CCNA Security 210-260 : przygotowanie do egzaminu na certyfikat

Transkrypt

CCNA Security 210-260 : przygotowanie do egzaminu na certyfikat :
oficjalny przewodnik / Omar Santos, John Stuppi. – Warszawa, 2016
Spis treści
Wprowadzenie
XXVII
Część I. Podstawy bezpieczeństwa sieci
1 Zasady zabezpieczania sieci
Test „Czy już to wiesz?"
Podstawowe zagadnienia
Sieci i podstawy bezpieczeństwa informacji
Cele zabezpieczania sieci
Poufność, integralność i dostępność
Analiza kosztów i korzyści wynikających z zabezpieczeń
Klasyfikacja zasobów
Klasyfikowanie luk bezpieczeństwa
Klasyfikowanie środków zaradczych
Co robimy z ryzykiem?
Rozpoznawanie aktualnych zagrożeń w sieci
Potencjalni napastnicy
Metody ataku
Kierunki ataków
Ataki przez pośrednika
Inne metody ataku
Stosowanie podstawowych zasad bezpieczeństwa w projekcie sieci
Wskazówki
Topologie sieci
Bezpieczeństwo sieci a środowisko wirtualne
Jak to wszystko do siebie pasuje
Zadania przygotowujące do egzaminu
Powtórzenie najważniejszych zagadnień
Uzupełnianie tabel i list
Definicje najważniejszych pojęć
1
1
4
4
4
4
5
7
8
9
10
10
10
11
13
13
14
16
16
17
20
22
24
24
24
24
2. Częste zagrożenia bezpieczeństwa
Krajobraz zagrożeń bezpieczeństwa sieci
Rozproszone ataki odmowy usługi
Metody socjotechniczne
Taktyka socjotechniki
27
27
30
30
30
31
32
Obrona przed atakami opartymi na socjotechnice
Narzędzia do identyfikacji złośliwego oprogramowania
Dostępne metody identyfikacji złośliwego oprogramowania
Utrata danych i metody eksfiltracji
Podsumowanie
32
33
34
35
36
37
37
37
37
Część II. Bezpieczny dostęp
3. Implementacja AAA w Cisco IOS
Serwery Cisco Secure ACS, RADIUS i TACACS
Dlaczego używamy Cisco ACS?
Na jakiej platformie działa ACS?
Czym jest ISE?
Protokoły używane między ACS a routerem
Wybór protokołu do komunikacji między serwerem ACS a klientem
(routerem)
Konfigurowanie routerów do współpracy z serwerem ACS
Konfigurowanie serwera ACS do współpracy z routerem
Weryfikacja i rozwiązywanie problemów interakcji między routerem
a serwerem ACS
Zestawienie poleceń
39
39
43
43
43
44
44
44
4. Przynieś własne urządzenie (BYOD)
Podstawy BYOD
Struktura architektury BYOD
Komponenty rozwiązania BYOD
Zarządzanie urządzeniami mobilnymi (MDM)
Opcje wdrażania MDM
Wdrażanie MDM w lokalizacji firmy
Wdrażanie MDM opartego na chmurze
77
77
80
80
81
82
83
84
84
86
88
88
88
45
46
57
66
73
73
73
73
73
88
Część III. Wirtualne sieci prywatne (VPN)
5. Podstawy technologii VPN i kryptografii
Pojęcie sieci VPN i dlaczego jej używamy
Czym jest VPN?
Typy sieci VPN
Dwa główne typy sieci VPN
Główne zalety sieci VPN
Poufność
Integralność danych
Uwierzytelnianie
Ochrona przed atakami przez powtarzanie
Podstawowe pojęcia kryptografii
Szyfry i klucze
Szyfry
Klucze
Szyfry blokowe i strumieniowe
Szyfry blokowe
Szyfry strumieniowe
Algorytmy symetryczne i asymetryczne
Symetryczne
Asymetryczne
Funkcja skrótu
Kod uwierzytelniania wiadomości, HMAC
Podpisy cyfrowe
Podpisy cyfrowe w działaniu
Zarządzanie kluczami
Protokoły szyfrowania następnej generacji
IPsec i SSL
IPsec
SSL
Infrastruktura klucza publicznego
Pary kluczy publiczny-prywatny
Algorytm RS A, klucze i certyfikaty cyfrowe
Kto ma klucze i cyfrowe certyfikaty?
Jak dwie strony wymieniają klucze publiczne
Tworzenie podpisu cyfrowego
Urzędy certyfikacji (CA)
