Cisco CyberOps Associate - Bezpieczeństwo infrastruktury sieciowej

1. Diagramy sieci dostarczają łatwego sposobu na zrozumienie, jak urządzenia łączą się w dużej sieci. Ten rodzaj “zdjęcia” sieci jest znany jako diagram topologii. Umiejętność rozpoznawania logicznych reprezentacji fizycznych komponentów sieci jest kluczowa dla umiejętności wizualizacji organizacji i działania sieci.

Oprócz tych reprezentacji stosuje się specjalistyczną terminologię, aby opisać, jak każde z tych urządzeń i mediów łączy się ze sobą:

  • Karta interfejsu sieciowego (NIC): NIC fizycznie łączy urządzenie końcowe z siecią.
  • Port fizyczny: Złącze lub gniazdo na urządzeniu sieciowym, do którego medium łączy się z urządzeniem końcowym lub innym urządzeniem sieciowym.
  • Interfejs: Specjalistyczne porty na urządzeniu sieciowym, które łączą się z poszczególnymi sieciami. Ponieważ routery łączą sieci, porty na routerze nazywane są interfejsami sieciowymi.
  • Uwaga: Terminy “port” i “interfejs” często są używane zamiennie.

Rozumienie NAT i jego terminologii jest kluczowe dla architektów i administratorów sieci, aby wizualizować organizację i działanie sieci. Diagramy topologii odgrywają w tym procesie istotną rolę, pomagając specjalistom zobaczyć, jak urządzenia łączą się w obrębie dużej sieci. 

2. Diagramy topologii są obowiązkową dokumentacją dla każdej osoby pracującej z siecią. Zapewniają wizualny obraz tego, jak sieć jest połączona. Istnieją dwa rodzaje diagramów topologii: fizyczne i logiczne.

Fizyczne diagramy topologii: Fizyczne diagramy topologii ilustrują fizyczne położenie urządzeń pośredniczących i instalację kabli. Pomieszczenia, w których znajdują się te urządzenia, są oznaczone na tym fizycznym schemacie.

Logiczne diagramy topologii: Logiczne diagramy topologii ilustrują urządzenia, porty i schemat adresowania sieci.


3. Rozmiary sieci:
  • Proste sieci domowe pozwalają na współdzielenie zasobów, takich jak drukarki, dokumenty, zdjęcia i muzyka, między kilkoma lokalnymi urządzeniami końcowymi.
  • Sieci małych biur i biur domowych (SOHO) umożliwiają pracę z domu lub z oddalonego biura. Wiele osób prowadzących działalność gospodarczą korzysta z tego rodzaju sieci do reklamowania i sprzedaży produktów, zamawiania materiałów i komunikacji z klientami.
  • Przedsiębiorstwa i duże organizacje wykorzystują sieci do konsolidacji, przechowywania i dostępu do informacji na serwerach sieciowych. Sieci zapewniają e-mail, komunikację natychmiastową i współpracę między pracownikami. Wiele organizacji wykorzystuje połączenie swojej sieci z internetem, aby świadczyć produkty i usługi dla klientów.
4. Internet to największa istniejąca sieć. W rzeczywistości termin “internet” oznacza “sieć sieci”. Jest to zbiór połączonych ze sobą sieci prywatnych i publicznych.

5. W małych firmach i domach wiele komputerów pełni funkcję zarówno serwerów, jak i klientów w sieci. Tego rodzaju sieć nazywa się siecią typu peer-to-peer

6. Infrastruktury sieci różnią się znacznie pod względem:

  • Rozmiaru obszaru objętego siecią
  • Ilości podłączonych użytkowników
  • Ilości i rodzajów dostępnych usług
  • Obszaru odpowiedzialności Dwa najczęstsze rodzaje infrastruktur sieciowych to sieci lokalne (LAN) i sieci rozległe (WAN). LAN to infrastruktura sieciowa, która umożliwia dostęp użytkownikom i urządzeniom końcowym w niewielkim obszarze geograficznym. LAN jest zwykle używany w dziale przedsiębiorstwa, w domu lub w małej sieci biznesowej. WAN to infrastruktura sieciowa, która umożliwia dostęp do innych sieci na szerokim obszarze geograficznym, zwykle własnym i zarządzanym przez większe przedsiębiorstwo lub dostawcę usług telekomunikacyjnych. Na rysunku przedstawiono połączone z WAN sieci LAN.

