Ripasso rapido: Sicurezza – CCNA

Cosa devi sapere davvero

La sicurezza nel CCNA riguarda i controlli di base necessari per proteggere dispositivi, accessi, traffico e infrastruttura di rete. Non devi pensare alla sicurezza solo come firewall o antivirus: in una rete Cisco entrano in gioco hardening dei dispositivi, autenticazione, autorizzazione, ACL, protezioni Layer 2, segmentazione, logging, aggiornamenti e accesso remoto sicuro.

Per CCNA devi capire quali controlli riducono il rischio, dove si applicano e quali problemi cercano di prevenire. Molte domande non chiedono solo la definizione, ma quale misura è più adatta in uno scenario.

Il punto centrale è questo: la sicurezza di rete è fatta di più livelli. Nessun singolo controllo basta da solo.

Concetti chiave

• CIA triad: riservatezza, integrità e disponibilità.
• Threat: minaccia che può causare un danno.
• Vulnerability: debolezza sfruttabile da una minaccia.
• Risk: possibilità che una minaccia sfrutti una vulnerabilità causando impatto.
• Hardening: riduzione della superficie di attacco di un dispositivo.
• AAA: Authentication, Authorization e Accounting.
• SSH: accesso remoto sicuro e cifrato.
• Telnet: accesso remoto non cifrato, da evitare.
• ACL: regole che filtrano traffico.
• Port security: limita i MAC address ammessi su una porta switch.
• DHCP snooping: protegge da server DHCP non autorizzati.
• DAI: Dynamic ARP Inspection, protegge da ARP spoofing.
• VPN: crea comunicazioni cifrate su reti non affidabili.
• Segmentation: separa reti e riduce movimento laterale.
• Logging: registra eventi utili per monitoraggio, audit e troubleshooting.

Differenze da non confondere

Concetto	Significato principale
Authentication	Verifica identità
Authorization	Stabilisce cosa è permesso
Accounting	Registra attività
SSH	Accesso remoto cifrato
Telnet	Accesso remoto non cifrato
ACL	Filtra traffico Layer 3/4
Port security	Controlla MAC su porte switch
DHCP snooping	Blocca DHCP non autorizzati
DAI	Protegge da ARP spoofing
VPN	Cifra comunicazioni
Segmentazione	Separa reti e limita impatto

CIA triad

La CIA triad è uno dei concetti base della sicurezza.

• Confidentiality / Riservatezza: impedire accessi non autorizzati alle informazioni.
• Integrity / Integrità: impedire modifiche non autorizzate o non corrette.
• Availability / Disponibilità: garantire che sistemi e servizi siano accessibili quando servono.

Esempi:

• cifratura e controllo accessi aiutano la riservatezza;
• hashing, controlli e autorizzazioni aiutano l'integrità;
• ridondanza, backup e protezione da attacchi DoS aiutano la disponibilità.

Per CCNA devi saper collegare uno scenario al principio CIA corretto.

Minacce, vulnerabilità e rischio

Una minaccia è qualcosa che può causare un danno, come malware, attaccanti, errori umani, configurazioni sbagliate o accessi non autorizzati.

Una vulnerabilità è una debolezza, come password deboli, software non aggiornato, porte aperte inutilmente o protocolli insicuri.

Il rischio nasce quando una minaccia può sfruttare una vulnerabilità causando un impatto.

Esempio:

• minaccia: attaccante;
• vulnerabilità: Telnet abilitato;
• rischio: furto credenziali e accesso non autorizzato al dispositivo.

Hardening dei dispositivi

L'hardening consiste nel rendere un dispositivo più sicuro riducendo funzioni inutili, configurazioni deboli e superfici di attacco.

Esempi di hardening:

• usare SSH invece di Telnet;
• disabilitare servizi non necessari;
• usare password robuste;
• configurare privilege level corretti;
• usare banner legali se richiesti;
• limitare accesso alle linee VTY;
• usare ACL per management access;
• disabilitare porte inutilizzate;
• aggiornare firmware o software;
• salvare e proteggere configurazioni.

Per CCNA devi ricordare che hardening significa ridurre possibilità di abuso e accesso non autorizzato.

SSH vs Telnet

SSH e Telnet permettono accesso remoto alla CLI, ma hanno una differenza fondamentale.

• SSH cifra la comunicazione.
• Telnet invia dati in chiaro.

In uno scenario sicuro, SSH è la scelta corretta. Telnet può esporre username e password a intercettazione.

Una configurazione sicura di accesso remoto può includere:

• hostname configurato;
• domain name configurato;
• chiavi RSA;
• username locale;
• password o secret robusti;
• linee VTY abilitate solo per SSH;
• ACL per limitare gli indirizzi autorizzati a connettersi.

Password e privilegi

Le password proteggono l'accesso ai dispositivi, ma non tutte le password hanno lo stesso ruolo.

Concetti importanti:

• password console;
• password VTY;
• enable password;
• enable secret;
• utenti locali;
• privilege levels;
• cifratura password in configurazione.

enable secret è preferibile a enable password perché viene salvata in forma più sicura.

Per CCNA devi ricordare che le password devono essere robuste, protette e associate a livelli di privilegio adeguati.

AAA

AAA significa:

• Authentication: verifica chi sei.
• Authorization: stabilisce cosa puoi fare.
• Accounting: registra cosa fai.

AAA può essere gestito localmente o tramite server esterni come RADIUS o TACACS+.

Esempio:

• un amministratore si autentica;
• il sistema verifica quali comandi può usare;
• le sue attività vengono registrate.

AAA è importante perché centralizza e controlla meglio accessi, permessi e tracciamento.

RADIUS e TACACS+

RADIUS e TACACS+ sono protocolli usati per AAA centralizzato.

Concetti generali:

• RADIUS è spesso usato per autenticazione di accesso alla rete, VPN e wireless.
• TACACS+ è molto usato in ambienti Cisco per amministrazione dispositivi e controllo più granulare dei comandi.

Per CCNA non serve conoscere ogni dettaglio profondo, ma devi sapere che entrambi possono supportare autenticazione centralizzata.

ACL

Le ACL, Access Control List, filtrano traffico in base a criteri come:

• indirizzo IP sorgente;
• indirizzo IP destinazione;
• protocollo;
• porta;
• direzione;
• interfaccia.

Tipi generali:

• ACL standard: filtrano principalmente in base alla sorgente.
• ACL estese: possono filtrare sorgente, destinazione, protocollo e porte.

Le ACL sono potenti ma vanno ordinate con attenzione.

Regole importanti:

• vengono lette dall'alto verso il basso;
• il primo match decide;
• esiste un deny implicito finale;
• direzione e interfaccia sono fondamentali.

Errori comuni con ACL

Gli errori più frequenti sono:

• regole nell'ordine sbagliato;
• dimenticare il deny implicito;
• applicare l'ACL sulla porta o interfaccia sbagliata;
• applicarla inbound invece di outbound;
• bloccare traffico di ritorno necessario;
• usare wildcard mask errate;
• scrivere regole troppo ampie;
• dimenticare di permettere servizi necessari come DNS o DHCP.

Nei quiz CCNA, se una ACL sembra corretta ma il traffico non passa, controlla sempre ordine, direzione e deny implicito.

Segmentazione

La segmentazione divide la rete in zone o domini separati.

Può essere fatta con:

• VLAN;
• subnet;
• ACL;
• firewall;
• VRF in scenari più avanzati;
• reti guest separate;
• DMZ in architetture più strutturate.

La segmentazione aiuta a:

• limitare il movimento laterale;
• separare utenti e server;
• proteggere reti sensibili;
• applicare policy diverse;
• ridurre impatto di una compromissione.

Per CCNA devi ricordare che VLAN diverse non comunicano tra loro senza routing, e che il routing può essere controllato da ACL o firewall.

Sicurezza Layer 2

Molti attacchi avvengono a Layer 2, quindi proteggere solo il routing non basta.

Minacce Layer 2 comuni:

• MAC flooding;
• DHCP rogue server;
• ARP spoofing;
• VLAN hopping;
• accesso fisico non autorizzato;
• collegamento di dispositivi non autorizzati.

Controlli utili:

• port security;
• DHCP snooping;
• Dynamic ARP Inspection;
• disabilitare porte inutilizzate;
• assegnare porte inutilizzate a VLAN non usate;
• evitare VLAN 1 per traffico importante;
• configurare trunk solo dove necessario.

Port security

Port security limita quali MAC address possono usare una porta switch.

È utile soprattutto sulle porte access verso dispositivi finali.

Può usare:

• MAC statici;
• MAC dinamici;
• sticky MAC address.

Azioni in caso di violazione:

• protect: scarta traffico non autorizzato senza log dettagliati;
• restrict: scarta e può generare log o contatori;
• shutdown: mette la porta in err-disabled.

Nel CCNA, shutdown è spesso il comportamento predefinito più severo.

DHCP snooping

DHCP snooping protegge contro server DHCP non autorizzati.

Funziona distinguendo:

• porte trusted;
• porte untrusted.

Le porte verso server DHCP legittimi o uplink controllati possono essere trusted. Le porte verso utenti finali di solito devono essere untrusted.

Se un dispositivo su porta untrusted prova a inviare risposte DHCP, DHCP snooping può bloccarle.

Questo aiuta a evitare che un rogue DHCP server distribuisca gateway o DNS malevoli.

Dynamic ARP Inspection

Dynamic ARP Inspection, o DAI, protegge da ARP spoofing e ARP poisoning.

DAI verifica i messaggi ARP confrontandoli con informazioni attendibili, spesso derivate dalla DHCP snooping binding table.

Concetto importante:

• DHCP snooping costruisce una base affidabile;
• DAI usa quella base per validare ARP.

DAI è un controllo Layer 2 utile contro attacchi che cercano di deviare traffico o intercettare comunicazioni locali.

VLAN hopping

Il VLAN hopping è un attacco in cui un host tenta di accedere a traffico di VLAN diverse da quella assegnata.