Certyfikaty główne i certyfikaty tożsamości
Certyfikat główny
Certyfikat tożsamości
91
91
96
96
96
97
97
98
98
99
99
100
100
100
100
101
101
101
102
102
102
103
104
105
105
105
106
107
107
107
108
110
110
110
111
111
111
111
112
112
113
Użycie certyfikatów cyfrowych do uzyskania klucza publicznego
Certyfikaty X.500 i X.509v3
Uwierzytelnienie i rejestracja przez CA
Standardy kryptograficzne klucza publicznego
Prosty protokół rejestracji certyfikatu
Unieważnione certyfikaty
Zastosowania certyfikatów cyfrowych
Topologie PKI
Jeden główny CA
Hierarchiczny CA z podległymi CA
Certyfikacja krzyżowa CA
Elementy PKI w działaniu
Domyślny certyfikat ASA
Oglądanie certyfikatów w ASDM
Dodawanie nowego certyfikatu głównego
Łatwiejsza metoda instalowania certyfikatów głównych oraz certyfikatów
tożsamości
Zestawienie poleceń do powtórki
114
114
115
116
117
117
118
118
119
119
119
119
120
120
121
6. Podstawy IP Security
Pojęcia, składniki i działania IPsec
Cel IPsec
Protokół IKE (Internet Key Exchange)
IPsec krok po kroku
Krok 1. Uzgadnianie tunelu - faza 1 IKEv1
Krok 2: Uruchamianie protokołu wymiany klucza DH
Krok 3: Uwierzytelnianie element równorzędnego
Co się dzieje z oryginalnym pakietem użytkownika?
Wykorzystanie utworzonych tuneli
Teraz IPsec może chronić pakiety użytkowników
Ruch przed IPsec
Ruch po IPsec
Podsumowanie opisu IPsec
Konfigurowanie i weryfikowanie IPsec
Narzędzia konfiguracji tuneli
Rozpoczęcie planowania
Konfigurowanie
Odpowiednie polecenia wiersza poleceń na routerze
Kończenie konfiguracji i weryfikacja IPsec
131
131
134
134
134
135
136
136
138
138
138
138
139
139
140
141
141
141
141
142
149
151
123
128
128
129
129
129
158
158
158
158
159
7. Implementowanie sieci VPN IPsec lokalizacja-lokalizacja
Planowanie i przygotowywanie sieci VPN IPsec lokalizacja-lokalizacja
Potrzeby klientów
Planowanie fazy 1 IKEv1
Planowanie fazy 2 IKEv1
Implementowanie i weryfikowanie sieci VPN lokalizacja-lokalizacja
IPsec na urządzeniach Cisco IOS
Rozwiązywanie problemów IPsec sieci VPN lokalizacja-lokalizacja
w Cisco IOS
Implementowanie i weryfikowanie sieci VPN lokalizacja-lokalizacja
IPsec w Cisco ASA
Rozwiązywanie problemów z sieciami VPN lokalizacja-lokalizacja IPsec
w Cisco ASA
161
161
165
165
165
167
168
8. Implementowanie sieci VPN SSL za pomocą Cisco ASA
Funkcje i zastosowanie SSL w sieciach VPN
Czy IPsec został wyeliminowany?
Struktura SSL i protokołu TLS
SSL dla sieci VPN krok po kroku
Wersje VPN SSL
Konfigurowanie sieci VPN SSL bez klienta na ASA
Używanie kreatora VPN SSL
Certyfikaty cyfrowe
Dostęp do profilu połączenia
Uwierzytelnianie użytkowników
Logowanie
Przeglądanie działań VPN z serwera
Wykorzystanie Cisco AnyConnect Secure Mobility Client
Rodzaje sieci VPN SSL
Konfigurowanie Cisco ASA do kończenia połączeń Cisco AnyConnect
217
217
220
220
220
221
222
223
224
224
226
226
226
230
232
233
233
170
178
192
207
213
213
213
213
213
Secure Mobility Client
Grupy profile połączeń i wartości domyślne
Jeden element o trzech różnych nazwach
Podzielone tunelowanie
Rozwiązywanie problemów VPN SSL
Rozwiązywanie problemów z uzgodnieniem SSL
Rozwiązywanie problemów z AnyConnect Client
Początkowe problemy z łącznością
Problemy związane z ruchem
233
241
242
242
243
243
244
244
245
246
246
246
246
Część IV. Bezpieczny routing i przełączanie
