Часть II. Построение распределенной корпоративной сети



Вторая часть видеокурса состоит из нескольких отдельных модулей*


Модуль I. Построение корпоративной сети


Краткое описание модуля:

Изученные сетевые технологии в первой части видеокурса, являются никак не связанными друг с другом кусочками пазла. Еще с начала первой части, мы обещали Вам консолидировать, объединить все изученные знания в одном большом проекте. Наше обещание будет исполнено в этом модуле. Мы грамотно объединим технологии таким образом, что они станут частью единого целого, объединим посредством построения единой корпоративной сети предприятия.

Построенная корпоративная сеть, а также полученные знания в области работы с платформой сетевой виртуализации UNetLab, предоставят нам прочную платформу для изучения принципиально иных, качественно новых сетевых технологий в следующих модулях.


Урок 1. Unified Networking Lab (UNetLab)


1.1. Знакомство с платформой сетевой виртуализации UNetLab. Необходимость применения эмуляторов Dynamips, QEMU, IOU/IOL, Docker и VPCS.

1.2. Способы установки UNetLab. Установка bare-metal и с использованием гипервизоров VMWare - преимущества и недостатки каждого из способов.

1.3. Единая и территориально-распределенная архитектура UNetLab для построения большой корпоративной сети.

1.4. Минимальные и рекомендованные системные требования для единой архитектуры.

1.5. Минимальные и рекомендованные системные требования для территориально-распределенной архитектуры.

1.6. Методология аренды серверов для развёртывания UNetLab. Отличие VPS/VDS от выделенного сервера, гипервизоры OpenVZ и KVM.

1.7. Развёртывание UNetLab на гипервизоре VMWare WorkStation и первичная настройка виртуальной машины.

1.8. Создание первой лабораторной работы в UNetLab, знакомство с интерфейсом.

1.9. Добавление образов виртуального оборудования для эмулятора Dynamips, рекомендации по выбору образов IOS, запуск сетевого устройства.

1.10. Установка клиентов протоколов удаленного доступа для управления виртуальным сетевым оборудованием.

1.11. Обновление UNetLab с помощью команд Linux. Добавление функции Dynamic Nodes Connection.

1.12. Изучение процессов, происходящих в эмуляторе Dynamips. Понятия Program Counter, idle-loop, idle-max, idle-sleep и idle-pc.

1.13. Оптимизация потребляемых ресурсов эмулятором Dynamips с помощью установки значения, указывающего на предположительное место простоя в программном коде (idle-pc).

1.14 Методология расчета idle-pc для образов IOS, выбор и установка оптимального значения. Работа с механизмом «status» и командой «top».

1.15 Кастомизация клиентов протоколов удаленного доступа. Настройка размера и цвета шрифта, отключение нежелательных диалоговых окон.

1.16 Особенности сохранения конфигураций виртуальных устройств в UNetLab. Возможность использования одного и того же node с разными startup-config.

1.17 Дополнительные возможности UNetLab. Обзор функционала.

1.18 Многопользовательский режим UNetLab. Создание пользователей и управление ролями Administrator, Editor и User. Особенности многопользовательского режима.



Урок 2. Эмуляторы и платформы сетевой виртуализации


2.1. Эмуляторы Dynamips, QEMU, IOU/IOL, Docker и VPCS. Назначение эмуляторов.

2.2. Эмулятор Dynamips и MIPS архитектура.

2.3. Платформы Cisco устройств, поддерживаемых в Dynamips. Различия между серией и платформой.

2.4. Ограничения Dynamips в UNetLab. Обычные и кроссплатформенные образы.

2.5. Преимущества и недостатки Dynamips как эмулятора архитектуры MIPS.

2.6. Различия между симулятором и эмулятором. Наборы команд RISC и CISC.

2.7. Ограничения модуля EtherSwitch в Dynamips.

2.8. Мультивендорный Quick Emulator (QEMU) – список поддерживаемого сетевого оборудования и аппаратные архитектуры.

2.9. Образы Cisco vIOS и Cisco vIOS L2 для QEMU. Список технологий, не поддерживающихся в образах.

2.10. Преимущества и недостатки эмулятора QEMU.

2.11. Эмулятор IOU/IOL (IOS over Unix / IOS over Linux). История возникновения эмулятора, особенности использования.

2.12. Образы оборудования Cisco для эмулятора IOU/IOL, ограничения функциональности в образах L2.

2.13. Преимущества и недостатки эмулятора IOU/IOL (IOS over Unix / IOS over Linux).

2.14. Рабочая станция в сетевой топологии. Virtual PC Simulator, Docker и внешняя виртуальная машина. Различия в поддерживаемых функциях между VPCS и Docker.

2.15. Какой эмулятор выбрать? Сравнительная таблица Dynamips, QEMU и IOU/IOL. Потребление аппаратных ресурсов каждым из эмуляторов. Рекомендации по выбору эмулятора.

2.16. Платформы сетевой виртуализации, отличные от UNetLab.

2.17. IOU-Web как web frontend для IOU/IOL. Особенности построения сетевых топологий, поддерживаемые эмуляторы.

2.18. Graphical Network Simulator (GNS3). Сравнительная таблица GNS3 и UNetLab.

2.19. Virtual Internet Routing Lab (VIRL). Внутреннее устройство, поддерживаемые образы, потребляемые ресурсы, стоимость.

2.20. Cisco CSR и Cisco Nexus Titanium как аналоги ASR1000 и Nexus. Внутреннее устройство, методология запуска.

2.21. Какую платформу сетевой виртуализации выбрать? Сравнение рассмотренных платформ и выбор оптимального варианта для построения большой корпоративной сети.



Урок 3. Построение корпоративной сети, этап I


3.1. Одноранговый сетевой дизайн. Методология построения сети с одноранговым дизайном.

3.2. Проблемы и ограничения, свойственные одноранговым сетям. Почему модель равноправных сетевых устройств можно применять только в небольших сетях?

3.3. Иерархический сетевой дизайн для построения крупных сетей предприятий. Трехуровневая иерархическая модель компании Cisco.

3.4. Уровень Access для подключения конечных абонентов. Требуемая мощность оборудования, расчет нагрузки и задачи, возлагаемые на уровень доступа.

3.5. Уровень Distribution для агрегирования трафика. Требуемая мощность оборудования, расчет нагрузки и задачи, возлагаемые на уровень распределения.

3.6. Уровень Core для передачи трафика между Distribution. Соединение Distribution коммутаторов в цепочку, по схеме каждый на каждого и с использованием уровня Core. Преимущества и недостатки каждого из способов.

3.7 Оборудование, устанавливаемое на уровень Core. Задачи, решаемые на этом уровне.

3.8. Нужен ли Core уровень? Практические и финансовые аспекты.

3.9. Уровни Enterprise Edge, Server Farm и DMZ.

3.10. Преимущества трехуровневой иерархической сетевой модели над одноранговым сетевым дизайном. Решение проблем, связанных с перегрузкой коммутаторов, управлением сетевой безопасностью на уровне протокола IP, размером широковещательного домена, масштабируемостью и отказоустойчивостью.

3.11. Начало практической работы и консолидации ранее изученных технологий в одном большом проекте. Настройка виртуальной машины VMWare в соответствии с рекомендуемыми системными требованиями для территориально-распределенной архитектуры.

3.12. Создание новой лабораторной работы и добавление необходимых устройств в сетевую топологию. Выбор подходящих образов для каждого уровня, установка необходимых модулей с интерфейсами, настройка отображения сетевых устройств. Установка значений NVRAM и idle-pc.

3.13. Соединение всех устройств топологии с использованием отказоустойчивых связей.

3.14. Предварительное определение IP адресации и Router ID в маршрутизируемой части сети. Рекомендации по применению loopback интерфейсов.

3.15. Конфигурирование сетевых устройств, входящих в маршрутизируемую часть сети. Настройка поведения роутера с использованием команд «logging synchronous», «exec-timeout», «no ip domain-lookup». Настройка интерфейсов, анонсирование сетей для обеспечения динамической маршрутизации на основе протокола OSPF.

3.16. Краткое напоминание о принципах работы L2 и L3 портов. Обозначение номера модуля и номера интерфейса.

3.17 Проблема автосогласования duplex в оборудовании, эмулируемом на Dynamips. Ручная установка duplex на интерфейсах устройств.

3.18. Обеспечение отказоустойчивости шлюза на основе HSRP в коммутируемой части сети. Краткое напоминание о принципах работы технологий First Hop Redundancy Protocol (FHRP).

3.19. Конфигурирование trunk и access интерфейсов, назначение VLAN, настройка L2 EtherChannel и режимов балансировки трафика. Особенности работы с командой «show vlan» в модуле EtherSwitch.

3.20. Конфигурирование HSRP на коммутаторах уровня Distribution. Настройка SVI интерфейсов и standby групп для каждого VLAN, установка приоритетов.

3.21. Настройка Spanning Tree на работу в составе HSRP. Назначение ролей «root» и «secondary root» за каждый VLAN в зависимости от активного коммутатора. Особенности работы с командой «show spanning-tree» в модуле EtherSwitch.

3.22. Отправка первого IP пакета и проверка перехода от коммутируемой к маршрутизируемой части сети.

3.23. Построение уровня Server Farm (Data Center) и подключение DHCP сервера. Дизайн Server Farm – почему требуется выделить отдельный Distribution блок?

3.24. Настройка DHCP сервера. Конфигурирование пула IP адресов, основного шлюза и DNS сервера для каждого VLAN. Назначение запрещенных к выдачи адресов командой «ip dhcp-excluded addresses».

3.25. Проверка конфигурации. Работа с командами «show running-config | section DHCP» и «show running-config | include DHCP». Разница в логике работы команд «section» и «include».

3.26. Краткое напоминание о принципах работы технологии DHCP Relay Agent. Сообщения DHCP Discover, Offer, Request и Acknowledge.

3.27. Настройка агентов-ретрансляторов на коммутаторах уровня Distribution с использованием команды «ip helper-address»

3.28. Проверка работы DHCP сервера и механизма DHCP Relay Agent. Изучение принципов поиска и устранения проблем (troubleshooting) на примере обнаруженной неисправности. Пошаговая проверка корректной работы цепочки механизмов, входящих в коммутируемую и маршрутизируемую часть сети.

3.29. Дополнительная настройка DHCP сервера. Установка времени аренды и просмотр «IP address binding».

3.30. Завершение первого этапа построения большой корпоративной сети. Особенности использования памяти в UNetLab.



Урок 4. Построение корпоративной сети, этап II


4.1. Соединение виртуальной лабораторной среды с реальной, физической сетью. Обеспечение выхода в Интернет для пограничных (EDGE) роутеров.

4.2. Структура перехода от виртуального программного обеспеченья к реальной, физической сети.

4.3. Принципы взаимодействия цепочки интерфейсов FastEthernet 0/0->pnet 0->eth 0->VMWare Network Adapter->сетевая карта хостовой машины->физический роутер->Интернет.

4.4. Альтернативный способ обеспечения доступа к физической сети с использованием NAT и DHCP на VMWare WorkStation.

4.5. Обеспечение выхода в интернет для конечных пользователей предприятия. Настройка NAT с перегрузкой на пограничном EDGE роутере. Использование access-lists для управления диапазоном частных IP адресов.

4.6. Выявление и устранение сетевой неисправности (troubleshooting), обнаруженной при попытке доступа в Интернет. Работа с командой «default-information originate» и таблицей NAT трансляций.

4.7. Особенности Virtual PC при работе с DNS сервером.

4.8. Резервирование подключения к провайдеру с использованием схемы Dual-homed (2 CE to 1 ISP).

4.9. Закрепление IP адреса за MAС адресом интерфейса в настройках DHCP физического роутера.

4.10. Переконфигурация NAT на пограничных роутерах для работы в среде Dual-homed.

4.11. Распределение потока трафика от конечных пользователей между двумя EDGE роутерами с помощью управления метрикой. Работа с параметром «metric» в команде «default information originate».

4.12. Динамическое изменение метрики маршрута по умолчанию в зависимости от состояния провайдера. Использование механизма IP SLA в сопряжении с prefix-list, route-map и default-information.

4.13. Альтернативный способ управления маршрутом по умолчанию с использованием Embedded Event Manager (EEM). Изучение принципов работы апплетов.

4.14. Использование команды «event syslog pattern» для регистрирования событий IP SLA и запуска Event Manager Applet.

4.15. Применение мер предосторожности, связанных с использованием удаленных линий управления line vty в механизме Event Manager.

4.16. Управление маршрутом по умолчанию на основе route-map и с помощью Embedded Event Manager (EEM). Сравнение и выбор оптимальной реализации.

4.17. Работа с функцией «wait» в механизме Event Manager Applet. Версии EEM.

4.18. Решение проблем, связанных с периодическим отказом в обслуживании виртуальных SVI интерфейсов коммутаторов. Использование Event Manager Applet с событием «timer countdown».

4.19. Дополнительные события (events) и действия (actions), доступные в Embedded Event Manager (EEM). Работа с командами диагностики.

4.20. Тестирование отказоустойчивости на уровне Distribution, Core и Edge. Проверка отказоустойчивости основных шлюзов в коммутируемой и маршрутизируемой части сети.

4.21. Выявление и устранение сетевых неисправностей (troubleshooting), обнаруженных в процессе тестирования отказоустойчивости.

4.22. Ускорение процесса восстановления сети после сбоя, за счёт подстройки hello и dead interval в протоколах IGP, а также hello и hold timers в протоколах FHRP. Преимущества, недостатки и требования к стабильности сети при малых значениях таймеров. Рекомендуемые значения таймеров.

4.23. Switched Campus Architecture и идеология end-to-end VLANs. L2 связность между Access коммутаторами. Достоинства и недостатки модели маршрутизации на Distribution.

4.24. Routed Campus Architecture и идеология local VLANs. Правило распределения подсетей между Access коммутаторами. Еще раз об отличиях коммутации от маршрутизации. Достоинства и недостатки модели маршрутизации на Access.

4.25. Построение сети с архитектурой Routed Campus (маршрутизация на Access).

4.26. Построение local VLANs и настройка основных шлюзов для конечных пользователей. Распределение IP адресации в сети с учётом особенностей локальных VLANs.

4.27. Подробное изучение механизма перехода от конечного абонента к маршрутизируемой части сети в модели маршрутизации на Access. Обеспечение отказоустойчивости без использования First Hop Redundancy Protocols и Spanning Tree.

4.28. Детальное объяснение процессов, происходящих при передаче кадра в сети, построенной по модели маршрутизации на Access (Routed Campus). Сравнение с процессами, происходящими в сети, построенной по модели маршрутизации на Distribution (Switched Campus). Почему не возможна L2 связь между Access коммутаторами?

4.29. Моделирование ситуации неправильного распределения подсетей между Access коммутаторами в Routed Campus Architecture. Объяснение процессов, происходящих в сети при пересечении подсетей. Особенности балансировки трафика в механизме Cisco Express Forwarding (CEF)

4.30. Сравнение Routed и Switched Campus архитектур. Какую архитектуру выбрать?

4.31. Комбинирование архитектур. End-to-end VLANs в пределах одного Distribution блока. Проблемы коммутируемого ядра.

4.32. Нужна ли L2 связь между коммутаторами распределения в пределах одного Distribution блока в архитектуре Switched Campus? Моделирование ситуации отсутствия связи. Детальное отслеживание причин, приводящих к неоптимальному прохождению трафика при отсутствии L2 связи.

4.33. Нужна ли L3 связь между коммутаторами распределения в пределах одного Distribution блока в архитектуре Routed Campus? Влияние суммаризации на прохождения трафика в пределах Distribution блока при отсутствии L3 соединения.

4.34. Выполнение суммаризации маршрутов. Разделение сети, построенной по архитектуре Routed Campus на регионы OSPF. Краткое напоминание об особенностях суммаризации в EIGRP.

4.35. Влияние суммаризации на прохождения трафика в пределах Distribution блока при отсутствии резервирования между уровнем доступа и уровнем распределения.

4.36. Прямая линия связи между коммутаторами уровня ядра. Назначение линии связи.

4.37. Завершение второго этапа построения большой корпоративной сети. Подведение итогов.



Урок 5. Построение корпоративной сети, этап III


5.1. Способы подключения рабочей станции и серверов к платформе сетевой виртуализации UNetLab. Подключение с помощью Docker, QEMU и с использованием внешней виртуальной машины.

5.2. Подключение рабочей станции на Windows 7 к UNetLab с использованием внешней виртуальной машины на VMWare Workstation.

5.3. Создание и настройка новой виртуальной машины. Обзор и выбор редакции Windows 7, соответствующей требованиям проекта. Установка Windows 7.

5.4. Работа с виртуальными сетями VMnet для подключения Windows 7 к платформе сетевой виртуализации UNetLab. Установка сетевых адаптеров замыкания на себя Microsoft KM-TEST (loopback Windows).

5.5. Внесение изменений в структуру перехода от виртуального роутера до физической сети. Осуществление перехода через виртуальную сеть VMnet 0.

5.6. Объединение виртуальной машины UNetLab и виртуальной машиной Windows 7 с помощью виртуальной сети VMnet 1 и Network Adapters.

5.7. Проверка подключения Windows 7 к Access коммутатору в UNetLab с помощью трассировки. Внешняя виртуальная машина с Windows 7 получает доступ в интернет через всю иерархическую цепочку оборудования построенной корпоративной сети.

5.8. Детальное изучение взаимодействия интерфейсов «подключение по локальной сети в Windows 7» -> «Network Adapter» - > «VMnet 1 + Microsoft KM-TEST» -> «Network Adapter 2» -> «eth 1» - > «pnet 1» - > «Fast Ethernet 1/3» -> «корпоративная сеть в UNetLab».

5.9. Организация доступа к гостевой ОС с помощью Remote Desktop Protocol. Объединение хостовой и виртуальной машины с Windows 7 в единую канальную среду с помощью сети VMnet 2 в режиме host-only.

5.10. Обзор и выбор редакции Windows Server 2012, отвечающей требованиям проекта. Создание новой виртуальной машины и её настройка. Подключение новой ВМ к ранее созданной виртуальной сети VMnet 2 для осуществления доступа по RDP.

5.11. Детальное изучение взаимодействия цепочки интерфейсов, позволяющих объединить хостовую и гостевую ОС в единый широковещательный домен. Хостовая машина + Windows 7 + Windows Server 2012, объединённые с помощью виртуального коммутатора VMnet 2.

