Szkolenie Cisco ASA FirePOWER

Dzisiaj prezentuję obiecane szczegóły dotyczące szkolenia Cisco ASA FirePOWER Services. Przede wszystkim agenda:

Podstawy pracy z Cisco ASA

Pierwszy moduł to stara dobra ASA i przejście przez niezmiennie skuteczne i żelazne zasady takie jak  tworzenie i konfiguracja interfejsów i subinterfejsów, koncepcję security level, która dyktuje zachowanie  działania mechanizmu Adaptive Security Algorithm. Omawiamy zasady transmisji ruchu przez ASA i zatrzymujemy się chwilę nad fundamentami ruchu IP, protokołów TCP, UDP, ICMP w odniesieniu do firewall’a stanowego jakim jest Cisco ASA. Dodatkowo moduł ten omawia zasady zarządzania ASA-OS, jej zabezpieczenie (hardening), zarządzanie dostępem ssh, telnet i konfigurację list AAA. Oczywiście w module pierwszym nie brakuje laboratoriów. Intensywnie rozgrzewamy się, aby być gotowym na wyzwania modułu drugiego.

1) Networking basics with ASA

  • ASA Interfaces, Subinterfaces, VLANs
  • DHCP, Set route options
  • Security Level Concept
  • Inter and Intra interface flows
  • Basic Management (Logging, traffic to the box, aaa, ntp sync)
  • Management Real Life Use Cases

 

Routing statyczny i dynamiczny na ASA

W module drugim przypominamy sobie routing IP. Dla tych, którzy znają routing statyczny i dynamiczny, moduł będzie łatwy i przyjemny. Dla tych, którzy nie są biegli w EIGRP, RIP, OSPF i BGP to dobra okazja aby poznać fundamenty tych procesów routingu i oczywiście skonfigurować dynamikę odzwierciedlającą najczęstsze przypadki routingu na styku z Internetem jak np. BGP (który, przypominam, od 9.2 ASA-OS już jest dostępny) i redystrybucję trasy domyślnej 0.0.0.0/0. Dodatkowo wysyłamy do ASA trochę prefiksów z LAN. Na końcu modułu pokazujemy redundancję na poziomie połączeń (link redundancy), czyli agregację połączeń najczęściej wykorzystywaną w dużych lub krytycznych środowiskach (LACP i specyficzny dla ASA mechanizm redundant interface).

2) ASA Routing and Link Redundancy

  • ASA Static routing
  • ASA Dynamic routing
  • Port Channels, Link redundancy

 

ACL, NAT, objekty i MPF

O module trzecim można by było napisać osobną książkę. „Traffic restrictions” omawia kluczowe dla ASA mechanizmy: ACL (Access Control List), NAT (Network Address Translation) oczywiście dla wersji 8.3 i wzwyż (bo jesteśmy w rzeczywistości 9.X) oraz MPF, czyli esencję inspekcji ruchu powyżej L4. W tym module labujemy twice NAT, object NAT, translujemy użytkowników do Internetu przypominając sobie definicję static NAT, static PAT, dynamic NAT, PAT, source NAT, destination NAT. Wystawiamy serwisy do Internetu np. z DMZ (serwery www i ftp). Sprawdzamy jak działa Modular Policy Framework dla ruchu FTP, a jak działa FTP bez „inspect ftp”. Ten moduł jest kluczowy dla zrozumienia zasad NAT, ACL w połączeniu z routingem. Zrozumiecie też różnice między ruchem przechodzącym przez ASA, a ruchem „to the box”

3) Traffic Restrictions

  • Object and object groups
  • ACLs
  • NAT (8.3+) Concept
  • ASA Modular Policy Framework (MPF)

Wysoka dostępność

Moduł high availability to architektury wysokiej dostępności (surprise). Jak może pamiętamy, ASA daje możliwość konfiguracji Active / Standby w parze oraz Active / Active w multi-context mode. W tej sekcji skupiamy się na tym jak failover rzeczywiście działa, np. czy każdy appliance potrzebuje adresu IP, czy może jest jakiś wirtualny adres IP, jakie maksymalne opóźnienia dopuszczane są w budowie pary Active / Standby i Active / Active? Analizujemy też dogłębnie proces failover: przełączenia ról active / standby i sposób elekcji urządzenia active. Dodatkowo wspominamy o koncepcji Cisco ASA Clustering dostępnej na platformie ASA 5580, 5585-X, co nam to daje i jak spada wydajność klastra w stosunku do pojedynczego firewall’a.

