Prokursy Online

Podstawy

Testy 1

7 min czytaniaPostęp: 69/78Nieukończona

PYTANIE 1 (fundament – bezpieczeństwo dostępu do urządzeń)

Scenariusz

Masz urządzenie sieciowe (router/firewall/switch zarządzalny).
Po podłączeniu lokalnie (konsola/port serwisowy) od razu masz pełny dostęp admina bez uwierzytelnienia.

Pytania

  1. Dlaczego to problem bezpieczeństwa (realne ryzyka)?

  2. Co wdrożyć, żeby zabezpieczyć:

  • dostęp lokalny,

  • podniesienie uprawnień admina,

  • dostęp zdalny?

  1. Jakie minimum bezpieczeństwa w małej firmie, a jakie w średniej/dużej?

Odpowiedź ucznia (miejsce)

………………………………………………………………………………

Typowa odpowiedź ucznia (częsta)

„Można zresetować wszystko, trzeba hasło i najlepiej SSH.”

Ocena rekrutera (co OK / czego brak)

✅ OK: widzi ryzyko pełnego dostępu, kojarzy SSH
❌ Brak: skutków biznesowych, rozdziału ról, fizycznej kontroli dostępu, audytu

Odpowiedź idealna (rekrutacyjna)

„To problem, bo osoba z fizycznym dostępem może w kilka minut zmienić konfigurację, odciąć Internet, przejąć sieć, podmienić DNS, zrobić podsłuch lub zablokować usługi — a to oznacza realny przestój firmy i ryzyko incydentu.

Minimalnie zabezpieczam dostęp lokalny (hasło na konsoli/trybie uprzywilejowanym) i fizycznie ograniczam dostęp do sprzętu. Rozdzielam uprawnienia: konto do podglądu vs konto administracyjne.

Zdalnie dopuszczam tylko szyfrowany dostęp (SSH/VPN), z indywidualnymi kontami, logowaniem zdarzeń, ograniczeniem źródeł (tylko z sieci admin/VPN) i najlepiej MFA. W większej firmie dokładam RBAC, centralne uwierzytelnianie (RADIUS/TACACS/AD), segmentację sieci zarządzania oraz stały monitoring i alerty.”

Checklist (minimum)

  • hasła / konta indywidualne

  • wyłącz Telnet/HTTP

  • SSH/VPN + ograniczenie źródeł

  • logi (syslog) + backup konfiguracji

PYTANIE 2 (diagnostyka – „komputer ma IP, ale nie ma Internetu”)

Scenariusz

Użytkownik mówi: „Komputer ma adres IP, ale nie działa Internet.”

Pytania

  1. Jakie 3–5 rzeczy sprawdzasz najpierw?

  2. Jak rozróżnisz: problem komputera / LAN / wyjścia do Internetu?

Odpowiedź ucznia (miejsce)

………………………………………………………………………………

Typowa odpowiedź ucznia

„Ping google.com, ping routera, pewnie DNS lub dostawca.”

Ocena rekrutera

✅ jest logika (DNS/LAN)
❌ kolejność zła (zaczyna za wysoko), brakuje testu IP bez DNS

Odpowiedź idealna

„Zaczynam od podstaw: sprawdzam konfigurację IP (IP/maska/brama/DNS). Potem ping do bramy domyślnej — to potwierdza LAN. Jeśli brama odpowiada, pinguję publiczny adres IP (np. 1.1.1.1/8.8.8.8), żeby sprawdzić routing/wyjście. Dopiero potem testuję nazwę domenową (nslookup/google.com), żeby potwierdzić DNS.

Jeśli nie działa ping do bramy — problem lokalny (kabel/Wi-Fi, VLAN, port, sterownik). Jeśli brama działa, ale IP w Internecie nie — problem na wyjściu (router/NAT/firewall/ISP). Jeśli IP działa, a nazwy nie — problem DNS (klient/DHCP/serwer DNS).”

Komendy (Windows/Linux)

  • ipconfig /all / ip a

  • ping <brama>

  • ping 8.8.8.8

  • nslookup google.com / dig google.com

  • tracert 8.8.8.8 / traceroute 8.8.8.8

PYTANIE 3 (routing – dwie podsieci nie gadają)

Scenariusz

Sieci:

  • 192.168.1.0/24 (użytkownicy)

  • 192.168.2.0/24 (serwery)

Komputer z 192.168.1.0/24 nie łączy się z serwerem 192.168.2.x.

