Skuska APS

Okruh č. 1 - STP a EtherChannel

1) Vysvetlite základný význam protokolu STP. Aké problémy rieši a akým spôsobom?

Spanning Tree Protocol (STP) zabraňuje vzniku slučiek (loops) v prepínaných sieťach. Problém: ak existujú v sieti redundantné cesty, pakety môžu cirkulovať donekonečna (broadcast storm), čo paralyzuje sieť. Riešenie: STP logicky blokuje redundantné porty a vytvára stromovú topológiu bez slučiek.

2) Uveďte a charakterizujte roly portov v protokole STP:

• Root Port (RP) - port s najnižšími nákladmi cesty ku koreňovému prepínaču
• Designated Port (DP) - port, ktorý preposiela dáta do segmentu (jeden na segment)
• Alternate/Blocked Port - zablokovaný port, záložná cesta
• Disabled Port - administratívne vypnutý port

3) Opíšte rozdiely medzi rôznymi verziami protokolu STP (STP, PVST+, RSTP, Rapid PVST+, MST)

• STP (802.1D) - originálna verzia, jedna inštancia pre všetky VLANy, konvergencia 30-50 sekúnd
• RSTP (802.1w) - rýchla konvergencia (sekundy), nové role portov
• PVST+ (Cisco) - samostatná inštancia STP pre každý VLAN
• Rapid PVST+ - RSTP pre každý VLAN samostatne
• MST (802.1s) - viacero spanning tree súčasne pre rôzne VLAN

4) Uveďte hlavné rozdiely medzi STP a RSTP

• RSTP konverguje výrazne rýchlejšie (1-2 sek vs 30-50 sek)
• Port roles: STP ma disabled, blocked, listening, learning, forwarding. RSTP ma len Discarding, learning, forwarding.
• RSTP má dodatočné role portov (Alternate, Backup namiesto Blocked)
• Spätná kompatibilita so STP

5) Charakterizujte mechanizmy PortFast a BPDU Guard

PortFast - port okamžite prechádza do forwarding stavu (pre koncové zariadenia), preskakuje listening/learning stavy. BPDU Guard - ak na PortFast port príde BPDU (znamená to pripojený prepínač), port sa okamžite vypne (ochrana pred slučkami).

6) Vysvetlite význam technológie EtherChannel. Aký problém rieši a akým spôsobom?

Technológia združovania viacerých fyzických spojení do jedného logického kanála. Problém: STP blokuje redundantné cesty. Riešenie: EtherChannel umožňuje využívať všetky kanály súčasne, zvyšuje priepustnosť a zabezpečuje redundanciu.

7) Uveďte rozdiely medzi protokolmi PAgP a LACP. Aké sú ich obmedzenia?

• PAgP (Port Aggregation Protocol) - proprietárny Cisco protokol, režimy: auto/desirable
• LACP (Link Aggregation Control Protocol, 802.3ad) - otvorený štandard, režimy: passive/active

8) Uveďte podmienky potrebné na úspešné vytvorenie EtherChannel

• Ten istý protokol (PAgP alebo LACP) s kompatibilnými režimami
• Typy rozhraní nemožno kombinovať. Napríklad, Fast Ethernet a Gigabit Ethernet nemožno kombinovať v rámci jedného EtherChannel.
• V súčasnosti môže každý EtherChannel pozostávať až z ôsmich kompatibilne nakonfigurovaných ethernetových portov.
• Konfigurácia portov jednotlivých členov skupiny EtherChannel musí byť konzistentná na oboch zariadeniach.

Okruh č. 2

1) Uveďte a charakterizujte najčastejšie typy útokov (DDoS, krádež dát, škodlivý kód) a zariadenia, ktorými je možné útokom brániť (VPN, NGFW, NAC, ISE)

Najčastejšie typy útokov:

• DDoS - záplava trafficu z mnohých zdrojov, cieľ znepristupniť službu
• Krádež dát - neoprávnený prístup k citlivým údajom (phishing, SQL injection, weak passwords)
• Škodlivý kód - malware (vírusy, červy, trojské kone, ransomware, spyware)

Obranné zariadenia:

• VPN - šifrovaný tunel cez internet (IPsec, SSL/TLS)
• NGFW - Next-Gen Firewall s DPI, IPS, application control
• NAC - Network Access Control, kontrola zariadení pred pripojením
• ISE - Cisco Identity Services Engine, centralizovaná správa prístupu a politík

2) Vysvetlite koncept AAA. Aký je rozdiel medzi lokálnou a serverovo založenou autentifikáciou?

