- •47. Технологии коммутации Cisco
- •Адресация ip[править | править вики-текст]
- •Распределение ip-адресов
- •Опции dhcp
- •Устройство протокола
- •Структура сообщений dhcp
- •Intranet vpn
- •Internet vpn
- •4. Сетевые архитектуры
- •19. Коммутаторы lan
- •34. Одноадресная, широковещательная и многоадресная рассылка iPv4
- •49. Сегментация виртуальных локальных сетей ccna2, Глава 3.1
- •64. Настройка суммарных и плавающих статических маршрутов iPv4 и iPv6 (ccna2 , глава 6)
- •79. Принцип работы stp Настройка (ccna 3, глава 2,3)
- •94. Защита ospf ccana 3 , глава 5,1
- •109. Выбор технологии глобальной сети ccna 4. Глава2.2
- •124.Структура протокола iPsec ccna 4, глава 7,32
- •6. Сетевые протоколы и стандарты
- •21. Протоколы сетевого уровня
- •36. Icmp
- •51. Транки виртуальных сетей
- •66. Настройка протокола rip
- •96. Характеристики протокола eigrp
- •111. Инкапсуляция hdlc
- •126. Принцип работы Syslog и его настройка
- •7 Вопрос
- •22. Характеристики ip-протокола ccna1, 6.1.2
- •37Вопрос
- •52 Вопрос
- •67. Настройка протокола riPng ____________ ccna 2, глава 7.3.1
- •82 Вопрос
- •97 Вопрос
- •112 Вопрос
- •Вопрос 127
- •10. Протоколы физического уровня
- •Соединение с коммутацией каналов
- •25. Таблицы маршрутизации маршрутизатора
- •40. Уровень приложений, уровень представления и сеансовый уровень
- •55. Статически изученные маршруты
- •70. НастройкаOspFv2 дляоднойобласти. СтоимостьOspf
- •85. КомпонентысетейWlan
- •100. АлгоритмDual итаблицатопологии
- •115. НастройкастатическогоNat Настройка статического nat
- •130. Создание документация по сети
- •3 Вопрос ___ Сетевая безопасность
- •18 Вопрос ___ Протокол разрешения адресов
- •33 Вопрос ____ Адреса iPv4. Маска сети (подсети)
- •Вопрос 26. Устройство маршрутизаторов и их основные характеристики
- •86 Вопрос
- •Вопрос 56.Протоколы динамической маршрутизацииCcna 2, глава 7,1
- •11.Способы доступа или подключения к Интернет
- •69. Протокол ospf
- •Принцип работы
- •Вопрос 114. Принцип работы nat и его характеристики ccna 4, глава 5.1
- •9 Вопрос _____ Инкапсуляция данных
- •59. Реализация статической маршрутизации. Типы статических маршрутов
- •Маршрутизация между vlan - маршрутизатор на привязи
- •Встроенные службы маршрутизации Настройка параметров встроенного маршрутизатора
- •12. Сетевая среда и её основные характеристики Локальные и глобальные сети, а также сеть Интернет Компоненты сети
- •13 Вопрос____ Канальный уровень (Data Link)
- •Вопрос 43______
- •73 Вопрос_______ Списки контроля доступа (acl)
- •Расширенные acl-списки для iPv4 Структура расширенных acl-списков для iPv4
- •Структура расширенных acl-списков для iPv4
- •108 Вопрос _____ Структура и принципы построения сети Интернет
- •Вопрос 123 ___ Туннели gre между объектами
- •Вопрос 41____ Cisco: Конфигурация и команды управления ios
- •Часть 2
- •Iine vty 0 4
- •Iinevty 5 197
- •100BaseX Use rj45 for -tx; sc fo for -fx
- •Interface Ethernet0
- •Ip address 172.16.20.2 255.255.255.0 secondary
- •Ip address 172.16.10.2 255.255.255.0
- •7000(Config)#interface ethernet 2/0/0
- •Interface Ethernet0
- •Ip address 172.16.10.30 255.255.255.0
- •Interface Serial0
- •99 Вопрос _____
- •Вопрос 78 ______ slaac
- •Вопрос 48____Безопасность коммутатора: управление и исполнение
- •14. Топологии глобальной сети
- •29. Протоколы транспортного уровня
- •44. Коммутируемые сети
- •89. Настройка беспроводного маршрутизатора
- •104. Лицензирование ios
- •119. Беспроводные широкополосные сети
- •39. Протоколы уровня приложений. Способы взаимодействия протоколов приложений с приложениями конечных пользователей
- •72. Стандартные acl-списки для iPv4
- •87. Принципы работы беспроводной локальной сети
- •102. Расширенные настройки eigrp
- •117. Настройка преобразования адреса и номера порта (pat)
- •8. Эталонные модели сетевого взаимодействия
- •23. Пакет iPv4 структура и основные характеристики
- •38. Разбиение iPv6-сети на подсети
- •53. Коммутация пакетов между сетями
- •68. Динамическая маршрутизация по состоянию канала
- •83. Основные понятия агрегирования каналов и их настройка
- •98. Настройка eigrp для iPv4
- •101. Настройка eigrp для iPv6
- •113. Принцип работы и настройка протокола FrameRelay
- •128. Принцип работы NetFlow и его настройка
- •54. Маршрутизация
- •90. Вопрос
- •120. Вопрос
Вопрос 48____Безопасность коммутатора: управление и исполнение
Вопросы безопасности в локальной сети
Протокол обнаружения Cisco (CDP) — это запатентованный протокол, который может быть настроен на любых устройствах Cisco. CDP обнаруживает другие устройства Cisco с прямым подключением, благодаря чему устройства могут автоматически настраивать свои подключения. В некоторых случаях это упрощает процедуры настройки и подключения.
