1. CBAC - Context-based access control

2. Jak zostanie zablokowany niewłaściwy URL to jaka wada:

- zasad bezpieczenstwa

3. Wady ACL

- pofragmentowane

- groźne pakiety nie wzięte w ACL przejdą

4. Co wysyla IDS do IPS

-

5. Kiedy IPS przesle ramke do odbiorcy:

- alert

6. IDS i IPS różniece:

-

7. Co nie pasuje do IDS

- reject

8. Gdzie należy umieścić liste standardowa:

- najbliżej chronionej sieci

9. Gdzie należy umieścić liste rozszerzona

- najbliżej sieci zrodlowej

10. Usluga AAA

- TACACS +

11. Listy nazwane

- osadzane tak jak standardowe

12. Co może zostac wykorzystane do przy przyszłym ataku

- tylne wejscie

13. Dlaczego przy UDP musza być ustawione parametry progowe

- bo nie obsluguje 3 hand-shaking

- zmieniające porty

- ???

14. Ping z sieci 192.3.1.1 do innej, a potem ping z tego samego hosta na adres broadcast ze zmienieniem adres

- DoS

15. Dlaczego SSH jest lepsze od telnetu

- SSH szyfrowane

16. Router brzegowy

- DMZ

- logowanie użytkowników zewnętrznych, blokowanie dostępu z sieci zewnętrznej

- pierwsza ochrona

1.Ip 1 ping ip 2 odp ip 3 na ip 4 bradcats Jaki to atakt ?

2. Konto w banku zmienione dane. Jaki to atakt ? Maniupulacja danych

3.Jak przeciwdzialac atakom Dos. Odp rozszerzone listy ACL. CBAC

4.ACL rozszrzona albo standardowa na jakim interfejscie instaluje sie routera ?

5.Komenda, która przekazuje pakiet spowrotem nadawcy. Reject drop rset forward.

6.Róźnica między IPS a IDS 2 odp.

7.Łączenie na telnet na IP na rozne porty 25,80 Jaki atack rekonesans skanowanie portow grafitii ?

8.Co trzeba zmienic configu aby dzialalo ssha. Wlaczyc szyfrownaie hasla zmienic input ssha.

9.Jaki rodzaj ataku moze posluzyc w przyszlosci do wejscia do systemu. Socjotechnika tylne drzwi

10.Co nalezy zrobic zeby wlaczyc ssha. 2 odp generacja klucza ssha i ?

11.Co zmniejsza bezpieczenstwo systemu 2 odp aplety javy,jawne przesylanie hasel, domyslne hasla,

12.Czym się rózni ssha od telnetu.

13. Zla filtracja stron www Jaka to slabosc ? zarzadzania, komunikacji,technoloogii.

14.Blad protokolu , ktory naraza system. Jakie to niebezpieczenstwa.

15.Sprawdzanie bezpieczestwo w firmie. Odp metoda góra dół audyt kadry.

16.Firma chce autoryzacji AAA. Która technologia SSH, SSL, RADIUS.

17. Firma chce autoryzacji AAA. Która technologia TACAS+, IPSEC.

Atak słownikowy

dictionary attack") - technika używana do siłowego odgadywania kluczy kryptograficznych i haseł do systemów, w swoim działaniu zbliżona do metody brute force. Główna różnica między stosowanymi podejściami polega na sposobie dobierania haseł, które podlegają sukcesywnemu testowaniu. O ile w czystym ataku brute force bada się kolejno wszystkie dopuszczalne kombinacje klucza w celu odnalezienia właściwego wzoru, o tyle ataki słownikowe bazują tylko na sprawdzeniu niewielkiego podzbioru możliwych wartości, co do którego wiadomo, że jest niewspółmiernie często stosowany przy doborze haseł - na przykład listy słów występujących w danym języku, albo historycznej bazy popularnych haseł.

Ping of Heath

sposób ataku na serwer internetowy za pomocą wysłania zapytania ping (ICMP Echo Request) w pakiecie IP o rozmiarze większym niż 65535 bajtów.

Przechwytywanie sesji odnosi się do prób przejęcia poprawnej sesji (klucza sesji), aby uzyskać nieautoryzowany dostęp do usług bądź informacji systemu komputerowego. Zwykle odnosi się do nieuprawnionego wejścia w posiadanie klucza sesji, wykorzystywanego do identyfikacji użytkownika podczas jego wizyty w witrynie internetowej. Jest to istotne zagadnienie przy konstruowaniu stron internetowych, gdyż ciasteczka wykorzystywane do utrzymywania sesji mogą być bardzo łatwo ukradzione, na przykład poprzez wykorzystanie technik XSS.

Dane sesji mogą być przechowywane po stronie serwera, jednak pewnego rodzaju identyfikator sesji, czyli identyfikator "bycia zalogowanym", musi być przekazywany do serwera (wysyłany zwykle poza świadomością użytkownika poprzez ciasteczka, bądź metodę GET lub POST). Przechwycenie takiego identyfikatora (klucza sesji), umożliwia osobie postronnej dostęp do danej strony, tak, jakby przeglądał ją pełnoprawny użytkownik.