AAA = Authentication, Authorization, Accounting

• Authentication - KTO si? (overenie identity: heslo, certifikát, biometria)
• Authorization - ČO môžeš robiť? (určenie oprávnení po prihlásení)
• Accounting - ČO si urobil? (logovanie aktivít používateľa)

Lokálna autentifikácia:

• Heslá uložené priamo v zariadení
• Jednoduché, funguje bez siete
• Nevýhoda: ťažká správa pri viacerých zariadeniach

Serverovo založená:

• Centralizovaný RADIUS/TACACS+ server
• Jednoduchá správa, detailné logovanie, šifrovanie
• Nevýhoda: závislosť od servera

3) Bližšie popíšte protokol 802.1X. Uveďte jeho komponenty a ich význam.

Port-Based Network Access Control Komponenty:

• Supplicant - koncové zariadenie (PC, telefón) žiadajúce prístup
• Authenticator - switch/AP, sprostredkovateľ medzi supplicant a serverom
• Authentication Server - RADIUS server (ISE), overuje identity a rozhoduje o prístupe

Proces:

1. Zariadenie sa pripojí → port neautorizovaný (len EAPoL)
2. Supplicant pošle credentials (heslo/certifikát)
3. Authenticator preposiela na RADIUS
4. RADIUS overí → Access-Accept/Reject
5. Port prejde do autorizovaného stavu alebo zostane blokovaný

4) Charakterizujte najčastejšie útoky v rámci druhej vrstvy OSI modelu. Tiež uveďte spôsob ich riešenia a principiálne konfiguráciu: Útok na tabuľku MAC adries; VLAN útoky (preskakovanie medzi VLAN, dvojité značenie); DHCP útoky; ARP útoky; STP útoky; CDP útoky.

A) MAC Address Table Overflow (MAC Flooding)

• Útočník zaplavuje switch falošnými MAC adresami
• CAM tabuľka preteká → switch pracuje ako HUB
• Riešenie: Port Security (limit MAC adries, sticky MAC, violation modes)

B) VLAN útoky

• VLAN Hopping - útočník odosiela 802.1Q tagged pakety do iného VLAN
• Double Tagging - dvojité značenie VLAN tagov
• Riešenie: zmeniť native VLAN, vypnúť DTP, nepoužívať VLAN 1

C) DHCP útoky

• DHCP Starvation - vyčerpanie DHCP poolu
• Rogue DHCP Server - falošný DHCP server (MITM)
• Riešenie: DHCP Snooping (trusted/untrusted porty, binding table)

D) ARP Spoofing/Poisoning

• Útočník posiela falošné ARP Reply → MITM útok
• Riešenie: Dynamic ARP Inspection (DAI) - kontrola ARP paketov voči DHCP Snooping table

E) STP útoky

• Útočník posiela falošné BPDU → stáva sa Root Bridge
• Riešenie: BPDU Guard + Root Guard

F) CDP útoky

• CDP odhaľuje nešifrované informácie o zariadeniach
• Riešenie: vypnúť CDP na nepotrebných portoch (no cdp enable)

Okruh č. 3 (NetAcad Modul 1-2):

1) Charakterizujte OSPF protokol

OSPF (Open Shortest Path First)

• Link-state routovací protokol (na rozdiel od distance-vector ako RIP)
• Otvorený štandard (RFC 2328 pre OSPFv2, RFC 5340 pre OSPFv3)
• Používa Dijkstra SPF algoritmus na výpočet najlepšej cesty
• Metrika: cost (na základe šírky pásma)
• Podporuje VLSM a CIDR
• Rýchla konvergencia
• Hierarchická štruktúra (areas) - škálovateľnosť
• Multicast adresy: 224.0.0.5 (All OSPF Routers), 224.0.0.6 (DR/BDR)
• Používa IP protokol číslo 89

2) Aké typy paketov a databáz používa OSPF protokol a za akým účelom?

5 typov OSPF paketov:

1. Hello - objavovanie susedov, udržiavanie susedstva
2. DBD (Database Description) - zoznam LSA v databáze
3. LSR (Link-State Request) - žiadosť o konkrétne LSA
4. LSU (Link-State Update) - obsahuje LSA (odpoveď na LSR)
5. LSAck (Link-State Acknowledgment) - potvrdenie prijatia LSU

3 typy databáz:

1. Adjacency Database (Neighbor Table) - zoznam susedov
• Príkaz: show ip ospf neighbor
2. Link-State Database (LSDB/Topology Table) - mapa celej siete
• Príkaz: show ip ospf database
3. Forwarding Database (Routing Table) - najlepšie cesty
• Príkaz: show ip route ospf

3) Vysvetlite procesy OSPF protokolu od vytvorenia susedstva až po voľbu najlepšej cesty.

