🔑 Правила выбора паролей

Использование слабых или легко угадываемых паролей по-прежнему является самой большой проблемой безопасности организаций. Для сетевых устройств, включая домашние беспроводные маршрутизаторы, всегда необходимо задавать пароли, чтобы ограничить административный доступ.

Используйте надежные пароли, которые сложно подобрать. При выборе паролей необходимо учитывать некоторые ключевые моменты:

➡️ Используйте пароли длиной более 8 символов.

➡️ Используйте сочетание букв в верхнем и нижнем регистре, цифр, специальных символов и (или) числовых последовательностей.

➡️ Не используйте одинаковый пароль для всех устройств.

➡️ Не используйте часто употребляющиеся слова, поскольку их легко подобрать.

Найдите в Интернете генератор паролей. Многие из них позволят вам установить длину, набор символов и другие параметры.

Например:
https://randomus.ru/password

Остались вопросы? Получите консультацию в нашем чате от опытных админов.

🌐 Network Admin | CCNA

🔐 Настройка паролей

При первоначальном подключении к устройству вы находитесь в пользовательском режиме. Этот режим защищен с помощью консоли.

➡️ Для обеспечения доступа к конфигурации консольной линии, введите команду line console 0 из режима глобальной конфигураци. Ноль используется для обозначения первого (а в большинстве случаев - единственного) интерфейса консоли. Затем задайте пароль пользовательского режима с помощью команды password. Затем включите доступ к пользовательскому режиму с помощью команды login.

Sw-Floor-1# configure terminal
Sw-Floor-1(config)# line console 0
Sw-Floor-1(config-line)# password cisco
Sw-Floor-1(config-line)# login admin
Sw-Floor-1#

➡️ Чтобы иметь доступ администратора ко всем командам IOS, включая настройку устройства, необходимо получить привилегированный доступ. Это самый важный метод доступа, поскольку он обеспечивает полный доступ к устройству.

Для защиты доступа к привилегированному режиму используйте команду глобальной конфигурации enable secret password.

Sw-Floor-1# configure terminal
Sw-Floor-1(config)# enable secret password
Sw-Floor-1(config)# exit
Sw-Floor-1#

➡️ Линии виртуального терминала (VTY) обеспечивают удаленный доступ к устройству через Telnet или SSH. Большинство коммутаторов/маршрутизаторов Cisco поддерживают до 16 линий VTY, пронумерованных от 0 до 15.

Чтобы защитить VTY, войдите в режим line VTY, используя команду глобальной конфигурации line vty 0 15. Затем задайте пароль VTY с помощью команды password [password] . Затем включите доступ к VTY с помощью команды login.

Sw-Floor-1# configure terminal
Sw-Floor-1(config)# line vty 0 15
Sw-Floor-1(config-line)# password cisco
Sw-Floor-1(config-line)# login admin
Sw-Floor-1(config-line)# end
Sw-Floor-1#

Остались вопросы? Получите консультацию в нашем чате от опытных админов.

🌐 Network Admin | CCNA

✔️ Основные принципы работы протокола SSH

Secure Shell (SSH) — это сетевой протокол, обеспечивающий безопасную связь между двумя сетевыми устройствами.

➡️ Использует шифрование для защиты связи между клиентом и сервером. Это предотвращает несанкционированный доступ и прослушивание.

➡️ Использует различные методы аутентификации для проверки подлинности клиента и сервера. Это гарантирует, что только авторизованные пользователи имеют доступ к серверу.

➡️ Позволяет переадресовывать порты, чтобы пользователи безопасно получали доступ к удаленным службам, не подвергая их общедоступному Интернету.

➡️ Включает функцию сжатия, которая уменьшает объем данных, передаваемых между клиентом и сервером, что может повысить производительность в более медленных сетях.

➡️ Использует криптографию с открытым ключом для аутентификации, что требует от пользователей создания пары открытого и закрытого ключей. Открытый ключ хранится на сервере, а закрытый ключ хранится у клиента.

‼️В целом, протокол SSH — это мощный инструмент для защиты удаленного доступа к серверам и безопасного выполнения команд или передачи файлов.

Жми 👍, и напиши в коммент, о какой технологии сделать пост.

N.A.Course | N.A.Help

🔩 Как происходит шифрование в SSH?

Шифрование — это фундаментальный компонент протокола SSH, который обеспечивает безопасную связь между двумя устройствами по незащищенной сети.

Подробное объяснение того, как работает шифрование в SSH:

1️⃣Когда клиент инициирует подключение к серверу, два устройства выполняют обмен ключами для установления общего secret. Это делается с помощью алгоритма Диффи-Хеллмана, который позволяет клиенту и серверу генерировать общий secret, не передавая его по сети.

