Содержание

Модуль II. VPN технологии
Краткое описание модуля:
Этот модуль является ключевым модулем второй части, в нём подается самая сложная, многоуровневая техническая информация, имеющая множество ответвлений. Мы тщательно выверяли подаваемую информацию и стремились создать максимально качественный продукт.
Часть II, модуль II - это детальная информация с глубиной подаваемой информации на уровне стандартов RFC, включающая сложнейшую криптографию, симметричное и асимметричное шифрование, принципы туннелирования, группу протоколов IPsec и траблшутинг, инфраструктуру открытого ключа PKI и центры сертификации Certificate Authority, инфраструктуру времени предприятия NTP и многое другое. Такой глубины подаваемой информации о сложнейших VPN технологиях Вы еще не встречали ни в одном интерактивном видеокурсе.
Мы не просто изучим VPN технологии, мы разберем принципы работы всех сложных технологий до винтиков, благодаря чему, в последствии Вы сможете не только объединять филиалы и досконально понимать принципы туннелирования, но и максимально гибко управлять своей сетевой инфраструктурой, выбирая оптимальные VPN решения под конкретные задачи Вашего предприятия. Урок 1. Network Time Protocol (NTP). Практика
1.1. Необходимость синхронизации времени на активном сетевом оборудовании Cisco для последующей организации защищенных VPN соединений.
1.2. Единая точка отсчета для часовых поясов. Всемирное координированное время (Coordinated Universal Time, UTC).
1.3. Ручная конфигурация времени на устройствах Cisco. Установка даты, времени и часового пояса.
1.4. Автоматический переход на летнее время. Работа с командой «clock summer-time». Подсистема «date» и «recurring».
1.5. Различия между аппаратным и программным временем на устройствах Cisco. Назначение аппаратной микросхемы времени. Перенос времени из аппаратной микросхемы в операционную систему Cisco IOS. Оборудование, поддерживающее аппаратную микросхему времени.
1.6. Настройка отображения временных меток в log и debug сообщениях. Проштамповка сообщений журнала и отладки текущим временем устройства с учетом часового пояса. Проштамповка сообщений журнала и отладки временем от момента запуска устройства. Работа с командой «service timestamps» и подкомандами «debug», «log», «datetime», «localtime», «show-timezone». Рекомендации по применению механизма.
1.7. Недостатки ручной конфигурации времени на устройствах Cisco. Причины постепенного расхождения времени на сетевых устройствах.
1.8. Автоматическая синхронизация времени на активном сетевом оборудовании Cisco с помощью Network Time Protocol (NTP).
1.9. Топология NTP. Авторитетный источник времени. Понятие stratum для определения степени отдаления от авторитетного источника времени.
1.10. Процесс передачи метки времени от авторитетного источника до конечного клиента. Ошибка времени, накапливаемая при переходе между серверами разных часовых слоев.
1.11. Механизм коррекции времени на величину сетевых задержек в протоколе NTP. Компенсация накопленной ошибки.
1.12. Подключение пограничных роутеров предприятия к NTP серверам в Интернет. Понятие основного и запасного NTP сервера. Работа с командами «ntp update-calendar», «ntp logging», «ntp server», «ntp source-interface» и другими.
1.13. Рекомендации по выбору NTP сервера и методология проверки работоспособности. Команды диагностики «show ntp status», «show ntp associations», «show run | section NTP», «show clock detail». Понятие состояния синхронизации времени в протоколе NTP.
1.14. Особенности прохождения NTP пакетов через Network Address Translation (NAT). Ограничения, накладываемые механизмом PAT.
1.15. Работа NTP в среде сетевой виртуализации. Зависимость синхронизации времени от скорости работы виртуального оборудования.
1.16. Режимы взаимодействия устройств по протоколу NTP. Режим «Server/Client», «Broadcast/Multicast», «Peer». Рекомендации по использованию режимов.
1.17. Иерархический, плоский и комбинированный NTP дизайн. Преимущества и недостатки каждого дизайна. Выбор NTP дизайна исходя из нагрузочной характеристики сети предприятия.
1.18. Практическая реализация плоского NTP дизайна в корпоративной сети. Настройка пограничных роутеров предприятия на работу в роли NTP сервера. Команды «ntp master» и «clock calendar-valid».
1.19. Настройка сетевого оборудования, входящего в уровни Core, Distribution и Access на получение метки точного времени от пограничных роутеров предприятия, запущенных в режиме NTP сервера. Настройка взаимодействия «Broadcast/Multicast». Настройка отказоустойчивого NTP кластера с помощью режима взаимодействия «Peer».
1.20. Практическая реализация иерархического NTP дизайна в корпоративной сети. Включение роли NTP сервера на оборудовании, входящего в уровни Core и Distribution. Настройка роли клиента на оборудовании, входящего в уровни Core, Distribution и Access.
1.21. Защита инфраструктуры NTP. Последствия нарушения безопасности инфраструктуры времени предприятия.
1.22. Механизм защиты NTP с помощью access-lists на основе типов сообщений (NTP Access Groups). Сообщения «requests», «updates», «control queries».
1.23. Блокирование NTP сообщений с помощью access-lists и механизма NTP Access Groups. Режимы «query-only», «serve-only», «serve», «peer» .
1.24. Практическая реализация механизма защиты NTP с помощью access-lists на основе типов сообщений (NTP Access Groups). Настройка acсess-lists, применение режимов «peer» и «serve-only». Угрозы, нейтрализуемые данной защитой.
1.25. Проверка работоспособности инфраструктуры NTP, поиск и устранение неисправностей (troubleshooting). Использование команд «debug ntp», «ntp logging», «show ntp assosiations», «show ntp status».
1.26. Механизм защиты NTP с помощью аутентификации. Проверка подлинности источника. Угрозы, нейтрализуемые данной защитой.
1.27. Практическая реализация механизма защиты NTP с помощью аутентификации. Работа с командами «ntp authenticate», «ntp trusted key», «ntp authentication key». Защита клиентской и серверной части NTP. Реализация защиты на всех уровнях сетевой иерархической модели.
1.28. Принципы работы механизма аутентификации. Диагностика корректности работы механизма аутентификации с помощью debug и сниффера трафика WireShark.
1.29. Использование нескольких ключей в механизме аутентификации NTP. Сценарии применения ключевых цепочек.
1.30. Подключение Windows 7 к NTP серверу корпоративной сети предприятия. Отказоустойчивое подключение Windows Server 2012 к двум NTP серверам корпоративной сети, используя единый HSRP IP адрес.
Урок 2. Network Time Protocol (NTP). Теория
2.1. В каком виде передается время в NTP пакете? Структура NTP Timestamp.
2.2. Детальное изучение процесса синхронизации времени между NTP сервером и клиентом. Начальное время (t1), время приема (t2), время отправки (t3), время получения (t4). Формулы расчета задержки (delay) и смещения (offset).
2.3. Внутренние алгоритмы NTP. Первичная фильтрация пакетов. Этапы обработки пакетов и процессы «peer/poll», «system», «clock discipline», «clock adjust».
2.4. Структура NTP пакета. Детальное изучение полей «Leap Indicator», «VN», «Mode», «Stratum», «Polling Interval», «Precision», «Root Delay», «Root Dispersion», «Reference Identifier», «Reference Timestamp» и другие.
2.5. Односторонняя и двухсторонняя синхронизация. Symmetric active/passive и server/client modes.
2.6. Различия между root delay и peer (round-trip) delay. Различия между peer dispersion и root dispersion.
2.7. Управляющие NTP пакеты Kiss-o’-Death (KoD) и кодовые комбинации Kiss Codes. Назначение и возможные угрозы безопасности.
2.8. Детальное изучение показателей вывода команды диагностики «show ntp status». Понятие колебательной системы. Номинальная и фактическая частота локальных часов. Показатели синхронизации, номера часового слоя, источника времени, точности, времени обновления, смещения, задержки, дисперсии, дрифта, статуса фильтра обратной петли, времени последнего обновления.
2.9. Детальное изучение показателей вывода команды диагностики «show ntp associations». Сконфигурированные сервера и сервера, добавленные в автоматическом режиме. Сервера кандидаты (candidates), выбранные сервера (selected), сервера аутсайдеры (outliers), сервера-фальсификаторы (falsetickers), сервера правильного времени (truechimers). Показатель источника времени и неисправности (.LOCL, .STEP., INIT, DOWN), показатели stratum, when и poll. Работа с показателем reach. Различия между дисперсией и смещением.
2.10. Детальное изучение показателей вывода команды диагностики «show ntp associations detail». Состояния «сonfigured», «dynamic», «our_master», «selected», «sync distance».
2.11. Проверка входящих NTP пакетов на соответствие характеристикам с помощью Sanity Test. Коды ошибок и их значения. Состояния «sane», «insane», а также «valid» и «invalid».
2.12. Дополнительные функции NTP. Установка ограничений на количество ассоциаций. Отключение NTP на интерфейсе. Настройка round-trip delay в широковещательных и многоадресных пакетах.
2.13. Настройка продолжительности такта кварцевого генератора с помощью команды «ntp clock-period». Ускорение и замедление локальных часов. Отличия работы механизма в IOS 15.
2.14. Ускорение первичной синхронизации с помощью команд «burst» и ibusrt». Факторы, влияющие на скорость синхронизации. Ухудшение статистических данных при ускорении синхронизации.
2.15. Настройка минимальной (minpoll) и максимальной (maxpoll) частоты опроса NTP сервера. Работа с командами «ntp server version», «ntp server source-interface», «debug ntp validity». Практическая реализация дополнительных функций NTP в проекте корпоративной сети предприятия.
2.16. Simple Network Time Protocol (SNTP), настройка и конфигурация. Отличия от NTP. Структура SNTP пакета. Рекомендации по использованию протокола.
2.17. Инфраструктура времени предприятия. Подведение итогов.
Урок 3. Введение в VPN технологии. Generic Routing Encapsulation (GRE)
3.1. Построение мини-проекта, состоящего из головного офиса и филиала, необходимого для изучения протокола GRE.
3.2. Идеология виртуальных частных сетей (Virtual Private Network). Объединение нескольких удаленных друг от друга частных сетей в одну единую локальную сеть.
3.3. Реализация VPN туннеля с использованием протокола Generic Routing Encapsulation (GRE). Конфигурация GRE. Работа с командами «tunnel-source», «tunnel-destination», «tunnel-mode» и другими. Статические маршруты через туннельные интерфейсы.
3.4. Детальное изучение принципов туннелирования на примере протокола GRE. Механизмы инкапсуляции оригинального IP пакета (пассажира) во внешний IP пакет (пакет доставки). Каким образом удается обратиться к компьютеру филиала по его частному IP адресу, не смотря на то, что частные IP адреса не маршрутизируются в Интернет? Использование WireShark для отслеживания процесса инкапсуляции.
3.5. Терминология VPN. Понятие инкапсуляции и туннелирования. Заголовки «delivery», «GRE», «payload».
3.6. Версии GRE. Структура GRE пакета версии 0. Поля «Checksum», «Routing», «Key», «Sequence Number» и другие. Назначение полей.
3.7. Структура GRE пакета версии 1 в пакете PPTP. Отличие GRE пакета версии 0 от GRE пакета версии 1.
3.8. Включение аутентификации, проверки чек-суммы, а также отслеживания последовательности пакетов в настройке туннельного интерфейса.
3.9. Подключение второго филиала к лабораторному проекту. Логические топологии взаимодействия филиалов Full-Mesh и Hub-and-Spoke. Преимущества и недостатки каждой топологии. Рекомендации по выбору топологии. Настройка маршрутов для обеспечения взаимодействия между всеми филиалами согласно топологии Hub-and-Spoke.
3.10. Проблема MTU в VPN сетях. Максимальный размер сегмента TCP (MSS) и согласованный наименьший размер сегмента (SMSS).
3.11. Maximum Transmission Unit (MTU) и его влияние на количество передаваемых данных по VPN туннелю. Расчет количества полезных данных, которые можно передать внутри TCP заголовка без использования GRE.
3.12. Расчет количества полезных данных, которые можно передать внутри TCP заголовка при GRE инкапсуляции. Почему пропускная способность туннеля меньше, чем обычного интерфейса?
3.13. MTU на канальном и сетевом уровне. В чем разница между MTU физического интерфейса и MTU туннельного интерфейса?
3.14. Разница между размером кадра и размером MTU. Почему WireShark предоставляет недостоверную информацию о размере кадра?
3.15. Флаг Don’t Fragment в IP пакетах, препятствующий их прохождению через туннельный интерфейс.
3.16. Четыре способа решения проблемы MTU в VPN сетях и флага Don’t Fragment. Преимущества и недостатки каждого из способов.
Урок 4. Группа протоколов IPsec. Режимы инкапсуляции
4.1. Последствия нарушения конфиденциальности данных для предприятия. Типичные сценарии нарушения конфиденциальности.
4.2. Практическая работа по обеспечению конфиденциальности передаваемых по VPN туннелю данных посредством их шифрования. Шифрование GRE трафика. Базовая настройка IPsec на примере IPsec over GRE.
4.3. Подробнее о режиме инкапсуляции IPsec over GRE. Последовательность заголовков Ethernet->new IP->ESP->GRE->IP->ICMP->ESP Trailer->ESP Authentication. Недостатки этого режима. Использование WireShark для отслеживания последовательности заголовков.
4.4. Туннельный режим IPsec. Модификации, происходящие с оригинальной последовательностью заголовков при использовании этого режима. Назначение режима и сценарии его применения.
4.5. Практическая работа по организации Site-to-Site VPN с использованием туннельного режима IPsec. Поэтапная конфигурация. Настройка фазы 1 и фазы 2. Конфигурация static crypto-map. Работа с прямым и зеркальным access-list.
4.6. Алгоритм обработки исходящих и входящих пакетов. Принципы работы конфигурации «IPsec c crypto-map». Почему отсутствует необходимость в настройке статических маршрутов? Путь прохождения трафика от компьютера в головном офисе до компьютера в филиале.
