Часть II. Построение распределенной корпоративной сети.



Вторая часть видеокурса состоит из шести отдельных модулей*


Модуль I. Построение корпоративной сети


Краткое описание модуля:

Изученные сетевые технологии в первой части видеокурса, являются никак не связанными друг с другом кусочками пазла. Еще с начала первой части, мы обещали Вам консолидировать, объединить все изученные знания в одном большом проекте. Наше обещание будет исполнено в этом модуле. Мы грамотно объединим технологии таким образом, что они станут частью единого целого, объединим посредством построения единой корпоративной сети предприятия.

Построенная корпоративная сеть, а также полученные знания в области работы с платформой сетевой виртуализации UNetLab, предоставят нам прочную платформу для изучения принципиально иных, качественно новых сетевых технологий в следующих модулях.


Урок 1. Unified Networking Lab (UNetLab)


1.1. Знакомство с платформой сетевой виртуализации UNetLab. Необходимость применения эмуляторов Dynamips, QEMU, IOU/IOL, Docker и VPCS.

1.2. Способы установки UNetLab. Установка bare-metal и с использованием гипервизоров VMWare - преимущества и недостатки каждого из способов.

1.3. Единая и территориально-распределенная архитектура UNetLab для построения большой корпоративной сети.

1.4. Минимальные и рекомендованные системные требования для единой архитектуры.

1.5. Минимальные и рекомендованные системные требования для территориально-распределенной архитектуры.

1.6. Методология аренды серверов для развёртывания UNetLab. Отличие VPS/VDS от выделенного сервера, гипервизоры OpenVZ и KVM.

1.7. Развёртывание UNetLab на гипервизоре VMWare WorkStation и первичная настройка виртуальной машины.

1.8. Создание первой лабораторной работы в UNetLab, знакомство с интерфейсом.

1.9. Добавление образов виртуального оборудования для эмулятора Dynamips, рекомендации по выбору образов IOS, запуск сетевого устройства.

1.10. Установка клиентов протоколов удаленного доступа для управления виртуальным сетевым оборудованием.

1.11. Обновление UNetLab с помощью команд Linux. Добавление функции Dynamic Nodes Connection.

1.12. Изучение процессов, происходящих в эмуляторе Dynamips. Понятия Program Counter, idle-loop, idle-max, idle-sleep и idle-pc.

1.13. Оптимизация потребляемых ресурсов эмулятором Dynamips с помощью установки значения, указывающего на предположительное место простоя в программном коде (idle-pc).

1.14 Методология расчета idle-pc для образов IOS, выбор и установка оптимального значения. Работа с механизмом «status» и командой «top».

1.15 Кастомизация клиентов протоколов удаленного доступа. Настройка размера и цвета шрифта, отключение нежелательных диалоговых окон.

1.16 Особенности сохранения конфигураций виртуальных устройств в UNetLab. Возможность использования одного и того же node с разными startup-config.

1.17 Дополнительные возможности UNetLab. Обзор функционала.

1.18 Многопользовательский режим UNetLab. Создание пользователей и управление ролями Administrator, Editor и User. Особенности многопользовательского режима.



Урок 2. Эмуляторы и платформы сетевой виртуализации


2.1. Эмуляторы Dynamips, QEMU, IOU/IOL, Docker и VPCS. Назначение эмуляторов.

2.2. Эмулятор Dynamips и MIPS архитектура.

2.3. Платформы Cisco устройств, поддерживаемых в Dynamips. Различия между серией и платформой.

2.4. Ограничения Dynamips в UNetLab. Обычные и кроссплатформенные образы.

2.5. Преимущества и недостатки Dynamips как эмулятора архитектуры MIPS.

2.6. Различия между симулятором и эмулятором. Наборы команд RISC и CISC.

2.7. Ограничения модуля EtherSwitch в Dynamips.

2.8. Мультивендорный Quick Emulator (QEMU) – список поддерживаемого сетевого оборудования и аппаратные архитектуры.

2.9. Образы Cisco vIOS и Cisco vIOS L2 для QEMU. Список технологий, не поддерживающихся в образах.

2.10. Преимущества и недостатки эмулятора QEMU.

2.11. Эмулятор IOU/IOL (IOS over Unix / IOS over Linux). История возникновения эмулятора, особенности использования.

2.12. Образы оборудования Cisco для эмулятора IOU/IOL, ограничения функциональности в образах L2.

2.13. Преимущества и недостатки эмулятора IOU/IOL (IOS over Unix / IOS over Linux).

2.14. Рабочая станция в сетевой топологии. Virtual PC Simulator, Docker и внешняя виртуальная машина. Различия в поддерживаемых функциях между VPCS и Docker.

2.15. Какой эмулятор выбрать? Сравнительная таблица Dynamips, QEMU и IOU/IOL. Потребление аппаратных ресурсов каждым из эмуляторов. Рекомендации по выбору эмулятора.

2.16. Платформы сетевой виртуализации, отличные от UNetLab.

2.17. IOU-Web как web frontend для IOU/IOL. Особенности построения сетевых топологий, поддерживаемые эмуляторы.

2.18. Graphical Network Simulator (GNS3). Сравнительная таблица GNS3 и UNetLab.

2.19. Virtual Internet Routing Lab (VIRL). Внутреннее устройство, поддерживаемые образы, потребляемые ресурсы, стоимость.

2.20. Cisco CSR и Cisco Nexus Titanium как аналоги ASR1000 и Nexus. Внутреннее устройство, методология запуска.

2.21. Какую платформу сетевой виртуализации выбрать? Сравнение рассмотренных платформ и выбор оптимального варианта для построения большой корпоративной сети.



Урок 3. Построение корпоративной сети, этап I


3.1. Одноранговый сетевой дизайн. Методология построения сети с одноранговым дизайном.

3.2. Проблемы и ограничения, свойственные одноранговым сетям. Почему модель равноправных сетевых устройств можно применять только в небольших сетях?

3.3. Иерархический сетевой дизайн для построения крупных сетей предприятий. Трехуровневая иерархическая модель компании Cisco.

3.4. Уровень Access для подключения конечных абонентов. Требуемая мощность оборудования, расчет нагрузки и задачи, возлагаемые на уровень доступа.

3.5. Уровень Distribution для агрегирования трафика. Требуемая мощность оборудования, расчет нагрузки и задачи, возлагаемые на уровень распределения.

3.6. Уровень Core для передачи трафика между Distribution. Соединение Distribution коммутаторов в цепочку, по схеме каждый на каждого и с использованием уровня Core. Преимущества и недостатки каждого из способов.

3.7 Оборудование, устанавливаемое на уровень Core. Задачи, решаемые на этом уровне.

3.8. Нужен ли Core уровень? Практические и финансовые аспекты.

3.9. Уровни Enterprise Edge, Server Farm и DMZ.

3.10. Преимущества трехуровневой иерархической сетевой модели над одноранговым сетевым дизайном. Решение проблем, связанных с перегрузкой коммутаторов, управлением сетевой безопасностью на уровне протокола IP, размером широковещательного домена, масштабируемостью и отказоустойчивостью.

3.11. Начало практической работы и консолидации ранее изученных технологий в одном большом проекте. Настройка виртуальной машины VMWare в соответствии с рекомендуемыми системными требованиями для территориально-распределенной архитектуры.

3.12. Создание новой лабораторной работы и добавление необходимых устройств в сетевую топологию. Выбор подходящих образов для каждого уровня, установка необходимых модулей с интерфейсами, настройка отображения сетевых устройств. Установка значений NVRAM и idle-pc.

3.13. Соединение всех устройств топологии с использованием отказоустойчивых связей.

3.14. Предварительное определение IP адресации и Router ID в маршрутизируемой части сети. Рекомендации по применению loopback интерфейсов.

3.15. Конфигурирование сетевых устройств, входящих в маршрутизируемую часть сети. Настройка поведения роутера с использованием команд «logging synchronous», «exec-timeout», «no ip domain-lookup». Настройка интерфейсов, анонсирование сетей для обеспечения динамической маршрутизации на основе протокола OSPF.

3.16. Краткое напоминание о принципах работы L2 и L3 портов. Обозначение номера модуля и номера интерфейса.

3.17 Проблема автосогласования duplex в оборудовании, эмулируемом на Dynamips. Ручная установка duplex на интерфейсах устройств.

3.18. Обеспечение отказоустойчивости шлюза на основе HSRP в коммутируемой части сети. Краткое напоминание о принципах работы технологий First Hop Redundancy Protocol (FHRP).

3.19. Конфигурирование trunk и access интерфейсов, назначение VLAN, настройка L2 EtherChannel и режимов балансировки трафика. Особенности работы с командой «show vlan» в модуле EtherSwitch.

3.20. Конфигурирование HSRP на коммутаторах уровня Distribution. Настройка SVI интерфейсов и standby групп для каждого VLAN, установка приоритетов.

3.21. Настройка Spanning Tree на работу в составе HSRP. Назначение ролей «root» и «secondary root» за каждый VLAN в зависимости от активного коммутатора. Особенности работы с командой «show spanning-tree» в модуле EtherSwitch.

3.22. Отправка первого IP пакета и проверка перехода от коммутируемой к маршрутизируемой части сети.

3.23. Построение уровня Server Farm (Data Center) и подключение DHCP сервера. Дизайн Server Farm – почему требуется выделить отдельный Distribution блок?

3.24. Настройка DHCP сервера. Конфигурирование пула IP адресов, основного шлюза и DNS сервера для каждого VLAN. Назначение запрещенных к выдачи адресов командой «ip dhcp-excluded addresses».

3.25. Проверка конфигурации. Работа с командами «show running-config | section DHCP» и «show running-config | include DHCP». Разница в логике работы команд «section» и «include».

3.26. Краткое напоминание о принципах работы технологии DHCP Relay Agent. Сообщения DHCP Discover, Offer, Request и Acknowledge.

3.27. Настройка агентов-ретрансляторов на коммутаторах уровня Distribution с использованием команды «ip helper-address»

3.28. Проверка работы DHCP сервера и механизма DHCP Relay Agent. Изучение принципов поиска и устранения проблем (troubleshooting) на примере обнаруженной неисправности. Пошаговая проверка корректной работы цепочки механизмов, входящих в коммутируемую и маршрутизируемую часть сети.

3.29. Дополнительная настройка DHCP сервера. Установка времени аренды и просмотр «IP address binding».

3.30. Завершение первого этапа построения большой корпоративной сети. Особенности использования памяти в UNetLab.



Урок 4. Построение корпоративной сети, этап II


4.1. Соединение виртуальной лабораторной среды с реальной, физической сетью. Обеспечение выхода в Интернет для пограничных (EDGE) роутеров.

4.2. Структура перехода от виртуального программного обеспеченья к реальной, физической сети.

4.3. Принципы взаимодействия цепочки интерфейсов FastEthernet 0/0->pnet 0->eth 0->VMWare Network Adapter->сетевая карта хостовой машины->физический роутер->Интернет.

4.4. Альтернативный способ обеспечения доступа к физической сети с использованием NAT и DHCP на VMWare WorkStation.

4.5. Обеспечение выхода в интернет для конечных пользователей предприятия. Настройка NAT с перегрузкой на пограничном EDGE роутере. Использование access-lists для управления диапазоном частных IP адресов.

4.6. Выявление и устранение сетевой неисправности (troubleshooting), обнаруженной при попытке доступа в Интернет. Работа с командой «default-information originate» и таблицей NAT трансляций.