7. Sieci LAN (LANs):

  • Sieci LAN obejmują niewielki obszar geograficzny.
  • Łączą urządzenia końcowe w ograniczonej przestrzeni, takiej jak dom, szkoła, budynek biurowy lub kampus.
  • Zwykle są administrowane przez pojedynczą organizację lub osobę. Kontrola administracyjna jest egzekwowana na poziomie sieci i reguluje politykę bezpieczeństwa i kontroli dostępu.
  • Sieci LAN zapewniają wysoką przepustowość dla wewnętrznych urządzeń końcowych i urządzeń pośredniczących.

8. Sieci WAN (WANs):

  • Sieci WAN obejmują szeroki obszar geograficzny.
  • Łączą sieci LAN na dużym obszarze geograficznym, takim jak między miastami, stanami, prowincjami, krajami lub kontynentami.
  • Zwykle są administrowane przez wielu dostawców usług.
  • Sieci WAN zwykle zapewniają łącza o niższej prędkości między sieciami LAN.

9. Infrastruktura sieci w kampusie wykorzystuje model projektu hierarchicznego, który dzieli topologię sieci na modułowe grupy lub warstwy. Hierarchiczny projekt sieci LAN obejmuje warstwy dostępu, dystrybucji i rdzenia. Każda warstwa ma określone funkcje. Warstwa dostępu zapewnia punkty końcowe i użytkownikom bezpośredni dostęp do sieci. Warstwa dystrybucji agreguje warstwy dostępu i zapewnia łączność z usługami. Warstwa rdzenia umożliwia łączność między warstwami dystrybucji w dużych środowiskach LAN. 



Mimo że model hierarchiczny ma trzy warstwy, niektóre mniejsze sieci przedsiębiorstw mogą wdrożyć dwupoziomowy projekt hierarchiczny. W dwupoziomowym projekcie hierarchicznym warstwy rdzenia i dystrybucji są zredukowane do jednej warstwy, co zmniejsza koszty i złożoność.


10. Projektowanie zapór ogniowych dotyczy przede wszystkim interfejsów urządzeń, które pozwalają lub blokują ruch na podstawie źródła, celu i rodzaju ruchu. Niektóre projekty są tak proste, jak wyznaczenie sieci zewnętrznej i wewnętrznej, które są określone przez dwa interfejsy zapory ogniowej.

Typy zapór ogniowych:

  1. Projekt z jednym interfejsem wewnętrznym i jednym interfejsem zewnętrznym:

    • Sieć publiczna (zewnętrzna) jest niezaufana, a sieć prywatna (wewnętrzna) jest zaufana.
    • Ruch pochodzący z sieci prywatnej jest zezwolony i sprawdzany, gdy przemieszcza się w kierunku sieci publicznej. Sprawdzany ruch wracający z sieci publicznej i związany z ruchem pochodzącym z sieci prywatnej jest zezwolony.
    • Ruch pochodzący z sieci publicznej i kierujący się do sieci prywatnej jest zwykle blokowany.

      2. Strefa zdemilitaryzowana (DMZ):
    • W projekcie z DMZ zwykle istnieje jeden interfejs wewnętrzny połączony z siecią prywatną, jeden interfejs zewnętrzny połączony z siecią publiczną i jeden interfejs DMZ, jak pokazano na rysunku.
    • Ruch pochodzący z sieci prywatnej jest sprawdzany, gdy przemieszcza się w kierunku sieci publicznej lub DMZ. Ten ruch jest zezwolony z niewielkimi lub bez ograniczeń. Sprawdzany ruch wracający z sieci DMZ lub publicznej do sieci prywatnej jest zezwolony.
    • Ruch pochodzący z sieci DMZ i kierujący się do sieci prywatnej jest zwykle blokowany.
    • Ruch pochodzący z sieci DMZ i kierujący się do sieci publicznej jest selektywnie zezwolony na podstawie wymagań usług.
    • Ruch pochodzący z sieci publicznej i kierujący się w kierunku DMZ jest selektywnie zezwolony i sprawdzany. Ten rodzaj ruchu to zwykle ruch poczty e-mail, DNS, HTTP lub HTTPS. Ruch powrotny z DMZ do sieci publicznej jest dynamicznie zezwolony.
    • Ruch pochodzący z sieci publicznej i kierujący się do sieci prywatnej jest blokowany.