Общий secret используется для создания симметричного ключа шифрования, который используется для шифрования всей связи между двумя устройствами.

2️⃣После создания симметричного ключа шифрования, все данные передаваемые между клиентом и сервером, шифруются с использованием алгоритма симметричного шифрования, такого как AES.

Симметричное шифрование — это быстрый и эффективный способ шифрования данных, поскольку он использует один и тот же ключ для шифрования и расшифровки данных.

3️⃣SSH использует MAC-адреса для обеспечения целостности данных, передаваемых между клиентом и сервером. MAC генерируется путем применения криптографической хеш-функции к сообщению и общему secret. Затем MAC отправляется вместе с сообщением получателю, который проверяет MAC, пересчитывая его, используя ту же хеш-функцию и общий secret. Если рассчитанный MAC-адрес совпадает с полученным MAC-адресом, сообщение считается аутентичным и немодифицированным.

⚠️ Используя комбинацию обмена ключами, симметричного шифрования и MAC-адресов, SSH обеспечивает надежное шифрование для защиты конфиденциальных данных, передаваемых по сети.

Жми 👍, и напиши в коммент, о какой технологии сделать пост.

N.A.Course | N.A.Help

🛡 Шифрование паролей

Файлы конфигурации startup-config и running-config отображают большинство паролей в виде простого текста. Это создает угрозу безопасности, поскольку при наличии доступа к этим файлам любой пользователь может увидеть пароли.

🟢Чтобы зашифровать все пароли открытого текста, используйте команду глобальной конфигурации service password-encryption.

Sw-Floor-1# configure terminal
Sw-Floor-1(config)# service password-encryption
Sw-Floor-1(config)#

Команда применяет алгоритм шифрования ко всем незашифрованным паролям в файле конфигурации, но не к паролям, которые отправлены по сети.

‼️С помощью команды show running-config убедитесь, что пароли зашифрованы.

Sw-Floor-1(config)# end
Sw-Floor-1# show running-config
!

!
line con 0
password 7 094F471A1A0A
login
!
line vty 0 4
password 7 03095A0F034F38435B49150A1819
login
!
!
end

Остались вопросы? Получите консультацию в нашем чате от опытных админов.

🌐 Network Admin | CCNA

👀Принцип работы ARP

Протокол ARP, является неотъемлемой частью компьютерной сети, которая помогает преобразовывать IP-адреса в соответствующие MAC-адреса.

➖Этот протокол позволяет сетевым устройствам взаимодействовать друг с другом, используя уникальные MAC-адреса, назначенные каждому устройству, даже если устройства находятся в разных подсетях или сетях.

➖Самое главное в ARP то, что он сопоставляет логический IP-адрес сетевого устройства с его физическим MAC-адресом. Это позволяет устройствам находить и взаимодействовать друг с другом в сети, что необходимо для передачи данных между различными устройствами.

➖ARP отправляя широковещательное сообщение всем устройствам в сети, запрашивает MAC-адрес, связанный с определенным IP-адресом. Затем устройство с совпавшем IP-адресом, отвечает своим MAC-адресом. Тем самым позволяя запрашивающему устройству установить соединение.

➡️ ARP является критически важным протоколом для обеспечения связи в сети, и его успешная работа необходима для надежной и эффективной работы сети.

Жми 👍, и напиши в коммент, о какой технологии сделать пост.

N.A.Course | N.A.Help

🔄 Как происходит генерация общего Secret в алгоритме Диффи-Хеллмана?

Алгоритм Диффи-Хеллмана - это метод обмена ключами, который позволяет двум сторонам безопасно обмениваться секретным ключом по незащищенному каналу связи. Чаще всего он применяется в SSH и SSL(если вы знаете где ещё, напишите в коммент).

Легенда: Host1 хочет подключиться к Host2 с помощью SSH.

Общий secret не передаётся по сети, вместо этого Host1 и Host2 используют свои закрытые и открытые ключи друг друга для вычисления одного и того же общего secret.

🟢Процесс генерации общего Secret:

1️⃣ Хосты договариваются о большом простом числе «p» и примитивном корне по «модулю p». Это значение общедоступно и может передаваться по незащищенному каналу.

2️⃣ Затем хосты генерируют каждый свой собственный закрытый ключ, случайное число от 1 до p-1.

Для простоты восприятия, хостам присвоим уникальные буквы:
Host1 - a
Host2 - b

3️⃣ Хосты вычисляют каждый свой открытый ключ, возводя примитивный корень в степень своего закрытого ключа по «модулю p». Host1 вычисляет A = g^a mod p, а Host2 вычисляет B = g^b mod p. Далее обмениваются открытыми ключами между собой.