Pytania

  1. Najczęstsze przyczyny?

  2. Co sprawdzasz po kolei zanim powiesz „routing nie działa”?

Odpowiedź ucznia (miejsce)

………………………………………………………………………………

Typowa odpowiedź ucznia

„Ping serwera. Jak nie działa, to routing/VLAN.”

Ocena rekrutera

✅ test IP OK
❌ brak konkretów: brama, trasy, ACL, VLAN/trunk, firewall po stronie serwera

Odpowiedź idealna

„Najpierw potwierdzam, że host ma poprawną bramę i czy ping do bramy działa. Potem sprawdzam, czy urządzenie routujące ma interfejsy w obu podsieciach i ma trasy do obu sieci (lub są to sieci bezpośrednio podłączone). Sprawdzam, czy nie ma filtracji (ACL/firewall) między podsieciami i czy serwer ma poprawną bramę zwrotną. Jeśli są VLAN-y, weryfikuję przypisanie portów, trunk, allowed VLAN i poprawność SVI.”

Lista najczęstszych przyczyn (do wkuwania)

  • zła brama na PC lub serwerze

  • brak routingu / brak SVI / brak trasy

  • ACL/firewall blokuje ruch

  • VLAN/trunk/allowed VLAN błąd

  • serwer blokuje ICMP/porty

PYTANIE 4 (architektura – VLAN users/servers/guests)

Scenariusz

Masz:

  • VLAN użytkowników

  • VLAN serwerów

  • VLAN gości

Pytania

  1. Dlaczego nie mogą być razem?

  2. Co się stanie bez routingu między nimi?

  3. Gdzie najlepiej realizować routing i dlaczego?

Odpowiedź ucznia (miejsce)

………………………………………………………………………………

Odpowiedź idealna

„Goście muszą być odseparowani od firmowych zasobów (bezpieczeństwo, RODO, ryzyko incydentów). Bez routingu VLAN-y są odizolowane i nie widzą się (podstawowa separacja). Routing najlepiej robić na urządzeniu L3 (switch L3 lub firewall) — zależy od środowiska: switch L3 daje wydajność w LAN, a firewall daje kontrolę i polityki bezpieczeństwa. Ruch między VLAN-ami zawsze powinien być kontrolowany regułami (ACL/firewall), szczególnie guest.”

PYTANIE 5 (firewall/NAT – trzy pułapki)

Scenariusz

Masz sieć firmową i Internet przez firewall.

Pytania

  1. Dlaczego inbound z Internetu domyślnie blokujemy?

  2. Różnica: „allow rule” vs „port forwarding”?

  3. Dlaczego NAT nie jest zabezpieczeniem?

Odpowiedź ucznia (miejsce)

………………………………………………………………………………

Odpowiedź idealna

„Domyślnie blokujemy inbound, bo wystawienie usług do Internetu zwiększa powierzchnię ataku — skanowanie, exploity, brute force. Reguła allow dopuszcza konkretny typ ruchu przez zaporę, a port forwarding publikuje usługę z LAN na zewnątrz mapując publiczny port na IP/port wewnętrzny. NAT tylko zmienia adresy — sam z siebie nie filtruje, więc bez reguł zapory nadal można niebezpiecznie wystawić usługi.”

PYTANIE 6 (DNS – działa po IP, nie działa po nazwach)

Scenariusz

„Internet działa, ale strony otwierają się tylko po IP, nie po nazwie.”

Pytania

  1. Co to oznacza?

  2. Co konkretnie sprawdzasz?

  3. Czy to może być wina klienta/LAN/Internetu?

Odpowiedź ucznia (miejsce)

………………………………………………………………………………

Odpowiedź idealna

„To objaw problemu z rozwiązywaniem nazw DNS. Sprawdzam jakie DNS są ustawione na kliencie (czy z DHCP), czy klient ma łączność z serwerem DNS (ping/port 53), robię nslookup i porównuję wynik na DNS lokalnym i publicznym. Sprawdzam też czy problem dotyczy jednego urządzenia czy całej sieci. To może być: zły DNS na kliencie, niedziałający DNS w LAN, filtr na firewallu, albo awaria/timeout u operatora — rozstrzygam testem nslookup/dig.”

