Использование инструментов компании Cisco для самообразования в области ИБ

);– «поп-идол»– известные внутри или за пределами компании люди, которые высказывались по тем или иным вопросам ИБ.Рисунок 1.15 – Пример комикса LittleNinjaОдним из важных элементов программы стало признание специалистов, прошедших обучение и успешно получивших тот или иной пояс. Используются различные варианты – сертификаты, логотипы, которые можно использовать в своем профайле на корпоративном портале или в подписи в почтовых сообщениях, соответствующие ремешки для ношения корпоративного бейджа, финансовое поощрение.Реализованная программа CiscoSecurityNinja позволила решить сразу несколько задач, среди которых не только вовлечение 20 тысяч сотрудников в процесс обеспечения информационной безопасности продукции Cisco, но и повышение уровня защищенности решений. Можно ли повторить данную программу в другой организации? В таком же виде врядли. Все-таки культуры, уровни зрелости, да и сами компании могут сильно отличаться друг от друга. Но ключевые факторы успеха будут едины для всех. Главное не сидеть на месте!2 Практические задания Cisco по направлению CCNASecurityВ данной части курсовой работы выполнены практические задания и некоторые лабораторные работы из программ подготовки Ciscoпо направлениюИБ, при помощи инструментов, рассмотренных в предыдущей части.2.1 Упражнение CCNA Discovery для подготовки к экзамену CCNA SecurityНеобходимо определить сетевую документацию, в которой можно найти необходимую документацию (рис. 2.1).Рисунок 2.1 – Пример упражненияCCNA2.2 Упражнения CCNADiscovery для подготовки к экзамену CCNASecurityВ данном задании необходимо расположить компоненты в правильной последовательности, необходимой для подключения услуги, от границы до внутренней сети организации (рис. 2.2).Правильная последовательность будет: Канал Т1 – Монтажный блок – Устройство CSU/DSU (CSU позволяет подключаться к линии провайдера, а DSU - отвечает за взаимодействие с DTE абонента) – Маршрутизатор DMZ–Коммутатор DMZ–Маршрутизатор – Коммутатор.Рисунок 2.2 – Пример упражнения CCNA2.3 Примерывопросов из теста на экзамен CCNASecurity– Какую информацию можно найти с помощью команды showmac-address-tableна коммутаторе CiscoCatalyst. Вопросы в экзамене с подвохом, например, в данном случае правильным ответом будет 2) порт, используемый коммутатором для пересылки кадров к узлу, а не 4) сопоставление MACи IPдля сетевых узлов. Так как таблица мак-адресов выводится только для тех узлов, на которые осуществлялась пересылка с портов коммутатора (рис. 2.3).Рисунок 2.3 – Пример вопроса из теста CCNASecurity– Однажды вечером администратор сети попытался зайти на недавно разработанный сайт т получил сообщение «Страница не найдена». На следующий день администратор проверил логи сервера и заметил, что в то время когда сайт «лежал», к главной странице были произведены сотни запросов с одного IP-адреса. Зная это какой вывод мог сделать администратор? Правильный ответ – DoSатака, или если перевести дословно – Вероятно некто попытался выполнить атаку DoS (рис. 2.4).Рисунок 2.4 – Пример вопроса из теста CCNASecurity2.4 Выполнения лабораторной работы CCNASecurity в симуляторе CiscoPacketTracer.В экзамене данная лабораторная работа выполняется на реальном оборудовании, мы используем PacketTracer.Задание лабораторной работы –необходимо раздать мобильный интернет (3Gили 4G)нескольким устройствам через wi-fi, используя маршрутизатора 800 серии.Обязательные условия для аттестации работы – настройку маршрутизатора выполнять в текстовом режиме, настроить на маршрутизаторе NAT, для wi-fiиспользовать внешнюю точку доступа (использование интегрированного wi-fi в некоторых моделях 800 серии не допускается).Ход выполнения работы.Так как мы выполняем работу в симуляторе packettracerнам сначала нужно создать сервер, выступающий в роли интернета, а также сотовые вышки (рис. 2.5).Рисунок 2.5 – Добавление сотовых вышек в PacketTracerПрисвоим IP адрес серверу 209.165.200.210/24 (рис. 2.6), добавим некое подобие IPSмаршрутизатора провайдера, который будет выступать в качестве шлюза для интернета. Порт fe0/0 маршрутизатора IPS, соединяем с сервером интернета, прописываем IPна порт 209.165.200.1/24, добавляем его в качестве шлюза «по умолчанию» на сервер (рис. 2.7).Рисунок 2.6 – Назначение IPсерверуКпортуfe0/1 IPSмаршрутизатораподключимCentralOfficeServer – CO – Сервер сотового оператора. Интерфейсу backbone сервераназначимадрес 209.165.210.2/30, порту fe0/1 маршрутизатора 209.165.210.1/30.Рисунок 2.7 – Назначение IPадреса маршрутизатору IPSДалее коаксиальным кабелем подключаем 2 сотовые вышки.Теперь самое интересное, настраиваем роутер, который будет раздавать интернет с сотовых вышек через точку доступа wi-fi. Добавляем новый роутер «Router7» (рис.2.8), вводим статику на LTE порт, можно использовать не статику 172.16.1.207, а ipaddressnegotiated, тоже будет работать и возможно даже более правильно, но так как у нас нет условия в решении задачи, то упрощаем себе жизнь и оставляем статику, включаем порт. Добавляем маршрут по умолчанию, проверяем связь до интернета, отправляем эхо-запрос (ping), связь присутствует (рис. 2.9).