loading

Szkolenie Cisco ASA FirePOWER Services – Agenda


Dzisiaj prezentuję obiecane szczegóły dotyczące szkolenia Cisco ASA FirePOWER Services. Przede wszystkim agenda:

Podstawy pracy z Cisco ASA

Pierwszy moduł to stara dobra ASA i przejście przez niezmiennie skuteczne i żelazne zasady takie jak  tworzenie i konfiguracja interfejsów i subinterfejsów, koncepcję security level, która dyktuje zachowanie  działania mechanizmu Adaptive Security Algorithm. Omawiamy zasady transmisji ruchu przez ASA i zatrzymujemy się chwilę nad fundamentami ruchu IP, protokołów TCP, UDP, ICMP w odniesieniu do firewall’a stanowego jakim jest Cisco ASA. Dodatkowo moduł ten omawia zasady zarządzania ASA-OS, jej zabezpieczenie (hardening), zarządzanie dostępem ssh, telnet i konfigurację list AAA. Oczywiście w module pierwszym nie brakuje laboratoriów. Intensywnie rozgrzewamy się, aby być gotowym na wyzwania modułu drugiego.

1) Networking basics with ASA

  • ASA Interfaces, Subinterfaces, VLANs
  • DHCP, Set route options
  • Security Level Concept
  • Inter and Intra interface flows
  • Basic Management (Logging, traffic to the box, aaa, ntp sync)
  • Management Real Life Use Cases

 

Routing statyczny i dynamiczny na ASA

W module drugim przypominamy sobie routing IP. Dla tych, którzy znają routing statyczny i dynamiczny, moduł będzie łatwy i przyjemny. Dla tych, którzy nie są biegli w EIGRP, RIP, OSPF i BGP to dobra okazja aby poznać fundamenty tych procesów routingu i oczywiście skonfigurować dynamikę odzwierciedlającą najczęstsze przypadki routingu na styku z Internetem jak np. BGP (który, przypominam, od 9.2 ASA-OS już jest dostępny) i redystrybucję trasy domyślnej 0.0.0.0/0. Dodatkowo wysyłamy do ASA trochę prefiksów z LAN. Na końcu modułu pokazujemy redundancję na poziomie połączeń (link redundancy), czyli agregację połączeń najczęściej wykorzystywaną w dużych lub krytycznych środowiskach (LACP i specyficzny dla ASA mechanizm redundant interface).

2) ASA Routing and Link Redundancy

  • ASA Static routing
  • ASA Dynamic routing
  • Port Channels, Link redundancy

 

ACL, NAT, objekty i MPF

O module trzecim można by było napisać osobną książkę. “Traffic restrictions” omawia kluczowe dla ASA mechanizmy: ACL (Access Control List), NAT (Network Address Translation) oczywiście dla wersji 8.3 i wzwyż (bo jesteśmy w rzeczywistości 9.X) oraz MPF, czyli esencję inspekcji ruchu powyżej L4. W tym module labujemy twice NAT, object NAT, translujemy użytkowników do Internetu przypominając sobie definicję static NAT, static PAT, dynamic NAT, PAT, source NAT, destination NAT. Wystawiamy serwisy do Internetu np. z DMZ (serwery www i ftp). Sprawdzamy jak działa Modular Policy Framework dla ruchu FTP, a jak działa FTP bez “inspect ftp”. Ten moduł jest kluczowy dla zrozumienia zasad NAT, ACL w połączeniu z routingem. Zrozumiecie też różnice między ruchem przechodzącym przez ASA, a ruchem “to the box”

3) Traffic Restrictions

  • Object and object groups
  • ACLs
  • NAT (8.3+) Concept
  • ASA Modular Policy Framework (MPF)

Wysoka dostępność

Moduł high availability to architektury wysokiej dostępności (surprise). Jak może pamiętamy, ASA daje możliwość konfiguracji Active / Standby w parze oraz Active / Active w multi-context mode. W tej sekcji skupiamy się na tym jak failover rzeczywiście działa, np. czy każdy appliance potrzebuje adresu IP, czy może jest jakiś wirtualny adres IP, jakie maksymalne opóźnienia dopuszczane są w budowie pary Active / Standby i Active / Active? Analizujemy też dogłębnie proces failover: przełączenia ról active / standby i sposób elekcji urządzenia active. Dodatkowo wspominamy o koncepcji Cisco ASA Clustering dostępnej na platformie ASA 5580, 5585-X, co nam to daje i jak spada wydajność klastra w stosunku do pojedynczego firewall’a.