Przepełnienie bufora

(ang. Buffer overflow) - błąd programistyczny polegający na pobraniu do wyznaczonego obszaru pamięci (bufora) większej ilości danych, niż zarezerwował na ten cel programista. Taka sytuacja może często prowadzić do zamazania danych znajdujących się w pamięci bezpośrednio za buforem, a w rezultacie do błędnego działania programu. W wielu sytuacjach, zwłaszcza gdy dane, które wpisywane są do bufora podlegają kontroli osoby o potencjalnie wrogich intencjach, może dojść do nadpisania struktur kontrolnych programu w taki sposób, by zaczął on wykonywać operacje określone przez atakującego.

Przyczyną powstawania takich błędów jest najczęściej brak odpowiedniej wiedzy lub należytej staranności ze strony autora oprogramowania.

Smurf Attack

jest potomkiem ataku sieciowego o nazwie Ping flood, który polega na przeciążeniu łącza atakowanego systemu pakietami ping.

O ile w wypadku ataku Ping flood intruz wykorzystuje swoją przewagę w przepustowości używanego łącza, Smurf Atack umożliwia skuteczną akcję użytkownikom łącza o słabszych parametrach niż to należące do atakowanego systemu.

Atak ten polega na technice fałszowania zapytań ping (ICMP Echo Request), poprzez zamianę adresu źródła tych zapytań na adres atakowanego serwera. Tak spreparowane pakiety ping, wysyłane są na adres rozgłoszeniowy sieci zawierającej wiele komputerów. Pakiety zostają rozesłane do wszystkich aktywnych systemów w sieci, co powoduje przesłanie przez nie pakietów ICMP Echo Reply na sfałszowany wcześniej adres źródłowy atakowanej ofiary.

Posługując się tą techniką wzmocnienia ruchu sieciowego intruz może wysyłać mały strumień pakietów, a ofiara otrzymuje ich zwielokrotnioną ilość, w konsekwencji może to zablokować jej łącze do Internetu. Smurf Attack można również przeprowadzić za pośrednictwem pakietów UDP.

DDoS

DDoS (ang. Distributed Denial of Service) - atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. zombie).

Atak DDoS jest odmianą ataku DoS polegającą na jednoczesnym atakowaniu ofiary z wielu miejsc. Służą do tego najczęściej komputery, nad którymi przejęto kontrolę przy użyciu specjalnego oprogramowania (różnego rodzaju tzw. boty i trojany). Na dany sygnał komputery zaczynają jednocześnie atakować system ofiary, zasypując go fałszywymi próbami skorzystania z usług, jakie oferuje. Dla każdego takiego wywołania atakowany komputer musi przydzielić pewne zasoby (pamięć, czas procesora, pasmo sieciowe), co przy bardzo dużej ilości żądań prowadzi do wyczerpania dostępnych zasobów, a w efekcie do przerwy w działaniu lub nawet zawieszenia systemu.

Groźba ataku DDoS bywa czasami używana do szantażowania firm, np. serwisów aukcyjnych, firm brokerskich i podobnych, gdzie przerwa w działaniu systemu transakcyjnego przekłada się na bezpośrednie straty finansowe firmy i jej klientów. W takich przypadkach osoby stojące za atakiem żądają okupu za odstąpienie od ataku lub jego przerwanie. Szantaż taki jest przestępstwem.

Przykładem ataku DDoS był atak wirusa Mydoom 1 lutego 2004 na serwery firmy SCO oraz 3 lutego 2004 na serwery firmy Microsoft. Także po ochłodzeniu stosunków pomiędzy Rosją a Estonią w maju 2007 roku, wykorzystano tego typu atak do zablokowania serwerów urzędowych Estonii. Należy także pamiętać o atakach DDoS z 22 października 2002 i 6 lutego 2007, których celem stały się serwery DNS, atak miał na celu zablokowanie internetu, na szczęście próba się nie powiodła. W Polsce w dniach od 30 listopada do ok. 3 grudnia 2006 miał miejsce atak na portal Gazeta.pl[1]. Innym głośnym celem ataków DDoS stał się w maju 2007 serwis policja.pl - według spekulacji prasowych, miało to być odwetem za policyjny nalot na jeden z serwisów udostępniających napisy do filmów w Internecie[2].

DoS

tak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów.

Atak polega zwykle na przeciążeniu aplikacji serwującej określone dane czy obsługującej danych klientów (np. wyczerpanie limitu wolnych gniazd dla serwerów FTP czy WWW), zapełnienie całego systemu plików tak, by dogrywanie kolejnych informacji nie było możliwe (w szczególności serwery FTP), czy po prostu wykorzystanie błędu powodującego załamanie się pracy aplikacji.

W sieciach komputerowych atak DoS oznacza zwykle zalewanie sieci (ang. flooding) nadmiarową ilością danych mających na celu wysycenie dostępnego pasma, którym dysponuje atakowany host. Niemożliwe staje się wtedy osiągnięcie go, mimo że usługi pracujące na nim są gotowe do przyjmowania połączeń.

IP spoofing

to termin określający fałszowanie źródłowego adresu IP w wysyłanym przez komputer pakiecie sieciowym. Takie działanie może służyć ukryciu tożsamości atakującego (np. w przypadku ataków DoS), podszyciu się pod innego użytkownika sieci i ingerowanie w jego aktywność sieciową, lub wykorzystaniu uprawnień posiadanych przez inny adres (atak wykorzystany przez Kevina Mitnicka w celu dostania się do komputera Tsutomu Shimomury).