4.7. Особенности Virtual PC при работе с DNS сервером.

4.8. Резервирование подключения к провайдеру с использованием схемы Dual-homed (2 CE to 1 ISP).

4.9. Закрепление IP адреса за MAС адресом интерфейса в настройках DHCP физического роутера.

4.10. Переконфигурация NAT на пограничных роутерах для работы в среде Dual-homed.

4.11. Распределение потока трафика от конечных пользователей между двумя EDGE роутерами с помощью управления метрикой. Работа с параметром «metric» в команде «default information originate».

4.12. Динамическое изменение метрики маршрута по умолчанию в зависимости от состояния провайдера. Использование механизма IP SLA в сопряжении с prefix-list, route-map и default-information.

4.13. Альтернативный способ управления маршрутом по умолчанию с использованием Embedded Event Manager (EEM). Изучение принципов работы апплетов.

4.14. Использование команды «event syslog pattern» для регистрирования событий IP SLA и запуска Event Manager Applet.

4.15. Применение мер предосторожности, связанных с использованием удаленных линий управления line vty в механизме Event Manager.

4.16. Управление маршрутом по умолчанию на основе route-map и с помощью Embedded Event Manager (EEM). Сравнение и выбор оптимальной реализации.

4.17. Работа с функцией «wait» в механизме Event Manager Applet. Версии EEM.

4.18. Решение проблем, связанных с периодическим отказом в обслуживании виртуальных SVI интерфейсов коммутаторов. Использование Event Manager Applet с событием «timer countdown».

4.19. Дополнительные события (events) и действия (actions), доступные в Embedded Event Manager (EEM). Работа с командами диагностики.

4.20. Тестирование отказоустойчивости на уровне Distribution, Core и Edge. Проверка отказоустойчивости основных шлюзов в коммутируемой и маршрутизируемой части сети.

4.21. Выявление и устранение сетевых неисправностей (troubleshooting), обнаруженных в процессе тестирования отказоустойчивости.

4.22. Ускорение процесса восстановления сети после сбоя, за счёт подстройки hello и dead interval в протоколах IGP, а также hello и hold timers в протоколах FHRP. Преимущества, недостатки и требования к стабильности сети при малых значениях таймеров. Рекомендуемые значения таймеров.

4.23. Switched Campus Architecture и идеология end-to-end VLANs. L2 связность между Access коммутаторами. Достоинства и недостатки модели маршрутизации на Distribution.

4.24. Routed Campus Architecture и идеология local VLANs. Правило распределения подсетей между Access коммутаторами. Еще раз об отличиях коммутации от маршрутизации. Достоинства и недостатки модели маршрутизации на Access.

4.25. Построение сети с архитектурой Routed Campus (маршрутизация на Access).

4.26. Построение local VLANs и настройка основных шлюзов для конечных пользователей. Распределение IP адресации в сети с учётом особенностей локальных VLANs.

4.27. Подробное изучение механизма перехода от конечного абонента к маршрутизируемой части сети в модели маршрутизации на Access. Обеспечение отказоустойчивости без использования First Hop Redundancy Protocols и Spanning Tree.

4.28. Детальное объяснение процессов, происходящих при передаче кадра в сети, построенной по модели маршрутизации на Access (Routed Campus). Сравнение с процессами, происходящими в сети, построенной по модели маршрутизации на Distribution (Switched Campus). Почему не возможна L2 связь между Access коммутаторами?

4.29. Моделирование ситуации неправильного распределения подсетей между Access коммутаторами в Routed Campus Architecture. Объяснение процессов, происходящих в сети при пересечении подсетей. Особенности балансировки трафика в механизме Cisco Express Forwarding (CEF)

4.30. Сравнение Routed и Switched Campus архитектур. Какую архитектуру выбрать?

4.31. Комбинирование архитектур. End-to-end VLANs в пределах одного Distribution блока. Проблемы коммутируемого ядра.

4.32. Нужна ли L2 связь между коммутаторами распределения в пределах одного Distribution блока в архитектуре Switched Campus? Моделирование ситуации отсутствия связи. Детальное отслеживание причин, приводящих к неоптимальному прохождению трафика при отсутствии L2 связи.

4.33. Нужна ли L3 связь между коммутаторами распределения в пределах одного Distribution блока в архитектуре Routed Campus? Влияние суммаризации на прохождения трафика в пределах Distribution блока при отсутствии L3 соединения.

4.34. Выполнение суммаризации маршрутов. Разделение сети, построенной по архитектуре Routed Campus на регионы OSPF. Краткое напоминание об особенностях суммаризации в EIGRP.

4.35. Влияние суммаризации на прохождения трафика в пределах Distribution блока при отсутствии резервирования между уровнем доступа и уровнем распределения.

4.36. Прямая линия связи между коммутаторами уровня ядра. Назначение линии связи.

4.37. Завершение второго этапа построения большой корпоративной сети. Подведение итогов.



Урок 5. Построение корпоративной сети, этап III


5.1. Способы подключения рабочей станции и серверов к платформе сетевой виртуализации UNetLab. Подключение с помощью Docker, QEMU и с использованием внешней виртуальной машины.

5.2. Подключение рабочей станции на Windows 7 к UNetLab с использованием внешней виртуальной машины на VMWare Workstation.

5.3. Создание и настройка новой виртуальной машины. Обзор и выбор редакции Windows 7, соответствующей требованиям проекта. Установка Windows 7.

5.4. Работа с виртуальными сетями VMnet для подключения Windows 7 к платформе сетевой виртуализации UNetLab. Установка сетевых адаптеров замыкания на себя Microsoft KM-TEST (loopback Windows).

5.5. Внесение изменений в структуру перехода от виртуального роутера до физической сети. Осуществление перехода через виртуальную сеть VMnet 0.

5.6. Объединение виртуальной машины UNetLab и виртуальной машиной Windows 7 с помощью виртуальной сети VMnet 1 и Network Adapters.

5.7. Проверка подключения Windows 7 к Access коммутатору в UNetLab с помощью трассировки. Внешняя виртуальная машина с Windows 7 получает доступ в интернет через всю иерархическую цепочку оборудования построенной корпоративной сети.

5.8. Детальное изучение взаимодействия интерфейсов «подключение по локальной сети в Windows 7» -> «Network Adapter» - > «VMnet 1 + Microsoft KM-TEST» -> «Network Adapter 2» -> «eth 1» - > «pnet 1» - > «Fast Ethernet 1/3» -> «корпоративная сеть в UNetLab».

5.9. Организация доступа к гостевой ОС с помощью Remote Desktop Protocol. Объединение хостовой и виртуальной машины с Windows 7 в единую канальную среду с помощью сети VMnet 2 в режиме host-only.

5.10. Обзор и выбор редакции Windows Server 2012, отвечающей требованиям проекта. Создание новой виртуальной машины и её настройка. Подключение новой ВМ к ранее созданной виртуальной сети VMnet 2 для осуществления доступа по RDP.

5.11. Детальное изучение взаимодействия цепочки интерфейсов, позволяющих объединить хостовую и гостевую ОС в единый широковещательный домен. Хостовая машина + Windows 7 + Windows Server 2012, объединённые с помощью виртуального коммутатора VMnet 2.

5.12. Установка Windows Server 2012. Особенности передачи сочетания клавиш control + alt + delete в виртуальную машину.

5.13. Установка компонента «пользовательские интерфейсы и инфраструктуры» для персонализации Windows Server. Инициализация дополнительного жесткого диска D.

5.14.Отказоустойчивое подключение внешней виртуальной машины с Windows Server 2012 к корпоративной сети в UNetLab. Добавление новых Microsoft KM-TEST, VMnet и Network Adapters. Подключение двух сетевых карт Windows Server к двум Distribution коммутаторам серверной фермы.

5.15. Настройка Distribution коммутаторов для подключения Windows Server. Настройка SVI, HSRP и Spanning-Tree. Причины возникновения петли коммутации при объединении сетевых карт Windows Server в режиме Bridge.

5.16. Таблица MAC адресов на Windows Server во взаимосвязи с HSRP. На какой из Distribution коммутаторов будут направляться пакеты от Windows Server?

5.17. Детальное изучение схемы подключения Windows Server к платформе сетевой виртуализации UNetLab. Цепочка интерфейсов «Network Bridge» -> «Ethernet 1» - > «Network Adapter 2» - > «VMnet 3 + Microsoft KM-TEST» -> «Network Adapter 3» -> «eth 2» - > «pnet 2» - > «fa 1/5 на FarmDistSwitch 1» -> «корпоративная сеть в UNetLab».

5.18. Отключение Cisco Express Forwarding (CEF) на Core коммутаторе и частичная потеря пакетов. Выполнение поиска неисправности в сети (troubleshooting) посредством отслеживания маршрута следования трафика. Использование команд диагностики «show ip route», «show ip ospf neighbors», «show interface fax/x switchport», «show ip interface brief», «show etherchannel summary». Устранение неисправности.

5.19. Устранение неисправности, связанной с динамически изменяющимися МАК адресами на интерфейсах роутеров.

5.20. Потеря маршрута по умолчанию при обращении к ресурсу в Интернет с Windows Server. Поиск причины, приводящей к потери маршрута (troubleshooting). Использование WireShark для отслеживания пути следования ICMP пакетов.

5.21. Особенности работы IP SLA при открытой NAT трансляции. Взаимосвязь поля BE Identifier в ICMP пакетах, формируемых Windows и Virtual PC, с потерей маршрута по умолчанию.

5.22. Устранение неисправности, приводящей к потери маршрута по умолчанию. Модификация конфигурации IP SLA.

5.23. Организация автоматического резервного копирования конфигураций активного сетевого оборудования. Установка ПО, принимающего подключения на 21 порт по протоколу FTP. Настройка FTP сервера.

5.24. Механизм автоматического резервного копирования конфигураций (running и startup configs) с помощью планировщика Kron (Command Scheduler). Знакомство с планировщиком.

5.25. Реализация механизма Command Scheduler на Cisco IOS. Работа с командами «policy-list», «cli copy startup-config», «kron occurrence». Изучение параметров настройки времени «oneshot», «recurring», «system-startup», а также «in» и «at».

5.26. Резервное копирование конфигураций по расписанию (running и startup configs) с помощью встроенной в IOS функции архивирования Archive & Rollback. Знакомство с Archive.

5.27. Настройка резервного копирования на Cisco IOS с помощью функции архивирования Archive. Установка пути до FTP сервера с помощью команды «path». Работа с переменными, возвращающими имя устройства «$H» и метку времени «$T».

5.28. Работа с командой «time-period», устанавливающей частоту резервного копирования, и командой «write-memory», позволяющей осуществлять выгрузку running-config на FTP сервер при каждом сохранении устройства.

5.29. Работа с командой «maximum» для ограничения количества резервных копий.

5.30. Необходимость установки корректного ip источника, при обращении к FTP серверу. Работа с командой «ip ftp source-interface».

5.31. Работа с лог-файлом FTP сервера. Особенности метки времени резервных копий в старых версиях IOS. Проверка работы функции Archive.

5.32. Автоматические восстановление роутера через заданный промежуток времени с помощью функции Rollback. Работа с командой «configure terminal revert timer X». Форсированное восстановление с помощью команды «configure revert now» и отказ от восстановления с помощью команды «configure confirm». Настройка времени ожидания FTP сервера с помощью «rollback retry timeout».

