 545 545 545 546 546 546 547 547 547 547 548 548 Część VIII. Dodatki A. Odpowiedzi na pytania testu „Czy już to wiesz?" 551 B. Aktualizacje egzaminów CCNA Security 210-260 (IINS) Pobieranie najnowszej wersji z witryny książki Kwestie techniczne 557 557 558 Słownik 561 Skorowidz 573 oprac. BPK