![D.SA302 Нууцлалын протоколууд
2. Нууц үгүүдийг тохиргооны файлаас харах боломжгүй нууцлах
Branch1(config)# service password-encryption
3. Enable secret-г идэвхижүүлэх. Энэ тохиргоо нь нууц үгийг MD5 hash алгоритмаар
нууцалдаг.
Branch1(config)#enable secret password
4. Сүлжээн дэх дундын төхөөрөмж бүрд ижил нууц үг хэрэглэж байгаа эсэх
Хэрэв олон дундын төхөөрөмж хэрэглэж байгаа бол дундын төхөөрөмж бүрд өөр өөр
enable secret password -ийг хэрэглэх хэрэгтэй.
5. Message of the Day (MOTD) буюу banner мэссэж тодорхойлох. Энэхүү баннер мэссэж
нь зөвшөөрөгдөөгүй хандалтанд сэрэмжлүүлэг болгох зорилгоор хэрэглэх юм.
Branch1(config)#banner motd # This is secure system Authorized access only #
6. Консол холболтонд зөвшөөрөгдөөгүй холболтыг багасгах.
Branch1(config)#line console 0
Branch1(config-line)#exec-timeout 1 0
Branch1(config-line)#password password
7. Aux порт хаах. Бизнесийн шаардлагаар aux портыг хэрэглээгүй бол хаавал зохистой.
Branch1(config)#line aux 0
Branch1(config-line)#no exec
8. Vty шугаманд exec timed out болон нууц үг тодорхойлох
Branch1(config)#line vty 0 4
Branch1(config-line)#exec timedout 5 0
Branch1(config-line)#password password
Branch1(config-line)#login
Branch1(config-line)#transport input [telnet | ssh]
9. VTY шугам нь тодорхой IP хаягнаас холболтыг зөвшөөрөх. Доорх команд нь VTY
шугамыг тодорхой IP хаягнаас холболтыг зөвшөөрдөг болгоноVLAN 99-н
хэрэглэгчид төхөөрөмжүүд рүү холбогдох холболтыг зөвшөөрдөг болгох.
Branch1(config)# access-list 50 permit 192.168.0.0
Branch1(config-line)#line vty 0 4
Branch1(config-line)#access-class 50 in
10. Рөүтерийн нууц үгийг 4-6 сарын хугацаатай тогтмол сольж байх.
11. Бүх нууц үг доорх шаардлагын дагуу тодорхойлогдсон байх
Хамгийн багадаа 8 тэмдэгтийн урттай
@#$% зэрэг онцгой тэмдэгтийг оруулсан
Мөн нууц үгэн байгууллагын нэр болон biograph мэдээлэл оруулахгүй байх
12. Төхөөрөмжүүд рүү алсаас хандах хандалтандаа зөвхөн SSH протокол ашиглах.SSH
нь сүлжээгээр дамжиж байгаа VTY холболт тогтсоноос хойш бүх өгөгдлийг
шифрлэнэ.
13. Telnet протоколыг алсаас хандах хандалтандаа ашиглахгүй байх.
14. Рөүтерийн админ болгон өөрийгөө илтгэх нэртэй байх.
Branch1(config)#username username password password
Branch1(config)#line vty 0 4
Branch1(config-line)#login local](https://image.slidesharecdn.com/d-201113142338/85/D-sa302-lab-1-7-320.jpg)
![D.SA302 Нууцлалын протоколууд
15. Рөүтерийн удирдлагад http/https хэрэглэдэггүй бол энэ үйлчилгээг хаах. Энэхүү
үйлчилгээ нь вэб хөтөчөөр тохиргоо хийх боломжийг олгодог.
Branch1(config)# no ip http server
16. Зөвхөн админ холбогдож ACL ээр зааж өгсөн хостоос системийн лог мэссэжийг
хүлээж авдаг байх
17. NTP серверийг тохируулах. Энэхүү үйлчилгээ нь анхнаасаа хаалттай байдаг бөгөөд
сүлжээн дэх төхөөрөмж хоорондын синхрон үйл явцыг тохируулдаг.