    3. Zapory oparte na polityce z wykorzystaniem stref (ZPF):

    • ZPF wykorzystuje koncepcję stref do zapewnienia dodatkowej elastyczności. Strefa to grupa jednego lub więcej interfejsów o podobnych funkcjach lub cechach. Pomagają one określić, gdzie powinna być stosowana reguła lub polityka zapory Cisco IOS. W projekcie na rysunku polityki bezpieczeństwa dla LAN 1 i LAN 2 są podobne i mogą być grupowane w strefę dla konfiguracji zapory. Domyślnie ruch między interfejsami w tej samej strefie nie podlega żadnej polityce i przechodzi swobodnie. Jednak cały ruch między strefami jest blokowany. Aby zezwolić na ruch między strefami, należy skonfigurować politykę zezwalającą lub sprawdzającą ruch.

11. Zapora ogniowa to system lub grupa systemów, które egzekwują politykę kontroli dostępu między sieciami.

Wszystkie zapory ogniowe mają pewne wspólne właściwości:

  1. Odporność na ataki sieciowe: Zapory ogniowe są odporne na ataki sieciowe.
  2. Punkt tranzytowy: Są jedynym punktem tranzytowym między wewnętrznymi sieciami korporacyjnymi a sieciami zewnętrznymi, ponieważ cały ruch przechodzi przez zaporę ogniową.
  3. Egzekwowanie polityki kontroli dostępu: Zapory ogniowe egzekwują politykę kontroli dostępu.

Korzyści wynikające z korzystania z zapory ogniowej w sieci to:

  1. Ochrona przed niezaufanymi użytkownikami: Zapory chronią wrażliwe hosty, zasoby i aplikacje przed niezaufanymi użytkownikami.
  2. Sanitacja przepływu protokołów: Zapobiegają wykorzystywaniu błędów protokołów.
  3. Blokowanie złośliwych danych: Blokują złośliwe dane pochodzące od serwerów i klientów.
  4. Uproszczenie zarządzania bezpieczeństwem: Pozwalają na przeniesienie większości kontroli dostępu do sieci na kilka zapór ogniowych.

Zapory ogniowe mają jednak pewne ograniczenia:

  1. Ryzyko błędnej konfiguracji: Błędnie skonfigurowana zapora może stanowić poważne zagrożenie dla sieci, stając się jednym punktem awarii.
  2. Niektóre aplikacje nie mogą bezpiecznie przechodzić przez zapory: Dane z niektórych aplikacji nie mogą być przesyłane przez zapory w sposób bezpieczny.
  3. Użytkownicy mogą próbować obejść zaporę: Niektórzy użytkownicy mogą próbować znaleźć sposoby na ominięcie blokady, co naraża sieć na potencjalne ataki.
  4. Spowolnienie wydajności sieci: Przepustowość sieci może ulec spowolnieniu.
  5. Tunelowanie nieautoryzowanego ruchu: Ruch nieautoryzowany może być ukryty jako ruch legitymacyjny przez zaporę ogniową.

12. Rodzaje zapór ogniowych:

Zrozumienie różnych rodzajów zapór ogniowych i ich specyficznych możliwości jest ważne, aby wybrać odpowiednią zaporę dla danej sytuacji.

  1. Zapory filtrowania pakietów: Zwykle są częścią zapory routera i pozwalają na zezwolenie lub blokowanie ruchu na podstawie informacji warstw 3 i 4 modelu OSI. Są to zapory bezstanowe, które korzystają z prostej tabeli polityki do filtrowania ruchu na podstawie określonych kryteriów.