Obecnie ataki tego typu są w pewnym stopniu udaremniane przez filtrowanie wprowadzone przez niektórych dostawców usług internetowych, a także stosowanie kryptograficznych zabezpieczeń komunikacji i trudnych do odgadnięcia początkowych numerów sekwencyjnych TCP/IP. Ataki DoS na usługi TCP/IP mogą być dodatkowo ograniczone mechanizmem SYN cookies.

Ping Flood

popularny sposób ataku na serwer internetowy polegający na przeciążeniu łącza pakietami ICMP generowanymi na przykład przez program ping. Przeprowadza się go za pomocą komputera posiadającego łącze o przepustowości większej niż przepustowość łącza atakowanej maszyny, lub za pomocą wielu niezależnych komputerów.

Atakowany serwer otrzymuje bardzo dużą ilość zapytań ping (ICMP Echo Request), odpowiadając na każde za pomocą (ICMP Echo Reply), co może doprowadzić do przeciążenia jego łącza do internetu i w konsekwencji niedostępności oferowanych serwisów.

Jednym ze sposobów obrony przed tego typu atakiem jest firewall, który filtruje pakiety ICMP Echo Request.

man in the middle

atak kryptologiczny polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy.

Przykładem takiego ataku jest podsunięcie nadawcy własnego klucza przy transmisji chronionej szyfrem asymetrycznym. Scenariusz takiego ataku w systemie klucza publicznego mógłby wyglądać następująco:

Alicja chce połączyć się z Bobem (np. stroną banku internetowego). Ewa jest osobą atakująca transmisję w celu przechwycenia tajnych haseł Alicji

Ewa w pierwszym etapie musi przekierować ruch z komputera Alicji do Boba na swój komputer, może to zrobić np. zmieniając dane podawane przez DNS o adresie komputera Boba, lub nasłuchiwać zapytań do DNS i w odpowiednim momencie wysłać adres swojego komputera.

Po połączeniu Ewa przekazuje Alicji swój klucz publiczny rzekomo jako klucz publiczny Boba, jednocześnie nawiązuje połączenie z Bobem, a otrzymane od niego dane (np. treść strony www) przekazuje Alicji.

Alicja widząc stronę logowania Boba, wpisuje w przeglądarce swoje tajne hasło i wysyła je do Ewy, nie wiedząc o przechwyceniu transmisji.

W zależności od celu ataku, Ewa po odczytaniu hasła albo przerywa transmisję, albo w dalszym ciągu pośredniczy w transmisji pomiędzy Alicją i Bobem, cały czas wykradając tajne dane (stan konta, dodatkowe hasła itp.).

W ten sposób Ewa potrafi odczytać wszystkie przesyłane pozornie bezpiecznym kanałem dane, nie będąc zmuszona do czasochłonnego łamania szyfrów zabezpieczających transmisję.

Sytuacja normalna:

Alicja < [Klucz Alicji] --RSA/AES-- [Klucz Boba] > Bob

Atak Ewy:

Alicja < [Klucz Alicji] --RSA/AES-- [Klucz Ewy 1] > Ewa < [Klucz Ewy 2]--RSA/AES-- [Klucz Boba] > Bob

Którą z czynności wykonuje system IPS, a nie wykonuje system IDS? (wybierz dwie)

- uodpornienie systemu

- podjecie dzialania w stosunku do niebezpiecznej ramki

- monitorowanie ataku

- wykrywanie ataku

Wybierz najlepsze miejsce instalowania standardowej listy dostępu

- w dowolnym miejscu trasy pakietow pochodzacych z Internetu

- na interfejsie znajdującym się najbliżej źródłowej sieci

- na interfejsie znajdującym się najbliżej chronionej sieci

- na interfejsie wejściowym routera brzegowego do filtrowania pakietow wchodzących

Wewnetrzna podatność protokolu komunikacyjnego jest przykładem którego typu wady (slabosci) systemu ?

- słabość transportu

- słabość technologii

- słabość zasad bezpieczeństwa

- słabość zbieżności protokolow

Jakie sa niedostatki zwrotnej listy dostępu (wybierz dwa):

- mogą wykorzystywac tylko rozszerzone nazwane listy dostępu

- sa ograniczone tylko do obsługi polaczen w protokolach połączeniowych np. TCP

- nie pracuja poprawnie z protokolami, które zmieniaja numery portow w czasie pracy

- do uruchomienia zwrotnej listy dostępu może być wykorzystane tylko zakończone sukcesem polaczenie SSH z routerem

Administrator probuje zabezpieczyc zdalny dostep do routera wykorzystując SSH. Której zmiany musi dokonac w podanym nizej pliku konfiguracyjnym, aby osiągnąć sukces ?

!

hostname Lab_A

!

enable password cisco

!

line con 0

line aux 0

line vty 0 4

password cisco

login

transport input telnet

!