5.12. Установка Windows Server 2012. Особенности передачи сочетания клавиш control + alt + delete в виртуальную машину.

5.13. Установка компонента «пользовательские интерфейсы и инфраструктуры» для персонализации Windows Server. Инициализация дополнительного жесткого диска D.

5.14.Отказоустойчивое подключение внешней виртуальной машины с Windows Server 2012 к корпоративной сети в UNetLab. Добавление новых Microsoft KM-TEST, VMnet и Network Adapters. Подключение двух сетевых карт Windows Server к двум Distribution коммутаторам серверной фермы.

5.15. Настройка Distribution коммутаторов для подключения Windows Server. Настройка SVI, HSRP и Spanning-Tree. Причины возникновения петли коммутации при объединении сетевых карт Windows Server в режиме Bridge.

5.16. Таблица MAC адресов на Windows Server во взаимосвязи с HSRP. На какой из Distribution коммутаторов будут направляться пакеты от Windows Server?

5.17. Детальное изучение схемы подключения Windows Server к платформе сетевой виртуализации UNetLab. Цепочка интерфейсов «Network Bridge» -> «Ethernet 1» - > «Network Adapter 2» - > «VMnet 3 + Microsoft KM-TEST» -> «Network Adapter 3» -> «eth 2» - > «pnet 2» - > «fa 1/5 на FarmDistSwitch 1» -> «корпоративная сеть в UNetLab».

5.18. Отключение Cisco Express Forwarding (CEF) на Core коммутаторе и частичная потеря пакетов. Выполнение поиска неисправности в сети (troubleshooting) посредством отслеживания маршрута следования трафика. Использование команд диагностики «show ip route», «show ip ospf neighbors», «show interface fax/x switchport», «show ip interface brief», «show etherchannel summary». Устранение неисправности.

5.19. Устранение неисправности, связанной с динамически изменяющимися МАК адресами на интерфейсах роутеров.

5.20. Потеря маршрута по умолчанию при обращении к ресурсу в Интернет с Windows Server. Поиск причины, приводящей к потери маршрута (troubleshooting). Использование WireShark для отслеживания пути следования ICMP пакетов.

5.21. Особенности работы IP SLA при открытой NAT трансляции. Взаимосвязь поля BE Identifier в ICMP пакетах, формируемых Windows и Virtual PC, с потерей маршрута по умолчанию.

5.22. Устранение неисправности, приводящей к потери маршрута по умолчанию. Модификация конфигурации IP SLA.

5.23. Организация автоматического резервного копирования конфигураций активного сетевого оборудования. Установка ПО, принимающего подключения на 21 порт по протоколу FTP. Настройка FTP сервера.

5.24. Механизм автоматического резервного копирования конфигураций (running и startup configs) с помощью планировщика Kron (Command Scheduler). Знакомство с планировщиком.

5.25. Реализация механизма Command Scheduler на Cisco IOS. Работа с командами «policy-list», «cli copy startup-config», «kron occurrence». Изучение параметров настройки времени «oneshot», «recurring», «system-startup», а также «in» и «at».

5.26. Резервное копирование конфигураций по расписанию (running и startup configs) с помощью встроенной в IOS функции архивирования Archive & Rollback. Знакомство с Archive.

5.27. Настройка резервного копирования на Cisco IOS с помощью функции архивирования Archive. Установка пути до FTP сервера с помощью команды «path». Работа с переменными, возвращающими имя устройства «$H» и метку времени «$T».

5.28. Работа с командой «time-period», устанавливающей частоту резервного копирования, и командой «write-memory», позволяющей осуществлять выгрузку running-config на FTP сервер при каждом сохранении устройства.

5.29. Работа с командой «maximum» для ограничения количества резервных копий.

5.30. Необходимость установки корректного ip источника, при обращении к FTP серверу. Работа с командой «ip ftp source-interface».

5.31. Работа с лог-файлом FTP сервера. Особенности метки времени резервных копий в старых версиях IOS. Проверка работы функции Archive.

5.32. Автоматические восстановление роутера через заданный промежуток времени с помощью функции Rollback. Работа с командой «configure terminal revert timer X». Форсированное восстановление с помощью команды «configure revert now» и отказ от восстановления с помощью команды «configure confirm». Настройка времени ожидания FTP сервера с помощью «rollback retry timeout».

5.33. Альтернатива функции Rollback. Использование команды «reload in X» для автоматического восстановления роутера через заданный промежуток времени. Форсированная перезагрузка с помощью «reload» и отказ от перезагрузки с помощью «reload cancel».

5.34. Сравнение функций Rollback и Reload in X для автоматического восстановления Cisco IOS.

5.35. Методология ручного восстановления конфигурации устройства из резервной копии, находящейся на FTP сервере. Работа с командой «configure replace».

5.36. Журнал команд в механизме Archive & Rollback. Включение функции логирования и просмотр журнала.

5.37. Сравнение архивов с помощью «show archive config differences».

5.38. Использование параметра idle в команде «configure terminal revert timer X» механизма Rollback. Назначение параметра.

5.39. Обеспечение доступа к Access коммутаторам по IP адресам, не имеющих ни одного L3 интерфейса (подключенных по модели Switched Campus Architecture).

5.40. Особенности модуля EtherSwitch эмулируемого на Dynamips. Сообщение о недостаточном объеме flash памяти и способы устранения неисправности.

5.41. Настройка Archive & Rollback на L2+ коммутаторах.

5.42. Обеспечение neighbor взаимоотношений по протоколу OSPF для L3 коммутаторов, не имеющих ни одного физического L3 интерфейса (подключенных по модели Switched Campus Architecture).

5.43. Обеспечение доступа к Access коммутатору через редистрибьюцию маршрутов. Детальное объяснение алгоритмов работы. Рекомендации по применению редистрибьюции.

5.44. Установка доменных служб Active Directory и повышение роли Windows Server до уровня контроллера домена.

5.45. Добавление рабочей станции Windows 7 в состав домена.

5.46. Добавление новой учетной записи пользователя в Active Directory. Добавление пользователя в группы.

5.47. Осуществление входа в доменную учетную запись через консольное и RDP подключение. Windows 7, подключенный к Access коммутатору, через всю иерархическую структуру корпоративной сети, осуществляет взаимодействие с Windows сервером, подключенного к Distribution коммутаторам серверной фермы.

5.48. Консолидация знаний в области взаимодействия активного сетевого оборудования. Еще раз о базовых принципах работы сети.

5.49. Завершение третьего этапа построения большой корпоративной сети и подведение итогов.

5.50. Обзор технологий, протоколов и механизмов, изучаемых в следующих модулях.



Модуль II. VPN технологии


Краткое описание модуля:

Этот модуль является ключевым модулем второй части, в нём подается самая сложная, многоуровневая техническая информация, имеющая множество ответвлений. Мы тщательно выверяли подаваемую информацию и стремились создать максимально качественный продукт.

Часть II, модуль II - это детальная информация с глубиной подаваемой информации на уровне стандартов RFC, включающая сложнейшую криптографию, симметричное и асимметричное шифрование, принципы туннелирования, группу протоколов IPsec и траблшутинг, инфраструктуру открытого ключа PKI и центры сертификации Certificate Authority, инфраструктуру времени предприятия NTP и многое другое. Такой глубины подаваемой информации о сложнейших VPN технологиях Вы еще не встречали ни в одном интерактивном видеокурсе.

Мы не просто изучим VPN технологии, мы разберем принципы работы всех сложных технологий до винтиков, благодаря чему, в последствии Вы сможете не только объединять филиалы и досконально понимать принципы туннелирования, но и максимально гибко управлять своей сетевой инфраструктурой, выбирая оптимальные VPN решения под конкретные задачи Вашего предприятия.


Урок 1. Network Time Protocol (NTP). Практика


1.1. Необходимость синхронизации времени на активном сетевом оборудовании Cisco для последующей организации защищенных VPN соединений.

1.2. Единая точка отсчета для часовых поясов. Всемирное координированное время (Coordinated Universal Time, UTC).

1.3. Ручная конфигурация времени на устройствах Cisco. Установка даты, времени и часового пояса.

1.4. Автоматический переход на летнее время. Работа с командой «clock summer-time». Подсистема «date» и «recurring».

1.5. Различия между аппаратным и программным временем на устройствах Cisco. Назначение аппаратной микросхемы времени. Перенос времени из аппаратной микросхемы в операционную систему Cisco IOS. Оборудование, поддерживающее аппаратную микросхему времени.

1.6. Настройка отображения временных меток в log и debug сообщениях. Проштамповка сообщений журнала и отладки текущим временем устройства с учетом часового пояса. Проштамповка сообщений журнала и отладки временем от момента запуска устройства. Работа с командой «service timestamps» и подкомандами «debug», «log», «datetime», «localtime», «show-timezone». Рекомендации по применению механизма.

1.7. Недостатки ручной конфигурации времени на устройствах Cisco. Причины постепенного расхождения времени на сетевых устройствах.

1.8. Автоматическая синхронизация времени на активном сетевом оборудовании Cisco с помощью Network Time Protocol (NTP).

1.9. Топология NTP. Авторитетный источник времени. Понятие stratum для определения степени отдаления от авторитетного источника времени.

1.10. Процесс передачи метки времени от авторитетного источника до конечного клиента. Ошибка времени, накапливаемая при переходе между серверами разных часовых слоев.

1.11. Механизм коррекции времени на величину сетевых задержек в протоколе NTP. Компенсация накопленной ошибки.

1.12. Подключение пограничных роутеров предприятия к NTP серверам в Интернет. Понятие основного и запасного NTP сервера. Работа с командами «ntp update-calendar», «ntp logging», «ntp server», «ntp source-interface» и другими.

1.13. Рекомендации по выбору NTP сервера и методология проверки работоспособности. Команды диагностики «show ntp status», «show ntp associations», «show run | section NTP», «show clock detail». Понятие состояния синхронизации времени в протоколе NTP.

1.14. Особенности прохождения NTP пакетов через Network Address Translation (NAT). Ограничения, накладываемые механизмом PAT.

1.15. Работа NTP в среде сетевой виртуализации. Зависимость синхронизации времени от скорости работы виртуального оборудования.

1.16. Режимы взаимодействия устройств по протоколу NTP. Режим «Server/Client», «Broadcast/Multicast», «Peer». Рекомендации по использованию режимов.

1.17. Иерархический, плоский и комбинированный NTP дизайн. Преимущества и недостатки каждого дизайна. Выбор NTP дизайна исходя из нагрузочной характеристики сети предприятия.

1.18. Практическая реализация плоского NTP дизайна в корпоративной сети. Настройка пограничных роутеров предприятия на работу в роли NTP сервера. Команды «ntp master» и «clock calendar-valid».

1.19. Настройка сетевого оборудования, входящего в уровни Core, Distribution и Access на получение метки точного времени от пограничных роутеров предприятия, запущенных в режиме NTP сервера. Настройка взаимодействия «Broadcast/Multicast». Настройка отказоустойчивого NTP кластера с помощью режима взаимодействия «Peer».

1.20. Практическая реализация иерархического NTP дизайна в корпоративной сети. Включение роли NTP сервера на оборудовании, входящего в уровни Core и Distribution. Настройка роли клиента на оборудовании, входящего в уровни Core, Distribution и Access.

1.21. Защита инфраструктуры NTP. Последствия нарушения безопасности инфраструктуры времени предприятия.

1.22. Механизм защиты NTP с помощью access-lists на основе типов сообщений (NTP Access Groups). Сообщения «requests», «updates», «control queries».

1.23. Блокирование NTP сообщений с помощью access-lists и механизма NTP Access Groups. Режимы «query-only», «serve-only», «serve», «peer» .

1.24. Практическая реализация механизма защиты NTP с помощью access-lists на основе типов сообщений (NTP Access Groups). Настройка acсess-lists, применение режимов «peer» и «serve-only». Угрозы, нейтрализуемые данной защитой.

1.25. Проверка работоспособности инфраструктуры NTP, поиск и устранение неисправностей (troubleshooting). Использование команд «debug ntp», «ntp logging», «show ntp assosiations», «show ntp status».

1.26. Механизм защиты NTP с помощью аутентификации. Проверка подлинности источника. Угрозы, нейтрализуемые данной защитой.

1.27. Практическая реализация механизма защиты NTP с помощью аутентификации. Работа с командами «ntp authenticate», «ntp trusted key», «ntp authentication key». Защита клиентской и серверной части NTP. Реализация защиты на всех уровнях сетевой иерархической модели.

1.28. Принципы работы механизма аутентификации. Диагностика корректности работы механизма аутентификации с помощью debug и сниффера трафика WireShark.

1.29. Использование нескольких ключей в механизме аутентификации NTP. Сценарии применения ключевых цепочек.

1.30. Подключение Windows 7 к NTP серверу корпоративной сети предприятия. Отказоустойчивое подключение Windows Server 2012 к двум NTP серверам корпоративной сети, используя единый HSRP IP адрес.



Урок 2. Network Time Protocol (NTP). Теория


2.1. В каком виде передается время в NTP пакете? Структура NTP Timestamp.

2.2. Детальное изучение процесса синхронизации времени между NTP сервером и клиентом. Начальное время (t1), время приема (t2), время отправки (t3), время получения (t4). Формулы расчета задержки (delay) и смещения (offset).

2.3. Внутренние алгоритмы NTP. Первичная фильтрация пакетов. Этапы обработки пакетов и процессы «peer/poll», «system», «clock discipline», «clock adjust».

2.4. Структура NTP пакета. Детальное изучение полей «Leap Indicator», «VN», «Mode», «Stratum», «Polling Interval», «Precision», «Root Delay», «Root Dispersion», «Reference Identifier», «Reference Timestamp» и другие.

2.5. Односторонняя и двухсторонняя синхронизация. Symmetric active/passive и server/client modes.

2.6. Различия между root delay и peer (round-trip) delay. Различия между peer dispersion и root dispersion.

2.7. Управляющие NTP пакеты Kiss-o’-Death (KoD) и кодовые комбинации Kiss Codes. Назначение и возможные угрозы безопасности.

2.8. Детальное изучение показателей вывода команды диагностики «show ntp status». Понятие колебательной системы. Номинальная и фактическая частота локальных часов. Показатели синхронизации, номера часового слоя, источника времени, точности, времени обновления, смещения, задержки, дисперсии, дрифта, статуса фильтра обратной петли, времени последнего обновления.

2.9. Детальное изучение показателей вывода команды диагностики «show ntp associations». Сконфигурированные сервера и сервера, добавленные в автоматическом режиме. Сервера кандидаты (candidates), выбранные сервера (selected), сервера аутсайдеры (outliers), сервера-фальсификаторы (falsetickers), сервера правильного времени (truechimers). Показатель источника времени и неисправности (.LOCL, .STEP., INIT, DOWN), показатели stratum, when и poll. Работа с показателем reach. Различия между дисперсией и смещением.

2.10. Детальное изучение показателей вывода команды диагностики «show ntp associations detail». Состояния «сonfigured», «dynamic», «our_master», «selected», «sync distance».

2.11. Проверка входящих NTP пакетов на соответствие характеристикам с помощью Sanity Test. Коды ошибок и их значения. Состояния «sane», «insane», а также «valid» и «invalid».

2.12. Дополнительные функции NTP. Установка ограничений на количество ассоциаций. Отключение NTP на интерфейсе. Настройка round-trip delay в широковещательных и многоадресных пакетах.

2.13. Настройка продолжительности такта кварцевого генератора с помощью команды «ntp clock-period». Ускорение и замедление локальных часов. Отличия работы механизма в IOS 15.

2.14. Ускорение первичной синхронизации с помощью команд «burst» и ibusrt». Факторы, влияющие на скорость синхронизации. Ухудшение статистических данных при ускорении синхронизации.

2.15. Настройка минимальной (minpoll) и максимальной (maxpoll) частоты опроса NTP сервера. Работа с командами «ntp server version», «ntp server source-interface», «debug ntp validity». Практическая реализация дополнительных функций NTP в проекте корпоративной сети предприятия.

2.16. Simple Network Time Protocol (SNTP), настройка и конфигурация. Отличия от NTP. Структура SNTP пакета. Рекомендации по использованию протокола.

2.17. Инфраструктура времени предприятия. Подведение итогов.



Урок 3. Введение в VPN технологии. Generic Routing Encapsulation (GRE)


3.1. Построение мини-проекта, состоящего из головного офиса и филиала, необходимого для изучения протокола GRE.

3.2. Идеология виртуальных частных сетей (Virtual Private Network). Объединение нескольких удаленных друг от друга частных сетей в одну единую локальную сеть.

3.3. Реализация VPN туннеля с использованием протокола Generic Routing Encapsulation (GRE). Конфигурация GRE. Работа с командами «tunnel-source», «tunnel-destination», «tunnel-mode» и другими. Статические маршруты через туннельные интерфейсы.

3.4. Детальное изучение принципов туннелирования на примере протокола GRE. Механизмы инкапсуляции оригинального IP пакета (пассажира) во внешний IP пакет (пакет доставки). Каким образом удается обратиться к компьютеру филиала по его частному IP адресу, не смотря на то, что частные IP адреса не маршрутизируются в Интернет? Использование WireShark для отслеживания процесса инкапсуляции.

3.5. Терминология VPN. Понятие инкапсуляции и туннелирования. Заголовки «delivery», «GRE», «payload».

3.6. Версии GRE. Структура GRE пакета версии 0. Поля «Checksum», «Routing», «Key», «Sequence Number» и другие. Назначение полей.

3.7. Структура GRE пакета версии 1 в пакете PPTP. Отличие GRE пакета версии 0 от GRE пакета версии 1.

3.8. Включение аутентификации, проверки чек-суммы, а также отслеживания последовательности пакетов в настройке туннельного интерфейса.

3.9. Подключение второго филиала к лабораторному проекту. Логические топологии взаимодействия филиалов Full-Mesh и Hub-and-Spoke. Преимущества и недостатки каждой топологии. Рекомендации по выбору топологии. Настройка маршрутов для обеспечения взаимодействия между всеми филиалами согласно топологии Hub-and-Spoke.

3.10. Проблема MTU в VPN сетях. Максимальный размер сегмента TCP (MSS) и согласованный наименьший размер сегмента (SMSS).

3.11. Maximum Transmission Unit (MTU) и его влияние на количество передаваемых данных по VPN туннелю. Расчет количества полезных данных, которые можно передать внутри TCP заголовка без использования GRE.

