10.6 Module Practice and Quiz
Что нужно уметь проговорить без подсказки
После Module 10 ты должен быстро объяснить:
- какие бывают endpoint threats;
- что означает
AAA; - как
802.1Xограничивает доступ к LAN; - какие есть основные Layer 2 attacks;
- какой mitigation feature соответствует каждой attack category.
Короткий summary
| Тема | Ключевая мысль |
|---|---|
| Endpoint security | attack может начаться и снаружи, и изнутри compromised host |
| AAA | authentication, authorization, accounting |
| 802.1X | port-based access control |
| Layer 2 attacks | MAC, VLAN, DHCP, ARP, spoofing, STP, CDP recon |
| Mitigation | Port Security, DHCP Snooping, DAI, IPSG, BPDU Guard |
Формулы для памяти
| Формула | Смысл |
|---|---|
MAC flooding -> Port Security | защита MAC table |
DHCP attacks -> DHCP Snooping | защита DHCP behavior |
ARP attacks -> DAI | защита ARP integrity |
IP/MAC spoofing -> IPSG | source validation |
STP attack -> BPDU Guard | защита access ports |
CDP recon -> disable or limit CDP | меньше exposed info |
Мини-проверка себя
Попробуй ответить:
- Почему Layer 2 называют weak link?
- Чем
authenticationотличается отauthorization? - Почему MAC flooding опасен именно для switching behavior?
- Чем VLAN hopping отличается от double-tagging?
- Почему rogue DHCP server может быть опаснее, чем кажется на первый взгляд?
- Какой feature нужен против ARP poisoning?
Команды для повторения
show mac address-table dynamic
line vty 0 4
password ci5c0
login
ip domain-name example.com
crypto key generate rsa general-keys modulus 2048
username Admin secret Str0ng3rPa55w0rd
ssh version 2
transport input ssh
login local
no cdp run
no cdp enable
no lldp run
no lldp transmit
no lldp receiveshow mac address-table dynamic ciscoIOScommand
Показывает learned MAC entries.
line vty 0 4 ciscoIOScommand
Открывает remote access lines для настройки.
password ci5c0 ciscoIOScommand
Назначает простой line password.
login ciscoIOScommand
Требует password на линии.
ip domain-name example.com ciscoIOScommand
Нужен, в частности, для SSH setup.
crypto key generate rsa general-keys modulus 2048 ciscoIOScommand
Генерирует RSA keys для SSH.
username Admin secret Str0ng3rPa55w0rd ciscoIOScommand
Создаёт local user.
ssh version 2 ciscoIOScommand
Включает SSHv2.
transport input ssh ciscoIOScommand
Разрешает только SSH.
login local ciscoIOScommand
Использует local user database для login.
no cdp run ciscoIOScommand
Отключает CDP globally.
no cdp enable ciscoIOScommand
Отключает CDP на interface.
no lldp run ciscoIOScommand
Отключает LLDP globally.
no lldp transmit ciscoIOScommand
Отключает LLDP transmit на interface.
no lldp receive ciscoIOScommand
Отключает LLDP receive на interface.
Самая важная мысль модуля
На этой теме нужно не просто знать названия атак, а быстро связывать каждую атаку с её mitigation feature.
Если повторяешь быстро
Выучи сначала таблицу
attack -> mitigation, потомAAA, потом difference между VLAN/DHCP/ARP attacks.
Итог модуля
Если ты видишь описание LAN attack и сразу можешь назвать правильный mitigation mechanism, значит тему ты уже реально понял.