- haslo “enable” musi byc zaszyfrowane

- zamiast komendy “transport input telnet” musi wystapic komenda “transport input ssh”

- haslo logowania musi być zaszyfrowane

- zamiast komendy „transport input telnet” musi wystąpić komenda „transport input none”

Skonfigurowanie usługi SSH wymaga wykonania następujących czynności na routerze (wybierz dwie)

- jednorazowego wygenerowania klucza RSA na podstawie zdefiniowanej wczesniej domeny nazwowej

- uruchomienia usługi SSH na linii konsole

- zdefiniowanie nazwy domeny nazwowej niezbędnej do wygenerowania klucza RSA

- zdefiniowanie zaszyfrowanego hasla „enable secret”

- zdefiniowanie hasla umozliwiajacego zalogowanemu użytkownikowi na wejście do trybu uprzywilejowanego

Do niedostatkow konfiguracji systemu z punktu widzenia bezpieczeństwa możemy zaliczyc (wybierz dwie)

- nieodpowiednie monitorowanie i prowadzenie audytu

- domyślne hasla na urządzeniach sieciowych

- nieautoryzowane zmiany w topologii sieci

- zezwolenie na uruchomienie apletow Javy w przeglądarce

- brak planu odtwarzania systemu

Dlaczego usluga CBAC wymaga definiowania progowych wartości parametrow dotyczących sesji dla polaczen UDP?

- dlatego, ze protokol UDP nie jest protokolem połączeniowym

- dlatego, ze rozmiar pakietu UDP jest zmienny w bardzo duzym zakresie

- dlatego ze UDP nie uzywa mechanizmu „3-handshake” przy negocjacji i usluga nie jest w stanie odgadnąć wynegocjowanych wartości parametrow

- dlatego, ze numer sekwencyjny w UDP może przekroczyc wartość możliwa do zapisania na 16 bitach.

Zasady bezpieczeństwa pewnej firmy wymagaja uzycia centralnego serwera AAA do uwierzytelniania dostępu. Który z następujących protokolow jest obsługiwany przez serwer AAA?

- SSH

- TACACS+

- SSL

W jaki sposób sa przetwarzane zapisy w liscie kontroli dostępu?

- najpierw zapisy zawierające parametr „deny” sa przetwarzane kolejno, a gdy nie znajdzie się dostosowanie do wzorca, to przetwarzane sa kolejne zapisy zawierające parametr „permit”

- najpierw sprawdzane sa dopasowania adresow źródłowych we wszystkich zapisach ACL, a pozniej dopasowania adresow docelowych

- zapisy sa przetwarzane kolejno dopóki nie znaleziony będzie pasujący zapis zawierający „permit”

- zapisy ACL przetwarzane sa sekwencyjnie - jeżeli dopasowanie zostanie znalezione, to pakiet jest odrzucany (deny) lub przepuszczany (permit)

Użytkownik pracuje na komputerze o adresie IP 193.1.1.1 ze standardowa maska. Wyslal ramke ICMP Echo Request z adresem nadawcy 193.1.1.1 i adresem odbiorcy 100.1.1.1. Po odebraniu odpowiedzi wyslal kolejna ramke ICMP Echo Request z adresem nadawcy 193.1.1.99 i adresem odbiorcy 100.255.255.255.

Który rodzaj ataku najprawdopodobniej zostal wykonany?

- rekonesans

- skanowanie portow

- paraliz (blokada) usług

- manipulacja danymi

Do niedostatkow bezpieczeństwa systemu możemy zaliczyc (wybierz dwie)

- zezwolenie na uruchomienie apletow Javy w przeglądarce

- domyślne hasla na urządzeniach sieciowych

- nieodpowiednie monitorowanie i prowadzenie audytu

- nieautoryzowane zmiany w topologii sieci

- przekazywanie nazw kont i hasel jawnym tekstem w transmisji przez siec

Czy jest agent SNMP?

- wezel sieciowy, który jest elementem zarządzanej sieci

- programowy modul zarzadzania siecia rezydujący na zarządzanym urzadzeniu

- wezel, który odbiera statystyki i alerty od zarządzanym urządzeń

- wezel sieciowy, na którym jest uruchomiona aplikacja do monitorowania i sterowania zarządzanym urzadzeniem

Wybierz najlepsze miejsce instalowania nazwanej listy dostępu:

- jeżeli nazwana lista jest lista rozszerzona, to na interfejsie znajdującym się najbliżej zrodlowej sieci

- w dowolnym miejscu trasy pakietow pochodzących z Internetu

- jeżeli nazwana lista jest lista standardowa, to na interfejsie znajdującym się najbliżej źródłowej sieci

- jeżeli nazwana lista jest lista rozszerzona, to na interfejsie znajdującym się najbliżej chronionej sieci

- na interfejsie wejściowym routera brzegowego do filtrowania pakietow wchodzących

Użytkownik wykonując czynności na swoim koncie bankowym przez Internet odkryl, ze pewne parametry jego konta zostaly zmienione bez jego autoryzacji. Który rodzaj ataku najprawdopodobniej zostal wykonany?

- rekonesans

- paraliz (blokada) usług

- skanowanie portow

- manipulacja danymi

Użytkownik wykonal następujące czynności: wydal komende ping na adres A.A.A.A i po odpowiedzi zapisal liczbe występująca przy parametrze TTL; nastepnie wydal serie następujących komend:

telnet A.A.A.A

telnet A.A.A.A 25

telnet A.A.A.A 80

telnet A.A.A.A 21

Za każdym razem zapisywal tresc podana na ekranie. Który rodzaj ataku najprawdopodobniej zostal wykonany?