1. Vytvorenie susedných pripojení
2. Výmena oznámení o stave spojenia
3. Vytvorenie databázy stavu spojenia
4. Vykonanie algoritmu SPF
5. Výber najlepšej trasy

4) Aký význam ma hierarchická štruktúra využitím implementácie viacerých oblastí?

Význam:

• Škálovateľnosť - redukcia veľkosti LSDB
• Rýchlejšia konvergencia - LSA flooding len v rámci oblasti
• Izolácia problémov - nestabilita v jednej oblasti neovplyvní iné
• Zníženie záťaže CPU/RAM - menšie SPF výpočty

5) Vymenujte a charakterizujte operačné stavy protokolu OSPF (Down ... Full).

• Down - žiadne Hello pakety prijaté
• Init - prijatý Hello, ale náš Router ID nie je v zozname susedov
• 2-Way - obojsmerná komunikácia potvrdená, voľba DR/BDR
• ExStart - vyjednávanie Master/Slave, DBD sequence number
• Exchange - výmena DBD paketov (Link-State IDs)
• Loading - sťahovanie kompletných LSA (LSR→LSU)
• Full - LSDB plne synchronizovaná, susedstvo kompletné

6) Vysvetlite význam určeného (designated) smerovača DR. Ako ovplyvňuje OSPF protokol?

Určený smerovač (DR) v OSPF znižuje počet susedstiev a objem služobného prevádzky prostredníctvom centralizovanej výmeny LSA v mnohostranných sieťach, čím zvyšuje škálovateľnosť a stabilitu protokolu.

7) Uveďte proces voľby RID v rámci OSPF protokolu.

OSPF vyberá Router ID v nasledujúcom poradí: ručne nastavené RID, potom najväčšie IP loopback rozhranie a v prípade ich absencie najväčšie IP aktívneho fyzického rozhrania.

8) Vysvetlite funkciu pasívneho rozhrania.

Pasívne rozhranie:

• Router neposiela Hello pakety na tomto rozhraní
• Nepokúša sa vytvoriť susedstvo
• Ale sieť na tomto rozhraní sa stále inzeruje v OSPF

Použitie:

• Na rozhraniach pripojených k koncovým zariadeniam (LAN switchov)
• Bezpečnosť - zabránenie neoprávnenej tvorbe susedstva
• Šetrenie bandwidth a CPU

9) Vysvetlite proces voľby DR a BDR v rámci OSPF protokolu.

Voľba prebehne na multi-access sieťach (Ethernet, nie point-to-point).

Kritériá (v poradí dôležitosti):

1. Najvyššia OSPF priority (0-255, default 1)
• Priority 0 = router sa nemôže stať DR/BDR
2. Najvyššie Router ID (ak je priorita rovnaká)

Proces:

1. Všetky routery pošlú Hello so svojou prioritou a RID
2. Router s najvyššou prioritou → DR
3. Router s druhým najvyšším → BDR
4. Ostatní → DROther

10) Akým spôsobom je možné ovplyvňovať metriku v rámci OSPF protokolu?

Metriku OSPF je možné zmeniť ručným nastavením hodnoty rozhrania, zmenou jeho priepustnosti alebo zmenou referenčnej priepustnosti pre výpočet nákladov.

Okruh č. 4 (NetAcad Modul 3-5):

1) Vysvetlite základné termíny používané v bezpečnosti (assets, vulnerability, threat, exploit, mitigation, risk).

• Assets - Aktívum je čokoľvek, čo má pre organizáciu hodnotu. Zahŕňa ľudí, vybavenie, zdroje a údaje.
• Vulnerability - Zraniteľnosť je slabina v systéme alebo jeho konštrukcii, ktorú môže ohrozenie zneužiť.
• Threat - Ohrozenie je potenciálne nebezpečenstvo pre aktíva, údaje alebo funkčnosť siete spoločnosti.
• Exploit - Zneužitie je mechanizmus, ktorý využíva zraniteľnosť.
• Mitigation - Zmiernenie je protiopatrenie, ktoré znižuje pravdepodobnosť alebo závažnosť potenciálnej hrozby alebo rizika. Bezpečnosť siete zahŕňa viacero techník zmierňovania.
• Risk - Riziko je pravdepodobnosť, že hrozba zneužije zraniteľnosť aktíva s cieľom negatívne ovplyvniť organizáciu. Riziko sa meria pomocou pravdepodobnosti výskytu udalosti a jej dôsledkov.

