11.0 Het is een netwerk

11.0.1. Introductie

De applicatielaag is verantwoordelijk voor directe toegang tot de onderliggende processen die communicatie beheren en leveren aan het menselijke netwerk. Deze laag dient als bron en bestemming van communicatie over datanetwerken. De applicaties, services en protocollen van de toepassingslaag stellen gebruikers in staat om op een zinvolle en effectieve manier met het datanetwerk te communiceren.

Applicaties zijn computerprogramma’s waarmee de gebruiker communiceert en die op verzoek van de gebruiker het proces van gegevensoverdracht starten.
Services zijn achtergrondprogramma’s die de verbinding maken tussen de applicatielaag en de onderste lagen van het netwerkmodel.
Protocollen bieden een structuur van overeengekomen regels en processen die ervoor zorgen dat services die op één bepaald apparaat worden uitgevoerd, gegevens kunnen verzenden en ontvangen vanaf een reeks verschillende netwerkapparaten.
Levering van gegevens via het netwerk kan worden aangevraagd bij een server door een client, of tussen apparaten die werken in een P2P-opstelling, waarbij de client / server-relatie tot stand wordt gebracht, afhankelijk van welk apparaat op dat moment de bron en bestemming is. Berichten worden uitgewisseld tussen de applicatielaagdiensten op elk eindapparaat in overeenstemming met de protocolspecificaties om deze relaties tot stand te brengen en te gebruiken.

Protocollen zoals HTTP ondersteunen bijvoorbeeld de levering van webpagina’s aan eindapparaten. SMTP en POP ondersteunen het verzenden en ontvangen van e-mail. Met SMB en FTP kunnen gebruikers bestanden delen. P2P-toepassingen maken het voor consumenten gemakkelijker om naadloos media en gedistribueerd te delen. DNS zet de voor mensen leesbare namen die worden gebruikt om naar netwerkbronnen te verwijzen, om in numerieke adressen die door het netwerk kunnen worden gebruikt. Clouds zijn afgelegen stroomopwaartse locaties die gegevens opslaan en toepassingen hosten, zodat gebruikers niet zoveel lokale bronnen nodig hebben en zodat gebruikers naadloos toegang hebben tot inhoud op verschillende apparaten vanaf elke locatie.

Al deze elementen werken samen, op de applicatielaag. De applicatielaag stelt gebruikers in staat om via internet te werken en te spelen.

11.1 Creëer en groei

11.1.1 Apparaten in een klein netwerk

11.1.1.1 Kleine netwerktopologieën

De meeste bedrijven zijn kleine bedrijven. Het is dan ook niet verwonderlijk dat de meeste netwerken kleine netwerken zijn.

Bij kleine netwerken is het ontwerp van het netwerk meestal eenvoudig. Het aantal en type apparaten op het netwerk is aanzienlijk verminderd in vergelijking met dat van een groter netwerk. De netwerktopologieën voor kleine netwerken omvatten doorgaans een enkele router en een of meer schakelaars. Kleine netwerken hebben mogelijk ook draadloze toegangspunten (mogelijk ingebouwd in de router) en IP-telefoons. Wat betreft de verbinding met internet, heeft een klein netwerk normaal gesproken een enkele WAN-verbinding die wordt geleverd via DSL, kabel of een Ethernet-verbinding.

Het beheren van een klein netwerk vereist veel van dezelfde vaardigheden als voor het beheren van een groter netwerk. Het meeste werk is gericht op onderhoud en probleemoplossing van bestaande apparatuur, evenals het beveiligen van apparaten en informatie op het netwerk. Het beheer van een klein netwerk wordt ofwel gedaan door een medewerker van het bedrijf of door een persoon die door het bedrijf is gecontracteerd, afhankelijk van de grootte van het bedrijf en het soort bedrijf.

11.1.1.2. Apparaatselectie voor een klein netwerk

Om aan de gebruikersvereisten te voldoen, hebben zelfs kleine netwerken planning en ontwerp nodig. Planning zorgt ervoor dat alle vereisten, kostenfactoren en implementatieopties naar behoren worden overwogen.

Een van de eerste overwegingen bij het ontwerp bij het implementeren van een klein netwerk is het type tussenliggende apparaten dat moet worden gebruikt om het netwerk te ondersteunen. Bij het selecteren van het type tussenliggende apparaten, zijn er een aantal factoren waarmee u rekening moet houden, zoals weergegeven in de afbeelding.

Kosten

De kosten zijn doorgaans een van de belangrijkste factoren bij het selecteren van apparatuur voor een klein zakelijk netwerk. De kosten van een switch of router worden bepaald door de capaciteit en functies. De capaciteit van het apparaat omvat het aantal en de soorten beschikbare poorten en de backplane-snelheid. Andere factoren die van invloed zijn op de kosten zijn netwerkbeheermogelijkheden, ingebouwde beveiligingstechnologieën en optionele geavanceerde schakeltechnologieën. Er moet ook rekening worden gehouden met de kosten van kabeltrajecten die nodig zijn om elk apparaat op het netwerk te verbinden. Een ander belangrijk element dat van invloed is op de kostenoverweging, is hoeveel redundantie er in het netwerk moet worden opgenomen – dit omvat apparaten, poorten per apparaat en koperen of glasvezelbekabeling.

Snelheid en soorten poorten/interfaces

Het kiezen van het aantal en type poorten op een router of switch is een cruciale beslissing. Vragen die gesteld kunnen worden zijn: “Bestellen we net genoeg poorten voor de huidige behoeften, of houden we rekening met groei-eisen?”, “Hebben we een combinatie van UTP-snelheden nodig?” En “Hebben we zowel UTP- als glasvezelpoorten nodig?”

Nieuwere computers hebben ingebouwde 1 Gbps NIC’s. Bij sommige werkstations en servers zijn al 10 Gbps-poorten inbegrepen. Hoewel het duurder is, zorgt het kiezen van Layer 2-apparaten voor hogere snelheden ervoor dat het netwerk kan evolueren zonder centrale apparaten te vervangen.

Uitbreidbaarheid

Netwerkapparatuur is er in zowel vaste als modulaire fysieke configuraties. Vaste configuraties hebben een specifiek aantal en type poorten of interfaces. Modulaire apparaten hebben uitbreidingssleuven die de flexibiliteit bieden om nieuwe modules toe te voegen naarmate de vereisten evolueren. De meeste modulaire apparaten worden geleverd met een basisaantal vaste poorten en uitbreidingsslots. Er zijn schakelaars beschikbaar met speciale extra poorten voor optionele high-speed uplinks. Omdat routers kunnen worden gebruikt voor het verbinden van verschillende nummers en typen netwerken, moet er ook voor worden gezorgd dat de juiste modules en interfaces voor de specifieke media worden geselecteerd. Vragen die in overweging moeten worden genomen, zijn onder meer: ​​”Bestellen we apparaten met modules die kunnen worden geüpgraded?” En “Welk type WAN-interfaces, indien aanwezig, zijn vereist op de router (s)?”

Besturingssysteemfuncties en -services

Afhankelijk van de versie van het besturingssysteem kan een netwerkapparaat bepaalde functies en services ondersteunen, zoals:

  • Veiligheid
  • QoS
  • VoIP
  • Layer 3-omschakeling
  • NAT
  • DHCP

Routers kunnen duur zijn op basis van de benodigde interfaces en functies. Extra modules, zoals glasvezel, verhogen de kosten van de netwerkapparatuur.

11.1.1.3. IP-adressering voor een klein netwerk

Bij het implementeren van een klein netwerk is het noodzakelijk om de IP-adresruimte te plannen. Alle hosts binnen een internetwerk moeten een uniek adres hebben. Zelfs op een klein netwerk mag de adrestoewijzing binnen het netwerk niet willekeurig zijn. Het IP-adresseringsschema moet eerder worden gepland, gedocumenteerd en onderhouden op basis van het type apparaat dat het adres ontvangt.

Voorbeelden van verschillende soorten apparaten die een rol zullen spelen in het IP-ontwerp zijn:

  • Eindapparaten voor gebruikers
  • Servers en randapparatuur
  • Hosts die toegankelijk zijn vanaf het Internet
  • Tussenliggende apparaten

Door het IP-adresseringsschema te plannen en te documenteren, kan de beheerder apparaattypes volgen. Als aan alle servers bijvoorbeeld een hostadres is toegewezen met een bereik van 50-100, is het eenvoudig om serververkeer te identificeren op basis van IP-adres. Dit kan erg handig zijn bij het oplossen van problemen met netwerkverkeer met behulp van een protocolanalysator.

Bovendien zijn beheerders beter in staat om de toegang tot bronnen op het netwerk te controleren op basis van IP-adres wanneer een deterministisch IP-adresschema wordt gebruikt. Dit kan vooral belangrijk zijn voor hosts die zowel bronnen voor het interne netwerk als voor het externe netwerk leveren. Webservers of e-commerceservers spelen een dergelijke rol. Als de adressen voor deze bronnen niet gepland en gedocumenteerd zijn, zijn de veiligheid en toegankelijkheid van de apparaten niet eenvoudig te controleren. Als aan een server een willekeurig adres is toegewezen, is het moeilijk om de toegang tot dit adres te blokkeren en kunnen clients deze bron mogelijk niet vinden.

Elk van deze verschillende apparaattypen moet worden toegewezen aan een logisch adresblok binnen het adresbereik van het netwerk.

11.1.1.4. Redundantie in een klein netwerk

Een ander belangrijk onderdeel van netwerkontwerp is betrouwbaarheid. Zelfs kleine bedrijven zijn vaak sterk afhankelijk van hun netwerk voor bedrijfsactiviteiten. Een storing in het netwerk kan erg kostbaar zijn. Om een ​​hoge mate van betrouwbaarheid te behouden, is redundantie vereist in het netwerkontwerp. Redundantie helpt om single points of failure te elimineren. Er zijn veel manieren om redundantie in een netwerk tot stand te brengen. Redundantie kan worden bereikt door dubbele apparatuur te installeren, maar het kan ook worden bereikt door dubbele netwerkverbindingen te leveren voor kritieke delen.

Hoe kleiner het netwerk, hoe kleiner de kans dat redundantie van apparatuur betaalbaar is. Daarom is een veelgebruikte manier om redundantie te introduceren het gebruik van redundante switchverbindingen tussen meerdere switches op het netwerk en tussen switches en routers.

Bovendien hebben servers vaak meerdere NIC-poorten die redundante verbindingen met een of meer switches mogelijk maken. In een klein netwerk worden servers doorgaans ingezet als webservers, bestandsservers of e-mailservers.

Kleine netwerken bieden doorgaans een enkel uitgangspunt naar internet via een of meer standaardgateways. Met één router in de topologie wordt de enige redundantie in termen van Layer 3-paden mogelijk gemaakt door meer dan één Ethernet-interface op de router te gebruiken. Als de router echter uitvalt, verliest het hele netwerk de verbinding met internet. Om deze reden kan het voor een klein bedrijf raadzaam zijn om voor een voordeligste optie-account te betalen bij een tweede serviceprovider voor back-up.

11.1.1.5. Design Considerations for a Small Network

Gebruikers verwachten onmiddellijke toegang tot hun e-mails en tot de bestanden die ze delen of bijwerken. Om deze beschikbaarheid te helpen waarborgen, moet de netwerkontwerper de volgende stappen nemen:

  • Stap 1. Beveilig bestands- en mailservers op een gecentraliseerde locatie.
  • Stap 2. Bescherm de locatie tegen onbevoegde toegang door fysieke en logische beveiligingsmaatregelen te implementeren.
  • Stap 3. Creëer redundantie in de serverfarm die ervoor zorgt dat als een apparaat uitvalt, bestanden niet verloren gaan.
  • Stap 4. Configureer redundante paden naar de servers.

Bovendien gebruiken moderne netwerken vaak een vorm van spraak of video over IP voor communicatie met klanten en zakenpartners. Dit type geconvergeerd netwerk wordt geïmplementeerd als een geïntegreerde oplossing of als een aanvullende vorm van onbewerkte gegevens die over het IP-netwerk worden gelegd. De netwerkbeheerder dient bij het netwerkontwerp rekening te houden met de verschillende soorten verkeer en hun behandeling. De router (s) en switch (s) in een klein netwerk moeten worden geconfigureerd om real-time verkeer, zoals spraak en video, op een andere manier te ondersteunen dan ander dataverkeer. In feite zal een goed netwerkontwerp het verkeer zorgvuldig classificeren op basis van prioriteit, zoals weergegeven in de afbeelding. Verkeersklassen kunnen zo specifiek zijn als: File transferEmailVoiceVideoMessagingTransactional

Uiteindelijk is het doel van een goed netwerkontwerp, zelfs voor een klein netwerk, het verhogen van de productiviteit van de medewerkers en het minimaliseren van netwerkuitval.

11.1.2. Protocollen in een klein netwerk

11.1.2.1. Veelvoorkomende toepassingen in een klein netwerk

Het netwerk is slechts zo nuttig als de applicaties die erop staan. Zoals weergegeven in de afbeelding, zijn er binnen de applicatielaag twee vormen van softwareprogramma’s of processen die toegang tot het netwerk bieden: netwerktoepassingen en applicatielaagservices.

Netwerktoepassingen

Toepassingen zijn de softwareprogramma’s die worden gebruikt om via het netwerk te communiceren. Sommige eindgebruikerstoepassingen zijn netwerkbewust, wat betekent dat ze toepassingslaagprotocollen implementeren en rechtstreeks kunnen communiceren met de lagere lagen van de protocolstapel. E-mailclients en webbrowsers zijn voorbeelden van dit type applicatie.

Toepassingslaagservices

Andere programma’s hebben mogelijk de hulp van toepassingslaagservices nodig om netwerkbronnen te gebruiken, zoals bestandsoverdracht of spooling van netwerkprints. Hoewel deze services transparant zijn voor een werknemer, zijn het de programma’s die een interface hebben met het netwerk en de gegevens voorbereiden voor overdracht. Verschillende soorten gegevens, of het nu gaat om tekst, afbeeldingen of video, hebben verschillende netwerkservices nodig om ervoor te zorgen dat ze goed zijn voorbereid op verwerking door de functies die optreden in de lagere lagen van het OSI-model.

