SlideShare a Scribd company logo

D.sa302 lab 1

Babaa Naya
Babaa Naya

СНХ

Education
1 of 9
Download to read offline
D.SA302 Нууцлалын протоколууд ЛАБОРАТОРИ-1: СҮЛЖЭЭНИЙ ТӨХӨӨРӨМЖҮҮДИЙН ЭРСДЭЛИЙН УДИРДЛАГА Зорилго Энэхүү лабораторийн ажлаар байгууллагын сүлжээний дундын төхөөрөмжүүдийн нууцлал хамгаалалтыг хэрхэн хангах талаар судлан, Cisco төхөөрөмжүүд дээр нууцлал хамгаалалтын технологиудыг хэрэгжүүлэх талаар судлана. Эзэмших, мэдлэг чадвар  Байгууллагын сүлжээний аюулгүй байдлын эрсдэлийн үнэлгээний талаар судлах болон үнэлэх  Эрсдэлийн үнэлгээний үр дүн дээр үндэслэн, эрсдэлийг бууруулах тохиргоог сүлжээний дундын төхөөрөмжүүд дээр тохируулах, турших  MAC flooding болон DHCP starvation, DHCP spoofing халдлагаас хамгаалах тохиргоог Cisco свитч дээр тохируулах, ашиглах  Эрсдэлийг бууруулах тохиргоо хийсний дараа дахин эрсдэлийн үнэлгээ хийн үлдэгдэл эрсдэлийг тодорхойлох Шаардлагатай зүйлс  Рутер  Свитч  Компьютер Үндсэн ойлголт Байгууллагын тогтвортой, хэвийн үйл ажиллагаа, үр дүнтэй байдал нь тухайн байгууллагын мэдээллийн аюулгүй байдал, тэр дундаа сүлжээний аюулгүй байдлаас ихээхэн хамааралтай бөгөөд байгууллага өөрийн сүлжээний аюулгүй байдлын эрсдэлийг үнэлэх, шийдвэрлэх нь ажил хэргийн тасралтгүй чанарыг хангах, бизнесийн болоод учирч болох аюулуудаас урьдчилан сэргийлэх чухал асуудал юм. Мэдээллийн аюулгүй байдлыг хангахдаа стандарт бодлогын хувьд, техник технологийн хувьд, мөн хэрэглээний давхаргын хувьд хамгаалалтыг хэрэгжүүлдэг.
D.SA302 Нууцлалын протоколууд Аюул Аюул нь байгууллагын мэдээллийн системд хор хохирол учруулах боломжийг агуулж байдаг. Аюулууд нь орчноос болон хүнээс гаралтай, түүний дотор санаатай болон санамсаргүй байж болно. Аюулыг ямар нэгэн эх сурвалжаас, янз бүрийн сэдлээр хор уршиг учруулж болно. Аюулыг үнэлсэн үнэлгээнээс хамааран Их, Дунд, Бага хэмээн ангилдаг. Эмзэг сул байдал Аливаа аюулыг хэрэгжүүлэх, халдлага үйлдэхэд ашиглаж болох сул цоорхой байдлыг эмзэг байдал гэнэ. Биет хамгаалалт, зохион байгуулалт, дэг жаяг, ажилтнууд, удирдлага, захиргаа, тоног төхөөрөмж, техник хангамж, програм хангамж болон мэдээлэлд эмзэг байдал байж болно. Эдгээр эмзэг сул байдлыг хэрэгжүүлж систем, сүлжээ, нөөцөд хор
D.SA302 Нууцлалын протоколууд хохирол учруулдаг. Эмзэг сул байдал нь дангаараа хор хохирол учруулахгүй. Харин аюулыг хэрэгжүүлэх нөхцөлийг бүрдүүлдэг. Эмзэг сул байдлын үнэлгээ нь тодорхой аюулыг хэрэгжүүлэхэд ашиглаж болох цоорхой, сул байдал байгаа эсэхийг шинжлэх ажиллагаа юм. Үр дагавар, хор хохирол Үр дагавар гэдэг нь хэрэгжүүлсэн аюулын улмаас бий болсон мэдээллийн аюулгүй байдлын будлианы уршиг, үр дүн юм. Зарим өмч хөрөнгийг сүйтгэх, устгах, МХТ-ийн системийг гэмтээх, нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдал, тасралтгүй ажиллагаа, мөшгөн ажиглагдах шинж, жинхэнэ байх шинж болон найдвартай байдлыг алдагдуулах нь үр дагавар, хор хохирлын жишээ юм. Үүнээс гадна санхүүгийн алдагдал хүлээх, нэр хүндээ алдах, зах зээлд эзлэх байр сууриа алдах гэх мэт шууд бус хор хохирол учирч болно. Үр дагавар, хор хохирлыг үнэлэх нь эрсдэлийг үнэлэх, аюулгүй байдлын сөрөг арга хэмжээг сонгох ажиллагааны нэг салшгүй бүрдэл хэсэг байдаг. Эрсдэл Байгууллагад оршин буй эмзэг сул байдлыг ашиглан заналхийлж буй аюулууд хор хохирол учруулж болох магадлалыг эрсдэл гэнэ. Аюулууд эмзэг сул байдлыг хэрхэн ашиглаж, яаж хэрэгжиж болохыг эрсдэлийн зохиомжоор тодорхойлдог. Эрсдэл боловсруулах багцад эрсдэлээс урьдчилан сэргийлэх, эрсдэлийг бууруулах, шилжүүлэх, хүлээн зөвшөөрөхийг хамруулдаг. Хүлээн зөвшөөрсөн эрсдэлийг үлдэгдэл эрсдэл гэнэ. MAC халдлага болон MAC халдлагаас хамгаалах арга/Port security/ MAC (Media Access Control) хаяг нь 12 тэмдэгт 48 битийн урттай үйлдвэрээс тавьж өгсөн өөрчлөгдөшгүй хаяг боловч тус халдлага нь энэ хаягийг өөрчлөн халдах арга техник юм. MAC халдлага нь олон хуурмаг хаяг үүсгээд свитчийн MAC хүснэгтийг дүүргэдэг. Халдлагад өртсөн свитч нь “хаб” шиг ажиллаж эхлэх бөгөөд свитчний үүргээ биелүүлж чадахгүйд хүрж орж ирсэн пакетуудыг өөрийнхөө бүх портоор гаргана.Port-security нь свитчийн интерфейс дээр мак хаягийн хаязгаарыг тогтоож мак халдлагаас хамгаалдаг арга. Сүлжээний дундын төхөөрөмжүүдийн эрсдэлийн үнэлгээ Сүлжээний дундын төхөөрөмжүүдийн эрсдэлийн үнэлгээг олон улсын стандарт ISO/IEC 27001:2005, Монгол улсын стандарт “MNS ISO IEC 27001:2009 Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо шаардлага” –н дагуу эрсдэлийн үнэлгээ хийх checklist.
D.SA302 Нууцлалын протоколууд д/д Асуултууд Одоогийн байдал ISO 27001 Control Байж болох стандарт/ хяналт Тийм Үгүй A.11.4.1 Шаардлагагүй үйлчилгээг хаах 1 CDP(Cisco Discovery Protocol) үйлчилгээ рутер дээр хаасан эсэх A.11.4.4 CDP протокол нь IP хаяг болоод хөрш Cisco төхөөрөмжийн флатпормын төрлийн мэдээллийг цуглуулахад хэрэглэгддэг. A.12.6.1. Router(config)# no cdp run OR Router(config-if)# no cdp enable 2 Нууц үг нь тохиргооны файлаас харах боломжгүй шифрлэгдсэн эсэх A.11.5.3 Нууц үг нь тохиргооны файлаас харах боломжгүй нууцлагдсан байх хэрэгтэй Router(config)#service password-encryption 3 enable secret идэвхжүүлсэн эсэх A.11.5.3 Энэхүү тохиргоо нь нууц үгийг MD5 хаш алгоритмаар нууцалдаг Router(config)#enable secret password 4 Сүлжээн дэх рутер бүрд ижил нууц үг хэрэглэж байгаа эсэх A.11.5.3 Хэрэв олон рутер хэрэглэж байгаа бол Рутерийн хэсэг бүрд өөр өөр enable secret password -ийг хэрэглэх хэрэгтэй. 