Branch1(config)# ntp server ntp-server-ipaddress /Monitoring сервер дээр NTP серверийг
идэвхижүүлэн IP хаягийг бичнэ. Галт хана дээр NTP протоколыг нээж өгөх
шаардлагатай/
18. Дундын төхөөрөмжүүдийн тохиргооны файлыг өөрчлөх бүрдээ FTP сервер лүү
нөөцөлж авах.
Branch1(config)#ip ftp username username
Branch1(config)#ip ftp password password
Branch1# copy running-config ftp: /FTP серверийн IP хаяг /
19. Тохиргооны файл хадгалагдаж байгаа систем дээр үйлдлийн системийн аюулгүй
байдлын механизм хэрэгжүүлэх. Зөвхөн зөвшөөрөлтэй хэрэглэгч файл серверт
хандах.
20. TFTP сервер лүү дамжуулж байгаа өгөгдлүүд эх текстээрээ дамждаг учир сүлжээний
дундын төхөөрөмжүүдийн тохиргооны файл болон үйлдлийн системийг нөөцөлж
авахдаа TFTP серверийг ашиглахгүй байх.
21. Системийн логийн үйлчилгээг идэвхижүүлэх.
Branch1(config)#logging syslog-ip-address /Monitoring сервер дээр syslog
серверийг идэвхижүүлэн IP хаягийг бичнэ./
Branch1(config)# service timestamps log datetime msec
22. Дундын төхөөрөмжүүд дээр шинээр үүсч байгаа эмзэг сул байдлын талаар судалж,
эмзэг сул байдлуудыг бууруулах арга хэмжээнүүдийг хэрэгжүүлж байх.
23. MAC халдлагаас хамгаалах
Branch1(config)#switchport port-security /идэвхижүүлэх
Branch1(config)#switchport port-security mac-address [MAC хаяг] /порт дээр
холбогдох хэрэглэгчийг бүртгэх
Branch1(config)#switchport port-security maximum [тоо] /порт дээр холбогдох
максимум хэрэглэгчийн тоо
Branch1(config)#switchport port-security mac-address sticky
Branch1(config)#switchport port-security violation [protect|restrict|shutdown]
/Бүртгэлгүй хэрэглэгч порт дээр холбогдвол үзүүлэх хариу
24. DHCP starvation болон DHCP хуурах халдлагаас хамгаалах
Branch1(config)#ip dhcp snooping /dhcp starvation болон dhcp rogue халдлагаас
хамгаалах тлхиргоог идэвхижүүлэх
Branch1(config)#int G0/1 /DHCP сервер холбогдож байгаа портыг зааж өгөх
Branch1(config-if)#ip dhcp snooping trust /Энэ портоор DHCP серверээс хариу авна
гэдгийг тодорхойлж байна
DHCP клиентүүд холбогдсон портууд
Branch1(conf-if)#ip dhcp snooping limit rate <1-2048> /энэ портон дээрээс хамгийн
ихдээ хэдэн DHCP хүсэлт явж болохыг зааж өгнө](https://image.slidesharecdn.com/d-201113142338/85/D-sa302-lab-1-8-320.jpg)
D.sa302 lab 1
- 1. D.SA302 Нууцлалын протоколууд ЛАБОРАТОРИ-1: СҮЛЖЭЭНИЙ ТӨХӨӨРӨМЖҮҮДИЙН ЭРСДЭЛИЙН УДИРДЛАГА Зорилго Энэхүү лабораторийн ажлаар байгууллагын сүлжээний дундын төхөөрөмжүүдийн нууцлал хамгаалалтыг хэрхэн хангах талаар судлан, Cisco төхөөрөмжүүд дээр нууцлал хамгаалалтын технологиудыг хэрэгжүүлэх талаар судлана. Эзэмших, мэдлэг чадвар Байгууллагын сүлжээний аюулгүй байдлын эрсдэлийн үнэлгээний талаар судлах болон үнэлэх Эрсдэлийн үнэлгээний үр дүн дээр үндэслэн, эрсдэлийг бууруулах тохиргоог сүлжээний дундын төхөөрөмжүүд дээр тохируулах, турших MAC flooding болон DHCP starvation, DHCP spoofing халдлагаас хамгаалах тохиргоог Cisco свитч дээр тохируулах, ашиглах Эрсдэлийг бууруулах тохиргоо хийсний дараа дахин эрсдэлийн үнэлгээ хийн үлдэгдэл эрсдэлийг тодорхойлох Шаардлагатай зүйлс Рутер Свитч Компьютер Үндсэн ойлголт Байгууллагын тогтвортой, хэвийн үйл ажиллагаа, үр дүнтэй байдал нь тухайн байгууллагын мэдээллийн аюулгүй байдал, тэр дундаа сүлжээний аюулгүй байдлаас ихээхэн хамааралтай бөгөөд байгууллага өөрийн сүлжээний аюулгүй байдлын эрсдэлийг үнэлэх, шийдвэрлэх нь ажил хэргийн тасралтгүй чанарыг хангах, бизнесийн болоод учирч болох аюулуудаас урьдчилан сэргийлэх чухал асуудал юм. Мэдээллийн аюулгүй байдлыг хангахдаа стандарт бодлогын хувьд, техник технологийн хувьд, мөн хэрэглээний давхаргын хувьд хамгаалалтыг хэрэгжүүлдэг.
- 2. D.SA302 Нууцлалын протоколууд Аюул Аюул нь байгууллагын мэдээллийн системд хор хохирол учруулах боломжийг агуулж байдаг. Аюулууд нь орчноос болон хүнээс гаралтай, түүний дотор санаатай болон санамсаргүй байж болно. Аюулыг ямар нэгэн эх сурвалжаас, янз бүрийн сэдлээр хор уршиг учруулж болно. Аюулыг үнэлсэн үнэлгээнээс хамааран Их, Дунд, Бага хэмээн ангилдаг. Эмзэг сул байдал Аливаа аюулыг хэрэгжүүлэх, халдлага үйлдэхэд ашиглаж болох сул цоорхой байдлыг эмзэг байдал гэнэ. Биет хамгаалалт, зохион байгуулалт, дэг жаяг, ажилтнууд, удирдлага, захиргаа, тоног төхөөрөмж, техник хангамж, програм хангамж болон мэдээлэлд эмзэг байдал байж болно. Эдгээр эмзэг сул байдлыг хэрэгжүүлж систем, сүлжээ, нөөцөд хор
- 3. D.SA302 Нууцлалын протоколууд хохирол учруулдаг. Эмзэг сул байдал нь дангаараа хор хохирол учруулахгүй. Харин аюулыг хэрэгжүүлэх нөхцөлийг бүрдүүлдэг. Эмзэг сул байдлын үнэлгээ нь тодорхой аюулыг хэрэгжүүлэхэд ашиглаж болох цоорхой, сул байдал байгаа эсэхийг шинжлэх ажиллагаа юм. Үр дагавар, хор хохирол Үр дагавар гэдэг нь хэрэгжүүлсэн аюулын улмаас бий болсон мэдээллийн аюулгүй байдлын будлианы уршиг, үр дүн юм. Зарим өмч хөрөнгийг сүйтгэх, устгах, МХТ-ийн системийг гэмтээх, нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдал, тасралтгүй ажиллагаа, мөшгөн ажиглагдах шинж, жинхэнэ байх шинж болон найдвартай байдлыг алдагдуулах нь үр дагавар, хор хохирлын жишээ юм. Үүнээс гадна санхүүгийн алдагдал хүлээх, нэр хүндээ алдах, зах зээлд эзлэх байр сууриа алдах гэх мэт шууд бус хор хохирол учирч болно. Үр дагавар, хор хохирлыг үнэлэх нь эрсдэлийг үнэлэх, аюулгүй байдлын сөрөг арга хэмжээг сонгох ажиллагааны нэг салшгүй бүрдэл