- skanowanie portow

- rekonesans

- manipulacja danymi

- paraliz (blokada) usług

Niedostatki filtrowania pakietow (wybierz dwa)

- nie możliwe jest filtrowanie pakietow protokolow IP i IPX na jednym interfejsie w jednym kierunky

- pofragmentowane pakiety mogą pokonac filtr

- dostępne w systemie IOS listy ACL filtruja tylko pakiety z rodziny protokolow TCP/IP

- nie sa filtrowane uslugi dynamicznie zmieniejace porty

Która z następujących praktyk powinna być realizowana w celu wdrozenia skutecznych zasad bezpieczeństwa?

- wykorzystanie metody dol-gora

- powinna obejmowac zasieg sieci LAN

- specjalna uwage zwrocic na nowoczesne metody szyfrowania

- we wdrazaniu musza brac udziale najwyższe wladze firmy

Napastnik przy pomocy narzędzia NMAP wykrywa które usługi TCP i UDP są uruchomione na danym komputerze. Który typ ataku jest tutaj opisany:

- powtórzenie sesji

- rekonesans

- paraliż (blokada) usług

- zainstalowanie "tylnego wyjścia"

Skonfigurowanie usługi SSH wymaga wykonania następujących czynności na routerze (wybierz dwie)

- jeżeli wybrano lokalne uwierzytelnienie, to zdefiniowanie dla uzytkownika nazwy konta i hasła

- uruchomienie usługi SSH na lini console

- jednorazowego wygenerowania klucza RSA na podstawie zdefiniowanej wcześniej domeny nazwowej

- zdefiniowanie zaszyfrowanego hasla "enable secret"

- zdefiniowanie hasła umozliwiającego zalogowanemu użytkownikowi na wejście do trybu uprzywilejowanego

Który z ponizszych sposobów może być wykorzystany do przyszłego ataku:

- przechwytywanie sesji

- socjotechnika

- maskarada

- tylne wyjscie

Wszystkie z niżej wymienionych są reakcją systemu IDS na atak za wyjątkiem _________:

- pomiń (drop)

- alarmuj (alarm)

- zeruj(reset)

- odrzuć (reject)

Jakie są niedostatki zwrotnej listy dostępu (wybierz dwa)

- po uruchomieniu zwrotnej listy dostępu może być wykorzystane tylko zakończone sukcesem

połączenia SSH z routerem

- mogą wykorzystywać tylko rozszerzone nazwane listy dostępu

- nie pracują poprawnie z protokołami, które zmieniają numery portów w czasie pracy

- mogą być instalowane tylko na jednym interfejsie routera

Które sformułowanie określa sygnaturę bazującą na jednym pakiecie:

- sygnatura jednokrotna

- sygnatura atomowa

- sygnatura modularna

- sygnatura zlożona

Jak zostanie zablokowany niewłaściwy URL to jaka wada:

- zasad bezpieczenstwa

Wady ACL

- pofragmentowane

- groźne pakiety nie wzięte w ACL przejdą

Co wysyla IDS do IPS

-

Kiedy IPS przesle ramke do odbiorcy:

- alert

IDS i IPS różnice:

-

Gdzie należy umieścić liste rozszerzona

- najbliżej sieci zrodlowej

Ping z sieci 192.3.1.1 do innej, a potem ping z tego samego hosta na adres broadcast ze zmienieniem adresu:

- Dos

Dlaczego SSH jest lepsze od telnetu

- SSH szyfrowane

Router brzegowy

- DMZ

- logowanie użytkowników zewnętrznych, blokowanie dostępu z sieci zewnętrznej

- pierwsza ochrona

- IDS

Wykrywanie (skanowanie) i informowanie wystapieniu ataku

IDS Senor - modul przeznaczony do ochrony przed nieautoryzowanym zlosliwa aktywnością

„na bieżąco” sprawdza

- IPS wykrywanie ataku, zatrzymanie ataku i uodpornienie systemu na atak

Sygnatury - opis charakterystyczny atakow ramka porownowana jest ze znanymi sygnaturami, rodzaje:

- informacyjna

- ataku

Złożoności:

- pojedyncza (na podst 1 ramki)

- złożone (na podstawie wielu ramek

Implementacja IPS

-programowa

- sprzetowa (modul dla 2600, 3600, 3700)

Lub dedykowane urzadzenia 4200 IPS (900 sygnatur)

Rodzaje zagrożeń:

- niestrukturalne (niedoświadczony haker)

- haker

Rodzaje atakow

- rekonesans (rozpoznawanie)

- dostep (udane wejście; wykorzystuje podatności)

- Dos (Deny of sernice) TFN, SMURF

- robaki, wirusy, trojany

Strefa DMZ

strefa zdemilitaryzowana bądź ograniczonego zaufania - jest to wydzielany na zaporze sieciowej (ang. firewall) obszar sieci komputerowej nie należący ani do sieci wewnętrznej (tj. tej chronionej przez zaporę), ani do sieci zewnętrznej (tej przed zaporą; na ogół jest to Internet). W strefie zdemilitaryzowanej umieszczane są serwery "zwiększonego ryzyka włamania", przede wszystkim serwery świadczące usługi użytkownikom sieci zewnętrznej, którym ze względów bezpieczeństwa nie umożliwia się dostępu do sieci wewnętrznej (najczęściej są to serwery WWW i FTP). W strefie zdemilitaryzowanej umieszczane są także te serwery usług świadczonych użytkownikom sieci wewnętrznej, które muszą kontaktować się z obszarem sieci zewnętrznej (serwery DNS, proxy, poczty i inne).