4.7. Транспортный режим IPsec - шифрование служебного трафика, передающегося между двумя устройствами Cisco, находящимися в пределах одной локальной сети. Отличия от туннельного режима. Вид последовательности заголовков.
4.8. Практическая реализация транспортного режима IPsec. Сценарии применения режима. Сценарий 1 – защита служебного трафика, передаваемого между двумя роутерами. Настройка фазы 1 и фазы 2. Конфигурация static crypto-map. Настройка правил обработки трафика с помощью прямых и зеркальных access-list’s. Работа с командой диагностики «show crypto ipsec sa».
4.9. Сценарий 2 – защита трафика, передаваемого от сервера на компьютер пользователя в пределах одной локальной сети. Почему система автоматически переключается в туннельный режим, несмотря на очевидное преимущество транспортного? Запрет автоматического переключения в туннельный режим с помощью команды «mode transport require».
4.10. Консолидация изученных режимов инкапсуляции. Сценарии применения туннельного, транспортного, IPsec over GRE, а также GRE over IPsec режимов. Преимущества и недостатки каждого из них.
Урок 5. Группа протоколов IPsec. Протоколы ESP, AH, ESP & AH
5.1. История создания группы протоколов IP Security. IPsec как надстройка над стеком TCP/IP.
5.2. Возможности IPsec. Знакомство с принципами обеспечения конфиденциальности данных (data encryption), целостности данных (data integrity), аутентификации пакетов и шлюзов (packets and peer authentication), защиты от воспроизведения данных (anti-replay protection), обмена ключами (key management).
5.3. Протоколы, входящие в состав IP Security. Протокол согласования параметров безопасности IKE и протоколы инкапсуляции и передачи данных по туннелю - ESP, AH, ESP & AH.
5.4. Протокол инкапсуляции и передачи данных Encapsulating Security Payload, ESP. Принципы работы и назначение протокола, его возможности.
5.5. Обеспечение конфиденциальности (шифрования) данных посредством протокола ESP. Принципы шифрования. Шифрование данных симметричными алгоритмами DES, 3DES, AES. Участок в последовательности заголовков, подвергаемый шифрованию.
5.6. Последствия нарушения целостности пакетов для предприятия. Атака «человек по середине (man in the middle)». Детальное изучение принципов обеспечения целостности данных и аутентификации пакетов (data integrity and packets authentication) посредством протокола ESP и HMAC хеш-функций. Проверка целостности и аутентификация пакетов в едином механизме благодаря keyed-hash функции. Поле Authentication в ESP пакете.
5.7. Защита данных от воспроизведения (anti-replay protection), реализуемая с помощью поля Sequence Number (SN) в ESP пакете. Перемешивание пакетов в пределах заданного размера окна (anti-replay window). Цели и задачи злоумышленника, преследуемые при реализации атаки воспроизведения пакетов.
5.8. Структура ESP заголовка. Назначение полей Security Parameters Index (SPI), Sequence Number (SN), ESP Payload Data, Padding, Pad Length, Next Header, ESP Authentication Data. Размеры полей. Сравнение со структурой GRE заголовка.
5.9. Протокол инкапсуляции и передачи данных Authentication Header, AH. Режимы работы и возможности AH. Принципиальное отличие AH от ESP. Сценарии применения Authentication Header – когда AH лучше, чем ESP?
5.10. Структура AH заголовка. Назначение полей Next Header, Payload Length, Reserved, Security Parameters Index (SPI), Sequence Number (SN), Authentication Data, Payload Length. Размеры полей. Сравнение со структурой ESP заголовка.
5.11. Практическая работа – переход на использование AH вместо ESP в лабораторном проекте. Настройка политики второй фазы с помощью команды «crypto ipsec transform-set» и установка параметра «ah-sha-hmac». Работа с командами «crypto map», «show run | section crypto», «clear crypto sa». Использование WireShark для изучения новой последовательности заголовков.
5.12. Комбинированный режим ESP + AH. Совмещение возможностей двух протоколов в одном пакете. Двойная аутентификация. Защита от изменения всего пакета (включая внешний IP заголовок) при сохранении возможности шифрования данных. Вид последовательности заголовков при использовании ESP + AH.
5.13. Практическая работа по переходу на комбинированный режим. Модификация конфигурации политики второй фазы «transform-set» и установка параметров «esp-aes | esp-sha-hmac |ah-sha-hmac». Объяснение параметров.
5.14. Сравнение протоколов ESP, AH, ESP & AH. Участки в последовательности заголовков, подвергаемые подписи и шифрованию. Преимущества и недостатки комбинированного режима, сценарии применения.
Урок 6. Группа протоколов IPsec. Internet Key Exchange, фаза 1
6.1. Протокол согласования параметров безопасности Internet Key Exchange Protocol (IKE). Детальное изучение назначения и принципов работы протокола.
6.2. Фазы построения IPsec туннеля. IKE фаза 1 и IKE фаза 2. Основная идеология IKE.
6.3. IKE фаза 1 в Main Mode. Шесть сообщений и три этапа согласований. Этап согласования политик, этап генерации ключевого материала и обмен Diffie-Hellman, этап аутентификации и проверки подлинности.
6.4. Этап I - согласования политик. Что такое политика первой фазы и для каких целей требуется её согласование. Алгоритм согласования политик.
6.5. Протоколы ISAKMP, Oakley и SKEME, лежащие в основе гибридного протокола IKE. Принцип действия и назначение каждого протокола.
6.6. Структура заголовка ISAKMP. Многоуровневые вложения (payload) в ISAKMP. Вложения SA, Proposal и Transform. Флаги C, E, A. Назначение флагов. Поля SPI инициатора, SPI ответчика, Next Payload, Major, Minor, Exchange Type, Message ID, Total Message Length. Детальное описание полей.
6.7. Практическая работа по конфигурации политик первой фазы. Работа с командой «crypto isakmp policy». Атрибуты политики. Атрибуты encryption, hash, group, authentication, lifetime -детальное описание каждого атрибута. Назначение каждого атрибута.
6.8. Использование WireShark для изучения процесса согласования политик первой фазы на практическом примере. Обмен пакетами этапа I первой фазы IKE (сообщения 1 и 2).
6.9. Номера политик в Cisco IOS. Приоритет политик. Порядок расположения политик в ISAKMP пакете.
6.10. Изменение приоритета политик для гибкого управления процессом согласования. Как заставить роутер согласовывать конкретные политики?
6.11. Понятие «инициатор соединения». Согласование политик с разными атрибутами в зависимости от инициатора.
6.12. Политики с неполными атрибутами. Что будет, если выполнить частичную конфигурацию политики?
6.13. Поведение роутеров при отсутствии политик. Политики по умолчанию в IOS 15 и IOS 12.4. Особенности вывода команды «show crypto isakmp policy» в случае отсутствия политик сконфигурированных вручную.
6.14. Этап II - генерация ключевого материала и обмен Diffie-Hellman. Получение общего секретного ключа без его фактической передачи.
6.15. Детальное изучение принципов работы алгоритма Diffie-Hellman. Математические функции, основанные на асимметричных ключах. Псевдослучайное число «p» и первообразный корень «g». Формулы расчета общего секретного ключа Shared Secret.
6.16. Практическая работа. Самостоятельный расчет общего секретного ключа Shared Secret по формулам Diffie-Hellman.
6.17. Группа Diffie-Hellman как атрибут политики первой фазы. На что влияет номер группы Diffie-Hellman? Использование WireShark для изучения обмена пакетами этапа II первой фазы IKE (сообщения 3 и 4).
6.18. Общий ключевой материал SKEYID. Сессионные ключи SKEYID_a (authentication key), SKEYID_e (encryption key), SKEYID_d (derivative key). Назначение и использование каждого ключа.
6.19. Генерация SKEYID в случае аутентификации по pre-shared ключу. Обмен информацией KE и nonсe (Ni, Nr).
6.20. Подробнее о pre-shared ключе. Pre-shared ключ и Shared Secret – это одно и то же? Команда для установки pre-shared ключа. Роль pre-shared в формуле расчета общего ключевого материала SKEYID.
6.21. Формула расчета SKEYID в случае аутентификации по pre-shared ключу. Что такое PRF (pseudo-random function)?
6.22. Генерация SKEYID в случае аутентификации RSA Encrypted Nonces (шифрование открытым ключом). Суть метода аутентификации. Роль псевдослучайных чисел nonce (Ni и Nr) в рассматриваемом методе аутентификации. Обмен информацией CKY, hash, IDi, PK. Назначение каждой переменной. Формула расчета SKEYID.
6.23. Генерация SKEYID в случае аутентификации RSA Signature (по цифровым сертификатам). Суть метода аутентификации, отличия от RSA Encrypted Nonces. Обмен информацией CERT и SIG. Формула расчета SKEYID.
6.24. Формулы расчета сессионных ключей SKEYID_a, SKEYID_e, SKEYID_d. Общий SKEYID и Shared Secret как основа для расчета сессионных ключей.
6.25. Этап III - аутентификация и проверка подлинности VPN шлюзов на примере pre-shared аутентификации. Понятие identity. Формулы расчета HASH_I и HASH_R, которые используются для аутентификации VPN шлюзов. Изучение переменных (g^xi, g^xr, CKY-I, SAi, Idi), входящих в формулу расчета HASH_I и HASH_R. Каким образом pre-shared ключ участвует в механизме аутентификации. Как конкретно происходит процедура проверки подлинности и аутентификации с использованием identity hash.
6.26. Разница между проверкой подлинности и аутентификацией. Использование WireShark для изучения обмена пакетами этапа III первой фазы IKE (сообщения 5 и 6).
6.27. Конечный результат 3-х этапов первой фазы IKE в режиме Main Mode – ассоциация безопасности IKE. Что такое IKE Security Association, её назначение.
6.28. Просмотр установленных IKE Security Association с помощью команды «show crypto isakmp sa detail» Детальное изучение вывода команды. Столбцы ID, DST, SRC, VRF, STATUS и другие. Еще раз о том, что такое ассоциация безопасности.
6.29. Просмотр установленных IKE Security Association с помощью команды «show crypto isakmp sa» без параметра «detail». Детальное изучение вывода команды. Разница между диагностическими колонками status и state.
6.30. Таблица расшифровки состояний ассоциаций, отображаемых в колонке state. Состояния MM_NO_STATE, MM_SA_SETUP, MM_KEY_EXCH, MM_KEY_AUTH, QM_IDLE и другие.
6.31. Команды диагностики IKE фазы 1, не относящиеся к Security Association. Команды «show crypto isakmp» с параметрами «default policy, key, peers, profile, sa».
6.32. IKE фаза 1 в Aggressive Mode. Построение мини-ISAKMP туннеля за 3 сообщения. Обмен сообщениями в Main и Aggressive режиме – сравнение. Детальное изучение процессов, происходящих в течении Aggressive обмена. Что способствует его ускорению? Почему в Аggressive режиме этап аутентификации защищается только частично?
6.33. Преимущества и недостатки Aggressive режима. Что выбрать – Main Mode или Aggressive Mode?
6.34. Практическая работа по переходу на Aggressive Mode. Работа с профилем первой фазы и командой «crypto isakmp profile». Настройка профиля командами «initiate mode aggressive», «match identity», «keyring default». Как указать identity в случае pre-shared аутентификации? Что такое keyring? Как профиль влияет на поведение IPsec? Разница между профилем первой фазы и профилем второй фазы. Подключение профиля к текущей конфигурации.
6.35. Использование WireShark для изучения обмена первой фазы в Aggressive Mode на практическом примере. В каких случаях Aggressive режим будет инициирован принудительно?
6.36. Мини-ISAKMP туннель как конечный результат IKE фазы 1.
Урок 7. Группа протоколов IPsec. Internet Key Exchange, фаза 2
7.1. IKE фаза 2 Quick Mode. Процессы, происходящие на второй фазе IKE. Цели и задачи второй фазы.
7.2. Политики второй фазы transform. Назначение политик второй фазы. Изучение процесса обмена политиками второй фазы. Настройка политик второй фазы с помощью команды «сrypto ipsec transform-set». Взаимодействие transform-set и crypto-map.
7.3. Политики по умолчанию. Работа с командой «show crypto ipsec default transform-set». Дефолтные политики в IOS 15 и IOS 12.4.
7.4. Порядок подключения политик к crypto-map. Приоритет политик второй фазы. Согласование политик в зависимости от инициатора. Как заставить роутер согласовывать конкретные политики? Эмулирование ситуаций, при которых роутеры согласовывают разные политики.
7.5. Другие процессы, происходящие на второй фазе IKE. Проверка целостности и аутентификация источника с помощью расчета HASH. Ключевой материал SKEYID_a как основа для расчета HASH (1), HASH (2) и HASH (3). Детальное изучение алгоритма, с помощью которого два VPN шлюза проверяют подлинность отправителя на второй фазе IKE.
7.6. Переменные SKEYID_a, M-ID, SA, Ni, KE, IDi, IDr в формулах расчета HASH.
7.7. Генерация ключевого материала KEYMATERIAL, из которого создаются ключи для симметричных алгоритмов шифрования DES, 3DES, AES, а также для HMAC хеш-функций. Ключевой материал SKEYID_d как основа для формулы расчета KEYMATERIAL.
7.8. Perfect Forward Secrecy (PFS). Формула расчета KEYMATERIAL в зависимости от применения PFS. На что влияет PFS?
7.9. Целесообразность применения Perfect Forward Secrecy (PFS). Компрометация злоумышленником ключевого материала SKEYID_d. Влияние технологии PFS на скорость обмена второй фазы. Стоит ли включать PFS?
7.10. Практическая работа. Включение PFS с помощью команд Cisco IOS. Тест производительности роутеров с активированной и деактивированной технологией PFS. Объяснение причин, по которым снижается производительность роутера.