хэсэг байдаг. Эрсдэл Байгууллагад оршин буй эмзэг сул байдлыг ашиглан заналхийлж буй аюулууд хор хохирол учруулж болох магадлалыг эрсдэл гэнэ. Аюулууд эмзэг сул байдлыг хэрхэн ашиглаж, яаж хэрэгжиж болохыг эрсдэлийн зохиомжоор тодорхойлдог. Эрсдэл боловсруулах багцад эрсдэлээс урьдчилан сэргийлэх, эрсдэлийг бууруулах, шилжүүлэх, хүлээн зөвшөөрөхийг хамруулдаг. Хүлээн зөвшөөрсөн эрсдэлийг үлдэгдэл эрсдэл гэнэ. MAC халдлага болон MAC халдлагаас хамгаалах арга/Port security/ MAC (Media Access Control) хаяг нь 12 тэмдэгт 48 битийн урттай үйлдвэрээс тавьж өгсөн өөрчлөгдөшгүй хаяг боловч тус халдлага нь энэ хаягийг өөрчлөн халдах арга техник юм. MAC халдлага нь олон хуурмаг хаяг үүсгээд свитчийн MAC хүснэгтийг дүүргэдэг. Халдлагад өртсөн свитч нь “хаб” шиг ажиллаж эхлэх бөгөөд свитчний үүргээ биелүүлж чадахгүйд хүрж орж ирсэн пакетуудыг өөрийнхөө бүх портоор гаргана.Port-security нь свитчийн интерфейс дээр мак хаягийн хаязгаарыг тогтоож мак халдлагаас хамгаалдаг арга. Сүлжээний дундын төхөөрөмжүүдийн эрсдэлийн үнэлгээ Сүлжээний дундын төхөөрөмжүүдийн эрсдэлийн үнэлгээг олон улсын стандарт ISO/IEC 27001:2005, Монгол улсын стандарт “MNS ISO IEC 27001:2009 Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо шаардлага” –н дагуу эрсдэлийн үнэлгээ хийх checklist.
- 4. D.SA302 Нууцлалын протоколууд д/д Асуултууд Одоогийн байдал ISO 27001 Control Байж болох стандарт/ хяналт Тийм Үгүй A.11.4.1 Шаардлагагүй үйлчилгээг хаах 1 CDP(Cisco Discovery Protocol) үйлчилгээ рутер дээр хаасан эсэх A.11.4.4 CDP протокол нь IP хаяг болоод хөрш Cisco төхөөрөмжийн флатпормын төрлийн мэдээллийг цуглуулахад хэрэглэгддэг. A.12.6.1. Router(config)# no cdp run OR Router(config-if)# no cdp enable 2 Нууц үг нь тохиргооны файлаас харах боломжгүй шифрлэгдсэн эсэх A.11.5.3 Нууц үг нь тохиргооны файлаас харах боломжгүй нууцлагдсан байх хэрэгтэй Router(config)#service password-encryption 3 enable secret идэвхжүүлсэн эсэх A.11.5.3 Энэхүү тохиргоо нь нууц үгийг MD5 хаш алгоритмаар нууцалдаг Router(config)#enable secret password 4 Сүлжээн дэх рутер бүрд ижил нууц үг хэрэглэж байгаа эсэх A.11.5.3 Хэрэв олон рутер хэрэглэж байгаа бол Рутерийн хэсэг бүрд өөр өөр enable secret password -ийг хэрэглэх хэрэгтэй. 5 Message of the Day (MOTD) буюу banner мэссэж тодорхойлсон эсэх A.11.5.1 Энэхүү баннер мэссэж нь зөвшөөрөгдөөгүй хандалтанд сэрэмжлүүлэг болгох зорилгоор хэрэглэх юм. Доорх команд нь banner motd-ийг идэвхжүүлэх юм. Router# config t Router(config)# banner motd ^ 6 Доорх командууд нь консол холболтонд тодорхойлсон эсэх A.11.5.1 Эдгээр тохиргоо нь консол порт дээрх зөвшөөрөгдөөгүй хандалтыг багасгах юм. 