PYTANIE 7 (odsiewowe – DHCP dało IP, a Internetu nie ma)

Scenariusz

Nowy komputer:

  • dostał IP z DHCP

  • ma maskę

  • ma bramę

  • nie ma Internetu

Pytania

  1. Jak to możliwe?

  2. Podaj min. 3 realne przyczyny.

  3. Co sprawdzisz jako pierwsze i dlaczego?

Odpowiedź ucznia (miejsce)

………………………………………………………………………………

Odpowiedź idealna

„To możliwe, bo DHCP tylko nadaje parametry — nie gwarantuje, że dalej działa routing/NAT/DNS/polityki. Przyczyny: (1) DNS nie działa lub jest zły, (2) problem na wyjściu — brak NAT/default route/firewall blokuje, (3) polityka sieci — błędny VLAN, port security, captive portal, filtr MAC, (4) MTU lub problemy z trasą. Najpierw potwierdzam LAN: ping do bramy. Potem test IP w Internecie: ping 8.8.8.8. Dopiero potem testuję DNS nazwą.”

DODATEK 1: „Rekruter hotelowy” – pytania + idealne odpowiedzi

1) Internet padł o 19:00, goście wkurzeni

„Najpierw ustalam skalę (cały hotel czy tylko guest Wi-Fi). Sprawdzam status łącza i bramy, uruchamiam plan awaryjny (łącze zapasowe / failover). Równolegle informuję recepcję, żeby mogli komunikować się z gośćmi.”

2) Recepcja nie może meldować

„Sprawdzam łączność recepcji z LAN i serwerem. Jeśli LAN działa, weryfikuję serwer/usługę. Daję recepcji jasny komunikat: co padło i jaki jest plan.”

3) Wi-Fi działa w lobby, nie działa w pokojach

„Najczęściej: AP w pokojach offline, brak uplinku, zasilanie PoE, błędny VLAN/SSID, przeciążenie. Zaczynam od widoczności AP i uplinku.”

4) Netflix/YouTube nie działa

„Może to być limit pasma, QoS, filtr treści, przeciążenie w godzinach szczytu. Nie zawsze wina ISP — często polityka sieci hotelu.”

5) Dlaczego guest/recepcja/monitoring osobno

„Bezpieczeństwo i stabilność. Goście nie mogą mieć dostępu do systemów firmowych ani kamer. Rozdział ogranicza incydenty i broadcast.”

6) Monitoring nie nagrywa po restarcie

„Sprawdzam łączność kamery→rejestrator i czy adresacja się nie zmieniła. Restart to nie rozwiązanie — trzeba potwierdzić, że nagrywanie wróciło.”

7) „Goście nie mogą nic zepsuć”

„Izolacja klientów, brak dostępu do LAN, kontrola ruchu na firewallu, limity pasma, blokady P2P, monitoring.”

8) Zdalna księgowość

„VPN + ograniczenia (tylko potrzebne zasoby), logi, MFA. Nie wystawiam księgowości portami do Internetu.”

9) Jeden ISP

„W małym obiekcie może wystarczyć, ale przy krytycznych usługach i sezonie — łącze zapasowe jest uzasadnione biznesowo.”

10) „Nie ma Wi-Fi = nie ma Internetu”

„Wi-Fi to sposób dostępu. Internet może działać, a Wi-Fi nie — i odwrotnie.”

11) Dlaczego nie aktualizujesz od razu

„Bo aktualizacja w złym momencie robi większą awarię. Aktualizacje planuję i testuję.”

12) Bezpieczeństwo vs dostępność

„Balans. Musi działać i musi być bezpiecznie — robimy priorytety i procedury.”

13) Jak zabezpieczyć guest Wi-Fi

„Izolacja klientów, ograniczenia pasma, proste logowanie, monitoring jakości, rozsądne blokady.”

14) „Ktoś mi wchodzi na laptopa”

„Sprawdzam izolację klientów i anomalie, ale bezpieczeństwo laptopa to też kwestia urządzenia gościa. Mogę pomóc doradzić kroki.”

15) Awaria w sezonie

„Stabilizacja i przywrócenie kluczowych usług. Rzeczy wymagające dostawcy eskaluję od razu.”

DODATEK 2

35) Czy ping = usługa działa?

Nie. Ping testuje tylko ICMP (czy host odpowiada), nie sprawdza portów ani aplikacji. Serwer może pingować, a HTTP/DNS/DB mogą nie działać; albo ping może być zablokowany, a usługa działa.

 

Notatki (opcjonalnie)
PoprzedniaNastępna