5 Message of the Day (MOTD) буюу banner мэссэж тодорхойлсон эсэх A.11.5.1 Энэхүү баннер мэссэж нь зөвшөөрөгдөөгүй хандалтанд сэрэмжлүүлэг болгох зорилгоор хэрэглэх юм. Доорх команд нь banner motd-ийг идэвхжүүлэх юм. Router# config t Router(config)# banner motd ^ 6 Доорх командууд нь консол холболтонд тодорхойлсон эсэх A.11.5.1 Эдгээр тохиргоо нь консол порт дээрх зөвшөөрөгдөөгүй хандалтыг багасгах юм. 1. Exec-timeout A.11.3.1 2. Password Cisco(config)#line con 0 Cisco(config-line)#exec-timeout 5 0 Cisco(config-line)#password password Cisco(config-line)#login 7 Aux порт хаасан эсэх A.11.4.4 Бизнесийн шаардлагаар aux портыг хэрэглээгүй бол хаавал зохистой Use the following command to disable the aux port: Router(config)#line aux 0 Router(config-line)#no exec 8 Доорх командууд нь VTY шугаманд тодорхойлсон эсэх A.11.5.1 Эдгээр тохиргоо нь зөвшөөрөгдөөгүй хандалтыг багасгах юм. 1. Exec-timeout (Yes/No) A.11.3.1 2. Password Router(config)#line vty 0 4 Router(config-line)#exec timeout 5 0 Router(config-line)#password password Router(config-line)#login Router(config-line)#transport input protocol 9 A.11.4.3
D.SA302 Нууцлалын протоколууд VTY шугам нь тодорхой IP хаягнаас холболтыг зөвшөөрсөн эсэх Доорх команд нь VTY шугамыг тодорхой IP хаягнаас холболтыг зөвшөөрдөг болгоно. Router(config)#access-list 50 permit 192.168.1.x (x represents the IP address of the administrator’s machine) Router(config)#access-list 50 deny any log Router(config)#line vty 0 4 Router(config-line)#access-class 50 in 10 Хэр ойрхон нууц үг болоод хэрэглэгчийн нэрийг сольдог вэ? A.11.5.3 Рутерийн нууц үгийг тогтмол сольж байх хэрэгтэй бөгөөд энэ хугацаа нь 4-6 сар байвал зохистой. 11 Рутерийн бодлогод тодорхойлсоны дагуу нууц үг нь комплекс байгаа эсэх A.11.3.1 Бүх нууц үг доорхын дагуу тодорхойлогдсон байх · Хамгийн багадаа 8 тэмдэгтийн урттай · @#$% зэрэг онцгой тэмдэгтийг оруулсан байх - мөн нууц үгэнд байгууллагын нэр болоод biograph мэдээлэл оруулахгүй байх 12 vty шугаманд SSH хэрэглэдэг эсэх A.12.3.1 SSH нь сүлжээгээр дамжиж байгаа VTY холболт тогтсоноос хойш бүх өгөгдлийг шифрлэнэ. 13 Менежмент зорилгоор (жишээ нь: тохиргооны мэдээллийг нөөцлөх) Telnet хэрэглэгдэг эсэх. A.10.6.1 Telnet холболт нь ил бичвэрийг сүлжээгээр дамжуулдаг бөгөөд энэ үед халдагч нь sniff хийн нууц үгийг барьж авах боломжтой. Асуудлыг шийдэх · Хаанаас ч холбогдсон SSH хэрэглэх · Тодорхой хаяганд зөвшөөрөх · Хүчтэй нууц үг хэрэглэх 14 Рутерийн админ болгон өөрийгөө илтгэх нэртэй байх A.11.2.1 Доорх команд нь өөрийгөө төгсөөр илэрхийлэх нэр олгох юм. Router(config)#username username password password Router(config)#line vty 0 4 Router(config-line)#login local 15 Рутерийн удирдлагад http/https хэрэглэдэг эсэх A.10.6.1 энэхүү үйлчилгээ нь вэб хөтөчөөр тохиргоо хийх боломжийг олгодог. Хэрэв үүнийг хэрэглэдэггүй бол хаах шаардлагатай Router(config)#no ip http server Router(config)#ip http access-class 22 Router(config)#access-list 22 permit host mgmt ip Router(config)#access-list 22 deny any log 16 зөвхөн админ холбогдож ACL ээр зааж өгсөн хостоос системийн лог мэссэжийг хүлээж авдаг эсэх A.11.4.6
D.SA302 Нууцлалын протоколууд 17 NTP серверийг хэрэглэдэг эсэх A.10.10.6 Энэхүү үйлчилгээ нь анхнаасаа хаалттай байдаг бөгөөд сүлжээдэх төхөөрөм хоорондын синхрон үйл явцыг тохируулдаг. 18 Хэр ойрхон рутерийн тохиргоог нөөцлөж авдаг вэ? A.10.5.1 19 тохиргооны файл хадгалагдаж байгаа систем дээр үйлдлийн системийн аюулгүй байдлын механизм хэрэгжүүлдэг эсэх A.10.5.1 Зөвхөн зөвшөөрөлтэй хэрэглэгч файл серверт хандах 20 рутерийн тохиргоо болон image файлыг авах зорилгоор TFTP протоколыг хэрэглэдэг үү? A.10.6.1 TFTP протокол нь анхнаасаа хаалттай байдаг бөгөөд ил бичвэрийг сүлжээгээр дамжуулдаг учир тийм ч аюулгүй биш юм. Хэрэв тийм бол, · Яг тодорхой хаягнаас хандахыг заасан уу? · Хэрэглээгүй үедээ энэ үйлчилгээг хаадаг уу? 21 syslog үйлчилгээ идэвхтэй байгаа эсэх A.10.10.1 Энэхүү syslog нь хялбараар сүлжээг хянах, засварлах зорилготой. A.13.1.1 Доорх команд нь syslog -г идэвхжүүлнэ Router(config)#logging syslog-ip-address Router(config)#service timestamps log datetime localtime msec show-timezone 22 Сүлжээний инжинер нь рутер дээр шинээр гарч буй эмзэг сул байдлыг мэдэж байх хэрэгтэй A.6.1.7 Сүлжээний инжинер нь рутер дээр тогтмол хугацаанд эмзэг байдлын шинэчлэлүүдыг хийж байх. 23 MAC халдлагаас хамгаалах тохиргоо хийгдсэн эсэх MAC (Media Access Control) хаяг нь 12 тэмдэгт 48 битийн урттай үйлдвэрээс тавьж өгсөн өөрчлөгдөшгүй хаяг боловч тус халдлага нь энэ хаягийг өөрчлөн халдах арга техник юм. MAC халдлага нь олон хуурмаг хаяг үүсгээд свитчийн MAC хүснэгтийг дүүргэдэг. Халдлагад өртсөн свитч нь “хаб” шиг ажиллаж эхлэх бөгөөд свитчний үүргээ биелүүлж чадахгүйд хүрж орж ирсэн пакетуудыг өөрийнхөө бүх портоор гаргана. 24 DHCP starvation халдлагаас хамгаалах тохиргоо хийгдсэн эсэх DHCP (Dynamic Host Configuration Protocol) starvation – энэ халдалага нь броадкастаар дамжиж байгаа хуурмаг MAC хаягтай DHCP хүсэлтийг хэлнэ. Ингэж клинтээс шинэ шинэ DHCP хүсэлтүүд ирж DHCP серверийн боломжит хаягийг дуусгадаг. 25 DHCP хуурах халдлагаас хамгаалах арга хийгдсэн эсэх Энэ халдлага нь хуурамч DHCP серверийг үүсгээд клинт DHCP хүсэлт илгээхэд хуурамч DHCP сервер түүнд хариу илгээнэ гэсэн үг юм. Ингэснээр тухайн клинтийг интернэд хандах боломжгүй болгодог. Рутер болон свич дээр учирч болох эрсдэлүүдийг бууруулах үндсэн тохиргоонууд Дундын төхөөрөмжүүдийн нууцлал хамгаалалтыг сайжруулан тохируулах жишээ: Байгууллагын санхүүгийн албаны свич дээр. 1. CDP үйлчилгээг хаах  Branch1(config)#no cdp run