W przypadku włamania na serwer znajdujący się w strefie DMZ intruz nadal nie ma możliwości dostania się do chronionego obszaru sieci wewnętrznej

RADIUS

(ang. Remote Authentication Dial In User Service), usługa zdalnego uwierzytelniania użytkowników, którzy wdzwaniają się do systemu (poprzez usługę "połączenia dodzwaniane"). Protokół używany do uwierzytelniania. Stosowany przez dostawców internetowych na serwerach innych niż serwery z systemem Windows. Obecnie jest najpopularniejszym protokołem podczas wierzytelniania i autoryzowania użytkowników sieci telefonicznych i tunelowych.

Radius jest serwerem zdalnego uwierzytelnienia i rozliczania użytkowników. Najlepiej stosuje się do potrzeb usługodawcy internetowych. Oprócz tego może on być zastosowany do każdej sieci potrzebującej uwierzytelnienia centralizowanego dla swoich stacji roboczych.

Razem z serwerem uwierzytelnienia i rejestracji pakiet zawiera narzędzia do administrowania serwerem.

TACACS+

Protokół TACACS+ to najnowsza generacja systemu Terminal Access Controller Access Control System (TACACS). TACACS jest opartym na UDP protokole kontroli dostępu, pierwotnie opracowany przez BBN dla MILNET.Firma Cisco dokonała kilka udoskonaleń protokołu TACACS, a opracowana przez nią własna implementacja, oparta na oryginalnym TACACS, nazywana jest XTACACS. Poniżej zamieszczono podstawowe różnice pomiędzy TACACS, XTACACS i TACACS+:

• TACACS - posiada połączony proces uwierzytelniania i autoryzacji.

• XTACACS - oddzielne zostały fazy AAA.

• TACACS+ - XTACACS z rozbudowanymi mechanizmami sterowania atrybutami i rejestrowania kont. Jest to najpowszechniej stosowana implementacja.¹

TACACS+ dla transportu wykorzystuje port TCP. Demon najczęściej nasłuchuje na porcie 49, czyli porcie logowania przydzielonemu protokołowi TACACS. Numer tego portu jest zarezerwowany w protokołach TCP i UDP, zgodnie z dokumentacja RFC. Obecne i rozszerzone implementacje TACACS również działają na porcie numer 49.

TACACS+ jest protokołem kliencko-serwerowym. Klientem TACACS+ jest przeważnie serwer NAS, a serwerem demon pracujący pod kontrola systemu UNIX lub NT. Podstawowym elementem projektu TACACS+ jest separacja AAA.

Kerberos jest protokołem uwierzytelniania i autoryzacji w sieci komputerowej z wykorzystaniem Centrum Dystrybucji Kluczy, zaprojektowanym w Massachusetts Institute of Technology.

Jako główną metodę kryptograficzną w projekcie zastosowano DES.

Kerberos realizuje bezpieczeństwo w sieci w trzech aspektach: umożliwia weryfikację tożsamo ci komunikujšcych się stron, zapewnia integralno ć przesyłanych danych, zapewnia poufno ć danych

Aby zabiezpieczyc router i switch:

Haslo na port

- Console

- AUX

- vty (terminal wirtualny)

- protokoł SSH (DES, 3DES, uwierzytelnienie usera -RADIUS, TACACS+)

VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna), można opisać jako "tunel", przez który płynie ruch w ramach sieci prywatnej pomiędzy klientami końcowymi za pośrednictwem publicznej sieci (takiej, jak Internet) w taki sposób, że węzły tej sieci są przezroczyste dla przesyłanych w ten sposób pakietów. Taki kanał może opcjonalnie kompresować lub szyfrować w celu zapewnienia lepszej jakości lub większego poziomu bezpieczeństwa przesyłanych danych.

Określenie "Wirtualna" oznacza, że sieć ta istnieje jedynie jako struktura logiczna działająca w rzeczywistości w ramach sieci publicznej, w odróżnieniu od sieci prywatnej, która powstaje na bazie specjalnie dzierżawionych w tym celu łącz. Pomimo takiego mechanizmu działania stacje końcowe mogą korzystać z VPN dokładnie tak jak gdyby istniało pomiędzy nimi fizyczne łącze prywatne. Rozwiązania oparte na VPN powinny być stosowane np. w firmach, w których dosyć często pracuje się zdalnie ze swoich domów na niezabezpieczonych łączach. Wirtualne Sieci Prywatne charakteryzują się dość dużą efektywnością, nawet na słabych łączach (dzięki kompresji danych) oraz wysokim poziomem bezpieczeństwa (ze względu na szyfrowanie).

Najczęściej spotykane protokoły VPN to: IPSec, PPTP

IPsec to zbiór protokołów służących implementacji bezpiecznych połączeń oraz wymiany kluczy kodowych pomiędzy komputerami. Protokoły tej grupy mogą być wykorzystywane do tworzenia Wirtualnej Sieci Prywatnej (ang. VPN).