7.11. Знакомство с IPsec Security Association (ассоциация безопасности второй фазы). Особенности создания IPsec Security Association и их взаимосвязь с PFS. Просмотр Security Associations второй фазы с помощью команды «show crypto ipsec sa».
7.12. Модификация лабораторной работы и добавление дополнительных подсетей пользователей. Создание нескольких Security Associations второй фазы, путем направления трафика в разные подсети. Закрепление материала с помощью отслеживания событий, происходящих в сети.
7.13. Подробнее о Security Associations. Разница между IKE Security Association (ассоциация первой фазы) и IPsec Security Associations (ассоциации второй фазы). Какую информацию содержат Security Associations и для чего они используются?
7.14. Однонаправленные (unidirectional) и двунаправленные (bidirectional) Security Associations. Особенности двунаправленных SAs. Входящие и исходящие ассоциации.
7.15. Номер Security Parameter Index (SPI) и его взаимосвязь с Security Association (SA). Сопоставление входящего ISAKMP, ESP или AH пакета с соответствующей ассоциацией безопасности.
7.16. Формула расчета SPI номеров. Разница между IKE SPI и IPsec SPI. Изучение на примере расшифрованного пакета второй фазы.
7.17. Практическая работа с IPsec SAs и SPI номерами. Отслеживание сопоставления SPI номеров с входящими и исходящими IPsec SAs на практическом примере. Как конкретно роутер сопоставляет входящий ISAKMP, ESP или AH пакет с соответствующей SA. Понятие шаблона SA.
7.18. Продолжение детального изучения вывода команды «show crypto ipsec sa». Счетчики пакетов. Использование счетчиков для диагностики второй фазы. Понятие initialization vector (IV size).
7.19. Другие команды диагностики второй фазы IKE. Работа с командой «show crypto ipsec» и параметрами «policy», «profile», «default transform-set», «spi-lookup». Объяснение вывода команд. Разница между командами «sa» и «security associations».
7.20. Общие команды диагностики IPsec. Работа с командами «show crypto map» и «show crypto session».
7.21. Время жизни ассоциаций безопасности, Security Associations lifetime. Почему необходимо ограничивать время жизни ассоциаций? Время жизни по умолчанию.
7.22. Механизм автоматической смены Security Association по истечению времени жизни.
7.23. Особенности согласования значений lifetime между роутерами для разных типов SAs.
7.24. Установка значения lifetime для ассоциаций первой фазы. Два способа установки значения lifetime для ассоциаций второй фазы.
7.25. Глобальный способ установки времени жизни IPsec ассоциаций. Работа с командой «crypto ipsec security-association lifetime». Ограничение периода существования IPsec SAs по времени и количеству обработанных килобайт. Отключение лимитирования по количеству обработанных килобайт. Преимущества и недостатки глобального способа установки lifetime.
7.26. Установка времени жизни IPsec ассоциаций локально для crypto-map. Работа с командой «set security-association lifetime». Преимущества и недостатки локального способа установки lifetime.
7.27. Почему время жизни Security Association на первой фазе, должно быть больше, чем время жизни Security Associations на второй фазе?
7.28. Выбор оптимального значения lifetime для Security Associations с учетом, и без учета PFS.
7.29. Установка idle-time. Чем idle-time отличается от lifetime? Идеология idle-time.
7.30. Настройка защиты от атаки воспроизведения пакетов (anti-replay protection). Использование команды «сrypto ipsec security-association replay» для изменения размера окна (window-size). Необходимость в управлении размером окна. Отключение защиты.
7.31. Протокол IP Payload Compression Protocol (PCP) и алгоритм сжатия lzs, обеспечивающие компрессию пакетов. Цели, преследуемые при активации механизма. Преимущества и недостатки сжатия пакетов – стоит ли включать компрессию? В какой последовательности применять механизм – сначала сжатие, а затем шифрование, или сначала шифрование, а затем сжатие? Включение механизма сжатия, путем добавления соответствующего параметра в политику второй фазы. Работа со счетчиками компрессии. Новая Security Association для протокола PCP.
7.32. Последовательное изучение всех этапов, которые проходит исходящий пакет, прежде чем будет отправлен по туннелю – алгоритмы обработки исходящих пакетов.
7.33. База данных политик безопасности Security Policy Database (SPD). Назначение базы данных. Обработка пакета на основании селекторов и политик – «отбросить», «пропустить без применения IPsec» или «пропустить с применением IPsec». Каким образом формируется SPD?
7.34. База данных ассоциаций безопасности Security Associations Database (SAD). Поиск конкретной ассоциации безопасности в базе данных ассоциаций SAD с помощью маркеров.
7.35. Последовательное изучение всех этапов, которые проходит входящий пакет, прежде чем будет отправлен на компьютер пользователя – алгоритмы обработки входящих пакетов.
7.36. Основной IPsec туннель как конечный результат IKE фазы 2.
Урок 8. Группа протоколов IPsec. Криптографические алгоритмы и поиск неисправностей
8.1. Криптографические алгоритмы, используемые в IPsec. Способы аутентификации VPN шлюзов (PSK, RSA Encrypted Nonces, Digital Certificates). Асимметричные шифры, используемые в некоторых методах аутентификации (RSA, DSA, ECDSA, etc.). Что такое асимметричный алгоритм шифрования?
8.2. Симметричные алгоритмы шифрования (RC4, SEAL, AES, DES, 3DES, etc.), использующиеся для шифрования трафика пользователей. Блочные и потоковые симметричные шифры – принципы работы, отличия. Как происходит шифрование. Что такое симметричный алгоритм? Что такое раунд? Сравнение AES и DES по криптографической стойкости при одинаковой длине ключа. Особенности алгоритма SEAL при работе с микросхемами аппаратного шифрования ASIC.
8.3. Алгоритмы хеширования (MD, SHA, BLAKE, Grostl, etc.), использующиеся для проверки целостности и аутентификации пакетов. Чем обычный хеш-алгоритм отличается от HMAC хеш-алгоритма – изучение принципов работы. Хэш-функции, поддерживаемые в Cisco IOS. Длина итогового хеш. Разница между аутентификацией пиров и аутентификацией пакетов.
8.4. Алгоритм обмена ключами Diffie-Hellman. Три вида групп – DH, ECDH, SUBDH. Детально про каждую из групп. Зависимость криптографической стойкости от номера группы. Стоит ли использовать SUBDH группы? Группы с эллиптическими кривыми – больший уровень криптографической стойкости при меньшей длине числа P.
8.5. Рекомендации по выбору криптографических алгоритмов. Какие криптографические алгоритмы выбрать для обеспечения максимальной безопасности передаваемых данных?
8.6. Слабые, средние и сильные алгоритмы. Выбор алгоритмов для аутентификации VPN шлюзов, шифрования трафика IKE (служебных ISAKMP сообщений), шифрования данных пользователей, проверки целостности и аутентификации пакетов.
8.7. Длина итогового hash. Особенность поля Authentication Data в ESP и AH пакетах. Что такое SHA-2-512-96?
8.8. От чего зависит безопасность IPsec? Рекомендации по выбору группы Diffie-Hellman для первой и второй фазы IKE.
8.9. Длина pre-shared ключа. Разница между бинарном и десятичным представлением. Случайные биты. Взаимосвязь между битовой длиной используемой хеш-функцией и символьной длиной pre-shared ключа. Формула расчета необходимой символьной длины pre-shared ключа.
8.10. Рекомендации по выбору оптимального значения времени жизни (lifetime) для IKE и IPsec Security Associations. Рекомендации, учитывающие наличие или отсутствия механизма Perfect Forward Secrecy (PFS).
8.11. Что делать, если производительности роутера не достаточно для применения сильных алгоритмов? Общие рекомендации по выбору криптографических алгоритмов. Стоит ли доверять новым алгоритмам?
8.12. Особенности лицензии Security в IOS 15. Ограничения на использование криптографических средств с длиной ключа более 56 бит. Аббревиатура NPE.
8.13. Рекомендации по выбору длины ключа для симметричных и асимметричных алгоритмов шифрования. До какого периода времени, данные зашифрованные алгоритмом AES с длиной ключа 128 не смогут быть расшифрованы атакой лобового перебора? Метод полного перебора ключа – необходимое количество итераций при длине ключа 56 бит. От чего зависит стойкость криптосистемы?
8.14. Encapsulation Security Payload (ESP) без шифрования (только аутентификация пакетов). Работа с параметром esp-null в Cisco IOS. Еще раз о разнице между аутентификацией VPN шлюзов и аутентификацией пакетов.
8.15. Методология просмотра зашифрованных ISAKMP и ESP пакетов в WireShark. Как посмотреть содержимое зашифрованного пакета в WireShark?
8.16. Troubleshooting IPsec. Методология поиска неисправностей в IPsec - разбор типовых кейсов. Эмуляция неисправностей, их поиск и устранение. Детальное изучение вывода debug. Debug первой и второй фазы. Работа с командами диагностики IPsec.
Урок 9. Группа протоколов IPsec. Internet Key Exchange version 2 (IKEv2)
9.1. Идеология Internet Key Exchange version 2. Отличия IKEv1 от IKEv2. Новые термины и определения.
9.2. Изучение процессов, происходящих на фазе IKE_SA_INIT. Передача политик (SA), открытого ключа Diffie-Hellman (DH) и псевдослучайно сгенерированных nonce (N). Запрос сертификата CERTREQ.
9.3. Общий ключевой материал SKEYSEED в IKEv2. Семь сеансовых ключей SK и формулы их расчета. Отличия SKEYID от SKEYSEED.
9.4. Изучение процессов, происходящих на фазе IKE_AUTH. Политики второй фазы (SA2), identity, вложение AUTH. Селекторы трафика TSi и TSr и их взаимосвязь с SPD базой. Влияние PFS на сообщения, передаваемые на фазе IKE_AUTH.
9.5. Конечных результат, получаемый по завершению фаз IKE_SA_INIT и IKE_AUTH.
9.6. Процесс CREATE_CHILD_SA для создания новых Сhild Security Associations и их обновления. Формулы расчета ключей для алгоритмов симметричного шифрования и хеш-функций при активированной и деактивированной технологии PFS.
9.7. Перегенерация ключевого материала (rekeying) без повторной аутентификации. Формула расчета SKEYSEED при обновлении Security Association.
9.8. Механизм защиты от DoS атак, представленный в IKEv2. Каким образом может быть совершена DoS атака на протокол IKE? Изучение принципов работы защитного механизма. Использование COOKIE для реализации защиты. Формула расчета COOKIE. Случайно сгенерированный секрет и параметр VersionID_of_Secret. Активация механизма защиты от DoS.
9.9. IKEv1 против IKEv2 – сравнительная таблица. Новые методы аутентификации (ecdsa-sig, EAP). Технология MOBIKE. Асимметричная аутентификация. Подтверждение информационных сообщений и другое. Важные преимущества IKEv2.
9.10. Практическая работа по конфигурации Internet Key Exchange v2. Подбор версии IOS, поддерживающей IKEv2 с помощью Cisco Feature Navigator.
9.11. Установка образа маршрутизатора vIOS-L3 на QEMU. Настройка VMWare для работы с эмулятором QEMU. Требования к центральному процессору хостовой машины. Понятие вложенной виртуализации (Nested Virtualization). Особенности запуска эмулятора QEMU на VirtualBox.
9.12. Конфигурация IKEv2. Настройка политик первой фазы IKE_SA_INIT. Атрибуты отдельно от политики. Изучение особенностей и отличий от IKEv1.
9.13. Механизм проверки целостности ISAKMP сообщений, реализованный в IKEv2. Почему отсутствует атрибут «hash»? Отличие атрибута «integrity» от атрибута «prf» в настройках политики первой фазы.
9.14. Новый режим аутентификационного шифрования AES-GCM (Galois/Counter Mode). Отличия, от режима AES-CBC (Cipher Block Chaining). Почему при использовании AES-GSM, нельзя выбрать алгоритм проверки целостности (внешнюю HMAC функцию)?
9.15. Новый механизм сравнения политик первой фазы – несколько значений для одного атрибута.
9.16. Создание группы ключей keyring и настройка IKEv2 профиля. Установка параметров проверки identity, настройка аутентификации и времени жизни ассоциаций первой фазы. Работа с командами «crypto ikev2 profile», «match identity», «keyring local» и другими.
9.17. Настройка политик второй фазы IKE_AUTH (политики IPsec). Алгоритмы ESP-GCM и ESP-GMAC. Что такое Galois Message Authentication Code (GMAC) и как протокол ESP будет работать в случае его использования?
9.18. Конфигурация acсess-list и crypto-map. Работа с командами «set pfs», «match address», «set transform-set» и другими. Проверка работоспособности конфигурации.
9.19. Изучения процесса обмена пакетами в IKEv2 на практическом примере с помощью WireShark. Обмен IKE_SA_INIT и IKE_AUTH. Обмен CREATE_CHILD_SA. Обмен информационными сообщениями.
9.20. Механизм обнаружения ретранслированных пакетов - Message ID (MID) в ISAKMP сообщениях. Альтернативное использование поля Message ID в IKEv1.
9.21. Диагностика IKEv2. Группа команд «show crypto ikev2» с параметрами «sa, sa detailed, policy, proposal» и другие. Изучение вывода команд диагностики.
9.22. Совместимость IKEv1 и IKEv2. Могут ли две версии IKE работать вместе?
9.23. Консолидация IPsec. Краткое повторение и закрепление материала, изученного в ходе этой серии уроков. Заключение.
Урок 10. Инфраструктура открытого ключа (PKI). Теория
10.1. Принципы шифрования с использованием одного и того же ключа. Недостатки симметричного шифрования.
10.2. Принципы асимметричного шифрования – открытый (public) и закрытый (private) ключ. Каким образом используются открытые и закрытые ключи для шифрования данных?