D.SA302 Нууцлалын протоколууд 2. Нууц үгүүдийг тохиргооны файлаас харах боломжгүй нууцлах  Branch1(config)# service password-encryption 3. Enable secret-г идэвхижүүлэх. Энэ тохиргоо нь нууц үгийг MD5 hash алгоритмаар нууцалдаг.  Branch1(config)#enable secret password 4. Сүлжээн дэх дундын төхөөрөмж бүрд ижил нууц үг хэрэглэж байгаа эсэх Хэрэв олон дундын төхөөрөмж хэрэглэж байгаа бол дундын төхөөрөмж бүрд өөр өөр enable secret password -ийг хэрэглэх хэрэгтэй. 5. Message of the Day (MOTD) буюу banner мэссэж тодорхойлох. Энэхүү баннер мэссэж нь зөвшөөрөгдөөгүй хандалтанд сэрэмжлүүлэг болгох зорилгоор хэрэглэх юм.  Branch1(config)#banner motd # This is secure system Authorized access only # 6. Консол холболтонд зөвшөөрөгдөөгүй холболтыг багасгах.  Branch1(config)#line console 0 Branch1(config-line)#exec-timeout 1 0 Branch1(config-line)#password password 7. Aux порт хаах. Бизнесийн шаардлагаар aux портыг хэрэглээгүй бол хаавал зохистой.  Branch1(config)#line aux 0 Branch1(config-line)#no exec 8. Vty шугаманд exec timed out болон нууц үг тодорхойлох  Branch1(config)#line vty 0 4 Branch1(config-line)#exec timedout 5 0 Branch1(config-line)#password password Branch1(config-line)#login Branch1(config-line)#transport input [telnet | ssh] 9. VTY шугам нь тодорхой IP хаягнаас холболтыг зөвшөөрөх. Доорх команд нь VTY шугамыг тодорхой IP хаягнаас холболтыг зөвшөөрдөг болгоноVLAN 99-н хэрэглэгчид төхөөрөмжүүд рүү холбогдох холболтыг зөвшөөрдөг болгох.  Branch1(config)# access-list 50 permit 192.168.0.0 Branch1(config-line)#line vty 0 4 Branch1(config-line)#access-class 50 in 10. Рөүтерийн нууц үгийг 4-6 сарын хугацаатай тогтмол сольж байх. 11. Бүх нууц үг доорх шаардлагын дагуу тодорхойлогдсон байх  Хамгийн багадаа 8 тэмдэгтийн урттай  @#$% зэрэг онцгой тэмдэгтийг оруулсан  Мөн нууц үгэн байгууллагын нэр болон biograph мэдээлэл оруулахгүй байх 12. Төхөөрөмжүүд рүү алсаас хандах хандалтандаа зөвхөн SSH протокол ашиглах.SSH нь сүлжээгээр дамжиж байгаа VTY холболт тогтсоноос хойш бүх өгөгдлийг шифрлэнэ. 13. Telnet протоколыг алсаас хандах хандалтандаа ашиглахгүй байх. 14. Рөүтерийн админ болгон өөрийгөө илтгэх нэртэй байх.  Branch1(config)#username username password password Branch1(config)#line vty 0 4 Branch1(config-line)#login local
D.SA302 Нууцлалын протоколууд 15. Рөүтерийн удирдлагад http/https хэрэглэдэггүй бол энэ үйлчилгээг хаах. Энэхүү үйлчилгээ нь вэб хөтөчөөр тохиргоо хийх боломжийг олгодог.  Branch1(config)# no ip http server 16. Зөвхөн админ холбогдож ACL ээр зааж өгсөн хостоос системийн лог мэссэжийг хүлээж авдаг байх 17. NTP серверийг тохируулах. Энэхүү үйлчилгээ нь анхнаасаа хаалттай байдаг бөгөөд сүлжээн дэх төхөөрөмж хоорондын синхрон үйл явцыг тохируулдаг.  Branch1(config)# ntp server ntp-server-ipaddress /Monitoring сервер дээр NTP серверийг идэвхижүүлэн IP хаягийг бичнэ. Галт хана дээр NTP протоколыг нээж өгөх шаардлагатай/ 18. Дундын төхөөрөмжүүдийн тохиргооны файлыг өөрчлөх бүрдээ FTP сервер лүү нөөцөлж авах.  Branch1(config)#ip ftp username username Branch1(config)#ip ftp password password Branch1# copy running-config ftp: /FTP серверийн IP хаяг / 19. Тохиргооны файл хадгалагдаж байгаа систем дээр үйлдлийн системийн аюулгүй байдлын механизм хэрэгжүүлэх. Зөвхөн зөвшөөрөлтэй хэрэглэгч файл серверт хандах. 20. TFTP сервер лүү дамжуулж байгаа өгөгдлүүд эх текстээрээ дамждаг учир сүлжээний дундын төхөөрөмжүүдийн тохиргооны файл болон үйлдлийн системийг нөөцөлж авахдаа TFTP серверийг ашиглахгүй байх. 21. Системийн логийн үйлчилгээг идэвхижүүлэх.  Branch1(config)#logging syslog-ip-address /Monitoring сервер дээр syslog серверийг идэвхижүүлэн IP хаягийг бичнэ./ Branch1(config)# service timestamps log datetime msec 22. Дундын төхөөрөмжүүд дээр шинээр үүсч байгаа эмзэг сул байдлын талаар судалж, эмзэг сул байдлуудыг бууруулах арга хэмжээнүүдийг хэрэгжүүлж байх. 23. MAC халдлагаас хамгаалах  Branch1(config)#switchport port-security /идэвхижүүлэх Branch1(config)#switchport port-security mac-address [MAC хаяг] /порт дээр холбогдох хэрэглэгчийг бүртгэх Branch1(config)#switchport port-security maximum [тоо] /порт дээр холбогдох максимум хэрэглэгчийн тоо Branch1(config)#switchport port-security mac-address sticky Branch1(config)#switchport port-security violation [protect|restrict|shutdown] /Бүртгэлгүй хэрэглэгч порт дээр холбогдвол үзүүлэх хариу 24. DHCP starvation болон DHCP хуурах халдлагаас хамгаалах  Branch1(config)#ip dhcp snooping /dhcp starvation болон dhcp rogue халдлагаас хамгаалах тлхиргоог идэвхижүүлэх Branch1(config)#int G0/1 /DHCP сервер холбогдож байгаа портыг зааж өгөх Branch1(config-if)#ip dhcp snooping trust /Энэ портоор DHCP серверээс хариу авна гэдгийг тодорхойлж байна DHCP клиентүүд холбогдсон портууд Branch1(conf-if)#ip dhcp snooping limit rate <1-2048> /энэ портон дээрээс хамгийн ихдээ хэдэн DHCP хүсэлт явж болохыг зааж өгнө
D.SA302 Нууцлалын протоколууд Лабораторын ажилд ашиглагдах топологи Даалгавар: Дундын төхөөрөмжүүд дээр сүлжээний аюулгүй байдлын эрсдэлийн үнэлгээг ISO 27001-н дагуу хийн илрүүлсэн эмзэг байдлуудаа бууруулах арга хэмжээнүүдийг авна уу. Дүгнэх хэлбэр: Лабораторийн ажлыг бүрэн гүйцэтгэснээр 5 оноог авна. Лабораторийн ажлыг дүгнүүлэхдээ тайлан бичих бөгөөд мөн симуляцын програм дээр хийсэн ажлаа хамт үзүүлнэ.  Даалгаврыг гүйцэтгэвэл 3 оноо  Онолыг дэлгэрэнгүй яривал 1оноо  Ирц 1 оноо

