IINS 3.0: Внедрение безопасности в сетях CISCO. Версия 3.0

Курс IINS 3.0 – 5-дневный курс под руководством инструктора, специально разработанный для того, чтобы предоставить слушателям начальные знания по обеспечению безопасности на коммутаторах и маршрутизаторах Cisco, а также межсетевых экранах CISCO ASA.

Курс предназначен для инженеров и администраторов, занимающихся вопросами сетевой безопасности. В задачи, освещаемые курсом, входит разработка политики сетевой безопасности, работа с типовыми угрозами, защита и оценка активов и рисков, настройка оборудования, управление встроенными в Cisco IOS настройками безопасности, конфигурирование Zone‑based firewall, настройка VPN (site‑to-site, IPSec), знакомство с семейством Cisco ASA, с новым IPS – CISCO FIREPOWER. Данный курс - первый и самый нужный для изучения направления Security.

Большая часть курса состоит из практических заданий, позволяющих применить полученные знания и умения в тестовой лабораторной сети. Технический контент курса был обновлен и адаптирован под Cisco IOS Software Release 15.

Курс предназначен для сетевых инженеров, сотрудников технических служб, а также специалистов, которые занимаются безопасностью сетей, профессионалов, которые хотят повысить свой уровень в области сетевой безопасности, архитекторов корпоративных сетей и сетей сервис‑провайдеров.

Программа курса

Модуль 1. Введение в информационную безопасность

Цель: описание концепции информационной безопасности «control plane» и «management plane»

Урок 1: Модель угроз

Цель: описание модели угроз

Рассматриваемые вопросы:

• Описание модели угроз

• DoS и DDoS

• Подмена трафика

• Атаки отражения и усиления

• Социальная инженерия

• Phishing

• Подбор паролей

• Атаки разведки

• Атаки переполнения буфера

• Атаки «человек‑посредине»

• Malware

• Векторы потери данных

• Хакерские механизмы

• Прочее

Урок 2: Технологии защиты от угроз

Цель: описание технологий защиты от угроз

Рассматриваемые вопросы:

• Межсетевые экраны

• Системы предупреждения вторжений

• Безопасность содержимого

• VPN

• Безопасность конечных устройств

• Журналирование

Урок 3: Политика безопасности и базовые архитектурные принципы информационной безопасности

Цель: описание политики безопасности и базовых архитектурных принципов информационной безопасности

Рассматриваемые вопросы:

• Обзор информационной безопасности

• Классификация активов, уязвимостей и противомер

• Управление рисками

• Соответствие регуляторным требованиям

• Принципы дизайна безопасности

• Политика безопасности

• Зоны безопасности

• Функциональные элементы сети

Урок 4: Технологии криптографии

Цель: описание криптографических технологий

Рассматриваемые вопросы:

• Обзор криптографии

• Хэш‑алгоритмы

• Шифрование

• Криптоанализ

• Алгоритмы симметричного шифрования

• Алгоритмы ассиметричного шифрования

• Протокол SSH

• Цифровые сигнатуры

• Обзор PKI

• Операции PKI

• Протокол SSL/TLS

• Управление ключами

Модуль 2. Обеспечение безопасности сетевых устройств

Цель: обеспечение безопасности «control plane» и «management plane» сетевых устройств

Урок 1: Внедрение ААА

Цель: конфигурация ААА на сетевых устройствах CISCO

Рассматриваемые вопросы:

• Знакомство с ААА

• Базы данных ААА

• Протоколы ААА

• Сервера ААА

• Конфигурация и работа SSH на IOS

• Авторизация на IOS по уровням привилегий

• Внедрение локальной аутентификации и авторизации AAA

• Авторизация с использованием ролевого разделения доступа к CLI

• TACACS+ на IOS

Урок 2: протоколы и системы управления

Цель: внедрение безопасного управления CISCO IOS и CISCO ASA

Рассматриваемые вопросы:

• Файловая система IOS

• Копирование файлов на и с устройств

• Проверка образа CISCO IOS по MD5

• Цифровые подписи на образах

• Отказоустойчивость образа IOS

• NTP

• Syslog

• Оповещения о превышении использования памяти и CPU

• Netflow

• Возможности управления устройством

• Конфигурация и работа HTTPS

• Конфигурация и работа SNMPv3

• Защита управления с помощью ACL

• Что нужно знать о паролях?

Урок 3: Защита «control plane»

Цель: Обзор защиты «control plane»

Рассматриваемые вопросы:

• Что такое «control plane»?

• CoPP (Control Plan Policing)

• CPPr (Control Plane Protection)

• Аутентификация протоколов маршрутизации

• Аутентификация маршрутов OSPF

• Аутентификация маршрутов EIGRP

Модуль 3. Безопасность канального уровня

Цель: внедрение безопасности «control plane» и «data plane» на коммутаторах

Урок 1: Безопасность инфраструктуры уровня 2

Цель: внедрение безопасности коммутирующей инфраструктуры

Рассматриваемые вопросы:

• Введение в безопасность уровня 2

• Коммутация Ethernet

• Обзор VLAN

• Конфигурация VLAN

• Транки 802.1Q

• Атаки на транки

• Конфигурация транков и защита их

• CDP

• Использование ACL

• ACL на коммутаторах

• Защита CAM

• Port Security

• PVLAN

• PVLAN Edge

• Атаки на PVLAN и защита от них

Урок 2: Безопасность протоколов уровня 2

Цель: внедрение безопасности протоколов уровня 2

Рассматриваемые вопросы:

• Обзор STP

• Атаки STP

• Противодействие атакам STP

• Обзор DHCP

• Атаки DHCP

• DHCP Snooping

• Обзор ARP

• Атака отравлением кэша ARP

• DAI

Модуль 4. Межсетевые экраны

Цель: Описание межсетевых экранов

Урок 1: Технологии межсетевых экранов

Цель: описание технологий межсетевых экранов

Рассматриваемые вопросы:

• Обзор межсетевых экранов

• Пакетные фильтры

• Межсетевые экраны с контролем соединений

• Прокси‑сервера

• Межсетевые экраны нового поколения

• Журналирование

Урок 2: Знакомство с CISCO ASA 9.2

Цель: начальное конфигурирование CISCO ASA 9.2

Рассматриваемые вопросы:

• Семейство межсетевых экранов CISCO ASA

• Основные характеристики CISCO ASA

• Способы использования

• Контексты

• Отказоустойчивость

• Настройка доступа на CISCO ASA

• Настройка интерфейсов на CISCO ASA

• Обзор NAT

• Настройка NAT на CISCO ASA

• Настройка статического NAT на CISCO ASA

• Настройка динамического NAT на CISCO ASA

• Настройка PAT на CISCO ASA

• Настройка Policy PAT на CISCO ASA

• Проверка NAT

Урок 3: Контроль доступа и сервисные политики на CISCO ASA

Цель: обзор и конфигурация контроля доступа и сервисных политик на CISCO ASA

Рассматриваемые вопросы:

• Обзор правил обработки трафика на интерфейсах

• Конфигурация правил обработки трафика на интерфейсах

• Объектные группы

• Введение в CISCO ASA MPF

• Настройка CISCO ASA MPF

Урок 4: Зональный межсетевой экран CISCO IOS ZBF

Цель: описание и конфигурирование CISCO IOS ZBF

Рассматриваемые вопросы:

• Обзор технологии ZBF

• Зоны и зональные пары

• Описание C3PL

• Взаимодействие зон по умолчанию

• Настройка ZBF Class‑map

• Настройка ZBF Policy‑map

Модуль 5. VPN

Цель: Описание и конфиурирование VPN

Урок 1: Технологии IPSec

Цель: описание технологии IPSec

Рассматриваемые вопросы:

• IPSec VPN

• Сервисы IPSec

• Модель IPSec

• IKE

• IKE фаза 1

• Конфигурация ISAKMP

• Протоколы IPSEC

• IKE фаза 2

• Конфигурация IPSEC

• Криптографический стандарт «SUITE B»

• IKE версия 2

• IPSec и IPv6

Урок 2: Site‑to-site VPN

Цель: конфигурирование Site‑to-site VPN

Рассматриваемые вопросы:

• Туннели site‑to-site

• Настройка туннеля site‑to-site с помощью IPSec

• Шаг 1. Проверка совместимости ACL с IPSec

• Шаг 2. Настройка IKE фазы 1

• Шаг 3. Настройка IKE фазы 2 – наборы преобразований трафика

• Шаг 4. Настройка IKE фазы 2 – ACL для отбора трафика

• Шаг 5. Настройка IKE фазы 2 – крипто карты

• Проверка конфигурации IPSec

• Настройка Site‑to-Site VPN на CISCO ASA

• Контроль настройки Site‑to-Site VPN с помощью ASDM

Урок 3: VPN удаленного доступа

Цель: внедрение технологии VPN для удаленного доступа

Рассматриваемые вопросы:

• SSL и TLS

• Базовый Cisco AnyConnect SSL VPN

• Компоненты решения Cisco AnyConnect SSL VPN

• Аутентификация SSL VPN сервера

• Аутентификация SSL VPN клиента

• Назначение IP‑адреса SSL VPN клиенту

• Настройка AnyConnect SSL VPN

Урок 4: Безклиентский VPN удаленного доступа

Цель: внедрение безклиентского VPN удаленного доступа

Рассматриваемые вопросы:

• Cisco Clientless SSL VPN

• Использование Cisco Clientless SSL VPN

• Методы доступа к ресурсам Cisco Clientless SSL VPN

• Базовое решение Clientless SSL VPN

• Аутентификация сервера в Basic Clientless SSL VPN

• Аутентификация клиентов в Basic Clientless SSL VPN

• Списки URL в Clientless SSL VPN

• Управление доступом в Clientless SSL VPN

• Конфигурирование Clientless SSL VPN

Модуль 6. Дополнительные технологии безопасности

Цель: обзор дополнительных технологий безопасности

Урок 1: Обнаружение и предупреждение вторжений

Цель: описание IDS и IPS систем

Рассматриваемые вопросы:

• Введение в IPS

• Терминология IPS

• Техники ухода от обнаружения и меры противодействия им

• Защита сети с помощью FIRESIGHT

• Защита FIRESIGHT до атаки

• Защита FIRESIGHT во время атаки

• Защита FIRESIGHT после атаки

• Вариаты внедрения FIRESIGHT

• Режимы «inline» и «Passive Mode»

Урок 2: Защита конечных систем

Цель: описание защиты конечных систем

Рассматриваемые вопросы:

• Обзор безопасности конечных систем

• Персональные межсетевые экраны

• Антивирусы и анти‑spyware

• Централизованное управление политикой

• CISCO AMP для конечных систем

Урок 3: Безопасность контента

Цель: описание вопросов безопасности контента

Рассматриваемые вопросы:

• Внедрение CISCO ESA

• Обзор CISCO ESA

• Функциональные характеристики CISCO ESA

• Управление CISCO ESA

• Обработка почты с помощью CISCO ESA

• Внедрение CISCO WSA

• Обзор CISCO WSA

• Функциональные характеристики CISCO WSA

• Управление CISCO WSA

• Внедрение CISCO CWS

• Обзор CISCO CWS

• Функциональные характеристики CISCO CWS

Урок 4: Расширенные архитектуры безопасности

Цель: обзор дополнительных архитектур безопасности

Рассматриваемые вопросы:

• Модульный подход в безопасности

• Проблемы безопасности в современных сетях

• Управление идентификацией субъекта

• BYOD

• CISCO TRUSTSEC

Аудиторная нагрузка в классе с преподавателем: 40 ак. ч.

По окончании курса проводится итоговая аттестация в виде теста на последнем занятии или на основании оценок практических работ, выполняемых во время обучения.