9. Techniki zabezpieczania warstwy 2
Podstawy sieci VLAN i magistrali
Czym jest sieć VLAN?
Stosowanie magistrali z 802.1Q
Krok po kroku podążamy za ramką
Macierzysta sieć VLAN na magistrali
Kim więc chcemy być? (pyta port)
Routing między sieciami VLAN
Problem korzystania wyłącznie z fizycznych interfejsów
Korzystanie z wirtualnych „podinterfejsów"
Podstawy protokołu drzewa rozpinającego
Pętle w sieci nie są zwykle dobre
Życie pętli
Rozwiązanie problemu pętli warstwy 2
STP jest ostrożny wobec nowych portów
Skracanie czasu przed przekazaniem
Częste zagrożenia w warstwie 2 i sposoby ich ograniczania
Zakłócenie na dole powoduje także zakłócenie na górze
Najlepsze praktyki warstwy 2
Nie zezwalaj na uzgadnianie
Narzędzia zabezpieczeń warstwy 2
Określone ograniczenia w warstwie 2 z punktu widzenia CCNA Security
BPDU Guard
Root Guard
Zabezpieczenie portu
CDP i LLDP
DHCP Snooping
249
249
253
253
253
255
256
256
257
257
257
257
258
259
259
259
262
263
263
264
264
265
265
266
266
268
268
270
271
Dynamiczna inspekcja ARP
Opis wideo zabezpieczeń portów dołączonego do książki
273
276
276
277
277
277
277
10. Network Foundation Protection (NFP)
Korzystanie z NFP do ochrony sieci
Infrastruktura sieci
Struktura NFP
Wzajemne zależności
Implementacja NFP
Opis płaszczyzny zarządzania
Wszystko po kolei
Najlepsze praktyki ochrony płaszczyzny zarządzania
Opis płaszczyzny kontrolnej
Najlepsze praktyki ochrony płaszczyzny kontrolnej
Opis płaszczyzny danych
Najlepsze praktyki ochrony płaszczyzny danych
Dodatkowe mechanizmy ochronne płaszczyzny danych
281
281
284
284
284
284
285
285
287
287
287
289
289
290
292
292
294
294
294
294
11. Zabezpieczanie płaszczyzny zarządzania na urządzeniach
z systemem Cisco IOS
Zabezpieczanie ruchu związanego z zarządzaniem
Czym jest ruch związany z zarządzaniem i płaszczyzna zarządzania?
Nie tylko niebieski kabel do konsoli
Najlepsze praktyki na płaszczyźnie zarządzania
Zalecenia przy tworzeniu haseł
Używanie AAA do weryfikacji użytkowników
Składniki AAA
Możliwe miejsca przechowywania nazw użytkowników, haseł i reguł
dostępu
Autoryzacja użytkowników wirtualnej sieci prywatnej (VPN)
Uwierzytelnianie dostępu do routera
Lista metod AAA
297
297
300
300
300
300
301
303
304
304
305
306
307
308
Kontrola dostępu oparta na rolach (RBAC)
Niestandardowe poziomy uprawnień
Ograniczanie możliwości administratora poprzez przypisanie widoku
Zaszyfrowane protokoły zarządzania
Używanie plików dziennika
Protokół NTP (Network Time Protocol)
Ochrona plików systemu Cisco IOS
Implementacja zabezpieczeń w celu ochrony płaszczyzny zarządzania
Implementacja silnych haseł
Uwierzytelnianie użytkowników za pomocą AAA
Używanie CLI do rozwiązywania problemów z AAA na routerach Cisco
Poziom uprawnień/widok analizatora w RBAC
Implementowanie widoków analizatora
SSH i HTTPS
Implementacja funkcji zapisywania w dzienniku
Konfiguracja obsługi syslog
Cechy protokołu SNMP
Konfiguracja NTP
Protokół SCP (Secure Copy Protocol)
Zabezpieczanie obrazu Cisco IOS i plików konfiguracyjnych
309
310
310
310
311
313
313
314
314
316
320
325
327
329
332
332
334
338
339
340
342
342
343
343
343
12. Zabezpieczanie płaszczyzny danych w IPv6
Omówienie i konfiguracja IPv6
Dlaczego IPv6?
Format adresu IPv6
Omówienie skrótów
Mamy jakiś dodatkowy adres?
Typy adresów IPv6