    Na przykład serwery SMTP domyślnie nasłuchują na porcie 25. Administrator może skonfigurować zaporę filtrowania pakietów, aby zablokować port 25 z określonej stacji roboczej i zapobiec rozprzestrzenianiu się wirusa pocztowego.

  2. Zapory stanowe: Stanowe zapory są najbardziej wszechstronną i najczęściej stosowaną technologią. Wykorzystują tablicę stanu do filtrowania pakietów. Filtrowanie stanowe to architektura zapory, która jest klasyfikowana na poziomie sieci. Analizuje również ruch na poziomie 4 i 5 modelu OSI.

  3. Zapory bramkowe aplikacji (proxy): Filtrują informacje na poziomach 3, 4, 5 i 7 modelu OSI. Kontrola i filtrowanie większości ruchu odbywa się w oprogramowaniu. Klient łączy się z serwerem proxy, który łączy się z serwerem zdalnym w jego imieniu. Dlatego serwer widzi tylko połączenie z serwerem proxy.

  4. Zapory nowej generacji (NGFW): Oferują więcej niż zwykłe zapory stanowe, w tym integrację z systemami zapobiegania włamaniom, świadomość aplikacji i kontrolę nad ryzykownymi aplikacjami.

13. IDS (System wykrywania intruzów) skupia się na wykrywaniu, podczas gdy IPS (System zapobiegania intruzom) kładzie nacisk na zapobieganie. Główne różnice między nimi:

  • IDS monitoruje ruch sieciowy i działania systemu, analizując wzorce w celu wykrycia potencjalnych zagrożeń, ale nie ingeruje aktywnie w ruch sieciowy. IDS nie zmienia ruchu sieciowego.
  • IPS nie tylko wykrywa, ale także aktywnie blokuje działania złośliwe w czasie rzeczywistym, zapewniając proaktywny mechanizm obronny przed zagrożeniami cybernetycznymi. IPS może zatrzymać pakiety wyzwalające atak.
14. Porównanie IDS oraz IPS:

RozwiązanieZaletyWady
IDS- Brak wpływu na sieć (opóźnienia, jitter)
- Brak wpływu na sieć w przypadku awarii sensora - Brak wpływu na sieć w przypadku przeciążenia sensora		- Reakcja nie może zatrzymać pakietów wyzwalających atak
- Wymagane poprawne dostrojenie reakcji - Większa podatność na techniki unikania bezpieczeństwa sieciowego
IPS- Zatrzymuje pakiety wyzwalające atak
- Może stosować techniki normalizacji strumienia		- Problemy z sensorem mogą wpłynąć na ruch sieciowy
- Przeciążenie sensora wpływa na sieć - Pewien wpływ na sieć (opóźnienia, jitter)

15. Istnieją dwie podstawowe rodzaje systemów zapobiegania intruzom (IPS): systemy oparte na hostach (HIPS) i systemy oparte na sieci (NIPS).

  1. HIPS (Systemy zapobiegania intruzom oparte na hostach):

    • HIPS to oprogramowanie zainstalowane na hoście, które monitoruje i analizuje podejrzane działania.
    • Główną zaletą HIPS jest możliwość monitorowania i ochrony procesów systemowych oraz krytycznych procesów specyficznych dla danego hosta.
    • Dzięki szczegółowej wiedzy na temat systemu operacyjnego, HIPS może wykrywać nietypowe działania i zapobiegać wykonywaniu poleceń, które nie są zgodne z typowym zachowaniem.
    • HIPS może monitorować ruch sieciowy, aby zapobiec udziałowi hosta w ataku typu odmowa usługi (DoS) lub udziałowi w nielegalnej sesji FTP.
    • HIPS można postrzegać jako połączenie oprogramowania antywirusowego, antymalware i zapory ogniowej. W połączeniu z systemem NIPS stanowi skuteczne narzędzie dodatkowej ochrony dla hosta.
    • Wady HIPS to działanie tylko na poziomie lokalnym oraz konieczność instalacji na każdym hoście i obsługi wszystkich systemów operacyjnych.