Recommended

Lab7
Lab7Lab7
Lab7Babaa Naya
 
011 2 ba
011 2 ba011 2 ba
011 2 baBabaa Naya
 
07 08 web security
07 08 web security07 08 web security
07 08 web securityBabaa Naya
 
012 sec arch fw
012 sec arch fw012 sec arch fw
012 sec arch fwBabaa Naya
 
Router гэж юу вэ ?
Router гэж юу вэ ?Router гэж юу вэ ?
Router гэж юу вэ ?Ochiroo Dorj
 
01 j.sa302 lec1 info_sec
01 j.sa302 lec1 info_sec01 j.sa302 lec1 info_sec
01 j.sa302 lec1 info_secBabaa Naya
 
Lab5
Lab5Lab5
Lab5Babaa Naya
 
утасгүй сүлжээ
утасгүй сүлжээутасгүй сүлжээ
утасгүй сүлжээOchiroo Dorj
 

Recommended

Lab7
Lab7Lab7
Lab7Babaa Naya
 
011 2 ba
011 2 ba011 2 ba
011 2 baBabaa Naya
 
07 08 web security
07 08 web security07 08 web security
07 08 web securityBabaa Naya
 
012 sec arch fw
012 sec arch fw012 sec arch fw
012 sec arch fwBabaa Naya
 
Router гэж юу вэ ?
Router гэж юу вэ ?Router гэж юу вэ ?
Router гэж юу вэ ?Ochiroo Dorj
 
01 j.sa302 lec1 info_sec
01 j.sa302 lec1 info_sec01 j.sa302 lec1 info_sec
01 j.sa302 lec1 info_secBabaa Naya
 
Lab5
Lab5Lab5
Lab5Babaa Naya
 
утасгүй сүлжээ
утасгүй сүлжээутасгүй сүлжээ
утасгүй сүлжээOchiroo Dorj
 
Lab4
Lab4Lab4
Lab4Babaa Naya
 
02 j.sa302 lec2 mac_sec_edited_turuu
02 j.sa302 lec2 mac_sec_edited_turuu02 j.sa302 lec2 mac_sec_edited_turuu
02 j.sa302 lec2 mac_sec_edited_turuuBabaa Naya
 
VPN сүлжээ түүний аюулгүй байдал
VPN сүлжээ түүний аюулгүй байдалVPN сүлжээ түүний аюулгүй байдал
VPN сүлжээ түүний аюулгүй байдалTemka Temuujin
 
Wireless
WirelessWireless
WirelessBat Suuri
 
Seminar_presentation
Seminar_presentationSeminar_presentation
Seminar_presentationTumennast Erdenebold
 
Point To Point Tunneling Protocol Presentation
Point To Point Tunneling Protocol PresentationPoint To Point Tunneling Protocol Presentation
Point To Point Tunneling Protocol Presentationbatso
 
Утасгүй сүлжээ
Утасгүй сүлжээУтасгүй сүлжээ
Утасгүй сүлжээBat Suuri
 
утасгүй сүлжээ
утасгүй сүлжээутасгүй сүлжээ
утасгүй сүлжээOchiroo Dorj
 
Lab6
Lab6Lab6
Lab6Babaa Naya
 
011 az
011 az011 az
011 azBabaa Naya
 
Lab7
Lab7Lab7
Lab7BPurev
 
It101 lab 8
It101 lab 8It101 lab 8
It101 lab 8BPurev
 
Лекц №3
Лекц №3Лекц №3
Лекц №3Amarsaikhan Tuvshinbayar
 
012 sec arch fw
012 sec arch fw012 sec arch fw
012 sec arch fwBabaa Naya
 
Lekts presentation7
Lekts presentation7Lekts presentation7
Lekts presentation7ganzorigb
 
Lekts presentation6
Lekts presentation6Lekts presentation6
Lekts presentation6ganzorigb
 
сүлжээний хичээл
сүлжээний хичээлсүлжээний хичээл
сүлжээний хичээлenhsaran_tsahim
 
Лаборатор-8
Лаборатор-8Лаборатор-8
Лаборатор-8taivna
 
Lekts presentation8
Lekts presentation8Lekts presentation8
Lekts presentation8ganzorigb
 
Лекц 5
Лекц 5Лекц 5
Лекц 5Muuluu
 
Lab8
Lab8Lab8
Lab8Nergui Batjargal
 
Lec3.
Lec3.Lec3.
Lec3.Mr_Endko
 

More Related Content

What's hot

02 j.sa302 lec2 mac_sec_edited_turuu
02 j.sa302 lec2 mac_sec_edited_turuu02 j.sa302 lec2 mac_sec_edited_turuu
02 j.sa302 lec2 mac_sec_edited_turuuBabaa Naya
 
VPN сүлжээ түүний аюулгүй байдал
VPN сүлжээ түүний аюулгүй байдалVPN сүлжээ түүний аюулгүй байдал
VPN сүлжээ түүний аюулгүй байдалTemka Temuujin
 
Point To Point Tunneling Protocol Presentation
Point To Point Tunneling Protocol PresentationPoint To Point Tunneling Protocol Presentation
Point To Point Tunneling Protocol Presentationbatso
 
Утасгүй сүлжээ
Утасгүй сүлжээУтасгүй сүлжээ
Утасгүй сүлжээBat Suuri
 
утасгүй сүлжээ
утасгүй сүлжээутасгүй сүлжээ
утасгүй сүлжээOchiroo Dorj
 
It101 lab 8
It101 lab 8It101 lab 8
It101 lab 8BPurev
 
012 sec arch fw
012 sec arch fw012 sec arch fw
012 sec arch fwBabaa Naya
 
Lekts presentation7
Lekts presentation7Lekts presentation7
Lekts presentation7ganzorigb
 
Lekts presentation6
Lekts presentation6Lekts presentation6
Lekts presentation6ganzorigb
 
сүлжээний хичээл
сүлжээний хичээлсүлжээний хичээл
сүлжээний хичээлenhsaran_tsahim
 
Лаборатор-8
Лаборатор-8Лаборатор-8
Лаборатор-8taivna
 
Lekts presentation8
Lekts presentation8Lekts presentation8
Lekts presentation8ganzorigb
 
Лекц 5
Лекц 5Лекц 5
Лекц 5Muuluu
 

What's hot (20)

Lab4
Lab4Lab4
Lab4
 
02 j.sa302 lec2 mac_sec_edited_turuu
02 j.sa302 lec2 mac_sec_edited_turuu02 j.sa302 lec2 mac_sec_edited_turuu
02 j.sa302 lec2 mac_sec_edited_turuu
 
VPN сүлжээ түүний аюулгүй байдал
VPN сүлжээ түүний аюулгүй байдалVPN сүлжээ түүний аюулгүй байдал
VPN сүлжээ түүний аюулгүй байдал
 
Wireless
WirelessWireless
Wireless
 
Seminar_presentation
Seminar_presentationSeminar_presentation
Seminar_presentation
 
Point To Point Tunneling Protocol Presentation
Point To Point Tunneling Protocol PresentationPoint To Point Tunneling Protocol Presentation
Point To Point Tunneling Protocol Presentation
 
Утасгүй сүлжээ
Утасгүй сүлжээУтасгүй сүлжээ
Утасгүй сүлжээ
 
утасгүй сүлжээ
утасгүй сүлжээутасгүй сүлжээ
утасгүй сүлжээ
 
Lab6
Lab6Lab6
Lab6
 
011 az
011 az011 az
011 az
 
Lab7
Lab7Lab7
Lab7
 
It101 lab 8
It101 lab 8It101 lab 8
It101 lab 8
 
Лекц №3
Лекц №3Лекц №3
Лекц №3
 
012 sec arch fw
012 sec arch fw012 sec arch fw
012 sec arch fw
 
Lekts presentation7
Lekts presentation7Lekts presentation7
Lekts presentation7
 
Lekts presentation6
Lekts presentation6Lekts presentation6
Lekts presentation6
 
сүлжээний хичээл
сүлжээний хичээлсүлжээний хичээл
сүлжээний хичээл
 
Лаборатор-8
Лаборатор-8Лаборатор-8
Лаборатор-8
 
Lekts presentation8
Lekts presentation8Lekts presentation8
Lekts presentation8
 
Лекц 5
Лекц 5Лекц 5
Лекц 5
 

Similar to D.sa302 lab 1

лабораторийн ажил 7
лабораторийн ажил 7лабораторийн ажил 7
лабораторийн ажил 7taivna
 