Elke applicatie of netwerkdienst gebruikt protocollen, die de te gebruiken standaarden en gegevensformaten definiëren. Zonder protocollen zou het datanetwerk geen gebruikelijke manier hebben om gegevens te formatteren en te sturen. Om de functie van verschillende netwerkdiensten te begrijpen, is het noodzakelijk om vertrouwd te raken met de onderliggende protocollen die hun werking regelen.

11.1.2.2. Gemeenschappelijke protocollen in een klein netwerk

Het meeste werk van een technicus, in een klein of een groot netwerk, zal op de een of andere manier te maken hebben met netwerkprotocollen. Netwerkprotocollen ondersteunen de applicaties en services die worden gebruikt door medewerkers in een klein netwerk. Veelgebruikte netwerkprotocollen zijn onder meer: DNSTelnetIMAP, SMTP, POP (e-mail) DHCPHTTPFTP

Deze netwerkprotocollen vormen de fundamentele toolset van een netwerkprofessional. Elk van deze netwerkprotocollen definieert: Processen aan beide uiteinden van een communicatiesessie Typen berichten Syntaxis van de berichten Betekenis van informatievelden Hoe berichten worden verzonden en de verwachte respons Interactie met de volgende lagere laag

Veel bedrijven hebben een beleid opgesteld om waar mogelijk veilige versies van deze protocollen te gebruiken. Deze protocollen zijn HTTPS, SFTP en SSH.

11.1.2.3. Real-time applicaties voor een klein netwerk

Naast de algemene netwerkprotocollen die eerder zijn beschreven, gebruiken moderne bedrijven, zelfs kleine, doorgaans real-time applicaties voor communicatie met klanten en zakenpartners. Hoewel een klein bedrijf de kosten van een zakelijke Cisco Telepresence-oplossing misschien niet kan rechtvaardigen, zijn er andere real-time applicaties, zoals weergegeven in figuur 1, die betaalbaar en gerechtvaardigd zijn voor kleine bedrijfsorganisaties. Realtime toepassingen vereisen meer planning en speciale diensten (in vergelijking met andere soorten gegevens) om voorrang te geven aan spraak- en videoverkeer. Dit betekent dat de netwerkbeheerder ervoor moet zorgen dat de juiste apparatuur in het netwerk is geïnstalleerd en dat de netwerkapparaten zijn geconfigureerd om prioriteit te geven. Figuur 2 toont elementen van een klein netwerk dat real-time applicaties ondersteunt.

Infrastructuur

Om de bestaande en voorgestelde real-time applicaties te ondersteunen, moet de infrastructuur geschikt zijn voor de kenmerken van elk type verkeer. De netwerkontwerper moet bepalen of de bestaande schakelaars en bekabeling het verkeer dat aan het netwerk wordt toegevoegd, kunnen ondersteunen. Bekabeling die gigabit-transmissies kan ondersteunen, moet in staat zijn om het gegenereerde verkeer te dragen en geen aanpassingen aan de infrastructuur vereisen. Oudere switches ondersteunen mogelijk geen Power over Ethernet (PoE). Verouderde bekabeling ondersteunt mogelijk niet de bandbreedtevereisten. De schakelaars en bekabeling zouden moeten worden geüpgraded om deze toepassingen te ondersteunen.

VoIP

VoIP is geïmplementeerd in een organisatie die nog steeds traditionele telefoons gebruikt. VoIP maakt gebruik van spraakgestuurde routers. Deze routers zetten analoge spraak van traditionele telefoonsignalen om in IP-pakketten. Nadat de signalen zijn omgezet in IP-pakketten, verzendt de router die pakketten tussen overeenkomstige locaties. VoIP is veel goedkoper dan een geïntegreerde IP-telefonieoplossing, maar de kwaliteit van de communicatie voldoet niet aan dezelfde standaarden. Voice en video over IP-oplossingen voor kleine bedrijven kunnen bijvoorbeeld worden gerealiseerd met Skype- en niet-zakelijke versies van Cisco WebEx.

IP-telefonie

Bij IP-telefonie voert de IP-telefoon zelf een spraak-naar-IP-conversie uit. Spraakgestuurde routers zijn niet vereist binnen een netwerk met een geïntegreerde IP-telefonieoplossing. IP-telefoons gebruiken een speciale server voor gespreksbeheer en signalering. Er zijn nu veel leveranciers met speciale IP-telefonieoplossingen voor kleine netwerken.

Real-time applicaties

Om streaming media effectief te transporteren, moet het netwerk applicaties kunnen ondersteunen die vertragingsgevoelige levering vereisen. Real-Time Transport Protocol (RTP) en Real-Time Transport Control Protocol (RTCP) zijn twee protocollen die deze vereiste ondersteunen. RTP en RTCP maken controle en schaalbaarheid van de netwerkbronnen mogelijk doordat Quality of Service (QoS) -mechanismen kunnen worden geïntegreerd. Deze QoS-mechanismen bieden waardevolle tools voor het minimaliseren van latentieproblemen voor real-time streamingtoepassingen.

11.1.3. Groeien naar grotere netwerken

11.1.3.1. Groeien naar grotere netwerken

Groei is een natuurlijk proces voor veel kleine bedrijven en hun netwerken moeten dienovereenkomstig groeien. Een netwerkbeheerder voor een klein netwerk zal reactief of proactief werken, afhankelijk van de leiders van het bedrijf, waaronder vaak de netwerkbeheerder. Idealiter heeft de netwerkbeheerder voldoende doorlooptijd om intelligente beslissingen te nemen over de groei van het netwerk in lijn met de groei van het bedrijf.

Om een netwerk te schalen, zijn verschillende elementen vereist:

  • Netwerkdocumentatie – fysieke en logische topologie
  • Apparaatinventaris – lijst van apparaten die het netwerk gebruiken of omvatten
  • Budget – gespecificeerd IT-budget, inclusief budget voor aanschaf van apparatuur voor het fiscale jaar
  • Verkeersanalyse – protocollen, toepassingen en services en hun respectieve verkeersvereisten moeten worden gedocumenteerd

Deze elementen worden gebruikt om de besluitvorming die gepaard gaat met het opschalen van een klein netwerk te informeren.

11.1.3.2. Protocolanalyse van een klein netwerk

Om een ​​klein netwerk te ondersteunen en te laten groeien, moet u bekend zijn met de protocollen en netwerktoepassingen die via het netwerk worden uitgevoerd. Hoewel de netwerkbeheerder in een kleine netwerkomgeving meer tijd zal hebben om het netwerkgebruik voor elk netwerkapparaat afzonderlijk te analyseren, wordt een meer holistische benadering met een soort software- of hardwarematige protocolanalysator aanbevolen.

Protocolanalysers zoals Wireshark stellen netwerkprofessional in staat om snel statistische informatie over verkeersstromen op een netwerk te verzamelen.

Wanneer u probeert te bepalen hoe het netwerkverkeer moet worden beheerd, vooral naarmate het netwerk groeit, is het belangrijk om te begrijpen welk type verkeer het netwerk kruist, evenals de huidige verkeersstroom. Als de soorten verkeer onbekend zijn, helpt de protocolanalysator het verkeer en de bron ervan te identificeren.

Om verkeersstroompatronen te bepalen, is het belangrijk om:

  • Verkeer tijdens piekuren vast te leggen om een ​​goede weergave te krijgen van de verschillende verkeerstypen.
  • De opname uit te voeren op verschillende netwerksegmenten, omdat sommige verkeer lokaal voor een bepaald segment zal zijn.

De informatie die door de protocolanalysator wordt verzameld, wordt geanalyseerd op basis van de bron en bestemming van het verkeer en het type verkeer dat wordt verzonden. Deze analyse kan worden gebruikt om beslissingen te nemen over hoe het verkeer efficiënter kan worden beheerd. Dit kan door onnodige verkeersstromen te verminderen of door stroompatronen helemaal te veranderen door bijvoorbeeld een server te verplaatsen.

Soms verbetert het simpelweg verplaatsen van een server of service naar een ander netwerksegment de netwerkprestaties en voldoet het aan de groeiende verkeersbehoeften. Op andere momenten vereist het optimaliseren van de netwerkprestaties een ingrijpend herontwerp en interventie van het netwerk.

11.1.3.3. Veranderende protocolvereisten

Naast het begrijpen van veranderende verkeerstrends, moet een netwerkbeheerder zich ook bewust zijn van hoe het netwerkgebruik verandert. Een netwerkbeheerder in een klein netwerk heeft de mogelijkheid om in de loop van de tijd persoonlijke IT-“snapshots” te verkrijgen van het gebruik van werknemersapplicaties voor een aanzienlijk deel van het personeelsbestand. Deze momentopnamen bevatten doorgaans informatie zoals:

  • OS + OS-versie
  • Niet-netwerkapplicaties
  • Netwerkapplicaties
  • CPU-gebruik
  • Drive-gebruik
  • RAM-gebruik

Het documenteren van momentopnamen voor werknemers in een klein netwerk gedurende een bepaalde periode zal de netwerkbeheerder in hoge mate informeren over veranderende protocolvereisten en bijbehorende verkeersstromen. Het kan bijvoorbeeld zijn dat sommige werknemers off-site middelen zoals sociale media gebruiken om een ​​bedrijf beter te positioneren op het gebied van marketing. Toen ze voor het bedrijf gingen werken, hadden deze werknemers mogelijk minder aandacht voor internetreclame. Deze verschuiving in het gebruik van bronnen kan de netwerkbeheerder ertoe verplichten de toewijzingen van netwerkbronnen dienovereenkomstig te verschuiven.

Het is de verantwoordelijkheid van de netwerkbeheerder om het netwerkgebruik en de verkeersstroomvereisten bij te houden en netwerkaanpassingen door te voeren om de productiviteit van werknemers te optimaliseren naarmate het netwerk en het bedrijf groeien.

11.2. Het netwerk veilig houden

11.2.1. Beveiligingsmaatregelen voor netwerkapparaten

11.2.1.1. Categorieën van bedreigingen voor netwerkbeveiliging

Of het nu bedraad of draadloos is, computernetwerken zijn essentieel voor alledaagse activiteiten. Zowel individuen als organisaties zijn afhankelijk van hun computers en netwerken. Inbraak door een onbevoegde persoon kan leiden tot kostbare netwerkstoringen en verlies van werk. Aanvallen op een netwerk kunnen verwoestend zijn en kunnen resulteren in tijd- en geldverlies door beschadiging of diefstal van belangrijke informatie of activa.

Indringers kunnen toegang krijgen tot een netwerk door softwarekwetsbaarheden, hardware-aanvallen of door iemands gebruikersnaam en wachtwoord te raden. Indringers die toegang krijgen door software aan te passen of kwetsbaarheden in software te misbruiken, worden vaak hackers genoemd.

Nadat de hacker toegang heeft gekregen tot het netwerk, kunnen zich vier soorten bedreigingen voordoen:

  • Informatiediefstal – Inbreken op een computer om vertrouwelijke informatie te verkrijgen. Informatie kan voor verschillende doeleinden worden gebruikt of verkocht. Voorbeeld: het stelen van eigendomsinformatie van een organisatie, zoals onderzoeks- en ontwikkelingsinformatie
  • Identiteitsdiefstal – Een vorm van informatiediefstal waarbij persoonlijke informatie wordt gestolen met het doel iemands identiteit over te nemen. Met behulp van deze informatie kan een persoon juridische documenten verkrijgen, krediet aanvragen en ongeautoriseerde online aankopen doen. Identiteitsdiefstal is een groeiend probleem dat miljarden dollars per jaar kost.
  • Gegevensverlies / -manipulatie – Inbreken in een computer om gegevensrecords te vernietigen of te wijzigen. Voorbeelden van gegevensverlies: het verzenden van een virus dat de harde schijf van een computer opnieuw formatteert. Voorbeelden van datamanipulatie: inbreken in een registratiesysteem om informatie te wijzigen, zoals de prijs van een item.
  • Serviceonderbreking – verhinderen dat legitieme gebruikers toegang krijgen tot services waarop ze recht zouden moeten hebben. Voorbeelden: Denial of Service (DoS) -aanvallen op servers, netwerkapparaten of netwerkcommunicatieverbindingen
Informatiediefstal
Identiteitsdiefstal
Gegevensverlies / -manipulatie
Serviceonderbreking

Zelfs in kleine netwerken is het noodzakelijk om bij het plannen van een netwerkimplementatie rekening te houden met beveiligingsrisico’s en kwetsbaarheden.

11.2.1.2. Fysieke beveiliging

Als u aan netwerkbeveiliging of zelfs computerbeveiliging denkt, kunt u zich voorstellen dat aanvallers misbruik maken van softwarekwetsbaarheden. Een even belangrijke kwetsbaarheid is de fysieke beveiliging van apparaten, zoals weergegeven in de afbeelding. Een aanvaller kan het gebruik van netwerkbronnen weigeren als die bronnen fysiek kunnen worden aangetast.

De vier klassen van fysieke bedreigingen zijn: Hardwarebedreigingen – fysieke schade aan servers, routers, switches, bekabelingsinstallaties en werkstations Bedreigingen voor het milieu – extreme temperaturen (te warm of te koud) of extreme vochtigheid (te nat of te droog) Elektrische bedreigingen – spanning pieken, onvoldoende voedingsspanning (stroomuitval), ongeconditioneerde stroom (ruis) en totaal stroomverlies Bedreigingen voor onderhoud – slechte behandeling van belangrijke elektrische componenten (elektrostatische ontlading), gebrek aan kritische reserveonderdelen, slechte bekabeling en slechte etikettering

Sommige van deze kwesties moeten worden aangepakt in een organisatiebeleid. Sommigen van hen zijn onderhevig aan goed leiderschap en management in de organisatie.

Plan fysieke beveiliging om schade aan de apparatuur te beperken: sluit apparatuur af en voorkom ongeoorloofde toegang vanaf de deuren, het plafond, de verhoogde vloer, ramen, kanalen en ventilatieopeningen. Bewaak en controleer de toegang tot de kast met elektronische logboeken. Gebruik beveiligingscamera’s.

11.2.1.3. Soorten beveiligingsproblemen

Drie factoren voor netwerkbeveiliging zijn kwetsbaarheid, bedreiging en aanval.