5.33. Альтернатива функции Rollback. Использование команды «reload in X» для автоматического восстановления роутера через заданный промежуток времени. Форсированная перезагрузка с помощью «reload» и отказ от перезагрузки с помощью «reload cancel».

5.34. Сравнение функций Rollback и Reload in X для автоматического восстановления Cisco IOS.

5.35. Методология ручного восстановления конфигурации устройства из резервной копии, находящейся на FTP сервере. Работа с командой «configure replace».

5.36. Журнал команд в механизме Archive & Rollback. Включение функции логирования и просмотр журнала.

5.37. Сравнение архивов с помощью «show archive config differences».

5.38. Использование параметра idle в команде «configure terminal revert timer X» механизма Rollback. Назначение параметра.

5.39. Обеспечение доступа к Access коммутаторам по IP адресам, не имеющих ни одного L3 интерфейса (подключенных по модели Switched Campus Architecture).

5.40. Особенности модуля EtherSwitch эмулируемого на Dynamips. Сообщение о недостаточном объеме flash памяти и способы устранения неисправности.

5.41. Настройка Archive & Rollback на L2+ коммутаторах.

5.42. Обеспечение neighbor взаимоотношений по протоколу OSPF для L3 коммутаторов, не имеющих ни одного физического L3 интерфейса (подключенных по модели Switched Campus Architecture).

5.43. Обеспечение доступа к Access коммутатору через редистрибьюцию маршрутов. Детальное объяснение алгоритмов работы. Рекомендации по применению редистрибьюции.

5.44. Установка доменных служб Active Directory и повышение роли Windows Server до уровня контроллера домена.

5.45. Добавление рабочей станции Windows 7 в состав домена.

5.46. Добавление новой учетной записи пользователя в Active Directory. Добавление пользователя в группы.

5.47. Осуществление входа в доменную учетную запись через консольное и RDP подключение. Windows 7, подключенный к Access коммутатору, через всю иерархическую структуру корпоративной сети, осуществляет взаимодействие с Windows сервером, подключенного к Distribution коммутаторам серверной фермы.

5.48. Консолидация знаний в области взаимодействия активного сетевого оборудования. Еще раз о базовых принципах работы сети.

5.49. Завершение третьего этапа построения большой корпоративной сети и подведение итогов.

5.50. Обзор технологий, протоколов и механизмов, изучаемых в следующих модулях.



Модуль II. VPN технологии.


Краткое описание модуля:

Этот модуль является ключевым модулем второй части, в нём подается самая сложная, многоуровневая техническая информация, имеющая множество ответвлений. Мы тщательно выверяли подаваемую информацию и стремились создать максимально качественный продукт.

Часть II, модуль II - это детальная информация с глубиной подаваемой информации на уровне стандартов RFC, включающая сложнейшую криптографию, симметричное и асимметричное шифрование, принципы туннелирования, группу протоколов IPsec и траблшутинг, инфраструктуру открытого ключа PKI и центры сертификации Certificate Authority, инфраструктуру времени предприятия NTP и многое другое. Такой глубины подаваемой информации о сложнейших VPN технологиях Вы еще не встречали ни в одном интерактивном видеокурсе.

Мы не просто изучим VPN технологии, мы разберем принципы работы всех сложных технологий до винтиков, благодаря чему, в последствии Вы сможете не только объединять филиалы и досконально понимать принципы туннелирования, но и максимально гибко управлять своей сетевой инфраструктурой, выбирая оптимальные VPN решения под конкретные задачи Вашего предприятия.


Урок 1. Network Time Protocol (NTP)


1.1. Необходимость синхронизации времени на активном сетевом оборудовании Cisco для последующей организации защищенных VPN соединений.

1.2. Единая точка отсчета для часовых поясов. Всемирное координированное время (Coordinated Universal Time, UTC).

1.3. Ручная конфигурация времени на устройствах Cisco. Установка даты, времени и часового пояса.

1.4. Автоматический переход на летнее время. Работа с командой «clock summer-time». Подсистема «date» и «recurring».

1.5. Различия между аппаратным и программным временем на устройствах Cisco. Назначение аппаратной микросхемы времени. Перенос времени из аппаратной микросхемы в операционную систему Cisco IOS. Оборудование, поддерживающее аппаратную микросхему времени.

1.6. Настройка отображения временных меток в log и debug сообщениях. Проштамповка сообщений журнала и отладки текущим временем устройства с учетом часового пояса. Проштамповка сообщений журнала и отладки временем от момента запуска устройства. Работа с командой «service timestamps» и подкомандами «debug», «log», «datetime», «localtime», «show-timezone». Рекомендации по применению механизма.

1.7. Недостатки ручной конфигурации времени на устройствах Cisco. Причины постепенного расхождения времени на сетевых устройствах.

1.8. Автоматическая синхронизация времени на активном сетевом оборудовании Cisco с помощью Network Time Protocol (NTP).

1.9. Топология NTP. Авторитетный источник времени. Понятие stratum для определения степени отдаления от авторитетного источника времени.

1.10. Процесс передачи метки времени от авторитетного источника до конечного клиента. Ошибка времени, накапливаемая при переходе между серверами разных часовых слоев.

1.11. Механизм коррекции времени на величину сетевых задержек в протоколе NTP. Компенсация накопленной ошибки.

1.12. Подключение пограничных роутеров предприятия к NTP серверам в Интернет. Понятие основного и запасного NTP сервера. Работа с командами «ntp update-calendar», «ntp logging», «ntp server», «ntp source-interface» и другими.

1.13. Рекомендации по выбору NTP сервера и методология проверки работоспособности. Команды диагностики «show ntp status», «show ntp associations», «show run | section NTP», «show clock detail». Понятие состояния синхронизации времени в протоколе NTP.

1.14. Особенности прохождения NTP пакетов через Network Address Translation (NAT). Ограничения, накладываемые механизмом PAT.

1.15. Работа NTP в среде сетевой виртуализации. Зависимость синхронизации времени от скорости работы виртуального оборудования.

1.16. Режимы взаимодействия устройств по протоколу NTP. Режим «Server/Client», «Broadcast/Multicast», «Peer». Рекомендации по использованию режимов.

1.17. Иерархический, плоский и комбинированный NTP дизайн. Преимущества и недостатки каждого дизайна. Выбор NTP дизайна исходя из нагрузочной характеристики сети предприятия.

1.18. Практическая реализация плоского NTP дизайна в корпоративной сети. Настройка пограничных роутеров предприятия на работу в роли NTP сервера. Команды «ntp master» и «clock calendar-valid».

1.19. Настройка сетевого оборудования, входящего в уровни Core, Distribution и Access на получение метки точного времени от пограничных роутеров предприятия, запущенных в режиме NTP сервера. Настройка взаимодействия «Broadcast/Multicast». Настройка отказоустойчивого NTP кластера с помощью режима взаимодействия «Peer».

1.20. Практическая реализация иерархического NTP дизайна в корпоративной сети. Включение роли NTP сервера на оборудовании, входящего в уровни Core и Distribution. Настройка роли клиента на оборудовании, входящего в уровни Core, Distribution и Access.

1.21. Защита инфраструктуры NTP. Последствия нарушения безопасности инфраструктуры времени предприятия.

1.22. Механизм защиты NTP с помощью access-lists на основе типов сообщений (NTP Access Groups). Сообщения «requests», «updates», «control queries».

1.23. Блокирование NTP сообщений с помощью access-lists и механизма NTP Access Groups. Режимы «query-only», «serve-only», «serve», «peer» .

1.24. Практическая реализация механизма защиты NTP с помощью access-lists на основе типов сообщений (NTP Access Groups). Настройка acсess-lists, применение режимов «peer» и «serve-only». Угрозы, нейтрализуемые данной защитой.

1.25. Проверка работоспособности инфраструктуры NTP, поиск и устранение неисправностей (troubleshooting). Использование команд «debug ntp», «ntp logging», «show ntp assosiations», «show ntp status».

1.26. Механизм защиты NTP с помощью аутентификации. Проверка подлинности источника. Угрозы, нейтрализуемые данной защитой.

1.27. Практическая реализация механизма защиты NTP с помощью аутентификации. Работа с командами «ntp authenticate», «ntp trusted key», «ntp authentication key». Защита клиентской и серверной части NTP. Реализация защиты на всех уровнях сетевой иерархической модели.

1.28. Принципы работы механизма аутентификации. Диагностика корректности работы механизма аутентификации с помощью debug и сниффера трафика WireShark.

1.29. Использование нескольких ключей в механизме аутентификации NTP. Сценарии применения ключевых цепочек.

1.30. Подключение Windows 7 к NTP серверу корпоративной сети предприятия. Отказоустойчивое подключение Windows Server 2012 к двум NTP серверам корпоративной сети, используя единый HSRP IP адрес.

1.31. В каком виде передается время в NTP пакете? Структура NTP Timestamp.

1.32. Детальное изучение процесса синхронизации времени между NTP сервером и клиентом. Начальное время (t1), время приема (t2), время отправки (t3), время получения (t4). Формулы расчета задержки (delay) и смещения (offset).

1.33. Внутренние алгоритмы NTP. Первичная фильтрация пакетов. Этапы обработки пакетов и процессы «peer/poll», «system», «clock discipline», «clock adjust».

1.34. Структура NTP пакета. Детальное изучение полей «Leap Indicator», «VN», «Mode», «Stratum», «Polling Interval», «Precision», «Root Delay», «Root Dispersion», «Reference Identifier», «Reference Timestamp» и другие.

1.35. Односторонняя и двухсторонняя синхронизация. Symmetric active/passive и server/client modes.

1.36. Различия между root delay и peer (round-trip) delay. Различия между peer dispersion и root dispersion.

1.37. Управляющие NTP пакеты Kiss-o’-Death (KoD) и кодовые комбинации Kiss Codes. Назначение и возможные угрозы безопасности.

1.38. Детальное изучение показателей вывода команды диагностики «show ntp status». Понятие колебательной системы. Номинальная и фактическая частота локальных часов. Показатели синхронизации, номера часового слоя, источника времени, точности, времени обновления, смещения, задержки, дисперсии, дрифта, статуса фильтра обратной петли, времени последнего обновления.

1.39. Детальное изучение показателей вывода команды диагностики «show ntp associations». Сконфигурированные сервера и сервера, добавленные в автоматическом режиме. Сервера кандидаты (candidates), выбранные сервера (selected), сервера аутсайдеры (outliers), сервера-фальсификаторы (falsetickers), сервера правильного времени (truechimers). Показатель источника времени и неисправности (.LOCL, .STEP., INIT, DOWN), показатели stratum, when и poll. Работа с показателем reach. Различия между дисперсией и смещением.

1.40. Детальное изучение показателей вывода команды диагностики «show ntp associations detail». Состояния «сonfigured», «dynamic», «our_master», «selected», «sync distance».

1.41. Проверка входящих NTP пакетов на соответствие характеристикам с помощью Sanity Test. Коды ошибок и их значения. Состояния «sane», «insane», а также «valid» и «invalid».

1.42. Дополнительные функции NTP. Установка ограничений на количество ассоциаций. Отключение NTP на интерфейсе. Настройка round-trip delay в широковещательных и многоадресных пакетах.

1.43. Настройка продолжительности такта кварцевого генератора с помощью команды «ntp clock-period». Ускорение и замедление локальных часов. Отличия работы механизма в IOS 15.

1.44. Ускорение первичной синхронизации с помощью команд «burst» и ibusrt». Факторы, влияющие на скорость синхронизации. Ухудшение статистических данных при ускорении синхронизации.