Konfiguracja routingu IPv6
Przechodzenie na IPv6
Tworzenie planu bezpieczeństwa IPv6
Najlepsze praktyki wspólne dla IPv4 i IPv6
Wspólne zagrożenia dla IPv4 i IPv6
Bezpieczeństwo protokołu IPv6
Nowe potencjalne zagrożenia związane z IPv6
Najlepsze praktyki IPv6
Listy kontroli dostępu IPv6
347
347
350
350
350
351
353
353
353
356
357
358
358
359
360
361
363
364
366
366
366
366
366
13. Zabezpieczanie protokołów routingu i płaszczyzny kontrolnej
Zabezpieczanie płaszczyzny kontrolnej
Minimalizowanie wpływu ruchu płaszczyzny kontrolnej na procesor
Zasady płaszczyzny kontrolnej
Ochrona płaszczyzny kontrolnej
Zabezpieczanie protokołów routingu
Implementacja uwierzytelniania aktualizacji routingu OSPF
Implementacja uwierzytelniania aktualizacji routingu EIGRP
Implementacja uwierzytelniania aktualizacji routingu RIP
Implementacja uwierzytelniania aktualizacji routingu BGP
369
369
372
372
372
374
376
376
377
378
379
380
382
382
382
382
Część V. Technologie zapór sieciowych Cisco i systemu ochrony
przed intruzami
14. Podstawy zapór sieciowych
Pojęcia i technologie związane z zaporami sieciowymi
Technologie zapór sieciowych
Cechy dobrej zapory sieciowej
Uzasadnienie stosowania zapór sieciowych
Metoda dogłębnej obrony
Metodologie zapór sieciowych
Statyczne filtrowanie pakietów
Brama warstwy aplikacji
Stanowe filtrowanie pakietów
Inspekcja aplikacji
Transparentne zapory sieciowe
Zapory następnej generacji
Korzystanie z translacji adresów sieciowych (NAT)
NAT ma związek z ukrywaniem lub zmianą informacji o adresach
źródłowych
Wewnętrzny zewnętrzny, lokalny, globalny
Translacja adresów portów
385
385
388
388
388
388
389
391
392
393
394
394
396
396
397
397
398
398
400
Opcje NAT
Tworzenie i wdrażanie zapór sieciowych
Technologie zapór sieciowych
Kwestie projektu zapory sieciowej
Reguły dostępu w zaporach sieciowych
Struktura reguły dostępu dla filtrowania pakietów
Wskazówki dotyczące projektu reguł zapory sieciowej
Konsekwentna implementacja reguł
15. Implementowanie zapór sieciowych Cisco IOS opartych
na strefach
Zapory sieciowe Cisco IOS oparte na strefach
Jak działa zapora sieciowa oparta na strefach
Funkcje charakterystyczne zapór sieciowych opartych na strefach
Strefy i dlaczego są potrzebne parami
Składanie elementów w całość
Zasady obsługi
Strefa self
Konfigurowanie i weryfikowanie zapór sieciowych Cisco IOS opartych
na strefach
Wszystko po kolei
Wykorzystanie CCP do konfiguracji zapory sieciowej
Weryfikacja zapory sieciowej
Weryfikacja konfiguracji z wiersza poleceń
Implementacja NAT oprócz ZBF
Sprawdzanie, czy NAT działa
16. Konfigurowanie zasad podstawowej zapory sieciowej
dla Cisco ASA
Rodzina urządzeń ASA i ich funkcje
Rodzina urządzeń ASA
Funkcje i usługi ASA
401
402
402
402
403
404
404
405
408
408
408
408
411
411
414
414
414
414
415
416
417
420
420
420
421
434
436
439
443
444
444
444
444
444
447
447
450
450
450
451
Podstawy zapory sieciowej ASA
Poziomy bezpieczeństwa urządzeń ASA
Domyślny przepływ ruchu
Narzędzia do zarządzania urządzeniem ASA
Dostęp początkowy
Filtrowanie pakietów na ASA
Implementowanie list ACL filtrujących pakiety
Modułowa struktura zasad
Gdzie stosować zasadę
Konfigurowanie ASA
Rozpoczynanie konfiguracji
Wejście do interfejsu graficznego użytkownika ASDM
Konfigurowanie interfejsów
Adresy IP dla klientów