10.3. Применение пары открытый/закрытый ключ в сценарии обеспечения конфиденциальности и в сценарии аутентификации узлов.
10.4. Принципы асимметричной аутентификации. Каким образом используются открытые и закрытые ключи для аутентификации узлов?
10.5. Сложность задачи факторизации как основа криптографической системы RSA с открытым ключом. Назначение и применение RSA алгоритма.
10.6. Асимметричные алгоритмы DSA и ECDSA – отличия от алгоритма RSA. Критерии выбора конкретного алгоритма.
10.7. Основная идеология всех асимметричных алгоритмов шифрования.
10.8. Почему для шифрования трафика пользователей в IPsec, нельзя применять асимметричные алгоритмы? Как отличить симметричный алгоритм от асимметричного алгоритма?
10.9. Нарушение конфиденциальности данных в следствии атаки «человек по середине» (man in the middle) на перехват открытого ключа. Подробное изучение принципов атаки.
10.10. Повышение безопасности криптосистемы с открытым ключом с помощью цифровых сертификатов. Назначение и применение цифровых сертификатов. Сертификат как открытый ключ + информационная составляющая.
10.11. Сертификат стандарта X.509 для инфраструктуры открытого ключа и инфраструктуры управления привилегиями. Первое знакомство с полями сертификата.
10.12. Три формата X.509-того сертификата. Описание каждого формата. Основной принятый формат сертификата.
10.13. Кодировка сертификатов методами CER, DER, base64, ANS.1. Расширения итоговых файлов сертификатов - .CER, .CRT, .DER, .PEM, .P12, .P7B, .PFX. Каким образом информация из полей сертификата хранится в итоговом файле?
10.14. Особенности .PEM сертификатов.
10.15. Криптографические стандарты PKCS как аналог RFC в сетях. Стандарт PKCS12 и итоговый файл .P12 для хранения и транспортировки закрытого ключа. Стандарт PKCS10 для запроса сертификата у Certificate Authority. Стандарт PKCS7 и итоговый файл .P7B – хранилище нескольких сертификатов.
10.16. Консолидация знаний, изученных в этом разделе урока. Разбираемся в терминах PKCS, PEM, CRT, X.509, base64. Еще раз о стандартах сертификатов, форматах сертификатов, расширении итоговых файлов, кодировках и криптографических стандартах PKCS12.
10.17. Как доказать, что сертификат принадлежит конкретному лицу и окончательно предотвратить перехват открытого ключа и нарушение конфиденциальности передаваемых данных?
10.18. Инфраструктура открытого ключа (Public Key Infrastructure, PKI). Центр сертификации (Certificate Authority, CA). Роль центров сертификации в корпоративной сети предприятия.
10.19. Доскональное изучение принципов работы всех технологий, входящих в PKI. Запрос сертификата у Certificate Authority с помощью SCEP - Simple Certificate Enrollment Protocol.
10.20. Что такое цифровая подпись? Как Certificate Authority подписывает сертификат, который выпускает для PKI клиента? Роль закрытого ключа центра сертификации.
10.21. Роль открытого ключа центра сертификации (сертификата CA). Доверие к личным сертификатам на основании сертификата CA.
10.22. Аутентификация VPN шлюзов по цифровым сертификатам с точки зрения PKI. Доскональное изучение принципов аутентификации. Как именно роутеры используют поле «digital signature» и открытый ключ CA для проверки подлинности и целостности полученного сертификата от соседнего VPN шлюза? Какова роль центра сертификации (Certificate Authority) в цепочке взаимодействия двух VPN шлюзов? Что такое hash сертификата, как он используется и для чего он нужен?
10.23. Попытка подмены сертификата роутера А человеком по середине (man in the middle) - эмуляция двух сценариев атаки. Объяснение причин, по которым рассмотренные сценарии атак не могут увенчаться успехом в случае, если личный сертификат роутера А является подписанным со стороны центра сертификации.
10.24. Что будет, если злоумышленник украдет сертификат роутера А и попытается с помощью него аутентифицироваться на роутере Б? Какими механизмами располагает IPsec для предотвращения этого класса атак?
10.25. Краткое напоминание о принципах аутентификации в IPsec по предварительно-распределенному секрету (pre-shared ключу).
10.26. Аутентификация VPN шлюзов по цифровым сертификатам с точки зрения IPsec. Отличия внутренней логики аутентификации по цифровым сертификатам от аутентификации по pre-shared ключу.
10.27. Взаимосвязь закрытого ключа роутера А и цифровой подписи SIG_I в IPsec. Как именно IPsec взаимодействует с инфраструктурой открытого ключа PKI и для каких целей IPsec создает цифровую подпись SIG_I?
10.28. Детальное изучение алгоритма аутентификации двух IPsec пиров посредством цифровых сертификатов во взаимодействии с Public Key Infrastructure и Certificate Authority.
10.29. Что будет, если злоумышленник украдет не только сертификат, но и закрытый ключ роутера А? Механизм отзыва сертификатов с помощью Certificate Revocation List (CRL), Online Certificate Status Protocol (OCSP) и AAA Server.
10.30. Детальное изучение принципов работы механизма проверки отзыва сертификатов с помощью CRL файла. Процедура подписи и публикации CRL файла на web сервере. Процедура загрузки CRL файла с web сервера для проверки сертификата на факт отзыва PKI клиентами. Преимущества и недостатки механизма с CRL файлом.
10.31. Подробнее о механизме проверки отзыва сертификатов с помощью СУБД OCSP. Преимущества и недостатки этого механизма.
10.32. Подробнее о механизме проверки отзыва сертификатов с помощью AAA Server, доступного в Cisco Secure ACS. Целесообразность применения данного механизма.
10.33. Детальное изучение полей, входящих в состав сертификата стандарта X.509 версии 3. Поля «Version Number», «Signature Algorithm ID», «Validity Period», «Subject Public Key Info», «Certificate Signature Algorithm», «Digital Signature». Назначение и использование каждого поля.
10.34. Особенности полей «X.500 Issuer Name» и «X.500 Subject Name». Подробнее о стандарте X.500 и службе распределенного каталога. Relative Distinguished Names (RDNs), такие как CN, OU, O, L, S, C.
10.35. Поле «Extensions» (дополнения) и суб-поля. Применяемость сертификата, специфика применения ключа, ограничения на использование. Политики выдачи сертификата, Certificate Policy. Класс выдачи сертификата.
10.36. Этапы видоизменения сертификата. Вид сертификата в HEX редакторе->в декодированном виде->после интерпретации программным обеспечением. Особенности интерпретации.
10.37. Изучение инфраструктуры открытого ключа на примере Global PKI.
10.38. Обзор структуры реального сертификата, полученного с сайта банка в среде Global PKI.
10.39. Object Identifier (OID) в одном из суб-полей сертификата и понятие extended-validation.
10.40. Каким образом компьютеру клиента удается проверить, что сайт банка не является поддельным? О чем свидетельствует иконка зеленого замка в левом верхнем углу браузера?
10.41. Детальное изучение алгоритма проверки подлинности полученного сертификата от банка – закрытый ключ банка, дочерние (подчиненные) центры сертификации и цепочка доверия (пути сертификации).
10.42. Глобальные центры сертификации и хранилище корневых сертификатов Windows. Работа с хранилищем сертификатов Windows. Особенности хранилища сертификатов у браузера Mozilla Firefox.
10.43. Переход к развертываю корпоративного, Enterprise PKI.
Урок 11. Инфраструктура открытого ключа (PKI). Практика, часть I
11.1. Практическая работа по развертыванию инфраструктуры открытого ключа (PKI) в корпоративной среде (Enterprise PKI).
11.2. Добавление сервера центра сертификации (Сertificate Authority) к лабораторному проекту. Памятка, касающаяся IDLE-PC и несколько дополнительных моментов. Разница между удостоверяющим центром и центром сертификации, а также различия между Global PKI и Enterprise PKI.
11.3. Конфигурирование центра сертификации на Cisco IOS. Генерация пары открытый/закрытый ключ, работа с командой «crypto key generate» и её параметрами. Генерация ключей с помощью RSA и ECDSA алгоритма. Рекомендации по выбору длины ключа.
11.4. Опция «exportable» при генерации ключевой пары. Стоит ли делать закрытый ключ CA экспортируемым? Последствия компрометации закрытого ключа центра сертификации. Ситуации, при которых требуется наличие копии закрытого ключа. Рекомендации по безопасному хранению закрытого ключа.
11.5. Продолжение конфигурации центра сертификации на Cisco IOS. Настройка trustpoint, активация http сервера. Работа с командой «issuer-name CN=, OU=, O=, S=, C=».
11.6. Настройка расположения базы данных CA сервера, работа с командой «Database url». Месторасположение базы дынных для образов IOS работающих на Dynamips, QEMU, IOU/IOL. Месторасположение для реального оборудования. Сведения, хранящиеся в базе данных CA сервера.
11.7. Настройка полноты информации, хранящейся в базе данных CA сервера. Работа с командой «database level». Режимы «complete», «names» и «minimum». Рекомендации по выбору режима.
11.8. Настройка алгоритма хеширования. Для каких целей в настройках центра сертификации указывается hash алгоритм?
11.9. Установка сроков действия CA сертификата; сертификата, который будет выпускаться для PKI клиентов и CRL файла. Работа с командами «lifetime certificate, lifetime ca-certificate, lifetime CRL».
11.10. Настройка поведения Сertificate Authority при получении запроса на выдачу сертификата от клиента. Работа с командой «grant» и режимами «auto», «ra-auto», «none», «no grant auto». Описание каждого режима.
11.11. Завершение конфигурации и запуск CA сервера. Объяснение механизмов, при которых открытый ключ CA сервера преобразуется в сертификат CA. Понятие самоподписанного (self-signed) сертификата. Рекомендации по генерации безопасного пароля для защиты закрытого ключа.
11.12. Настройка PKI клиентов – VPN шлюзов предприятия. Постановка задачи.
11.13. Генерация пары открытый/закрытый ключ на клиенте с помощью алгоритма RSA. Стоит ли делать закрытый ключ экспортируемым в случае PKI клиента? Обзор двух разных сценариев, приводящих к двум разным решениям. Немного о EFS - Encrypting File System.
11.14. Настройка trustpoint на PKI клиенте. Команда «enrollment url» - особенности синтаксиса. Понятие FQDN, Fully Qualified Domain Name. Отличие имени домена от полного имени домена. Назначение FQDN. Настройка «subject-name».
11.15. Запрос CA-сертификата у центра сертификации с помощью команды «crypto pki authenticate». Еще раз о назначении CA-сертификата и его роли в аутентификации VPN шлюзов.
11.16. Отпечаток (fingerprint) CA-сертификата. Предотвращение атаки подмены центра сертификации - механизм дополнительного ручного подтверждения подлинности полученного CA-сертификата (Out of Band Authentication).
11.17. Получение личного сертификата для VPN шлюза у центра сертификации, работа с командой «crypto pki enroll». Challenge Password, как еще один механизм Out of Band аутентификации, повышающий безопасность. Роль и назначение Challenge Password.
11.18. Работа с командой «show crypto PKI certificates» для просмотра полученных сертификатов на Cisco IOS PKI клиенте.
11.19. Получение сертификатов для второго PKI клиента (VPN шлюза). Работа с командой проверки сертификатов на факт отзыва «revocation check» и параметрами «crl», «none» и «oscp».
11.20. Команда диагностики центра сертификации – «show crypto pki server». Детальное объяснение вывода команды.
11.21. Переход на аутентификацию по цифровым сертификатам в IPsec. Внесение изменений в ISAKMP политики первой фазы на обоих VPN шлюзах. Проверка соединения посредством просмотра IKE и IPsec Security Associations.
11.22. Методология ручного запроса сертификатов у Сertificate Authority без использования SCEP. Пошаговая инструкция по получению и ручному импорту сертификата CA на PKI клиента, а так же ручному запросу личного сертификата для PKI клиента. Практическая работа с кодировкой base64 и запросом PKCS10. Работа с командами «enrollment terminal», «crypto pki import» «crypto pki export NAME pem terminal» и другими.
11.23. Практическая работа с командой «grant» и режимом «no grant auto» в настройках Сertificate Authority для включения механизма ручного подтверждения запросов на выдачу сертификатов со стороны администратора CA. Изучение и использование команды для просмотра запросов, ожидающих одобрения (pending). Команда для одобрения конкретного запроса.
11.24. Сценарии, в которых применяется механизм ручного подтверждения запроса со стороны администратора CA (Out of Band authentication).
11.25. Центры регистрации, Registration Authority (RA). Назначение и применение центров регистрации. Режим «ra-auto» в настройках Cisco CA.
Урок 12. Инфраструктура открытого ключа (PKI). Практика, часть II
12.1. Практическая работа по развертыванию системы проверки сертификатов на факт отзыва с помощью CRL файла – подключение виртуальной машины с Windows Server к тестовому лабораторному проекту.
12.2. Установка Denwer (веб-сервера) на Windows Server. Работа с каталогами веб-сервера. Обеспечение доступа к веб-серверу по внешнему IP адресу. Создание тестовой html-страницы для проверки его работоспособности.
12.3. Настройка новой учетной записи FTP-сервера на связь с каталогом веб-сервера. Объяснение принципов взаимодействия FTP-сервера + веб-сервера + Сertificate Authority + VPN шлюза.
12.4. Внесение изменений в конфигурацию Сertificate Authority - настройка публикации списка отозванных сертификатов (CRL файла) на внешний FTP сервер. Использование команды «database url crl publish» с указанием пути до FTP сервера.
12.5. Проверка корректности конфигурации посредством отзыва и восстановления сертификата. Работа с командами «crypto pki server NAME revoke X» и «crypto pki server NAME unrevoke X».
12.6. Изучение структуры опубликованного CRL файла. Поля CRL файла и вкладка «список отзыва». Механизм автоматического обновления CRL файла центром сертификации по истечению срока его действия.