1.45. Настройка минимальной (minpoll) и максимальной (maxpoll) частоты опроса NTP сервера. Работа с командами «ntp server version», «ntp server source-interface», «debug ntp validity». Практическая реализация дополнительных функций NTP в проекте корпоративной сети предприятия.

1.46. Simple Network Time Protocol (SNTP), настройка и конфигурация. Отличия от NTP. Структура SNTP пакета. Рекомендации по использованию протокола.

1.47. Инфраструктура времени предприятия. Подведение итогов.



Урок 2. Введение в VPN технологии. Generic Routing Encapsulation (GRE)


2.1. Построение мини-проекта, состоящего из головного офиса и филиала, необходимого для изучения протокола GRE.

2.2. Идеология виртуальных частных сетей (Virtual Private Network). Объединение нескольких удаленных друг от друга частных сетей в одну единую локальную сеть.

2.3. Реализация VPN туннеля с использованием протокола Generic Routing Encapsulation (GRE). Конфигурация GRE. Работа с командами «tunnel-source», «tunnel-destination», «tunnel-mode» и другими. Статические маршруты через туннельные интерфейсы.

2.4. Детальное изучение принципов туннелирования на примере протокола GRE. Механизмы инкапсуляции оригинального IP пакета (пассажира) во внешний IP пакет (пакет доставки). Каким образом удается обратиться к компьютеру филиала по его частному IP адресу, не смотря на то, что частные IP адреса не маршрутизируются в Интернет? Использование WireShark для отслеживания процесса инкапсуляции.

2.5. Терминология VPN. Понятие инкапсуляции и туннелирования. Заголовки «delivery», «GRE», «payload».

2.6. Версии GRE. Структура GRE пакета версии 0. Поля «Checksum», «Routing», «Key», «Sequence Number» и другие. Назначение полей.

2.7. Структура GRE пакета версии 1 в пакете PPTP. Отличие GRE пакета версии 0 от GRE пакета версии 1.

2.8. Включение аутентификации, проверки чек-суммы, а также отслеживания последовательности пакетов в настройке туннельного интерфейса.

2.9. Подключение второго филиала к лабораторному проекту. Логические топологии взаимодействия филиалов Full-Mesh и Hub-and-Spoke.

Преимущества и недостатки каждой топологии. Рекомендации по выбору топологии. Настройка маршрутов для обеспечения взаимодействия между всеми филиалами согласно топологии Hub-and-Spoke.

2.10. Проблема MTU в VPN сетях. Максимальный размер сегмента TCP (MSS) и согласованный наименьший размер сегмента (SMSS).

2.11. Maximum Transmission Unit (MTU) и его влияние на количество передаваемых данных по VPN туннелю. Расчет количества полезных данных, которые можно передать внутри TCP заголовка без использования GRE.

2.12. Расчет количества полезных данных, которые можно передать внутри TCP заголовка при GRE инкапсуляции. Почему пропускная способность туннеля меньше, чем обычного интерфейса?

2.13. MTU на канальном и сетевом уровне. В чем разница между MTU физического интерфейса и MTU туннельного интерфейса?

2.14. Разница между размером кадра и размером MTU. Почему WireShark предоставляет недостоверную информацию о размере кадра?

2.15. Флаг Don’t Fragment в IP пакетах, препятствующий их прохождению через туннельный интерфейс.

2.16. Четыре способа решения проблемы MTU в VPN сетях и флага Don’t Fragment. Преимущества и недостатки каждого из способов.



Урок 3. Группа протоколов IPsec. Режимы инкапсуляции


3.1. Последствия нарушения конфиденциальности данных для предприятия. Типичные сценарии нарушения конфиденциальности.

3.2. Практическая работа по обеспечению конфиденциальности передаваемых по VPN туннелю данных посредством их шифрования. Шифрование GRE трафика. Базовая настройка IPsec на примере IPsec over GRE.

3.3. Подробнее о режиме инкапсуляции IPsec over GRE. Последовательность заголовков Ethernet->new IP->ESP->GRE->IP->ICMP->ESP Trailer->ESP Authentication. Недостатки этого режима. Использование WireShark для отслеживания последовательности заголовков.

3.4. Туннельный режим IPsec. Модификации, происходящие с оригинальной последовательностью заголовков при использовании этого режима. Назначение режима и сценарии его применения.

3.5. Практическая работа по организации Site-to-Site VPN с использованием туннельного режима IPsec. Поэтапная конфигурация. Настройка фазы 1 и фазы 2. Конфигурация static crypto-map. Работа с прямым и зеркальным access-list.

3.6. Алгоритм обработки исходящих и входящих пакетов. Принципы работы конфигурации «IPsec c crypto-map». Почему отсутствует необходимость в настройке статических маршрутов? Путь прохождения трафика от компьютера в головном офисе до компьютера в филиале.

3.7. Транспортный режим IPsec - шифрование служебного трафика, передающегося между двумя устройствами Cisco, находящимися в пределах одной локальной сети. Отличия от туннельного режима. Вид последовательности заголовков.

3.8. Практическая реализация транспортного режима IPsec. Сценарии применения режима. Сценарий 1 – защита служебного трафика, передаваемого между двумя роутерами. Настройка фазы 1 и фазы 2. Конфигурация static crypto-map. Настройка правил обработки трафика с помощью прямых и зеркальных access-list’s. Работа с командой диагностики «show crypto ipsec sa».

3.9. Сценарий 2 – защита трафика, передаваемого от сервера на компьютер пользователя в пределах одной локальной сети. Почему система автоматически переключается в туннельный режим, несмотря на очевидное преимущество транспортного? Запрет автоматического переключения в туннельный режим с помощью команды «mode transport require».

3.10. Консолидация изученных режимов инкапсуляции. Сценарии применения туннельного, транспортного, IPsec over GRE, а также GRE over IPsec режимов. Преимущества и недостатки каждого из них.



Урок 4. Группа протоколов IPsec. Протоколы ESP, AH, ESP & AH


4.1. История создания группы протоколов IP Security. IPsec как надстройка над стеком TCP/IP.

4.2. Возможности IPsec. Знакомство с принципами обеспечения конфиденциальности данных (data encryption), целостности данных (data integrity), аутентификации пакетов и шлюзов (packets and peer authentication), защиты от воспроизведения данных (anti-replay protection), обмена ключами (key management).

4.3. Протоколы, входящие в состав IP Security. Протокол согласования параметров безопасности IKE и протоколы инкапсуляции и передачи данных по туннелю - ESP, AH, EPS & AH.

4.4. Протокол инкапсуляции и передачи данных Encapsulating Security Payload, ESP. Принципы работы и назначение протокола, его возможности.

4.5. Обеспечение конфиденциальности (шифрования) данных посредством протокола ESP. Принципы шифрования. Шифрование данных симметричными алгоритмами DES, 3DES, AES. Участок в последовательности заголовков, подвергаемый шифрованию.

4.6. Последствия нарушения целостности пакетов для предприятия. Атака «человек по середине (man in the middle)». Детальное изучение принципов обеспечения целостности данных и аутентификации пакетов (data integrity and packets authentication) посредством протокола ESP и HMAC хеш-функций. Проверка целостности и аутентификация пакетов в едином механизме благодаря keyed-hash функции. Поле Authentication в ESP пакете.

4.7. Защита данных от воспроизведения (anti-replay protection), реализуемая с помощью поля Sequence Number (SN) в ESP пакете. Перемешивание пакетов в пределах заданного размера окна (anti-replay window). Цели и задачи злоумышленника, преследуемые при реализации атаки воспроизведения пакетов.

4.8. Структура ESP заголовка. Назначение полей Security Parameters Index (SPI), Sequence Number (SN), ESP Payload Data, Padding, Pad Length, Next Header, ESP Authentication Data. Размеры полей. Сравнение со структурой GRE заголовка.

4.9. Протокол инкапсуляции и передачи данных Authentication Header, AH. Режимы работы и возможности AH. Принципиальное отличие AH от ESP. Сценарии применения Authentication Header – когда AH лучше, чем ESP?

4.10. Структура AH заголовка. Назначение полей Next Header, Payload Length, Reserved, Security Parameters Index (SPI), Sequence Number (SN), Authentication Data, Payload Length. Размеры полей. Сравнение со структурой ESP заголовка.

4.11. Практическая работа – переход на использование AH вместо ESP в лабораторном проекте. Настройка политики второй фазы с помощью команды «crypto ipsec transform-set» и установка параметра «ah-sha-hmac». Работа с командами «crypto map», «show run | section crypto», «clear crypto sa». Использование WireShark для изучения новой последовательности заголовков.

4.12. Комбинированный режим ESP + AH. Совмещение возможностей двух протоколов в одном пакете. Двойная аутентификация. Защита от изменения всего пакета (включая внешний IP заголовок) при сохранении возможности шифрования данных. Вид последовательности заголовков при использовании ESP + AH.

4.13. Практическая работа по переходу на комбинированный режим. Модификация конфигурации политики второй фазы «transform-set» и установка параметров «esp-aes | esp-sha-hmac |ah-sha-hmac». Объяснение параметров.

4.14. Сравнение протоколов ESP, AH, ESP & AH. Участки в последовательности заголовков, подвергаемые подписи и шифрованию. Преимущества и недостатки комбинированного режима, сценарии применения.



Урок 5. Группа протоколов IPsec. Internet Key Exchange, фаза 1


5.1. Протокол согласования параметров безопасности Internet Key Exchange Protocol (IKE). Детальное изучение назначения и принципов работы протокола.

5.2. Фазы построения IPsec туннеля. IKE фаза 1 и IKE фаза 2. Основная идеология IKE.

5.3. IKE фаза 1 в Main Mode. Шесть сообщений и три этапа согласований. Этап согласования политик, этап генерации ключевого материала и обмен Diffie-Hellman, этап аутентификации и проверки подлинности.

5.4. Этап I - согласования политик. Что такое политика первой фазы и для каких целей требуется её согласование. Алгоритм согласования политик.

5.5. Протоколы ISAKMP, Oakley и SKEME, лежащие в основе гибридного протокола IKE. Принцип действия и назначение каждого протокола.

5.6. Структура заголовка ISAKMP. Многоуровневые вложения (payload) в ISAKMP. Вложения SA, Proposal и Transform. Флаги C, E, A. Назначение флагов. Поля SPI инициатора, SPI ответчика, Next Payload, Major, Minor, Exchange Type, Message ID, Total Message Length. Детальное описание полей.

5.7. Практическая работа по конфигурации политик первой фазы. Работа с командой «crypto isakmp policy». Атрибуты политики. Атрибуты encryption, hash, group, authentication, lifetime -детальное описание каждого атрибута. Назначение каждого атрибута.

5.8. Использование WireShark для изучения процесса согласования политик первой фазы на практическом примере. Обмен пакетами этапа I первой фазы IKE (сообщения 1 и 2).

5.9. Номера политик в Cisco IOS. Приоритет политик. Порядок расположения политик в ISAKMP пакете.

5.10. Изменение приоритета политик для гибкого управления процессом согласования. Как заставить роутер согласовывать конкретные политики?

5.11. Понятие «инициатор соединения». Согласование политик с разными атрибутами в зависимости от инициатора.

5.12. Политики с неполными атрибутами. Что будет, если выполнить частичную конфигурацию политики?

5.13. Поведение роутеров при отсутствии политик. Политики по умолчанию в IOS 15 и IOS 12.4. Особенности вывода команды «show crypto isakmp policy» в случае отсутствия политик сконфигурированных вручную.

5.14. Этап II - генерация ключевого материала и обмен Diffie-Hellman. Получение общего секретного ключа без его фактической передачи.

5.15. Детальное изучение принципов работы алгоритма Diffie-Hellman. Математические функции, основанные на асимметричных ключах. Псевдослучайное число «p» и первообразный корень «g». Формулы расчета общего секретного ключа Shared Secret.

5.16. Практическая работа. Самостоятельный расчет общего секретного ключа Shared Secret по формулам Diffie-Hellman.

5.17. Группа Diffie-Hellman как атрибут политики первой фазы. На что влияет номер группы Diffie-Hellman? Использование WireShark для изучения обмена пакетами этапа II первой фазы IKE (сообщения 3 и 4).

5.18. Общий ключевой материал SKEYID. Сессионные ключи SKEYID_a (authentication key), SKEYID_e (encryption key), SKEYID_d (derivative key). Назначение и использование каждого ключа.

5.19. Генерация SKEYID в случае аутентификации по pre-shared ключу. Обмен информацией KE и nonсe (Ni, Nr).

5.20. Подробнее о pre-shared ключе. Pre-shared ключ и Shared Secret – это одно и то же? Команда для установки pre-shared ключа. Роль pre-shared в формуле расчета общего ключевого материала SKEYID.

5.21. Формула расчета SKEYID в случае аутентификации по pre-shared ключу. Что такое PRF (pseudo-random function)?

5.22. Генерация SKEYID в случае аутентификации RSA Encrypted Nonces (шифрование открытым ключом). Суть метода аутентификации. Роль псевдослучайных чисел nonce (Ni и Nr) в рассматриваемом методе аутентификации. Обмен информацией CKY, hash, IDi, PK. Назначение каждой переменной. Формула расчета SKEYID.

5.23. Генерация SKEYID в случае аутентификации RSA Signature (по цифровым сертификатам). Суть метода аутентификации, отличия от RSA Encrypted Nonces. Обмен информацией CERT и SIG. Формула расчета SKEYID.

5.24. Формулы расчета сессионных ключей SKEYID_a, SKEYID_e, SKEYID_d. Общий SKEYID и Shared Secret как основа для расчета сессионных ключей.

5.25. Этап III - аутентификация и проверка подлинности VPN шлюзов на примере pre-shared аутентификации. Понятие identity. Формулы расчета HASH_I и HASH_R, которые используются для аутентификации VPN шлюзов. Изучение переменных (g^xi, g^xr, CKY-I, SAi, Idi), входящих в формулу расчета HASH_I и HASH_R. Каким образом pre-shared ключ участвует в механизме аутентификации. Как конкретно происходит процедура проверки подлинности и аутентификации с использованием identity hash.

5.26. Разница между проверкой подлинности и аутентификацией. Использование WireShark для изучения обмена пакетами этапа III первой фазы IKE (сообщения 5 и 6).

5.27. Конечный результат 3-х этапов первой фазы IKE в режиме Main Mode – ассоциация безопасности IKE. Что такое IKE Security Association, её назначение.

5.28. Просмотр установленных IKE Security Association с помощью команды «show crypto isakmp sa detail» Детальное изучение вывода команды. Столбцы ID, DST, SRC, VRF, STATUS и другие. Еще раз о том, что такое ассоциация безопасности.

5.29. Просмотр установленных IKE Security Association с помощью команды «show crypto isakmp sa» без параметра «detail». Детальное изучение вывода команды. Разница между диагностическими колонками status и state.

5.30. Таблица расшифровки состояний ассоциаций, отображаемых в колонке state. Состояния MM_NO_STATE, MM_SA_SETUP, MM_KEY_EXCH, MM_KEY_AUTH, QM_IDLE и другие.

5.31. Команды диагностики IKE фазы 1, не относящиеся к Security Association. Команды «show crypto isakmp» с параметрами «default policy, key, peers, profile, sa».

5.32. IKE фаза 1 в Aggressive Mode. Построение мини-ISAKMP туннеля за 3 сообщения. Обмен сообщениями в Main и Aggressive режиме – сравнение. Детальное изучение процессов, происходящих в течении Aggressive обмена. Что способствует его ускорению? Почему в Аggressive режиме этап аутентификации защищается только частично?

5.33. Преимущества и недостатки Aggressive режима. Что выбрать – Main Mode или Aggressive Mode?

5.34. Практическая работа по переходу на Aggressive Mode. Работа с профилем первой фазы и командой «crypto isakmp profile». Настройка профиля командами «initiate mode aggressive», «match identity», «keyring default». Как указать identity в случае pre-shared аутентификации? Что такое keyring? Как профиль влияет на поведение IPsec? Разница между профилем первой фазы и профилем второй фазы. Подключение профиля к текущей конфигурации.

5.35. Использование WireShark для изучения обмена первой фазы в Aggressive Mode на практическом примере. В каких случаях Aggressive режим будет инициирован принудительно?

5.36. Мини-ISAKMP туннель как конечный результат IKE фазы 1.



Урок 6. Группа протоколов IPsec. Internet Key Exchange, фаза 2


6.1. IKE фаза 2 Quick Mode. Процессы, происходящие на второй фазе IKE. Цели и задачи второй фазы.

6.2. Политики второй фазы transform. Назначение политик второй фазы. Изучение процесса обмена политиками второй фазы. Настройка политик второй фазы с помощью команды «сrypto ipsec transform-set». Взаимодействие transform-set и crypto-map.

6.3. Политики по умолчанию. Работа с командой «show crypto ipsec default transform-set». Дефолтные политики в IOS 15 и IOS 12.4.

6.4. Порядок подключения политик к crypto-map. Приоритет политик второй фазы. Согласование политик в зависимости от инициатора. Как заставить роутер согласовывать конкретные политики? Эмулирование ситуаций, при которых роутеры согласовывают разные политики.

6.5. Другие процессы, происходящие на второй фазе IKE. Проверка целостности и аутентификация источника с помощью расчета HASH. Ключевой материал SKEYID_a как основа для расчета HASH (1), HASH (2) и HASH (3). Детальное изучение алгоритма, с помощью которого два VPN шлюза проверяют подлинность отправителя на второй фазе IKE.

6.6. Переменные SKEYID_a, M-ID, SA, Ni, KE, IDi, IDr в формулах расчета HASH.

6.7. Генерация ключевого материала KEYMATERIAL, из которого создаются ключи для симметричных алгоритмов шифрования DES, 3DES, AES, а также для HMAC хеш-функций. Ключевой материал SKEYID_d как основа для формулы расчета KEYMATERIAL.

6.8. Perfect Forward Secrecy (PFS). Формула расчета KEYMATERIAL в зависимости от применения PFS. На что влияет PFS?

6.9. Целесообразность применения Perfect Forward Secrecy (PFS). Компрометация злоумышленником ключевого материала SKEYID_d. Влияние технологии PFS на скорость обмена второй фазы. Стоит ли включать PFS?

6.10. Практическая работа. Включение PFS с помощью команд Cisco IOS. Тест производительности роутеров с активированной и деактивированной технологией PFS. Объяснение причин, по которым снижается производительность роутера.

6.11. Знакомство с IPsec Security Association (ассоциация безопасности второй фазы). Особенности создания IPsec Security Association и их взаимосвязь с PFS. Просмотр Security Associations второй фазы с помощью команды «show crypto ipsec sa».

6.12. Модификация лабораторной работы и добавление дополнительных подсетей пользователей. Создание нескольких Security Associations второй фазы, путем направления трафика в разные подсети. Закрепление материала с помощью отслеживания событий, происходящих в сети.

6.13. Подробнее о Security Associations. Разница между IKE Security Association (ассоциация первой фазы) и IPsec Security Associations (ассоциации второй фазы). Какую информацию содержат Security Associations и для чего они используются?

6.14. Однонаправленные (unidirectional) и двунаправленные (bidirectional) Security Associations. Особенности двунаправленных SAs. Входящие и исходящие ассоциации.

6.15. Номер Security Parameter Index (SPI) и его взаимосвязь с Security Association (SA). Сопоставление входящего ISAKMP, ESP или AH пакета с соответствующей ассоциацией безопасности.

6.16. Формула расчета SPI номеров. Разница между IKE SPI и IPsec SPI. Изучение на примере расшифрованного пакета второй фазы.

6.17. Практическая работа с IPsec SAs и SPI номерами. Отслеживание сопоставления SPI номеров с входящими и исходящими IPsec SAs на практическом примере. Как конкретно роутер сопоставляет входящий ISAKMP, ESP или AH пакет с соответствующей SA. Понятие шаблона SA.

6.18. Продолжение детального изучения вывода команды «show crypto ipsec sa». Счетчики пакетов. Использование счетчиков для диагностики второй фазы. Понятие initialization vector (IV size).

6.19. Другие команды диагностики второй фазы IKE. Работа с командой «show crypto ipsec» и параметрами «policy», «profile», «default transform-set», «spi-lookup». Объяснение вывода команд. Разница между командами «sa» и «security associations».

6.20. Общие команды диагностики IPsec. Работа с командами «show crypto map» и «show crypto session».

6.21. Время жизни ассоциаций безопасности, Security Associations lifetime. Почему необходимо ограничивать время жизни ассоциаций? Время жизни по умолчанию.

6.22. Механизм автоматической смены Security Association по истечению времени жизни.

6.23. Особенности согласования значений lifetime между роутерами для разных типов SAs.

6.24. Установка значения lifetime для ассоциаций первой фазы. Два способа установки значения lifetime для ассоциаций второй фазы.

6.25. Глобальный способ установки времени жизни IPsec ассоциаций. Работа с командой «crypto ipsec security-association lifetime». Ограничение периода существования IPsec SAs по времени и количеству обработанных килобайт. Отключение лимитирования по количеству обработанных килобайт. Преимущества и недостатки глобального способа установки lifetime.

6.26. Установка времени жизни IPsec ассоциаций локально для crypto-map. Работа с командой «set security-association lifetime». Преимущества и недостатки локального способа установки lifetime.

6.27. Почему время жизни Security Association на первой фазе, должно быть больше, чем время жизни Security Associations на второй фазе?

6.28. Выбор оптимального значения lifetime для Security Associations с учетом, и без учета PFS.

6.29. Установка idle-time. Чем idle-time отличается от lifetime? Идеология idle-time.

6.30. Настройка защиты от атаки воспроизведения пакетов (anti-replay protection). Использование команды «сrypto ipsec security-association replay» для изменения размера окна (window-size). Необходимость в управлении размером окна. Отключение защиты.

6.31. Протокол IP Payload Compression Protocol (PCP) и алгоритм сжатия lzs, обеспечивающие компрессию пакетов. Цели, преследуемые при активации механизма. Преимущества и недостатки сжатия пакетов – стоит ли включать компрессию? В какой последовательности применять механизм – сначала сжатие, а затем шифрование, или сначала шифрование, а затем сжатие? Включение механизма сжатия, путем добавления соответствующего параметра в политику второй фазы. Работа со счетчиками компрессии. Новая Security Association для протокола PCP.

6.32. Последовательное изучение всех этапов, которые проходит исходящий пакет, прежде чем будет отправлен по туннелю – алгоритмы обработки исходящих пакетов.

6.33. База данных политик безопасности Security Policy Database (SPD). Назначение базы данных. Обработка пакета на основании селекторов и политик – «отбросить», «пропустить без применения IPsec» или «пропустить с применением IPsec». Каким образом формируется SPD?