Kwetsbaarheid is de mate van zwakte die inherent is aan elk netwerk en apparaat. Dit omvat routers, switches, desktops, servers en zelfs beveiligingsapparatuur.

Bedreigingen omvatten de mensen die geïnteresseerd en gekwalificeerd zijn om te profiteren van elke beveiligingszwakte. Van dergelijke personen kan worden verwacht dat ze voortdurend op zoek zijn naar nieuwe exploits en zwakheden.

Bedreigingen worden gerealiseerd door een verscheidenheid aan tools, scripts en programma’s om aanvallen uit te voeren op netwerken en netwerkapparaten. Meestal zijn de netwerkapparaten die worden aangevallen de eindpunten, zoals servers en desktopcomputers.

Er zijn drie primaire kwetsbaarheden of zwakke punten:

Technologisch

Zwakke punten in netwerkbeveiliging:
Zwakte van het TCP/IP-protocol
– Hypertext Transfer Protocol (HTTP), File Transfer Protocol (FTP) en Internet Control Message Protocol (ICMP) zijn inherent onveilig.
– Simple Network Management Protocol (SNMP) en Simple Mail Transfer Protocol (SMTP) zijn gerelateerd aan de inherent onveilige structuur waarop TCP is ontworpen.
Zwakte van het besturingssysteem
– Elk besturingssysteem heeft beveiligingsproblemen die moeten worden aangepakt.
– UNIX, Linux, Mac OS, Mac OS X, Windows Server 2012, Windows 7, Windows 8
– Ze zijn gedocumenteerd in het Computer Emergency Response Team (CERT) archieven op http://www.cert.org.
Zwakte van netwerkapparatuur
Verschillende soorten netwerkapparatuur, zoals routers, firewalls en switches, hebben beveiligingslekken die moeten worden herkend en waartegen moet worden beschermd. Hun zwakke punten zijn onder meer wachtwoordbeveiliging, gebrek aan authenticatie, routeringsprotocollen, en firewall gaten.
Beveiligingsproblemen – Technologisch

Configuratie

ConfiguratiezwakteHoe de zwakte wordt uitgebuit
Onbeveiligde gebruikersaccountsInformatie over gebruikersaccounts kan op een onveilige manier over het netwerk worden verzonden, waardoor gebruikersnamen en wachtwoorden worden blootgesteld aan snoopers.
Systeemaccounts met gemakkelijk te raden wachtwoordenDit veel voorkomende probleem is het resultaat van slecht geselecteerde en gemakkelijk te raden gebruikerswachtwoorden.
Onbeveiligde standaardinstellingen binnen productenVeel producten hebben standaardinstellingen die beveiligingslekken mogelijk maken.
Verkeerd geconfigureerde internetservicesEen veelvoorkomend probleem is het inschakelen van JavaScript in webbrowsers, waardoor aanvallen door middel van vijandig JavaScript mogelijk worden bij het openen van niet-vertrouwde sites. IIS, FTP en Terminal Services leveren ook problemen op.
Verkeerd geconfigureerde netwerkapparatuurFoutieve configuratie van de apparatuur zelf kan voor significante beveiligingsproblemen zorgen. Bijvoorbeeld, foutief geconfigureerde access lists, routeerprotocollen, of SNMP community strings kunnen ernstige beveiligingsgaten openen.
Beveiligingsproblemen – Configuratie

Veiligheidsbeleid

BeleidszwakteHoe de zwakte wordt uitgebuit
Gebrek aan geschreven beveiligingsbeleidEen ongeschreven beleid kan niet consequent worden toegepast of afgedwongen.
PolitiekPolitieke veldslagen en turfoorlogen kunnen het moeilijk maken om een ​​consistent veiligheidsbeleid te voeren.
Gebrek aan continuïteit van de authenticatieSlecht gekozen, gemakkelijk te kraken of standaardwachtwoorden kunnen onbevoegde toegang tot het netwerk mogelijk maken.
Logische toegangscontroles niet toegepastDoor onvoldoende controle en controle kunnen aanvallen en ongeoorloofd gebruik doorgaan, waardoor bedrijfsmiddelen verloren gaan. Dit kan resulteren in juridische stappen of ontslag tegen IT-technici, IT-management of zelfs de leiding van het bedrijf waardoor deze onveilige omstandigheden kunnen voortduren.
Software- en hardware-installatie en wijzigingen volgen het beleid nietOngeautoriseerde wijzigingen in de netwerktopologie of installatie van niet-goedgekeurde applicaties maken beveiligingsgaten
Een noodherstelplan bestaat nietHet ontbreken van een noodherstelplan zorgt voor chaos, paniek en verwarring wanneer iemand de onderneming aanvalt.

Alle drie deze kwetsbaarheden of zwakheden kunnen leiden tot verschillende aanvallen, waaronder aanvallen met kwaadaardige code en netwerkaanvallen.

11.2.2. Kwetsbaarheden en netwerkaanvallen

11.2.2.1. Virussen, wormen en Trojaanse paarden

Virussen

Een computervirus is een type malware dat zich verspreidt door een kopie van zichzelf in te voegen in en onderdeel te worden van een ander programma. Het verspreidt zich van de ene computer naar de andere en laat tijdens het reizen infecties achter. Virussen kunnen in ernst variëren van licht vervelende effecten tot beschadiging van gegevens of software en het veroorzaken van denial-of-service (DoS) -condities. Bijna alle virussen zijn gekoppeld aan een uitvoerbaar bestand, wat betekent dat het virus mogelijk aanwezig is op een systeem, maar niet actief is of zich kan verspreiden totdat een gebruiker het schadelijke hostbestand of programma opent of opent. Wanneer de hostcode wordt uitgevoerd, wordt de virale code ook uitgevoerd. Normaal gesproken blijft het hostprogramma functioneren nadat het is geïnfecteerd door het virus. Sommige virussen overschrijven echter andere programma’s met kopieën van zichzelf, waardoor het hostprogramma volledig wordt vernietigd. Virussen verspreiden zich wanneer de software of het document waaraan ze zijn gekoppeld, van de ene computer naar de andere wordt overgebracht via het netwerk, een schijf, het delen van bestanden of geïnfecteerde e-mailbijlagen.

Wormen

Computerwormen lijken op virussen doordat ze functionele kopieën van zichzelf repliceren en dezelfde soort schade kunnen veroorzaken. In tegenstelling tot virussen, die de verspreiding van een geïnfecteerd hostbestand vereisen, zijn wormen zelfstandige software en hebben ze geen hostprogramma of menselijke hulp nodig om zich te verspreiden. Om zich te verspreiden, misbruiken wormen een kwetsbaarheid op het doelsysteem of gebruiken ze een soort social engineering om gebruikers te misleiden om ze uit te voeren. Een worm komt een computer binnen via een kwetsbaarheid in het systeem en profiteert van de bestandstransport- of informatietransportfuncties op het systeem, waardoor het zonder hulp kan reizen.

Trojaanse paarden

Een Trojaans paard is een ander type malware dat is vernoemd naar het houten paard dat de Grieken gebruikten om Troje te infiltreren. Het is een schadelijk stukje software dat er legitiem uitziet. Gebruikers worden meestal misleid om het op hun systemen te laden en uit te voeren. Nadat het is geactiveerd, kan het een willekeurig aantal aanvallen op de host uitvoeren, van het irriteren van de gebruiker (vensters openen of van bureaublad veranderen) tot het beschadigen van de host (bestanden verwijderen, gegevens stelen of andere malware, zoals virussen, activeren en verspreiden) . Van Trojaanse paarden is ook bekend dat ze achterdeuren creëren om kwaadwillende gebruikers toegang tot het systeem te geven.

In tegenstelling tot virussen en wormen, planten Trojaanse paarden zich niet voort door andere bestanden te infecteren, noch repliceren ze zichzelf. Trojaanse paarden moeten zich verspreiden via gebruikersinteractie, zoals het openen van een e-mailbijlage of het downloaden en uitvoeren van een bestand van internet.

11.2.2.2. Verkenningsaanvallen

Naast aanvallen met kwaadaardige code is het ook mogelijk dat netwerken ten prooi vallen aan verschillende netwerkaanvallen. Netwerkaanvallen kunnen in drie hoofdcategorieën worden ingedeeld:

  • Verkenningsaanvallen – de ongeautoriseerde detectie en mapping van systemen, services of kwetsbaarheden
  • Toegangsaanvallen – de ongeautoriseerde manipulatie van gegevens, systeemtoegang of gebruikersprivileges
  • Denial of service – het uitschakelen of beschadigen van netwerken, systemen of services

Externe aanvallers kunnen internethulpmiddelen gebruiken, zoals de hulpprogramma’s nslookup en whois, om eenvoudig de IP-adresruimte te bepalen die aan een bepaald bedrijf of entiteit is toegewezen. Nadat de IP-adresruimte is bepaald, kan een aanvaller de openbaar beschikbare IP-adressen pingen om de adressen te identificeren die actief zijn. Om deze stap te helpen automatiseren, kan een aanvaller een ping-sweep-tool gebruiken, zoals fping of gping, die systematisch alle netwerkadressen in een bepaald bereik of subnet pingt. Dit is vergelijkbaar met het doornemen van een gedeelte van een telefoonboek en elk nummer bellen om te zien wie er opneemt.

Internet queries
Ping Sweeps
Port Scans
Packet Sniffers

11.2.2.3. Toegangsaanvallen

Toegangsaanvallen maken gebruik van bekende kwetsbaarheden in authenticatieservices, FTP-services en webservices om toegang te krijgen tot webaccounts, vertrouwelijke databases en andere gevoelige informatie. Een toegangsaanval stelt een persoon in staat om ongeautoriseerd toegang te krijgen tot informatie die hij niet mag inzien. Toegangsaanvallen kunnen in vier typen worden ingedeeld. Een van de meest voorkomende soorten toegangsaanvallen is de wachtwoordaanval. Wachtwoordaanvallen kunnen worden geïmplementeerd met behulp van een packet sniffer om gebruikersaccounts en wachtwoorden op te leveren die als leesbare tekst worden verzonden. Wachtwoordaanvallen kunnen ook verwijzen naar herhaalde pogingen om in te loggen op een gedeelde bron, zoals een server of router, om een gebruikersaccount, wachtwoord of beide te identificeren. Deze herhaalde pogingen worden woordenboekaanvallen of brute-force-aanvallen genoemd.

Password Attack
Trust exploitation
Port Redirection
Man-in-the-Middle attack

11.2.2.4. DoS Aanvallen

Denial of Service

DoS-aanvallen zijn de meest gepubliceerde vorm van aanval en ook een van de moeilijkst te elimineren. Zelfs binnen de aanvallersgemeenschap worden DoS-aanvallen als triviaal beschouwd en als een slechte vorm beschouwd, omdat ze zo weinig moeite kosten om uit te voeren. Maar vanwege hun eenvoudige implementatie en mogelijk aanzienlijke schade, verdienen DoS-aanvallen speciale aandacht van beveiligingsbeheerders.

DoS-aanvallen kunnen vele vormen aannemen. Uiteindelijk voorkomen ze dat geautoriseerde mensen een service gebruiken door systeembronnen te verbruiken.

Bron overbelastingOnjuist opgemaakte gegevens
Schijfruimte, bandbreedte, buffersExtra grote pakketten zoals de ping of death
Ping floods zoals smurfOverlappende gegevens zoals winuke
Pakketstormen zoals UDP-bommen en versplinterenOnverwerkte gegevens zoals teardrop
Ping of Death
SYN Flood
DDOS
Smurf Attack

11.2.3. Netwerkaanval beperken

11.2.3.1. Backup, Upgrade, Update enPatch

Antivirussoftware kan de meeste virussen en veel Trojaans paard-toepassingen detecteren en voorkomen dat ze zich in het netwerk verspreiden. Antivirussoftware kan worden ingezet op gebruikersniveau en op netwerkniveau.

Op de hoogte blijven van de laatste ontwikkelingen in dit soort aanvallen kan ook leiden tot een effectievere verdediging tegen deze aanvallen. Als er nieuwe virus- of Trojan-applicaties worden uitgebracht, moeten bedrijven ook op de hoogte blijven van de nieuwste versies van antivirussoftware.

Het beperken van wormaanvallen vereist zorgvuldigheid van het systeem- en netwerkbeheerderspersoneel. Hieronder volgen de aanbevolen stappen om wormaanvallen te beperken:

  • Inperking – Houd de verspreiding van de worm binnen het netwerk tegen. Compartimenteer niet-geïnfecteerde delen van het netwerk.
  • Inoculatie – Begin met het patchen van alle systemen en, indien mogelijk, scan op kwetsbare systemen.
  • Quarantaine – Spoor elke geïnfecteerde machine in het netwerk op. Ontkoppel, verwijder of blokkeer geïnfecteerde machines van het netwerk.
  • Behandeling – Reinig en patch elk geïnfecteerd systeem. Sommige wormen vereisen mogelijk volledige herinstallaties van het kernsysteem om het systeem schoon te maken.

De meest effectieve manier om een ​​wormaanval te beperken, is door beveiligingsupdates te downloaden van de leverancier van het besturingssysteem en alle kwetsbare systemen te patchen. Dit is moeilijk met ongecontroleerde gebruikerssystemen in het lokale netwerk. Het beheer van talrijke systemen omvat het creëren van een standaardsoftwarebeeld (besturingssysteem en geaccrediteerde applicaties die zijn geautoriseerd voor gebruik op clientsystemen) die wordt geïmplementeerd op nieuwe of geüpgradede systemen. Beveiligingsvereisten veranderen echter en op reeds geïmplementeerde systemen moeten mogelijk bijgewerkte beveiligingspatches worden geïnstalleerd.

Een oplossing voor het beheer van kritieke beveiligingspatches is het creëren van een centrale patch-server waarmee alle systemen na een bepaalde tijd moeten communiceren, zoals weergegeven in de afbeelding. Alle patches die niet op een host worden toegepast, worden automatisch gedownload van de patch-server en geïnstalleerd zonder tussenkomst van de gebruiker.

11.2.3.2. Authenticatie, Autorisatie en Accounting

Verificatie, autorisatie en accounting (AAA, of “triple A”) netwerkbeveiligingsservices bieden het primaire kader voor het instellen van toegangscontrole op een netwerkapparaat. AAA is een manier om te controleren wie toegang heeft tot een netwerk (authenticatie), wat ze kunnen doen terwijl ze daar zijn (autoriseren), en om de acties te bekijken die ze uitvoeren terwijl ze toegang krijgen tot het netwerk (boekhouding). AAA biedt een hogere mate van schaalbaarheid dan de console, AUX, VTY en alleen geprivilegieerde EXEC-verificatieopdrachten.

Authenticatie

Gebruikers en beheerders moeten bewijzen dat ze zijn wie ze zeggen te zijn. Authenticatie kan tot stand worden gebracht met behulp van gebruikersnaam- en wachtwoordcombinaties, uitdagings- en antwoordvragen, tokenkaarten en andere methoden. Bijvoorbeeld: “Ik ben gebruiker‘ student ’. Ik ken het wachtwoord om te bewijzen dat ik een ‘student’ van de gebruiker ben. “

In een klein netwerk wordt vaak lokale authenticatie gebruikt. Met lokale authenticatie onderhoudt elk apparaat zijn eigen database met gebruikersnaam / wachtwoordcombinaties. Als er echter meer dan een paar gebruikersaccounts in een lokale apparaatdatabase zijn, wordt het beheer van die gebruikersaccounts complex. Bovendien, naarmate het netwerk groeit en er meer apparaten aan het netwerk worden toegevoegd, wordt lokale authenticatie moeilijk te onderhouden en niet schaalbaar. Als er bijvoorbeeld 100 netwerkapparaten zijn, moeten alle gebruikersaccounts aan alle 100 apparaten worden toegevoegd.

Voor grotere netwerken is externe authenticatie een meer schaalbare oplossing. Met externe authenticatie kunnen alle gebruikers worden geauthenticeerd via een externe netwerkserver. De twee meest populaire opties voor externe authenticatie van gebruikers zijn RADIUS en TACACS +:

  • RADIUS is een open standaard met een laag gebruik van CPU-bronnen en geheugen. Het wordt gebruikt door een reeks netwerkapparaten, zoals switches, routers en draadloze apparaten.
  • TACACS + is een beveiligingsmechanisme dat modulaire authenticatie, autorisatie en boekhoudservices mogelijk maakt. Het gebruikt een TACACS + daemon die op een beveiligingsserver draait.

Autorisatie

Nadat de gebruiker is geverifieerd, bepalen autorisatieservices tot welke bronnen de gebruiker toegang heeft en tot welke bewerkingen de gebruiker mag uitvoeren. Een voorbeeld is: “Gebruiker‘ student ’heeft alleen toegang tot hostserver XYZ via Telnet.”

Verificatie, autorisatie en accounting (AAA, of “triple A”) netwerkbeveiligingsservices bieden het primaire kader voor het instellen van toegangscontrole op een netwerkapparaat. AAA is een manier om te controleren wie toegang heeft tot een netwerk (authenticatie), wat ze kunnen doen terwijl ze daar zijn (autoriseren), en om de acties te bekijken die ze uitvoeren terwijl ze toegang krijgen tot het netwerk (boekhouding). AAA biedt een hogere mate van schaalbaarheid dan de console, AUX, VTY en alleen geprivilegieerde EXEC-verificatieopdrachten.

Accounting

De boekhouding registreert wat de gebruiker doet, inclusief waartoe toegang wordt verkregen, de hoeveelheid tijd dat de bron wordt geopend en eventuele wijzigingen die zijn aangebracht. De boekhouding houdt bij hoe netwerkbronnen worden gebruikt. Een voorbeeld is: “Gebruiker‘ student ’heeft gedurende 15 minuten toegang tot hostserver XYZ via Telnet.”

11.2.3.3. Firewalls

Naast het beschermen van individuele computers en servers die op het netwerk zijn aangesloten, is het belangrijk om het verkeer van en naar het netwerk te beheren.

Een firewall is een van de meest effectieve beveiligingshulpmiddelen die beschikbaar zijn om interne netwerkgebruikers te beschermen tegen externe bedreigingen. Een firewall bevindt zich tussen twee of meer netwerken en controleert het verkeer tussen deze netwerken en helpt ook om ongeautoriseerde toegang te voorkomen. Firewallproducten gebruiken verschillende technieken om te bepalen wat de toegang tot een netwerk is toegestaan ​​of geweigerd. Deze technieken zijn:

  • Pakketfiltering – Voorkomt of staat toegang toe op basis van IP- of MAC-adressen.
  • Applicatiefiltering – Voorkomt of staat toegang toe door specifieke applicatietypen op basis van poortnummers.
  • URL-filtering – Voorkomt of staat toegang toe tot websites op basis van specifieke URL’s of trefwoorden.
  • Stateful pakketinspectie (SPI) – Inkomende pakketten moeten legitieme reacties zijn op verzoeken van interne hosts. Ongevraagde pakketten worden geblokkeerd, tenzij specifiek toegestaan. SPI kan ook de mogelijkheid bevatten om specifieke soorten aanvallen, zoals denial of service (DoS), te herkennen en uit te filteren.

Firewall-producten ondersteunen mogelijk een of meer van deze filtermogelijkheden. Bovendien voeren firewalls vaak Network Address Translation (NAT) uit. NAT vertaalt een intern IP-adres of een groep IP-adressen in een extern, openbaar IP-adres dat over het netwerk wordt verzonden. Hierdoor kunnen interne IP-adressen worden verborgen voor externe gebruikers.

Cisco Security Appliances
Server-gebaseerde firewall
Linksys Wireless Router met geintegreerde firewall
Persoonlijke firewall

Firewallproducten worden in verschillende vormen geleverd, zoals weergegeven in de afbeelding.

  • Op apparaten gebaseerde firewalls – Een apparaatgebaseerde firewall is een firewall die is ingebouwd in een speciaal hardwareapparaat dat bekend staat als een beveiligingsapparaat.
  • Servergebaseerde firewalls – Een servergebaseerde firewall bestaat uit een firewalltoepassing die draait op een netwerkbesturingssysteem (NOS) zoals UNIX of Windows.
  • Geïntegreerde firewalls – Een geïntegreerde firewall wordt geïmplementeerd door firewallfunctionaliteit toe te voegen aan een bestaand apparaat, zoals een router.
  • Persoonlijke firewalls – Persoonlijke firewalls bevinden zich op hostcomputers en zijn niet ontworpen voor LAN-implementaties. Ze zijn mogelijk standaard beschikbaar via het besturingssysteem of kunnen afkomstig zijn van een externe leverancier.

11.2.3.4. Endpoint Security

Een beveiligd netwerk is zo sterk als de zwakste schakel. De opvallende bedreigingen die in de media het vaakst worden besproken, zijn externe bedreigingen, zoals internetwormen en DoS-aanvallen. Maar het beveiligen van het interne netwerk is net zo belangrijk als het beveiligen van de perimeter van een netwerk. Het interne netwerk bestaat uit netwerkeindpunten, waarvan sommige in de afbeelding worden weergegeven. Een eindpunt, of host, is een individueel computersysteem of apparaat dat als netwerkclient fungeert. Veelvoorkomende eindpunten zijn laptops, desktops, servers, smartphones en tablets. Als gebruikers geen beveiliging toepassen met hun endpoint-apparaten, kan geen enkele hoeveelheid veiligheidsmaatregelen een veilig netwerk garanderen.

Het beveiligen van endpoint-apparaten is een van de meest uitdagende taken van een netwerkbeheerder, omdat het de menselijke natuur betreft. Een bedrijf moet goed gedocumenteerd beleid hebben en werknemers moeten op de hoogte zijn van deze regels. Medewerkers moeten worden getraind in het juiste gebruik van het netwerk. Beleid omvat vaak het gebruik van antivirussoftware en het voorkomen van hostinbraken. Meer uitgebreide oplossingen voor eindpuntbeveiliging zijn afhankelijk van netwerktoegangscontrole.

Endpoint-beveiliging vereist ook beveiliging van Layer 2-apparaten in de netwerkinfrastructuur om Layer 2-aanvallen te voorkomen, zoals MAC-adres spoofing, MAC-adrestabeloverloopaanvallen en LAN-stormaanvallen. Dit staat bekend als het beperken van aanvallen.

11.2.4. Securing Devices

11.2.4.1. Inleiding tot het beveiligen van apparaten

Onderdeel van netwerkbeveiliging is het beveiligen van daadwerkelijke apparaten, inclusief eindapparaten en tussenliggende apparaten, zoals netwerkapparaten.

Wanneer een nieuw besturingssysteem op een apparaat wordt geïnstalleerd, worden de beveiligingsinstellingen op de standaardwaarden ingesteld. In de meeste gevallen is dit beveiligingsniveau onvoldoende. Voor Cisco-routers kan de Cisco AutoSecure-functie worden gebruikt om het systeem te beveiligen, zoals beschreven in de afbeelding. Er zijn enkele eenvoudige stappen die moeten worden genomen die van toepassing zijn op de meeste besturingssystemen: Standaardgebruikersnamen en wachtwoorden moeten onmiddellijk worden gewijzigd Toegang tot systeembronnen moet worden beperkt tot alleen de personen die geautoriseerd zijn om deze bronnen te gebruiken. Onnodige services en toepassingen moeten worden uitgeschakeld en verwijderd, indien mogelijk.

Alle apparaten moeten worden bijgewerkt met beveiligingspatches zodra deze beschikbaar zijn. Apparaten die door de fabrikant zijn verzonden, hebben vaak een tijdje in een magazijn gestaan ​​en niet de meest up-to-date patches zijn geïnstalleerd. Het is belangrijk om voorafgaand aan de implementatie alle software bij te werken en eventuele beveiligingspatches te installeren.

11.2.4.1. Wachtwoorden

Om netwerkapparaten te beschermen, is het belangrijk om sterke wachtwoorden te gebruiken. Hier volgen standaardrichtlijnen: Gebruik een wachtwoord met een lengte van minimaal 8 tekens, bij voorkeur 10 of meer tekens. Een langer wachtwoord is een beter wachtwoord. Maak wachtwoorden complex. Gebruik een combinatie van hoofdletters en kleine letters, cijfers, symbolen en spaties, indien toegestaan ​​Vermijd wachtwoorden op basis van herhaling, veelgebruikte woordenboekwoorden, letter- of cijferreeksen, gebruikersnamen, namen van familieleden of huisdier, biografische informatie, zoals geboortedata, ID-nummers , vooroudernamen of andere gemakkelijk identificeerbare stukjes informatie. Opzettelijk een wachtwoord verkeerd spellen. Bijvoorbeeld: Smith = Smyth = 5mYth of Security = 5ecur1ty. Wijzig wachtwoorden vaak. Als een wachtwoord onbewust is gecompromitteerd, is de kans voor de aanvaller om het wachtwoord te gebruiken beperkt. Schrijf wachtwoorden niet op en laat ze achter op voor de hand liggende plaatsen, zoals op het bureau of de monitor.

Op Cisco-routers worden voorloopspaties voor wachtwoorden genegeerd, maar spaties na het eerste teken worden niet genegeerd. Daarom is een methode om een ​​sterk wachtwoord te maken, door de spatiebalk in het wachtwoord te gebruiken en een zin te maken die uit veel woorden bestaat. Dit wordt een wachtwoordzin genoemd. Een wachtwoordzin is vaak gemakkelijker te onthouden dan een eenvoudig wachtwoord. Het is ook langer en moeilijker te raden.

Beheerders moeten ervoor zorgen dat er in het netwerk sterke wachtwoorden worden gebruikt. Een manier om dit te bereiken is door dezelfde “brute force” -aanvalprogramma’s te gebruiken die aanvallers gebruiken om de wachtwoordsterkte te verifiëren.

11.2.4.3. Basisbeveiligingspraktijken

Bij het implementeren van apparaten is het belangrijk om alle beveiligingsrichtlijnen van de organisatie te volgen. Dit omvat het benoemen van apparaten op een manier die eenvoudige documentatie en tracking mogelijk maakt, maar ook een zekere vorm van beveiliging behoudt. Het is niet verstandig om teveel informatie over het gebruik van het apparaat in de hostnaam te geven. Er zijn veel andere basisbeveiligingsmaatregelen die moeten worden genomen.

Router(config)# service password-encryption
Router(config)# security password min-length 8
Router(config)# login block-for 120 attempts 3 within 60
Router(config)# line vty 0 4
Router(config)# exec-timeout 10
Router(config)# end
Router# show running-config
-more-
!
line vty 0 4
 password 7 03095A0F034F34F38435B49150A1819
 exec-timeout 10
 login

Extra wachtwoordbeveiliging

Sterke wachtwoorden zijn slechts zo nuttig als geheim. Er zijn verschillende stappen die kunnen worden genomen om ervoor te zorgen dat wachtwoorden geheim blijven. Het gebruik van de algemene configuratieopdracht service password-encryption voorkomt dat onbevoegde personen wachtwoorden in leesbare tekst in het configuratiebestand bekijken, zoals weergegeven in de afbeelding. Deze opdracht zorgt voor de versleuteling van alle wachtwoorden die niet versleuteld zijn.

Om ervoor te zorgen dat alle geconfigureerde wachtwoorden een minimum van een bepaalde lengte hebben, gebruikt u bovendien de opdracht security passwords min-length in de algemene configuratiemodus.

Een andere manier waarop hackers wachtwoorden leren, is simpelweg door middel van brute-force aanvallen, waarbij ze meerdere wachtwoorden proberen totdat er een werkt. Het is mogelijk om dit type aanval te voorkomen door inlogpogingen op het apparaat te blokkeren als een bepaald aantal fouten optreedt binnen een bepaalde tijd.

Router(config)# login block-for 120 attempts 3 within 60

Deze opdracht blokkeert inlogpogingen gedurende 120 seconden als er binnen 60 seconden drie mislukte inlogpogingen zijn.

Banners

Een bannerbericht is vergelijkbaar met een verboden toegangsbord. Ze zijn belangrijk om iedereen die op ongepaste wijze toegang heeft tot het systeem, voor de rechtbank te kunnen vervolgen. Zorg ervoor dat bannerberichten voldoen aan het beveiligingsbeleid van de organisatie.