3.12. Расчет количества полезных данных, которые можно передать внутри TCP заголовка при GRE инкапсуляции. Почему пропускная способность туннеля меньше, чем обычного интерфейса?

3.13. MTU на канальном и сетевом уровне. В чем разница между MTU физического интерфейса и MTU туннельного интерфейса?

3.14. Разница между размером кадра и размером MTU. Почему WireShark предоставляет недостоверную информацию о размере кадра?

3.15. Флаг Don’t Fragment в IP пакетах, препятствующий их прохождению через туннельный интерфейс.

3.16. Четыре способа решения проблемы MTU в VPN сетях и флага Don’t Fragment. Преимущества и недостатки каждого из способов.



Урок 4. Группа протоколов IPsec. Режимы инкапсуляции


4.1. Последствия нарушения конфиденциальности данных для предприятия. Типичные сценарии нарушения конфиденциальности.

4.2. Практическая работа по обеспечению конфиденциальности передаваемых по VPN туннелю данных посредством их шифрования. Шифрование GRE трафика. Базовая настройка IPsec на примере IPsec over GRE.

4.3. Подробнее о режиме инкапсуляции IPsec over GRE. Последовательность заголовков Ethernet->new IP->ESP->GRE->IP->ICMP->ESP Trailer->ESP Authentication. Недостатки этого режима. Использование WireShark для отслеживания последовательности заголовков.

4.4. Туннельный режим IPsec. Модификации, происходящие с оригинальной последовательностью заголовков при использовании этого режима. Назначение режима и сценарии его применения.

4.5. Практическая работа по организации Site-to-Site VPN с использованием туннельного режима IPsec. Поэтапная конфигурация. Настройка фазы 1 и фазы 2. Конфигурация static crypto-map. Работа с прямым и зеркальным access-list.

4.6. Алгоритм обработки исходящих и входящих пакетов. Принципы работы конфигурации «IPsec c crypto-map». Почему отсутствует необходимость в настройке статических маршрутов? Путь прохождения трафика от компьютера в головном офисе до компьютера в филиале.

4.7. Транспортный режим IPsec - шифрование служебного трафика, передающегося между двумя устройствами Cisco, находящимися в пределах одной локальной сети. Отличия от туннельного режима. Вид последовательности заголовков.

4.8. Практическая реализация транспортного режима IPsec. Сценарии применения режима. Сценарий 1 – защита служебного трафика, передаваемого между двумя роутерами. Настройка фазы 1 и фазы 2. Конфигурация static crypto-map. Настройка правил обработки трафика с помощью прямых и зеркальных access-list’s. Работа с командой диагностики «show crypto ipsec sa».

4.9. Сценарий 2 – защита трафика, передаваемого от сервера на компьютер пользователя в пределах одной локальной сети. Почему система автоматически переключается в туннельный режим, несмотря на очевидное преимущество транспортного? Запрет автоматического переключения в туннельный режим с помощью команды «mode transport require».

4.10. Консолидация изученных режимов инкапсуляции. Сценарии применения туннельного, транспортного, IPsec over GRE, а также GRE over IPsec режимов. Преимущества и недостатки каждого из них.



Урок 5. Группа протоколов IPsec. Протоколы ESP, AH, ESP & AH


5.1. История создания группы протоколов IP Security. IPsec как надстройка над стеком TCP/IP.

5.2. Возможности IPsec. Знакомство с принципами обеспечения конфиденциальности данных (data encryption), целостности данных (data integrity), аутентификации пакетов и шлюзов (packets and peer authentication), защиты от воспроизведения данных (anti-replay protection), обмена ключами (key management).

5.3. Протоколы, входящие в состав IP Security. Протокол согласования параметров безопасности IKE и протоколы инкапсуляции и передачи данных по туннелю - ESP, AH, ESP & AH.

5.4. Протокол инкапсуляции и передачи данных Encapsulating Security Payload, ESP. Принципы работы и назначение протокола, его возможности.

5.5. Обеспечение конфиденциальности (шифрования) данных посредством протокола ESP. Принципы шифрования. Шифрование данных симметричными алгоритмами DES, 3DES, AES. Участок в последовательности заголовков, подвергаемый шифрованию.

5.6. Последствия нарушения целостности пакетов для предприятия. Атака «человек по середине (man in the middle)». Детальное изучение принципов обеспечения целостности данных и аутентификации пакетов (data integrity and packets authentication) посредством протокола ESP и HMAC хеш-функций. Проверка целостности и аутентификация пакетов в едином механизме благодаря keyed-hash функции. Поле Authentication в ESP пакете.

5.7. Защита данных от воспроизведения (anti-replay protection), реализуемая с помощью поля Sequence Number (SN) в ESP пакете. Перемешивание пакетов в пределах заданного размера окна (anti-replay window). Цели и задачи злоумышленника, преследуемые при реализации атаки воспроизведения пакетов.

5.8. Структура ESP заголовка. Назначение полей Security Parameters Index (SPI), Sequence Number (SN), ESP Payload Data, Padding, Pad Length, Next Header, ESP Authentication Data. Размеры полей. Сравнение со структурой GRE заголовка.

5.9. Протокол инкапсуляции и передачи данных Authentication Header, AH. Режимы работы и возможности AH. Принципиальное отличие AH от ESP. Сценарии применения Authentication Header – когда AH лучше, чем ESP?

5.10. Структура AH заголовка. Назначение полей Next Header, Payload Length, Reserved, Security Parameters Index (SPI), Sequence Number (SN), Authentication Data, Payload Length. Размеры полей. Сравнение со структурой ESP заголовка.

5.11. Практическая работа – переход на использование AH вместо ESP в лабораторном проекте. Настройка политики второй фазы с помощью команды «crypto ipsec transform-set» и установка параметра «ah-sha-hmac». Работа с командами «crypto map», «show run | section crypto», «clear crypto sa». Использование WireShark для изучения новой последовательности заголовков.

5.12. Комбинированный режим ESP + AH. Совмещение возможностей двух протоколов в одном пакете. Двойная аутентификация. Защита от изменения всего пакета (включая внешний IP заголовок) при сохранении возможности шифрования данных. Вид последовательности заголовков при использовании ESP + AH.

5.13. Практическая работа по переходу на комбинированный режим. Модификация конфигурации политики второй фазы «transform-set» и установка параметров «esp-aes | esp-sha-hmac |ah-sha-hmac». Объяснение параметров.

5.14. Сравнение протоколов ESP, AH, ESP & AH. Участки в последовательности заголовков, подвергаемые подписи и шифрованию. Преимущества и недостатки комбинированного режима, сценарии применения.



Урок 6. Группа протоколов IPsec. Internet Key Exchange, фаза 1


6.1. Протокол согласования параметров безопасности Internet Key Exchange Protocol (IKE). Детальное изучение назначения и принципов работы протокола.

6.2. Фазы построения IPsec туннеля. IKE фаза 1 и IKE фаза 2. Основная идеология IKE.

6.3. IKE фаза 1 в Main Mode. Шесть сообщений и три этапа согласований. Этап согласования политик, этап генерации ключевого материала и обмен Diffie-Hellman, этап аутентификации и проверки подлинности.

6.4. Этап I - согласования политик. Что такое политика первой фазы и для каких целей требуется её согласование. Алгоритм согласования политик.

6.5. Протоколы ISAKMP, Oakley и SKEME, лежащие в основе гибридного протокола IKE. Принцип действия и назначение каждого протокола.

6.6. Структура заголовка ISAKMP. Многоуровневые вложения (payload) в ISAKMP. Вложения SA, Proposal и Transform. Флаги C, E, A. Назначение флагов. Поля SPI инициатора, SPI ответчика, Next Payload, Major, Minor, Exchange Type, Message ID, Total Message Length. Детальное описание полей.

6.7. Практическая работа по конфигурации политик первой фазы. Работа с командой «crypto isakmp policy». Атрибуты политики. Атрибуты encryption, hash, group, authentication, lifetime -детальное описание каждого атрибута. Назначение каждого атрибута.

6.8. Использование WireShark для изучения процесса согласования политик первой фазы на практическом примере. Обмен пакетами этапа I первой фазы IKE (сообщения 1 и 2).

6.9. Номера политик в Cisco IOS. Приоритет политик. Порядок расположения политик в ISAKMP пакете.

6.10. Изменение приоритета политик для гибкого управления процессом согласования. Как заставить роутер согласовывать конкретные политики?

6.11. Понятие «инициатор соединения». Согласование политик с разными атрибутами в зависимости от инициатора.

6.12. Политики с неполными атрибутами. Что будет, если выполнить частичную конфигурацию политики?

6.13. Поведение роутеров при отсутствии политик. Политики по умолчанию в IOS 15 и IOS 12.4. Особенности вывода команды «show crypto isakmp policy» в случае отсутствия политик сконфигурированных вручную.

6.14. Этап II - генерация ключевого материала и обмен Diffie-Hellman. Получение общего секретного ключа без его фактической передачи.

6.15. Детальное изучение принципов работы алгоритма Diffie-Hellman. Математические функции, основанные на асимметричных ключах. Псевдослучайное число «p» и первообразный корень «g». Формулы расчета общего секретного ключа Shared Secret.

6.16. Практическая работа. Самостоятельный расчет общего секретного ключа Shared Secret по формулам Diffie-Hellman.

6.17. Группа Diffie-Hellman как атрибут политики первой фазы. На что влияет номер группы Diffie-Hellman? Использование WireShark для изучения обмена пакетами этапа II первой фазы IKE (сообщения 3 и 4).

6.18. Общий ключевой материал SKEYID. Сессионные ключи SKEYID_a (authentication key), SKEYID_e (encryption key), SKEYID_d (derivative key). Назначение и использование каждого ключа.

6.19. Генерация SKEYID в случае аутентификации по pre-shared ключу. Обмен информацией KE и nonсe (Ni, Nr).

6.20. Подробнее о pre-shared ключе. Pre-shared ключ и Shared Secret – это одно и то же? Команда для установки pre-shared ключа. Роль pre-shared в формуле расчета общего ключевого материала SKEYID.

6.21. Формула расчета SKEYID в случае аутентификации по pre-shared ключу. Что такое PRF (pseudo-random function)?

6.22. Генерация SKEYID в случае аутентификации RSA Encrypted Nonces (шифрование открытым ключом). Суть метода аутентификации. Роль псевдослучайных чисел nonce (Ni и Nr) в рассматриваемом методе аутентификации. Обмен информацией CKY, hash, IDi, PK. Назначение каждой переменной. Формула расчета SKEYID.

6.23. Генерация SKEYID в случае аутентификации RSA Signature (по цифровым сертификатам). Суть метода аутентификации, отличия от RSA Encrypted Nonces. Обмен информацией CERT и SIG. Формула расчета SKEYID.

6.24. Формулы расчета сессионных ключей SKEYID_a, SKEYID_e, SKEYID_d. Общий SKEYID и Shared Secret как основа для расчета сессионных ключей.

6.25. Этап III - аутентификация и проверка подлинности VPN шлюзов на примере pre-shared аутентификации. Понятие identity. Формулы расчета HASH_I и HASH_R, которые используются для аутентификации VPN шлюзов. Изучение переменных (g^xi, g^xr, CKY-I, SAi, Idi), входящих в формулу расчета HASH_I и HASH_R. Каким образом pre-shared ключ участвует в механизме аутентификации. Как конкретно происходит процедура проверки подлинности и аутентификации с использованием identity hash.

6.26. Разница между проверкой подлинности и аутентификацией. Использование WireShark для изучения обмена пакетами этапа III первой фазы IKE (сообщения 5 и 6).

6.27. Конечный результат 3-х этапов первой фазы IKE в режиме Main Mode – ассоциация безопасности IKE. Что такое IKE Security Association, её назначение.

6.28. Просмотр установленных IKE Security Association с помощью команды «show crypto isakmp sa detail» Детальное изучение вывода команды. Столбцы ID, DST, SRC, VRF, STATUS и другие. Еще раз о том, что такое ассоциация безопасности.

6.29. Просмотр установленных IKE Security Association с помощью команды «show crypto isakmp sa» без параметра «detail». Детальное изучение вывода команды. Разница между диагностическими колонками status и state.

6.30. Таблица расшифровки состояний ассоциаций, отображаемых в колонке state. Состояния MM_NO_STATE, MM_SA_SETUP, MM_KEY_EXCH, MM_KEY_AUTH, QM_IDLE и другие.

6.31. Команды диагностики IKE фазы 1, не относящиеся к Security Association. Команды «show crypto isakmp» с параметрами «default policy, key, peers, profile, sa».

6.32. IKE фаза 1 в Aggressive Mode. Построение мини-ISAKMP туннеля за 3 сообщения. Обмен сообщениями в Main и Aggressive режиме – сравнение. Детальное изучение процессов, происходящих в течении Aggressive обмена. Что способствует его ускорению? Почему в Аggressive режиме этап аутентификации защищается только частично?

6.33. Преимущества и недостатки Aggressive режима. Что выбрать – Main Mode или Aggressive Mode?

6.34. Практическая работа по переходу на Aggressive Mode. Работа с профилем первой фазы и командой «crypto isakmp profile». Настройка профиля командами «initiate mode aggressive», «match identity», «keyring default». Как указать identity в случае pre-shared аутентификации? Что такое keyring? Как профиль влияет на поведение IPsec? Разница между профилем первой фазы и профилем второй фазы. Подключение профиля к текущей конфигурации.

6.35. Использование WireShark для изучения обмена первой фазы в Aggressive Mode на практическом примере. В каких случаях Aggressive режим будет инициирован принудительно?

6.36. Мини-ISAKMP туннель как конечный результат IKE фазы 1.



Урок 7. Группа протоколов IPsec. Internet Key Exchange, фаза 2


7.1. IKE фаза 2 Quick Mode. Процессы, происходящие на второй фазе IKE. Цели и задачи второй фазы.

7.2. Политики второй фазы transform. Назначение политик второй фазы. Изучение процесса обмена политиками второй фазы. Настройка политик второй фазы с помощью команды «сrypto ipsec transform-set». Взаимодействие transform-set и crypto-map.

7.3. Политики по умолчанию. Работа с командой «show crypto ipsec default transform-set». Дефолтные политики в IOS 15 и IOS 12.4.

7.4. Порядок подключения политик к crypto-map. Приоритет политик второй фазы. Согласование политик в зависимости от инициатора. Как заставить роутер согласовывать конкретные политики? Эмулирование ситуаций, при которых роутеры согласовывают разные политики.

7.5. Другие процессы, происходящие на второй фазе IKE. Проверка целостности и аутентификация источника с помощью расчета HASH. Ключевой материал SKEYID_a как основа для расчета HASH (1), HASH (2) и HASH (3). Детальное изучение алгоритма, с помощью которого два VPN шлюза проверяют подлинность отправителя на второй фазе IKE.

7.6. Переменные SKEYID_a, M-ID, SA, Ni, KE, IDi, IDr в формулах расчета HASH.

7.7. Генерация ключевого материала KEYMATERIAL, из которого создаются ключи для симметричных алгоритмов шифрования DES, 3DES, AES, а также для HMAC хеш-функций. Ключевой материал SKEYID_d как основа для формулы расчета KEYMATERIAL.

7.8. Perfect Forward Secrecy (PFS). Формула расчета KEYMATERIAL в зависимости от применения PFS. На что влияет PFS?

7.9. Целесообразность применения Perfect Forward Secrecy (PFS). Компрометация злоумышленником ключевого материала SKEYID_d. Влияние технологии PFS на скорость обмена второй фазы. Стоит ли включать PFS?

7.10. Практическая работа. Включение PFS с помощью команд Cisco IOS. Тест производительности роутеров с активированной и деактивированной технологией PFS. Объяснение причин, по которым снижается производительность роутера.

7.11. Знакомство с IPsec Security Association (ассоциация безопасности второй фазы). Особенности создания IPsec Security Association и их взаимосвязь с PFS. Просмотр Security Associations второй фазы с помощью команды «show crypto ipsec sa».

7.12. Модификация лабораторной работы и добавление дополнительных подсетей пользователей. Создание нескольких Security Associations второй фазы, путем направления трафика в разные подсети. Закрепление материала с помощью отслеживания событий, происходящих в сети.

7.13. Подробнее о Security Associations. Разница между IKE Security Association (ассоциация первой фазы) и IPsec Security Associations (ассоциации второй фазы). Какую информацию содержат Security Associations и для чего они используются?

7.14. Однонаправленные (unidirectional) и двунаправленные (bidirectional) Security Associations. Особенности двунаправленных SAs. Входящие и исходящие ассоциации.

7.15. Номер Security Parameter Index (SPI) и его взаимосвязь с Security Association (SA). Сопоставление входящего ISAKMP, ESP или AH пакета с соответствующей ассоциацией безопасности.

7.16. Формула расчета SPI номеров. Разница между IKE SPI и IPsec SPI. Изучение на примере расшифрованного пакета второй фазы.

7.17. Практическая работа с IPsec SAs и SPI номерами. Отслеживание сопоставления SPI номеров с входящими и исходящими IPsec SAs на практическом примере. Как конкретно роутер сопоставляет входящий ISAKMP, ESP или AH пакет с соответствующей SA. Понятие шаблона SA.

7.18. Продолжение детального изучения вывода команды «show crypto ipsec sa». Счетчики пакетов. Использование счетчиков для диагностики второй фазы. Понятие initialization vector (IV size).

7.19. Другие команды диагностики второй фазы IKE. Работа с командой «show crypto ipsec» и параметрами «policy», «profile», «default transform-set», «spi-lookup». Объяснение вывода команд. Разница между командами «sa» и «security associations».

7.20. Общие команды диагностики IPsec. Работа с командами «show crypto map» и «show crypto session».

7.21. Время жизни ассоциаций безопасности, Security Associations lifetime. Почему необходимо ограничивать время жизни ассоциаций? Время жизни по умолчанию.

7.22. Механизм автоматической смены Security Association по истечению времени жизни.

7.23. Особенности согласования значений lifetime между роутерами для разных типов SAs.

7.24. Установка значения lifetime для ассоциаций первой фазы. Два способа установки значения lifetime для ассоциаций второй фазы.

7.25. Глобальный способ установки времени жизни IPsec ассоциаций. Работа с командой «crypto ipsec security-association lifetime». Ограничение периода существования IPsec SAs по времени и количеству обработанных килобайт. Отключение лимитирования по количеству обработанных килобайт. Преимущества и недостатки глобального способа установки lifetime.