VPN oparta na IPsec składa się z dwóch kanałów komunikacyjnych pomiędzy połączonymi komputerami: kanał wymiany kluczy za pośrednictwem którego przekazywane są dane związane z uwierzytelnianiem oraz kodowaniem (klucze) oraz kanału (jednego lub więcej), który niesie pakiety transmitowane poprzez sieć prywatną. Kanał wymiany kluczy jest standardowym protokołem UDP (port 500). Kanały przesyłu danych oparte są na protokole ESP (protokół numer 50) opisanym w dokumencie RFC 2406.

PPTP (ang. Point to Point Tunneling Protocol) to protokół komunikacyjny umożliwiający tworzenie wirtualnych sieci (VPN) wykorzystujących technologię tunelowania. Polega to na zdalnym dołączaniu się do stacji roboczych lub sieci (głównie opartych na systemie operacyjnym Windows) za pośrednictwem Internetu i tworzeniu pozorów połączenia z lokalną siecią, bez wychodzenia z domu zapewniając jednocześnie zachowanie bezpieczeństwa przy zdalnym przesyłaniu danych. Inicializacja połaczenia wykonywana jest na port 1723.

Najbardziej rozpowszechniona implementacja PPTP została opracowana przez firmę Microsoft. Protokół PPTP stanowi standardowe wyposażenie systemu operacyjnego Windows od wersji 98 i NT. Konfiguracja serwera PPTP możliwa jest również w innych systemach operacyjnych. Przykładem może być PoPToP dedykowany systemom Linux, OpenBSD oraz FreeBSD

Tunel - zestawienie połączenia między dwoma odległymi hostami tak, by stworzyć wrażenie, że są połączone bezpośrednio.

W miarę rozwoju sieci komputerowych najpierw lokalnych, a następnie rozległych, powstało zapotrzebowanie na łączenie ze sobą różnych sieci lokalnych za pośrednictwem publicznych sieci rozległych. Sieci lokalne korzystają jednak z innych protokołów sieciowych niż sieci rozległe. Na przykład popularne sieci lokalne firmy Novell pracują w protokole IPX, sieci rozległe wykorzystują natomiast protokoły Frame-Relay, ATM, X.25, a na nich często IP (np. Internet). Łączenie sieci wykorzystujących inny protokół niż sieć rozległą, za pomocą której łączymy sieci rozległe w sieć wirtualną, nie jest jedynym przesłaniem wykorzystywania tunelowania. Drugim i często istotniejszym jest bezpieczeństwo. Szczególnie ostatnio tunelowanie bywa często łączone z wykorzystaniem metod kryptograficznych. Często zwykli użytkownicy Internetu stosują tę technikę do własnych potrzeb. Przykładem jest korzystanie z dostępnego w Internecie oprogramowania szyfrującego o nazwie SSH. Oprogramowanie to, oprócz bezpiecznej pracy zdalnej, umożliwia tworzenie dodatkowego kanału szyfrowanego, przez który użytkownik może "tunelować" dowolną inną - potencjalnie narażoną na niebezpieczeństwo podsłuchu - usługę TCP/IP (np. FTP, telnet, IRC). Warunkiem jest jedynie zainstalowane SSH na obu końcach połączenia.

Generalnie można stwierdzić, iż tunelowanie umożliwia przesyłanie pewnych usług sieciowych za pośrednictwem innych, często odmiennych usług sieci, pracujących w różnych standardach.

Niezależnie od rodzaju używanych protokołów i celu, do jakiego tunelowanie ma służyć, jego podstawowa technika pozostaje taka sama. Zwykle jeden protokół służy do ustanowienia połączenia z miejscem zdalnym a drugi do opakowywania danych i instrukcji w celu przesyłania ich przez tunel.

Przykładem wykorzystania tunelu do obejścia niezgodności między protokołami i adresami jest zestaw SIT (z ang Simple Internet Transition) który dołączony jest do protokołu IPv6. Technika tunelowania wykorzystana jest na przykład jako narzędzie dostarczone przez grupę roboczą do spraw Internetu ułatwiające przechodzenie od wersji 4protokołu Internetu do jego wersji 6. Wersje IPv4 i IPv6 różnia się od siebie na tyle, że ich bezpośrednie współdziałanie nie jest możliwe. Współdziałanie umożliwia im dopiero zastosowanie tunelowania protokołu IPv4 przez protokół IPv6 i na odwrót.

Tunelowanie służy również zabezpieczaniu danych przez utworzenie wokół nich osłony przydatnej podczas przesyłania ich przez domeny pozbawione mechanizmów bezpieczeństwa. Protokołem tunelowania zaprojektowanym specjalnie w celu realizacji tej funkcji jest protokół PPTP (z ang Point to Point Tunneling Protocol).

The third variable parameter is security_level. The security level is used to define how to configure the PIX to permit traffic to be passed. The inside interface has a default security level of 100. The outside interface has a default security level of 0. 100 is the maximum permitted, and 0 is the minimum. An interface with a higher security level number assigned is considered more secure. If the PIX has more than two interfaces, the default security level of the additional interfaces is 10 for E2 and 15 for E3; each additional interface security level increments by 5.

