Zabezpečení sítí Cisco

1. 7. 2004 | Michal Semler | Recenze | 6121×

Už je to nějaká doba, kdy mi do poštovní schránky dorazil opravdu objemný balík. Ten obsahoval publikaci, na kterou jsem se opravdu velmi těšil. Jednalo se o knihu od vydavatelství Computer Press - Zabezpečení sítí Cisco. Hned na začátek musím vydavatelství pochválit za naprosto perfektní vazbu knihy. Ta se mnou během několika měsíců nacestovala opravdu velmi mnoho kilometrů a na vazbě se to ani trochu neprojevilo.

Již z názvu je patrné, čím se kniha zabývá. Jedná se o zabezpečení jednotlivých řešení firmy Cisco proti útokům. Kniha se zabývá především systémem Cisco IOS, ale stranou zájmu nezůstávají ani všeobecné informace týkající se bezpečnosti nebo jiných produktů, třeba bezpečnostního protokolu Kerberos.

Zkusme si nyní spolu celou knihu pročíst a zjistit, jestli se vám, čtenářům našeho portálu, hodí do vaší knihovničky.

Kniha je rozdělena do osmnácti kapitol a čtyř dodatků. Grafická úprava je stejná jako u všech ostatních knih z řady autorizovaných výukových průvodců Cisco Systems, tedy bílo-modré desky, vázaná vazba a mnoho velmi dobře graficky povedených obrázků doplňujících text. Autorem knihy je Michael Wenstrom, který pracuje u Cisco Systems již dlouhá léta jako školicí specialista. Jelikož kniha prošla autorizovanou korekturou společnosti Cisco Systems, máte zajištěno jako studenti, že neobsahuje věcné chyby. Tato publikace vás má za cíl připravit na zkoušku Managing Cisco Network Security (642-501 MCNS). Kniha stojí 1490 Kč/2239 Sk a má 753 číslovaných stran.

Kniha začíná obecným obsahem, pokračuje texty kapitol a končí přílohami a odpověďmi na otázky z jednotlivých kapitol. Každá kapitola obsahuje případovou studii k problému dané kapitoly a jednotlivé otázky k tématům v kapitole probíraným. Opusťme nyní věcnou stránku a ponořme se do textu, ať konečně zjistíme, co na nás autor připravil.

Celá kniha začíná obsahem s informacemi o autorovi, cílech knihy, dále poděkování a vysvětlivky k textu a použité značky.

První kapitola - Vyhodnocení hrozeb pro síťovou bezpečnost - probírá všeobecné otázky bezpečnosti a vysvětluje, proč je bezpečnostní politika jedním z nejdůležitějších úkolů IT ve společnosti. Tady vám vysvětlí, proč mají lidé zabývající se bezpečností nejvyšší platy z celého IT .

Ve druhé kapitole - Posouzení zásad zabezpečení sítě - se postupně probírá význam ochrany počítačové sítě, postupy pro vyhodnocení bezpečnostních problémů (obecně se dá aplikovat na všechny druhy firewallů, nejen od Cisco) a jakým způsobem motivovat lidský faktor k tomu, aby zlepšil svůj postoj k bezpečnosti.

Kapitola tři - Zabezpečení síťové infrastruktury - se konečně začíná zabývat bezpečností jako takovou. Konzultuje problémy při zabezpečování firemních sítí a navrhuje řešení, pomáhá řešit zabezpečení fyzických zařízení i administračních rozhraní. Poslední podkapitoly se věnují zabezpečení komunikace přepínačů v síti a ethernetových směrovačů.

Druhá část knihy má tři kapitoly. Kapitolu 4 - Bezpečnostní technologie Cisco AAA, kapitolu 5 - Konfigurace síťového přístupového serveru se zabezpečením AAA a kapitolu 6 - Konfigurace přístupového serveru CiscoSecure ACS a služby TACACS+/RADIUS.

První z kapitol nás provede zabezpečením přístupu k síti pomocí AAA, jeho konfigurací, autentizací, autorizací i metodami účtování. Druhá poskytuje náhled na problémy zabezpečení a metody přístupu i proces konfigurace AAA. Kapitola 6 je nejdelší kapitolou druhé části knihy. Pojednává o balíku CiscoSecure ACS se zaměřením na systémy NT a UNIX. Těmto dvěma platformám jsou dále věnovány samostatné podkapitoly. Další podkapitoly se věnují službám TACACS+ a RADIUS v CiscoSecure ACS a nechybí ani podkapitola věnovaná zdvojené autentizaci.