По умолчанию все порты на большинстве маршрутизаторов и коммутаторов Cisco настроены для использования CDP. Информация CDP отправляется в периодических незашифрованных широковещательных рассылках и обновляется локально в базе данных CDP каждого устройства. Поскольку CDP является протоколом 2-го уровня, сообщения CDP не распространяются маршрутизаторами.
CDP содержит следующую информацию об устройстве: IP-адрес, версию IOS, а также сведения о платформе, возможностях и native VLAN. Этой информацией может воспользоваться злоумышленник для поиска способов атаки сети, как правило, в форме атаки DoS.
На рисунке показана часть данных, захваченных программой Wireshark, в которых отображено содержание пакета CDP. Версия ПО Cisco IOS, обнаруженная через CDP, позволит злоумышленнику определить, есть ли слабые места в системе безопасности, характерные именно для этой версии IOS. Кроме того, в связи с тем, что CDP не аутентифицирован, злоумышленник может создавать фиктивные пакеты CDP и отправлять их на устройства Cisco с прямым подключением.
На устройствах или портах, где использование CDP не является необходимостью, рекомендуется отключить этот протокол с помощью команды режима глобальной конфигурации no cdp run. CDP может быть отключён на каждом порте.
Атаки Telnet
Telnet — это незащищённый протокол, который может быть использован для получения злоумышленником удалённого доступа к сетевому устройству Cisco. Существуют инструменты, позволяющие злоумышленнику начать атаку методом полного перебора против каналов vty на коммутаторе.
Атака методом полного перебора (метод грубой силы)
На первом этапе атаки методом полного перебора злоумышленник использует список распространённых паролей и программу, разработанную для установления сеанса Telnet с помощью всех слов из списка. Если пароль не обнаружен на первом этапе, начинается второй этап, в котором злоумышленник использует программу, создающую последовательные сочетания символов, пытаясь подобрать пароль. Имея достаточное количество времени, таким методом злоумышленник может взломать практически все используемые пароли.
Для того чтобы снизить риск такой атаки, необходимо использовать надёжные пароли и не забывать их регулярно менять. Надёжный пароль должен содержать комбинацию символов верхнего и нижнего регистров, а также числительные и символы (специальные знаки). Доступ к каналам vty также можно ограничить с помощью списка контроля доступа (ACL).
DoS-атака протокола Telnet
Telnet также может быть подвержен DoS-атаке. При атаках типа «отказ в обслуживании» (DoS-атаках) злоумышленник использует уязвимости серверного программного обеспечения Telnet, запущенного на коммутаторе, что делает сервис Telnet недоступным. Данный тип атак блокирует удалённый доступ администратору к функциям управления коммутатором. Такие атаки могут быть объединены с другими прямыми атаками на сеть как часть скоординированной попытки закрыть сетевому администратору доступ к базовым устройствам на время бреши в системе безопасности.
Уязвимости в сервисе Telnet, допускающие DoS-атаки, обычно учитываются в исправлениях системы безопасности, которые включают в новые версии Cisco IOS.
Примечание. Для удалённого управления рекомендуется использовать протокол SSH вместо Telnet.