1. Exec-timeout A.11.3.1 2. Password Cisco(config)#line con 0 Cisco(config-line)#exec-timeout 5 0 Cisco(config-line)#password password Cisco(config-line)#login 7 Aux порт хаасан эсэх A.11.4.4 Бизнесийн шаардлагаар aux портыг хэрэглээгүй бол хаавал зохистой Use the following command to disable the aux port: Router(config)#line aux 0 Router(config-line)#no exec 8 Доорх командууд нь VTY шугаманд тодорхойлсон эсэх A.11.5.1 Эдгээр тохиргоо нь зөвшөөрөгдөөгүй хандалтыг багасгах юм. 1. Exec-timeout (Yes/No) A.11.3.1 2. Password Router(config)#line vty 0 4 Router(config-line)#exec timeout 5 0 Router(config-line)#password password Router(config-line)#login Router(config-line)#transport input protocol 9 A.11.4.3
- 5. D.SA302 Нууцлалын протоколууд VTY шугам нь тодорхой IP хаягнаас холболтыг зөвшөөрсөн эсэх Доорх команд нь VTY шугамыг тодорхой IP хаягнаас холболтыг зөвшөөрдөг болгоно. Router(config)#access-list 50 permit 192.168.1.x (x represents the IP address of the administrator’s machine) Router(config)#access-list 50 deny any log Router(config)#line vty 0 4 Router(config-line)#access-class 50 in 10 Хэр ойрхон нууц үг болоод хэрэглэгчийн нэрийг сольдог вэ? A.11.5.3 Рутерийн нууц үгийг тогтмол сольж байх хэрэгтэй бөгөөд энэ хугацаа нь 4-6 сар байвал зохистой. 11 Рутерийн бодлогод тодорхойлсоны дагуу нууц үг нь комплекс байгаа эсэх A.11.3.1 Бүх нууц үг доорхын дагуу тодорхойлогдсон байх · Хамгийн багадаа 8 тэмдэгтийн урттай · @#$% зэрэг онцгой тэмдэгтийг оруулсан байх - мөн нууц үгэнд байгууллагын нэр болоод biograph мэдээлэл оруулахгүй байх 12 vty шугаманд SSH хэрэглэдэг эсэх A.12.3.1 SSH нь сүлжээгээр дамжиж байгаа VTY холболт тогтсоноос хойш бүх өгөгдлийг шифрлэнэ. 13 Менежмент зорилгоор (жишээ нь: тохиргооны мэдээллийг нөөцлөх) Telnet хэрэглэгдэг эсэх. A.10.6.1 Telnet холболт нь ил бичвэрийг сүлжээгээр дамжуулдаг бөгөөд энэ үед халдагч нь sniff хийн нууц үгийг барьж авах боломжтой. Асуудлыг шийдэх · Хаанаас ч холбогдсон SSH хэрэглэх · Тодорхой хаяганд зөвшөөрөх · Хүчтэй нууц үг хэрэглэх 14 Рутерийн админ болгон өөрийгөө илтгэх нэртэй байх A.11.2.1 Доорх команд нь өөрийгөө төгсөөр илэрхийлэх нэр олгох юм. Router(config)#username username password password Router(config)#line vty 0 4 Router(config-line)#login local 15 Рутерийн удирдлагад http/https хэрэглэдэг эсэх A.10.6.1 энэхүү үйлчилгээ нь вэб хөтөчөөр тохиргоо хийх боломжийг олгодог. Хэрэв үүнийг хэрэглэдэггүй бол хаах шаардлагатай Router(config)#no ip http server Router(config)#ip http access-class 22 Router(config)#access-list 22 permit host mgmt ip Router(config)#access-list 22 deny any log 16 зөвхөн админ холбогдож ACL ээр зааж өгсөн хостоос системийн лог мэссэжийг хүлээж авдаг эсэх A.11.4.6
- 6. D.SA302 Нууцлалын протоколууд 17 NTP серверийг хэрэглэдэг эсэх A.10.10.6 Энэхүү үйлчилгээ нь анхнаасаа хаалттай байдаг бөгөөд сүлжээдэх төхөөрөм хоорондын синхрон үйл явцыг тохируулдаг. 18 Хэр ойрхон рутерийн тохиргоог нөөцлөж авдаг вэ? A.10.5.1 19 тохиргооны файл хадгалагдаж байгаа систем дээр үйлдлийн системийн аюулгүй байдлын механизм хэрэгжүүлдэг эсэх A.10.5.1 Зөвхөн зөвшөөрөлтэй хэрэглэгч файл серверт хандах 20 рутерийн тохиргоо болон image файлыг авах зорилгоор TFTP протоколыг хэрэглэдэг үү? A.10.6.1 TFTP протокол нь анхнаасаа хаалттай байдаг бөгөөд ил бичвэрийг сүлжээгээр дамжуулдаг учир тийм ч аюулгүй биш юм. Хэрэв тийм бол, · Яг тодорхой хаягнаас хандахыг заасан уу? · Хэрэглээгүй үедээ энэ үйлчилгээг хаадаг уу? 21 syslog үйлчилгээ идэвхтэй байгаа эсэх A.10.10.1 Энэхүү syslog нь хялбараар сүлжээг хянах, засварлах зорилготой. A.13.1.1 Доорх команд нь syslog -г идэвхжүүлнэ Router(config)#logging syslog-ip-address Router(config)#service timestamps log datetime localtime msec show-timezone 22 Сүлжээний инжинер нь рутер дээр шинээр гарч буй эмзэг сул байдлыг мэдэж байх хэрэгтэй A.6.1.7 Сүлжээний инжинер нь рутер дээр тогтмол хугацаанд эмзэг байдлын шинэчлэлүүдыг хийж байх. 23 MAC халдлагаас хамгаалах тохиргоо хийгдсэн эсэх MAC (Media Access Control) хаяг нь 12 тэмдэгт 48 битийн урттай үйлдвэрээс тавьж өгсөн өөрчлөгдөшгүй хаяг боловч тус халдлага нь энэ хаягийг өөрчлөн халдах арга техник юм. MAC халдлага нь олон хуурмаг хаяг үүсгээд свитчийн MAC хүснэгтийг дүүргэдэг. Халдлагад өртсөн свитч нь “хаб” шиг ажиллаж эхлэх бөгөөд свитчний үүргээ биелүүлж чадахгүйд хүрж орж ирсэн пакетуудыг өөрийнхөө бүх портоор гаргана. 24 DHCP starvation халдлагаас хамгаалах тохиргоо хийгдсэн эсэх DHCP (Dynamic Host Configuration Protocol) starvation – энэ халдалага нь броадкастаар дамжиж байгаа хуурмаг MAC хаягтай DHCP хүсэлтийг хэлнэ. Ингэж клинтээс шинэ шинэ DHCP хүсэлтүүд ирж DHCP серверийн боломжит хаягийг дуусгадаг. 25 DHCP хуурах халдлагаас хамгаалах арга хийгдсэн эсэх Энэ халдлага нь хуурамч DHCP серверийг үүсгээд клинт DHCP хүсэлт илгээхэд хуурамч DHCP сервер түүнд хариу илгээнэ гэсэн үг юм. Ингэснээр тухайн клинтийг интернэд хандах боломжгүй болгодог. Рутер болон свич дээр учирч болох эрсдэлүүдийг бууруулах үндсэн тохиргоонууд Дундын төхөөрөмжүүдийн нууцлал хамгаалалтыг сайжруулан тохируулах жишээ: Байгууллагын санхүүгийн албаны свич дээр. 1. CDP үйлчилгээг хаах Branch1(config)#no cdp run
- 7. D.SA302 Нууцлалын протоколууд 2. Нууц үгүүдийг тохиргооны файлаас харах боломжгүй нууцлах Branch1(config)# service password-encryption 3. Enable secret-г идэвхижүүлэх. Энэ тохиргоо нь нууц үгийг MD5 hash алгоритмаар нууцалдаг. Branch1(config)#enable secret password 4. Сүлжээн дэх дундын төхөөрөмж бүрд ижил нууц үг хэрэглэж байгаа эсэх Хэрэв олон дундын төхөөрөмж хэрэглэж байгаа бол дундын төхөөрөмж бүрд өөр өөр enable secret password -ийг хэрэглэх хэрэгтэй. 5. Message of the Day (MOTD) буюу banner мэссэж тодорхойлох. Энэхүү баннер мэссэж нь зөвшөөрөгдөөгүй хандалтанд сэрэмжлүүлэг болгох зорилгоор хэрэглэх юм. Branch1(config)#banner motd # This is secure system Authorized access only # 6. Консол холболтонд зөвшөөрөгдөөгүй холболтыг багасгах. Branch1(config)#line console 0 Branch1(config-line)#exec-timeout 1 0 Branch1(config-line)#password password 7. Aux порт хаах. Бизнесийн шаардлагаар aux портыг хэрэглээгүй бол хаавал зохистой. Branch1(config)#line aux 0 Branch1(config-line)#no exec 8. Vty шугаманд exec timed out болон нууц үг тодорхойлох Branch1(config)#line vty 0 4 Branch1(config-line)#exec timedout 5 0 Branch1(config-line)#password password Branch1(config-line)#login Branch1(config-line)#transport input [telnet | ssh] 9. VTY шугам нь тодорхой IP хаягнаас холболтыг зөвшөөрөх. Доорх команд нь VTY шугамыг тодорхой IP хаягнаас холболтыг зөвшөөрдөг болгоноVLAN 99-н хэрэглэгчид төхөөрөмжүүд рүү холбогдох холболтыг зөвшөөрдөг болгох. Branch1(config)# access-list 50 permit 192.168.0.0 Branch1(config-line)#line vty 0 4 Branch1(config-line)#access-class 50 in 10. Рөүтерийн нууц үгийг 4-6 сарын хугацаатай тогтмол сольж байх. 11. Бүх нууц үг доорх шаардлагын дагуу тодорхойлогдсон байх Хамгийн багадаа 8 тэмдэгтийн урттай @#$% зэрэг онцгой тэмдэгтийг оруулсан Мөн нууц үгэн байгууллагын нэр болон biograph мэдээлэл оруулахгүй байх 12. Төхөөрөмжүүд рүү алсаас хандах хандалтандаа зөвхөн SSH протокол ашиглах.SSH нь сүлжээгээр дамжиж байгаа VTY холболт тогтсоноос хойш бүх өгөгдлийг шифрлэнэ. 13. Telnet протоколыг алсаас хандах хандалтандаа ашиглахгүй байх. 14. Рөүтерийн админ болгон өөрийгөө илтгэх нэртэй байх. Branch1(config)#username username password password Branch1(config)#line vty 0 4 Branch1(config-line)#login local
- 8. D.SA302 Нууцлалын протоколууд 15. Рөүтерийн удирдлагад http/https хэрэглэдэггүй бол энэ үйлчилгээг хаах. Энэхүү үйлчилгээ нь вэб хөтөчөөр тохиргоо хийх боломжийг олгодог. Branch1(config)# no ip http server 16. Зөвхөн админ холбогдож ACL ээр зааж өгсөн хостоос системийн лог мэссэжийг хүлээж авдаг байх 17. NTP серверийг тохируулах. Энэхүү үйлчилгээ нь анхнаасаа хаалттай байдаг бөгөөд сүлжээн дэх төхөөрөмж хоорондын синхрон үйл явцыг