4️⃣ Затем Host1 и Host2 используют свой собственный закрытый ключ и открытый ключ другой стороны для вычисления общего secret. Host1 вычисляет общий secret как s = B^a mod p, а Host2 вычисляет общий secret как s = A^b mod p.

Поскольку модульное возведение в степень является однонаправленной функцией, то злоумышленнику невозможно вычислить общий secret s, не зная закрытого ключа Host1 или Host2.

🧠 Таким образом, общий secret генерируется без передачи его по сети в алгоритме Диффи-Хеллмана. Обе стороны используют свои закрытые ключи и открытые ключи друг друга для вычисления одного и того же общего secret, который затем можно использовать для симметричного шифрования.

Жми 👍, и напиши в коммент, о какой технологии сделать пост.

N.A.Course | N.A.Help

😊 Файлы конфигурации

Конфигурация устройства хранится в двух системных файлах.

➡️ startup-config - Это сохраненный файл конфигурации, который хранится в NVRAM. Он содержит все команды, которые будут использоваться при загрузке или перезагрузке Содержимое Флеш-накопителя не теряется при выключении питания устройства.

➡️ running-config - Это файл текущей конфигурации, хранится в оперативной памяти (RAM). Он отражает текущую конфигурацию. Изменения текущей конфигурации незамедлительно влияют на работу устройства Cisco. После отключения питания или перезагрузки устройства ОЗУ теряет все свое содержимое.

Команда привилегированного режима show running-config используется для просмотра текущей конфигурации. Команда выведет список полной конфигурации, хранящейся в настоящее время в ОЗУ.

Sw-Floor-1# show running-config
Building configuration...
Current configuration : 1351 bytes
!
! Last configuration change at 00:01:20 UTC Mon Mar 1 1993
!
version 15.0
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Sw-Floor-1
!
(output omitted)

Для просмотра файла загрузочной конфигурации используйте команду привилегированного режима show startup-config.

Однако при отключении питания или перезапуске устройства все не сохраненные изменения конфигурации будут потеряны. Чтобы сохранить изменения текущей конфигурации в файле загрузочной конфигурации, используйте команду привилегированного режима copy running-config startup-config.

Остались вопросы? Получите консультацию в нашем чате от опытных админов.

🌐 Network Admin | CCNA

🔐 Принцип работы протокола SSL

Протокол SSL работает на транспортном уровне модели OSI, он обеспечивает безопасное соединение между клиентом и сервером независимо от используемых протоколов прикладного уровня. Это позволяет использовать SSL с различными приложениями: веб-браузеры, почтовые клиенты и программы для передачи файлов.

⏺Основной принцип SSL:

➡️ Клиент инициирует соединение

Инициируется запрос на установку безопасного соединения с сервером.

➡️ Сервер отвечает своим цифровым сертификатом

Отправляется клиенту цифровой сертификат, который содержит открытый ключ и другую информацию.

➡️ Клиент проверяет сертификат

Проверяется цифровой сертификат сервера, чтобы убедиться, что он действителен и выдан доверенным сторонним центром сертификации (ЦС).

➡️ Клиент генерирует сеансовый ключ

Генерируется случайный сеансовый ключ, который будет использоваться для шифрования данных, которыми обмениваются клиент и сервер.

➡️ Клиент отправляет сообщение, зашифрованное с помощью открытого ключа сервера

Отправляется на сервер сообщение, зашифрованное с помощью открытого ключа сервера, которое включает в себя ключ сеанса и другие параметры соединения.

➡️ Сервер расшифровывает сообщение

Расшифровывается сообщение используя свой закрытый ключ, и извлекает сеансовый ключ и другие параметры соединения.

➡️ Клиент и сервер обмениваются зашифрованными сообщениями

Используют сеансовый ключ для шифрования и расшифровки сообщений, которыми они обмениваются, обеспечивая защиту данных от несанкционированного доступа.

➡️ Соединение разрывается

Когда связь завершена, клиент и сервер разрывают соединение.

‼️В целом, принцип заключается в обеспечении безопасного и зашифрованного канала связи через Интернет между клиентом и сервером. Это достигается за счет комбинации криптографических методов, включая шифрование, аутентификацию и проверку целостности.

Жми 👍, и напиши в коммент, о какой технологии сделать пост.

N.A.Course | N.A.Help

➡️SFP vs SFP+

SFP и SFP+ — это два типа приемопередающих модулей, используемых в сетевом оборудовании для соединения различных сетевых устройств.