12.7. Certificate Revocation List Distribution Point (CDP) – каким образом VPN шлюзы узнают о местонахождении CRL файла? Еще раз о том, как именно VPN шлюзы проверяют сертификаты на факт отзыва.
12.8. Внесение изменений в конфигурацию Сertificate Authority – настройка CDP. Работа с командой «cdp-url путь до веб-сервера».
12.9. Перенастройка trustpoint на PKI клиентах на проверку сертификатов на факт отзыва посредством команды «revocation-check crl». Перевыпуск сертификатов.
12.10. Проверка работоспособности конфигурации. Ошибки, связанные с расхождением системного времени на устройствах – ручная корректировка времени.
12.11. Альтернативное месторасположение CRL файла – хостинг-провайдер предприятия как хранилище CRL файла.
12.12. Механизм кеширования CRL файла на устройствах Cisco IOS. Методы сброса и обновления кеша.
12.13. Методы полного отключения механизма кеширования CRL файла. Плюсы и минусы кеширования CRL файла - сценарии, при которых допустимо отключать механизм кеширования CRL файла. Работа с WireShark для просмотра http запроса на загрузку CRL файла.
12.14. Отзыв и восстановление сертификатов – демонстрация работы механизма проверки сертификатов на факт отзыва с помощью CRL файла.
12.15. Ситуация резкого обрыва IPsec Security Associations – объяснение ошибки «invalid SPI number».
12.16. Имитация события истечения срока действия CRL файла. Объяснение механизма автоматической перепубликации CRL файле на веб-сервере.
12.17. Рекомендации по организации инфраструктуры PKI для имплементации VPN-only. Рекомендации по установке времени действия CRL файла, кешированию CRL файла, возможности экспорта закрытого ключа.
12.18. Рекомендации по организации инфраструктуры PKI для других имплементаций на примере 802.1x сетевого карантина.
12.19. Пошаговая методика резервного копирования Сertificate Authority на Cisco IOS. Условия, необходимые для осуществления резервного копирования. Работа с командой «database archive».
12.20. Экспорт конфигурационных файлов центра сертификации на внешний FTP сервер. Сертификат CA и закрытый ключ в одном .p12 файле. Подробнее о стандарте PKCS12.
12.21. Подробнее об экспортируемых конфигурационных файлах CA сервера - .crl, .ser, .p12. Рекомендации по безопасному хранению закрытого ключа CA сервера.
12.22. Пошаговая методика восстановления Сertificate Authority на Cisco IOS с помощью резервных копий конфигурационных файлов. Проверка работоспособности восстановленного центра сертификации.
12.23. Пошаговая методика резервного копирования и восстановления PKI клиента (VPN шлюза) на Cisco IOS. Целесообразность резервного копирования PKI клиента в случае VPN-only имплементации. Условия, необходимые для осуществления резервного копирования.
12.24. Автоматическое обновление личных сертификатов PKI клиентов по окончании их срока действия. Логика работы команды «auto-enroll». Методология ручного обновления личных сертификатов. Обновление сертификата с сохранением старого открытого ключа и с генерацией новой ключевой пары.
12.25. Ручное обновление CA-сертификата центра сертификации. Моменты, на которые следует обратить внимание. Понятие «rollover» и теневого «shadow» сертификата.
12.26. Автоматическое обновление CA-сертификата за некоторое время до окончания старого. Работа с командой «auto-rollover». Имитация истечения срока действия старого сертификата - изучение принципа работы механизма на практических примерах.
12.27. Рекомендации по использованию механизма автоматического обновления CA-сертификата. Завершение практической работы по развертыванию инфраструктуры открытого ключа (PKI) в корпоративной среде.
12.28. Сравнение VPN-only и Enterprise PKI. Задачи, реализуемые в Enterprise PKI.
12.29. Еще раз о принципах работы криптографии с открытым ключом на примере цифровой подписи и шифрования e-mail.
12.30. Топологии PKI. Архитектура Single-Root CA и Hierarchical CAs. Особенности иерархической архитектуры, преимущества и принципы её построения.
12.31. Архитектура кросс-сертификации (Cross-Certified CAs). Сетевая и мостовая кросс-сертификация. Сферы применения архитектур и принципы их построения. Отличия от архитектур Single-Root CA и Hierarchical CAs.
12.32. Альтернатива PKI – PGP (Pretty Good Privacy). Отличия PGP от PKI. Принципы работы PGP. Система доверия «web of trust» в PGP. Сравнение и выбор между PGP и PKI – что лучше?
12.33. Подведение итогов. Разговор о технологиях, протоколах и механизмах, изучаемых в следующих модулях.

Модуль 3

Модуль III. Site-to-Site VPNs
Урок 1. Static and Dynamic VTI
1. Определение системных требований для построения сети филиала. Выбор между единой и территориально-распределенной архитектурой.
2. Развертывание небольшой сети филиала на удаленном компьютере.
3. VPN технологии категории Site-to-Site для объединения филиалов, такие как IPSec (GRE и Crypto-Map); IPSec (Static and Dynamic VTI); IPSec + GRE (DMVPN).
4. Недостатки технологии IPSec Crypto-Map, изученной в модуле II. Static and Dynamic VTI как лучшая альтернатива – отсутствие необходимости в наличии публичного IP адреса со стороны spoke + автоматическая настройка hub роутера при подключении каждого нового spoke.
5. Практическая работа по конфигурации Static and Dynamic VTI на примере лабораторного проекта, в котором Branch роутер сокрыт за NAT. Совместная работа IPSec и ISAKMP профилей.
6. Идеология Dynamic VTI. Шаблон Virtual Template, на основании которого происходит автоматическое создание виртуальных туннельных интерфейсов (VTI). Особенности и назначение команды IP unnumbered.
7. Отключение проверки identity в IPSec – механизм автоматического подключения неограниченного количества филиалов к роутеру MainOffice без внесения каких-либо изменений в его конфигурацию + подключение филиальных роутеров, сокрытых за NAT (без публичного IP адреса).
8. Особенности маршрутизации в VPN сети, построенной с использованием технологии Dynamic VTI. Почему статическая маршрутизация не работает?
9. Обеспечение маршрутизации с помощью протокола Open Shortest Path First (OSPF). Определение роли DR роутера. Почему в топологии Hub-and-Spoke, spoke роутер никогда не должен становится DR-ом?
10. Детальное объяснение принципов работы технологии Static and Dynamic VTI. Принцип построения связи между туннельным ip адресом Branch роутера и виртуальным интерфейсом virtual-template на Hub роутере в связки с динамическим маршрутом. Совместная работа профиля ISAKMP, pre-shared ключа и группы keyring, virtual access и virtual template, профиля IPSec и политики transform-set. Изучение процесса установки туннелей и процесса передачи трафика.
11. Подключение дополнительного филиала к тестовому лабораторному проекту, конфигурация роутера Branch 2 по принципу Static VTI. В каких случаях применять технологию Dynamic VTI, а в каких Static VTI?
12. Особенности ассоциаций безопасности (Security Associations) в изучаемой конфигурации.
13. Ситуация, при которой несколько удаленных пиров (Branch роутеров) сокрыты за одним единственным NAT IP-адресом. Механизмы, с помощью которых Hub роутер сопоставляет конкретный ESP пакет с конкретной ассоциацией безопасности.
14. Технология NAT Traversal (NAT-T). Дополнительный UDP заголовок перед ESP c целью прохождения пакета через NAT без нарушения целостности. UDP порты 500 и 4500.
15. Особенности NAT Traversal при использовании Authentication Header (AH) и комбинированного режима ESP + AH.
16. Изучение процесса передачи IPSec пакета с включенной технологией NAT Traversal по сети. Почему изменение номеров портов в UDP заголовке PAT-устройством, не приводит к нарушению целостности пакета при использовании ESP?
17. Автоматическая активация технологии NAT Traversal при обнаружении NAT устройства на пути следования трафика. Механизмы обнаружения. Изучение команды для ручной активации технологии NAT Traversal.
18. Детальное изучение механизма трансляции портов при прохождении ESP пакета через PAT устройство. Отдельные ассоциации безопасности для каждого порта. Branch роутеры как инициаторы соединения.
19. Перевод Static and Dynamic VTI на аутентификацию по сертификатам. Особенности RDN поля Organization Unit в личных сертификатах, выпускаемых для филиальных роутеров. Работа с картой сертификатов (certificate map).
20. Подведение итогов по теме Static and Dynamic VTI. Многочисленные преимущества и один существенный недостаток.
Урок 2. DMVPN, часть I
1. Технология Dynamic Multipoint Virtual Private Network (DMVPN), знакомство. Преимущества перед Static and Dynamic VTI.
2. Идеология DMVPN – автоматическое построение логической топологии Full-Mesh (связей каждый на каждого) при физической топологии Hub-and-Spoke. Детальное изучение принципов построения автоматических связей в DMVPN.
3. Протоколы, входящие в состав DMVPN – mGRE, NHRP, IPsec, IGP. Роль каждого протокола в технологии DMVPN.
4. Протокол разрешения шлюза Next Hop Resolution Protocol (NHRP), входящий в состав DMVPN. Назначение и принцип действия.
5. Практическая работа по развертыванию DMVPN на примере лабораторного проекта.
6. Конфигурация на Spoke. Встроенный механизм аутентификации NHRP и целесообразность его применения. Активация дополнительной защиты, встроенной в протокол GRE.
7. Продолжение конфигурации. Работа с командами «ip nhrp map multicast», «ip nhrp nhs», «ip nhrp registration no-unique». Описание и назначение каждой команды.
8. Команда «ip nhrp network-id» как идентификатор DMVPN сессии. Обзор ситуаций, при которых необходимо выполнять разграничение сессий.
9. Понятие Next-Hop Server и Next-Hop Client в топологии DMVPN. Роль NHS и NHC.
10. Конфигурация на Hub. Отличия от конфигурации на Spoke. Особенности команды «ip nhrp map multicast dynamic».
11. Point-to-Multipoint взаимодействие между Hub и Spoke. Модифицированный протокол multipoint GRE (mGRE), обеспечивающий возможность работы в многоадресной среде. Необходимость применения команды «tunnel mode GRE multipoint».
12. Знакомство с NHRP таблицей резолюций. NHRP таблица как основное средство диагностики. Детальное изучение вывода таблицы.
13. Изучение принципов работы механизма автоматического сопоставления физических IP адресов с адресами туннельных интерфейсов Spoke роутеров (основа работы DMVPN). Статический и динамический mapping.
14. Особенности IP адресации туннельных интерфейсов в сети DMVPN.
15. Обмен служебными сообщениями в сети DMVPN. Сообщения типа Registration Request/Reply, Resolution Request/Reply, Purge Request, Error Indication. Изучение каждого сообщения с помощью WireShark. Роль каждого из сообщений в механизме автоматического построения логической топологии Full-Mesh.
16. Настройка маршрутизации в DMVPN сети. Настройка статической и динамической маршрутизации. Особенности neighbor взаимодействия. Определение DR роутера с помощью настройки приоритетов «ip ospf priority».
17. Некорректная работа OSPF в Point-to-Multipoint среде. Объяснение причин возникновения проблем. Решение проблем с помощью настройки OSPF.
18. Краткая памятка по методам ускорения маршрутизации. Process Switching и Cisco Express Forwarding. Таблица FIB.
19. Проблема маршрутизации первого пакета с использованием медленного метода Process Switching в DMVPN сети. Incomplete запись в CEF.
20. Статические и динамические туннели. Ограничение времени жизни динамических туннелей как способ экономии ресурсов Spoke роутеров. Условия, при которых динамический туннель остается открытым.
21. Регулирование времени жизни динамических туннелей с помощью команды «ip nhrp holdtime». Рекомендации по установке оптимального значения таймера.
22. Регулировка частоты отправки сообщений типа NHRP Resolution Request. Целесообразность регулировки.
23. Ограничение количества отправок служебных NHRP сообщений в единицу времени для уменьшения сетевой нагрузки.
24. Возможна ли корректная работа DMVPN без активного хаб роутера? Проверка на практике.
25. Фазы DMVPN. Понятие фаз.
26. DMVPN фаза 2. Принципы работы, преимущества и недостатки. Необходимость отключения механизма предотвращения возникновения петель split-horizon при использовании EIGRP в сети DMVPN. Почему нет необходимости в отключении split-horizon в случае использования OSPF?
27. Особенности сохранения информации об оригинальном next-hop адресе в протоколе EIGRP. Причины, по которым необходимо запрещать изменение next-hop адреса в режиме второй фазы.
28. Сохранение оригинального next-hop адреса в протоколе OSPF. Команда «ip ospf network (broadcast / point-to-multipoint)».
29. DMVPN фаза 3. Огромные преимущества и полностью нивелированные недостатки фазы 2. Дополнительные команды «ip nhrp redirect» и «ip nhrp shortcut» в настройках туннельных интерфейсов. Особенности настройки протоколов OSPF и EIGRP.
30. Практическая работа по переводу сети DMVPN в режим третьей фазы. Сравнение принципов работы фазы 2 и фазы 3 на практических примерах. Фаза 3 как решение проблемы incomplete записи в CEF. Почему для фазы 3 требуется разрешить изменение next-hop адреса в маршрутах, проходящих через Hub роутер?
31. Новое сообщение NHRP Traffic Indication (NHRP Redirect), свойственное фазе 3. Роль сообщения.
32. DMVPN фаза 1 – передача данных между филиалами только через Hub роутер. Преимущества и недостатки фазы 1. Команды конфигурации и особенности взаимодействия с протоколами динамической маршрутизации.
33. Практическая реализация фазы 1. Сравнение принципов работы с фазой 2 и 3. Изучение сообщений, свойственных фазе 1 с помощью WireShark.
34. Сравнение и выбор наилучшей фазы для организации защищенных VPN соединений в корпоративной среде.