Contromisure comuni:

• disabilitare trunk automatici dove non servono;
• configurare porte utente come access port;
• non usare VLAN 1 per traffico importante;
• usare una native VLAN non utilizzata;
• evitare che porte access negozino trunk;
• limitare VLAN consentite sui trunk.

Per CCNA devi ricordare che le porte verso utenti finali non dovrebbero diventare trunk.

VPN

Una VPN crea un tunnel cifrato attraverso una rete non affidabile, come Internet.

Può essere usata per:

• accesso remoto utenti;
• collegamenti site-to-site;
• protezione del traffico tra sedi;
• connessioni sicure verso risorse aziendali.

Una VPN protegge il traffico in transito, ma non sostituisce autenticazione forte, ACL, firewall, patching e monitoraggio.

Logging e monitoraggio

Logging e monitoraggio aiutano a rilevare problemi, analizzare incidenti e verificare attività sospette.

Esempi:

• login riusciti e falliti;
• modifiche di configurazione;
• interfacce up/down;
• eventi ACL;
• errori di protocollo;
• alert di sicurezza;
• messaggi Syslog.

Centralizzare i log aiuta perché un dispositivo può perdere log locali dopo riavvio o esaurire memoria.

Per CCNA devi ricordare che il logging è utile sia per troubleshooting sia per sicurezza.

Aggiornamenti e patching

Aggiornare dispositivi e software riduce il rischio di vulnerabilità note.

Il patching deve essere controllato:

• verificare versione;
• leggere note di rilascio;
• pianificare finestra di manutenzione;
• fare backup configurazione;
• testare quando possibile;
• prevedere rollback;
• documentare la modifica.

Un dispositivo non aggiornato può essere vulnerabile anche se è configurato bene.

Sicurezza wireless

Anche le reti wireless richiedono controlli specifici.

Best practice:

• usare WPA2 o WPA3;
• evitare WEP;
• usare password robuste se PSK;
• preferire 802.1X/RADIUS in enterprise;
• separare guest network;
• usare VLAN dedicate;
• limitare accesso alla rete interna;
• monitorare AP non autorizzati;
• gestire correttamente controller e policy.

Il wireless non è solo segnale: include autenticazione, cifratura, VLAN, DHCP, DNS e policy.

Best practice operative

Buone pratiche generali:

• usare SSH;
• disabilitare Telnet;
• proteggere accesso console e VTY;
• usare enable secret;
• limitare management access con ACL;
• disabilitare porte inutilizzate;
• usare VLAN separate;
• documentare modifiche;
• fare backup configurazioni;
• abilitare logging;
• aggiornare dispositivi;
• applicare principio del least privilege.

Queste misure non eliminano tutti i rischi, ma riducono molto la superficie di attacco.

Troubleshooting sicurezza

Quando un problema sembra legato alla sicurezza, verifica:

• ACL applicate;
• direzione ACL;
• ordine delle regole;
• deny implicito;
• porte VTY;
• configurazione SSH;
• credenziali;
• privilege level;
• port security;
• DHCP snooping;
• DAI;
• VLAN e trunk;
• firewall o policy esterne;
• log del dispositivo.

Esempio: se un utente non riesce ad accedere via SSH, il problema può essere password, utente locale, chiavi RSA, VTY, ACL di management o reachability IP.

Errori comuni nei quiz

• Pensare che Telnet sia sicuro quanto SSH.
• Confondere authentication e authorization.
• Dimenticare accounting in AAA.
• Pensare che ACL non abbiano deny implicito.
• Applicare ACL nella direzione sbagliata.
• Confondere port security con ACL.
• Pensare che DHCP snooping blocchi tutto il DHCP.
• Dimenticare che DAI protegge da ARP spoofing.
• Pensare che una VPN sostituisca firewall e autenticazione.
• Pensare che VLAN equivalga automaticamente a sicurezza completa.
• Dimenticare di proteggere porte switch inutilizzate.
• Pensare che logging sia utile solo dopo un incidente grave.
• Usare WEP in scenari wireless sicuri.

Mini scenario d'esame

Un amministratore vuole impedire che utenti colleghino dispositivi non autorizzati alle porte access degli switch. La soluzione più adatta è usare port security, limitando i MAC address ammessi sulla porta.

Altro scenario: un attaccante collega un server DHCP non autorizzato e prova a distribuire gateway malevoli ai client. La protezione più adatta è DHCP snooping, configurando correttamente porte trusted e untrusted.

Mini checklist prima del quiz

Prima di iniziare il quiz dovresti saper spiegare:

• cosa significa CIA triad;
• la differenza tra threat, vulnerability e risk;
• cosa significa hardening;
• perché SSH è preferibile a Telnet;
• cosa significa AAA;
• la differenza tra authentication, authorization e accounting;
• cosa fanno ACL standard ed estese;
• perché il deny implicito è importante;
• cosa fa port security;
• a cosa serve DHCP snooping;
• a cosa serve Dynamic ARP Inspection;
• perché la segmentazione riduce il rischio;
• a cosa serve una VPN;
• perché logging e patching sono controlli importanti.