✅Основные различия между SFP и SFP+:

➡️ SFP поддерживает скорость передачи данных до 4,25 Гбит/с, а SFP+ поддерживает скорость передачи данных до 10 Гбит/с.

➡️ SFP и SFP+ имеют одинаковые физические размеры, но SFP+ потребляет больше энергии из-за более высокой скорости передачи данных и более сложной схемы.

➡️ Модули SFP обычно могут передавать данные на расстояние до 550 метров по многомодовому волокну или до 10 километров по одномодовому волокну, тогда как модули SFP+ могут передавать данные на расстояние до 300 метров по многомодовому волокну и до 40 километров по одномодовому волокну.

➡️ SFP+ обратно совместим с портами SFP, что означает, что модуль SFP+ можно подключить к порту SFP, но модуль SFP нельзя подключить к порту SFP+.

❗️SFP+ — это более совершенная и мощная версия SFP, обеспечивающая более высокие скорости передачи данных и большие расстояния. Однако SFP по-прежнему широко используется для низкоскоростных сетей и может быть более рентабельным для определенных сетевых конфигураций.

Жми 👍, и напиши в коммент, о какой технологии сделать пост.

N.A.Course | N.A.Help

⚙️ Изменение текущей конфигурации

Если изменения текущей конфигурации не принесли желаемых результатов и файл running-config пока не был сохранен, можно сделать следующее:

➡️ Удалите команды по отдельности

➡️ Перезагрузите устройство с помощью команды привилегированного режима reload для загрузки из файла начальной конфигруации.

Недостатком использования команды reload для удаления не сохраненной текущей конфигурации является кратковременный переход устройства в автономный режим и, как следствие, простой сети.

Выполняя перезагрузку, IOS определит, что изменения текущей конфигурации не были сохранены в файл начальной конфигурации. Появится сообщение с вопросом, нужно ли сохранить изменения. Для отмены изменений введите n или no.

❗️Как удалить файл начальной конфигурации?

Загрузочную конфигурацию можно удалить с помощью команды привилегированного режима erase startup-config. После ввода команды появится запрос о подтверждении. Нажмите клавишу Enter для подтверждения.

После удаления начальной конфигурации из NVRAM перезапустите устройство, чтобы удалить файл текущей конфигурации из ОЗУ. При перезагрузке на коммутаторе применяется загрузочная конфигурация по умолчанию, с которой изначально поставлялось устройство.

Остались вопросы? Получите консультацию в нашем чате от опытных админов.

🌐 Network Admin | CCNA

💾 Запись конфигурации в текстовый файл

Файлы конфигурации можно также сохранить и поместить в текстовый документ. Эта последовательность действий позволит в дальнейшем редактировать или повторно использовать рабочую копию файлов конфигурации.

Подробнее: NetworkAdmin.ru

Остались вопросы? Получите консультацию в нашем чате от опытных админов.

🌐 Network Admin | CCNA

N.A.Course | N.A.Help

🔐 Методы аутентификации в SSH

SSH предоставляет несколько методов аутентификации для проверки подлинности клиента, пытающегося подключиться к серверу.

🟢Распространенные методы аутентификации:

➡️ Аутентификация по паролю

Это самый простой и наиболее распространенный метод аутентификации в SSH. Когда клиент пытается подключиться к серверу, ему предлагается ввести имя пользователя и пароль. Сервер проверяет имя пользователя и пароль, и если они совпадают, клиент проходит аутентификацию и получает доступ к системе.

➡️ Аутентификация с открытым ключом

Более безопасный метод аутентификации, чем аутентификация по паролю. В этом методе клиент генерирует пару открытого и закрытого ключей. Открытый ключ загружается на сервер, а закрытый ключ хранится на клиенте.

➡️ Аутентификация на основе хоста

Аутентификация на основе хоста использует ключ хоста клиентского компьютера для аутентификации клиента. Этот метод обычно используется в средах, где несколько пользователей совместно используют одну учетную запись в удаленной системе.

➡️ Двухфакторная аутентификация

Двухфакторная аутентификация требует, чтобы клиент предоставил две формы идентификации для доступа к удаленной системе.

❗️SSH предоставляет несколько методов аутентификации для проверки подлинности клиента, пытающегося подключиться к серверу. Используя надежные методы аутентификации, SSH гарантирует, что только авторизованные пользователи могут получить доступ к удаленной системе.

Жми 👍, и напиши в коммент, о какой технологии сделать пост.

N.A.Course | N.A.Help

👀Типы ARP

Существует несколько типов протокола ARP, используемых в компьютерных сетях, каждый из которых имеет свои технические особенности.