Лекц 10
Лекц 10Лекц 10
Лекц 10Muuluu
 
Лекц 12
Лекц 12Лекц 12
Лекц 12Muuluu
 
MNSEC 2018 - Linux hardening
MNSEC 2018 - Linux hardeningMNSEC 2018 - Linux hardening
MNSEC 2018 - Linux hardeningMNCERT
 
Microsoft power point dasgal nano 2011 08
Microsoft power point dasgal nano 2011 08Microsoft power point dasgal nano 2011 08
Microsoft power point dasgal nano 2011 08myarturartur
 
Lecture network programming
Lecture network programmingLecture network programming
Lecture network programmingganzorigb
 
Лекц 11
Лекц 11Лекц 11
Лекц 11Muuluu
 
Dynamic routing protocol гэж юу вэ ?
Dynamic routing protocol гэж юу вэ ?Dynamic routing protocol гэж юу вэ ?
Dynamic routing protocol гэж юу вэ ?Ochiroo Dorj
 
006 харилцаа холбоо ба сүлжээ
006 харилцаа холбоо ба сүлжээ006 харилцаа холбоо ба сүлжээ
006 харилцаа холбоо ба сүлжээBobby Wang
 
U.IT101 Lab8
U.IT101 Lab8U.IT101 Lab8
U.IT101 Lab8BPurev
 

Similar to D.sa302 lab 1 (20)

Lab8
Lab8Lab8
Lab8
 
Lec3.
Lec3.Lec3.
Lec3.
 
Lab-7
Lab-7Lab-7
Lab-7
 
Lab 8
Lab 8Lab 8
Lab 8
 
лабораторийн ажил 7
лабораторийн ажил 7лабораторийн ажил 7
лабораторийн ажил 7
 
Lab7
Lab7Lab7
Lab7
 
Лекц 10
Лекц 10Лекц 10
Лекц 10
 
IP hicheel 1
IP hicheel 1IP hicheel 1
IP hicheel 1
 
Sa207
Sa207Sa207
Sa207
 
Лекц 12
Лекц 12Лекц 12
Лекц 12
 
MNSEC 2018 - Linux hardening
MNSEC 2018 - Linux hardeningMNSEC 2018 - Linux hardening
MNSEC 2018 - Linux hardening
 
Microsoft power point dasgal nano 2011 08
Microsoft power point dasgal nano 2011 08Microsoft power point dasgal nano 2011 08
Microsoft power point dasgal nano 2011 08
 
Lecture network programming
Lecture network programmingLecture network programming
Lecture network programming
 
Cs101 lec2
Cs101 lec2Cs101 lec2
Cs101 lec2
 
Lec2
Lec2Lec2
Lec2
 
It101 lect2
It101 lect2It101 lect2
It101 lect2
 
Лекц 11
Лекц 11Лекц 11
Лекц 11
 
Dynamic routing protocol гэж юу вэ ?
Dynamic routing protocol гэж юу вэ ?Dynamic routing protocol гэж юу вэ ?
Dynamic routing protocol гэж юу вэ ?
 
006 харилцаа холбоо ба сүлжээ
006 харилцаа холбоо ба сүлжээ006 харилцаа холбоо ба сүлжээ
006 харилцаа холбоо ба сүлжээ
 
U.IT101 Lab8
U.IT101 Lab8U.IT101 Lab8
U.IT101 Lab8
 

More from Babaa Naya

Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам
Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам
Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам Babaa Naya
 
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...Babaa Naya
 
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын багшид мэргэжли...
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын багшид мэргэжли...Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын багшид мэргэжли...
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын багшид мэргэжли...Babaa Naya
 
Мэргэжлийн боловсрол, сургалтын байгууллагын төгсөгчдөд мэргэжлийн диплом, үн...
Мэргэжлийн боловсрол, сургалтын байгууллагын төгсөгчдөд мэргэжлийн диплом, үн...Мэргэжлийн боловсрол, сургалтын байгууллагын төгсөгчдөд мэргэжлийн диплом, үн...
Мэргэжлийн боловсрол, сургалтын байгууллагын төгсөгчдөд мэргэжлийн диплом, үн...Babaa Naya
 
Suraltsagchid chiglesen uilchilgee hesgiin notolgoo
Suraltsagchid chiglesen uilchilgee hesgiin notolgooSuraltsagchid chiglesen uilchilgee hesgiin notolgoo
Suraltsagchid chiglesen uilchilgee hesgiin notolgooBabaa Naya
 
Img 20210105 0002
Img 20210105 0002Img 20210105 0002
Img 20210105 0002Babaa Naya
 
Img 20210105 0001
Img 20210105 0001Img 20210105 0001
Img 20210105 0001Babaa Naya
 
Cisco packet tracer
Cisco packet tracerCisco packet tracer
Cisco packet tracerBabaa Naya
 
Cisco packet tracer
Cisco packet tracerCisco packet tracer
Cisco packet tracerBabaa Naya
 
012 2 ccna sv2-instructor_ppt_ch9
012 2 ccna sv2-instructor_ppt_ch9012 2 ccna sv2-instructor_ppt_ch9
012 2 ccna sv2-instructor_ppt_ch9Babaa Naya
 
010 sa302 aaa+ldap
010 sa302 aaa+ldap010 sa302 aaa+ldap
010 sa302 aaa+ldapBabaa Naya
 
010 sa302 aaa+ldap
010 sa302 aaa+ldap010 sa302 aaa+ldap
010 sa302 aaa+ldapBabaa Naya
 
09 sa302 lec4 v2
09 sa302 lec4 v209 sa302 lec4 v2
09 sa302 lec4 v2Babaa Naya
 

More from Babaa Naya (20)

Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам
Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам
Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам
 
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...
 
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын багшид мэргэжли...
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын багшид мэргэжли...Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын багшид мэргэжли...
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын багшид мэргэжли...
 
Мэргэжлийн боловсрол, сургалтын байгууллагын төгсөгчдөд мэргэжлийн диплом, үн...
Мэргэжлийн боловсрол, сургалтын байгууллагын төгсөгчдөд мэргэжлийн диплом, үн...Мэргэжлийн боловсрол, сургалтын байгууллагын төгсөгчдөд мэргэжлийн диплом, үн...
Мэргэжлийн боловсрол, сургалтын байгууллагын төгсөгчдөд мэргэжлийн диплом, үн...
 
Suraltsagchid chiglesen uilchilgee hesgiin notolgoo
Suraltsagchid chiglesen uilchilgee hesgiin notolgooSuraltsagchid chiglesen uilchilgee hesgiin notolgoo
Suraltsagchid chiglesen uilchilgee hesgiin notolgoo
 
Img 20210105 0002
Img 20210105 0002Img 20210105 0002
Img 20210105 0002
 
Img 20210105 0001
Img 20210105 0001Img 20210105 0001
Img 20210105 0001
 
Cisco packet tracer
Cisco packet tracerCisco packet tracer
Cisco packet tracer
 
Cisco packet tracer
Cisco packet tracerCisco packet tracer
Cisco packet tracer
 
Lab10
Lab10Lab10
Lab10
 
Lab9
Lab9Lab9
Lab9
 
Lab8
Lab8Lab8
Lab8
 
Lab 6
Lab 6Lab 6
Lab 6
 
Lab3
Lab3Lab3
Lab3
 
Lab2
Lab2Lab2
Lab2
 
Lab1
Lab1Lab1
Lab1
 
012 2 ccna sv2-instructor_ppt_ch9
012 2 ccna sv2-instructor_ppt_ch9012 2 ccna sv2-instructor_ppt_ch9
012 2 ccna sv2-instructor_ppt_ch9
 