  2. NIPS (Systemy zapobiegania intruzom oparte na sieci):

    • NIPS można wdrożyć za pomocą dedykowanego lub niededykowanego urządzenia IPS.
    • Implementacje NIPS stanowią kluczowy element zapobiegania włamaniom.
    • Istnieją również rozwiązania IDS/IPS oparte na hostach, ale muszą być zintegrowane z implementacją NIPS, aby zapewnić solidną architekturę bezpieczeństwa.
    • Sensory NIPS wykrywają działania złośliwe i nieautoryzowane w czasie rzeczywistym i podejmują odpowiednie działania.
    • Sensory są rozmieszczone w wyznaczonych punktach sieci, co umożliwia menedżerom bezpieczeństwa monitorowanie aktywności sieci w trakcie jej trwania, niezależnie od lokalizacji celu ataku.

16. Lista kontroli dostępu (ACL) to seria poleceń, które kontrolują, czy urządzenie przekazuje czy odrzuca pakiety na podstawie informacji zawartych w nagłówku pakietu. Kiedy są skonfigurowane, ACL wykonuje następujące zadania:

  1. Ograniczanie ruchu sieciowego: ACL ogranicza ruch sieciowy w celu zwiększenia wydajności sieci. Na przykład, jeśli polityka korporacyjna nie zezwala na ruch wideo w sieci, można skonfigurować ACL, które blokuje taki ruch. To znacznie zmniejszy obciążenie sieci i poprawi jej wydajność.
  2. Kontrola przepływu ruchu: ACL może ograniczać dostarczanie aktualizacji routingu, aby upewnić się, że pochodzą one z znanego źródła.
  3. Podstawowy poziom bezpieczeństwa dostępu do sieci: ACL może zezwolić jednemu hostowi na dostęp do części sieci i jednocześnie uniemożliwić innemu hostowi dostęp do tej samej strefy. Na przykład dostęp do sieci zasobów ludzkich może być ograniczony do autoryzowanych użytkowników.
  4. Filtrowanie ruchu na podstawie typu: ACL może zezwolić na ruch poczty e-mail, ale zablokować cały ruch Telnet.
  5. Selekcja ruchu do analizy, przekierowania lub przetwarzania: ACL może klasyfikować ruch, umożliwiając priorytetowe przetwarzanie. 

17. Dwa typy list kontrolnych dostępu (ACL) to standardowe i rozszerzone. 

Standardowe ACL mogą być używane do zezwalania lub blokowania ruchu tylko z adresów źródłowych IPv4. Nie ocenia się miejsca docelowego pakietu ani zaangażowanych portów.

Rozszerzone ACL filtrują pakiety IPv4 na podstawie kilku atrybutów, które obejmują:

  • Typ protokołu
  •  Adres źródłowy IPv4 
  • Adres docelowy IPv4 
  • Porty źródłowe TCP lub UDP 
  • Porty docelowe TCP lub UDP 
  • Opcjonalne informacje o typie protokołu dla bardziej precyzyjnej kontroli 

Standardowe i rozszerzone ACL mogą być tworzone za pomocą numeru lub nazwy do identyfikacji ACL i jego listy instrukcji.

Użycie numerowanych ACL jest skuteczną metodą określania typu ACL w mniejszych sieciach z bardziej jednorodnie zdefiniowanym ruchem. Jednak numer nie dostarcza informacji o celu ACL. Z tego powodu do identyfikacji ACL firmy Cisco można użyć nazwy.

Konfigurując rejestrowanie ACL, można wygenerować i zarejestrować komunikat ACL, gdy ruch spełnia kryteria zezwolenia lub odrzucenia zdefiniowane w ACL.

18. Prosty Protokół Zarządzania Siecią (SNMP) umożliwia administratorom zarządzanie urządzeniami końcowymi w sieci IP. SNMP to protokół warstwy aplikacji używany do komunikacji między menedżerami i agentami. System SNMP składa się z menedżera SNMP, który uruchamia oprogramowanie do zarządzania SNMP, oraz agentów SNMP, które są monitorowane i zarządzane. Menedżer SNMP może zbierać informacje od agenta SNMP i zmieniać konfiguracje na agencie. Agenci SNMP mogą również przekazywać informacje bezpośrednio do menedżera sieci.