35. Протоколы динамической маршрутизации в DMVPN сети. Сложный выбор одного из трех протоколов - OSPF, EIGRP и BGP. А может IS-IS? И что насчет RIP?
36. Серьезные ограничения протокола OSPF при работе в DMVPN сети. Проблема при попытке разделения OSPF на регионы из-за multipoint интерфейсов.
37. Грамотное разделение OSPF на регионы в условиях существующих ограничений. Схема 1 и схема 2. Рекомендации по выбору схемы.
38. Бесконтрольное распространение LSU сообщений, отсутствие суммаризации на Hub и возможности фильтрации маршрутов на ABR роутере посредством prefix-list.
39. Максимальное количество Spoke роутеров, при котором всё еще возможно использовать OSPF в DMVPN сети, и количество Spoke роутеров, при котором использование OSPF недопустимо.
40. EIGRP как более оптимальный протокол для обеспечения динамической маршрутизации в DMVPN сети. Сравнение поведения OSPF и поведения EIGRP в случае добавления/удаления подсети, а также в случае полной потери одного из Spoke роутеров. Служебный трафик передаваемый по сети и его влияние на сходимость. Преимущества и недостатки EIGRP в контексте DMVPN сети.
41. BGP как наилучший вариант для обеспечения динамической маршрутизации в DMVPN сети. Десять причин, по которым стоит выбрать BGP и одна причина, по которой делать этого не стоит.
42. Выбор конкретного протокола динамической маршрутизации исходя из количества Spoke роутеров, входящих в состав DMVPN сети.
43. Суммаризация, как важная часть оптимизации сходимости любого протокола динамической маршрутизации. Начало практической работы по выполнению суммаризации в протоколах OSPF, EIGRP и BGP.
44. Суммаризация подсетей пользователей таким образом, чтобы подсети в каждом из филиалов суммаризировались в разные подсети по 16-той маске.
45. Влияние суммаризации на сходимость OSPF в DMVPN сети. В каких случаях происходит частичный, а в каких случаях полный запуск SPF алгоритма?
46. Суммаризация подсетей пользователей таким образом, чтобы подсети в каждом из филиалов суммаризировались в одну и ту же подсеть по 16-той маске. В чем преимущества этого типа суммаризации и почему её невозможно выполнить при использовании OSPF?
47. Суммаризация на Hub в EIGRP (DMVPN фаза 1 и 3). Преимущества суммаризации на Hub. Почему невозможно выполнить суммаризацию на Hub в режиме фазы 2?
48. Query сообщения в EIGRP и их влияние на производительность сети. Причины возникновения Query сообщений и их устранение. Stub роутеры.
49. Консолидация знаний в области суммаризации. Еще раз о типах суммаризации, которые можно применять при использовании OSPF, EIGRP и BGP. Зависимость типа суммаризации от используемой фазы DMVPN.
50. Перевод DMVPN на использование протокола динамической маршрутизации BGP (практическая работа).
51. Краткая памятка о принципах работы BGP. EBGP и IBGP связи. Особенности анонсирования сетей и установки neighbor взаимоотношений.
52. Реализация IBGP в DMVPN. Выбор номера автономной системы. Частные и публичные номера ASN.
53. Механизм защиты от петель маршрутизации в IBGP как причина некорректной работы. Решение проблемы с помощью технологии Route Reflector (RR).
54. Настройка функции «next-hop-self» на Hub роутере для обеспечения работы DMVPN в режиме фазы 3. Параметр «all».
55. Альтернативный способ настройки функции «next-hop-self» с помощью Route-Map. Объяснение принципов работы.
56. Суммаризация на Hub в BGP (DMVPN фаза 1 и 3). Использование команды «aggregate-address». Параметр «summary-only».
57. Невозможность автоматической настройки Hub роутера при подключении нового Spoke из-за особенностей BGP. Решение проблемы с помощью технологии BGP Dynamic Neighbors. Детальное изучение принципа работы технологии. Определение версии IOS, поддерживающей технологию с помощью Cisco Feature Navigator.
58. Преимущества и недостатки применения IBGP связей в DMVPN сети. IBGP без низлежащего IGP протокола.
59. Переход на использование EBGP связей, при которых каждый Spoke роутер находится в разных автономных системах. Почему нельзя использовать 16-ти битные номера автономных систем?
60. Особенности логики работы BGP при использовании EBGP связей. Требуется ли технология Route Reflector (RR)? Next-Hop адреса в маршрутах, проходящих через Hub.
61. Невозможность применения технологии BGP Dynamic Neighbors в рассмотренной конфигурации. Переход к использованию EBGP связей, при которых Spoke роутеры находятся в одной и той же автономной системе.
62. Игнорирование атрибута as-path в полученных маршрутах. Использование параметра «allowas-in» для отключения механизма защиты от петель маршрутизации.
63. Подведение итогов. Рекомендации по конечном выбору фазы DMVPN, метода суммаризации и протокола динамической маршрутизации для организации защищенных VPN соединений в корпоративной среде.

Модуль 4. Remote Access VPNs и мониторинг сети

Краткое описание модуля:
В отличии от предыдущих модулей, которые были больше теоретические, чем практические, этот модуль будет иметь исключительно практический уклон. В этот раз, мы не будем так глубоко погружаться в принципы работы технологий на уровне стандартов RFC, а уделим внимание именно практической реализации изучаемых в этом модуле технологий, их практическому применению в корпоративной сети. Конфигурация, конфигурация и еще раз конфигурация!
В этом модуле, мы будем изучать Remote Access VPN. Основные технологии для организации подобных соединений, носят названия Cisco Easy и FlexVPN. Это технологии, при которых на компьютер или смартфон удаленных сотрудников устанавливается специализированное ПО, позволяющее им подключаться к корпоративной сети из любой точки планеты. В отличии от простого RDP, когда удаленное подключение как правило осуществляется только к одному конкретному серверу, и при этом оно не защищено, технологии Remote Access, позволяют сотрудникам работающим дома или в кафе, получить либо частичный, либо полный доступ как к головной, так и к филиальной сети, при этом весь их обмен будет зашифрован.
Аутентификация и, что важнее, авторизация пользователей будет осуществляться посредством Radius сервера, развернутого на Windows Server. Когда удаленный сотрудник, посредством специализированного приложения, будет подключаться к корпоративной сети, Edge роутер будет посылать запрос на Radius сервер. Radius сервер вернет Edge роутеру информацию об уровне привилегии пользователя. Кому-то будет разрешен доступ только к серверам, кому-то только в определенные VLAN, кому-то к филиалу, а кому-то будет предоставлен полный, не ограниченный доступ. При этом Radius сервер будет вести аудит (Accounting). Администратор всегда будет знать кто, когда и к каким сетевым ресурсам получал доступ. Мы будем создавать нескольких пользователей и реализовывать все описанное выше на практике.
Урок 1. Cisco Easy VPN (EzVPN)
1. Введение в Remote Access VPN технологии. Отличия от Site-to-Site VPN технологий. Быстрое временное соединение удаленных сотрудников с корпоративной сетью из любой точки планеты посредством Интернет.
2. Возможности Remote Access VPN технологий для подключения удаленных сотрудников к сети предприятия. Обеспечение конфиденциальности, целостности и защиты от воспроизведения данных. Необходимость и удобство применения Remote Access VPN в корпоративных сетях предприятий.
3. Две группы Remote Access VPN технологий - IPSec и SSL.
4. Технология EasyVPN (EzVPN) на базе IPSec. Особенности и рекомендации по применению. Подготовка корпоративной сети к внедрению EasyVPN.
5. Практическая работа по развертыванию EasyVPN. Начало конфигурации. AAA модель (Authentication, Authorization, Accounting) как механизм, позволяющий для различных служб и технологий устанавливать разные источники получения сведений о пользователе и его правах.
6. Аутентификация и авторизация AAA модели. Фундаментальные различия между аутентификацией и авторизацией. Команды «aaa authentication login» и «aaa authorization network».
7. Настройка политик первой и второй фазы IKE.
8. Создание конфигурационной группы EasyVPN (client-configuration group), позволяющей передавать сведения об IP адресе, DNS сервере и списке маршрутов со стороны VPN шлюза (Edge роутера) на сторону удаленного клиента. Роль опции «save-password» в client-configuration group.
9. Продолжение настройки серверной части EasyVPN. Создание ISAKMP и IPSec профилей, шаблона VTI интерфейса, пула IP адресов и access листов. Команда «client configuration address respond». Краткая памятка о работе Virtual Access интерфейсов. Объяснение логики взаимодействия профилей и команд EasyVPN.
10. Настройка клиентской части. Обзор программных клиентов, подходящих для EasyVPN (десктопные и мобильные платформы). Общий признак VPN клиентов, совместимых с EasyVPN. Установка VPN клиента «Cisco VPN Client».
11. Инфраструктура, необходимая для выполнения практической работы по EasyVPN. Требования по статическим и динамическим IP адресам со стороны головного офиса и компьютера удаленного сотрудника. Подключение смартфона в режиме модема к ноутбуку, как решение по эмуляции территориально-распределенной Remote Access инфраструктуры. Управление метрикой маршрутов на интерфейсах Windows. Альтернативное решение для единой архитектуры.
12. Настройка программного VPN клиента «Cisco VPN Client» на компьютере удаленного сотрудника. Создание и настройка нового подключения. Подключение к VPN и просмотр таблицы маршрутизации Windows. Тестирование подключения.
13. Что такое раздельное туннелирование (split tunneling)? Сценарии использования раздельного туннелирования. Сценарии, в которых может потребоваться отключение сплит-туннелирования. Включение и отключение сплит-туннелирования, демонстрация различий в логике работы. Обеспечение полного функционирования системы при отсутствии сплит-туннелирования.
14. Диагностика EasyVPN. Работа с командами диагностики. Как определить неисправность? Интеллектуальная работа с debug. Почему debug нужно начинать именно со второй фазы IKE?
15. Отдыхаем от практики в теоретической части урока. Внутренние алгоритмы работы EasyVPN. Полуторная фаза IKE (фаза 1.5). Extended Authentication (Xauth) и Mode Config.
16. Дополнительная проверка подлинности пользователя с помощью Xauth, работающей на полуторной фазе IKE. Разница между паролем для client-configuration group и паролем пользователя для Xauth.
17. Конфигурационный режим Mode Config, работающей на той же фазе IKE 1.5. Передача конфигурационных параметров от Edge роутера к VPN клиенту c помощью Mode Config.
18. Этапы установки соединения EasyVPN. Автоматический выбор Main и Aggressive Mode в зависимости от метода аутентификации.
19. Продолжение практической работы. Разграничение прав доступа. Назначение разных сетевых привилегий для разных групп пользователей (менеджеры не будут иметь доступ к тем же серверам, к которым имеют доступ бухгалтеры). Создание нескольких пользователей и нескольких client-configuration групп.
20. Недостатки созданной конфигурации и уязвимости безопасности. Применение механизма group-lock для повышения безопасности сетевой инфраструктуры. Объяснение принципов работы механизма group-lock.
21. Установка на рабочую станцию удаленного сотрудника альтернативного VPN клиента - Shrew Soft VPN Client. Особенности настройки и отличия от Cisco VPN Сlient. Перенастройка политики второй фазы IKE.
22. Соединение установлено, но трафик не передается. Общие рекомендации по выявлению и устранению неисправностей в Remote Access VPN технологиях, базированных на IPSec. Подведение итогов и переход к изучению FlexVPN.
Урок 2. FlexVPN. Введение. Аутентификация и авторизация в локальной базе данных методом EAP-AnyConnect.
1. Flexible VPN (FlexVPN) как система, объединяющая все ранее изученные технологии – EasyVPN, DMVPN, Static and Dynamic VTI. Неоспоримые преимущества FlexVPN над другими технологиями для построения как Site-to-Site, так и Remote Access туннелей.
2. Обзор технологии FlexVPN. Роутеры, а также версии IOS и IOS-XE, поддерживающие FlexVPN. Ограничения FlexVPN в некоторых релизах IOS. Обратная совместимость с IKEv1 и мультивендорность.
3. FlexVPN на базе IPSec и SSL. Пара слов о поддержке SSL на роутерах. VPN клиенты, способные осуществлять соединение с использованием AnyConnect.
4. IKEv2 как неотъемлемая часть FlexVPN. Отличия IKEv2 от IKEv1. Понятия IKE_SA_INIT, Parent SA, Child SA, IKE Auth. Процесс CREATE CHILD SA. Что случилось с полуторной фазой IKE, и где теперь осуществляются процессы Xauth и Mode Config?
5. Влияние FlexVPN на обмен IKEv2. Изучение общего обмена IKEv2 в режиме Remote Access. От первичных согласований до построения туннеля.
6. Изучение конфигурационного обмена в IKEv2 (аналог Mode Config в IKEv1). Как именно Edge роутер передает сведения о маршрутах, IP адресе, DNS и WINS серверах на VPN клиент? Роль informational сообщений.
7. Начало практической работы по развертыванию FlexVPN Remote Access на Edge роутере предприятия. Переход на использование нового образа IOS для эмулятора QEMU, поддерживающего IKEv2 и FlexVPN. Замена Edge роутера на новый и реконфигурирование.
8. Начало настройки FlexVPN. Создание trustpoint и получение сертификатов. Зачем Edge роутеру нужен сертификат, если аутентификация и авторизация будет осуществляться в локальной базе данных? Требования к значению поля CN для обеспечения работоспособности FlexVPN. Рекомендации по использованию механизма кэширования CRL файла.
9. Настройка Authorization Policy (аналог Client Configuration Group из EasyVPN). Создание пула IP адресов (адреса, которые будут присваиваться VPN клиентам) и списка защищенных IPv4 подсетей (маршрутов до внутренних серверов предприятия, которые будут вброшены в таблицу маршрутизации VPN клиентов).
10. Создание политик IKEv2 первой и второй фазы. Отличия в конфигурации от IKE первой версии. Работа с proposal.