2) Vymenujte typy a kategórie útočníkov.

• White Hat (Ethical Hacker) - legálne testovanie bezpečnosti
• Black Hat - zločinný úmysel, finančný zisk
• Gray Hat - bez povolenia, ale bez zlého úmyslu (reportujú zraniteľnosti)
• Script Kiddies - neskúsení, používajú hotové nástroje
• Hacktivists - politická/ideologická motivácia
• State-Sponsored - financovaní vládami (kybervojny)
• Insider Threats - útočníci zvnútra organizácie

3) Charakterizujte rôzne typy útokov v kybernetickom priestore.

Eavesdropping Attack

Odpočúvanie sieťovej komunikácie (sniffing) bez vedomia účastníkov.

Data Modification Attack

Neoprávnená zmena prenášaných dát bez vedomia odosielateľa alebo príjemcu.

IP Address Spoofing Attack

Falšovanie IP adresy s cieľom vydávať sa za dôveryhodné zariadenie.

Password-Based Attacks

Zneužitie platných prihlasovacích údajov na získanie neoprávneného prístupu.

Denial of Service (DoS) Attack

Zablokovanie alebo obmedzenie dostupnosti služby zahltením siete alebo systému.

Man-in-the-Middle Attack

Útočník sa nachádza medzi komunikujúcimi stranami a odpočúva alebo mení komunikáciu.

Compromised-Key Attack

Zneužitie kompromitovaného kryptografického kľúča na prístup k zabezpečenej komunikácii.

Sniffer Attack

Zachytávanie a analýza sieťovej prevádzky, najmä nešifrovaných paketov.

4) Vymenujte a charakterizujte typy škodlivého kódu (vírus, červ, trojský kôň, atď.).

Vírus - pripája sa k súborom, šíri sa spustením infikovaného súboru

Červ (Worm) - samostatne sa šíri sieťou, nevyžaduje súbor-nositeľ

Trojský kôň (Trojan) - maskuje sa ako legitímny program

5) Aké rôzne útoky je možné vykonať využitím sociálneho inžinierstva?

• Phishing - falošný email/web vydávajúci sa za dôveryhodnú entitu
• Spear Phishing - cielený phishing na konkrétnu osobu/skupinu
• Whaling - phishing na top management (CEO, CFO)
• Vishing - phishing cez telefón (voice phishing)
• Smishing - phishing cez SMS
• Pretexting - vytvoreniefalošného scenára na získanie dôvery
• Baiting - ponuka niečoho lákavého (napr. USB kľúč "Výplaty 2025")
• Tailgating - fyzický vstup nasledovaním povolenej osoby
• Quid Pro Quo - ponuka výmeny za informácie ("IT podpora potrebuje vaše heslo")

6) Uveďte základné zraniteľnosti IP, TCP, UDP, ARP, DNS a DHCP protokolov.

• IP

• TCP - TCP SYN FLOOD, TSP Reset Attack
• UDP - UDP Flood (zaplavenie UDP paketmi)
• ARP - ARP Spoofing/Poisoning (falošné ARP odpovede (MITM))
• DNS - DNS open resolver attacks, DNS stealth attacks, DNS domain shadowing attacks, DNS tunneling attacks
• DHCP - DHCP Spoofing Attack

7) Charakterizujte CIA triádu v súvislosti s kyberbezpečnosťou.

CIA = Confidentiality, Integrity, Availability

• Confidentiality (Dôvernosť) - dáta sú prístupné len oprávneným
• Nástroje: šifrovanie, kontrola prístupu, autentifikácia
• Integrity (Integrita) - dáta sú presné, kompletné, nezmenené
• Nástroje: hash funkcie, digitálne podpisy, checksums
• Availability (Dostupnosť) - systém je dostupný pri potrebe
• Nástroje: redundancia, zálohovanie, DDoS ochrana

8) Charakterizujte prístup defense-in-depth.

Defense-in-depth je bezpečnostný prístup, pri ktorom sa používa viacero vrstiev ochrany, aby zlyhanie jednej vrstvy neohrozilo celý systém.

• fyzická bezpečnosť
• sieťová bezpečnosť (firewally, IDS/IPS)
• systémová a aplikačná bezpečnosť
• autentifikácia a autorizácia
• šifrovanie a monitorovanie

9) Vysvetlite význam zariadení firewall, IPS, IDS, ESA, WSA.