010 sa302 aaa+ldap
010 sa302 aaa+ldap010 sa302 aaa+ldap
010 sa302 aaa+ldap
 
010 sa302 aaa+ldap
010 sa302 aaa+ldap010 sa302 aaa+ldap
010 sa302 aaa+ldap
 
09 sa302 lec4 v2
09 sa302 lec4 v209 sa302 lec4 v2
09 sa302 lec4 v2
 

D.sa302 lab 1

  • 1. D.SA302 Нууцлалын протоколууд ЛАБОРАТОРИ-1: СҮЛЖЭЭНИЙ ТӨХӨӨРӨМЖҮҮДИЙН ЭРСДЭЛИЙН УДИРДЛАГА Зорилго Энэхүү лабораторийн ажлаар байгууллагын сүлжээний дундын төхөөрөмжүүдийн нууцлал хамгаалалтыг хэрхэн хангах талаар судлан, Cisco төхөөрөмжүүд дээр нууцлал хамгаалалтын технологиудыг хэрэгжүүлэх талаар судлана. Эзэмших, мэдлэг чадвар  Байгууллагын сүлжээний аюулгүй байдлын эрсдэлийн үнэлгээний талаар судлах болон үнэлэх  Эрсдэлийн үнэлгээний үр дүн дээр үндэслэн, эрсдэлийг бууруулах тохиргоог сүлжээний дундын төхөөрөмжүүд дээр тохируулах, турших  MAC flooding болон DHCP starvation, DHCP spoofing халдлагаас хамгаалах тохиргоог Cisco свитч дээр тохируулах, ашиглах  Эрсдэлийг бууруулах тохиргоо хийсний дараа дахин эрсдэлийн үнэлгээ хийн үлдэгдэл эрсдэлийг тодорхойлох Шаардлагатай зүйлс  Рутер  Свитч  Компьютер Үндсэн ойлголт Байгууллагын тогтвортой, хэвийн үйл ажиллагаа, үр дүнтэй байдал нь тухайн байгууллагын мэдээллийн аюулгүй байдал, тэр дундаа сүлжээний аюулгүй байдлаас ихээхэн хамааралтай бөгөөд байгууллага өөрийн сүлжээний аюулгүй байдлын эрсдэлийг үнэлэх, шийдвэрлэх нь ажил хэргийн тасралтгүй чанарыг хангах, бизнесийн болоод учирч болох аюулуудаас урьдчилан сэргийлэх чухал асуудал юм. Мэдээллийн аюулгүй байдлыг хангахдаа стандарт бодлогын хувьд, техник технологийн хувьд, мөн хэрэглээний давхаргын хувьд хамгаалалтыг хэрэгжүүлдэг.
  • 2. D.SA302 Нууцлалын протоколууд Аюул Аюул нь байгууллагын мэдээллийн системд хор хохирол учруулах боломжийг агуулж байдаг. Аюулууд нь орчноос болон хүнээс гаралтай, түүний дотор санаатай болон санамсаргүй байж болно. Аюулыг ямар нэгэн эх сурвалжаас, янз бүрийн сэдлээр хор уршиг учруулж болно. Аюулыг үнэлсэн үнэлгээнээс хамааран Их, Дунд, Бага хэмээн ангилдаг. Эмзэг сул байдал Аливаа аюулыг хэрэгжүүлэх, халдлага үйлдэхэд ашиглаж болох сул цоорхой байдлыг эмзэг байдал гэнэ. Биет хамгаалалт, зохион байгуулалт, дэг жаяг, ажилтнууд, удирдлага, захиргаа, тоног төхөөрөмж, техник хангамж, програм хангамж болон мэдээлэлд эмзэг байдал байж болно. Эдгээр эмзэг сул байдлыг хэрэгжүүлж систем, сүлжээ, нөөцөд хор
  • 3. D.SA302 Нууцлалын протоколууд хохирол учруулдаг. Эмзэг сул байдал нь дангаараа хор хохирол учруулахгүй. Харин аюулыг хэрэгжүүлэх нөхцөлийг бүрдүүлдэг. Эмзэг сул байдлын үнэлгээ нь тодорхой аюулыг хэрэгжүүлэхэд ашиглаж болох цоорхой, сул байдал байгаа эсэхийг шинжлэх ажиллагаа юм. Үр дагавар, хор хохирол Үр дагавар гэдэг нь хэрэгжүүлсэн аюулын улмаас бий болсон мэдээллийн аюулгүй байдлын будлианы уршиг, үр дүн юм. Зарим өмч хөрөнгийг сүйтгэх, устгах, МХТ-ийн системийг гэмтээх, нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдал, тасралтгүй ажиллагаа, мөшгөн ажиглагдах шинж, жинхэнэ байх шинж болон найдвартай байдлыг алдагдуулах нь үр дагавар, хор хохирлын жишээ юм. Үүнээс гадна санхүүгийн алдагдал хүлээх, нэр хүндээ алдах, зах зээлд эзлэх байр сууриа алдах гэх мэт шууд бус хор хохирол учирч болно. Үр дагавар, хор хохирлыг үнэлэх нь эрсдэлийг үнэлэх, аюулгүй байдлын сөрөг арга хэмжээг сонгох ажиллагааны нэг салшгүй бүрдэл хэсэг байдаг. Эрсдэл Байгууллагад оршин буй эмзэг сул байдлыг ашиглан заналхийлж буй аюулууд хор хохирол учруулж болох магадлалыг эрсдэл гэнэ. Аюулууд эмзэг сул байдлыг хэрхэн ашиглаж, яаж хэрэгжиж болохыг эрсдэлийн зохиомжоор тодорхойлдог. Эрсдэл боловсруулах багцад эрсдэлээс урьдчилан сэргийлэх, эрсдэлийг бууруулах, шилжүүлэх, хүлээн зөвшөөрөхийг хамруулдаг. Хүлээн зөвшөөрсөн эрсдэлийг үлдэгдэл эрсдэл гэнэ. MAC халдлага болон MAC халдлагаас хамгаалах арга/Port security/ MAC (Media Access Control) хаяг нь 12 тэмдэгт 48 битийн урттай үйлдвэрээс тавьж өгсөн өөрчлөгдөшгүй хаяг боловч тус халдлага нь энэ хаягийг өөрчлөн халдах арга техник юм. MAC халдлага нь олон хуурмаг хаяг үүсгээд свитчийн MAC хүснэгтийг дүүргэдэг. Халдлагад өртсөн свитч нь “хаб” шиг ажиллаж эхлэх бөгөөд свитчний үүргээ биелүүлж чадахгүйд хүрж орж ирсэн пакетуудыг өөрийнхөө бүх портоор гаргана.Port-security нь свитчийн интерфейс дээр мак хаягийн хаязгаарыг тогтоож мак халдлагаас хамгаалдаг арга. Сүлжээний дундын төхөөрөмжүүдийн эрсдэлийн үнэлгээ Сүлжээний дундын төхөөрөмжүүдийн эрсдэлийн үнэлгээг олон улсын стандарт ISO/IEC 27001:2005, Монгол улсын стандарт “MNS ISO IEC 27001:2009 Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо шаардлага” –н дагуу эрсдэлийн үнэлгээ хийх checklist.
  • 4. D.SA302 Нууцлалын протоколууд д/д Асуултууд Одоогийн байдал ISO 27001 Control Байж болох стандарт/ хяналт Тийм Үгүй A.11.4.1 Шаардлагагүй үйлчилгээг хаах 1 CDP(Cisco Discovery Protocol) үйлчилгээ рутер дээр хаасан эсэх A.11.4.4 CDP протокол нь IP хаяг болоод хөрш Cisco төхөөрөмжийн флатпормын төрлийн мэдээллийг цуглуулахад хэрэглэгддэг. A.12.6.1. Router(config)# no cdp run OR Router(config-if)# no cdp enable 2 Нууц үг нь тохиргооны файлаас харах боломжгүй шифрлэгдсэн эсэх A.11.5.3 Нууц үг нь тохиргооны файлаас харах боломжгүй нууцлагдсан байх хэрэгтэй Router(config)#service password-encryption 3 enable secret идэвхжүүлсэн эсэх A.11.5.3 Энэхүү тохиргоо нь нууц үгийг MD5 хаш алгоритмаар нууцалдаг Router(config)#enable secret password 4 Сүлжээн дэх рутер бүрд ижил нууц үг хэрэглэж байгаа эсэх A.11.5.3 Хэрэв олон рутер хэрэглэж байгаа бол Рутерийн хэсэг бүрд өөр өөр enable secret password -ийг хэрэглэх хэрэгтэй. 