4) High Availability

  • Failover Active-Standby
  • Clustering Active-Active
  • Security Contexts
  • Resource Limitations
  • Cisco ASA Clustering

 

VPN na ASA

Virtual Private Networking na ASA to kolejny powszechnie wykorzystywany mechanizm w świecie enterprise, ale też w rozwiązaniach operatorskich. Analizujemy możliwości ASA pod kątem budowy IPSec VPN, analizujemy w jaki sposób brak wsparcia dla tunelowania GRE może wpłynąć na funkcjonalność i możliwości ASA jako koncentratora VPN. Sprawdzamy, czy mając Cisco ASA możemy zestawić tunel VPN IPSec z rozwiązaniami innego producenta. W końcu dochodzimy do punktu Cisco Anyconnect Secure Mobility Client i implementacja VPN remote access, chyba najszerzej implementowanym rozwiązaniem tego typu na świecie. Sprawdzamy jaki wpływ na bezpieczeństwo i user experience (UX) ma wykorzystanie SSL VPN, a jaki IPSec IKEv2. Implementujemy dostępy VPN dotykając też zagadnienia integracji Cisco ISE (Identity Services Engine) oraz możliwości wprowadzenia mechanizmów Multi-factor Authentication (MFA). Swoją drogą opis przykładu takiego wdrożenia znajdzesz tu

5) VPNs

  • IPSec Site2Site
  • Anyconnect SSL VPN client

 

FirePOWER Services

Dochodzimy do sedna, czyli bierzemy na warsztat FirePOWER Services. W module 6 poznajemy sposób licencjonowania FirePOWER, architekturę rozwiązania, ale też to, co może nas ograniczyć w implementacji. Przechodzimy przez i omawiamy kroki instalacji systemu zarządzania firepower, czyli FMC (Firepower Management Center), następnie instalujemy moduł SFR, czyli moduł instalowany na ASA w formie “software”, rejestrujemy nasze moduły w FMC i przekierowujemy ruch do sensora. W ten sposób sami zestawiamy środowisko Firepower i w ten sposób jesteśmy gotowi do pracy z Next Generation Firewall.

6) FirePOWER Architecture and licensing

  • Licensing, Architecture, Limitations
  • Firepower Management Center installation
  • SFR Modules Provisioning
  • Traffic Flow & Redirection

 

ACP, Intrusion policy, AMP, File Policy i URL Filtering…

W module siódmym dochodzimy do tzw. “mięsa”. Bierzemy się za omówienie i konfigurację ACP (Access Control Policy), czyli polityk, agregujących wszystkie nasze reguły FirePOWER. Każdy z uczestników szkolenia Cisco ASA FirePOWER Services ma możliwość konfiguracji polityki i przetestowania jej wzdłuż i wszerz. Dodajemy do omówienia stopniowo kolejne koncepcje: URL filtering, AMP (Anti-Malware Protection), File Policy, IPS (Intrusion Policy) – oczywiście sprawdzając ich działanie empirycznie. Pamiętajcie, że mamy do dyspozycji maszyny testowe symulujące urządzenie użytkownika oraz serwery DMZ. Najczęściej na etapie omawiania sekcji Application Control pada uzasadnione pytanie: “Jak można rozpoznać zaszyfrowaną aplikację SSL”? W tym momencie dotykamy tematu SSL Policy. Na końcu coś, co przydaje się administratorom sieci i firmom z oddzielnymi zespołami security i network: List & Feeds.

7) ASA FirePOWER core features configuration

  • Traffic processing and actions
  • Access Control Policies
  • ACP rules
  • AND OR logic
  • Application control
  • URL and URL categories – filtering
  • AMP for Networks Concept – File & Malware policy
  • IPS Concept – basic ruleset – Intrusion Policy
  • SSL Policies
  • Lists & Feeds

Active Directory, pxGRID i troubleshooting

Na samym końcu sprawdzamy jak FirePOWER integruje się z innymi systemami np środowiskiem AD. Analizujemy opcje z wykorzystaniem Active Directory i Firepower User Agent vs. z protokołem pxGRID. Każdy dopasowuje sobie 2 podejścia identity firewalling do swojego środowiska. Oczywiście, czym byłoby szkolenie (bootcamp) bez aspektu troubleshooting, sprawdzania nawiązanych połączeń, wyszukiwania w które reguły wpadły dane pakiety i jakie zostały zastosowane na nich akcje? Albo weryfikacja hitcount’ów na poziomie service-policy MPF w celu sprawdzenia, czy w ogóle jakiś ruch wpada do naszego sensora? Troubleshooting to chyba jeden z najważniejszych punktów tego szkolenia.

8) ASA FirePOWER advanced features configuration

  • AD integration
  • FMC User Agents vs Cisco pxGRID
  • Troubleshooting and reporting

 

Topologia Cisco ASA FirePOWER training

Topologia Cisco ASA FirePOWER training

Bez kategoriiPoziom IntermediateSecuritySzkolenie Cisco ASA FirePOWERSzkolenie Security

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *