na sikerült végre letennem a CCNA security-t, jöhet köv CCSP vizsga. Hamarosan aktivabban blogolok majd, de hát…szokás szerint elhavazva.

Popularity: 15% [?]

Na sikerült végre letennem ezt a vizsgát is, szerencsére ez online. Az egész marketing hülyeségről szól…

.. de a lényeg, hogy meg van a specializációs cím: Cisco Routing and Switching Solutions Specialist

Megnéztem, és új logókat kell már használni:

Popularity: 16% [?]

Na, elkészítettem én is a twitter accountomat: http://twitter.com/xcke

Szerencsére van iPhone kliens is:))

Kíváncsi vagyok, hogy ez a hülyeség hogyan tudta meghódítani a világot

Popularity: 17% [?]

Miért is fontos a L2 security? Nos, mert lehet tökéletes L3+ security konfigurációnk, L2-ben is annak kell lennie, különben kijátszható lesz a védelmünk. Néhány dolgot összeszedtem, talán ezek a legfontosabbak:

A catalyst switcheken a következő beállításokkal élhetünk:

• port-security: Mennyi mac címet lehet használni egy porton?

(config-ig)#switchport port-security ; ezzel engedélyezzük

(config-ig)#switchport port-security max 2 ;max 2 mac cím lehet aktív a porton, hasznos pl ha IP telefon is van.

• NE legyenek dinamikus portjaink!!!! Statikusan állítsuk be a TRUNK és az ACCESS portokat (különben elég egyszerű megtörni a hálózatot:)

(config-ig)#switport mode access

vagy

(config-ig)#switchport mode trunk

• Beállíthatjuk, hogy fixen mely mac címek tartozzanak egy interface-hez:

(config-ig)# switchport port-security mac-address sticky ;a parancs kiadásakor az aktív mac címeket belerakja a konfigba. Ennek köszönhetően nem kell kézzel beírni a címeket, de vigyázni kell vele..

(config-ig)#spanning-tree guard root

• portfast mellé mindig rakjunk bpduguard-ot.

(config-ig)#spanning-tree bpduguard

• bpdufilter: soha ne használjuk de jó labor környezetben storm előállítására
• DHCP snooping: Fontos ez is, be tudjuk állítani, hogy csak a központi DHCP szerver lehessen aktív.

(config)#ip dhcp snooping ;most semmelyik port sem fog tudni DHCP replay-t adni.

(config-if)#ip dhcp snooping trust ;ez a port már fog tudni. A teljes switchelt hálón minden linkre ezt be kell konfigurálni a DHCP szerverig.

• Private VLANs: jó dolog
• SPAN: monitorozásra jó. monitor session…
• storm controll: limitálhatjuk per port alapján a broadcast/multicast forgalmat:: Nagyon nagyon hasznos

(config-if)#storm-control action shutdown

(config-if)#storm-control broadcast level 70

(config-if)#storm-control multicast level 70

Végül, ajánlások..

• Secure management használata (SSH,OOB,access-class)
• Audit lista (konfigurációnál mire figyeljünk oda security szempontból)
• Ne használjunk vlan 1-t
• Ne legyenek dinamikus portok
• Korlátozzuk az SNMP hozzáférést, és ha lehet ne legyen rw jog. SNMPv3 rulz.

Popularity: 25% [?]

Elkezdtem tanulni az IINS vizsgára (ez a CCNA security vizsga). A vizsga előfeltétele bármely CCSP vizsgának. Én jelenleg CBT Nuggets video anyagot használok a tanuláshoz, de ezen kívül a study guide-ot , illetve a NIL-es PEC laborokat is meg fogom nézni.

A Cisco elég nagy hangsúlyt fektet az SDM használatára. Kicsit jobban megnéztem, és egészt használható. A legjobb feature azonban a Security Audit, illetve a one-step lockdown. Amúgy a tool tök jól használható tanulásra is: ha bekapcsoljuk az Edit/Options-nél hogy mutassa milyen parancsokat fog az SDM a routeren kiadni, akkor a CLI részt is gyakorolhatjuk.

Kíváncsi voltam, hogy nézhet ki egy igazán Secure IOS router, ezért GNS3-ban, egy 7200-asra ráeresztettem az Audit után a javításokat. Nos, a következő beállításokat javasolta az SDM magas biztonsági szint esetén:

(more…)

Popularity: 23% [?]