Dočetli jsme cca 210 stran. A co je dál? Inu, část třetí věnovaná Zabezpečení internetového připojení. Tuhle kapitolu by si neměli nechat ujít hlavně naši skvělí provideři, kteří s tím mívají dost značné problémy.

Takže pojďme nahlédnout do kapitoly sedmé. Pojednává o konfiguraci obvodového směrovače Cisco. Popisuje systémy obvodového zabezpečení Cisco, řízení služeb TCP/IP, prevenci proti útokům z přesměrování, řízení přístupu, ochrany proti útokům DDOS i šifrování v síťové vrstvě OSI. Dále překlad adres NAT a PAT a sledování logování na směrovačích.

Osmá kapitola je asi nejzajímavější - popisuje konfiguraci Cisco IOS firewallu. Doporučuji hlavně studentům, kterým Telecom již zpoplatnil připojení přes své WiFi hotspoty. Zde naleznete řešení jak využít jednu hloupou chybu, na kterou jeho admini zapomněli v konfiguraci a skrze kterou tak můžete i nadále surfovat na účet Telecomu a zadarmo . Postupně prochází jednotlivé bezpečnostní problémy a jejich řešení, samotnou konfiguraci IOS firewallu i další plánování IOS firewallů. Stranou nemůže zůstat ani konfigurace kontextově řízeného přístupu CBAC i správa Cisco IOS firewallu.

Další část knihy se věnuje CiscoSecure PIX firewallu a má čtyři kapitoly.

Devátá kapitola vám představí PIX firewall z hlediska správy, vysvětlí jeho fungování, komponenty a nastavení.

V desáté kapitole nazvané Konfigurace přístupu přes PIX Firewall se dozvíte jak přidělovat přístupová práva na firewall a jak řídit přístup k hostitelům ve vnitřní síti.

V dalších dvou kapitolách se tyto poznatky postupně prohlubují směrem ke konfiguraci více rozhraní a konfigurace pokročilých funkcí, které PIX firewall poskytuje.

Pátá část knihy se zabývá Konfigurací šifrovacích technologií Cisco Encryption Technology. Je pojata velmi svěže, ukáže vám, co by Alice a Bob měli dělat, aby je Andrew nemohl odposlouchávat a následně jak se mohou oba Andrewovi i Velkému Bratru vysmát.

Ve třinácté kapitole (oni si fakt nehrají na nešťastná čísla) se dozvíte o šifrování obecně. Co to je, jak to funguje a co vám Cisco nabízí. Kapitola čtrnáct volně navazuje a ukáže Bobovi a Alici jak šifrovat, diagnostikovat problémy z toho plynoucí a přiblíží pomůcky (rozuměj berličky pro neschopné), které Cisco nabízí pro zjednodušení celého nastavení.

Teď máme za sebou něco přes 500 stran textu a možná i chvíli na pauzu Udělejte si tedy kafe a za chvíli se vraťte...hotovo? Tož začněte usrkávat ze svého hranatého hrnku a jdeme na zbytek!

Šestá část knihy se zabývá tím jediným, co nám ještě zbývá, a tím je IPSec. Jak všichni víme, Cisco má svou vlastní implementaci IPSec, malinko odlišnou od implementací v jiných systémech, které jsou díky tomu navzájem nekompatibilní. V této kapitole se dozvíte, v čem odlišnosti spočívají, co to ten IPSec vlastně je, jaké technologie využívá a jak to je s politikou klíčů a certifikačních autorit. Toto vše je obsahem první kapitoly šesté části - Podpora protokolu IPSec v produktech Cisco. V šestnácté kapitole se laskavý čtenář tento protokol naučí uvést do chodu a v sedmnácté kapitole se naučí konfigurovat IPSec v PIX Firewallu. Poslední kapitolou knihy je Škálování sítí Cisco s IPSec, kde je rozvedena problematika škálování virtuálních privátních sítí Cisco VPN.

Doufám, že vás tento malý přehled neunudil až k smrti a tuhle vynikající publikaci si zakoupíte. S klidným srdcem ji mohu doporučit i cestovatelům. Opravdu vám ani po třech měsících tahání knihy s sebou nezačnou vypadávat listy.

Nástroje: Tisk bez diskuse