5 Message of the Day (MOTD) буюу banner мэссэж тодорхойлсон эсэх A.11.5.1 Энэхүү баннер мэссэж нь зөвшөөрөгдөөгүй хандалтанд сэрэмжлүүлэг болгох зорилгоор хэрэглэх юм. Доорх команд нь banner motd-ийг идэвхжүүлэх юм. Router# config t Router(config)# banner motd ^ 6 Доорх командууд нь консол холболтонд тодорхойлсон эсэх A.11.5.1 Эдгээр тохиргоо нь консол порт дээрх зөвшөөрөгдөөгүй хандалтыг багасгах юм. 1. Exec-timeout A.11.3.1 2. Password Cisco(config)#line con 0 Cisco(config-line)#exec-timeout 5 0 Cisco(config-line)#password password Cisco(config-line)#login 7 Aux порт хаасан эсэх A.11.4.4 Бизнесийн шаардлагаар aux портыг хэрэглээгүй бол хаавал зохистой Use the following command to disable the aux port: Router(config)#line aux 0 Router(config-line)#no exec 8 Доорх командууд нь VTY шугаманд тодорхойлсон эсэх A.11.5.1 Эдгээр тохиргоо нь зөвшөөрөгдөөгүй хандалтыг багасгах юм. 1. Exec-timeout (Yes/No) A.11.3.1 2. Password Router(config)#line vty 0 4 Router(config-line)#exec timeout 5 0 Router(config-line)#password password Router(config-line)#login Router(config-line)#transport input protocol 9 A.11.4.3
  • 5. D.SA302 Нууцлалын протоколууд VTY шугам нь тодорхой IP хаягнаас холболтыг зөвшөөрсөн эсэх Доорх команд нь VTY шугамыг тодорхой IP хаягнаас холболтыг зөвшөөрдөг болгоно. Router(config)#access-list 50 permit 192.168.1.x (x represents the IP address of the administrator’s machine) Router(config)#access-list 50 deny any log Router(config)#line vty 0 4 Router(config-line)#access-class 50 in 10 Хэр ойрхон нууц үг болоод хэрэглэгчийн нэрийг сольдог вэ? A.11.5.3 Рутерийн нууц үгийг тогтмол сольж байх хэрэгтэй бөгөөд энэ хугацаа нь 4-6 сар байвал зохистой. 11 Рутерийн бодлогод тодорхойлсоны дагуу нууц үг нь комплекс байгаа эсэх A.11.3.1 Бүх нууц үг доорхын дагуу тодорхойлогдсон байх · Хамгийн багадаа 8 тэмдэгтийн урттай · @#$% зэрэг онцгой тэмдэгтийг оруулсан байх - мөн нууц үгэнд байгууллагын нэр болоод biograph мэдээлэл оруулахгүй байх 12 vty шугаманд SSH хэрэглэдэг эсэх A.12.3.1 SSH нь сүлжээгээр дамжиж байгаа VTY холболт тогтсоноос хойш бүх өгөгдлийг шифрлэнэ. 13 Менежмент зорилгоор (жишээ нь: тохиргооны мэдээллийг нөөцлөх) Telnet хэрэглэгдэг эсэх. A.10.6.1 Telnet холболт нь ил бичвэрийг сүлжээгээр дамжуулдаг бөгөөд энэ үед халдагч нь sniff хийн нууц үгийг барьж авах боломжтой. Асуудлыг шийдэх · Хаанаас ч холбогдсон SSH хэрэглэх · Тодорхой хаяганд зөвшөөрөх · Хүчтэй нууц үг хэрэглэх 14 Рутерийн админ болгон өөрийгөө илтгэх нэртэй байх A.11.2.1 Доорх команд нь өөрийгөө төгсөөр илэрхийлэх нэр олгох юм. Router(config)#username username password password Router(config)#line vty 0 4 Router(config-line)#login local 15 Рутерийн удирдлагад http/https хэрэглэдэг эсэх A.10.6.1 энэхүү үйлчилгээ нь вэб хөтөчөөр тохиргоо хийх боломжийг олгодог. Хэрэв үүнийг хэрэглэдэггүй бол хаах шаардлагатай Router(config)#no ip http server Router(config)#ip http access-class 22 Router(config)#access-list 22 permit host mgmt ip Router(config)#access-list 22 deny any log 16 зөвхөн админ холбогдож ACL ээр зааж өгсөн хостоос системийн лог мэссэжийг хүлээж авдаг эсэх A.11.4.6
  • 6. D.SA302 Нууцлалын протоколууд 17 NTP серверийг хэрэглэдэг эсэх A.10.10.6 Энэхүү үйлчилгээ нь анхнаасаа хаалттай байдаг бөгөөд сүлжээдэх төхөөрөм хоорондын синхрон үйл явцыг тохируулдаг. 18 Хэр ойрхон рутерийн тохиргоог нөөцлөж авдаг вэ? A.10.5.1 19 тохиргооны файл хадгалагдаж байгаа систем дээр үйлдлийн системийн аюулгүй байдлын механизм хэрэгжүүлдэг эсэх A.10.5.1 Зөвхөн зөвшөөрөлтэй хэрэглэгч файл серверт хандах 20 рутерийн тохиргоо болон image файлыг авах зорилгоор TFTP протоколыг хэрэглэдэг үү? A.10.6.1 TFTP протокол нь анхнаасаа хаалттай байдаг бөгөөд ил бичвэрийг сүлжээгээр дамжуулдаг учир тийм ч аюулгүй биш юм. Хэрэв тийм бол, · Яг тодорхой хаягнаас хандахыг заасан уу? · Хэрэглээгүй үедээ энэ үйлчилгээг хаадаг уу? 21 syslog үйлчилгээ идэвхтэй байгаа эсэх A.10.10.1 Энэхүү syslog нь хялбараар сүлжээг хянах, засварлах зорилготой. A.13.1.1 Доорх команд нь syslog -г идэвхжүүлнэ Router(config)#logging syslog-ip-address Router(config)#service timestamps log datetime localtime msec show-timezone 22 Сүлжээний инжинер нь рутер дээр шинээр гарч буй эмзэг сул байдлыг мэдэж байх хэрэгтэй A.6.1.7 Сүлжээний инжинер нь рутер дээр тогтмол хугацаанд эмзэг байдлын шинэчлэлүүдыг хийж байх. 23 MAC халдлагаас хамгаалах тохиргоо хийгдсэн эсэх MAC (Media Access Control) хаяг нь 12 тэмдэгт 48 битийн урттай үйлдвэрээс тавьж өгсөн өөрчлөгдөшгүй хаяг боловч тус халдлага нь энэ хаягийг өөрчлөн халдах арга техник юм. MAC халдлага нь олон хуурмаг хаяг үүсгээд свитчийн MAC хүснэгтийг дүүргэдэг. Халдлагад өртсөн свитч нь “хаб” шиг ажиллаж эхлэх бөгөөд свитчний үүргээ биелүүлж чадахгүйд хүрж орж ирсэн пакетуудыг өөрийнхөө бүх портоор гаргана. 24 DHCP starvation халдлагаас хамгаалах тохиргоо хийгдсэн эсэх DHCP (Dynamic Host Configuration Protocol) starvation – энэ халдалага нь броадкастаар дамжиж байгаа хуурмаг MAC хаягтай DHCP хүсэлтийг хэлнэ. Ингэж клинтээс шинэ шинэ DHCP хүсэлтүүд ирж DHCP серверийн боломжит хаягийг дуусгадаг. 25 DHCP хуурах халдлагаас хамгаалах арга хийгдсэн эсэх Энэ халдлага нь хуурамч DHCP серверийг үүсгээд клинт DHCP хүсэлт илгээхэд хуурамч DHCP сервер түүнд хариу илгээнэ гэсэн үг юм. Ингэснээр тухайн клинтийг интернэд хандах боломжгүй болгодог. Рутер болон свич дээр учирч болох эрсдэлүүдийг бууруулах үндсэн тохиргоонууд Дундын төхөөрөмжүүдийн нууцлал хамгаалалтыг сайжруулан тохируулах жишээ: Байгууллагын санхүүгийн албаны свич дээр. 1. CDP үйлчилгээг хаах  Branch1(config)#no cdp run