6.34. База данных ассоциаций безопасности Security Associations Database (SAD). Поиск конкретной ассоциации безопасности в базе данных ассоциаций SAD с помощью маркеров.

6.35. Последовательное изучение всех этапов, которые проходит входящий пакет, прежде чем будет отправлен на компьютер пользователя – алгоритмы обработки входящих пакетов.

6.36. Основной IPsec туннель как конечный результат IKE фазы 2.



Урок 7. Группа протоколов IPsec. Криптографические алгоритмы и поиск неисправностей


7.1. Криптографические алгоритмы, используемые в IPsec. Способы аутентификации VPN шлюзов (PSK, RSA Encrypted Nonces, Digital Certificates). Асимметричные шифры, используемые в некоторых методах аутентификации (RSA, DSA, ECDSA, etc.). Что такое асимметричный алгоритм шифрования?

7.2. Симметричные алгоритмы шифрования (RC4, SEAL, AES, DES, 3DES, etc.), использующиеся для шифрования трафика пользователей. Блочные и потоковые симметричные шифры – принципы работы, отличия. Как происходит шифрование. Что такое симметричный алгоритм? Что такое раунд? Сравнение AES и DES по криптографической стойкости при одинаковой длине ключа. Особенности алгоритма SEAL при работе с микросхемами аппаратного шифрования ASIC.

7.3. Алгоритмы хеширования (MD, SHA, BLAKE, Grostl, etc.), использующиеся для проверки целостности и аутентификации пакетов. Чем обычный хеш-алгоритм отличается от HMAC хеш-алгоритма – изучение принципов работы. Хэш-функции, поддерживаемые в Cisco IOS. Длина итогового хеш. Разница между аутентификацией пиров и аутентификацией пакетов.

7.4. Алгоритм обмена ключами Diffie-Hellman. Три вида групп – DH, ECDH, SUBDH. Детально про каждую из групп. Зависимость криптографической стойкости от номера группы. Стоит ли использовать SUBDH группы? Группы с эллиптическими кривыми – больший уровень криптографической стойкости при меньшей длине числа P.

7.5. Рекомендации по выбору криптографических алгоритмов. Какие криптографические алгоритмы выбрать для обеспечения максимальной безопасности передаваемых данных?

7.6. Слабые, средние и сильные алгоритмы. Выбор алгоритмов для аутентификации VPN шлюзов, шифрования трафика IKE (служебных ISAKMP сообщений), шифрования данных пользователей, проверки целостности и аутентификации пакетов.

7.7. Длина итогового hash. Особенность поля Authentication Data в ESP и AH пакетах. Что такое SHA-2-512-96?

7.8. От чего зависит безопасность IPsec? Рекомендации по выбору группы Diffie-Hellman для первой и второй фазы IKE.

7.9. Длина pre-shared ключа. Разница между бинарном и десятичным представлением. Случайные биты. Взаимосвязь между битовой длиной используемой хеш-функцией и символьной длиной pre-shared ключа. Формула расчета необходимой символьной длины pre-shared ключа.

7.10. Рекомендации по выбору оптимального значения времени жизни (lifetime) для IKE и IPsec Security Associations. Рекомендации, учитывающие наличие или отсутствия механизма Perfect Forward Secrecy (PFS).

7.11. Что делать, если производительности роутера не достаточно для применения сильных алгоритмов? Общие рекомендации по выбору криптографических алгоритмов. Стоит ли доверять новым алгоритмам?

7.12. Особенности лицензии Security в IOS 15. Ограничения на использование криптографических средств с длиной ключа более 56 бит. Аббревиатура NPE.

7.13. Рекомендации по выбору длины ключа для симметричных и асимметричных алгоритмов шифрования. До какого периода времени, данные зашифрованные алгоритмом AES с длиной ключа 128 не смогут быть расшифрованы атакой лобового перебора? Метод полного перебора ключа – необходимое количество итераций при длине ключа 56 бит. От чего зависит стойкость криптосистемы?

7.14. Encapsulation Security Payload (ESP) без шифрования (только аутентификация пакетов). Работа с параметром esp-null в Cisco IOS. Еще раз о разнице между аутентификацией VPN шлюзов и аутентификацией пакетов.

7.15. Методология просмотра зашифрованных ISAKMP и ESP пакетов в WireShark. Как посмотреть содержимое зашифрованного пакета в WireShark?

7.16. Troubleshooting IPsec. Методология поиска неисправностей в IPsec - разбор типовых кейсов. Эмуляция неисправностей, их поиск и устранение. Детальное изучение вывода debug. Debug первой и второй фазы. Работа с командами диагностики IPsec.



Урок 8. Группа протоколов IPsec. Internet Key Exchange version 2 (IKEv2)


8.1. Идеология Internet Key Exchange version 2. Отличия IKEv1 от IKEv2. Новые термины и определения.

8.2. Изучение процессов, происходящих на фазе IKE_SA_INIT. Передача политик (SA), открытого ключа Diffie-Hellman (DH) и псевдослучайно сгенерированных nonce (N). Запрос сертификата CERTREQ.

8.3. Общий ключевой материал SKEYSEED в IKEv2. Семь сеансовых ключей SK и формулы их расчета. Отличия SKEYID от SKEYSEED.

8.4. Изучение процессов, происходящих на фазе IKE_AUTH. Политики второй фазы (SA2), identity, вложение AUTH. Селекторы трафика TSi и TSr и их взаимосвязь с SPD базой. Влияние PFS на сообщения, передаваемые на фазе IKE_AUTH.

8.5. Конечных результат, получаемый по завершению фаз IKE_SA_INIT и IKE_AUTH.

8.6. Процесс CREATE_CHILD_SA для создания новых Сhild Security Associations и их обновления. Формулы расчета ключей для алгоритмов симметричного шифрования и хеш-функций при активированной и деактивированной технологии PFS.

8.7. Перегенерация ключевого материала (rekeying) без повторной аутентификации. Формула расчета SKEYSEED при обновлении Security Association.

8.8. Механизм защиты от DoS атак, представленный в IKEv2. Каким образом может быть совершена DoS атака на протокол IKE? Изучение принципов работы защитного механизма. Использование COOKIE для реализации защиты. Формула расчета COOKIE. Случайно сгенерированный секрет и параметр VersionID_of_Secret. Активация механизма защиты от DoS.

8.9. IKEv1 против IKEv2 – сравнительная таблица. Новые методы аутентификации (ecdsa-sig, EAP). Технология MOBIKE. Асимметричная аутентификация. Подтверждение информационных сообщений и другое. Важные преимущества IKEv2.

8.10. Практическая работа по конфигурации Internet Key Exchange v2. Подбор версии IOS, поддерживающей IKEv2 с помощью Cisco Feature Navigator.

8.11. Установка образа маршрутизатора vIOS-L3 на QEMU. Настройка VMWare для работы с эмулятором QEMU. Требования к центральному процессору хостовой машины. Понятие вложенной виртуализации (Nested Virtualization). Особенности запуска эмулятора QEMU на VirtualBox.

8.12. Конфигурация IKEv2. Настройка политик первой фазы IKE_SA_INIT. Атрибуты отдельно от политики. Изучение особенностей и отличий от IKEv1.

8.13. Механизм проверки целостности ISAKMP сообщений, реализованный в IKEv2. Почему отсутствует атрибут «hash»? Отличие атрибута «integrity» от атрибута «prf» в настройках политики первой фазы.

8.14. Новый режим аутентификационного шифрования AES-GCM (Galois/Counter Mode). Отличия, от режима AES-CBC (Cipher Block Chaining). Почему при использовании AES-GSM, нельзя выбрать алгоритм проверки целостности (внешнюю HMAC функцию)?

8.15. Новый механизм сравнения политик первой фазы – несколько значений для одного атрибута.

8.16. Создание группы ключей keyring и настройка IKEv2 профиля. Установка параметров проверки identity, настройка аутентификации и времени жизни ассоциаций первой фазы. Работа с командами «crypto ikev2 profile», «match identity», «keyring local» и другими.

8.17. Настройка политик второй фазы IKE_AUTH (политики IPsec). Алгоритмы ESP-GCM и ESP-GMAC. Что такое Galois Message Authentication Code (GMAC) и как протокол ESP будет работать в случае его использования?

8.18. Конфигурация acсess-list и crypto-map. Работа с командами «set pfs», «match address», «set transform-set» и другими. Проверка работоспособности конфигурации.

8.19. Изучения процесса обмена пакетами в IKEv2 на практическом примере с помощью WireShark. Обмен IKE_SA_INIT и IKE_AUTH. Обмен CREATE_CHILD_SA. Обмен информационными сообщениями.

8.20. Механизм обнаружения ретранслированных пакетов - Message ID (MID) в ISAKMP сообщениях. Альтернативное использование поля Message ID в IKEv1.

8.21. Диагностика IKEv2. Группа команд «show crypto ikev2» с параметрами «sa, sa detailed, policy, proposal» и другие. Изучение вывода команд диагностики.

8.22. Совместимость IKEv1 и IKEv2. Могут ли две версии IKE работать вместе?

8.23. Консолидация IPsec. Краткое повторение и закрепление материала, изученного в ходе этой серии уроков. Заключение.



Урок 9. Инфраструктура открытого ключа (PKI). Теория


9.1. Принципы шифрования с использованием одного и того же ключа. Недостатки симметричного шифрования.

9.2. Принципы асимметричного шифрования – открытый (public) и закрытый (private) ключ. Каким образом используются открытые и закрытые ключи для шифрования данных?

9.3. Применение пары открытый/закрытый ключ в сценарии обеспечения конфиденциальности и в сценарии аутентификации узлов.

9.4. Принципы асимметричной аутентификации. Каким образом используются открытые и закрытые ключи для аутентификации узлов?

9.5. Сложность задачи факторизации как основа криптографической системы RSA с открытым ключом. Назначение и применение RSA алгоритма.

9.6. Асимметричные алгоритмы DSA и ECDSA – отличия от алгоритма RSA. Критерии выбора конкретного алгоритма.

9.7. Основная идеология всех асимметричных алгоритмов шифрования.

9.8. Почему для шифрования трафика пользователей в IPsec, нельзя применять асимметричные алгоритмы? Как отличить симметричный алгоритм от асимметричного алгоритма?

9.9. Нарушение конфиденциальности данных в следствии атаки «человек по середине» (man in the middle) на перехват открытого ключа. Подробное изучение принципов атаки.

9.10. Повышение безопасности криптосистемы с открытым ключом с помощью цифровых сертификатов. Назначение и применение цифровых сертификатов. Сертификат как открытый ключ + информационная составляющая.

9.11. Сертификат стандарта X.509 для инфраструктуры открытого ключа и инфраструктуры управления привилегиями. Первое знакомство с полями сертификата.

9.12. Три формата X.509-того сертификата. Описание каждого формата. Основной принятый формат сертификата.

9.13. Кодировка сертификатов методами CER, DER, base64, ANS.1. Расширения итоговых файлов сертификатов - .CER, .CRT, .DER, .PEM, .P12, .P7B, .PFX. Каким образом информация из полей сертификата хранится в итоговом файле?

9.14. Особенности .PEM сертификатов.