🔍Наиболее распространенные типы ARP:

➡️ ARP Запрос - это самый простой тип сообщения ARP, используемый для запроса MAC-адреса устройства с определенным IP-адресом. Запрос ARP отправляется в виде широковещательного сообщения всем устройствам в сети, и устройство с соответствующим IP-адресом отвечает своим MAC-адресом.

➡️ ARP Ответ - это ответ на запрос ARP, содержащий MAC-адрес устройства с запрошенным IP-адресом. Ответ ARP отправляется непосредственно на устройство, отправившее запрос ARP.

➡️ Обратный ARP (RARP) - это более старый протокол, который использовался для сопоставления MAC-адреса с IP-адресом. Это противоположность ARP, когда устройство с MAC-адресом отправляет запрос своего IP-адреса на RARP-сервер в сети.

➡️ Inverse ARP (InARP) - это расширение ARP, которое используется для сопоставления логического IP-адреса с адресом банкомата (асинхронный режим передачи). Он используется в сетях банкоматов для сопоставления IP-адреса устройства с соответствующим адресом банкомата.

➡️ Proxy ARP - это функция ARP, которая позволяет маршрутизатору отвечать на запросы ARP от имени устройств в другой сети. Это полезно для подключения сетей, которые используют разные диапазоны IP-адресов.

➡️ Gratuitous ARP - используется для обновления кэша ARP других устройств в сети. Он отправляется устройством для трансляции своего IP- и MAC-адреса в сеть, что позволяет другим устройствам обновлять свои кэши ARP.

➡️ Безопасный ARP (SARP) - это расширение ARP, предоставляющее механизмы безопасности для предотвращения атак с подменой ARP. Он использует аутентификацию и шифрование для защиты от несанкционированных сообщений ARP.

❗️Разные типы ARP предоставляют разные функции и возможности для обеспечения связи и сопоставления IP-адресов с MAC-адресами в компьютерных сетях.

Жми 👍, и напиши в коммент, о какой технологии сделать пост.

N.A.Course | N.A.Help

😀 Сетевые протоколы и технологии

Чтобы хорошо разбираться в компьютерных сетях, нужно чётко понимать как работает протокол или технология. В этой теме представлены посты с самой необходимой информацией.

❗️Этот пост регулярно обновляется, ссылку на него вы найдете в закрепленном посте канала и внизу каждого поста про протоколы.

⏺Протоколы&Технологии

SSH
• Основные принципы работы протокола
• Как происходит шифрование
• Методы аутентификации
• Уязвимости протокола

ARP
• Принципы работы протокола
• Типы ARP
• Формат сообщения

Алгоритм Диффи-Хеллама
• Генерация общего Secret

SSL
• Принцип работы протокола

Среда передачи данных
• SFP vs SFP+
• Для чего скручивать провода в кабеле UTP

DHCP
• Основные механизмы распределения IP-адресов
• Процесс получения IP-адреса
• Получение IP-адреса от DHCP в режиме реального времени

BGP
• Основы протокола

VPN
• Виды VPN и их особенности
• Принцип работы IPSec

NTLM
• Принцип работы протокола

TLS
• Принцип работы протокола

VLAN
• Что такое тегированный и нетегированный трафик?
• Эффективная сегментация VLAN

ICMP
• Типы ICMP-сообщений

😱 Интерфейсы и порты

Сетевой обмен данными зависит от интерфейсов оконечных пользовательских устройств, интерфейсов сетевых устройств и кабелей, при помощи которых они соединены. Каждый физический интерфейс определяется своими техническими характеристиками (стандартами). Соединяющий кабель должен соответствовать физическим стандартам интерфейса.

Типы средства сетевого подключения данных различаются возможностями и преимуществами. Не все средства сетевого подключения имеют одинаковые характеристики. Не все средства сетевого подключения подходят для одной и той же цели.

⏺Некоторые различия между типами средствами:

➡️ Расстояние, на которое средство подключения может передавать сигнал

➡️ Среда установки средств подключения

➡️ Объемы данных и скорость передачи

➡️ Стоимость средства подключения и его установка

Каждый канал связи в Интернете не только требует особого типа средства сетевого подключения, но и отдельной сетевой технологии.

❗️Например, Ethernet — наиболее распространенная технология локальной сети на сегодняшний день. Порты Ethernet есть на устройствах конечных пользователей, коммутаторах и других сетевых устройствах, которые поддерживают физическое подключение к сети с помощью кабеля.

Остались вопросы? Получите консультацию в нашем чате от опытных админов.

🌐 Network Admin | CCNA