11. Создание IKEv2 профиля – сердца FlexVPN. Объяснение назначение команды «match identity remote key id». Особенности identity во FlexVPN. Как и когда передается identity.
12. Ассиметричная аутентификация в IKEv2. Идеология, при которой клиент аутентифицируется на VPN шлюзе одним методом, а VPN шлюз аутентифицируется на клиенте совершенно другим методом. Назначение команд «authentication local» и «authentication remote». Методы local и remote аутентификации: RSA-SIG, ECDSA-SIG, EAP, AnyConnect-EAP. Особенности local аутентификации в Remote Access FlexVPN имплементации. Выбор конкретного метода для local и remote аутентификации.
13. Продолжение конфигурации FlexVPN. Создание IPSec профиля и определение типа поведения AAA модели. Создание пользователя. Назначение и особенности функции HTTP URL Based Lookup. Завершение конфигурации серверной части FlexVPN.
14. Подготовка клиентской части. Установка клиента Cisco AnyConnect. Почему Cisco VPN Client не подойдет для FlexVPN?
15. Работа с AnyConnect Profile Editor для редактирования профилей клиента AnyConnect. Настройка .xml профиля для IPSec подключения к корпоративной сети. Рекомендации по повышению удобства работы с профилями. Осуществление подключения.
16. Два основных типа ошибки, возникающих при подключении к VPN. Диагностика по сообщениям об ошибках клиента Cisco AnyConnect. Диагностика FlexVPN с использованием debug.
17. Проверка подключения. Просмотр полученных VPN клиентом маршрутов с помощью опции «route details» доступной в Cisco AnyConnect и таблицы маршрутизации Windows. Проверка наличия доступа к серверу корпоративной сети с помощью команд «ping» и «tracert». Почему текущему пользователю был выдан маршрут именно до этой подсети головного офиса?
18. Диагностика FlexVPN. Использование команд «show crypto ikev2 sa», «show crypto ikev2 sa detailed» «show crypto session», «show derived-config interface virtual-access 1» и других. Изучение вывода команд.
19. Проблема подключения к VPN при активной RDP сессии. Метод устранения ограничения, доступный в IOS-XE. Параметр «Windows VPN Establishment». Загрузка .xml профиля в память Edge роутера и подключение его к IKEv2. Методы обхода ограничения при использовании классического IOS.
20. Устранение предупреждения о подключении к недоверенному VPN шлюзу, возникающее на клиенте. Причины появления предупреждения. Получение сертификата у Certificate Server и добавление сертификата CA в «доверенные корневые центры сертификации Windows». Отслеживание всей цепочки доверия (VPN клиент -> Edge роутер -> CA сервер). Создание MMC консоли с оснасткой для быстрого доступа к сертификатам. Повышение безопасности, путем полного запрета подключения к недоверенным серверам.
21. Подведение итогов урока и переход к индивидуальной авторизации пользователей.
Урок 3. FlexVPN. Индивидуальная (Per User) авторизация по X.509 сертификату в локальной базе данных методом EAP-AnyConnect.
1. Взаимодействие механизма FlexVPN с AAA моделью. Связь листа и метода. Подробное объяснение команд «aaa authentication login local | group radius», «aaa authorization network local | group radius» и других. Как FlexVPN определяет, что для поиска сведений о пользователе и его правах, следует использовать локальную базу данных или внешний Radius сервер? Процесс установки взаимосвязи между политикой авторизации и конкретным пользователем.
2. Переход от общей аутентификации и авторизации пользователей, к индивидуальной с использованием логина, когда каждой группе пользователей предоставляются разные сетевые привилегии. Создание нескольких политик авторизации для разных групп пользователей. Модификация конфигурации.
3. Новый механизм Name Mangler (избиратель). Роль Name Mangler в механизме авторизации. Prefix | Delimiter | Suffix - детальное объяснение принципов работы избирателя, настройка для извлечения имени группы из общего логина, передающегося посредством протокола EAP-AnyConnect.
4. Тестирование подключения. Удаленные VPN пользователи из разных групп получают разные сетевые привилегии.
5. Пошаговое изучение всей цепочки взаимодействия (ввод логина пользователем -> Name Mangler -> IKEv2 профиль FlexVPN -> AAA модель -> локальная база данных -> подключение политики авторизации для пользователя (назначение сетевых привилегий). Два сценария.
6. Политики авторизации присваиваются пользователям на основании принадлежности к группе. Можно ли сделать так, чтобы политики выдавались индивидуально для каждого пользователя? Работа с привилегированными пользователями. Аспект безопасности.
7. Добавление второго фактора аутентификации. Применение X.509-го сертификата для аутентификации и авторизации пользователей совместно с учетными данными (логином и паролем).
8. Служебное слово «cert-request» в команде «authentication remote anyconnect-eap aggregate cert-request». EAP-AnyConnect как уникальный протокол, позволяющий осуществлять идентификацию пользователей одновременно по логину-паролю и сертификату.
9. Выпуск сертификата для компьютера удаленного пользователя. Работа с программой XCA (X Certificate and Key Management) для формирования запроса на получение сертификата в среде Windows. Формирование запроса на сертификат. Заполнение RDNs полей (CN, O, OU, C) для будущего сертификата. Работа с адресом CDP.
10. Получение результирующего запроса на сертификат и запрос сертификата у Certificate Server. Соединение итогового сертификата с закрытым ключом, работа с .p12 контейнером. Импорт сертификата в хранилище Windows.
11. Проверка подключения. Будет ли установлено подключение, если пользователь обладает логином и паролем, но не обладает сертификатом?
12. Влияние значение полей сертификата на сетевые привилегии (права доступа к сети), получаемые пользователем. На чем основывается разрешение на подключение к сети? Изучение цепочки доверия: «сертификат пользователя -> trustpoint». Роль логина и пароля.
Урок 4. FlexVPN. Токены авторизации (Rutoken, eToken, JaCarta etc.). Авторизация с использованием токена.
1. Повышение безопасности сетевой инфраструктуры путем переноса закрытого ключа пользователя на Token. Пользователь не сможет подключиться к VPN не владея токеном.
2. Роль токенов авторизации. Аутентификация и электронно-цифровая подпись (ЭЦП).
3. Можно ли из обычного USB-Flash накопителя сделать токен? Преимущества настоящего токена над USB-Flash.
4. Способ организации защищенной памяти токена, роль ПИН-кода. Маскировка закрытого ключа в памяти токена, функция XOR. Неизвлекаемость закрытого ключа и атака полного перебора (brute force).
5. Две классификации токенов – простые и функциональные ключевые носители (ФКН), их отличия. Криптоядро токена. Поддержка алгоритмов RSA, DSA и ГОСТ со стороны токена. Преимущества токенов, аппаратно-поддерживающих работу с цифровыми сертификатами.
6. Сертифицированные и несертифицированные токены. Сертификаты ФСБ и ФСТЭК. Подписи КЭП и НЭП. Сценарии применения сертифицированных и несертифицированных токенов, подводные камни и последствия нарушения конфиденциальности.
7. Рынок ключевых носителей (токенов) и их особенности. Рутокен ЭЦП Touch с емкостным сенсором – забытый в компьютере токен больше не представляет угрозу безопасности. Удобный для пользователей смартфонов Рутокен ЭЦП Bluetooth. Токен в формате MicroSD карты JaCarta MicroSD Token. Совмещенный функционал классического Flash накопителя и токена в Рутокен ЭЦП Flash. Экраны доверия или «трастскрины» - токены с собственным экраном, их назначение и сценарии применения.
8. Смарт-карты. Главный недостаток смарт-карт. Отличия смарт-карт от токенов. Универсальные смарт-карты, обладающие радиочастотной меткой для доступа к помещениям, чипом банковской карты, набором OTP паролей и функциональностью токена для работы с инфраструктурой PKI.
9. Отдельный подвид токенов – токены OTP (One Time Password). Сценарии применения OTP токенов и одноразовых паролей. Алгоритмы генерирования одноразовых паролей при использовании OTP токенов. Сравнение надежности метода передачи одноразового пароля по средством СМС и метода генерации пароля OTP токеном. Недостатки OTP и риск фишинга.
10. Современный аналог OTP для двухфакторной аутентификации – токен U2F. Отличия U2F от классических токенов JaCarta PKI и eToken Pro. U2F без привязки к PKI для аутентификации на веб-ресурсах. Как именно осуществляется аутентификация на ресурсе с использованием U2F токена? Работа с парой открытый/закрытый ключ, сообщения challenge и response.
11. Выбор конкретного типа токена для задач VPN Remote Access. Сравнение всех типов токенов и смарт-карт.
12. Практическая работа по переносу закрытого ключа сертификата Windows пользователя на внешний ключевой носитель. Создание токена из обычного USB-Flash накопителя.
13. Средства криптографической защиты информации (СКЗИ). CryptoPro CSP и криптопровайдеры. Почему CryptoPro не является криптопровайдером? Роль криптопровайдеров для осуществления VPN подключений. Встроенные криптопровайдеры Windows. Можно ли использовать токен без криптопровайдера, и если нет, то почему?
14. Установка CryptoPro CSP на Windows машину удаленного VPN клиента. Выбор требуемых компонентов.
15. Использование CryptoPro CSP для создания контейнера закрытого ключа и записи его на USB-Flash накопитель. Принципиальная разница в алгоритмах CryptoPro CSP при записи закрытого ключа на USB-Flash накопитель и при записи на аппаратный токен. Шифрование ассиметричного закрытого ключа в криптоконтейнере симметричным ключом AES, выводимым из PIN-кода.
16. Осуществление VPN подключения при закрытом ключе, находящимся на внешнем ключевом носителе. Симуляция хищения ноутбука удаленного сотрудника, при котором злоумышленник владеет учетными данными для подключения к VPN, но не владеет USB-Flash накопителем с закрытым ключом.
17. Опция «сохранить PIN-код ключевого носителя в системе», доступная в CryptoPro CSP. Негативные последствия активации опции. Запрет сохранения пользователем PIN-кода, через редактирование групповых политик Windows.
18. Будет ли система работать без установленного CryptoPro? Аналоги CryptoPro: «Signal-COM CSP, ViPNet CSP, Континент-АП, LISSI-CSP». Особенности бесплатного ViPNet CSP. Рекомендации по выбору альтернативных СКЗИ.
19. Недостатки криптосистемы, основанной на использовании USB-Flash накопителя в качестве ключевого носителя.
20. Переход на использование аппаратного токена на примере eToken Pro. Установка драйверов и системы управления ключевыми носителями SafeNet Authentication Client.
21. Знакомство с интерфейсом SafeNet Authentication Client, просмотр параметров токена. Особенности «пароля администратора» на токенах разных производителей.
22. Криптопровайдер «eToken Base Cryptographic Provider» входящий в состав SafeNet. Его роль и назначение. Способ просмотра всех криптопровайдеров, установленных в Windows.
23. Импорт закрытого ключа и сертификата удаленного сотрудника в память eToken Pro. Разница между PIN-кодом для доступа к контейнеру закрытого ключа (при использовании USB-Flash накопителя) и PIN-кодом для доступа к защищенной памяти аппаратного токена.
24. Проверка криптосистемы и осуществление VPN подключения. Попытка подключения с извлеченным токеном.
25. Является ли eToken Pro функциональным ключевым носителем (ФКН)? Как определить, что операции цифровой подписи выполняются на токене, то есть без копирования закрытого ключа в ОЗУ? Нюансы SafeNet Authentication Client.
26. Запись закрытого ключа на аппаратный токен средствами CryptoPro CSP. Ограничения CryptoPro при работе с функциональными ключевыми носителями (ФКН).
27. Сравнение CryptoPro CSP и SafeNet Authentication Client. Выбор системы управления ключевыми носителями для корпоративной сети и Remote Access VPN подключений.
Урок 5. FlexVPN. Авторизация в локальной базе данных методом RSA-SIG. VPN клиент Windows.
1. Аутентификация методом RSA-SIGNATURE как способ обхода вендоро-зависимости. Применение штатного VPN клиента Windows вместо Cisco AnyConnect.
2. Идеология раздельного сетевого доступа (разграничение привилегий) на основании значений RDNs полей личных сертификатов пользователей. Отличия от раздельного сетевого доступа с использованием логина и пароля в методе EAP-AnyConnect.
3. Требования к сертификатам Windows машины и VPN шлюза для аутентификации методом RSA-SIGNATURE. Поле «Extendible Key Usage (EKU)» сертификата.
4. Перевыпуск личного сертификата для Edge роутера таким образом, чтобы он имел EKU поле со значением TLS Server Authentication. Настройка trustpoint. Отличия поля «Certificate Usage» от «Extendible Key Usage».
5. Выпуск двух новых сертификатов (Дмитрий и Светлана) для удаленной Windows машины, соответствующих требованиям аутентификации RSA-SIGNATURE. Использование XCA (X Certificate and Key Management). Особое значение RDNs полей. Настройка поля «Extended Key Usage» для личных сертификатов удаленных VPN пользователей.
6. Куда поместить итоговые сертификаты – в хранилище «локальный компьютер» или «текущий пользователь?». Отдельные требования для клиента Cisco AnyConnect и встроенного VPN клиента Windows.
7. Настройка серверной части, модификация конфигурации Edge роутера. Создание карты сертификатов (certificate-map). Срабатывание карты на основании значения поля «organization» из присланного VPN клиентом сертификата.
8. Настройка избирателя (Name Mangler) на извлечение значения поля «Organization Unit». Изменение метода remote аутентификации с EAP-AnyConnect на RSA-SIGNATURE. Условия срабатывания профиля (match statements).
9. Подготовка клиента Cisco AnyConnect. Настройка .XML профиля с помощью AnyConnect Profile Editor. Использование механизма Certificate Matching для выбора конкретного сертификата из хранилища Windows.