• Firewall - filtruje traffic na základe pravidiel (IP, port, protokol)
• IPS (Intrusion Prevention System) - detekuje a blokuje útoky v reálnom čase
• IDS (Intrusion Detection System) - detekuje útoky, alarmuje, ale neblokuje
• ESA (Email Security Appliance) - ochrana emailu (spam, phishing, malware vo vloženiach)
• WSA (Web Security Appliance) - ochrana webového trafficu (malware, URL filtering, DLP)

10) Akým spôsobom je možné zabezpečiť integritu, autentifikáciu a dôvernosť?

• Dôvernosť – Prístup k citlivým informáciám majú len oprávnené osoby, subjekty alebo procesy. Môže to vyžadovať použitie kryptografických šifrovacích algoritmov, ako je AES, na šifrovanie a dešifrovanie údajov
• Integrity – Odkazuje na ochranu údajov pred neoprávnenými zmenami. Vyžaduje použitie kryptografických hašovacích algoritmov, ako je SHA.
• Availability – Oprávnení používatelia musia mať nepretržitý prístup k dôležitým zdrojom a údajom. Vyžaduje implementáciu redundantných služieb, brán a prepojení.

11) Aký je rozdiel medzi symetrickým a asymetrickým šifrovaním? Aké sú protokoly, ktoré je možné využiť na šifrovanie?

Symetrické šifrovanie (DES, 3DES, AES, SEAL, RC)

• Na šifrovanie a dešifrovanie údajov sa používa rovnaký kľúč.
• Dĺžka kľúča je krátka (40 bitov – 256 bitov).
• Je rýchlejšie ako asymetrické šifrovanie.
• Bežne sa používa na šifrovanie veľkého množstva údajov, napríklad v prevádzke VPN.

Asymetrické šifrovanie (DH, RSA, DSA, Eilgamal, Elliptic Curve Techniques)

• Používa rôzne kľúče na šifrovanie a dešifrovanie dát.
• Dĺžka kľúčov je dlhá (512 bitov – 4096 bitov).
• Počítačovo náročné, preto pomalšie ako symetrické šifrovanie.
• Bežne sa používa na rýchle dátové transakcie, ako je HTTPS pri prístupe k vašim bankovým datam.

12) Na čo slúži Diffie-Hellman?

Diffie-Hellman (DH) je asymetrický matematický algoritmus, pri ktorom dva počítače generujú identický zdieľaný tajný kľúč bez toho, aby predtým komunikovali. Nový zdieľaný kľúč sa medzi odosielateľom a príjemcom nikdy skutočne nevymení. Keďže ho však obe strany poznajú, kľúč môže byť použitý šifrovacím algoritmom na šifrovanie prevádzky medzi oboma systémami.

13) Charakterizujte ACL prístupové zoznamy a ich hlavný význam.

ACL (Access Control List) - zoznam pravidiel na filtrovanie trafficu

Hlavný význam:

• Kontrola prístupu (kto môže kam)
• Filtrovanie paketov na routeroch
• Bezpečnosť siete
• Traffic shaping (klasifikácia pre QoS)

14) Aký je rozdiel medzi štandardným, rozšíreným, číslovaným a pomenovaným ACL?

• Štandardné ACL – povoľujú alebo odmietajú pakety iba na základe zdrojovej adresy IPv4.
• Rozšírené ACL – povoľujú alebo odmietajú pakety na základe zdrojovej a cieľovej adresy IPv4, typu protokolu a zdrojových a cieľových portov TCP/UDP.
• Číslované ACL – ACL identifikované číslom, môžu byť štandardné alebo rozšírené.
• Pomenované ACL – ACL identifikované názvom, prehľadnejšie a flexibilnejšie na správu, môžu byť tiež štandardné alebo rozšírené.

15) Vysvetlite význam wildcard masky a jej využitie v ACL.

Wildcard maska určuje, ktoré bity IP adresy sa majú porovnávať (0) a ktoré sa majú ignorovať (1) pri spracovaní ACL; používa sa na definovanie konkrétnej adresy, rozsahu adries alebo celej siete.

📌 Príklad: 192.168.1.0 0.0.0.255 – celá sieť 192.168.1.0/24

16) Uveďte aké sú odporúčania pri aplikácií ACL. Kde sa jednotlivé typy ACL aplikujú?

Best Practices:

1. Štandardný ACL - čo najbližšie k cieľu
2. Rozšírený ACL - čo najbližšie k zdroju

Kde aplikovať:

• Štandardný ACL: outbound na router pri destinácii
• Rozšírený ACL: inbound na router pri zdroji

17) Aký význam ma kľúčové slovíčko established v ACL?