Router(config)# banner motd #message#

Time-out voor Exec

Een andere aanbeveling is het instellen van time-outs voor adminstratie. Door de exec-time-out in te stellen, vertelt u het Cisco-apparaat automatisch de verbinding met gebruikers op een lijn te verbreken nadat ze inactief zijn geweest gedurende de duur van de exec-time-outwaarde. Exec-time-outs kunnen worden geconfigureerd op console-, vty- en aux-poorten.

Router(config)# line vty 0 4
Router(config-line )# exec-timeout 10

Met deze opdracht wordt de verbinding tussen gebruikers verbroken na 10 minuten.

11.2.4.4. SSH inschakelen

Toegang op afstand via SSH

Het oude protocol om apparaten op afstand te beheren is Telnet. Telnet is niet beveiligd. Gegevens in een Telnet-pakket worden onversleuteld verzonden. Met behulp van een tool als Wireshark is het mogelijk dat iemand een Telnet-sessie ‘snuffelt’ en wachtwoordinformatie verkrijgt. Om deze reden wordt het ten zeerste aanbevolen om SSH op apparaten in te schakelen voor veilige externe toegang. Het is mogelijk om een ​​Cisco-apparaat te configureren om SSH te ondersteunen in vier stappen, zoals weergegeven in de afbeelding.

  • Stap 1. Zorg ervoor dat de router een unieke hostnaam heeft en configureer vervolgens de IP-domeinnaam van het netwerk met de opdracht ip domeinnaam domeinnaam in de globale configuratiemodus.
  • Stap 2. Er moeten geheime sleutels in één richting worden gegenereerd voor een router om SSH-verkeer te versleutelen. Om de SSH-sleutel te genereren, gebruikt u de opdracht crypto key generate rsa general-keys modulus modulus-size in globale configuratiemodus. De specifieke betekenis van de verschillende onderdelen van deze opdracht is complex en valt buiten het bereik van deze cursus, maar houd er voorlopig rekening mee dat de modulus de grootte van de sleutel bepaalt en kan worden geconfigureerd van 360 bits tot 2048 bits. Hoe groter de modulus, hoe veiliger de sleutel, maar hoe langer het duurt om informatie te versleutelen en te ontsleutelen. De minimaal aanbevolen moduluslengte is 1024 bits.
    Router(config)# crypto key generate rsa general-keys modulus 1024
  • Stap 3. Maak een gebruikersnaam voor de lokale database met de globale configuratie opdracht username name secret secret.
  • Stap 4. Schakel vty inkomende SSH-sessies in met behulp van de line vty-opdrachten login local and transport input ssh.

De SSH-service van de router is nu toegankelijk met behulp van SSH-clientsoftware.

11.3. Basis netwerk perfomantie

11.3.1. Ping

11.3.1.1. Ping resultaten interpreteren

Nadat het netwerk is geïmplementeerd, moet een netwerkbeheerder de netwerkconnectiviteit kunnen testen om er zeker van te zijn dat het correct werkt. Bovendien is het een goed idee dat de netwerkbeheerder het netwerk documenteert

Het Ping-commando

Het gebruik van de ping-opdracht is een effectieve manier om de connectiviteit te testen. De test wordt vaak het testen van de protocolstapel genoemd, omdat de ping-opdracht van laag 3 van het OSI-model naar laag 2 en vervolgens laag 1 gaat. Ping gebruikt het ICMP-protocol om te controleren op connectiviteit.

De ping-opdracht geeft niet altijd de aard van een probleem aan, maar het kan helpen om de oorzaak van het probleem te identificeren, een belangrijke eerste stap bij het oplossen van een netwerkstoring.

De ping-opdracht biedt een methode voor het controleren van de protocolstack en IPv4-adresconfiguratie op een host, en voor het testen van de connectiviteit met lokale of externe bestemmingshosts, zoals weergegeven in de afbeelding. Er zijn aanvullende tools die meer informatie kunnen bieden dan ping, zoals Telnet of Trace, die later in meer detail zullen worden besproken.

IOS-ping-indicatoren

Een ping die wordt afgegeven door de IOS zal een van de verschillende indicaties opleveren voor elke ICMP-echo die is verzonden. De meest voorkomende indicatoren zijn :

  • ! – geeft ontvangst van een ICMP-echo antwoordbericht aan
  • . – geeft een tijd aan die is verstreken tijdens het wachten op een ICMP-echo antwoordbericht
  • U – er is een ICMP-bericht ontvangen dat niet bereikbaar is

De “!” (uitroepteken) geeft aan dat de ping met succes is voltooid en verifieert de Layer 3-connectiviteit.

De “.” (punt) kan problemen in de communicatie aangeven. Het kan erop wijzen dat er ergens langs het pad een verbindingsprobleem is opgetreden. Het kan ook aangeven dat een router langs het pad geen route naar de bestemming had en geen ICMP-bestemmingsbericht heeft verzonden dat niet bereikbaar was. Het kan ook aangeven dat ping werd geblokkeerd door apparaatbeveiliging.

De “U” geeft aan dat een router langs het pad geen route naar het bestemmingsadres had of dat het pingverzoek werd geblokkeerd en beantwoord met een ICMP-bericht dat niet bereikbaar was.

De Loopback testen

De ping-opdracht wordt gebruikt om de interne IP-configuratie op de lokale host te verifiëren. Bedenk dat deze test wordt uitgevoerd door het ping-commando te gebruiken op een gereserveerd adres dat de loopback wordt genoemd (127.0.0.1). Dit verifieert de juiste werking van de protocolstack van de netwerklaag naar de fysieke laag – en terug – zonder daadwerkelijk een signaal op de media te zetten.

Ping-opdrachten worden ingevoerd op een opdrachtregel.

Gebruik de volgende syntaxis om de loopback te pingen:

C:\ ping 127.0.0.1
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Ping statistics for 127.0.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

Het resultaat geeft aan dat vier testpakketten van 32 bytes zijn verzonden en teruggestuurd door host 127.0.0.1 in een tijd van minder dan 1 ms. TTL staat voor Time-to-Live en definieert het aantal hops dat het ping-pakket nog heeft voordat het wordt verwijderd.

10.3.1.2. Extended Ping

De Cisco IOS biedt een “uitgebreide” modus van het ping-commando. Deze modus wordt geactiveerd door ping in te typen in geprivilegieerde EXEC-modus, zonder een bestemmings-IP-adres. Er wordt dan een reeks prompts weergegeven zoals in het onderstaande voorbeeld. Door op Enter te drukken, worden de aangegeven standaardwaarden geaccepteerd. Het onderstaande voorbeeld illustreert hoe het bronadres voor een ping moet worden geforceerd 10.1.1.1 (zie R2 in de afbeelding); het bronadres voor een standaard ping zou 209.165.200.226 zijn. Door dit te doen, kan de netwerkbeheerder op afstand verifiëren (vanaf R2) dat R1 de route 10.1.1.0/24 in zijn routeringstabel heeft.

R2# ping

Protocol [ip]:

Target IP address: 192.168.10.1

Repeat count [5]:

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]: y

Source address or interface: 10.1.1.1

Type of service [0]:

Set DF bit in IP header? [no]:

Validate reply data? [no]:

Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]:

Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 36/97/132 ms

Door een langere time-outperiode in te voeren dan de standaard, kunnen mogelijke latentieproblemen worden gedetecteerd. Als de pingtest succesvol is met een langere waarde, bestaat er een verbinding tussen de hosts, maar kan latentie een probleem zijn op het netwerk.

Merk op dat het invoeren van “y” bij de prompt “Uitgebreide opdrachten” meer opties biedt die handig zijn bij het oplossen van problemen.

11.3.1.3. Network Baseline

Een van de meest effectieve tools voor het bewaken en oplossen van netwerkprestaties is het vaststellen van een netwerkbasislijn. Een baseline is een proces om het netwerk met regelmatige tussenpozen te bestuderen om er zeker van te zijn dat het netwerk naar behoren werkt. Een netwerkbasislijn is meer dan een enkel rapport waarin de gezondheid van het netwerk op een bepaald moment in de tijd wordt beschreven. Het creëren van een effectieve basislijn voor netwerkprestaties wordt bereikt over een bepaalde periode. Het meten van prestaties op verschillende tijden en belastingen zal helpen om een ​​beter beeld te krijgen van de algehele netwerkprestaties.

De uitvoer die is afgeleid van netwerkopdrachten kan gegevens bijdragen aan de netwerkbasislijn.

Een methode om een ​​baseline te starten, is door de resultaten van een uitgevoerde ping-, trace- of andere relevante opdracht in een tekstbestand te kopiëren en te plakken. Deze tekstbestanden kunnen worden voorzien van een tijdstempel met de datum en worden opgeslagen in een archief om later terug te vinden.

Een effectief gebruik van de opgeslagen informatie is om de resultaten in de tijd te vergelijken. Denk hierbij aan foutmeldingen en de responstijden van host tot host. Als de responstijden aanzienlijk toenemen, kan er een latentieprobleem zijn dat moet worden aangepakt.

Het belang van het maken van documentatie kan niet genoeg worden benadrukt. Verificatie van host-to-host-connectiviteit, latentieproblemen en oplossingen van geïdentificeerde problemen kunnen een netwerkbeheerder helpen om een ​​netwerk zo efficiënt mogelijk te laten draaien.

Bedrijfsnetwerken moeten uitgebreide basislijnen hebben; uitgebreider dan we in deze cursus kunnen beschrijven. Er zijn professionele softwaretools beschikbaar voor het opslaan en onderhouden van basisinformatie. In deze cursus behandelen we slechts enkele basistechnieken en bespreken we het doel van basislijnen.

FEB 8, 2013 08:14:43

C:\ ping 10.66.254.159
Pinging 10.66.254.159 with 32 bytes of data:
Reply from 10.66.234.159: bytes=32 time<1ms TTL=128
Reply from 10.66.234.159: bytes=32 time<1ms TTL=128
Reply from 10.66.234.159: bytes=32 time<1ms TTL=128
Reply from 10.66.234.159: bytes=32 time<1ms TTL=128
Ping statistics for 10.66.254.159:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-secons:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

MAR 17, 2013 14:41:06

C:\ ping 10.66.254.159
Pinging 10.66.254.159 with 32 bytes of data:
Reply from 10.66.234.159: bytes=32 time<6ms TTL=128
Reply from 10.66.234.159: bytes=32 time<6ms TTL=128
Reply from 10.66.234.159: bytes=32 time<6ms TTL=128
Reply from 10.66.234.159: bytes=32 time<6ms TTL=128
Ping statistics for 10.66.254.159:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-secons:
    Minimum = 6ms, Maximum = 6ms, Average = 6ms

11.3.2. Tracert

11.3.2.1. Tracert berichten interpreteren

Een tracering retourneert een lijst met hops terwijl een pakket door een netwerk wordt gerouteerd. De vorm van de opdracht hangt af van waar de opdracht wordt gegeven. Gebruik tracert wanneer u de tracering vanaf een Windows-computer uitvoert. Gebruik traceroute bij het uitvoeren van de tracering vanaf een router-CLI.

Net als ping-opdrachten worden trace-opdrachten ingevoerd in de opdrachtregel en nemen ze een IP-adres als argument.

Ervan uitgaande dat de opdracht wordt verzonden vanaf een Windows-computer, gebruiken we de tracert-vorm

C:\> tracert 10.1.0.2

Tracing route to 10.1.0.2 over a maximum of 30 hops

1 2 ms 2 ms 2 ms 10.0.0.254
2 * * * Request timed out.
3 * * * Request timed out.
4 ^C

De enige succesvolle reactie was van de gateway op router A. Traceerverzoeken naar de volgende hop hadden een time-out, wat betekent dat de router van de volgende hop niet reageerde. De traceerresultaten geven aan dat de storing daarom in het internetwerk buiten het LAN zit.

11.3.3. Show opdrachten

11.3.3.1. Algemene show opdrachten opnieuw bekeken

De Cisco IOS CLI-showopdrachten geven relevante informatie weer over de configuratie en bediening van het apparaat.

Netwerktechnici gebruiken op grote schaal show-opdrachten voor het bekijken van configuratiebestanden, het controleren van de status van apparaatinterfaces en -processen en het verifiëren van de operationele status van het apparaat. De show-opdrachten zijn beschikbaar, ongeacht of het apparaat is geconfigureerd met de CLI of Cisco Configuration Professional.

De status van bijna elk proces of elke functie van de router kan worden weergegeven met een show-commando. Enkele van de meer populaire show-commando’s zijn:

show running-config
show interfaces
show arp
show ip route
show protocols
show version

11.3.3.2. Router instellingen bekijken met de show version opdracht

Nadat het opstartconfiguratiebestand is geladen en de router succesvol is opgestart, kan de opdracht show version worden gebruikt om enkele van de basishardware- en softwarecomponenten die tijdens het opstartproces worden gebruikt, te verifiëren en problemen op te lossen. De uitvoer van de opdracht show version omvat:

  • De Cisco IOS-softwareversie die wordt gebruikt.
  • De versie van de bootstrap-software van het systeem, opgeslagen in het ROM-geheugen dat in eerste instantie werd gebruikt om de router op te starten.
  • De volledige bestandsnaam van de Cisco IOS-image en waar de bootstrap programma heeft het gevonden.
  • Het type CPU op de router en hoeveelheid RAM. Het kan nodig zijn om de hoeveelheid RAM te upgraden bij het upgraden van de Cisco IOS-software.
  • Het aantal en type fysieke interfaces op de router.
  • De hoeveelheid NVRAM. NVRAM wordt gebruikt om het opstartconfiguratiebestand op te slaan.
  • De hoeveelheid flashgeheugen op de router. Het kan nodig zijn om de hoeveelheid flash te upgraden bij het upgraden van de Cisco IOS-software.
  • De momenteel geconfigureerde waarde van het softwareconfiguratieregister in hexadecimaal.

Het configuratieregister vertelt de router hoe hij moet opstarten. De fabrieksinstelling voor het configuratieregister is bijvoorbeeld 0x2102. Deze waarde geeft aan dat de router probeert een Cisco IOS-software-image te laden vanuit Flash en het opstartconfiguratiebestand laadt vanuit NVRAM. Het is mogelijk om het configuratieregister te wijzigen en daarom te wijzigen waar de router naar de Cisco IOS-afbeelding en het opstartconfiguratiebestand zoekt tijdens het opstartproces. Als er een tweede waarde tussen haakjes staat, geeft dit de waarde van het configuratieregister aan die moet worden gebruikt tijdens de volgende herlaadbeurt van de router.