Рисунок 2.8 – Добавление в симулятор маршрутизатора «Router7»Рисунок 2.9 – Настройка подключения к вышке маршрутизатораНастроим DHCP и порт-шлюз для клиентов (VLAN1:fe0/0-fe0/3), то есть для подключенной точек доступа в нашем случае (рис. 2.10).Рисунок 2.10 – Настройка DHCP для первого вланаНастроим NAT (рис. 2.11).Рисунок 2.11 – Настройка NATСоздадим ACL (Accesslist) сохраним настройки (рис. 2.12).Рисунок 2.12 – Настройка ACLДалее добавим точку доступа WI-FI, подключим к порту fe0/0, назовем точку Access7 (рис. 2.13). Добавим SSIDточке доступа Access7. Также добавим WPA2-PSKключ Qwerty1234, требований к безопасности пароля в данном задании не было (рис. 2.14)Рисунок 2.13 – Добавляем точку доступаРисунок 2.14 – Настройка точки доступаИ, наконец, подключаем оконечное устройство к точке доступа по wi-fi и проверяем доступность интернета (рис. 2.15), задание выполнено.Рисунок 2.15 – Проверка соединения.2.5 Выполнения лабораторной работы CCNASecurity в эмулятореCiscoGNS3. «Использования ACLs для фильтрации IP трафика»В данном задании необходимо сконфигурировать ACLлисты согласно заданной схеме, предоставленной на рисунке 2.16.Рисунок 2.16 – Схема подключения оборудованияТакже в задании нам выдают IPадреса устройств, представленные в таблице 2.1 и список команд (табл. 2.2).Таблица 2.1 – Список IP-адресов устройствУстройствоИнтерфейсАдрес/маскаPC1-10.1.1.101/24PC2-10.1.1.102/24SW1-10.1.1.11/24SW2-10.1.1.12/24R1Fa0/0 or Gi0/010.1.1.1/24R1Fa0/1 or Gi0/1172.16.1.1/24R2Fa0/0 or Gi0/010.1.1.2/24R2Fa0/1 or Gi0/1172.16.1.2/24Таблица 2.2 – Список командCommandDescriptionInterface loopback0Createsaninternalinterfaceip access-group acl name [in/out]Binds an access control list to an interfaceip access-list extended acl nameCreates and enters the ACL configurationMode{permit | deny} {test conditions}Creates control statements within an ACLshow access-lists acl nameDisplays any ACL located on the deviceshow ip interface type/slot/numberDisplays any ACL bound to an interfaceВ экзамене данная работа выполняется на реальном оборудование, для выполнения задания построим заданную конфигурацию сети в эмуляторе CiscoGNS3 (загрузим образы IOS, построим схему, пропишем заданные адреса), схема представлена на рисунке 2.17.Рисунок 2.17 – Схема в эмуляторе GNS3После сборки устройств проверяем доступность PC2 с PC1, как и ожидалось устройства не видят друг друга (рис. 2.18).Рисунок 2.18 – Проверка связиВыполним настройку устройств, согласно шагам в задании.Step 1: Access the CLI on your routerStep 2: Create a loopback interface using the following commands.Настроим loopbackна маршрутизаторах. На R1 loopback0 1.1.1.1 255.255.255.255, на R2 loopback0 2.2.2.2 255.255.255.255, пример настройки показан на рисунке 2.19Рисунок 2.19 –Настройка loopback на маршрутизаторе R1Step 3: From your PC check that you can ping the IP address of the loopback interface you have just created and also your default gateway.Проверяем доступность loopback с компьютеров (рис.2.20).Рисунок 2.20 – Эхо-запроскloopbackStep 4: Create an extended ACL named PING that will prevent your PC from successfully pinging the default gateway, however you should be allowed to ping the loopback interface and all other IP traffic should be permitted through the router.Выполним настройку ACLs. R1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.R1(config)#access-list PING deny ip host 10.1.1.101 anyR1(config)#access-list PINGpermitip any 1.1.1.1Первой командой мы запрещаем доступ ко всему, второй разрешаем loopback.Далее остается только применить ACL к порту:R1(config)#interface Gi0/0R1(config-if)#ip access-group PING inПример настройки маршрутизатора R1 показан на рисунке 2.21, в GNS3 на загруженном образе IOSне получилось создать ACLс именем «PING», поэтому имя расширенного ACLзаменили на стандартное 110.Рисунок 2.21 – Настройка ACLs на R1Повторяем аналогичную процедуру на маршрутизаторе R2 и задание выполнено. Стоит помнить, что на экзаменах Ciscoперед проверкой преподаватели всегда перезагружают устройство, и если конфигурацию забыли сохранить, то задание не зачитывается. Сохраним конфигурацию (рис. 2.22).Рисунок 2.22 – Сохранение конфигурацииЗаключениеВ данной курсовой работе были рассмотрены основные инструменты для подготовки специалистов по направлению ИБ от компании Cisco. В первой части работы выполнен теоретический обзор инструментов, во второй части выполнены некоторые практические задания и лабораторные работы.Список источников1. Одом, Уэнделл Официальное руководство Cisco по подготовке к сертификационным экзаменам CCENT/CCNA ICND1 640-822 (+ CD-ROM) / УэнделлОдом. - М.: Вильямс, 2012. - 720 c.2. ЭлектронныйкурсCisco CCNA Discovery & Exploration3. Основы GNS3. Обзор [Электронный ресурс]. Метод доступа: https://habr.com/post/266503/4. CCNA-Aspire-Game [Электронный ресурс]. Метод доступа: https://www.petri.com/ccna-aspire-game5. CCNA-Aspire-Game [Электронный ресурс]. Метод доступа: http://whilenetworking.com/2016/10/06/learn-ccna-cisco-aspire-networking-academy-edition/6. Блог компании Cisco [Электронный ресурс]. Метод доступа: https://habr.com/company/cisco/