7.26. Установка времени жизни IPsec ассоциаций локально для crypto-map. Работа с командой «set security-association lifetime». Преимущества и недостатки локального способа установки lifetime.

7.27. Почему время жизни Security Association на первой фазе, должно быть больше, чем время жизни Security Associations на второй фазе?

7.28. Выбор оптимального значения lifetime для Security Associations с учетом, и без учета PFS.

7.29. Установка idle-time. Чем idle-time отличается от lifetime? Идеология idle-time.

7.30. Настройка защиты от атаки воспроизведения пакетов (anti-replay protection). Использование команды «сrypto ipsec security-association replay» для изменения размера окна (window-size). Необходимость в управлении размером окна. Отключение защиты.

7.31. Протокол IP Payload Compression Protocol (PCP) и алгоритм сжатия lzs, обеспечивающие компрессию пакетов. Цели, преследуемые при активации механизма. Преимущества и недостатки сжатия пакетов – стоит ли включать компрессию? В какой последовательности применять механизм – сначала сжатие, а затем шифрование, или сначала шифрование, а затем сжатие? Включение механизма сжатия, путем добавления соответствующего параметра в политику второй фазы. Работа со счетчиками компрессии. Новая Security Association для протокола PCP.

7.32. Последовательное изучение всех этапов, которые проходит исходящий пакет, прежде чем будет отправлен по туннелю – алгоритмы обработки исходящих пакетов.

7.33. База данных политик безопасности Security Policy Database (SPD). Назначение базы данных. Обработка пакета на основании селекторов и политик – «отбросить», «пропустить без применения IPsec» или «пропустить с применением IPsec». Каким образом формируется SPD?

7.34. База данных ассоциаций безопасности Security Associations Database (SAD). Поиск конкретной ассоциации безопасности в базе данных ассоциаций SAD с помощью маркеров.

7.35. Последовательное изучение всех этапов, которые проходит входящий пакет, прежде чем будет отправлен на компьютер пользователя – алгоритмы обработки входящих пакетов.

7.36. Основной IPsec туннель как конечный результат IKE фазы 2.



Урок 8. Группа протоколов IPsec. Криптографические алгоритмы и поиск неисправностей


8.1. Криптографические алгоритмы, используемые в IPsec. Способы аутентификации VPN шлюзов (PSK, RSA Encrypted Nonces, Digital Certificates). Асимметричные шифры, используемые в некоторых методах аутентификации (RSA, DSA, ECDSA, etc.). Что такое асимметричный алгоритм шифрования?

8.2. Симметричные алгоритмы шифрования (RC4, SEAL, AES, DES, 3DES, etc.), использующиеся для шифрования трафика пользователей. Блочные и потоковые симметричные шифры – принципы работы, отличия. Как происходит шифрование. Что такое симметричный алгоритм? Что такое раунд? Сравнение AES и DES по криптографической стойкости при одинаковой длине ключа. Особенности алгоритма SEAL при работе с микросхемами аппаратного шифрования ASIC.

8.3. Алгоритмы хеширования (MD, SHA, BLAKE, Grostl, etc.), использующиеся для проверки целостности и аутентификации пакетов. Чем обычный хеш-алгоритм отличается от HMAC хеш-алгоритма – изучение принципов работы. Хэш-функции, поддерживаемые в Cisco IOS. Длина итогового хеш. Разница между аутентификацией пиров и аутентификацией пакетов.

8.4. Алгоритм обмена ключами Diffie-Hellman. Три вида групп – DH, ECDH, SUBDH. Детально про каждую из групп. Зависимость криптографической стойкости от номера группы. Стоит ли использовать SUBDH группы? Группы с эллиптическими кривыми – больший уровень криптографической стойкости при меньшей длине числа P.

8.5. Рекомендации по выбору криптографических алгоритмов. Какие криптографические алгоритмы выбрать для обеспечения максимальной безопасности передаваемых данных?

8.6. Слабые, средние и сильные алгоритмы. Выбор алгоритмов для аутентификации VPN шлюзов, шифрования трафика IKE (служебных ISAKMP сообщений), шифрования данных пользователей, проверки целостности и аутентификации пакетов.

8.7. Длина итогового hash. Особенность поля Authentication Data в ESP и AH пакетах. Что такое SHA-2-512-96?

8.8. От чего зависит безопасность IPsec? Рекомендации по выбору группы Diffie-Hellman для первой и второй фазы IKE.

8.9. Длина pre-shared ключа. Разница между бинарном и десятичным представлением. Случайные биты. Взаимосвязь между битовой длиной используемой хеш-функцией и символьной длиной pre-shared ключа. Формула расчета необходимой символьной длины pre-shared ключа.

8.10. Рекомендации по выбору оптимального значения времени жизни (lifetime) для IKE и IPsec Security Associations. Рекомендации, учитывающие наличие или отсутствия механизма Perfect Forward Secrecy (PFS).

8.11. Что делать, если производительности роутера не достаточно для применения сильных алгоритмов? Общие рекомендации по выбору криптографических алгоритмов. Стоит ли доверять новым алгоритмам?

8.12. Особенности лицензии Security в IOS 15. Ограничения на использование криптографических средств с длиной ключа более 56 бит. Аббревиатура NPE.

8.13. Рекомендации по выбору длины ключа для симметричных и асимметричных алгоритмов шифрования. До какого периода времени, данные зашифрованные алгоритмом AES с длиной ключа 128 не смогут быть расшифрованы атакой лобового перебора? Метод полного перебора ключа – необходимое количество итераций при длине ключа 56 бит. От чего зависит стойкость криптосистемы?

8.14. Encapsulation Security Payload (ESP) без шифрования (только аутентификация пакетов). Работа с параметром esp-null в Cisco IOS. Еще раз о разнице между аутентификацией VPN шлюзов и аутентификацией пакетов.

8.15. Методология просмотра зашифрованных ISAKMP и ESP пакетов в WireShark. Как посмотреть содержимое зашифрованного пакета в WireShark?

8.16. Troubleshooting IPsec. Методология поиска неисправностей в IPsec - разбор типовых кейсов. Эмуляция неисправностей, их поиск и устранение. Детальное изучение вывода debug. Debug первой и второй фазы. Работа с командами диагностики IPsec.



Урок 9. Группа протоколов IPsec. Internet Key Exchange version 2 (IKEv2)


9.1. Идеология Internet Key Exchange version 2. Отличия IKEv1 от IKEv2. Новые термины и определения.

9.2. Изучение процессов, происходящих на фазе IKE_SA_INIT. Передача политик (SA), открытого ключа Diffie-Hellman (DH) и псевдослучайно сгенерированных nonce (N). Запрос сертификата CERTREQ.

9.3. Общий ключевой материал SKEYSEED в IKEv2. Семь сеансовых ключей SK и формулы их расчета. Отличия SKEYID от SKEYSEED.

9.4. Изучение процессов, происходящих на фазе IKE_AUTH. Политики второй фазы (SA2), identity, вложение AUTH. Селекторы трафика TSi и TSr и их взаимосвязь с SPD базой. Влияние PFS на сообщения, передаваемые на фазе IKE_AUTH.

9.5. Конечных результат, получаемый по завершению фаз IKE_SA_INIT и IKE_AUTH.

9.6. Процесс CREATE_CHILD_SA для создания новых Сhild Security Associations и их обновления. Формулы расчета ключей для алгоритмов симметричного шифрования и хеш-функций при активированной и деактивированной технологии PFS.

9.7. Перегенерация ключевого материала (rekeying) без повторной аутентификации. Формула расчета SKEYSEED при обновлении Security Association.

9.8. Механизм защиты от DoS атак, представленный в IKEv2. Каким образом может быть совершена DoS атака на протокол IKE? Изучение принципов работы защитного механизма. Использование COOKIE для реализации защиты. Формула расчета COOKIE. Случайно сгенерированный секрет и параметр VersionID_of_Secret. Активация механизма защиты от DoS.

9.9. IKEv1 против IKEv2 – сравнительная таблица. Новые методы аутентификации (ecdsa-sig, EAP). Технология MOBIKE. Асимметричная аутентификация. Подтверждение информационных сообщений и другое. Важные преимущества IKEv2.

9.10. Практическая работа по конфигурации Internet Key Exchange v2. Подбор версии IOS, поддерживающей IKEv2 с помощью Cisco Feature Navigator.

9.11. Установка образа маршрутизатора vIOS-L3 на QEMU. Настройка VMWare для работы с эмулятором QEMU. Требования к центральному процессору хостовой машины. Понятие вложенной виртуализации (Nested Virtualization). Особенности запуска эмулятора QEMU на VirtualBox.

9.12. Конфигурация IKEv2. Настройка политик первой фазы IKE_SA_INIT. Атрибуты отдельно от политики. Изучение особенностей и отличий от IKEv1.

9.13. Механизм проверки целостности ISAKMP сообщений, реализованный в IKEv2. Почему отсутствует атрибут «hash»? Отличие атрибута «integrity» от атрибута «prf» в настройках политики первой фазы.

9.14. Новый режим аутентификационного шифрования AES-GCM (Galois/Counter Mode). Отличия, от режима AES-CBC (Cipher Block Chaining). Почему при использовании AES-GSM, нельзя выбрать алгоритм проверки целостности (внешнюю HMAC функцию)?

9.15. Новый механизм сравнения политик первой фазы – несколько значений для одного атрибута.

9.16. Создание группы ключей keyring и настройка IKEv2 профиля. Установка параметров проверки identity, настройка аутентификации и времени жизни ассоциаций первой фазы. Работа с командами «crypto ikev2 profile», «match identity», «keyring local» и другими.

9.17. Настройка политик второй фазы IKE_AUTH (политики IPsec). Алгоритмы ESP-GCM и ESP-GMAC. Что такое Galois Message Authentication Code (GMAC) и как протокол ESP будет работать в случае его использования?

9.18. Конфигурация acсess-list и crypto-map. Работа с командами «set pfs», «match address», «set transform-set» и другими. Проверка работоспособности конфигурации.

9.19. Изучения процесса обмена пакетами в IKEv2 на практическом примере с помощью WireShark. Обмен IKE_SA_INIT и IKE_AUTH. Обмен CREATE_CHILD_SA. Обмен информационными сообщениями.

9.20. Механизм обнаружения ретранслированных пакетов - Message ID (MID) в ISAKMP сообщениях. Альтернативное использование поля Message ID в IKEv1.

9.21. Диагностика IKEv2. Группа команд «show crypto ikev2» с параметрами «sa, sa detailed, policy, proposal» и другие. Изучение вывода команд диагностики.

9.22. Совместимость IKEv1 и IKEv2. Могут ли две версии IKE работать вместе?

9.23. Консолидация IPsec. Краткое повторение и закрепление материала, изученного в ходе этой серии уроков. Заключение.



Урок 10. Инфраструктура открытого ключа (PKI). Теория


10.1. Принципы шифрования с использованием одного и того же ключа. Недостатки симметричного шифрования.

10.2. Принципы асимметричного шифрования – открытый (public) и закрытый (private) ключ. Каким образом используются открытые и закрытые ключи для шифрования данных?

10.3. Применение пары открытый/закрытый ключ в сценарии обеспечения конфиденциальности и в сценарии аутентификации узлов.

10.4. Принципы асимметричной аутентификации. Каким образом используются открытые и закрытые ключи для аутентификации узлов?

10.5. Сложность задачи факторизации как основа криптографической системы RSA с открытым ключом. Назначение и применение RSA алгоритма.

10.6. Асимметричные алгоритмы DSA и ECDSA – отличия от алгоритма RSA. Критерии выбора конкретного алгоритма.

10.7. Основная идеология всех асимметричных алгоритмов шифрования.

10.8. Почему для шифрования трафика пользователей в IPsec, нельзя применять асимметричные алгоритмы? Как отличить симметричный алгоритм от асимметричного алгоритма?

10.9. Нарушение конфиденциальности данных в следствии атаки «человек по середине» (man in the middle) на перехват открытого ключа. Подробное изучение принципов атаки.

10.10. Повышение безопасности криптосистемы с открытым ключом с помощью цифровых сертификатов. Назначение и применение цифровых сертификатов. Сертификат как открытый ключ + информационная составляющая.

10.11. Сертификат стандарта X.509 для инфраструктуры открытого ключа и инфраструктуры управления привилегиями. Первое знакомство с полями сертификата.

10.12. Три формата X.509-того сертификата. Описание каждого формата. Основной принятый формат сертификата.

10.13. Кодировка сертификатов методами CER, DER, base64, ANS.1. Расширения итоговых файлов сертификатов - .CER, .CRT, .DER, .PEM, .P12, .P7B, .PFX. Каким образом информация из полей сертификата хранится в итоговом файле?

10.14. Особенности .PEM сертификатов.

10.15. Криптографические стандарты PKCS как аналог RFC в сетях. Стандарт PKCS12 и итоговый файл .P12 для хранения и транспортировки закрытого ключа. Стандарт PKCS10 для запроса сертификата у Certificate Authority. Стандарт PKCS7 и итоговый файл .P7B – хранилище нескольких сертификатов.

10.16. Консолидация знаний, изученных в этом разделе урока. Разбираемся в терминах PKCS, PEM, CRT, X.509, base64. Еще раз о стандартах сертификатов, форматах сертификатов, расширении итоговых файлов, кодировках и криптографических стандартах PKCS12.

10.17. Как доказать, что сертификат принадлежит конкретному лицу и окончательно предотвратить перехват открытого ключа и нарушение конфиденциальности передаваемых данных?

10.18. Инфраструктура открытого ключа (Public Key Infrastructure, PKI). Центр сертификации (Certificate Authority, CA). Роль центров сертификации в корпоративной сети предприятия.

10.19. Доскональное изучение принципов работы всех технологий, входящих в PKI. Запрос сертификата у Certificate Authority с помощью SCEP - Simple Certificate Enrollment Protocol.

10.20. Что такое цифровая подпись? Как Certificate Authority подписывает сертификат, который выпускает для PKI клиента? Роль закрытого ключа центра сертификации.

10.21. Роль открытого ключа центра сертификации (сертификата CA). Доверие к личным сертификатам на основании сертификата CA.

10.22. Аутентификация VPN шлюзов по цифровым сертификатам с точки зрения PKI. Доскональное изучение принципов аутентификации. Как именно роутеры используют поле «digital signature» и открытый ключ CA для проверки подлинности и целостности полученного сертификата от соседнего VPN шлюза? Какова роль центра сертификации (Certificate Authority) в цепочке взаимодействия двух VPN шлюзов? Что такое hash сертификата, как он используется и для чего он нужен?

10.23. Попытка подмены сертификата роутера А человеком по середине (man in the middle) - эмуляция двух сценариев атаки. Объяснение причин, по которым рассмотренные сценарии атак не могут увенчаться успехом в случае, если личный сертификат роутера А является подписанным со стороны центра сертификации.

10.24. Что будет, если злоумышленник украдет сертификат роутера А и попытается с помощью него аутентифицироваться на роутере Б? Какими механизмами располагает IPsec для предотвращения этого класса атак?

10.25. Краткое напоминание о принципах аутентификации в IPsec по предварительно-распределенному секрету (pre-shared ключу).

10.26. Аутентификация VPN шлюзов по цифровым сертификатам с точки зрения IPsec. Отличия внутренней логики аутентификации по цифровым сертификатам от аутентификации по pre-shared ключу.

10.27. Взаимосвязь закрытого ключа роутера А и цифровой подписи SIG_I в IPsec. Как именно IPsec взаимодействует с инфраструктурой открытого ключа PKI и для каких целей IPsec создает цифровую подпись SIG_I?

10.28. Детальное изучение алгоритма аутентификации двух IPsec пиров посредством цифровых сертификатов во взаимодействии с Public Key Infrastructure и Certificate Authority.

10.29. Что будет, если злоумышленник украдет не только сертификат, но и закрытый ключ роутера А? Механизм отзыва сертификатов с помощью Certificate Revocation List (CRL), Online Certificate Status Protocol (OCSP) и AAA Server.

10.30. Детальное изучение принципов работы механизма проверки отзыва сертификатов с помощью CRL файла. Процедура подписи и публикации CRL файла на web сервере. Процедура загрузки CRL файла с web сервера для проверки сертификата на факт отзыва PKI клиентами. Преимущества и недостатки механизма с CRL файлом.

10.31. Подробнее о механизме проверки отзыва сертификатов с помощью СУБД OCSP. Преимущества и недостатки этого механизма.

10.32. Подробнее о механизме проверки отзыва сертификатов с помощью AAA Server, доступного в Cisco Secure ACS. Целесообразность применения данного механизма.

10.33. Детальное изучение полей, входящих в состав сертификата стандарта X.509 версии 3. Поля «Version Number», «Signature Algorithm ID», «Validity Period», «Subject Public Key Info», «Certificate Signature Algorithm», «Digital Signature». Назначение и использование каждого поля.

10.34. Особенности полей «X.500 Issuer Name» и «X.500 Subject Name». Подробнее о стандарте X.500 и службе распределенного каталога. Relative Distinguished Names (RDNs), такие как CN, OU, O, L, S, C.

10.35. Поле «Extensions» (дополнения) и суб-поля. Применяемость сертификата, специфика применения ключа, ограничения на использование. Политики выдачи сертификата, Certificate Policy. Класс выдачи сертификата.

10.36. Этапы видоизменения сертификата. Вид сертификата в HEX редакторе->в декодированном виде->после интерпретации программным обеспечением. Особенности интерпретации.

10.37. Изучение инфраструктуры открытого ключа на примере Global PKI.

10.38. Обзор структуры реального сертификата, полученного с сайта банка в среде Global PKI.

10.39. Object Identifier (OID) в одном из суб-полей сертификата и понятие extended-validation.

10.40. Каким образом компьютеру клиента удается проверить, что сайт банка не является поддельным? О чем свидетельствует иконка зеленого замка в левом верхнем углу браузера?

10.41. Детальное изучение алгоритма проверки подлинности полученного сертификата от банка – закрытый ключ банка, дочерние (подчиненные) центры сертификации и цепочка доверия (пути сертификации).

10.42. Глобальные центры сертификации и хранилище корневых сертификатов Windows. Работа с хранилищем сертификатов Windows. Особенности хранилища сертификатов у браузера Mozilla Firefox.

10.43. Переход к развертываю корпоративного, Enterprise PKI.



Урок 11. Инфраструктура открытого ключа (PKI). Практика, часть I


11.1. Практическая работа по развертыванию инфраструктуры открытого ключа (PKI) в корпоративной среде (Enterprise PKI).