Kľúčové slovo established umožňuje povoliť iba pakety patriace k už existujúcemu TCP spojeniu, t. j. pakety s nastaveným príznakom ACK alebo RST.
Používa sa na zvýšenie bezpečnosti a zabránenie nevyžiadaným prichádzajúcim spojeniam.

18) Z akých častí je ACL tvorený?

ACL je tvorený:

• identifikátorom ACL (číslo alebo názov),
• jednotlivými pravidlami (ACE),
• podmienkami filtrovania (zdroj, cieľ, protokol, porty),
• akciou (permit alebo deny),
• implicitným pravidlom deny any na konci.

Okruh č. 5 (NetAcad Modul 6-8):

1) Charakterizujte mechanizmus prekladu adries, prečo vznikol a ako funguje.

NAT (Network Address Translation) je mechanizmus prekladu IP adries medzi súkromnou a verejnou sieťou.
Vznikol kvôli nedostatku IPv4 adries a zvyšuje bezpečnosť tým, že skrýva vnútornú sieť.
Funguje tak, že mení IP adresy (a prípadne porty) v paketoch pri prechode cez smerovač.

2) Uveďte rozdiel medzi termínmi (inside local, inside global, outside local a outside global).

• Vnútorná adresa – adresa zariadenia, ktoré je prekladané prostredníctvom NAT.
• Vonkajšia adresa – adresa cieľového zariadenia.
• Lokálna adresa – Lokálna adresa je akákoľvek adresa, ktorá sa nachádza vo vnútornej časti siete.
• Globálna adresa – Globálna adresa je akákoľvek adresa, ktorá sa nachádza vo vonkajšej časti siete.

3) Uveďte základnú charakteristiku typov NAT (statické, dynamické a PAT).

• Statický NAT – trvalý preklad 1:1
• Dynamický NAT – preklad z poolu verejných adries
• PAT (NAT overload) – viac zariadení zdieľa jednu verejnú IP pomocou portov

4) Uveďte hlavné výhody a nevýhody prekladu adries.

Vyhody

• NAT zachováva legálne registrovaný adresný systém tým, že umožňuje privatizáciu intranetov.
• NAT zvyšuje flexibilitu pripojení k verejnej sieti.
• NAT zabezpečuje konzistentnosť schém adresovania vnútornej siete.
• Pomocou adries IPv4 RFC 1918 NAT skryje adresy IPv4 používateľov a iných zariadení.

Nevyhody

• narušenie end-to-end komunikácie
• problémy s niektorými protokolmi (tunneling protocols)
• vyššia zložitosť konfigurácie

5) Principiálne charakterizujte konfiguráciu všetkých troch typov prekladu adries.

• Statický NAT – manuálne mapovanie inside ↔ global
• Dynamický NAT – definícia poolu a ACL
• PAT – použitie jednej verejnej IP a portov (overload)

6) Vysvetlite pojem VPN a základné výhody využitia tejto technológie.

VPN (Virtual Private Network) vytvára zabezpečené spojenie cez verejnú sieť.

7) Porovnajte site-to-site a remote access VPN.

• VPN typu site-to-site sa vytvorí, keď sú koncové zariadenia VPN, nazývané aj brány VPN, vopred nakonfigurované s informáciami na vytvorenie bezpečného tunela. VPN prevádzka je šifrovaná iba medzi týmito zariadeniami. Interné hostitelia nemajú žiadne vedomosti o tom, že sa používa VPN.
• VPN so vzdialeným prístupom sa dynamicky vytvára s cieľom nadviazať bezpečné pripojenie medzi klientom a koncovým zariadením VPN. Napríklad SSL VPN so vzdialeným prístupom sa používa pri online kontrole vašich bankových informácií.

8) Opíšte GRE protokol a jeho význam. Porovnajte ho s DMVPN protokolom.

• GRE (Generic Routing Encapsulation) je tunelovací protokol, ktorý zapúzdruje rôzne protokoly, bez šifrovania.
• DMVPN kombinuje GRE, NHRP a IPSec, umožňuje dynamické tunely a je škálovateľnejší.

9) Charakterizujte IPSec a popíšte jeho hlavné komponenty. Vymenujte protokoly, ktoré je možné využiť na zabezpečenie jednotlivých funkcionalít IPSec

IPSec je bezpečnostný rámec pre IP komunikáciu, ktorý využíva protokoly AH a ESP na zabezpečenie dôvernosti, integrity a autentifikácie. Na výmenu kľúčov a správu spojení používa IKE a Diffie-Hellman algoritmus.

Okruh č. 6 (NetAcad Modul 9):

1) Vysvetlite pojmy bandwidth, congestion, delay a jitter.