11.3.3.3. Switch instellingen bekijken met het show version commando

De opdracht show version op een switch geeft informatie weer over de momenteel geladen softwareversie, samen met hardware- en apparaatinformatie. Een deel van de informatie die door deze opdracht wordt weergegeven, is:

  • Software version – IOS software version
  • Bootstrap version – Bootstrap version
  • System up-time – Time since last reboot
  • System restart info – Method of restart (e.g., power cycle, crash)
  • Software image name – IOS filename
  • Switch platform and processor type – Model number and processor type
  • Memory type (shared/main) – Main processor RAM and shared packet I/O buffering
  • Hardware interfaces – Interfaces available on the switch
  • Configuration register – Sets bootup specifications, console speed setting, and related parameters.

11.3.4. Host and IOS Commands

11.3.4.1. ipconfig opdracht opties

Het IP-adres van de standaardgateway van een host kan worden bekeken door de opdracht ipconfig op de opdrachtregel van een Windows-computer te geven.

C:\ipconfig
Windows IP Configuration
Ethernet adapter Local Area Connection:
        Connection-specific DNS suffix  . :
        IP Address. . . . . . . . . . . . : 192.168.1.2
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Gateway . . . . . . . . . . . . . : 192.168.1.254

Een hulpmiddel om het MAC-adres van onze computer te onderzoeken is ipconfig /all. Het MAC-adres van de computer wordt nu weergegeven samen met een aantal details over de Layer 3-adressering van het apparaat. Gebruik deze opdracht.

C:\ipconfig
Ethernet adapter Local Area Connection:
        Connection-specific DNS suffix  . : example.com
        Description . . . . . . . . . . . : Intel(R)
        PRO/Wireless 3945ABG Network Connection
        Physical Address. . . . . . . . . : 00-18-DE-C7-F3-FB
        DHCP Enabled. . . . . . . . . . . : Yes
        Autoconfiguration Enabled . . . . : Yes
        IP Address. . . . . . . . . . . . : 10.2.3.4
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 10.2.3.254
        DHCP Server . . . . . . . . . . . : 10.2.3.69
        DNS Servers . . . . . . . . . . . : 192.168.226.120
        Lease Obtained. . . . . . . . . . : Thurday, May 03, 2007 3:47:51 PM
        Lease Expires . . . . . . . . . . : Friday, May 04, 2007 6:57:11 AM

Bovendien kan de fabrikant van de netwerkinterface in de computer worden geïdentificeerd via het OUI-gedeelte van het MAC-adres. Dit kan op internet worden onderzocht.

De DNS Client-service op Windows-pc’s optimaliseert de prestaties van DNS-naamomzetting door ook eerder omgezette namen in het geheugen op te slaan. Met de opdracht ipconfig /displaydns worden alle DNS-vermeldingen in de cache op een Windows-computersysteem weergegeven.

11.3.4.2. ARP opdracht opties

Met de opdracht arp kunt u toewijzingen van fysieke adressen aan bekende IPv4-adressen maken, bewerken en weergeven. De opdracht arp wordt uitgevoerd vanaf de opdrachtprompt van Windows.

Om een arp-opdracht uit te voeren, typt u bij de opdrachtprompt van een host:

C:\> arp -a

De opdracht arp -a geeft alle apparaten weer die zich momenteel in de ARP-cache van de host bevinden, inclusief het IPv4-adres, het fysieke adres en het type adressering (statisch / dynamisch) voor elk apparaat.

C:\arp -a
Internet Address Physical Address  Type
10.0.0.2         00-08-a3-b6-ce-04 dynamic
10.0.0.3         00-0d-56-09-fb-d1 dynamic
10.0.0.4         00-12-3f-d4-6d-1b dynamic
10.0.0.254       00-10-7b-e7-fa-ef dynamic

De cache kan worden gewist met de opdracht arp -d voor het geval de netwerkbeheerder de cache opnieuw wil vullen met bijgewerkte informatie.

Opmerking: de ARP-cache bevat alleen informatie van apparaten die onlangs zijn geopend. Om ervoor te zorgen dat de ARP-cache wordt gevuld, pingt u een apparaat zodat het een vermelding krijgt in de ARP-tabel.

11.3.4.3. show cdp neighbor opdracht opties

Cisco Discovery Protocol (CDP) is een eigen protocol van Cisco dat wordt uitgevoerd op de datalinklaag. Omdat CDP werkt op de datalinklaag, kunnen twee of meer Cisco-netwerkapparaten, zoals routers die verschillende netwerklaagprotocollen ondersteunen, van elkaar leren, zelfs als er geen Layer 3-connectiviteit bestaat.

Wanneer een Cisco-apparaat opstart, start CDP standaard op. CDP detecteert automatisch aangrenzende Cisco-apparaten waarop CDP wordt uitgevoerd, ongeacht welk Layer 3-protocol of -suites worden uitgevoerd. CDP wisselt hardware- en softwareapparaatinformatie uit met zijn direct verbonden CDP-buren.

CDP biedt de volgende informatie over elk CDP-buurapparaat:

  • Apparaat-ID’s – Bijvoorbeeld de geconfigureerde hostnaam van een switch
  • Adreslijst – Maximaal één netwerklaagadres voor elk ondersteund protocol
  • Poort-ID – De naam van de lokale en externe poort – in het formulier van een ASCII-tekenreeks, zoals ethernet0
  • Capabilities list – Bijvoorbeeld of dit apparaat een router of een switch
  • Platform – Het hardwareplatform van het apparaat; bijvoorbeeld een router uit de Cisco 1841-serie

De opdracht show cdp neighbours detail onthult het IP-adres van een naburig apparaat. CDP onthult het IP-adres van de buurman, ongeacht of u de buurman al dan niet kunt pingen. Deze opdracht is erg handig wanneer twee Cisco-routers niet via hun gedeelde gegevenslink kunnen routeren. Het show cdp neighbours detail commando zal helpen bepalen of een van de CDP neighbours een IP-configuratiefout heeft.

Voor netwerkdetectiesituaties is het kennen van het IP-adres van de CDP-buur vaak alle informatie die nodig is om Telnet naar dat apparaat te sturen.

Om voor de hand liggende redenen kan CDP een beveiligingsrisico vormen. Omdat sommige IOS-versies standaard CDP-advertenties verzenden, is het belangrijk om te weten hoe u CDP uitschakelt.

Om CDP globaal uit te schakelen, gebruikt u het globale configuratiecommando no cdp run. Om CDP op een interface uit te schakelen, gebruikt u de interfaceopdracht no cdp enable.

Router# show cdp neighborsCapability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID Local Intrfce Holdtme Capability Platform Port ID
Router Ser 0/0/0 159 R C1841 Ser 0/0/0
Router Ser 0/0/1 163 R C1841 Ser 0/0/1
Router#Router# show cdp neighbors detail

Device ID: Router
Entry address(es):
IP address : 10.0.0.2
Platform: cisco C1841, Capabilities: Router
Interface: Serial0/0/0, Port ID (outgoing port): Serial0/0/0
Holdtime: 146

Version :
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 04:52 by pt_team

advertisement version: 2
Duplex: full
---------------------------

Device ID: Router
Entry address(es):
IP address : 11.0.0.2
Platform: cisco C1841, Capabilities: Router
Interface: Serial0/0/1, Port ID (outgoing port): Serial0/0/1
Holdtime: 150

Version :
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 04:52 by pt_team

advertisement version: 2
Duplex: full

Router#

11.3.4.4. De show ip interface brief opdracht gebruiken

Op dezelfde manier waarop commando’s en hulpprogramma’s worden gebruikt om een ​​hostconfiguratie te verifiëren, kunnen commando’s worden gebruikt om de interfaces van tussenliggende apparaten te verifiëren. De Cisco IOS biedt opdrachten om de werking van router- en switch-interfaces te verifiëren.

Routerinterfaces verifiëren

Een van de meest gebruikte opdrachten is de opdracht show ip interface brief. Deze opdracht biedt een meer afgekorte uitvoer dan de opdracht show ip interface. Het biedt een samenvatting van de belangrijkste informatie voor alle netwerkinterfaces op een router.

De show ip interface brief toont alle interfaces op de router, het IP-adres dat aan elke interface is toegewezen, indien aanwezig, en de operationele status van de interface.

Volgens de uitvoer heeft de FastEthernet0/0-interface een IP-adres van 192.168.254.254. De laatste twee kolommen in deze regel geven de Layer 1- en Layer 2-status van deze interface weer. Het omhoog in de Status kolom geeft aan dat deze interface operationeel is op Laag 1. Het omhoog in de Protocol kolom geeft aan dat het Laag 2 protocol operationeel is.

Merk ook op dat de seriële 0/0/1 interface niet is ingeschakeld. Dit wordt administratief aangegeven in de kolom Status.

Zoals met elk eindapparaat, kunnen we de Layer 3-connectiviteit verifiëren met de ping- en traceroute-opdrachten. In dit voorbeeld tonen zowel de ping- als de trace-opdrachten succesvolle connectiviteit.

Verifiëren van de switch-interfaces

De opdracht show ip interface brief kan ook worden gebruikt om de status van de switch-interfaces te verifiëren. Het IP-adres voor de switch wordt toegepast op een VLAN-interface. In dit geval krijgt de Vlan1-interface het IP-adres 192.168.254.250 toegewezen en is ingeschakeld en operationeel.

De uitvoer laat ook zien dat de FastEthernet0/1-interface niet beschikbaar is. Dit geeft aan dat er ofwel geen apparaat op de interface is aangesloten, ofwel dat het apparaat dat op deze interface is aangesloten een netwerkinterface heeft die niet werkt.

De uitvoer laat daarentegen zien dat de FastEthernet0/2- en FastEthernet0/3-interfaces operationeel zijn. Dit wordt aangegeven doordat zowel de status als het protocol worden weergegeven.

De switch kan ook zijn Layer 3-connectiviteit testen met de show ip interface brief en traceroute-opdrachten. In dit voorbeeld tonen zowel de ping- als de trace-opdrachten succesvolle connectiviteit.

Het is belangrijk om in gedachten te houden dat een IP-adres niet vereist is voor een switch om zijn taak van frame forwarding op laag 2 uit te voeren. Een IP-adres is alleen nodig als de switch via het netwerk wordt beheerd met Telnet of SSH. Als de netwerkbeheerder van plan is om op afstand verbinding te maken met de switch vanaf een locatie buiten het lokale LAN, moet ook een standaardgateway worden geconfigureerd.

11.4. IOS configuratie bestanden beheren

11.4.1. Router en switch bestandssystemen

11.4.1.1. Router bestandssytemen

Naast het implementeren en beveiligen van een klein netwerk, is het ook de taak van de netwerkbeheerder om configuratiebestanden te beheren. Het beheren van de configuratiebestanden is belangrijk voor het maken van een back-up en het ophalen in het geval van een apparaatstoring.

Het Cisco IOS File System (IFS) biedt een enkele interface voor alle bestandssystemen die een router gebruikt, inclusief:

  • Flash-geheugenbestandssystemen
  • Netwerkbestandssystemen (TFTP en FTP)
  • Elk ander eindpunt voor het lezen of schrijven van gegevens zoals NVRAM, de actieve configuratie, ROM en anderen

Met Cisco IFS kunnen alle bestanden worden bekeken en geclassificeerd (afbeelding, tekstbestand, enzovoort), inclusief bestanden op externe servers. Het is bijvoorbeeld mogelijk om een ​​configuratiebestand op een externe server te bekijken om te controleren of dit het juiste configuratiebestand is voordat het bestand op de router wordt geladen.

Met Cisco IFS kan de beheerder naar verschillende mappen gaan en de bestanden in een map weergeven, en submappen in flash-geheugen of op een schijf maken. De beschikbare mappen zijn afhankelijk van het apparaat.

De onderstaande afbeelding toont de uitvoer van de opdracht show file systems, die in dit voorbeeld alle beschikbare bestandssystemen op een Cisco 1941-router weergeeft. Deze opdracht biedt nuttige informatie, zoals de hoeveelheid beschikbaar en vrij geheugen, het type bestandssysteem en de bijbehorende machtigingen. Machtigingen omvatten alleen lezen (ro), alleen schrijven (wo) en lezen en schrijven (rw), weergegeven in de kolom Vlaggen van de uitvoer van de opdracht.

Hoewel er verschillende bestandssystemen worden vermeld, zijn voor ons interessant de bestandssystemen tftp, flash en nvram.

Merk op dat het flash-bestandssysteem ook een asterisk heeft. Dit geeft aan dat flash het huidige standaardbestandssysteem is. De opstartbare IOS bevindt zich in flash; daarom wordt het hekje (#) aan de flashlijst toegevoegd om aan te geven dat het een opstartbare schijf is.

Het Flash-bestandssysteem

De onderstaande afbeelding geeft de inhoud weer van het huidige standaardbestandssysteem, dat in dit geval flash is, zoals aangegeven door de sterretjes voorafgaand aan de lijst in de vorige afbeelding. Er zijn verschillende bestanden in flash, maar van specifiek belang is de laatste lijst. Dit is de naam van de huidige Cisco IOS-bestandsimage die in RAM wordt uitgevoerd.

Het NVRAM-bestandssysteem

Om de inhoud van NVRAM te bekijken, moet u het huidige standaardbestandssysteem wijzigen met de opdracht cd (directory wijzigen), zoals weergegeven in de onderstaande afbeelding. De opdracht pwd (huidige werkmap) verifieert dat we de NVRAM-map bekijken. Ten slotte geeft de opdracht dir (directory) de inhoud van NVRAM weer. Hoewel er verschillende configuratiebestanden worden vermeld, is van specifiek belang het opstartconfiguratiebestand.

11.4.1.2. Switch bestandssystemen

Met het Cisco 2960 switch flash-bestandssysteem kunt u configuratiebestanden kopiëren en softwarebeelden archiveren (uploaden en downloaden).

De opdracht om de bestandssystemen op een Catalyst-switch te bekijken is hetzelfde als op een Cisco-router: toon bestandssystemen, zoals weergegeven in de afbeelding.

Veel standaard UNIX-commando’s worden ondersteund op Cisco-switches en -routers: cd om over te schakelen naar een bestandssysteem of map, dir om mappen op een bestandssysteem weer te geven en pwd om de werkmap weer te geven.

11.4.2. Configuratie bestanden back-uppen en herstellen

11.4.2.1. Back-up maken en herstellen met tekstbestanden

Back-upconfiguraties met tekstinvoer (Tera Term)

Configuratiebestanden kunnen worden opgeslagen / gearchiveerd in een tekstbestand met Tera Term.

  • Stap 1. Klik in het menu Bestand op Log.
  • Stap 2. Kies de locatie om het bestand op te slaan. Tera Term begint met het vastleggen van tekst.
  • Stap 3. Nadat het vastleggen is gestart, voert u de opdracht show running-config of show startup-config uit bij de geprivilegieerde EXEC-prompt. De tekst die in het terminalvenster wordt weergegeven, wordt naar het gekozen bestand geleid.
  • Stap 4. Als het vastleggen is voltooid, selecteert u Sluiten in het venster Tera Term: Log.
  • Stap 5. Bekijk het bestand om te controleren of het niet beschadigd is.

Tekstconfiguraties herstellen

Een configuratie kan van een bestand naar een apparaat worden gekopieerd. Wanneer gekopieerd uit een tekstbestand en in een terminalvenster geplakt, voert de IOS elke regel van de configuratietekst uit als een commando. Dit betekent dat het bestand moet worden bewerkt om er zeker van te zijn dat gecodeerde wachtwoorden in platte tekst zijn en dat niet-commandotekst zoals “–Meer–” en IOS-berichten worden verwijderd. Dit proces wordt besproken in het lab.

Verder moet het apparaat bij de CLI worden ingesteld op de globale configuratiemodus om de opdrachten te ontvangen van het tekstbestand dat in het terminalvenster wordt geplakt.

Wanneer u Tera Term gebruikt, zijn de stappen:

  • Stap 1. Klik in het menu Bestand op Bestand verzenden.
  • Stap 2. Zoek het bestand dat u naar het apparaat wilt kopiëren en klik op Openen.
  • Stap 3. Tera Term plakt het bestand in het apparaat.

De tekst in het bestand wordt toegepast als opdrachten in de CLI en wordt de actieve configuratie op het apparaat. Dit is een handige methode om handmatig een router te configureren.

11.4.2.2. Back-up maken en herstellen met TFTP

Back-upconfiguraties met TFTP

In geval van problemen dienen kopieën van configuratiebestanden te worden opgeslagen als back-upbestanden. Configuratiebestanden kunnen worden opgeslagen op een Trivial File Transfer Protocol (TFTP) -server of een USB-drive. Er moet ook een configuratiebestand worden opgenomen in de netwerkdocumentatie.

Om de actieve configuratie of de opstartconfiguratie op een TFTP-server op te slaan, gebruikt u de opdracht copy running-config tftp of copy startup-config tftp. Volg deze stappen om een ​​back-up te maken van de actieve configuratie op een TFTP-server:

  • Stap 1. Voer de opdracht copy running-config tftp in.
  • Stap 2. Voer het IP-adres in van de host waar het configuratiebestand zal worden opgeslagen.
  • Stap 3. Voer de naam in om toe te wijzen aan het configuratiebestand.
  • Stap 4. Druk op Enter om elke keuze te bevestigen.

Configuraties herstellen met TFTP

Om de actieve configuratie of de opstartconfiguratie vanaf een TFTP-server te herstellen, gebruikt u de opdracht copy tftp running-config of copy tftp startup-config. Gebruik deze stappen om de actieve configuratie te herstellen vanaf een TFTP-server:

  • Stap 1. Voer de opdracht copy tftp running-config in.
  • Stap 2. Voer het IP-adres in van de host waar het configuratiebestand is opgeslagen.
  • Stap 3. Voer de naam in die u wilt toewijzen naar het configuratiebestand.
  • Stap 4. Druk op Enter om elke keuze te bevestigen.

11.4.2.3. USB-poorten gebruiken op een Cisco-router

Met de opslagfunctie van Universal Serial Bus (USB) kunnen bepaalde modellen Cisco-routers USB-flashstations ondersteunen. De USB-flashfunctie biedt een optionele secundaire opslagcapaciteit en een extra opstartapparaat. Afbeeldingen, configuraties en andere bestanden kunnen van of naar het Cisco USB-flashgeheugen worden gekopieerd met dezelfde betrouwbaarheid als het opslaan en ophalen van bestanden met de Compact Flash-kaart. Bovendien kunnen modulaire geïntegreerde servicerouters elke Cisco IOS-software-image opstarten die is opgeslagen op USB-flashgeheugen.

Cisco USB-flashmodules zijn beschikbaar in versies van 64 MB, 128 MB en 256 MB.

Om compatibel te zijn met een Cisco-router, moet een USB-flashstation zijn geformatteerd in een FAT16-indeling. Als dat niet het geval is, geeft de opdracht show file systems een foutmelding weer die een incompatibel bestandssysteem aangeeft.

Hier is een voorbeeld van het gebruik van de opdracht dir op een USB-bestandssysteem:

Router# dir usbflash0:
Directory of usbflash0:/
1 -rw- 30125020 Dec 22 2032 05:31:32 +00:00 c3825-entservicesk9-mz.123-14.T
63158272 bytes total (33033216 bytes free)

Idealiter kan USB-flash meerdere exemplaren van de Cisco IOS en meerdere routerconfiguraties bevatten. Met de USB-flash kan een beheerder die IOS-bestanden en configuraties gemakkelijk van router naar router verplaatsen en kopiëren, en vaak kan het kopieerproces meerdere keren sneller plaatsvinden dan via een LAN of WAN. Merk op dat de IOS mogelijk niet de juiste grootte van de USB-flash herkent, maar dat betekent niet noodzakelijk dat de flash niet wordt ondersteund. Bovendien zijn de USB-poorten op een router meestal USB 2.0, zoals weergegeven in de afbeelding.

11.4.2.4. Back-up maken en herstellen met een USB-flashdrive

Back-upconfiguraties met een USB-stick

Wanneer u een back-up maakt op een USB-poort, is het een goed idee om de opdracht show file systems uit te voeren om te controleren of de USB-drive aanwezig is en de naam te bevestigen.

Gebruik vervolgens de opdracht copy run usbflash0: / om het configuratiebestand naar de USB-stick te kopiëren. Zorg ervoor dat u de naam van de flashdrive gebruikt, zoals aangegeven in het bestandssysteem. De slash is optioneel, maar geeft de hoofdmap van de USB-stick aan.

De IOS zal om de bestandsnaam vragen. Als het bestand al op het USB-flashstation staat, vraagt de router om het te overschrijven.

Gebruik de opdracht dir om het bestand op de USB-drive te zien en gebruik de opdracht more om de inhoud te zien.

Herstel configuraties met een USB-stick

Om het bestand terug te kopiëren, moet het USB R1-Config-bestand met een teksteditor worden bewerkt om het een geldig configuratiebestand te maken; anders zijn er veel vermeldingen die ongeldige opdrachten zijn en zullen er geen interfaces worden weergegeven.

R1# copy usbflash0:/R1-Config running-config
Destination filename [running-config]?

11.5. Geïntegreerd routingsysteem

11.5.1. Geïntegreerde router

11.5.1.1. Multifunctioneel apparaat

Het gebruik van netwerken is niet beperkt tot kleine bedrijven en grote organisaties.

Een andere omgeving die in toenemende mate gebruikmaakt van netwerktechnologie is het huis. Thuisnetwerken worden gebruikt om connectiviteit en internetdeling te bieden tussen meerdere pc-systemen en laptops door het hele huis. Ze stellen individuen ook in staat gebruik te maken van verschillende diensten, zoals het delen van afdrukken met een netwerkprinter, gecentraliseerde opslag van foto’s, muziek en films op een NAS-apparaat (Network Attached Storage); evenals andere apparaten van eindgebruikers, zoals tabletcomputers, mobiele telefoons en zelfs huishoudelijke apparaten, zoals een televisie, toegang geven tot internetdiensten.

Een thuisnetwerk lijkt sterk op een klein zakelijk netwerk. Voor de meeste thuisnetwerken en veel kleine bedrijfsnetwerken zijn echter geen apparaten met een hoog volume nodig, zoals speciale routers en switches. Kleinere apparaten zijn voldoende, zolang ze dezelfde routing- en switchingfunctionaliteit bieden. Om deze reden maken veel thuisnetwerken en kleine bedrijfsnetwerken gebruik van de service van een multifunctioneel apparaat.

In deze cursus wordt naar multifunctionele apparaten verwezen als geïntegreerde routers.

Een geïntegreerde router is alsof er meerdere verschillende apparaten op elkaar zijn aangesloten. Zo blijft de verbinding tussen de switch en de router bestaan, maar gebeurt deze intern. Wanneer een pakket wordt doorgestuurd van het ene apparaat naar het andere op hetzelfde lokale netwerk, stuurt de geïntegreerde switch het pakket automatisch door naar het doelapparaat. Als een pakket echter wordt doorgestuurd naar een apparaat op een extern netwerk, stuurt de geïntegreerde switch het pakket door naar de interne routerverbinding. De interne router zal dan het beste pad bepalen en het pakket dienovereenkomstig doorsturen.

De meeste geïntegreerde routers bieden zowel bekabelde schakelmogelijkheden als draadloze connectiviteit, en dienen als toegangspunt (AP) in het draadloze netwerk. Draadloze connectiviteit is een populaire, flexibele en kosteneffectieve manier voor thuis en voor bedrijven om netwerkdiensten aan eindapparaten te leveren.

Naast het ondersteunen van routing, schakelen en draadloze connectiviteit, zijn er mogelijk veel extra functies beschikbaar op een geïntegreerde router, waaronder: DHCP-service, een firewall en zelfs netwerkopslagservices.

11.5.1.2. Soorten geïntegreerde routers

Geïntegreerde routers kunnen variëren van kleine apparaten die zijn ontworpen voor thuiskantoren en kleine bedrijfstoepassingen tot krachtigere apparaten die zakelijke filialen kunnen ondersteunen.

Een voorbeeld van dit type geïntegreerde router is een draadloze Linksys-router, zoals weergegeven in de afbeelding. Dit type geïntegreerde router is eenvoudig van ontwerp en heeft doorgaans geen afzonderlijke componenten. Dit verlaagt de kosten van het apparaat. In het geval van een storing is het echter niet mogelijk om een ​​enkel defect onderdeel te vervangen. Als zodanig creëren ze een single point of failure en zijn ze niet geoptimaliseerd voor een bepaalde functie.

Een ander voorbeeld van een geïntegreerde router is de Cisco Integrated Services-router of ISR. De Cisco ISR-productfamilie biedt een breed scala aan producten, zowel producten die zijn ontworpen voor kleine kantoren en thuiskantoren als producten die zijn ontworpen voor grotere netwerken. Veel van de ISR’s bieden modulariteit en hebben voor elke functie aparte componenten, zoals een switchcomponent en een routercomponent. Hierdoor kunnen individuele componenten worden toegevoegd, vervangen en indien nodig geüpgraded.

Alle geïntegreerde routers maken basisconfiguratie-instellingen mogelijk, zoals wachtwoorden, IP-adressen en DHCP-instellingen, die hetzelfde zijn, ongeacht of het apparaat wordt gebruikt om bekabelde of draadloze hosts te verbinden. Als u echter de draadloze functionaliteit gebruikt, zijn aanvullende configuratieparameters vereist, zoals het instellen van de draadloze modus, SSID en het draadloze kanaal.

11.5.1.3. Draadloze mogelijkheden

Draadloze modus

De draadloze modus verwijst naar het instellen van de IEEE 802.11 draadloze standaard die het netwerk zal gebruiken. Er zijn vier wijzigingen in de IEEE 802.11-standaard die verschillende kenmerken voor draadloze communicatie beschrijven; ze zijn 802.11a, 802.11b, 802.11g en 802.11n. Figuur 1 geeft meer informatie over elke standaard.

De meeste geïntegreerde draadloze routers ondersteunen 802.11b, 802.11g en 802.11n. De drie technologieën zijn compatibel, maar alle apparaten op het netwerk moeten op dezelfde standaard werken als alle apparaten. Bijvoorbeeld: als een 802.11n-router is aangesloten op een laptop met 802.11n, functioneert het netwerk als een 802.11n-standaard. Voeg echter een 802.11b draadloze printer toe aan het netwerk. Zowel de router als de laptop gebruiken voor alle communicatie de langzamere 802.11b-standaard. Als u oudere draadloze apparaten op het netwerk houdt, wordt het hele netwerk daarom trager. Het is belangrijk om dat in gedachten te houden bij de beslissing om oudere draadloze apparaten al dan niet te behouden.

Service Set Identifier (SSID)

Er zijn mogelijk veel andere draadloze netwerken in uw omgeving. Het is belangrijk dat de draadloze apparaten verbinding maken met het juiste WLAN. Dit gebeurt met behulp van een Service Set Identifier (SSID).

De SSID is een hoofdlettergevoelige, alfanumerieke naam voor uw draadloze thuisnetwerk. De naam mag maximaal 32 tekens lang zijn. De SSID wordt gebruikt om draadloze apparaten te vertellen tot welk WLAN ze behoren en met welke andere apparaten ze kunnen communiceren. Ongeacht het type WLAN-installatie, moeten alle draadloze apparaten in een WLAN met dezelfde SSID worden geconfigureerd om te kunnen communiceren.

Draadloos kanaal

Kanalen worden gecreëerd door het beschikbare RF-spectrum te verdelen. Elk kanaal is in staat een ander gesprek te voeren. Dit is vergelijkbaar met de manier waarop meerdere televisiekanalen via één medium worden uitgezonden. Meerdere AP’s kunnen dicht bij elkaar werken, zolang ze verschillende communicatiekanalen gebruiken.

11.5.1.4. Basisbeveiliging van draadloos

Beveiligingsmaatregelen moeten ook worden gepland en geconfigureerd voordat het AP op het netwerk of de ISP wordt aangesloten.