11.2. Добавление сервера центра сертификации (Сertificate Authority) к лабораторному проекту. Памятка, касающаяся IDLE-PC и несколько дополнительных моментов. Разница между удостоверяющим центром и центром сертификации, а также различия между Global PKI и Enterprise PKI.

11.3. Конфигурирование центра сертификации на Cisco IOS. Генерация пары открытый/закрытый ключ, работа с командой «crypto key generate» и её параметрами. Генерация ключей с помощью RSA и ECDSA алгоритма. Рекомендации по выбору длины ключа.

11.4. Опция «exportable» при генерации ключевой пары. Стоит ли делать закрытый ключ CA экспортируемым? Последствия компрометации закрытого ключа центра сертификации. Ситуации, при которых требуется наличие копии закрытого ключа. Рекомендации по безопасному хранению закрытого ключа.

11.5. Продолжение конфигурации центра сертификации на Cisco IOS. Настройка trustpoint, активация http сервера. Работа с командой «issuer-name CN=, OU=, O=, S=, C=».

11.6. Настройка расположения базы данных CA сервера, работа с командой «Database url». Месторасположение базы дынных для образов IOS работающих на Dynamips, QEMU, IOU/IOL. Месторасположение для реального оборудования. Сведения, хранящиеся в базе данных CA сервера.

11.7. Настройка полноты информации, хранящейся в базе данных CA сервера. Работа с командой «database level». Режимы «complete», «names» и «minimum». Рекомендации по выбору режима.

11.8. Настройка алгоритма хеширования. Для каких целей в настройках центра сертификации указывается hash алгоритм?

11.9. Установка сроков действия CA сертификата; сертификата, который будет выпускаться для PKI клиентов и CRL файла. Работа с командами «lifetime certificate, lifetime ca-certificate, lifetime CRL».

11.10. Настройка поведения Сertificate Authority при получении запроса на выдачу сертификата от клиента. Работа с командой «grant» и режимами «auto», «ra-auto», «none», «no grant auto». Описание каждого режима.

11.11. Завершение конфигурации и запуск CA сервера. Объяснение механизмов, при которых открытый ключ CA сервера преобразуется в сертификат CA. Понятие самоподписанного (self-signed) сертификата. Рекомендации по генерации безопасного пароля для защиты закрытого ключа.

11.12. Настройка PKI клиентов – VPN шлюзов предприятия. Постановка задачи.

11.13. Генерация пары открытый/закрытый ключ на клиенте с помощью алгоритма RSA. Стоит ли делать закрытый ключ экспортируемым в случае PKI клиента? Обзор двух разных сценариев, приводящих к двум разным решениям. Немного о EFS - Encrypting File System.

11.14. Настройка trustpoint на PKI клиенте. Команда «enrollment url» - особенности синтаксиса. Понятие FQDN, Fully Qualified Domain Name. Отличие имени домена от полного имени домена. Назначение FQDN. Настройка «subject-name».

11.15. Запрос CA-сертификата у центра сертификации с помощью команды «crypto pki authenticate». Еще раз о назначении CA-сертификата и его роли в аутентификации VPN шлюзов.

11.16. Отпечаток (fingerprint) CA-сертификата. Предотвращение атаки подмены центра сертификации - механизм дополнительного ручного подтверждения подлинности полученного CA-сертификата (Out of Band Authentication).

11.17. Получение личного сертификата для VPN шлюза у центра сертификации, работа с командой «crypto pki enroll». Challenge Password, как еще один механизм Out of Band аутентификации, повышающий безопасность. Роль и назначение Challenge Password.

11.18. Работа с командой «show crypto PKI certificates» для просмотра полученных сертификатов на Cisco IOS PKI клиенте.

11.19. Получение сертификатов для второго PKI клиента (VPN шлюза). Работа с командой проверки сертификатов на факт отзыва «revocation check» и параметрами «crl», «none» и «oscp».

11.20. Команда диагностики центра сертификации – «show crypto pki server». Детальное объяснение вывода команды.

11.21. Переход на аутентификацию по цифровым сертификатам в IPsec. Внесение изменений в ISAKMP политики первой фазы на обоих VPN шлюзах. Проверка соединения посредством просмотра IKE и IPsec Security Associations.

11.22. Методология ручного запроса сертификатов у Сertificate Authority без использования SCEP. Пошаговая инструкция по получению и ручному импорту сертификата CA на PKI клиента, а так же ручному запросу личного сертификата для PKI клиента. Практическая работа с кодировкой base64 и запросом PKCS10. Работа с командами «enrollment terminal», «crypto pki import» «crypto pki export NAME pem terminal» и другими.

11.23. Практическая работа с командой «grant» и режимом «no grant auto» в настройках Сertificate Authority для включения механизма ручного подтверждения запросов на выдачу сертификатов со стороны администратора CA. Изучение и использование команды для просмотра запросов, ожидающих одобрения (pending). Команда для одобрения конкретного запроса.

11.24. Сценарии, в которых применяется механизм ручного подтверждения запроса со стороны администратора CA (Out of Band authentication).

11.25. Центры регистрации, Registration Authority (RA). Назначение и применение центров регистрации. Режим «ra-auto» в настройках Cisco CA.



Урок 12. Инфраструктура открытого ключа (PKI). Практика, часть II


12.1. Практическая работа по развертыванию системы проверки сертификатов на факт отзыва с помощью CRL файла – подключение виртуальной машины с Windows Server к тестовому лабораторному проекту.

12.2. Установка Denwer (веб-сервера) на Windows Server. Работа с каталогами веб-сервера. Обеспечение доступа к веб-серверу по внешнему IP адресу. Создание тестовой html-страницы для проверки его работоспособности.

12.3. Настройка новой учетной записи FTP-сервера на связь с каталогом веб-сервера. Объяснение принципов взаимодействия FTP-сервера + веб-сервера + Сertificate Authority + VPN шлюза.

12.4. Внесение изменений в конфигурацию Сertificate Authority - настройка публикации списка отозванных сертификатов (CRL файла) на внешний FTP сервер. Использование команды «database url crl publish» с указанием пути до FTP сервера.

12.5. Проверка корректности конфигурации посредством отзыва и восстановления сертификата. Работа с командами «crypto pki server NAME revoke X» и «crypto pki server NAME unrevoke X».

12.6. Изучение структуры опубликованного CRL файла. Поля CRL файла и вкладка «список отзыва». Механизм автоматического обновления CRL файла центром сертификации по истечению срока его действия.

12.7. Certificate Revocation List Distribution Point (CDP) – каким образом VPN шлюзы узнают о местонахождении CRL файла? Еще раз о том, как именно VPN шлюзы проверяют сертификаты на факт отзыва.

12.8. Внесение изменений в конфигурацию Сertificate Authority – настройка CDP. Работа с командой «cdp-url http://путь до веб-сервера».

12.9. Перенастройка trustpoint на PKI клиентах на проверку сертификатов на факт отзыва посредством команды «revocation-check crl». Перевыпуск сертификатов.

12.10. Проверка работоспособности конфигурации. Ошибки, связанные с расхождением системного времени на устройствах – ручная корректировка времени.

12.11. Альтернативное месторасположение CRL файла – хостинг-провайдер предприятия как хранилище CRL файла.

12.12. Механизм кеширования CRL файла на устройствах Cisco IOS. Методы сброса и обновления кеша.

12.13. Методы полного отключения механизма кеширования CRL файла. Плюсы и минусы кеширования CRL файла - сценарии, при которых допустимо отключать механизм кеширования CRL файла. Работа с WireShark для просмотра http запроса на загрузку CRL файла.

12.14. Отзыв и восстановление сертификатов – демонстрация работы механизма проверки сертификатов на факт отзыва с помощью CRL файла.

12.15. Ситуация резкого обрыва IPsec Security Associations – объяснение ошибки «invalid SPI number».

12.16. Имитация события истечения срока действия CRL файла. Объяснение механизма автоматической перепубликации CRL файле на веб-сервере.

12.17. Рекомендации по организации инфраструктуры PKI для имплементации VPN-only. Рекомендации по установке времени действия CRL файла, кешированию CRL файла, возможности экспорта закрытого ключа.

12.18. Рекомендации по организации инфраструктуры PKI для других имплементаций на примере 802.1x сетевого карантина.

12.19. Пошаговая методика резервного копирования Сertificate Authority на Cisco IOS. Условия, необходимые для осуществления резервного копирования. Работа с командой «database archive».

12.20. Экспорт конфигурационных файлов центра сертификации на внешний FTP сервер. Сертификат CA и закрытый ключ в одном .p12 файле. Подробнее о стандарте PKCS12.

12.21. Подробнее об экспортируемых конфигурационных файлах CA сервера - .crl, .ser, .p12. Рекомендации по безопасному хранению закрытого ключа CA сервера.

12.22. Пошаговая методика восстановления Сertificate Authority на Cisco IOS с помощью резервных копий конфигурационных файлов. Проверка работоспособности восстановленного центра сертификации.

12.23. Пошаговая методика резервного копирования и восстановления PKI клиента (VPN шлюза) на Cisco IOS. Целесообразность резервного копирования PKI клиента в случае VPN-only имплементации. Условия, необходимые для осуществления резервного копирования.

12.24. Автоматическое обновление личных сертификатов PKI клиентов по окончании их срока действия. Логика работы команды «auto-enroll». Методология ручного обновления личных сертификатов. Обновление сертификата с сохранением старого открытого ключа и с генерацией новой ключевой пары.

12.25. Ручное обновление CA-сертификата центра сертификации. Моменты, на которые следует обратить внимание. Понятие «rollover» и теневого «shadow» сертификата.

12.26. Автоматическое обновление CA-сертификата за некоторое время до окончания старого. Работа с командой «auto-rollover». Имитация истечения срока действия старого сертификата - изучение принципа работы механизма на практических примерах.

12.27. Рекомендации по использованию механизма автоматического обновления CA-сертификата. Завершение практической работы по развертыванию инфраструктуры открытого ключа (PKI) в корпоративной среде.

12.28. Сравнение VPN-only и Enterprise PKI. Задачи, реализуемые в Enterprise PKI.

12.29. Еще раз о принципах работы криптографии с открытым ключом на примере цифровой подписи и шифрования e-mail.

12.30. Топологии PKI. Архитектура Single-Root CA и Hierarchical CAs. Особенности иерархической архитектуры, преимущества и принципы её построения.

12.31. Архитектура кросс-сертификации (Cross-Certified CAs). Сетевая и мостовая кросс-сертификация. Сферы применения архитектур и принципы их построения. Отличия от архитектур Single-Root CA и Hierarchical CAs.

12.32. Альтернатива PKI – PGP (Pretty Good Privacy). Отличия PGP от PKI. Принципы работы PGP. Система доверия «web of trust» в PGP. Сравнение и выбор между PGP и PKI – что лучше?

12.33. Подведение итогов. Разговор о технологиях, протоколах и механизмах, изучаемых в следующих модулях.



Модуль III. Site-to-Site VPNs


Краткое описание модуля:

Этот модуль является продолжением предыдущего. Он имеет еще больший практический уклон. В этом модуле, мы перейдем к практическому внедрению изученных технологий в большую корпоративную сеть, в наш основной проект. Именно так, как Вы будите делать это в рамках реального предприятия - два филиала, будут отдалены друг от друга посредством реального Интернет. Однако, без знаний из предыдущего модуля, сделать это будет невозможно.

Нам предстоит на удаленном компьютере развернуть филиальную сеть и подключить её к головной сети посредством DMVPN - основной технологии, изучаемой в этом модуле.

DMVPN, это многогранная и сложная технология для автоматического построения туннелей между spoke роутерами, которая может быть реализована различными способами. DMVPN может работать в режиме фазы 1, 2 и 3. Каждая из фаз, накладывает свои ограничения на поведение туннелей, на возможность суммаризации маршрутов, а так же на возможность применения того или иного протокола динамической маршрутизации. Мы узнаем, почему в сети DMVPN, при количестве spoke роутеров более 100, применение OSPF невозможно. Узнаем, почему необходимо запрещать query сообщения в EIGRP и почему BGP является наилучшим решением. Но если BGP, то iBGP или eBGP? В случае нахождения филиальных роутеров за NAT, потребуется применение технологии NAT-Traversal, но и здесь всё не так просто - не каждый филиал может быть закрыт за динамическим NAT. В режиме фазы 2, образуется incomplete запись в CEF, которая влияет на производительность сети - нам предстоит разобраться и с этим вопросом. Отказоустойчивость Hub, может быть реализована посредством Dual Hub Single Cloud и Dual Hub Dual Cloud, и каждый из вариантов реализации обладает своими преимуществами и недостатками. В этом модуле, мы, на практических примерах, перепробуем десятки всевозможных вариантов касательно фаз, протоколов динамической маршрутизации, суммаризации, NAT, отказоустойчивости и выберем наилучшее сочетание конфигураций, исходя из конкретных задач предприятия. Помимо DMVPN, нами будут изучаться еще несколько VPN технологий, одна из которых - Static and Dynamic VTI, обладающая десятком преимуществ и одним существенным недостатком...

Таким образом, изучив этот модуль, Вы сможете развертывать полноценные Site-to-Site VPN решения в реальной корпоративной среде, выбирая для этого наилучшую технологию.


Урок 1. Static and Dynamic VTI


1. Определение системных требований для построения сети филиала. Выбор между единой и территориально-распределенной архитектурой.

2. Развертывание небольшой сети филиала на удаленном компьютере.

3. VPN технологии категории Site-to-Site для объединения филиалов, такие как IPSec (GRE и Crypto-Map); IPSec (Static and Dynamic VTI); IPSec + GRE (DMVPN).

4. Недостатки технологии IPSec Crypto-Map, изученной в модуле II. Static and Dynamic VTI как лучшая альтернатива – отсутствие необходимости в наличии публичного IP адреса со стороны spoke + автоматическая настройка hub роутера при подключении каждого нового spoke.

5. Практическая работа по конфигурации Static and Dynamic VTI на примере лабораторного проекта, в котором Branch роутер сокрыт за NAT. Совместная работа IPSec и ISAKMP профилей.

6. Идеология Dynamic VTI. Шаблон Virtual Template, на основании которого происходит автоматическое создание виртуальных туннельных интерфейсов (VTI). Особенности и назначение команды IP unnumbered.

7. Отключение проверки identity в IPSec – механизм автоматического подключения неограниченного количества филиалов к роутеру MainOffice без внесения каких-либо изменений в его конфигурацию + подключение филиальных роутеров, сокрытых за NAT (без публичного IP адреса).

8. Особенности маршрутизации в VPN сети, построенной с использованием технологии Dynamic VTI. Почему статическая маршрутизация не работает?

9. Обеспечение маршрутизации с помощью протокола Open Shortest Path First (OSPF). Определение роли DR роутера. Почему в топологии Hub-and-Spoke, spoke роутер никогда не должен становится DR-ом?

10. Детальное объяснение принципов работы технологии Static and Dynamic VTI. Принцип построения связи между туннельным ip адресом Branch роутера и виртуальным интерфейсом virtual-template на Hub роутере в связки с динамическим маршрутом. Совместная работа профиля ISAKMP, pre-shared ключа и группы keyring, virtual access и virtual template, профиля IPSec и политики transform-set. Изучение процесса установки туннелей и процесса передачи трафика.

11. Подключение дополнительного филиала к тестовому лабораторному проекту, конфигурация роутера Branch 2 по принципу Static VTI. В каких случаях применять технологию Dynamic VTI, а в каких Static VTI?

12. Особенности ассоциаций безопасности (Security Associations) в изучаемой конфигурации.

13. Ситуация, при которой несколько удаленных пиров (Branch роутеров) сокрыты за одним единственным NAT IP-адресом. Механизмы, с помощью которых Hub роутер сопоставляет конкретный ESP пакет с конкретной ассоциацией безопасности.

14. Технология NAT Traversal (NAT-T). Дополнительный UDP заголовок перед ESP c целью прохождения пакета через NAT без нарушения целостности. UDP порты 500 и 4500.

15. Особенности NAT Traversal при использовании Authentication Header (AH) и комбинированного режима ESP + AH.

16. Изучение процесса передачи IPSec пакета с включенной технологией NAT Traversal по сети. Почему изменение номеров портов в UDP заголовке PAT-устройством, не приводит к нарушению целостности пакета при использовании ESP?

17. Автоматическая активация технологии NAT Traversal при обнаружении NAT устройства на пути следования трафика. Механизмы обнаружения. Изучение команды для ручной активации технологии NAT Traversal.

18. Детальное изучение механизма трансляции портов при прохождении ESP пакета через PAT устройство. Отдельные ассоциации безопасности для каждого порта. Branch роутеры как инициаторы соединения.

19. Перевод Static and Dynamic VTI на аутентификацию по сертификатам. Особенности RDN поля Organization Unit в личных сертификатах, выпускаемых для филиальных роутеров. Работа с картой сертификатов (certificate map).

20. Подведение итогов по теме Static and Dynamic VTI. Многочисленные преимущества и один существенный недостаток.



Урок 2. DMVPN, часть I


1. Технология Dynamic Multipoint Virtual Private Network (DMVPN), знакомство. Преимущества перед Static and Dynamic VTI.

2. Идеология DMVPN – автоматическое построение логической топологии Full-Mesh (связей каждый на каждого) при физической топологии Hub-and-Spoke. Детальное изучение принципов построения автоматических связей в DMVPN.

3. Протоколы, входящие в состав DMVPN – mGRE, NHRP, IPsec, IGP. Роль каждого протокола в технологии DMVPN.

4. Протокол разрешения шлюза Next Hop Resolution Protocol (NHRP), входящий в состав DMVPN. Назначение и принцип действия.

5. Практическая работа по развертыванию DMVPN на примере лабораторного проекта.

6. Конфигурация на Spoke. Встроенный механизм аутентификации NHRP и целесообразность его применения. Активация дополнительной защиты, встроенной в протокол GRE.

7. Продолжение конфигурации. Работа с командами «ip nhrp map multicast», «ip nhrp nhs», «ip nhrp registration no-unique». Описание и назначение каждой команды.

8. Команда «ip nhrp network-id» как идентификатор DMVPN сессии. Обзор ситуаций, при которых необходимо выполнять разграничение сессий.

9. Понятие Next-Hop Server и Next-Hop Client в топологии DMVPN. Роль NHS и NHC.