Bandwidth - Množstvo dát, ktoré je možné preniesť za jednotku času cez sieťové médium. Vyjadruje sa v bps (kbps, Mbps, Gbps).

Congestion - Stav, keď sieťový prvok prijíma viac paketov, než dokáže spracovať alebo odoslať.

Delay (latency) - Čas potrebný na doručenie paketu od zdroja k cieľu

Jitter - Variabilita oneskorenia medzi po sebe idúcimi paketmi.

2) Uveďte základné nároky a charakteristiku pre nasledujúce typy komunikácie: data, voice a video.

3) Charakterizujte nasledujúce frontovacie algoritmy - FIFO, WFQ, CBWFQ, LLQ.

• FIFO (First-In, First-Out)
  Predvolený mechanizmus
  Pakety sa spracúvajú v poradí príchodu
  Neberie ohľad na typ prevádzky
• WFQ (Weighted Fair Queuing)
  Automaticky klasifikuje toky
  Každý tok dostane spravodlivý podiel bandwidth
• CBWFQ (Class-Based WFQ)
  Prevádzka je rozdelená do tried
  Každá trieda má pridelenú minimálnu bandwidth
• LLQ (Low Latency Queuing)
  Rozšírenie CBWFQ
  Poskytuje strict priority queue
  Používa sa hlavne pre voice traffic

4) Charakterizujte QoS modely: best-effort, integrated services a differentiated services.

Best-Effort

• Žiadna priorita
• Všetka prevádzka je spracovaná rovnako

Integrated Services (IntServ)

• Rezervácia zdrojov pre každý tok
• Používa RSVP
• Zlá škálovateľnosť

Differentiated Services (DiffServ)

• Prevádzka rozdelená do tried
• Používa DSCP marking
• Najčastejšie používaný QoS model

5) Aký je rozdiel medzi klasifikáciou a značením v súvislosti s kvalitou služieb? Na akých miestach je možné vykonávať značenie?

Klasifikácia (Classification)

• Proces identifikácie typu prevádzky
• Určuje, do ktorej triedy (class) paket alebo rámec patrí
• Vykonáva sa pred aplikovaním QoS politík

Spôsoby klasifikácie (CCNA 3):

• Layer 2 a Layer 3:
• rozhrania (interfaces),
• ACL,
• class-maps

Značenie (Marking)

• Proces pridania hodnoty do hlavičky paketu alebo rámca
• Táto hodnota informuje sieťové zariadenia, ako majú s paketom zaobchádzať
• Zariadenia porovnávajú značku s definovanou QoS politikou

Príklady značiek:

• Layer 2 – CoS
• Layer 3 – DSCP

Layer 2 vs. Layer 3 marking (podľa CCNA 3)

• Layer 2 marking
• Možný aj pre non-IP traffic
• Jediná QoS možnosť pre switche, ktoré nie sú „IP-aware“
• Layer 3 marking
• Prenáša QoS informáciu end-to-end cez sieť

6) Aký je rozdiel medzi pojmami policing a shaping?

Policing

• Obmedzuje rýchlosť okamžite
• Nadlimitné pakety zahadzuje alebo preoznačuje
• Typicky na ingress

Shaping

• Vyhladzuje prevádzku
• Nadlimitné pakety zadrží vo fronte
• Typicky na egress

Okruh č. 7 (NetAcad Modul 10-12):

1) Popíšte význam CDP a LLDP protokolov. Aký typ informácií je možné získať použitím týchto protokolov?

CDP:

• Cisco proprietary, Layer 2
• Multicast každých 60s
• Default zapnutý

LLDP:

• Open standard (IEEE 802.1AB)
• Funguje s akýmkoľvek vendor
• Multicast každých 30s

Informácie: Device ID, IP, Platform, IOS verzia, Interface, Native VLAN, Capabilities (R/S)

2) Na čo slúži protokol NTP a ako s ním súvisí pojem stratum?

NTP: Synchronizácia času, UDP 123

Prečo: Logovanie, certifikáty, Kerberos, troubleshooting

Stratum:

• 0 = atomic clock (nie v sieti)
• 1 = priamo pripojený k Stratum 0 (time.google.com)
• 2-15 = každý hop +1
• 16 = nesynchronizovaný

3) Popíšte architektúru a využitie protokolu SNMP.

Komponenty:

• NMS (Manager) - monitorovací server
• Agent - na každom zariadení
• MIB - databáza objektov (OID)

Operácie:

• GET - čítanie hodnoty
• SET - zmena
• TRAP - alert od agenta
• INFORM - trap s potvrdením

Verzie:

• v1, v2c - community string (plain text)
• v3 - šifrovanie + autentifikácia

4) Aký význam má protokol Syslog? Aký je rozdiel medzi pojmami facility a severity level v súvislosti s týmto protokolom?