тохируулдаг. Branch1(config)# ntp server ntp-server-ipaddress /Monitoring сервер дээр NTP серверийг идэвхижүүлэн IP хаягийг бичнэ. Галт хана дээр NTP протоколыг нээж өгөх шаардлагатай/ 18. Дундын төхөөрөмжүүдийн тохиргооны файлыг өөрчлөх бүрдээ FTP сервер лүү нөөцөлж авах. Branch1(config)#ip ftp username username Branch1(config)#ip ftp password password Branch1# copy running-config ftp: /FTP серверийн IP хаяг / 19. Тохиргооны файл хадгалагдаж байгаа систем дээр үйлдлийн системийн аюулгүй байдлын механизм хэрэгжүүлэх. Зөвхөн зөвшөөрөлтэй хэрэглэгч файл серверт хандах. 20. TFTP сервер лүү дамжуулж байгаа өгөгдлүүд эх текстээрээ дамждаг учир сүлжээний дундын төхөөрөмжүүдийн тохиргооны файл болон үйлдлийн системийг нөөцөлж авахдаа TFTP серверийг ашиглахгүй байх. 21. Системийн логийн үйлчилгээг идэвхижүүлэх. Branch1(config)#logging syslog-ip-address /Monitoring сервер дээр syslog серверийг идэвхижүүлэн IP хаягийг бичнэ./ Branch1(config)# service timestamps log datetime msec 22. Дундын төхөөрөмжүүд дээр шинээр үүсч байгаа эмзэг сул байдлын талаар судалж, эмзэг сул байдлуудыг бууруулах арга хэмжээнүүдийг хэрэгжүүлж байх. 23. MAC халдлагаас хамгаалах Branch1(config)#switchport port-security /идэвхижүүлэх Branch1(config)#switchport port-security mac-address [MAC хаяг] /порт дээр холбогдох хэрэглэгчийг бүртгэх Branch1(config)#switchport port-security maximum [тоо] /порт дээр холбогдох максимум хэрэглэгчийн тоо Branch1(config)#switchport port-security mac-address sticky Branch1(config)#switchport port-security violation [protect|restrict|shutdown] /Бүртгэлгүй хэрэглэгч порт дээр холбогдвол үзүүлэх хариу 24. DHCP starvation болон DHCP хуурах халдлагаас хамгаалах Branch1(config)#ip dhcp snooping /dhcp starvation болон dhcp rogue халдлагаас хамгаалах тлхиргоог идэвхижүүлэх Branch1(config)#int G0/1 /DHCP сервер холбогдож байгаа портыг зааж өгөх Branch1(config-if)#ip dhcp snooping trust /Энэ портоор DHCP серверээс хариу авна гэдгийг тодорхойлж байна DHCP клиентүүд холбогдсон портууд Branch1(conf-if)#ip dhcp snooping limit rate <1-2048> /энэ портон дээрээс хамгийн ихдээ хэдэн DHCP хүсэлт явж болохыг зааж өгнө
- 9. D.SA302 Нууцлалын протоколууд Лабораторын ажилд ашиглагдах топологи Даалгавар: Дундын төхөөрөмжүүд дээр сүлжээний аюулгүй байдлын эрсдэлийн үнэлгээг ISO 27001-н дагуу хийн илрүүлсэн эмзэг байдлуудаа бууруулах арга хэмжээнүүдийг авна уу. Дүгнэх хэлбэр: Лабораторийн ажлыг бүрэн гүйцэтгэснээр 5 оноог авна. Лабораторийн ажлыг дүгнүүлэхдээ тайлан бичих бөгөөд мөн симуляцын програм дээр хийсэн ажлаа хамт үзүүлнэ. Даалгаврыг гүйцэтгэвэл 3 оноо Онолыг дэлгэрэнгүй яривал 1оноо Ирц 1 оноо