10. Конфигурация на Hub. Отличия от конфигурации на Spoke. Особенности команды «ip nhrp map multicast dynamic».

11. Point-to-Multipoint взаимодействие между Hub и Spoke. Модифицированный протокол multipoint GRE (mGRE), обеспечивающий возможность работы в многоадресной среде. Необходимость применения команды «tunnel mode GRE multipoint».

12. Знакомство с NHRP таблицей резолюций. NHRP таблица как основное средство диагностики. Детальное изучение вывода таблицы.

13. Изучение принципов работы механизма автоматического сопоставления физических IP адресов с адресами туннельных интерфейсов Spoke роутеров (основа работы DMVPN). Статический и динамический mapping.

14. Особенности IP адресации туннельных интерфейсов в сети DMVPN.

15. Обмен служебными сообщениями в сети DMVPN. Сообщения типа Registration Request/Reply, Resolution Request/Reply, Purge Request, Error Indication. Изучение каждого сообщения с помощью WireShark. Роль каждого из сообщений в механизме автоматического построения логической топологии Full-Mesh.

16. Настройка маршрутизации в DMVPN сети. Настройка статической и динамической маршрутизации. Особенности neighbor взаимодействия. Определение DR роутера с помощью настройки приоритетов «ip ospf priority».

17. Некорректная работа OSPF в Point-to-Multipoint среде. Объяснение причин возникновения проблем. Решение проблем с помощью настройки OSPF.

18. Краткая памятка по методам ускорения маршрутизации. Process Switching и Cisco Express Forwarding. Таблица FIB.

19. Проблема маршрутизации первого пакета с использованием медленного метода Process Switching в DMVPN сети. Incomplete запись в CEF.

20. Статические и динамические туннели. Ограничение времени жизни динамических туннелей как способ экономии ресурсов Spoke роутеров. Условия, при которых динамический туннель остается открытым.

21. Регулирование времени жизни динамических туннелей с помощью команды «ip nhrp holdtime». Рекомендации по установке оптимального значения таймера.

22. Регулировка частоты отправки сообщений типа NHRP Resolution Request. Целесообразность регулировки.

23. Ограничение количества отправок служебных NHRP сообщений в единицу времени для уменьшения сетевой нагрузки.

24. Возможна ли корректная работа DMVPN без активного хаб роутера? Проверка на практике.

25. Фазы DMVPN. Понятие фаз.

26. DMVPN фаза 2. Принципы работы, преимущества и недостатки. Необходимость отключения механизма предотвращения возникновения петель split-horizon при использовании EIGRP в сети DMVPN. Почему нет необходимости в отключении split-horizon в случае использования OSPF?

27. Особенности сохранения информации об оригинальном next-hop адресе в протоколе EIGRP. Причины, по которым необходимо запрещать изменение next-hop адреса в режиме второй фазы.

28. Сохранение оригинального next-hop адреса в протоколе OSPF. Команда «ip ospf network (broadcast / point-to-multipoint)».

29. DMVPN фаза 3. Огромные преимущества и полностью нивелированные недостатки фазы 2. Дополнительные команды «ip nhrp redirect» и «ip nhrp shortcut» в настройках туннельных интерфейсов. Особенности настройки протоколов OSPF и EIGRP.

30. Практическая работа по переводу сети DMVPN в режим третьей фазы. Сравнение принципов работы фазы 2 и фазы 3 на практических примерах. Фаза 3 как решение проблемы incomplete записи в CEF. Почему для фазы 3 требуется разрешить изменение next-hop адреса в маршрутах, проходящих через Hub роутер?

31. Новое сообщение NHRP Traffic Indication (NHRP Redirect), свойственное фазе 3. Роль сообщения.

32. DMVPN фаза 1 – передача данных между филиалами только через Hub роутер. Преимущества и недостатки фазы 1. Команды конфигурации и особенности взаимодействия с протоколами динамической маршрутизации.

33. Практическая реализация фазы 1. Сравнение принципов работы с фазой 2 и 3. Изучение сообщений, свойственных фазе 1 с помощью WireShark.

34. Сравнение и выбор наилучшей фазы для организации защищенных VPN соединений в корпоративной среде.

35. Протоколы динамической маршрутизации в DMVPN сети. Сложный выбор одного из трех протоколов - OSPF, EIGRP и BGP. А может IS-IS? И что насчет RIP?

36. Серьезные ограничения протокола OSPF при работе в DMVPN сети. Проблема при попытке разделения OSPF на регионы из-за multipoint интерфейсов.

37. Грамотное разделение OSPF на регионы в условиях существующих ограничений. Схема 1 и схема 2. Рекомендации по выбору схемы.

38. Бесконтрольное распространение LSU сообщений, отсутствие суммаризации на Hub и возможности фильтрации маршрутов на ABR роутере посредством prefix-list.

39. Максимальное количество Spoke роутеров, при котором всё еще возможно использовать OSPF в DMVPN сети, и количество Spoke роутеров, при котором использование OSPF недопустимо.

40. EIGRP как более оптимальный протокол для обеспечения динамической маршрутизации в DMVPN сети. Сравнение поведения OSPF и поведения EIGRP в случае добавления/удаления подсети, а также в случае полной потери одного из Spoke роутеров. Служебный трафик передаваемый по сети и его влияние на сходимость. Преимущества и недостатки EIGRP в контексте DMVPN сети.

41. BGP как наилучший вариант для обеспечения динамической маршрутизации в DMVPN сети. Десять причин, по которым стоит выбрать BGP и одна причина, по которой делать этого не стоит.

42. Выбор конкретного протокола динамической маршрутизации исходя из количества Spoke роутеров, входящих в состав DMVPN сети.

43. Суммаризация, как важная часть оптимизации сходимости любого протокола динамической маршрутизации. Начало практической работы по выполнению суммаризации в протоколах OSPF, EIGRP и BGP.

44. Суммаризация подсетей пользователей таким образом, чтобы подсети в каждом из филиалов суммаризировались в разные подсети по 16-той маске.

45. Влияние суммаризации на сходимость OSPF в DMVPN сети. В каких случаях происходит частичный, а в каких случаях полный запуск SPF алгоритма?

46. Суммаризация подсетей пользователей таким образом, чтобы подсети в каждом из филиалов суммаризировались в одну и ту же подсеть по 16-той маске. В чем преимущества этого типа суммаризации и почему её невозможно выполнить при использовании OSPF?

47. Суммаризация на Hub в EIGRP (DMVPN фаза 1 и 3). Преимущества суммаризации на Hub. Почему невозможно выполнить суммаризацию на Hub в режиме фазы 2?

48. Query сообщения в EIGRP и их влияние на производительность сети. Причины возникновения Query сообщений и их устранение. Stub роутеры.

49. Консолидация знаний в области суммаризации. Еще раз о типах суммаризации, которые можно применять при использовании OSPF, EIGRP и BGP. Зависимость типа суммаризации от используемой фазы DMVPN.

50. Перевод DMVPN на использование протокола динамической маршрутизации BGP (практическая работа).

51. Краткая памятка о принципах работы BGP. EBGP и IBGP связи. Особенности анонсирования сетей и установки neighbor взаимоотношений.

52. Реализация IBGP в DMVPN. Выбор номера автономной системы. Частные и публичные номера ASN.

53. Механизм защиты от петель маршрутизации в IBGP как причина некорректной работы. Решение проблемы с помощью технологии Route Reflector (RR).

54. Настройка функции «next-hop-self» на Hub роутере для обеспечения работы DMVPN в режиме фазы 3. Параметр «all».

55. Альтернативный способ настройки функции «next-hop-self» с помощью Route-Map. Объяснение принципов работы.

56. Суммаризация на Hub в BGP (DMVPN фаза 1 и 3). Использование команды «aggregate-address». Параметр «summary-only».

57. Невозможность автоматической настройки Hub роутера при подключении нового Spoke из-за особенностей BGP. Решение проблемы с помощью технологии BGP Dynamic Neighbors. Детальное изучение принципа работы технологии. Определение версии IOS, поддерживающей технологию с помощью Cisco Feature Navigator.

58. Преимущества и недостатки применения IBGP связей в DMVPN сети. IBGP без низлежащего IGP протокола.

59. Переход на использование EBGP связей, при которых каждый Spoke роутер находится в разных автономных системах. Почему нельзя использовать 16-ти битные номера автономных систем?

60. Особенности логики работы BGP при использовании EBGP связей. Требуется ли технология Route Reflector (RR)? Next-Hop адреса в маршрутах, проходящих через Hub.

61. Невозможность применения технологии BGP Dynamic Neighbors в рассмотренной конфигурации. Переход к использованию EBGP связей, при которых Spoke роутеры находятся в одной и той же автономной системе.

62. Игнорирование атрибута as-path в полученных маршрутах. Использование параметра «allowas-in» для отключения механизма защиты от петель маршрутизации.

63. Подведение итогов. Рекомендации по конечном выбору фазы DMVPN, метода суммаризации и протокола динамической маршрутизации для организации защищенных VPN соединений в корпоративной среде.



Урок 3. DMVPN, часть II


1. Необходимость организации отказоустойчивости NHS сервера. Эмуляция отказа в обслуживании HUB-роутера и отслеживание последствий.

2. Организация отказоустойчивости HUB-роутера путем избыточности по схеме «Dual Hub Single Cloud». Модификация сети.

3. Особенности совместной работы протоколов OSPF и DMVPN в новой конфигурации. Переход от маршрутов BGP к маршрутам OSPF без ридистрибуции. Выбор Primary и Backup роутера в OSPF сети головного офиса.

4. Увеличение сходимости DMVPN сети. Настройка BGP таймеров.

5. Необходимость применения команды «ip nhrp registration timeout» в DMVPN сети с двумя HUB-роутерами. Объяснение принципов работы команды. Поведение сети при отсутствии команды. Рекомендации по выбору значения таймеров.

6. Проблема ассиметричной маршрутизации в DMVPN сети. Выбор Primary и Backup HUB-роутера во внешней DMVPN сети. Что будет, если не предпринять соответствующих мер?

7. Использование атрибута MED и механизма Route-Map для расстановки приоритетов между двумя HUB-роутерами в протоколе BGP.

8. Настройка приоритетности HUB-роутера при использовании EIGRP во внешней DMVPN сети. Вспоминаем понятия «successor» и «feasible successor». Почему EIGRP не учитывает лишнее транзитное устройство в топологии?

9. Работа с новым механизмом «offset-list» для изменения характеристик маршрута EIGRP. Объяснение принципов работы «offset-list».

10. Альтернативный способ изменения характеристик маршрута в EIGRP с помощью параметра «bandwidth», пример использования параметра.

11. Особенности настройки приоритетности HUB-роутера при использовании OSPF во внешней DMVPN сети. Работа с командой «neighbor cost».

12. Ручная настройка маршрутов в DMVPN. Как сделать так, чтобы трафик до HUB-роутера всегда проходил через один из spoke роутеров? Пример настройки.

13. Альтернативная схема организации отказоустойчивости «Dual Hub Dual Cloud» с использованием двух mGRE интерфейсов на Spoke. Сравнение с конфигурацией «Dual Hub Single Cloud». Преимущества и недостатки обоих конфигураций.

14. Практическая работа по развертываю конфигурации «Dual Hub Dual Cloud» - «два хаба, два облака».

15. Детальное объяснение предназначения характеристики «network-id». Почему в конфигурации «Dual Hub Dual Cloud», «network-id» должен различаться на разных tunnel интерфейсах?

16. Способ выбора приоритетного HUB-роутера при наличии двух tunnel интерфейсов на одном и том же spoke. Демонстрация на примере OSPF.

17. Защита DMVPN с помощью IPSec. Практическая работа по настройке IPSec в DMVPN сети с аутентификацией по предварительно-распределенному секрету.

18. Особенности транспортного режима в DMVPN сети. Режим IPSec over GRE.

19. Общие Security Associations второй фазы для разных туннельных интерфейсов. Ранее неизученный параметр «shared» в команде «tunnel protection».

20. Детальное объяснение принципов работы параметра «shared» и дублированных Security Associations. Обзор ситуаций, в которых используется этот механизм.

21. Тестирование отказоустойчивости при активированном IPsec. Ошибка неверного SPI номера при восстановлении одного из Hub-роутеров после сбоя. Устранение неисправности с помощью технологии Dead Peer Detection (DPD). Команда «keepalive».

22. Взаимодействие DMVPN с различными типами NAT. Особенности поведения DMVPN роутеров, закрытых за NAT при использовании старых версий Cisco IOS. Поведение на новых версиях IOS.

23. Практическая работа по конфигурации PAT (Port Address Translation). Будет ли DMVPN работать с филиальным роутером, закрытым за PAT при отсутствии IPSec?

24. NBMA и Claimed IP адреса в NHRP таблице. Как роутер определяет, что на пути прохождения пакета встречается PAT?

25. Тестирование конфигурации, при которой один из филиальных роутеров закрыт за PAT. Мешает ли PAT прямому взаимодействию филиальных роутеров?

26. Роль сообщения «NHRP Traffic Indication» во взаимодействии двух spoke роутеров. Одновременное инициирование соединения обоими spoke роутерами для обеспечения возможности прохождения пакетов через PAT. Использовании WireShark для изучения поведения роутеров в ситуации, когда один из них закрыт за PAT.

27. Роль механизма Dead Peer Detection (DPD) при использовании PAT. Почему важно держать трансляции открытыми?

28. Ситуация, при которой два разных филиала закрыты за двумя разными PAT. Сохранится ли прямое Spoke-to-Spoke взаимодействие?

29. Вспоминаем принципы работы Static и Dynamic NAT. Практическая работа по конфигурации Dynamic NAT перед роутером второго филиала. Требуется ли применение IPSec в случае использования Static/Dynamic NAT?

30. Влияние различных типов NAT на Spoke-to-Spoke взаимодействие если:

а) два филиальных роутера закрыты за двумя разными PAT;
б) один филиальный роутер закрыт за PAT, а другой филиальный роутер имеет публичный IP адрес;
в) один филиальный роутер закрыт за PAT, а другой филиальный роутер закрыт за Static/Dynamic NAT;
г) два разных филиала закрыты за двумя разными Dynamic NAT;
д) два разных филиала закрыты за одним и тем же PAT;
е) два разных филиала закрыты за одним и тем же Dynamic NAT;
ж) на пути прохождения трафика встречается не один, а два PAT.

31. Подведение итогов. Краткое сравнение ранее изученных технологий для построения L3 Site-to-Site VPN. Выбор наилучшей технологии.



Урок 4. Объединение сетей


1. Реализация Site-to-Site VPN соединения между головным офисом и филиалом на примере большой корпоративной сети. Именно так, как Вы будите делать это в рамках реального предприятия.

2. Выбор типа подключения к интернет для UNetLab головного офиса. NAT или Bridge?

3. Подготовка к развертыванию DMVPN в головном офисе. Почему архитектуры Dual Cloud и Single Cloud не подходят при Dual-Homed подключении к провайдеру (два CE, один ISP)? Альтернативная архитектура для реализации отказоустойчивости DMVPN.

4. Конфигурация IPSec на устройствах корпоративной сети. Рекомендации по выбору криптографических алгоритмов для первой и второй фазы в зависимости от возможностей и задач реального предприятия. Выбор времени жизни Security Associations первой и второй фазы. Рациональность применения технологии Perfect Forward Secrecy.

5. Настройках DMVPN на пограничных роутерах головной сети и филиала. Особенности команды «ip nhrp registration no-unique».

6. Как трафик из филиала доставить к пограничному роутеру головной сети посредством реального Интернет? Проброс UDP портов 500 и 4500 на внешнем роутере. Изучение всей цепочки взаимодействия: «пограничный роутер филиала->реальный интернет->внешний роутер->внутренний роутер UNetLab».

7. Настройка внутреннего ISP роутера для реализации отказоустойчивости DMVPN вопреки Dual-Homed подключению (два CE, один ISP). Работа с Event Manager Applet, объяснение логики и принципов работы.

8. Настройка протокола динамической маршрутизации BGP на пограничных роутерах головного офиса и филиала.

9. Как передать маршруты из OSPF в BGP и наоборот? Перелинковка подсетей головного офиса и филиала без редистрибуции. Преимущества и недостатки изученного способа.

10. Перелинковка подсетей головного офиса и филиала посредством редистрибуции. Преимущества и недостатки способа передачи маршрутов между филиалом и головным офисом с использованием редистрибуции.

11. Суммаризация маршрутов и фильтрация нежелательных подсетей при их передаче между головным офисом и филиалом. Два способа фильтрации маршрутов. Необходимость фильтрации.

12. Тестирование отказоустойчивости. Рабочие станции филиала не теряют доступ к серверам головного офиса при отказе в обслуживании одного из Edge роутеров.

13. Развертывание инфраструктуры PKI в большой корпоративной сети. Подготовка CA роутера на Cisco IOS и настройка NTP. Работа с механизмами защиты «access-group serve-only» и «access-group peer».

14. Конфигурация сервера центра сертификации Certificate Authority (CA). Краткая памятка о принципах работы. Рекомендации по выбору длины hash алгоритма, времени жизни сертификатов и CRL файла для целей аутентификации VPN шлюзов с учетом задач современных предприятий.

15. Файл Certificate Revocation List (CRL) в корпоративной сети предприятия. Где он должен находиться? Реализуем систему проверки сертификатов на факт отзыва.

16. Настройка trustpoint и выпуск сертификатов для пограничных роутеров головного офиса и филиала (VPN шлюзов). Стоит ли отключать кеширование CRL фала?

17. Перевод IPSec на аутентификацию по сертификатам. Решение проблем с разрешением доменных имен при обращении к CRL Distribution Point.

18. Рекомендации по организации DCHP сервера в сети филиала. Стоит ли для филиала задействовать DHCP сервер, находящийся в головном офисе посредством технологии DHCP Relay Agent?

19. Тест-драйв построенной сети. Подключение Windows 7 к сети филиала и обращение к веб-серверу, который находится в головной сети по частному, не маршрутизируемому IP адресу.

20. Проблема MTU в IPsec. Размер сегмента MSS и флаг Don’t Fragment (DF). Почему филиальному компьютеру с Windows 7 удается загрузить изображение с веб-сервера головного офиса без применения дополнительных мер?

21. Настройка функции Archive на устройствах филиала и передача startup-configs на сервер, находящийся в головном офисе посредством построенного туннеля.

22. Подведение итогов. Технологии, протоколы и механизмы, изучаемые в следующих модулях.