19. NetFlow to technologia Cisco, która dostarcza statystyki dotyczące pakietów przepływających przez router lub przełącznik. Jest skoncentrowana na dostarczaniu statystyk dotyczących pakietów IP. NetFlow składa się z menedżera SNMP i agentów SNMP, które są monitorowane. Menedżer SNMP może zbierać informacje od agenta SNMP i zmieniać konfiguracje na agencie. NetFlow wyróżnia przepływy za pomocą kombinacji siedmiu pól, takich jak adresy IP źródła i docelowe, numery portów źródłowych i docelowych, typ protokołu warstwy 3, znacznik typu usługi (ToS) i wejściowy interfejs logiczny.

20. Analizator pakietów (znany również jako sniffer pakietów lub sniffer ruchu) to zazwyczaj oprogramowanie, które przechwytuje pakiety wchodzące i wychodzące z karty interfejsu sieciowego (NIC). Nie zawsze jest możliwe lub pożądane, aby analizator pakietów był na urządzeniu, które jest monitorowane. Czasami lepiej jest na oddzielnej stacji przeznaczonej do przechwytywania pakietów.

Ponieważ przełączniki sieciowe mogą izolować ruch, sniffery ruchu lub inne monitory sieciowe, takie jak IDS, nie mają dostępu do całego ruchu w segmencie sieci. Lustrzowanie portów to funkcja, która pozwala przełącznikowi tworzyć duplikaty ruchu przechodzącego przez przełącznik, a następnie wysyłać go przez port z podłączonym monitorem sieciowym. Oryginalny ruch jest przekazywany w zwykły sposób.

21. Gdy wystąpią zdarzenia sieciowe, urządzenia sieciowe powiadamiają administratora za pomocą komunikatów systemowych. Administratorzy mają różne opcje zarządzania tymi wiadomościami. Najpopularniejszym protokołem dostępu do tych komunikatów jest syslog, obsługiwany przez wiele urządzeń sieciowych. Syslog pozwala na wysyłanie komunikatów systemowych do serwerów syslog. Główne funkcje usługi rejestrowania syslog to zbieranie informacji do monitorowania i rozwiązywania problemów, wybór typu przechwytywanych informacji oraz określanie miejsca docelowego dla przechwyconych wiadomości syslog.
22. Synchronizacja czasu we wszystkich urządzeniach sieciowych jest kluczowa dla efektywnego zarządzania siecią. Można to osiągnąć ręcznie lub za pomocą protokołu Network Time Protocol (NTP). NTP pozwala routerom synchronizować swoje ustawienia czasu z serwerem NTP, co zapewnia spójność ustawień czasu. Sieci NTP używają hierarchicznego systemu źródeł czasu, znanego jako stratum, do dystrybucji zsynchronizowanego czasu w sieci.

23. Tabela zawiera trzy niezależne funkcje bezpieczeństwa dostarczane przez architektoniczny framework AAA.

AAA Opis
UwierzytelnianieUżytkownicy i administratorzy muszą udowodnić, że są tym, za kogo się podają. Uwierzytelnianie może być ustanowione za pomocą kombinacji nazwy użytkownika i hasła, pytań kontrolnych i odpowiedzi, kart tokenów i innych metod. Uwierzytelnianie AAA zapewnia scentralizowany sposób kontroli dostępu do sieci.
AutoryzacjaPo uwierzytelnieniu użytkownika, usługi autoryzacji określają, do których zasobów użytkownik może uzyskać dostęp i które operacje użytkownik ma prawo wykonać. Przykładem jest “Użytkownik ‘student’ może uzyskać dostęp do serwera hostaXYZ tylko za pomocą SSH”.
RozliczanieRozliczanie rejestruje, co robi użytkownik, w tym co jest dostępne, ile czasu zasób jest dostępny i jakie zmiany zostały wprowadzone. Rozliczanie śledzi, jak wykorzystywane są zasoby sieciowe. Przykładem jest “Użytkownik ‘student’ uzyskał dostęp do hosta serverXYZ za pomocą SSH przez 15 minut”.