Podstawowy routing do Internetu
NAT i PAT
Zezwolenie na dodatkowy dostęp przez zaporę sieciową
Używanie Packet Tracer do sprawdzania, które pakiety są dozwolone
Weryfikowanie zasady „bez Telnetu"
453
454
455
457
457
457
458
459
460
460
460
469
471
478
479
480
482
485
489
490
490
490
490
491
17. Podstawy Cisco IDS/IPS
IPS a IDS
Co robią czujniki
Różnica między IPS a IDS
Platformy czujników
Prawdziwy lub fałszywy, negatywny lub pozytywny
Terminy pozytywny i negatywny
Identyfikacja złośliwego ruchu w sieci
IPS/IDS oparty na sygnaturach
IPS/IDS oparte na zasadach
IPS/IDS oparty na anomaliach
IPS/IDS oparty na reputacji
Kiedy czujniki wykrywają złośliwy ruch
Sterowanie działaniami, które może podjąć czujnik
Wdrażanie działań na postawie oceny ryzyka
Omijanie IPS/IDS
Zarządzanie sygnaturami
Sygnatura czy poziomy znaczenia ataku
493
493
496
496
496
496
498
499
499
500
500
500
501
501
502
503
505
505
506
507
Monitorowanie i zarządzanie alarmami i alertami
Informacje o bezpieczeństwie
Najlepsze praktyki IPS/IDS
Rozwiązania nowej generacji IPS Cisco
508
508
509
510
511
511
511
511
Część VI. Zabezpieczenie treści i punktów końcowych
18. Techniki ograniczania zagrożeń atakami opartymi na poczcie
e-mail oraz sieci WWW
Techniki ograniczania zagrożeń opartych na poczcie
Zagrożenia oparte na poczcie elektronicznej
Zabezpieczanie poczty przez chmurę Cisco
Hybrydowe rozwiązania Cisco do zabezpieczenia poczty
Urządzenia Cisco do zabezpieczania poczty e-mail (ESA)
Początkowa konfiguracja Cisco ESA
Techniki ograniczania zagrożeń opartych na sieci WWW
Cisco CWS
Cisco WSA
Urządzenie Cisco do zarządzania bezpieczeństwem treści
19. Techniki ograniczania zagrożeń dla punktów końcowych
Rozwiązania chroniące przez wirusami i innym złośliwym
oprogramowaniem
Osobiste zapory sieciowe i systemy ochrony przed intruzami na hostach
Zaawansowana ochrona przez złośliwym oprogramowaniem dla punktów
końcowych
Sprzętowe i programowe szyfrowanie danych w punktach końcowych
Szyfrowanie poczty e-mail
Szyfrowanie danych przechowywanych w punktach końcowych
Wirtualne sieci prywatne
513
513
516
516
516
516
517
517
520
523
523
525
529
531
531
531
531
531
533
533
536
536
538
538
540
540
541
541
543
543
543
543
Część VII. Ostatnie przygotowania
20. Końcowe przygotowania
Narzędzia do końcowych przygotowań
Mechanizm egzaminacyjny i pytania na płycie CD
Instalowanie mechanizmu egzaminacyjnego
Aktywacja i pobranie egzaminu próbnego
Aktywacja innych egzaminów
Cisco Learning Network
Tabele do nauczenia na pamięć
Ćwiczenia do powtarzania materiału na końcu rozdziałów
Plan nauki
Przypominanie faktów
Ćwiczenie konfiguracji
Korzystanie z mechanizmu egzaminacyjnego
545
545
545
545
546
546
546
547
547
547
547
548
548
Część VIII. Dodatki
A. Odpowiedzi na pytania testu „Czy już to wiesz?"
551
B. Aktualizacje egzaminów CCNA Security 210-260 (IINS)
Pobieranie najnowszej wersji z witryny książki
Kwestie techniczne
557
557
558
Słownik
561
Skorowidz
573
oprac. BPK

CCNA Security 210-260 : przygotowanie do egzaminu na certyfikat

Transkrypt

Podobne dokumenty

M3-SE-ASAiM3-SE-ASA-P

Cisco_RV180_data_sheet_PL

Cisco RV042-EU 2xWAN VPN Router

cisco.netacad.net

Konfiguracja połączenia VPN i test komunikacji ze

akademia cisco

LAB 1.1.5. Server DHCP + Linksys Wireless Router