کتاب آموزشی CCNA Security
دورهی Cisco Certified Network Associate Security یا همان CCNA Security برای ایجاد امنیت مقدماتی در شبکهای که از محصولات سیسکو استفاده میکند کاربرد دارد، با داشتن این گواهینامه امنیتی میتوانید مهارتهای لازم برای توسعه زیرساختهای امنیتی، تشخیص تهدیدات و آسیب پذیریها را کسب کنید.
دورههای امنیتی سیسکو شامل دورهیCCNA Security (کارشناس امنیت)، CCNP Security (کارشناس ارشد امنیت) و CCIE Security (دکترای امنیت) است که هر کدام از این دورهها دارای سرفصلهای جدا و جذابی هستند.
ایجاد امنیت در شبکه کار آسانی نخواهد بود و در هر زمان باید مواظب باشیم که اطلاعات شما افشاء نشود و یا به شبکه شما حمله نشود، ولی شما با ایجاد راهحل های امنیتی این تهدیدات را کاهش دهید، برای اینکار نیاز دارید تا تهدیدات را شناسایی و راههای جلوگیری از آن را به درستی پیادهسازی کنید.
اگر شما امنیت یک شبکه مد نظرتان است باید یک سری از قواعد را پیروی کنید تا با مشکلی مواجع نشوید، این قواعد شامل سه هدف است، محرمانه بودن (Confidentiality)، یکپارچگی (Integrity) و در دسترس بودن (Availability) است که این سه کلمه را به اختصار با نام CIA میشناسند، بیشتر مشکلاتی که در بخش امنیت شبکه به وجود میآید، زیر مجموعه این سه بخش است و باید سعی کرد دید خود را در این سه زمینه گستردهتر کنیم.
در این دوره و در این کتاب با طراحی و پیادهسازی سیستمهای امنیتی مبتنی بر IOSرا با هم فرا خواهیم گرفت و سعی شده است تا اکثر مطالبی که در سرفصلهای سیسکو بیان شده بررسی و توضیح داده شود.
فهرست کتاب
| مقدمه |
| فصل اول – بررسی شرایط امنیتی |
| شناخت تهدیدات شبکه فعلی |
| استفاده از اصول اساسی امنیت در شبکه |
| محرمانه بودن (Confidentiality) |
| یکپارچگی (Integrity) |
| در دسترس بودن (Availability) |
| تعاریف اولیه در امنیت اطلاعات |
| دسترسی به هیچ چیز (Access to Nothing) |
| دفاع در عمق (Defense in Depth) |
| تفکیک وظایف (Separation of Duties) |
| چرخش کار (Job Rotation) |
| مناطق امنیتی مشترک شبکه (Common Network Security Zones) |
| بررسی شبکه Interanet |
| شبکه Extranet |
| شبکه عمومی و خصوصی (Public and Private) |
| شبکه مجازی (Virtual LAN) |
| فصل دوم- طراحی شبکه و چشمانداز تهدیدات امنیتی |
| شبکه محوطه دانشگاه یا Campus-Area Network (CAN) |
| شبکه Wide-Area Network (WAN) یا Cloud |
| شبکه Data Center |
| شبکههای Small office/Home office |
| امنیت شبکه برای یک محیط مجازی |
| چشم انداز تهدید امنیتی شبکه |
| بررسی حملات انکار سرویس |
| بررسی روشهای مهندسی اجتماعی |
| روش های موجود برای شناسایی بدافزار |
| فصل سوم – Network Foundation Protection |
| کار با Management plane |
| روشهایی برای حفظ Managemant Plane |
| توصیههایی برای استفاده از کلمه عبور |
| استفاده از AAA برای تأیید کاربران |
| پیادهسازی رمز عبور قوی و پیچیده |
| روشهای دسترسی و رمزگذاری |
| ایجاد سطح امتیاز سفارشی برای کاربران |
| فعال سازی سرویس SSH و HTTPS |
| بررسی Parser View |