9.15. Криптографические стандарты PKCS как аналог RFC в сетях. Стандарт PKCS12 и итоговый файл .P12 для хранения и транспортировки закрытого ключа. Стандарт PKCS10 для запроса сертификата у Certificate Authority. Стандарт PKCS7 и итоговый файл .P7B – хранилище нескольких сертификатов.

9.16. Консолидация знаний, изученных в этом разделе урока. Разбираемся в терминах PKCS, PEM, CRT, X.509, base64. Еще раз о стандартах сертификатов, форматах сертификатов, расширении итоговых файлов, кодировках и криптографических стандартах PKCS12.

9.17. Как доказать, что сертификат принадлежит конкретному лицу и окончательно предотвратить перехват открытого ключа и нарушение конфиденциальности передаваемых данных?

9.18. Инфраструктура открытого ключа (Public Key Infrastructure, PKI). Центр сертификации (Certificate Authority, CA). Роль центров сертификации в корпоративной сети предприятия.

9.19. Доскональное изучение принципов работы всех технологий, входящих в PKI. Запрос сертификата у Certificate Authority с помощью SCEP - Simple Certificate Enrollment Protocol.

9.20. Что такое цифровая подпись? Как Certificate Authority подписывает сертификат, который выпускает для PKI клиента? Роль закрытого ключа центра сертификации.

9.21. Роль открытого ключа центра сертификации (сертификата CA). Доверие к личным сертификатам на основании сертификата CA.

9.22. Аутентификация VPN шлюзов по цифровым сертификатам с точки зрения PKI. Доскональное изучение принципов аутентификации. Как именно роутеры используют поле «digital signature» и открытый ключ CA для проверки подлинности и целостности полученного сертификата от соседнего VPN шлюза? Какова роль центра сертификации (Certificate Authority) в цепочке взаимодействия двух VPN шлюзов? Что такое hash сертификата, как он используется и для чего он нужен?

9.23. Попытка подмены сертификата роутера А человеком по середине (man in the middle) - эмуляция двух сценариев атаки. Объяснение причин, по которым рассмотренные сценарии атак не могут увенчаться успехом в случае, если личный сертификат роутера А является подписанным со стороны центра сертификации.

9.24. Что будет, если злоумышленник украдет сертификат роутера А и попытается с помощью него аутентифицироваться на роутере Б? Какими механизмами располагает IPsec для предотвращения этого класса атак?

9.25. Краткое напоминание о принципах аутентификации в IPsec по предварительно-распределенному секрету (pre-shared ключу).

9.26. Аутентификация VPN шлюзов по цифровым сертификатам с точки зрения IPsec. Отличия внутренней логики аутентификации по цифровым сертификатам от аутентификации по pre-shared ключу.

9.27. Взаимосвязь закрытого ключа роутера А и цифровой подписи SIG_I в IPsec. Как именно IPsec взаимодействует с инфраструктурой открытого ключа PKI и для каких целей IPsec создает цифровую подпись SIG_I?

9.28. Детальное изучение алгоритма аутентификации двух IPsec пиров посредством цифровых сертификатов во взаимодействии с Public Key Infrastructure и Certificate Authority.

9.29. Что будет, если злоумышленник украдет не только сертификат, но и закрытый ключ роутера А? Механизм отзыва сертификатов с помощью Certificate Revocation List (CRL), Online Certificate Status Protocol (OCSP) и AAA Server.

9.30. Детальное изучение принципов работы механизма проверки отзыва сертификатов с помощью CRL файла. Процедура подписи и публикации CRL файла на web сервере. Процедура загрузки CRL файла с web сервера для проверки сертификата на факт отзыва PKI клиентами. Преимущества и недостатки механизма с CRL файлом.

9.31. Подробнее о механизме проверки отзыва сертификатов с помощью СУБД OCSP. Преимущества и недостатки этого механизма.

9.32. Подробнее о механизме проверки отзыва сертификатов с помощью AAA Server, доступного в Cisco Secure ACS. Целесообразность применения данного механизма.

9.33. Детальное изучение полей, входящих в состав сертификата стандарта X.509 версии 3. Поля «Version Number», «Signature Algorithm ID», «Validity Period», «Subject Public Key Info», «Certificate Signature Algorithm», «Digital Signature». Назначение и использование каждого поля.

9.34. Особенности полей «X.500 Issuer Name» и «X.500 Subject Name». Подробнее о стандарте X.500 и службе распределенного каталога. Relative Distinguished Names (RDNs), такие как CN, OU, O, L, S, C.

9.35. Поле «Extensions» (дополнения) и суб-поля. Применяемость сертификата, специфика применения ключа, ограничения на использование. Политики выдачи сертификата, Certificate Policy. Класс выдачи сертификата.

9.36. Этапы видоизменения сертификата. Вид сертификата в HEX редакторе->в декодированном виде->после интерпретации программным обеспечением. Особенности интерпретации.

9.37. Изучение инфраструктуры открытого ключа на примере Global PKI.

9.38. Обзор структуры реального сертификата, полученного с сайта банка в среде Global PKI.

9.39. Object Identifier (OID) в одном из суб-полей сертификата и понятие extended-validation.

9.40. Каким образом компьютеру клиента удается проверить, что сайт банка не является поддельным? О чем свидетельствует иконка зеленого замка в левом верхнем углу браузера?

9.41. Детальное изучение алгоритма проверки подлинности полученного сертификата от банка – закрытый ключ банка, дочерние (подчиненные) центры сертификации и цепочка доверия (пути сертификации).

9.42. Глобальные центры сертификации и хранилище корневых сертификатов Windows. Работа с хранилищем сертификатов Windows. Особенности хранилища сертификатов у браузера Mozilla Firefox.

9.43. Переход к развертываю корпоративного, Enterprise PKI.



Урок 10. Инфраструктура открытого ключа (PKI). Практика, часть I


10.1. Практическая работа по развертыванию инфраструктуры открытого ключа (PKI) в корпоративной среде (Enterprise PKI).

10.2. Добавление сервера центра сертификации (Сertificate Authority) к лабораторному проекту. Памятка, касающаяся IDLE-PC и несколько дополнительных моментов. Разница между удостоверяющим центром и центром сертификации, а также различия между Global PKI и Enterprise PKI.

10.3. Конфигурирование центра сертификации на Cisco IOS. Генерация пары открытый/закрытый ключ, работа с командой «crypto key generate» и её параметрами. Генерация ключей с помощью RSA и ECDSA алгоритма. Рекомендации по выбору длины ключа.

10.4. Опция «exportable» при генерации ключевой пары. Стоит ли делать закрытый ключ CA экспортируемым? Последствия компрометации закрытого ключа центра сертификации. Ситуации, при которых требуется наличие копии закрытого ключа. Рекомендации по безопасному хранению закрытого ключа.

10.5. Продолжение конфигурации центра сертификации на Cisco IOS. Настройка trustpoint, активация http сервера. Работа с командой «issuer-name CN=, OU=, O=, S=, C=».

10.6. Настройка расположения базы данных CA сервера, работа с командой «Database url». Месторасположение базы дынных для образов IOS работающих на Dynamips, QEMU, IOU/IOL. Месторасположение для реального оборудования. Сведения, хранящиеся в базе данных CA сервера.

10.7. Настройка полноты информации, хранящейся в базе данных CA сервера. Работа с командой «database level». Режимы «complete», «names» и «minimum». Рекомендации по выбору режима.

10.8. Настройка алгоритма хеширования. Для каких целей в настройках центра сертификации указывается hash алгоритм?

10.9. Установка сроков действия CA сертификата; сертификата, который будет выпускаться для PKI клиентов и CRL файла. Работа с командами «lifetime certificate, lifetime ca-certificate, lifetime CRL».

10.10. Настройка поведения Сertificate Authority при получении запроса на выдачу сертификата от клиента. Работа с командой «grant» и режимами «auto», «ra-auto», «none», «no grant auto». Описание каждого режима.

10.11. Завершение конфигурации и запуск CA сервера. Объяснение механизмов, при которых открытый ключ CA сервера преобразуется в сертификат CA. Понятие самоподписанного (self-signed) сертификата. Рекомендации по генерации безопасного пароля для защиты закрытого ключа.

10.12. Настройка PKI клиентов – VPN шлюзов предприятия. Постановка задачи.

10.13. Генерация пары открытый/закрытый ключ на клиенте с помощью алгоритма RSA. Стоит ли делать закрытый ключ экспортируемым в случае PKI клиента? Обзор двух разных сценариев, приводящих к двум разным решениям. Немного о EFS - Encrypting File System.

10.14. Настройка trustpoint на PKI клиенте. Команда «enrollment url» - особенности синтаксиса. Понятие FQDN, Fully Qualified Domain Name. Отличие имени домена от полного имени домена. Назначение FQDN. Настройка «subject-name».

10.15. Запрос CA-сертификата у центра сертификации с помощью команды «crypto pki authenticate». Еще раз о назначении CA-сертификата и его роли в аутентификации VPN шлюзов.

10.16. Отпечаток (fingerprint) CA-сертификата. Предотвращение атаки подмены центра сертификации - механизм дополнительного ручного подтверждения подлинности полученного CA-сертификата (Out of Band Authentication).

10.17. Получение личного сертификата для VPN шлюза у центра сертификации, работа с командой «crypto pki enroll». Challenge Password, как еще один механизм Out of Band аутентификации, повышающий безопасность. Роль и назначение Challenge Password.

10.18. Работа с командой «show crypto PKI certificates» для просмотра полученных сертификатов на Cisco IOS PKI клиенте.

10.19. Получение сертификатов для второго PKI клиента (VPN шлюза). Работа с командой проверки сертификатов на факт отзыва «revocation check» и параметрами «crl», «none» и «oscp».

10.20. Команда диагностики центра сертификации – «show crypto pki server». Детальное объяснение вывода команды.

10.21. Переход на аутентификацию по цифровым сертификатам в IPsec. Внесение изменений в ISAKMP политики первой фазы на обоих VPN шлюзах. Проверка соединения посредством просмотра IKE и IPsec Security Associations.

10.22. Методология ручного запроса сертификатов у Сertificate Authority без использования SCEP. Пошаговая инструкция по получению и ручному импорту сертификата CA на PKI клиента, а так же ручному запросу личного сертификата для PKI клиента. Практическая работа с кодировкой base64 и запросом PKCS10. Работа с командами «enrollment terminal», «crypto pki import» «crypto pki export NAME pem terminal» и другими.

10.23. Практическая работа с командой «grant» и режимом «no grant auto» в настройках Сertificate Authority для включения механизма ручного подтверждения запросов на выдачу сертификатов со стороны администратора CA. Изучение и использование команды для просмотра запросов, ожидающих одобрения (pending). Команда для одобрения конкретного запроса.

10.24. Сценарии, в которых применяется механизм ручного подтверждения запроса со стороны администратора CA (Out of Band authentication).

10.25. Центры регистрации, Registration Authority (RA). Назначение и применение центров регистрации. Режим «ra-auto» в настройках Cisco CA.



Урок 11. Инфраструктура открытого ключа (PKI). Практика, часть II


11.1. Практическая работа по развертыванию системы проверки сертификатов на факт отзыва с помощью CRL файла – подключение виртуальной машины с Windows Server к тестовому лабораторному проекту.

11.2. Установка Denwer (веб-сервера) на Windows Server. Работа с каталогами веб-сервера. Обеспечение доступа к веб-серверу по внешнему IP адресу. Создание тестовой html-страницы для проверки его работоспособности.

