Szkolenie SECURE pozwala zdobyć zaawansowane umiejętności z zakresu zabezpieczania sieci IP w oparciu o możliwości przede wszystkim routerów i przełączników oraz implementacji bezpiecznych połączeń pomiędzy oddziałami firmy z wykorzystaniem różnych technologii sieci VPN (IPSec VTI, DMVPN, GET VPN, SSL VPN).

Szkolenie kierowane jest przede wszystkim do osób, których praca związana jest z bezpieczeństwem sieci komputerowych oraz zarządzaniem i administracją urządzeniami sieciowymi, tj.

… oraz każdego chcącego poszerzyć swoją wiedzę z zakresu bezpieczeństwa sieci komputerowych. Uczestnik szkolenia powinien potrafić posługiwać się wierszem poleceń IOS w zakresie materiału szkolenia CCNA R&S.

Zagrożenia dla bezpieczeństwa sieciowego

• Motywacja intruzów
• Typy ataków (rozpoznanie, atak na dostęp, DoS)

Podstawy bezpieczeństwa sieciowego

• Projektowanie i budowanie bezpiecznych sieci
• Architektura Cisco SAFE
• Płaszczyzny zabezpieczania sieci

• Data Plane
• Control Plane
• Management Plane

Zabezpieczanie przełączanych sieci LAN

• Rodzaje zagrożeń
• Port-security
• DHCP Snooping
• Dynamic ARP Inspection
• IP Source Guard
• Prywatne VLANy
• Zabezpieczanie STP (BPDU Guard/Filtering, Root/Loop Guard)
• Protokół 802.1x

• Komponenty 802.1x
• Extensible Authentication Protocol (EAP)
• Metody uwierzytelniania (EAP-MD5, MS-CHAPv2, TLS, TTLS, …)
• Cisco Secure Services Client (CSSC)
• Uwierzytelnianie z wykorzystaniem Cisco Secure ACS

Zabezpieczanie Data Plane na routerach IOS

• Access Control Lists
• Flexible Packet Matching
• Flexible NetFlow
• Unicast Reverse Path Forwarding

Zabezpieczanie Control Palne na routerach IOS

• Control Plane Policing (CoPP)
• Control Plane Protection (CPPr)
• Uwierzytelnianie w protokołach routingu

Zabezpieczanie Management Plane na routerach IOS

• Poziomy uprawnień
• Role-Based CLI
• SSH, SNMP
• Progi wykorzystania CPU i pamięci RAM
• Mechanizm AutoSecure

Zone-Based Policy Firewall

• Strefy bezpieczeństwa
• Stanowa inspekcja ruchu
• Zaawansowana inspekcja ruchu na poziomie warstwy aplikacji

Cisco IOS Intrusion Prevention System (IPS)

• Różnice między systemami wykrywania i zapobiegania intruzom
• Miejsce wdrożenia IPS/IDS
• Rodzaje sensorów i typy sygnatur
• Konfiguracja IPS v5.0 na routerach IOS

Wprowadzenie do Site-to-site VPN

• Wybór właściwej technologii dla danego wdrożenia
• Podstawowe elementy IPSec VPN

Static IPSec Virtual Tunnel Interface (VTI)

• Polityka ISAKMP
• Polityka IPSec
• Profile IPSec
• Uwierzytelnianie przy użyciu współdzielonego klucza

Dynamic IPSec Virtual Tunnel Interface (VTI)

• Interfejsy Virtual Template i Virtual Access
• Profile ISAKMP

Skalowane metody uwierzytelniania stron w sieciach VPN

• Infrastruktura klucza publicznego
• Cisco IOS Software Certificate Server
• Simple Certificate Enrollment Protocol (SCEP)
• Uwierzytelnianie i autoryzacja stron IKE przy użyciu certyfikatów

Sieci Dynamic Multipoint VPN (DMVPN)

• Tunele point-to-point GRE oraz multipoint GRE
• Next Hop Resolution Protocol (NHRP)
• Ograniczona skalowalność sieci site-to-site VPN
• Faza 1 NHRP, czyli tworzenie tuneli hub-and-spoke
• Faza 2 NHRP, czyli tworzenie tuneli spoke-to-spoke
• Faza 3 NHRP, czyli zalety NHRP shortcut switching
• Routing dynamiczny w sieciach DMVPN i jego optymalizacja

Wysoka dostępność w sieciach IPSec VPN

• Redundancja w sieciach IPSec VTI
• Redundancja peerów
• Failover na poziomie protokołów routingu
• Redundancja w sieciach DMVPN, czyli modele dual-hub

Group Encrypted Transport (GET) VPN

• Group controller/key servers (GCKS)
• Group Domain of Interpretation (GDOI)
• GET VPN Key Server i GET VPN Group Members

SSL VPN

• Full tunneling VPNs (klient AnyConnect)
• Clientless VPN Cisco Secure Desktop

• Dostęp do zasobów WWW i CIFS
• Port forwarding

Cisco Easy VPN

• Komponenty Cisco Easy VPN
• Clientless VPN Cisco Secure Desktop
• Dodatkowe funkcje IKE (XAuth, Configuration Mode)
• Reverse Route Injection
• Split tunneling
• Wykrywanie NAT i decyzja o użyciu NAT Traversal
• Konfiguracja Cisco Easy VPN Server
• Konfiguracja Cisco Easy VPN Remote (Hardware Client)