Enkele van de meer basale beveiligingsmaatregelen zijn:

  • Verander standaardwaarden voor de SSID, gebruikersnamen en wachtwoorden
  • Uitzending SSID uitschakelen
  • Codering configureren met WEP of WPA

Versleuteling is het proces waarbij gegevens worden getransformeerd, zodat ze zelfs als ze worden onderschept, onbruikbaar zijn.

Wired Equivalency Protocol (WEP)

WEP is een geavanceerde beveiligingsfunctie die netwerkverkeer versleutelt terwijl het door de lucht reist. WEP gebruikt vooraf geconfigureerde sleutels om gegevens te coderen en decoderen, zoals weergegeven in afbeelding 2.

Een WEP-sleutel wordt ingevoerd als een reeks cijfers en letters en is doorgaans 64 bits of 128 bits lang. In sommige gevallen ondersteunt WEP ook 256-bits sleutels. Om het maken en invoeren van deze sleutels te vereenvoudigen, hebben veel apparaten een wachtzinoptie. De wachtwoordzin is een gemakkelijke manier om het woord of de zin te onthouden die wordt gebruikt om automatisch een sleutel te genereren.

Om WEP te laten functioneren, moet zowel het AP als elk draadloos apparaat dat toegang heeft tot het netwerk dezelfde WEP-sleutel hebben. Zonder deze sleutel zullen apparaten de draadloze transmissies niet kunnen begrijpen.

Er zijn zwakke punten binnen WEP, waaronder het gebruik van een statische sleutel op alle WEP-apparaten. Er zijn applicaties beschikbaar voor aanvallers die kunnen worden gebruikt om de WEP-sleutel te achterhalen. Deze toepassingen zijn direct beschikbaar op internet. Zodra de aanvaller de sleutel heeft uitgepakt, hebben ze volledige toegang tot alle verzonden informatie.

Een manier om dit beveiligingslek te verhelpen, is door de sleutel regelmatig te wijzigen. Een andere manier is om een ​​geavanceerdere en veiligere vorm van versleuteling te gebruiken die bekend staat als Wi-Fi Protected Access (WPA).

Wi-Fi beveiligde toegang (WPA)

WPA gebruikt ook coderingssleutels van 64 bits tot 256 bits. In tegenstelling tot WEP genereert WPA echter nieuwe, dynamische sleutels telkens wanneer een client een verbinding tot stand brengt met het AP. Om deze reden wordt WPA als veiliger beschouwd dan WEP, omdat het aanzienlijk moeilijker te kraken is.

Er zijn verschillende andere beveiligingsimplementaties die op een draadloos toegangspunt kunnen worden geconfigureerd, waaronder MAC-adresfiltering, authenticatie en verkeersfiltering. Deze beveiligingsimplementaties vallen echter buiten het bestek van deze cursus.

11.5.2. De geïntegreerde router configureren

11.5.2.1. De geïntegreerde router configureren

Een draadloze router van Linksys is een algemeen apparaat dat wordt gebruikt in thuisnetwerken en kleine bedrijfsnetwerken en zal in deze cursus worden gebruikt om de basisconfiguraties van een geïntegreerde router te demonstreren. Een typisch Linksys-apparaat biedt vier Ethernet-poorten voor bekabelde connectiviteit, naast het fungeren als een draadloos toegangspunt. Het Linksys-apparaat fungeert ook als zowel een DHCP-server als een mini-webserver die een webgebaseerde grafische gebruikersinterface (GUI) ondersteunt.

Toegang tot en configuratie van een Linksys Router

Krijg in eerste instantie toegang tot de router door een computer aan te sluiten op een van de LAN Ethernet-poorten van de router, zoals weergegeven in de afbeelding. Eenmaal bekabeld, zal het verbindende apparaat automatisch IP-adresinformatie verkrijgen, inclusief een standaard gateway-adres, van de geïntegreerde router. Het standaard gateway-adres is het IP-adres van het Linksys-apparaat. Controleer de computernetwerkinstellingen met de opdracht ipconfig /all om dit adres te verkrijgen. U kunt nu dat IP-adres in een webbrowser op de computer typen om toegang te krijgen tot de webgebaseerde configuratie-GUI.

Het Linksys-apparaat heeft een standaardconfiguratie die schakelen en basisrouteringservices mogelijk maakt. Het is ook standaard geconfigureerd als een DCHP-server. Basisconfiguratietaken, zoals het wijzigen van de standaard gebruikersnaam en wachtwoord, het wijzigen van het standaard Linksys IP-adres en zelfs het standaard DHCP IP-adresbereik, moeten worden uitgevoerd voordat het AP wordt verbonden met een live netwerk.

11.5.2.2. Draadloos inschakelen

Om draadloze connectiviteit mogelijk te maken, moeten de draadloze modus, SSID, RF-kanaal en elk gewenst beveiligingsencryptiemechanisme worden geconfigureerd.

Selecteer eerst de juiste draadloze modus, zoals weergegeven in de afbeelding. Bij het selecteren van de modus of draadloze standaard, omvat elke modus een bepaalde hoeveelheid overhead. Als alle apparaten op het netwerk dezelfde standaard gebruiken, beperkt het selecteren van de modus die aan die standaard is gekoppeld de hoeveelheid overhead. Het verhoogt ook de veiligheid door apparaten met verschillende standaarden niet toe te staan ​​verbinding te maken. Als apparaten die verschillende standaarden gebruiken echter toegang tot het netwerk nodig hebben, moet de gemengde modus worden geselecteerd. De netwerkprestaties zullen afnemen vanwege de extra overhead voor het ondersteunen van alle modi.

Stel vervolgens de SSID in. Alle apparaten die willen deelnemen aan het WLAN moeten dezelfde SSID gebruiken. Om veiligheidsredenen moet de standaard SSID worden gewijzigd. Om een ​​gemakkelijke detectie van het WLAN door clients mogelijk te maken, wordt de SSID standaard uitgezonden. Het is mogelijk om de uitzendfunctie van de SSID uit te schakelen. Als de SSID niet wordt uitgezonden; Bij draadloze clients moet deze waarde handmatig worden geconfigureerd.

De keuze van het RF-kanaal dat voor de geïntegreerde router wordt gebruikt, moet worden gemaakt in verhouding tot de andere draadloze netwerken eromheen.

Aangrenzende draadloze netwerken moeten niet-overlappende kanalen gebruiken om de doorvoer te optimaliseren. De meeste toegangspunten bieden nu een keuze om de router automatisch het minst drukke kanaal te laten lokaliseren.

Selecteer tot slot het versleutelingsmechanisme dat u verkiest en voer een sleutel of wachtwoordzin in.

11.5.2.3. Een draadloze client configureren

Een draadloze host of client wordt gedefinieerd als elk apparaat dat draadloze NIC en draadloze clientsoftware bevat. Met deze clientsoftware kan de hardware deelnemen aan het WLAN. Apparaten zijn onder meer: ​​sommige smartphones, laptops, desktop-pc’s, printers, televisies, spelsystemen en tabletcomputers.

Om een ​​draadloze client verbinding te laten maken met het WLAN, moeten de configuratie-instellingen van de client overeenkomen met die van de draadloze router. Dit omvat de SSID, beveiligingsinstellingen en kanaalinformatie (als het kanaal handmatig is ingesteld). Deze instellingen worden gespecificeerd in de clientsoftware.

De draadloze clientsoftware die wordt gebruikt, kan software zijn die is geïntegreerd in het besturingssysteem van het apparaat, of kan een zelfstandige, downloadbare, draadloze hulpsoftware zijn die specifiek is ontworpen om te communiceren met de draadloze NIC.

Nadat de clientsoftware is geconfigureerd, controleert u de verbinding tussen de client en het AP.

Open het informatiescherm van de draadloze verbinding om informatie weer te geven zoals: de gegevenssnelheid van de verbinding, de verbindingsstatus en het gebruikte draadloze kanaal, zoals weergegeven in de afbeelding. De functie Link Information, indien beschikbaar, geeft de huidige signaalsterkte en kwaliteit van het draadloze signaal weer.

Om de status van de draadloze verbinding te verifiëren, moet u bovendien controleren of de gegevens daadwerkelijk kunnen worden verzonden. Een van de meest gebruikelijke tests om een ​​geslaagde gegevensoverdracht te verifiëren, is de ping-test. Als de ping succesvol is, is datatransmissie mogelijk.

11.6. Samenvatting

Om aan de gebruikersvereisten te voldoen, hebben zelfs kleine netwerken planning en ontwerp nodig, zoals weergegeven in de afbeelding. Planning zorgt ervoor dat alle vereisten, kostenfactoren en implementatieopties naar behoren worden overwogen. Een belangrijk onderdeel van het netwerkontwerp is betrouwbaarheid, schaalbaarheid en beschikbaarheid.

Om een ​​klein netwerk te ondersteunen en te laten groeien, moet u bekend zijn met de protocollen en netwerktoepassingen die via het netwerk worden uitgevoerd. Met protocolanalysatoren kan een netwerkprofessional snel statistische informatie verzamelen over verkeersstromen op een netwerk. De informatie die door de protocolanalysator wordt verzameld, wordt geanalyseerd op basis van de bron en bestemming van het verkeer en het type verkeer dat wordt verzonden. Deze analyse kan door een netwerktechnicus worden gebruikt om beslissingen te nemen over hoe het verkeer efficiënter kan worden beheerd. Veelgebruikte netwerkprotocollen zijn onder meer: ​​DNS, Telnet, SMTP, POP, DHCP, HTTP en FTP.

Het is noodzakelijk om bij het plannen van een netwerkimplementatie rekening te houden met beveiligingsbedreigingen en kwetsbaarheden. Alle netwerkapparaten moeten worden beveiligd. Dit omvat routers, schakelaars, apparaten voor eindgebruikers en zelfs beveiligingsapparaten. Netwerken moeten worden beschermd tegen schadelijke software zoals virussen, Trojaanse paarden en wormen. Antivirussoftware kan de meeste virussen en veel Trojaans paard-toepassingen detecteren en voorkomen dat ze zich in het netwerk verspreiden. De meest effectieve manier om een ​​wormaanval te beperken, is door beveiligingsupdates te downloaden van de leverancier van het besturingssysteem en alle kwetsbare systemen te patchen.

Netwerken moeten ook worden beschermd tegen netwerkaanvallen. Netwerkaanvallen kunnen in drie hoofdcategorieën worden ingedeeld: verkenning, toegangsaanvallen en denial of service. Er zijn verschillende manieren om een ​​netwerk te beschermen tegen netwerkaanvallen.

  • Verificatie, autorisatie en accounting (AAA, of “triple A”) netwerkbeveiligingsservices bieden het primaire kader voor het instellen van toegangscontrole op een netwerkapparaat. AAA is een manier om te controleren wie toegang heeft tot een netwerk (authenticatie), wat ze kunnen doen terwijl ze daar zijn (autoriseren), en om de acties te bekijken die ze uitvoeren terwijl ze toegang krijgen tot het netwerk (boekhouding).
  • Een firewall is een van de meest effectieve beveiligingshulpmiddelen die beschikbaar zijn om interne netwerkgebruikers te beschermen tegen externe bedreigingen. Een firewall bevindt zich tussen twee of meer netwerken en controleert het verkeer tussen deze netwerken en helpt ook om ongeautoriseerde toegang te voorkomen.
  • Om netwerkapparaten te beschermen, is het belangrijk om sterke wachtwoorden te gebruiken. Ook wordt het bij het op afstand benaderen van netwerkapparaten ten zeerste aanbevolen om SSH in te schakelen in plaats van het onbeveiligde telnet.

Nadat het netwerk is geïmplementeerd, moet een netwerkbeheerder de netwerkconnectiviteit kunnen bewaken en onderhouden. Hiervoor zijn verschillende commando’s beschikbaar. Voor het testen van netwerkconnectiviteit met lokale en externe bestemmingen worden vaak opdrachten zoals ping, telnet en traceroute gebruikt.

Op Cisco IOS-apparaten kan de opdracht show version worden gebruikt om enkele van de basishardware- en softwarecomponenten die tijdens het opstartproces worden gebruikt, te verifiëren en problemen op te lossen. Om informatie voor alle netwerkinterfaces op een router te bekijken, wordt de opdracht show ip interface gebruikt. De show ip interface brief kan ook worden gebruikt om een ​​meer verkorte uitvoer te bekijken dan het show ip interface commando. Cisco Discovery Protocol (CDP) is een eigen protocol van Cisco dat wordt uitgevoerd op de datalinklaag. Omdat CDP werkt op de datalinklaag, kunnen twee of meer Cisco-netwerkapparaten, zoals routers die verschillende netwerklaagprotocollen ondersteunen, van elkaar leren, zelfs als er geen Layer 3-connectiviteit bestaat.

Cisco IOS-configuratiebestanden zoals startup-config of running-config moeten worden gearchiveerd. Deze bestanden kunnen worden opgeslagen in een tekstbestand of op een TFTP-server. Sommige modellen routers hebben ook een USB-poort en van een bestand kan een back-up worden gemaakt op een USB-station. Indien nodig kunnen deze bestanden naar de router worden gekopieerd en / of overschakelen vanaf de TFTP-server of USB-drive.

Het gebruik van netwerken is niet beperkt tot kleine bedrijven en grote organisaties. Een andere omgeving die in toenemende mate gebruikmaakt van netwerktechnologie is het huis. Een thuisnetwerk lijkt sterk op een klein zakelijk netwerk. De meeste thuisnetwerken (en veel kleine bedrijfsnetwerken) vereisen echter geen apparaten met een hoog volume, zoals speciale routers en switches. In plaats daarvan gebruiken de meeste thuisnetwerken één multifunctioneel apparaat. In deze cursus wordt naar multifunctionele apparaten verwezen als geïntegreerde routers. De meeste geïntegreerde routers bieden zowel bekabelde schakelmogelijkheden als draadloze connectiviteit, en dienen als toegangspunt (AP) in het draadloze netwerk. Om draadloze connectiviteit mogelijk te maken, moeten de draadloze modus, SSID, RF-kanaal en elk gewenst beveiligingsencryptiemechanisme worden geconfigureerd.