Модуль IV. Remote Access VPNs


Краткое описание модуля:

В отличии от предыдущих модулей, которые были больше теоретические, чем практические, этот модуль будет иметь исключительно практический уклон. В этот раз, мы не будем так глубоко погружаться в принципы работы технологий на уровне стандартов RFC, а уделим внимание именно практической реализации изучаемых в этом модуле технологий, их практическому применению в корпоративной сети. Конфигурация, конфигурация и еще раз конфигурация!

В этом модуле, мы будем изучать Remote Access VPN. Основные технологии для организации подобных соединений, носят названия Cisco Easy и FlexVPN. Это технологии, при которых на компьютер или смартфон удаленных сотрудников устанавливается специализированное ПО, позволяющее им подключаться к корпоративной сети из любой точки планеты. В отличии от простого RDP, когда удаленное подключение как правило осуществляется только к одному конкретному серверу, и при этом оно не защищено, технологии Remote Access, позволяют сотрудникам работающим дома или в кафе, получить либо частичный, либо полный доступ как к головной, так и к филиальной сети, при этом весь их обмен будет зашифрован.

Аутентификация и, что важнее, авторизация пользователей будет осуществляться посредством Radius сервера, развернутого на Windows Server. Когда удаленный сотрудник, посредством специализированного приложения, будет подключаться к корпоративной сети, Edge роутер будет посылать запрос на Radius сервер. Radius сервер вернет Edge роутеру информацию об уровне привилегии пользователя. Кому-то будет разрешен доступ только к серверам, кому-то только в определенные VLAN, кому-то к филиалу, а кому-то будет предоставлен полный, не ограниченный доступ. При этом Radius сервер будет вести аудит (Accounting). Администратор всегда будет знать кто, когда и к каким сетевым ресурсам получал доступ. Мы будем создавать нескольких пользователей и реализовывать все описанное выше на практике.


Урок 1. Cisco Easy VPN (EzVPN)


1. Введение в Remote Access VPN технологии. Отличия от Site-to-Site VPN технологий. Быстрое временное соединение удаленных сотрудников с корпоративной сетью из любой точки планеты посредством Интернет.

2. Возможности Remote Access VPN технологий для подключения удаленных сотрудников к сети предприятия. Обеспечение конфиденциальности, целостности и защиты от воспроизведения данных. Необходимость и удобство применения Remote Access VPN в корпоративных сетях предприятий.

3. Две группы Remote Access VPN технологий - IPSec и SSL.

4. Технология EasyVPN (EzVPN) на базе IPSec. Особенности и рекомендации по применению. Подготовка корпоративной сети к внедрению EasyVPN.

5. Практическая работа по развертыванию EasyVPN. Начало конфигурации. AAA модель (Authentication, Authorization, Accounting) как механизм, позволяющий для различных служб и технологий устанавливать разные источники получения сведений о пользователе и его правах.

6. Аутентификация и авторизация AAA модели. Фундаментальные различия между аутентификацией и авторизацией. Команды «aaa authentication login» и «aaa authorization network».

7. Настройка политик первой и второй фазы IKE.

8. Создание конфигурационной группы EasyVPN (client-configuration group), позволяющей передавать сведения об IP адресе, DNS сервере и списке маршрутов со стороны VPN шлюза (Edge роутера) на сторону удаленного клиента. Роль опции «save-password» в client-configuration group.

9. Продолжение настройки серверной части EasyVPN. Создание ISAKMP и IPSec профилей, шаблона VTI интерфейса, пула IP адресов и access листов. Команда «client configuration address respond». Краткая памятка о работе Virtual Access интерфейсов. Объяснение логики взаимодействия профилей и команд EasyVPN.

10. Настройка клиентской части. Обзор программных клиентов, подходящих для EasyVPN (десктопные и мобильные платформы). Общий признак VPN клиентов, совместимых с EasyVPN. Установка VPN клиента «Cisco VPN Client».

11. Инфраструктура, необходимая для выполнения практической работы по EasyVPN. Требования по статическим и динамическим IP адресам со стороны головного офиса и компьютера удаленного сотрудника. Подключение смартфона в режиме модема к ноутбуку, как решение по эмуляции территориально-распределенной Remote Access инфраструктуры. Управление метрикой маршрутов на интерфейсах Windows. Альтернативное решение для единой архитектуры.

12. Настройка программного VPN клиента «Cisco VPN Client» на компьютере удаленного сотрудника. Создание и настройка нового подключения. Подключение к VPN и просмотр таблицы маршрутизации Windows. Тестирование подключения.

13. Что такое раздельное туннелирование (split tunneling)? Сценарии использования раздельного туннелирования. Сценарии, в которых может потребоваться отключение сплит-туннелирования. Включение и отключение сплит-туннелирования, демонстрация различий в логике работы. Обеспечение полного функционирования системы при отсутствии сплит-туннелирования.

14. Диагностика EasyVPN. Работа с командами диагностики. Как определить неисправность? Интеллектуальная работа с debug. Почему debug нужно начинать именно со второй фазы IKE?

15. Отдыхаем от практики в теоретической части урока. Внутренние алгоритмы работы EasyVPN. Полуторная фаза IKE (фаза 1.5). Extended Authentication (Xauth) и Mode Config.

16. Дополнительная проверка подлинности пользователя с помощью Xauth, работающей на полуторной фазе IKE. Разница между паролем для client-configuration group и паролем пользователя для Xauth.

17. Конфигурационный режим Mode Config, работающей на той же фазе IKE 1.5. Передача конфигурационных параметров от Edge роутера к VPN клиенту c помощью Mode Config.

18. Этапы установки соединения EasyVPN. Автоматический выбор Main и Aggressive Mode в зависимости от метода аутентификации.

19. Продолжение практической работы. Разграничение прав доступа. Назначение разных сетевых привилегий для разных групп пользователей (менеджеры не будут иметь доступ к тем же серверам, к которым имеют доступ бухгалтеры). Создание нескольких пользователей и нескольких client-configuration групп.

20. Недостатки созданной конфигурации и уязвимости безопасности. Применение механизма group-lock для повышения безопасности сетевой инфраструктуры. Объяснение принципов работы механизма group-lock.

21. Установка на рабочую станцию удаленного сотрудника альтернативного VPN клиента - Shrew Soft VPN Client. Особенности настройки и отличия от Cisco VPN Сlient. Перенастройка политики второй фазы IKE.

22. Соединение установлено, но трафик не передается. Общие рекомендации по выявлению и устранению неисправностей в Remote Access VPN технологиях, базированных на IPSec. Подведение итогов и переход к изучению FlexVPN.



Урок 2. FlexVPN. Введение. Аутентификация и авторизация в локальной базе данных методом EAP-AnyConnect.


1. Flexible VPN (FlexVPN) как система, объединяющая все ранее изученные технологии – EasyVPN, DMVPN, Static and Dynamic VTI. Неоспоримые преимущества FlexVPN над другими технологиями для построения как Site-to-Site, так и Remote Access туннелей.

2. Обзор технологии FlexVPN. Роутеры, а также версии IOS и IOS-XE, поддерживающие FlexVPN. Ограничения FlexVPN в некоторых релизах IOS. Обратная совместимость с IKEv1 и мультивендорность.

3. FlexVPN на базе IPSec и SSL. Пара слов о поддержке SSL на роутерах. VPN клиенты, способные осуществлять соединение с использованием AnyConnect.

4. IKEv2 как неотъемлемая часть FlexVPN. Отличия IKEv2 от IKEv1. Понятия IKE_SA_INIT, Parent SA, Child SA, IKE Auth. Процесс CREATE CHILD SA. Что случилось с полуторной фазой IKE, и где теперь осуществляются процессы Xauth и Mode Config?

5. Влияние FlexVPN на обмен IKEv2. Изучение общего обмена IKEv2 в режиме Remote Access. От первичных согласований до построения туннеля.

6. Изучение конфигурационного обмена в IKEv2 (аналог Mode Config в IKEv1). Как именно Edge роутер передает сведения о маршрутах, IP адресе, DNS и WINS серверах на VPN клиент? Роль informational сообщений.

7. Начало практической работы по развертыванию FlexVPN Remote Access на Edge роутере предприятия. Переход на использование нового образа IOS для эмулятора QEMU, поддерживающего IKEv2 и FlexVPN. Замена Edge роутера на новый и реконфигурирование.

8. Начало настройки FlexVPN. Создание trustpoint и получение сертификатов. Зачем Edge роутеру нужен сертификат, если аутентификация и авторизация будет осуществляться в локальной базе данных? Требования к значению поля CN для обеспечения работоспособности FlexVPN. Рекомендации по использованию механизма кэширования CRL файла.

9. Настройка Authorization Policy (аналог Client Configuration Group из EasyVPN). Создание пула IP адресов (адреса, которые будут присваиваться VPN клиентам) и списка защищенных IPv4 подсетей (маршрутов до внутренних серверов предприятия, которые будут вброшены в таблицу маршрутизации VPN клиентов).

10. Создание политик IKEv2 первой и второй фазы. Отличия в конфигурации от IKE первой версии. Работа с proposal.

11. Создание IKEv2 профиля – сердца FlexVPN. Объяснение назначение команды «match identity remote key id». Особенности identity во FlexVPN. Как и когда передается identity.

12. Ассиметричная аутентификация в IKEv2. Идеология, при которой клиент аутентифицируется на VPN шлюзе одним методом, а VPN шлюз аутентифицируется на клиенте совершенно другим методом. Назначение команд «authentication local» и «authentication remote». Методы local и remote аутентификации: RSA-SIG, ECDSA-SIG, EAP, AnyConnect-EAP. Особенности local аутентификации в Remote Access FlexVPN имплементации. Выбор конкретного метода для local и remote аутентификации.

13. Продолжение конфигурации FlexVPN. Создание IPSec профиля и определение типа поведения AAA модели. Создание пользователя. Назначение и особенности функции HTTP URL Based Lookup. Завершение конфигурации серверной части FlexVPN.

14. Подготовка клиентской части. Установка клиента Cisco AnyConnect. Почему Cisco VPN Client не подойдет для FlexVPN?

15. Работа с AnyConnect Profile Editor для редактирования профилей клиента AnyConnect. Настройка .xml профиля для IPSec подключения к корпоративной сети. Рекомендации по повышению удобства работы с профилями. Осуществление подключения.

16. Два основных типа ошибки, возникающих при подключении к VPN. Диагностика по сообщениям об ошибках клиента Cisco AnyConnect. Диагностика FlexVPN с использованием debug.

17. Проверка подключения. Просмотр полученных VPN клиентом маршрутов с помощью опции «route details» доступной в Cisco AnyConnect и таблицы маршрутизации Windows. Проверка наличия доступа к серверу корпоративной сети с помощью команд «ping» и «tracert». Почему текущему пользователю был выдан маршрут именно до этой подсети головного офиса?

18. Диагностика FlexVPN. Использование команд «show crypto ikev2 sa», «show crypto ikev2 sa detailed» «show crypto session», «show derived-config interface virtual-access 1» и других. Изучение вывода команд.

19. Проблема подключения к VPN при активной RDP сессии. Метод устранения ограничения, доступный в IOS-XE. Параметр «Windows VPN Establishment». Загрузка .xml профиля в память Edge роутера и подключение его к IKEv2. Методы обхода ограничения при использовании классического IOS.

20. Устранение предупреждения о подключении к недоверенному VPN шлюзу, возникающее на клиенте. Причины появления предупреждения. Получение сертификата у Certificate Server и добавление сертификата CA в «доверенные корневые центры сертификации Windows». Отслеживание всей цепочки доверия (VPN клиент -> Edge роутер -> CA сервер). Создание MMC консоли с оснасткой для быстрого доступа к сертификатам. Повышение безопасности, путем полного запрета подключения к недоверенным серверам.

21. Подведение итогов урока и переход к индивидуальной авторизации пользователей.



Урок 3. FlexVPN. Индивидуальная (Per User) авторизация по X.509 сертификату в локальной базе данных методом EAP-AnyConnect.


1. Взаимодействие механизма FlexVPN с AAA моделью. Связь листа и метода. Подробное объяснение команд «aaa authentication login <list> local | group radius», «aaa authorization network <list> local | group radius» и других. Как FlexVPN определяет, что для поиска сведений о пользователе и его правах, следует использовать локальную базу данных или внешний Radius сервер? Процесс установки взаимосвязи между политикой авторизации и конкретным пользователем.

2. Переход от общей аутентификации и авторизации пользователей, к индивидуальной с использованием логина, когда каждой группе пользователей предоставляются разные сетевые привилегии. Создание нескольких политик авторизации для разных групп пользователей. Модификация конфигурации.

3. Новый механизм Name Mangler (избиратель). Роль Name Mangler в механизме авторизации. Prefix | Delimiter | Suffix - детальное объяснение принципов работы избирателя, настройка для извлечения имени группы из общего логина, передающегося посредством протокола EAP-AnyConnect.

4. Тестирование подключения. Удаленные VPN пользователи из разных групп получают разные сетевые привилегии.

5. Пошаговое изучение всей цепочки взаимодействия (ввод логина пользователем -> Name Mangler -> IKEv2 профиль FlexVPN -> AAA модель -> локальная база данных -> подключение политики авторизации для пользователя (назначение сетевых привилегий). Два сценария.

6. Политики авторизации присваиваются пользователям на основании принадлежности к группе. Можно ли сделать так, чтобы политики выдавались индивидуально для каждого пользователя? Работа с привилегированными пользователями. Аспект безопасности.

7. Добавление второго фактора аутентификации. Применение X.509-го сертификата для аутентификации и авторизации пользователей совместно с учетными данными (логином и паролем).

8. Служебное слово «cert-request» в команде «authentication remote anyconnect-eap aggregate cert-request». EAP-AnyConnect как уникальный протокол, позволяющий осуществлять идентификацию пользователей одновременно по логину-паролю и сертификату.

9. Выпуск сертификата для компьютера удаленного пользователя. Работа с программой XCA (X Certificate and Key Management) для формирования запроса на получение сертификата в среде Windows. Формирование запроса на сертификат. Заполнение RDNs полей (CN, O, OU, C) для будущего сертификата. Работа с адресом CDP.

10. Получение результирующего запроса на сертификат и запрос сертификата у Certificate Server. Соединение итогового сертификата с закрытым ключом, работа с .p12 контейнером. Импорт сертификата в хранилище Windows.

11. Проверка подключения. Будет ли установлено подключение, если пользователь обладает логином и паролем, но не обладает сертификатом?

12. Влияние значение полей сертификата на сетевые привилегии (права доступа к сети), получаемые пользователем. На чем основывается разрешение на подключение к сети? Изучение цепочки доверия: «сертификат пользователя -> trustpoint». Роль логина и пароля.



Урок 4. FlexVPN. Токены авторизации (Rutoken, eToken, JaCarta etc.). Авторизация с использованием токена.


1. Повышение безопасности сетевой инфраструктуры путем переноса закрытого ключа пользователя на Token. Пользователь не сможет подключиться к VPN не владея токеном.

2. Роль токенов авторизации. Аутентификация и электронно-цифровая подпись (ЭЦП).

3. Можно ли из обычного USB-Flash накопителя сделать токен? Преимущества настоящего токена над USB-Flash.

4. Способ организации защищенной памяти токена, роль ПИН-кода. Маскировка закрытого ключа в памяти токена, функция XOR. Неизвлекаемость закрытого ключа и атака полного перебора (brute force).

5. Две классификации токенов – простые и функциональные ключевые носители (ФКН), их отличия. Криптоядро токена. Поддержка алгоритмов RSA, DSA и ГОСТ со стороны токена. Преимущества токенов, аппаратно-поддерживающих работу с цифровыми сертификатами.

6. Сертифицированные и несертифицированные токены. Сертификаты ФСБ и ФСТЭК. Подписи КЭП и НЭП. Сценарии применения сертифицированных и несертифицированных токенов, подводные камни и последствия нарушения конфиденциальности.

7. Рынок ключевых носителей (токенов) и их особенности. Рутокен ЭЦП Touch с емкостным сенсором – забытый в компьютере токен больше не представляет угрозу безопасности. Удобный для пользователей смартфонов Рутокен ЭЦП Bluetooth. Токен в формате MicroSD карты JaCarta MicroSD Token. Совмещенный функционал классического Flash накопителя и токена в Рутокен ЭЦП Flash. Экраны доверия или «трастскрины» - токены с собственным экраном, их назначение и сценарии применения.

8. Смарт-карты. Главный недостаток смарт-карт. Отличия смарт-карт от токенов. Универсальные смарт-карты, обладающие радиочастотной меткой для доступа к помещениям, чипом банковской карты, набором OTP паролей и функциональностью токена для работы с инфраструктурой PKI.

9. Отдельный подвид токенов – токены OTP (One Time Password). Сценарии применения OTP токенов и одноразовых паролей. Алгоритмы генерирования одноразовых паролей при использовании OTP токенов. Сравнение надежности метода передачи одноразового пароля по средством СМС и метода генерации пароля OTP токеном. Недостатки OTP и риск фишинга.

10. Современный аналог OTP для двухфакторной аутентификации – токен U2F. Отличия U2F от классических токенов JaCarta PKI и eToken Pro. U2F без привязки к PKI для аутентификации на веб-ресурсах. Как именно осуществляется аутентификация на ресурсе с использованием U2F токена? Работа с парой открытый/закрытый ключ, сообщения challenge и response.

11. Выбор конкретного типа токена для задач VPN Remote Access. Сравнение всех типов токенов и смарт-карт.

12. Практическая работа по переносу закрытого ключа сертификата Windows пользователя на внешний ключевой носитель. Создание токена из обычного USB-Flash накопителя.

13. Средства криптографической защиты информации (СКЗИ). CryptoPro CSP и криптопровайдеры. Почему CryptoPro не является криптопровайдером? Роль криптопровайдеров для осуществления VPN подключений. Встроенные криптопровайдеры Windows. Можно ли использовать токен без криптопровайдера, и если нет, то почему?

14. Установка CryptoPro CSP на Windows машину удаленного VPN клиента. Выбор требуемых компонентов.

15. Использование CryptoPro CSP для создания контейнера закрытого ключа и записи его на USB-Flash накопитель. Принципиальная разница в алгоритмах CryptoPro CSP при записи закрытого ключа на USB-Flash накопитель и при записи на аппаратный токен. Шифрование ассиметричного закрытого ключа в криптоконтейнере симметричным ключом AES, выводимым из PIN-кода.