NAT (skr. od ang. network address translation, tłumaczenie adresów sieciowych; czasem native address translation, tłumaczenie adresów rodzimych), znane również jako maskarada sieci lub IP (od ang. network/IP masquerading) - technika przesyłania ruchu sieciowego poprzez router, która wiąże się z zmianą źródłowych i/lub docelowych adresów IP, zwykle również numerów portów TCP/UDP pakietów IP podczas ich przepływu. Zmieniane są także sumy kontrolne (tak IP jak i TCP/UDP), aby potwierdzić wprowadzone zmiany.

Większość systemów korzystających z NAT ma na celu umożliwienie dostępu wielu hostom w sieci prywatnej do internetu przy wykorzystaniu pojedynczego publicznego adresu IP (zob. brama sieciowa). Nie mniej jednak NAT może spowodować komplikacje w komunikacji między hostami i może mieć pewny wpływ na osiągi.

Wraz ze wzrostem liczby komputerów w Internecie, zaczęła zbliżać się groźba wyczerpania puli dostępnych adresów internetowych IPv4. Aby temu zaradzić, lokalne sieci komputerowe, korzystające z tzw. adresów prywatnych (specjalna pula adresów tylko dla sieci lokalnych), mogą zostać podłączone do Internetu przez jeden komputer (lub router), posiadający mniej adresów internetowych niż komputerów w tej sieci.

Router ten, gdy komputery z sieci lokalnej komunikują się ze światem, dynamicznie tłumaczy adresy prywatne na adresy zewnętrzne, umożliwiając użytkowanie Internetu przez większą liczbę komputerów niż posiadana liczba adresów zewnętrznych.

NAT jest często stosowany w sieciach korporacyjnych (w połączeniu z proxy) oraz sieciach osiedlowych

Oznaczasz interfejsy jako publiczny (ip nat outside) i jako prywatny (ip nat inside) - może być wiele zarówno publicznych jak i prywatnych.

• Zwróć uwagę, że nazwy Twoich interfejsów mogą być inne.

• Definiujesz, jak ma być wykonywany NAT - na pulę przydzielonych adresów, czy na jakiś konkretny jeden adres - najczęściej publicznego interfejsu routera.

• Na koniec określasz jaki ruch z interfejsów oznaczonych jako wewnętrzne będzie podlegał NATowaniu i na jakie adresy. Wpisy przeglądane są sekwencyjnie wg kolejności i jeśli router trafi na wpis pasujący do pakietu, nie przejrzy już wpisów późniejszych.

Poniżej przykład, w którym sieć 192.168.10.0/24 NATowana jest na zdefiniowaną wcześniej pulę, a sieć 192.168.20.0/24 na adres interfejsu serial 0.99

Listy dostępu są mechaniezmem filtracji pakietów przetwarzanych przez router. Ich zastosowanie może być bardzo różne. Są wykorzystywane do selekcji ruchu podlegającego ochronie IPSec (IPSec jest protokołem bezpieczeństwa, zapewniającym integralność i poufność danych, oraz uwierzytelnienie na poziomie warstwy IP między wymieniającymi dane urządzeniami).

Aby skonfigurować listy dostępu należy wykonać dwie czynności:

• zdefiniować listę

• przypisać ją do intfejsu lub linii terminalowej

access-list numer listy {deny|permit} {adres żródłowy [maska wildcard] | [log]}

• Aby przypisać listę do interfejsu należy zastosowac polecenie ip access-group. Każdy interfejs może mieć przypisane dwie listy dostępu, dla ruchu wchodzącego i wychodzącego. Jeśli przypisane są obie listy, muszą być tego samego typu. Składnia polecenia wygląda następująco.
  
  ip access-group numer listy {in | out}

http://www.rogaski.org/academy_networking/acl.html

AAA - Authentication, Authorization and Accounting. Authentication oznacza autoryzacje, sprawdzenie tożsamości np. nazwy użytkownika; Authorization oznacza uprawnienia jakie ma dany użytkownik, Accounting oznacza bilingowanie użytkownika, abonenta. Protokoły związane z AAA to Radius i Diameter.

Przy próbie podłączenia się do routera, np. poprzez port konsoli, router pracujący jako klient przesyła do centralnego serwera prośbę o uwierzytelnienie użytkownika. Serwer RADIUS, zawierający centralną bazę informacji o użytkownikach, przeprowadza proces weryfikacji, dodatkowo może określić rodzaj dozwolonych dla użytkownika operacji (autoryzacja) oraz kontrolować i zapisywać w dzienniku ich realizację. Protokół RADIUS pozwala w praktyce na wykonywanie trzech niezależnych działań (nie tylko uwierzytelniania), jest on przykładem tzw. protokołu AAA (Authentication, Authorization, Accounting). Aby włączyć na routerze Cisco korzystanie ze wszystkich usług AAA, należy w trybie konfiguracji globalnej wykonać polecenie aaa new-model, a następnie skonfigurować realizację procesu uwierzytelniania, autoryzacji i kontroli poleceniami: aaa authentication, aaa authorization i aaa accounting. Poniższe przykładowe komendy konfiguracyjne pozwalają wskazać serwer RADIUS oraz określić klucz stosowany do zaszyfrowania przesyłanego hasła użytkownika (podobnie konfiguruje się współpracę z serwerem TACACS+, który też jest protokołem AAA):

• “show xlate” built znaczy ze zbudowaw translacje

• „show run global”

• “show run nat”

• `show nameif”

• “ip audit count”

---