5) Popíšte procedúru obnovy hesla (password recovery).

6) Vysvetlite hierarchický 2-vrstvový a 3-vrstvový model v PC sieťach. Popíšte jednotlivé vrstvy, ich význam a zariadenia, ktoré sa na jednotlivých vrstvách nachádzajú.

7) Uveďte postup pri riešení problémov v PC sieťach.

8) Vymenujte a charakterizujte štruktúrované metódy pri riešení problémov v PC sieťach.

9) Ako by ste postupovali pri riešení problémov s IP konektivitou? Aké nástroje a príkazy by ste pri tom použili?

• show interfaces - link up? errors?
• ipconfig - IP, maska, gateway správne?
• ping gateway - lokálna sieť OK?
• ping server - remote OK?
• traceroute - kde sa zastavuje?
• show ip route - je cesta?
• show access-lists - blokuje ACL?
• nslookup - DNS funguje?

1. Verify the Physical Layer
2. Check for Duplex Mismatch
3. Verify Addressing on the local Network
4. Verify Default gateway
5. Verify correct path
6. Verify the Transport Layer
7. Verify ACLs
8. Verify DNS

Okruh č. 8 (NetAcad Modul 13-14):

1) Vysvetlite pojem cloud computing.

Poskytovanie výpočtových zdrojov (servery, úložisko, aplikácie) cez internet, na požiadanie a s flexibilným škálovaním.

2) Porovnajte rôzne typy cloudu: public, private, hybrid a community.

• Public: poskytovateľ spravuje všetko, dostupné verejne (AWS, Azure).
• Private: cloud pre jednu organizáciu, vyššia bezpečnosť.
• Hybrid: kombinácia public a private cloud.
• Community: cloud zdieľaný viacerými organizáciami s rovnakými požiadavkami.

3) Ako súvisia dátové centrá s cloud computingom?

Cloud služby sú hostované v dátových centrách – fyzické servery, úložiská a sieťová infraštruktúra, ktoré tvoria základ pre cloudové služby.

4) Uveďte výhody virtualizácie. Tiež vysvetlite rozdiel medzi type 1 a type 2 hypervisors.

• Výhody: efektívnejšie využitie HW, izolácia, rýchle nasadenie, úspora nákladov.
• Type 1 hypervisor: beží priamo na HW (ESXi, Hyper-V).
• Type 2 hypervisor: beží nad OS (VMware Workstation, VirtualBox)

5) Vysvetlite na akom princípe je založený SDN koncept.

Oddelenie riadiacej roviny od dátovej – sieť je programovateľná cez softvér, nezávisle od HW.

6) Aký význam v SDN predstavuje prvok kontrolér.

Centrálny prvok, ktorý rozhoduje o smerovaní a politikách v sieti, komunikuje so sieťovými zariadeniami.

7) Porovnajte rôzne dátové formáty (JSON, XML, YAML) využívané na opis modelov sieťových zariadení.

• JSON: ľahký, čitateľný, často používaný s REST API.
• XML: robustný, dobre štruktúrovaný, verbose.
• YAML: ľahko čitateľný pre človeka, často s konfiguráciou a modelovaním.

8) Uveďte možnosti využitia API pri riadení, monitorovaní a konfigurácií sieťových infraštruktúr.

Automatizácia konfigurácie, monitorovanie zariadení, správa sieťových služieb, integrácia s orchestration tools.

9) Vysvetlite význam nástrojov ako Ansible, Puppet, Chef a možnosti ich využitia pri správe sieťovej infraštruktúry.

• Automatizujú konfiguráciu a správu siete a serverov.
• Umožňujú definovať desired state, nasadzovať jednotne a opakovane.

Použitie v networkingu:

• Ansible - najbežnejší (Cisco, Arista, Juniper moduly)
• Puppet - menej, ale možné
• Chef - zriedka

10) Charakterizujte prístup k modelovo riadenému programovaniu a jeho využitie v počítačových sieťach. Charakterizujte protokoly NETCONF, RESTCONF, YANG model a prácu s API.

• Riadenie siete cez dátové modely (YANG), protokoly (NETCONF, RESTCONF).
• NETCONF: XML-based konfigurácia a management.
• RESTCONF: REST API nad HTTP pre YANG modely.
• YANG: jazyk pre opis sieťových konfigurácií a štruktúry dát.