16. Осуществление VPN подключения при закрытом ключе, находящимся на внешнем ключевом носителе. Симуляция хищения ноутбука удаленного сотрудника, при котором злоумышленник владеет учетными данными для подключения к VPN, но не владеет USB-Flash накопителем с закрытым ключом.

17. Опция «сохранить PIN-код ключевого носителя в системе», доступная в CryptoPro CSP. Негативные последствия активации опции. Запрет сохранения пользователем PIN-кода, через редактирование групповых политик Windows.

18. Будет ли система работать без установленного CryptoPro? Аналоги CryptoPro: «Signal-COM CSP, ViPNet CSP, Континент-АП, LISSI-CSP». Особенности бесплатного ViPNet CSP. Рекомендации по выбору альтернативных СКЗИ.

19. Недостатки криптосистемы, основанной на использовании USB-Flash накопителя в качестве ключевого носителя.

20. Переход на использование аппаратного токена на примере eToken Pro. Установка драйверов и системы управления ключевыми носителями SafeNet Authentication Client.

21. Знакомство с интерфейсом SafeNet Authentication Client, просмотр параметров токена. Особенности «пароля администратора» на токенах разных производителей.

22. Криптопровайдер «eToken Base Cryptographic Provider» входящий в состав SafeNet. Его роль и назначение. Способ просмотра всех криптопровайдеров, установленных в Windows.

23. Импорт закрытого ключа и сертификата удаленного сотрудника в память eToken Pro. Разница между PIN-кодом для доступа к контейнеру закрытого ключа (при использовании USB-Flash накопителя) и PIN-кодом для доступа к защищенной памяти аппаратного токена.

24. Проверка криптосистемы и осуществление VPN подключения. Попытка подключения с извлеченным токеном.

25. Является ли eToken Pro функциональным ключевым носителем (ФКН)? Как определить, что операции цифровой подписи выполняются на токене, то есть без копирования закрытого ключа в ОЗУ? Нюансы SafeNet Authentication Client.

26. Запись закрытого ключа на аппаратный токен средствами CryptoPro CSP. Ограничения CryptoPro при работе с функциональными ключевыми носителями (ФКН).

27. Сравнение CryptoPro CSP и SafeNet Authentication Client. Выбор системы управления ключевыми носителями для корпоративной сети и Remote Access VPN подключений.



Урок 5. FlexVPN. Авторизация в локальной базе данных методом RSA-SIG. VPN клиент Windows.


1. Аутентификация методом RSA-SIGNATURE как способ обхода вендоро-зависимости. Применение штатного VPN клиента Windows вместо Cisco AnyConnect.

2. Идеология раздельного сетевого доступа (разграничение привилегий) на основании значений RDNs полей личных сертификатов пользователей. Отличия от раздельного сетевого доступа с использованием логина и пароля в методе EAP-AnyConnect.

3. Требования к сертификатам Windows машины и VPN шлюза для аутентификации методом RSA-SIGNATURE. Поле «Extendible Key Usage (EKU)» сертификата.

4. Перевыпуск личного сертификата для Edge роутера таким образом, чтобы он имел EKU поле со значением TLS Server Authentication. Настройка trustpoint. Отличия поля «Certificate Usage» от «Extendible Key Usage».

5. Выпуск двух новых сертификатов (Дмитрий и Светлана) для удаленной Windows машины, соответствующих требованиям аутентификации RSA-SIGNATURE. Использование XCA (X Certificate and Key Management). Особое значение RDNs полей. Настройка поля «Extended Key Usage» для личных сертификатов удаленных VPN пользователей.

6. Куда поместить итоговые сертификаты – в хранилище «локальный компьютер» или «текущий пользователь?». Отдельные требования для клиента Cisco AnyConnect и встроенного VPN клиента Windows.

7. Настройка серверной части, модификация конфигурации Edge роутера. Создание карты сертификатов (certificate-map). Срабатывание карты на основании значения поля «organization» из присланного VPN клиентом сертификата.

8. Настройка избирателя (Name Mangler) на извлечение значения поля «Organization Unit». Изменение метода remote аутентификации с EAP-AnyConnect на RSA-SIGNATURE. Условия срабатывания профиля (match statements).

9. Подготовка клиента Cisco AnyConnect. Настройка .XML профиля с помощью AnyConnect Profile Editor. Использование механизма Certificate Matching для выбора конкретного сертификата из хранилища Windows.

10. Тестирование подключения с использованием клиента AnyConnect. Проверка получаемых сетевых привилегий - клиент с сертификатом «Дмитрия» не имеет доступ к тем же серверам, к которым имеет клиент с сертификатом «Светлана».

11. Каким образом удалось реализовать систему раздельных привилегий для разных пользователей на основании RDNs полей сертификатов? Детальное изучение всей цепочки взаимодействия: «сертификат пользователя - > trustpoint -> Name Mangler -> IKEv2 профиль -> AAA модель -> конкретная политика авторизации для конкретного пользователя». Роль карты сертификатов (certificate-map).

12. Возможность модификации Name Mangler для перевода системы с групповой на индивидуальную авторизацию.

13. Настройка встроенного VPN клиента Windows на подключение к VPN с использованием метода RSA-SIGNATURE. Корректировка политик первой и второй фазы IKEv2 на совместимость с VPN клиентом Windows. Работа с debug.

14. Проблема некорректной работы раздельного туннелирования (split tunneling). Политики авторизации передающие маршруты более не эффективны для Windows VPN клиента. Решение проблемы с помощью механизма DHCP Relay Agent и роли DHCP на Windows Server.

15. Сообщения DHCP INFORM и DHCP ACKNOWLEDGE как транспорт для передачи маршрутной информации от DHCP сервера до VPN клиента. DHCP опции 249 и 121 (бесклассовые статические маршруты).

16. Работа с пулами IP адресов на Edge роутере. Выстраивание логики взаимодействия, при которой DHCP сервер для разных клиентов будет выдавать разные списки маршрутов (разграничение сетевых привилегий при использовании DHCP сервера).

17. Добавление роли DHCP на Windows Server. Настройка областей DHCP сервера для разных групп пользователей. Создание списка маршрутов (списка защищенных IPv4 подсетей) для каждой из областей. Почему DHCP сервер на Cisco IOS не подходит для передачи маршрутов?

18. Детальное объяснение всей цепочки взаимодействия. Почему для пользователя с сертификатом «Светланы», DHCP сервер подключает область №1 и выдает соответствующие маршруты, а для пользователя с сертификатом «Дмитрия», DHCP сервер подключает область №2 и выдает совершенно другие маршруты, а следовательно, и совсем другие сетевые привилегии?

19. Тестирование подключения с использованием встроенного VPN клиента Windows.

20. Недостатки аутентификации и авторизации с использованием локальной базы данных IOS. Подведение итогов и переход к использованию Radius сервера.



Урок 6. FlexVPN. Аутентификация и авторизация с использованием RADIUS сервера.


1. Внешний AAA сервер - единый контроль-центр учетных данных пользователей для всех сетевых технологий, которые требуют аутентификацию и авторизацию.

2. Целесообразность применения внешнего AAA сервера в малых и больших сетях. Роль AAA сервера. Упрощение процессов, связанных с предоставлением тех или иных прав доступа к тем или иным сетевым ресурсам.

3. Протоколы AAA серверов – RADIUS, TACACS+ и DIAMETR. Сходства и различия протоколов, сценарии применения.

4. Три пути реализации задачи по единому контролю учетных данных пользователей Remote Access VPN - Cisco Secure ACS, Cisco ISE, Windows Server NPS. Что выберем мы?

5. Архитектура RADIUS – суппликант, аутентификатор и сервер аутентификации. Изучение принципов взаимодействия трех устройств.

6. Сообщения Access-Accept и Access-Reject в протоколе RADIUS.

7. Начало практической работы по развертыванию инфраструктуры AAA сервера. Добавление роли NPS на Windows Server.

8. Что такое NPS (Network Policy Server), его отличие от NAP (Network Access Protection). Принципы работы NPS и NAP.

9. Настройка NPS. Создание RADIUS-клиента. Создание пользователей в каталоге Active Directory. Удаление/создание контейнеров. Обход ограничений на длину пароля пользователя с помощью редактора групповых политик Windows Server.

10. Создание «политик запросов на подключение» в NPS сервере. Настройка условий срабатывания политик. Установка параметров проверки подлинности. Несколько политик для разных групп пользователей, предоставляющие разные сетевые привилегии.

11. Работа с атрибутами Cisco AV-Pair. Передача сетевых привилегий и иных параметров удаленному VPN клиенту с помощью AAA атрибутов.

12. Разница между политиками авторизации Edge роутера и политиками авторизации NPS сервера. Логика взаимодействия: «RADIUS -> AAA команда на выдачу сетевых привилегий -> Edge роутер - > VPN клиент».

13. Другие Cisco атрибуты для RADIUS сервера.

14. Настройка Edge роутера (аутентификатора) на взаимодействие с RADIUS сервером. Порты RADIUS сервера, модификация AAA модель и IKEv2 профиля.

15. Траблшутинг NPS с помощью журнала Windows Server, категория «сервер сетевых политик». Аудит успеха и аудит отказа. Изучение вывода журнала. Определение звена цепи, на котором возникла проблема. Работа с приоритетом политик.

16. Тестирование подключения с помощью VPN клиента Cisco AnyConnect. Пользователи из группы «бухгалтеры» и группы «менеджеры» получают разные сетевые привилегии благодаря внешнему AAA серверу.

17. Изучение структуры пакетов Access-Request и Access-Accept с помощью WireShark. Нюансы обмена между Edge роутером (аутентификатором) и RADIUS сервером (внешнем сервером аутентификации). Выявление этапа, на котором происходит процесс аутентификации и этапа, на котором происходит процесс авторизации. Разница между двумя этими процессами.

18. Отслеживание и изучение полной цепочки взаимодействия: «выбор конкретного сертификата клиентом AnyConnect -> Name Mangler на Edge роутере -> IKEv2 профиль -> лист авторизации AAA модели на Edge роутере -> RADIUS сервер -> каталог Active Directory -> политика авторизации NPS -> выдача AAA атрибутов и сетевых привилегий, соответствующих группе, в которую входит пользователь». Как сертификат пользователя влияет на выбор конкретной политики авторизации?

19. Возможность изменения логики авторизации по группе на логику авторизации по пользователю. Необходимые действия.

20. Тестирование подключения с использованием встроенного VPN клиента Windows. Особенности AAA атрибута «ipsec:route-set=access list 99» при использовании VPN клиента Windows. Взаимодействие с DHCP сервером для получения списка маршрутов.

21. Усиление безопасности политик авторизации NPS сервера с помощью увеличения количества условий срабатывания.



Урок 7. FlexVPN. Extensible Authentication Protocol (EAP). Взаимодействие с Windows Radius.


1. Extensible Authentication Protocol (EAP) как метод, содержащий внутри себя множество подметодов аутентификации. Сначала практика, потом теория.

2. Настройка роутера на работу с EAP протоколом. Редактирование IKEv2 профиля. Особенности identity при использовании протокола EAP и разных типов VPN клиентов.

3. Явная и неявная авторизация. Разница между двумя типами авторизации. Работа с командой «aaa authorization user eap cached».

4. Настройка сервера сетевых политик NPS на работу с протоколом EAP-MSCHAPv2.

5. Тестирование подключения с использованием VPN клиента Windows. Изучение новой цепочки взаимодействия суппликанта, аутентификатора и внешнего сервера аутентификации. Прямая передача аутентификационных данных от VPN клиента на RADIUS сервер. Просмотр структуры пакетов с помощью WireShark.

6. Почему при использовании протокола EAP-MSCHAPv2, количество сообщений обмена увеличилось в разы? Новое сообщение обмена Access-Challenge.

7. Тестирование подключения с помощью клиента Cisco AnyConnect. Редактирование .XML профиля с помощью AnyConnect Profile Editor для настройки клиента на работу с EAP-MSCHAPv2. Нюансы identity.

8. От практики к теории. Что было сделано и какими преимуществами протокол EAP обладает над другими протоколами аутентификации. Разница между EAP и EAP-AnyConnect. Обзор подметодов EAP, доступных в клиенте Cisco AnyConnect. Обзор подметодов EAP, доступных в VPN клиенте Windows. Подметоды EAP, поддерживаемые Windows NPS.

9. Подробнее о Extensible Authentication Protocol (EAP) и его подметодах. Изучение каждого протокола, входящего в состав EAP: «EAP-GTC; EAP-MD5; EAP-MSCHAPv2; LEAP; EAP-AKA; EAP-TLS; EAP-TTLS; EAP-PEAP». Преимущества и недостатки каждого из подметодов.

10. EAP-GTC – совестное использование с токеном. EAP-MD5 – односторонняя аутентификация клиента на сервере и уязвимость к атакам по словарю. LEAP как протокол для аутентификации в Wireless сетях.

11. Протокол EAP-MSCHAPv2, его история. Алгоритм challenge-response. Как протоколу удается передать пароль от VPN клиента к AAA серверу без его компрометации. Является ли EAP-MSCHAPv2 безопасным протоколом, и если нет, то как усилить безопасность?

12. Подробнее о выборе метода проверки подлинности в настройках сетевых политик NPS сервера. Почему для метода RSA-SIGNATURE следует выбирать метод PAP и причем здесь RADIUS? Разница между MS-CHAPv2 и EAP-MSCHAPv2.

13. Протоколы EAP-AKA, EAP-AKA’, EAP-SIM, использующие алгоритмы SIM карты для аутентификации пользователя и шифрования трафика в Wireless сетях.

14. Надежные EAP методы, которые могут применены в Remote Access VPN технологиях: EAP-TLS, EAP-TTLS, EAP-PEAP.

15. EAP-TLS (смарт-карта или иной сертификат). Метод, в основе которого лежит аутентификация по сертификатам. Набор условий, необходимый для реализации метода. Понятие взаимной (mutual) аутентификации.

16. Разница между RSA-SIGNATURE (аутентификация по сертификатам) и EAP-TLS (также аутентификация по сертификатам). Сравнение двух похожих методов.

17. Метод c туннелированием EAP-PEAP, позволяющий туннелировать внутри себя другие EAP методы, тем самым многократно повышая сетевую безопасность. Изучение обмена протокола. Почему при использовании EAP-PEAP, на Windows Server (внешний AAA сервер) требуется выписывать личный сертификат?

18. Практическая реализация протокола EAP-PEAP с внутренним EAP-MSCHAPv2. Настройка VPN клиента Windows.

19. Выпуск сертификата для Windows Server. Требования к сертификату для Windows Server и поле Extendible Key Usage (EKU).

20. Подготовка политик NPS к работе с EAP-PEAP и проверка соединения.

21. Влияние компоненты «RSA/ECDSA» в программе Crypto-Pro CSP на работу VPN клиента Windows с активированным EAP-PEAP. Ошибка Crypto-Pro в журнале Windows.

22. EAP-TTLS - надежный метод, туннелирующий внутри себя другие non-EAP методы аутентификации. Отличия от EAP-PEAP.

23. Выбор конкретного EAP метода для применения в Remote Access VPN.



Урок 8. FlexVPN. EAP-AnyConnect + AAA Radius Server. Accounting.


1. Изученные методы аутентификации – EAP-AnyConnect, классический EAP с подметодами, RSA-SIGNETURE. Аутентификация в локальной базе и на внешнем AAA сервере. Поддержка сторонних VPN клиентов и вендорозависимость. Какой метод аутентификации выбрать? Сравнение методов аутентификации по качественным характеристикам.

2. Взаимодействие EAP-AnyConnect с внешним AAA сервером. Практическая реализация. Настройка Cisco IOS и политик NPS сервера.

3. Почему метод проверки подлинности в NPS политиках нужно выставить в PAP? Как EAP-AnyConnect и PAP связаны между собой?

4. Настройка Cisco AnyCoonect VPN клиента на работу с протоколом EAP-AnyConnect посредством редактирования .XML профиля. Установка защищенного VPN туннеля.

5. Добавление функции запроса сертификата пользователя в дополнение к запросу логина и пароля (второй фактор аутентификации).

6. Подключение к VPN с использованием мобильного AnyConnect клиента на платформе Android. Импорт сертификатов в Android. Настройка AnyConnect клиента. Тестирование соединения с помощью приложения PingTools. Обзор других мобильных VPN клиентов и протоколов.

7. Сценарии, при которых сплит-туннелирование не требуется. Обеспечение работы VPN сети в отсутствии сплит-туннелирования. Активация команды «ip nat inside» в настройках шаблона VTI интерфейса, настройка NAT-Access листа, а также передача адреса DNS сервера на удаленный компьютер с помощью AAA атрибута.

8. Последняя буква A модели AAA – Accounting. Что такое Accounting и в каких сценариях он может понадобиться?

9. Настройка сервера сетевых политик (NPS) на ведение журнала учета (Accounting).

10. Использование программы IAS Log Viewer для интерпретации сведений лог-файла NPS сервера. Знакомство с интерфейсом программы.

11. Недостаточное количество информации в лог-файле NPS сервера. Решение проблемы, путем активации механизма аккаунтинга на Cisco IOS. Работа с командой «aaa accounting network <LIST> start-stop group <GROUP NAME>». Активация аккаунтинга в IKEv2 профиле.

12. Режимы записи Accounting информации – start-stop и stop-only. Логика поведения механизма аккаунтинга в том или ином режиме. Выбор наилучшего.

13. Отслеживание обмена Edge роутера и RADIUS сервера с помощью WireShark. Новые сообщения «accounting-request» и «accounting-response». Изучение структуры сообщений. Роль этих сообщений в механизме аккаунтинга.

14. Просмотр расширенного NPS лог-файла с помощью IAS Log Viewer. Обзор всех сведений о подключенном к VPN пользователе, отображающихся в программе мониторинга.

15. Дополнительные возможности IAS Log Viewer – монитор реального времени, отчеты по критериям, программирование алёртов по событию, фильтрация.

16. Базовая отказоустойчивость FlexVPN. Организация отказоустойчивости с помощью механизма «Backup Server List», доступном в Cisco AnyConnect.

17. Подведение итогов модуля. Технологии, протоколы и механизмы, изучаемые в дальнейших курсах.

*Академия оставляет за собой право на изменение содержания.



В следующих модулях...

Остальные модули находятся в разработке. В этих модулях, мы продолжим заниматься построением большой корпоративной сети и изучением технологий, из которых она состоит.