10. Тестирование подключения с использованием клиента AnyConnect. Проверка получаемых сетевых привилегий - клиент с сертификатом «Дмитрия» не имеет доступ к тем же серверам, к которым имеет клиент с сертификатом «Светлана».
11. Каким образом удалось реализовать систему раздельных привилегий для разных пользователей на основании RDNs полей сертификатов? Детальное изучение всей цепочки взаимодействия: «сертификат пользователя - > trustpoint -> Name Mangler -> IKEv2 профиль -> AAA модель -> конкретная политика авторизации для конкретного пользователя». Роль карты сертификатов (certificate-map).
12. Возможность модификации Name Mangler для перевода системы с групповой на индивидуальную авторизацию.
13. Настройка встроенного VPN клиента Windows на подключение к VPN с использованием метода RSA-SIGNATURE. Корректировка политик первой и второй фазы IKEv2 на совместимость с VPN клиентом Windows. Работа с debug.
14. Проблема некорректной работы раздельного туннелирования (split tunneling). Политики авторизации передающие маршруты более не эффективны для Windows VPN клиента. Решение проблемы с помощью механизма DHCP Relay Agent и роли DHCP на Windows Server.
15. Сообщения DHCP INFORM и DHCP ACKNOWLEDGE как транспорт для передачи маршрутной информации от DHCP сервера до VPN клиента. DHCP опции 249 и 121 (бесклассовые статические маршруты).
16. Работа с пулами IP адресов на Edge роутере. Выстраивание логики взаимодействия, при которой DHCP сервер для разных клиентов будет выдавать разные списки маршрутов (разграничение сетевых привилегий при использовании DHCP сервера).
17. Добавление роли DHCP на Windows Server. Настройка областей DHCP сервера для разных групп пользователей. Создание списка маршрутов (списка защищенных IPv4 подсетей) для каждой из областей. Почему DHCP сервер на Cisco IOS не подходит для передачи маршрутов?
18. Детальное объяснение всей цепочки взаимодействия. Почему для пользователя с сертификатом «Светланы», DHCP сервер подключает область №1 и выдает соответствующие маршруты, а для пользователя с сертификатом «Дмитрия», DHCP сервер подключает область №2 и выдает совершенно другие маршруты, а следовательно, и совсем другие сетевые привилегии?
19. Тестирование подключения с использованием встроенного VPN клиента Windows.
20. Недостатки аутентификации и авторизации с использованием локальной базы данных IOS. Подведение итогов и переход к использованию Radius сервера.
Урок 6. FlexVPN. Аутентификация и авторизация с использованием RADIUS сервера.
1. Внешний AAA сервер - единый контроль-центр учетных данных пользователей для всех сетевых технологий, которые требуют аутентификацию и авторизацию.
2. Целесообразность применения внешнего AAA сервера в малых и больших сетях. Роль AAA сервера. Упрощение процессов, связанных с предоставлением тех или иных прав доступа к тем или иным сетевым ресурсам.
3. Протоколы AAA серверов – RADIUS, TACACS+ и DIAMETR. Сходства и различия протоколов, сценарии применения.
4. Три пути реализации задачи по единому контролю учетных данных пользователей Remote Access VPN - Cisco Secure ACS, Cisco ISE, Windows Server NPS. Что выберем мы?
5. Архитектура RADIUS – суппликант, аутентификатор и сервер аутентификации. Изучение принципов взаимодействия трех устройств.
6. Сообщения Access-Accept и Access-Reject в протоколе RADIUS.
7. Начало практической работы по развертыванию инфраструктуры AAA сервера. Добавление роли NPS на Windows Server.
8. Что такое NPS (Network Policy Server), его отличие от NAP (Network Access Protection). Принципы работы NPS и NAP.
9. Настройка NPS. Создание RADIUS-клиента. Создание пользователей в каталоге Active Directory. Удаление/создание контейнеров. Обход ограничений на длину пароля пользователя с помощью редактора групповых политик Windows Server.
10. Создание «политик запросов на подключение» в NPS сервере. Настройка условий срабатывания политик. Установка параметров проверки подлинности. Несколько политик для разных групп пользователей, предоставляющие разные сетевые привилегии.
11. Работа с атрибутами Cisco AV-Pair. Передача сетевых привилегий и иных параметров удаленному VPN клиенту с помощью AAA атрибутов.
12. Разница между политиками авторизации Edge роутера и политиками авторизации NPS сервера. Логика взаимодействия: «RADIUS -> AAA команда на выдачу сетевых привилегий -> Edge роутер - > VPN клиент».
13. Другие Cisco атрибуты для RADIUS сервера.
14. Настройка Edge роутера (аутентификатора) на взаимодействие с RADIUS сервером. Порты RADIUS сервера, модификация AAA модель и IKEv2 профиля.
15. Траблшутинг NPS с помощью журнала Windows Server, категория «сервер сетевых политик». Аудит успеха и аудит отказа. Изучение вывода журнала. Определение звена цепи, на котором возникла проблема. Работа с приоритетом политик.
16. Тестирование подключения с помощью VPN клиента Cisco AnyConnect. Пользователи из группы «бухгалтеры» и группы «менеджеры» получают разные сетевые привилегии благодаря внешнему AAA серверу.
17. Изучение структуры пакетов Access-Request и Access-Accept с помощью WireShark. Нюансы обмена между Edge роутером (аутентификатором) и RADIUS сервером (внешнем сервером аутентификации). Выявление этапа, на котором происходит процесс аутентификации и этапа, на котором происходит процесс авторизации. Разница между двумя этими процессами.
18. Отслеживание и изучение полной цепочки взаимодействия: «выбор конкретного сертификата клиентом AnyConnect -> Name Mangler на Edge роутере -> IKEv2 профиль -> лист авторизации AAA модели на Edge роутере -> RADIUS сервер -> каталог Active Directory -> политика авторизации NPS -> выдача AAA атрибутов и сетевых привилегий, соответствующих группе, в которую входит пользователь». Как сертификат пользователя влияет на выбор конкретной политики авторизации?
19. Возможность изменения логики авторизации по группе на логику авторизации по пользователю. Необходимые действия.
20. Тестирование подключения с использованием встроенного VPN клиента Windows. Особенности AAA атрибута «ipsec:route-set=access list 99» при использовании VPN клиента Windows. Взаимодействие с DHCP сервером для получения списка маршрутов.
21. Усиление безопасности политик авторизации NPS сервера с помощью увеличения количества условий срабатывания.
Урок 7. FlexVPN. Extensible Authentication Protocol (EAP). Взаимодействие с Windows Radius.
1. Extensible Authentication Protocol (EAP) как метод, содержащий внутри себя множество подметодов аутентификации. Сначала практика, потом теория.
2. Настройка роутера на работу с EAP протоколом. Редактирование IKEv2 профиля. Особенности identity при использовании протокола EAP и разных типов VPN клиентов.
3. Явная и неявная авторизация. Разница между двумя типами авторизации. Работа с командой «aaa authorization user eap cached».
4. Настройка сервера сетевых политик NPS на работу с протоколом EAP-MSCHAPv2.
5. Тестирование подключения с использованием VPN клиента Windows. Изучение новой цепочки взаимодействия суппликанта, аутентификатора и внешнего сервера аутентификации. Прямая передача аутентификационных данных от VPN клиента на RADIUS сервер. Просмотр структуры пакетов с помощью WireShark.
6. Почему при использовании протокола EAP-MSCHAPv2, количество сообщений обмена увеличилось в разы? Новое сообщение обмена Access-Challenge.
7. Тестирование подключения с помощью клиента Cisco AnyConnect. Редактирование .XML профиля с помощью AnyConnect Profile Editor для настройки клиента на работу с EAP-MSCHAPv2. Нюансы identity.
8. От практики к теории. Что было сделано и какими преимуществами протокол EAP обладает над другими протоколами аутентификации. Разница между EAP и EAP-AnyConnect. Обзор подметодов EAP, доступных в клиенте Cisco AnyConnect. Обзор подметодов EAP, доступных в VPN клиенте Windows. Подметоды EAP, поддерживаемые Windows NPS.
9. Подробнее о Extensible Authentication Protocol (EAP) и его подметодах. Изучение каждого протокола, входящего в состав EAP: «EAP-GTC; EAP-MD5; EAP-MSCHAPv2; LEAP; EAP-AKA; EAP-TLS; EAP-TTLS; EAP-PEAP». Преимущества и недостатки каждого из подметодов.
10. EAP-GTC – совестное использование с токеном. EAP-MD5 – односторонняя аутентификация клиента на сервере и уязвимость к атакам по словарю. LEAP как протокол для аутентификации в Wireless сетях.
11. Протокол EAP-MSCHAPv2, его история. Алгоритм challenge-response. Как протоколу удается передать пароль от VPN клиента к AAA серверу без его компрометации. Является ли EAP-MSCHAPv2 безопасным протоколом, и если нет, то как усилить безопасность?
12. Подробнее о выборе метода проверки подлинности в настройках сетевых политик NPS сервера. Почему для метода RSA-SIGNATURE следует выбирать метод PAP и причем здесь RADIUS? Разница между MS-CHAPv2 и EAP-MSCHAPv2.
13. Протоколы EAP-AKA, EAP-AKA’, EAP-SIM, использующие алгоритмы SIM карты для аутентификации пользователя и шифрования трафика в Wireless сетях.
14. Надежные EAP методы, которые могут применены в Remote Access VPN технологиях: EAP-TLS, EAP-TTLS, EAP-PEAP.
15. EAP-TLS (смарт-карта или иной сертификат). Метод, в основе которого лежит аутентификация по сертификатам. Набор условий, необходимый для реализации метода. Понятие взаимной (mutual) аутентификации.
16. Разница между RSA-SIGNATURE (аутентификация по сертификатам) и EAP-TLS (также аутентификация по сертификатам). Сравнение двух похожих методов.
17. Метод c туннелированием EAP-PEAP, позволяющий туннелировать внутри себя другие EAP методы, тем самым многократно повышая сетевую безопасность. Изучение обмена протокола. Почему при использовании EAP-PEAP, на Windows Server (внешний AAA сервер) требуется выписывать личный сертификат?
18. Практическая реализация протокола EAP-PEAP с внутренним EAP-MSCHAPv2. Настройка VPN клиента Windows.
19. Выпуск сертификата для Windows Server. Требования к сертификату для Windows Server и поле Extendible Key Usage (EKU).
20. Подготовка политик NPS к работе с EAP-PEAP и проверка соединения.
21. Влияние компоненты «RSA/ECDSA» в программе Crypto-Pro CSP на работу VPN клиента Windows с активированным EAP-PEAP. Ошибка Crypto-Pro в журнале Windows.
22. EAP-TTLS - надежный метод, туннелирующий внутри себя другие non-EAP методы аутентификации. Отличия от EAP-PEAP.
23. Выбор конкретного EAP метода для применения в Remote Access VPN.
Урок 8. FlexVPN. EAP-AnyConnect + AAA Radius Server. Accounting.
1. Изученные методы аутентификации – EAP-AnyConnect, классический EAP с подметодами, RSA-SIGNETURE. Аутентификация в локальной базе и на внешнем AAA сервере. Поддержка сторонних VPN клиентов и вендорозависимость. Какой метод аутентификации выбрать? Сравнение методов аутентификации по качественным характеристикам.
2. Взаимодействие EAP-AnyConnect с внешним AAA сервером. Практическая реализация. Настройка Cisco IOS и политик NPS сервера.
3. Почему метод проверки подлинности в NPS политиках нужно выставить в PAP? Как EAP-AnyConnect и PAP связаны между собой?
4. Настройка Cisco AnyCoonect VPN клиента на работу с протоколом EAP-AnyConnect посредством редактирования .XML профиля. Установка защищенного VPN туннеля.
5. Добавление функции запроса сертификата пользователя в дополнение к запросу логина и пароля (второй фактор аутентификации).
6. Подключение к VPN с использованием мобильного AnyConnect клиента на платформе Android. Импорт сертификатов в Android. Настройка AnyConnect клиента. Тестирование соединения с помощью приложения PingTools. Обзор других мобильных VPN клиентов и протоколов.
7. Сценарии, при которых сплит-туннелирование не требуется. Обеспечение работы VPN сети в отсутствии сплит-туннелирования. Активация команды «ip nat inside» в настройках шаблона VTI интерфейса, настройка NAT-Access листа, а также передача адреса DNS сервера на удаленный компьютер с помощью AAA атрибута.
8. Последняя буква A модели AAA – Accounting. Что такое Accounting и в каких сценариях он может понадобиться?
9. Настройка сервера сетевых политик (NPS) на ведение журнала учета (Accounting).
10. Использование программы IAS Log Viewer для интерпретации сведений лог-файла NPS сервера. Знакомство с интерфейсом программы.
11. Недостаточное количество информации в лог-файле NPS сервера. Решение проблемы, путем активации механизма аккаунтинга на Cisco IOS. Работа с командой «aaa accounting network start-stop group ». Активация аккаунтинга в IKEv2 профиле.
12. Режимы записи Accounting информации – start-stop и stop-only. Логика поведения механизма аккаунтинга в том или ином режиме. Выбор наилучшего.
13. Отслеживание обмена Edge роутера и RADIUS сервера с помощью WireShark. Новые сообщения «accounting-request» и «accounting-response». Изучение структуры сообщений. Роль этих сообщений в механизме аккаунтинга.
14. Просмотр расширенного NPS лог-файла с помощью IAS Log Viewer. Обзор всех сведений о подключенном к VPN пользователе, отображающихся в программе мониторинга.
15. Дополнительные возможности IAS Log Viewer – монитор реального времени, отчеты по критериям, программирование алёртов по событию, фильтрация.
16. Базовая отказоустойчивость FlexVPN. Организация отказоустойчивости с помощью механизма «Backup Server List», доступном в Cisco AnyConnect.
17. Подведение итогов модуля. Технологии, протоколы и механизмы, изучаемые в дальнейших курсах.