11.3. Настройка новой учетной записи FTP-сервера на связь с каталогом веб-сервера. Объяснение принципов взаимодействия FTP-сервера + веб-сервера + Сertificate Authority + VPN шлюза.

11.4. Внесение изменений в конфигурацию Сertificate Authority - настройка публикации списка отозванных сертификатов (CRL файла) на внешний FTP сервер. Использование команды «database url crl publish» с указанием пути до FTP сервера.

11.5. Проверка корректности конфигурации посредством отзыва и восстановления сертификата. Работа с командами «crypto pki server NAME revoke X» и «crypto pki server NAME unrevoke X».

11.6. Изучение структуры опубликованного CRL файла. Поля CRL файла и вкладка «список отзыва». Механизм автоматического обновления CRL файла центром сертификации по истечению срока его действия.

11.7. Certificate Revocation List Distribution Point (CDP) – каким образом VPN шлюзы узнают о местонахождении CRL файла? Еще раз о том, как именно VPN шлюзы проверяют сертификаты на факт отзыва.

11.8. Внесение изменений в конфигурацию Сertificate Authority – настройка CDP. Работа с командой «cdp-url http://путь до веб-сервера».

11.9. Перенастройка trustpoint на PKI клиентах на проверку сертификатов на факт отзыва посредством команды «revocation-check crl». Перевыпуск сертификатов.

11.10. Проверка работоспособности конфигурации. Ошибки, связанные с расхождением системного времени на устройствах – ручная корректировка времени.

11.11. Альтернативное месторасположение CRL файла – хостинг-провайдер предприятия как хранилище CRL файла.

11.12. Механизм кеширования CRL файла на устройствах Cisco IOS. Методы сброса и обновления кеша.

11.13. Методы полного отключения механизма кеширования CRL файла. Плюсы и минусы кеширования CRL файла - сценарии, при которых допустимо отключать механизм кеширования CRL файла. Работа с WireShark для просмотра http запроса на загрузку CRL файла.

11.14. Отзыв и восстановление сертификатов – демонстрация работы механизма проверки сертификатов на факт отзыва с помощью CRL файла.

11.15. Ситуация резкого обрыва IPsec Security Associations – объяснение ошибки «invalid SPI number».

11.16. Имитация события истечения срока действия CRL файла. Объяснение механизма автоматической перепубликации CRL файле на веб-сервере.

11.17. Рекомендации по организации инфраструктуры PKI для имплементации VPN-only. Рекомендации по установке времени действия CRL файла, кешированию CRL файла, возможности экспорта закрытого ключа.

11.18. Рекомендации по организации инфраструктуры PKI для других имплементаций на примере 802.1x сетевого карантина.

11.19. Пошаговая методика резервного копирования Сertificate Authority на Cisco IOS. Условия, необходимые для осуществления резервного копирования. Работа с командой «database archive».

11.20. Экспорт конфигурационных файлов центра сертификации на внешний FTP сервер. Сертификат CA и закрытый ключ в одном .p12 файле. Подробнее о стандарте PKCS12.

11.21. Подробнее об экспортируемых конфигурационных файлах CA сервера - .crl, .ser, .p12. Рекомендации по безопасному хранению закрытого ключа CA сервера.

11.22. Пошаговая методика восстановления Сertificate Authority на Cisco IOS с помощью резервных копий конфигурационных файлов. Проверка работоспособности восстановленного центра сертификации.

11.23. Пошаговая методика резервного копирования и восстановления PKI клиента (VPN шлюза) на Cisco IOS. Целесообразность резервного копирования PKI клиента в случае VPN-only имплементации. Условия, необходимые для осуществления резервного копирования.

11.24. Автоматическое обновление личных сертификатов PKI клиентов по окончании их срока действия. Логика работы команды «auto-enroll». Методология ручного обновления личных сертификатов. Обновление сертификата с сохранением старого открытого ключа и с генерацией новой ключевой пары.

11.25. Ручное обновление CA-сертификата центра сертификации. Моменты, на которые следует обратить внимание. Понятие «rollover» и теневого «shadow» сертификата.

11.26. Автоматическое обновление CA-сертификата за некоторое время до окончания старого. Работа с командой «auto-rollover». Имитация истечения срока действия старого сертификата - изучение принципа работы механизма на практических примерах.

11.27. Рекомендации по использованию механизма автоматического обновления CA-сертификата. Завершение практической работы по развертыванию инфраструктуры открытого ключа (PKI) в корпоративной среде.

11.28. Сравнение VPN-only и Enterprise PKI. Задачи, реализуемые в Enterprise PKI.

11.29. Еще раз о принципах работы криптографии с открытым ключом на примере цифровой подписи и шифрования e-mail.

11.30. Топологии PKI. Архитектура Single-Root CA и Hierarchical CAs. Особенности иерархической архитектуры, преимущества и принципы её построения.

11.31. Архитектура кросс-сертификации (Cross-Certified CAs). Сетевая и мостовая кросс-сертификация. Сферы применения архитектур и принципы их построения. Отличия от архитектур Single-Root CA и Hierarchical CAs.

11.32. Альтернатива PKI – PGP (Pretty Good Privacy). Отличия PGP от PKI. Принципы работы PGP. Система доверия «web of trust» в PGP. Сравнение и выбор между PGP и PKI – что лучше?

11.33. Подведение итогов. Разговор о технологиях, протоколах и механизмах, изучаемых в следующих модулях.



В следующих модулях...


Остальные 4 модуля находятся в разработке. Ниже представлены главные темы, которые будут изучаться в следующих модулях второй части видеокурса.


Модуль III. Организация защищенных VPN соединений


Этот модуль является продолжением предыдущего. Он будет иметь еще больший практический уклон. В этом модуле, мы перейдем к практическому внедрению изученных технологий в большую корпоративную сеть, в наш основной проект. Именно так, как Вы будите делать это в рамках реального предприятия. Однако, без знаний из прошлого модуля, сделать это будет невозможно.

Нам предстоит на удаленном компьютере развернуть филиальную сеть и подключить её к головной сети посредством одной из изученных в прошлом модуле VPN технологии. Два филиала, будут разделены друг от друга посредством реального Интернет. Потребуется также настроить acсess-листы и изучить особенности динамической маршрутизации при подобном подключении. В филиале один пограничный роутер, а в головной сети - два, поэтому потребуется каким-то образом реализовать незаметную переустановку IPsec ассоциаций безопасности в случае, если один из пограничных роутеров головного офиса откажет в обслуживании. По мимо подключения филиала, потребуется подключить к сети и удаленных сотрудников. На компьютер удаленного сотрудника, нами будет устанавливаться VPN клиент. Учетная запись удаленного сотрудника, будет вноситься в контроллер домена, работающий в связке с Radius сервером. В зависимости от логина и пароля, который ввел удаленный сотрудник в VPN клиент, Radius сервер будет подключать для него тот или иной acсess-лист, в результате чего некоторые сотрудники будут иметь полный доступ к нашей сети, а некоторые сотрудники – только к её отдельным участкам. По мимо этого, для VPN клиента удаленного сотрудника будет выписываться сертификат, с помощью которого он будет проходить аутентификацию. Подобную задачу можно реализовать как с помощью IPsec, так и с помощью SSL, поэтому нами будет изучено оба варианта. SSL может работать в режиме проброса портов, а может в режиме толстого и тонкого клиента, он может конфигурироваться как с помощью команд, так и с помощью веб-интерфейса, SSL может работать как на Cisco IOS, так и на Cisco ASA – нами будут реализованы все эти варианты, поэтому нас ждет и знакомство с Cisco ASA тоже.

Обобщая, можно сказать, что изучив этот модуль, Вы, на наших практических примерах, научитесь соединять филиалы посредством различных VPN технологий и выбирать конкретную наилучшую технологию; научитесь подключать удаленных сотрудников и предоставлять им ограниченный доступ к сетевым ресурсам; научитесь выписывать сертификаты для VPN клиентов; научитесь работать с Radius сервером; узнаете о полуторной фазе IPsec и технологии NAT Traversal; научитесь работать с Cisco ASA; научитесь конфигурировать устройства не только с помощью команд, но и с помощью WEB и ASDM интерфейса.

В конечном итоге, Вы сможете развертывать полноценные VPN решения в реальной корпоративной среде.



Модуль IV. Мониторинг сети


-установка системы мониторинга на Windows 7 и подключение системы к сети предприятия

-протокол управления сетевыми устройствами SNMP v2 и SNMP v3. Механизм оповещения об инцидентах SNMP trap. Передача информации об инцидентах в систему мониторинга

-защита SNMP v3 с помощью аутентификации. Способ защиты SNMP v2 с помощью IPsec

-журналирование событий устройств SysLog и передача журналов на рабочую станцию администратора

-уровни сообщений Syslog

-способы консолидации лог-сообщений

-контроль сетевого потока NetFlow и передача информации о текущем сетевом трафике в систему мониторинга. Ingress и Egress потоки

-анализатор коммутируемых пакетов SPAN и RSPAN



Модуль V. Защита сети


-основные виды сетевых угроз

-рекомендации по выбору алгоритмов шифрования и генерации ключа для IPsec

-пошаговое руководство по защите сети. Защита от внешних и внутренних угроз. Защита EDGE, CORE, DISTRIBUTION, ACCESS

-система защиты сети Zone-Based Policy Firewall

-маршрутизатор в transparent mode

-системы предотвращения вторжений IPS и система обнаружения вторжений IDS

-технология безопасного удаленного доступа к устройству Secure Shell (SSH)

-технология проверки обратного пути uRPF (IP Spoofing Protection)

-защита от IP Spoofing c помощью ACL. Ограничение bogons адресов

-система аутентификации, авторизации и аккаутинга (AAA)

-ролевая схема доступа к устройству RBAC

-технология аутентификации и авторизации с использованием Radius на Windows Server

-защита передаваемого трафика аутентификации между активным сетевым оборудованием и Radius с помощью IPsec

-механизм контроля доступа к сети 802.1X в связке с Windows Radius и Cisco коммутатором

-защита протоколов динамической маршрутизации

-Control Plane Policing (CoPP) и Control Plane Protection (CPPr)

-ограничение доступа в пределах одного VLAN. Private Vlan

-организация защищенного management VLAN для удаленного доступа к управлению активным сетевым оборудованием

-ограничение доступа между несколькими VLAN

-защита от DOS и DDOS атак. HTTP-флуд, Smurf-атака (ICMP-флуд), атака Fraggle (UDP-флуд), amplified DDOS, атака Land, TCP SYN-флуд

-практическое применение технологий защиты коммутируемой сети (DHCP Snooping, IP Source Guard, Storm Control и Dinamic ARP Inspection)



Модуль VI. Выбор сетевого оборудования и лицензирование


-виды лицензий IOS

-лицензирование маршрутизаторов до версии IOS 15.0

-лицензирование маршрутизаторов после версии IOS 15.0

-лицензирование коммутаторов

-особенности лицензии Lan Light и возможность обновления до Lan base

-приобретение, активация и установка лицензий на оборудование Cisco

-подбор сетевого оборудования для корпоративной сети с учетом нагрузки в 600 человек

-функциональные ограничения L3 коммутаторов по сравнению с маршрутизаторами

-расчет пропускной способности EDGE маршрутизаторов с учетом VPN AES туннелей, NAT, ZBF и ACL

-выбор оборудования на ACCESS

-выбор оборудования на DISTRIBUTION

-выбор оборудования на CORE

-выбор оборудования на EDGE

-выбор DMZ коммутатора

-выбор оборудования для филиалов