  • 7. D.SA302 Нууцлалын протоколууд 2. Нууц үгүүдийг тохиргооны файлаас харах боломжгүй нууцлах  Branch1(config)# service password-encryption 3. Enable secret-г идэвхижүүлэх. Энэ тохиргоо нь нууц үгийг MD5 hash алгоритмаар нууцалдаг.  Branch1(config)#enable secret password 4. Сүлжээн дэх дундын төхөөрөмж бүрд ижил нууц үг хэрэглэж байгаа эсэх Хэрэв олон дундын төхөөрөмж хэрэглэж байгаа бол дундын төхөөрөмж бүрд өөр өөр enable secret password -ийг хэрэглэх хэрэгтэй. 5. Message of the Day (MOTD) буюу banner мэссэж тодорхойлох. Энэхүү баннер мэссэж нь зөвшөөрөгдөөгүй хандалтанд сэрэмжлүүлэг болгох зорилгоор хэрэглэх юм.  Branch1(config)#banner motd # This is secure system Authorized access only # 6. Консол холболтонд зөвшөөрөгдөөгүй холболтыг багасгах.  Branch1(config)#line console 0 Branch1(config-line)#exec-timeout 1 0 Branch1(config-line)#password password 7. Aux порт хаах. Бизнесийн шаардлагаар aux портыг хэрэглээгүй бол хаавал зохистой.  Branch1(config)#line aux 0 Branch1(config-line)#no exec 8. Vty шугаманд exec timed out болон нууц үг тодорхойлох  Branch1(config)#line vty 0 4 Branch1(config-line)#exec timedout 5 0 Branch1(config-line)#password password Branch1(config-line)#login Branch1(config-line)#transport input [telnet | ssh] 9. VTY шугам нь тодорхой IP хаягнаас холболтыг зөвшөөрөх. Доорх команд нь VTY шугамыг тодорхой IP хаягнаас холболтыг зөвшөөрдөг болгоноVLAN 99-н хэрэглэгчид төхөөрөмжүүд рүү холбогдох холболтыг зөвшөөрдөг болгох.  Branch1(config)# access-list 50 permit 192.168.0.0 Branch1(config-line)#line vty 0 4 Branch1(config-line)#access-class 50 in 10. Рөүтерийн нууц үгийг 4-6 сарын хугацаатай тогтмол сольж байх. 11. Бүх нууц үг доорх шаардлагын дагуу тодорхойлогдсон байх  Хамгийн багадаа 8 тэмдэгтийн урттай  @#$% зэрэг онцгой тэмдэгтийг оруулсан  Мөн нууц үгэн байгууллагын нэр болон biograph мэдээлэл оруулахгүй байх 12. Төхөөрөмжүүд рүү алсаас хандах хандалтандаа зөвхөн SSH протокол ашиглах.SSH нь сүлжээгээр дамжиж байгаа VTY холболт тогтсоноос хойш бүх өгөгдлийг шифрлэнэ. 13. Telnet протоколыг алсаас хандах хандалтандаа ашиглахгүй байх. 14. Рөүтерийн админ болгон өөрийгөө илтгэх нэртэй байх.  Branch1(config)#username username password password Branch1(config)#line vty 0 4 Branch1(config-line)#login local
  • 8. D.SA302 Нууцлалын протоколууд 15. Рөүтерийн удирдлагад http/https хэрэглэдэггүй бол энэ үйлчилгээг хаах. Энэхүү үйлчилгээ нь вэб хөтөчөөр тохиргоо хийх боломжийг олгодог.  Branch1(config)# no ip http server 16. Зөвхөн админ холбогдож ACL ээр зааж өгсөн хостоос системийн лог мэссэжийг хүлээж авдаг байх 17. NTP серверийг тохируулах. Энэхүү үйлчилгээ нь анхнаасаа хаалттай байдаг бөгөөд сүлжээн дэх төхөөрөмж хоорондын синхрон үйл явцыг тохируулдаг.  Branch1(config)# ntp server ntp-server-ipaddress /Monitoring сервер дээр NTP серверийг идэвхижүүлэн IP хаягийг бичнэ. Галт хана дээр NTP протоколыг нээж өгөх шаардлагатай/ 18. Дундын төхөөрөмжүүдийн тохиргооны файлыг өөрчлөх бүрдээ FTP сервер лүү нөөцөлж авах.  Branch1(config)#ip ftp username username Branch1(config)#ip ftp password password Branch1# copy running-config ftp: /FTP серверийн IP хаяг / 19. Тохиргооны файл хадгалагдаж байгаа систем дээр үйлдлийн системийн аюулгүй байдлын механизм хэрэгжүүлэх. Зөвхөн зөвшөөрөлтэй хэрэглэгч файл серверт хандах. 20. TFTP сервер лүү дамжуулж байгаа өгөгдлүүд эх текстээрээ дамждаг учир сүлжээний дундын төхөөрөмжүүдийн тохиргооны файл болон үйлдлийн системийг нөөцөлж авахдаа TFTP серверийг ашиглахгүй байх. 21. Системийн логийн үйлчилгээг идэвхижүүлэх.  Branch1(config)#logging syslog-ip-address /Monitoring сервер дээр syslog серверийг идэвхижүүлэн IP хаягийг бичнэ./ Branch1(config)# service timestamps log datetime msec 22. Дундын төхөөрөмжүүд дээр шинээр үүсч байгаа эмзэг сул байдлын талаар судалж, эмзэг сул байдлуудыг бууруулах арга хэмжээнүүдийг хэрэгжүүлж байх. 23. MAC халдлагаас хамгаалах  Branch1(config)#switchport port-security /идэвхижүүлэх Branch1(config)#switchport port-security mac-address [MAC хаяг] /порт дээр холбогдох хэрэглэгчийг бүртгэх Branch1(config)#switchport port-security maximum [тоо] /порт дээр холбогдох максимум хэрэглэгчийн тоо Branch1(config)#switchport port-security mac-address sticky Branch1(config)#switchport port-security violation [protect|restrict|shutdown] /Бүртгэлгүй хэрэглэгч порт дээр холбогдвол үзүүлэх хариу 24. DHCP starvation болон DHCP хуурах халдлагаас хамгаалах  Branch1(config)#ip dhcp snooping /dhcp starvation болон dhcp rogue халдлагаас хамгаалах тлхиргоог идэвхижүүлэх Branch1(config)#int G0/1 /DHCP сервер холбогдож байгаа портыг зааж өгөх Branch1(config-if)#ip dhcp snooping trust /Энэ портоор DHCP серверээс хариу авна гэдгийг тодорхойлж байна DHCP клиентүүд холбогдсон портууд Branch1(conf-if)#ip dhcp snooping limit rate <1-2048> /энэ портон дээрээс хамгийн ихдээ хэдэн DHCP хүсэлт явж болохыг зааж өгнө
  • 9. D.SA302 Нууцлалын протоколууд Лабораторын ажилд ашиглагдах топологи Даалгавар: Дундын төхөөрөмжүүд дээр сүлжээний аюулгүй байдлын эрсдэлийн үнэлгээг ISO 27001-н дагуу хийн илрүүлсэн эмзэг байдлуудаа бууруулах арга хэмжээнүүдийг авна уу. Дүгнэх хэлбэр: Лабораторийн ажлыг бүрэн гүйцэтгэснээр 5 оноог авна. Лабораторийн ажлыг дүгнүүлэхдээ тайлан бичих бөгөөд мөн симуляцын програм дээр хийсэн ажлаа хамт үзүүлнэ.  Даалгаврыг гүйцэтгэвэл 3 оноо  Онолыг дэлгэрэнгүй яривал 1оноо  Ирц 1 оноо