Terminal Access Controller Access-Control System Plus (TACACS+) i Remote Authentication Dial-In User Service (RADIUS) to oba protokoły uwierzytelniania, które są używane do komunikacji z serwerami AAA. Wybór między TACACS+ a RADIUS zależy od potrzeb organizacji.

Chociaż oba protokoły mogą być używane do komunikacji między routerem a serwerami AAA, TACACS+ jest uważany za bardziej bezpieczny protokół. Wynika to z faktu, że wszystkie wymiany protokołu TACACS+ są szyfrowane, podczas gdy RADIUS szyfruje tylko hasło użytkownika. RADIUS nie szyfruje nazw użytkowników, informacji o rozliczeniach ani żadnych innych informacji przekazywanych w wiadomości RADIUS.

OpisTACACS+RADIUS
FunkcjonalnośćRozdziela AAA zgodnie z architekturą AAA, umożliwiając modularność implementacji serwera zabezpieczeńŁączy uwierzytelnianie i autoryzację, ale rozdziela rozliczanie, co daje mniej elastyczności w implementacji niż TACACS+
StandardGłównie obsługiwany przez CiscoOtwarty standard/RFC
TransportTCPUDP
Protokół CHAPDwukierunkowe wyzwanie i odpowiedź, jak w protokole Challenge Handshake Authentication Protocol (CHAP)Jednokierunkowe wyzwanie i odpowiedź od serwera zabezpieczeń RADIUS do klienta RADIUS
PoufnośćCały pakiet jest szyfrowanyHasło jest szyfrowane
DostosowanieZapewnia autoryzację poleceń routera na zasadzie per-user lub per-groupNie ma opcji autoryzacji poleceń routera na zasadzie per-user lub per-group
RozliczanieOgraniczoneRozległe

24. Sieć VPN to prywatna sieć, która jest tworzona na publicznej sieci, zazwyczaj internecie.

Zamiast korzystać z dedykowanego fizycznego połączenia, VPN używa wirtualnych połączeń, które są przekierowywane przez internet z organizacji do zdalnej lokalizacji. 

VPN jest wirtualny, ponieważ przesyła informacje w ramach prywatnej sieci, ale te informacje są faktycznie transportowane przez publiczną sieć. VPN jest prywatny, ponieważ ruch jest szyfrowany, aby zachować poufność danych podczas ich transportu przez publiczną sieć.

VPN to środowisko komunikacyjne, w którym dostęp jest ściśle kontrolowany, aby umożliwić połączenia równorzędne w obrębie zdefiniowanej społeczności zainteresowań. Poufność jest osiągana poprzez szyfrowanie ruchu w ramach VPN. Dzisiaj bezpieczna implementacja VPN ze szyfrowaniem jest powszechnie kojarzona z koncepcją wirtualnej sieci prywatnej.

W najprostszym ujęciu, VPN łączy dwa punkty końcowe, takie jak zdalne biuro i centralę, przez publiczną sieć, tworząc logiczne połączenie. Logiczne połączenia mogą być nawiązywane na warstwie 2 lub 3. Powszechne przykłady VPN-ów warstwy 3 to GRE, Multiprotocol Label Switching (MPLS) i IPsec. VPN-y warstwy 3 mogą być połączeniami punkt-punkt, takie jak GRE i IPsec, lub mogą nawiązywać łączność z dowolnym miejscem do wielu miejsc za pomocą MPLS.

IPsec to zestaw protokołów opracowanych przy wsparciu IETF w celu zapewnienia bezpiecznych usług w sieciach pakietowych IP.

Usługi IPsec umożliwiają uwierzytelnianie, integralność, kontrolę dostępu i poufność. Dzięki IPsec, informacje wymieniane między zdalnymi lokalizacjami mogą być szyfrowane i weryfikowane. VPN-y są powszechnie wdrażane w topologii site-to-site, aby bezpiecznie łączyć centralne miejsca z lokalizacjami zdalnymi. Są również wdrażane w topologii remote-access, aby zapewnić bezpieczny dostęp zdalny dla użytkowników zewnętrznych podróżujących lub pracujących z domu. Zarówno VPN-y remote-access, jak i site-to-site mogą być wdrażane za pomocą IPsec.