| فعالسازی سرویس NTP |
| فعالسازی پروتکل SCP |
| فعالسازی سرویس SNMP |
| نصب و راه اندازی GNS3 به همراه IOU |
| اضافه کردن IOS مربوط به روتر در GNS3 |
| اضافه کردن لایسنس IOU به نرمافزار |
| فعالسازی سرویس Log در دستگاههای سیسکو |
| کار با Control plane |
| کار با Access List |
| بررسی Securing Routing Protocols |
| فعالسازی تأیید اعتبار در به روزرسانی مسیریابی در OSPF |
| فعالسازی امنیت در پروتکل EIGRP |
| امنیت در پروتکل RIP |
| نصب و راهاندازی نرمافزار CCO |
| فصل چهارم – کار با ACS سیسکو |
| مقدار سختافزار مورد نیاز برای راه اندازی ACS |
| متصل کردن ACS به Active Directory |
| پروتکل TACACS+ |
| پروتکل Radius |
| تفاوت بین پروتکل Radius و TACACS+ |
| ارتباط سوئیچ یا روتر با نرمافزار ACS |
| راه اندازی AAA Server |
| فعالسازی Radius در ACS |
| فصل پنجم – نصب و راهاندازی CISCO ISE |
| فعالسازی نرمافزار Cisco ISE |
| عضو کردن Cisco ISE در Active Directory |
| تعریف کاربر داخلی در CISCO ISE |
| فعالسازی AAA در CISCO ISE |
| فصل ششم – بررسی فایروال ASA شرکت سیسکو |
| ویژگی ها و قابلیت ها |
| فعال کردن Telnet در ASA |
| نصب و راه اندازی ASDM بر روی فایروال |
| بررسی Zone-Based Firewall یا ZBE |
| ویژگی Stateful inspection |
| ویژگی Application inspection |
| ویژگیPacket filtering |
| ویژگی URL filtering |
| ویژگی Transparent firewall (implementation method) |
| فعالسازی SSH در ASA |
| اجرای C3PL در روتر سیسکو |
| فعالسازی سرویس DHCP در ASA |
| کار با VPN و چرا از آن استفاده میکنیم |
| رمزنگاری |
| کلیدهای متقارن (Symmetric) و نامتقارن (Asymmetric) |
| هش کردن (Hashing) |
| بررسی IPsec وSSL |
| ایجاد VPN در دستگاههای سیسکو |
| بررسی Site To Site VPN با استفاده از IPSEC |
| کار با Site To Site VPN در ASDM |
| کار با AnyConnect VPN در ASDM |
| کار با Clientless SSL VPN در ASDM |
| فصل هفتم – ایجاد امنیت در لایه دوم شبکه |
| بررسی حفاظت از پروتکل Spanning Tree Protocol |
| STP (Spanning Tree Protocol) |
| نحوهی کارکرد الگوریتم STA |
| بررسی BPDU Guard |
| تحلیل و بررسی Root Guard |
| تفاوتهای بین دو سرویس Root Guard و BPDU Guard |
| بررسی پروتکل CDP و LLDP |
| ایجاد امنیت در سرویس DHCP |
| مشکلات امنیتی پروتکل DHCP |
| تحلیل و بررسی Spoofing MAC Addresses |
| کار با Port Security |
| اضافه کردن MAC آدرس به صورت دستی |
| حذف آدرس MAC بعد از غیر فعال شدن کلاینت |
| تحلیل و بررسی DHCP Snooping |
| تنظیمات روتر DHCP – Attack |
| تحلیل و بررسی Private VLAN |
| تحلیل و بررسی IP source guard |
| تحلیل و بررسی Dynamic Arp Inspection |
| تحلیل و بررسی تکنولوژی تشخیص (IDS/IPS) |
| سنسور چیست |
| تفاوت بین IPS و IDS |
| اصلاحات مثبت و منفی در IPS و IDS |
| پیشنهادهای سیسکو برای امن نگه داشتن شبکه |
| فصل هشتم – بررسی پروتکل IPV6 |
| تهدیدات مشترک در IPV4 و IPV6 |
| واژه نامه |
| منابع |
| کتابهای آموزشی شبکه |
| تماس با ما |