4) High Availability

  • Failover Active-Standby
  • Clustering Active-Active
  • Security Contexts
  • Resource Limitations
  • Cisco ASA Clustering

 

VPN na ASA

Virtual Private Networking na ASA to kolejny powszechnie wykorzystywany mechanizm w świecie enterprise, ale też w rozwiązaniach operatorskich. Analizujemy możliwości ASA pod kątem budowy IPSec VPN, analizujemy w jaki sposób brak wsparcia dla tunelowania GRE może wpłynąć na funkcjonalność i możliwości ASA jako koncentratora VPN. Sprawdzamy, czy mając Cisco ASA możemy zestawić tunel VPN IPSec z rozwiązaniami innego producenta. W końcu dochodzimy do punktu Cisco Anyconnect Secure Mobility Client i implementacja VPN remote access, chyba najszerzej implementowanym rozwiązaniem tego typu na świecie. Sprawdzamy jaki wpływ na bezpieczeństwo i user experience (UX) ma wykorzystanie SSL VPN, a jaki IPSec IKEv2. Implementujemy dostępy VPN dotykając też zagadnienia integracji Cisco ISE (Identity Services Engine) oraz możliwości wprowadzenia mechanizmów Multi-factor Authentication (MFA). Swoją drogą opis przykładu takiego wdrożenia znajdzesz tu

5) VPNs

  • IPSec Site2Site
  • Anyconnect SSL VPN client

 

FirePOWER Services

Dochodzimy do sedna, czyli bierzemy na warsztat FirePOWER Services. W module 6 poznajemy sposób licencjonowania FirePOWER, architekturę rozwiązania, ale też to, co może nas ograniczyć w implementacji. Przechodzimy przez i omawiamy kroki instalacji systemu zarządzania firepower, czyli FMC (Firepower Management Center), następnie instalujemy moduł SFR, czyli moduł instalowany na ASA w formie „software”, rejestrujemy nasze moduły w FMC i przekierowujemy ruch do sensora. W ten sposób sami zestawiamy środowisko Firepower i w ten sposób jesteśmy gotowi do pracy z Next Generation Firewall.

6) FirePOWER Architecture and licensing

  • Licensing, Architecture, Limitations
  • Firepower Management Center installation
  • SFR Modules Provisioning
  • Traffic Flow & Redirection

 

ACP, Intrusion policy, AMP, File Policy i URL Filtering…

W module siódmym dochodzimy do tzw. „mięsa”. Bierzemy się za omówienie i konfigurację ACP (Access Control Policy), czyli polityk, agregujących wszystkie nasze reguły FirePOWER. Każdy z uczestników szkolenia Cisco ASA FirePOWER Services ma możliwość konfiguracji polityki i przetestowania jej wzdłuż i wszerz. Dodajemy do omówienia stopniowo kolejne koncepcje: URL filtering, AMP (Anti-Malware Protection), File Policy, IPS (Intrusion Policy) – oczywiście sprawdzając ich działanie empirycznie. Pamiętajcie, że mamy do dyspozycji maszyny testowe symulujące urządzenie użytkownika oraz serwery DMZ. Najczęściej na etapie omawiania sekcji Application Control pada uzasadnione pytanie: „Jak można rozpoznać zaszyfrowaną aplikację SSL”? W tym momencie dotykamy tematu SSL Policy. Na końcu coś, co przydaje się administratorom sieci i firmom z oddzielnymi zespołami security i network: List & Feeds.

7) ASA FirePOWER core features configuration

  • Traffic processing and actions
  • Access Control Policies
  • ACP rules
  • AND OR logic
  • Application control
  • URL and URL categories – filtering
  • AMP for Networks Concept – File & Malware policy
  • IPS Concept – basic ruleset – Intrusion Policy
  • SSL Policies
  • Lists & Feeds

Active Directory, pxGRID i troubleshooting

Na samym końcu sprawdzamy jak FirePOWER integruje się z innymi systemami np środowiskiem AD. Analizujemy opcje z wykorzystaniem Active Directory i Firepower User Agent vs. z protokołem pxGRID. Każdy dopasowuje sobie 2 podejścia identity firewalling do swojego środowiska. Oczywiście, czym byłoby szkolenie (bootcamp) bez aspektu troubleshooting, sprawdzania nawiązanych połączeń, wyszukiwania w które reguły wpadły dane pakiety i jakie zostały zastosowane na nich akcje? Albo weryfikacja hitcount’ów na poziomie service-policy MPF w celu sprawdzenia, czy w ogóle jakiś ruch wpada do naszego sensora? Troubleshooting to chyba jeden z najważniejszych punktów tego szkolenia.

8) ASA FirePOWER advanced features configuration

  • AD integration
  • FMC User Agents vs Cisco pxGRID
  • Troubleshooting and reporting

 

Topologia Cisco ASA FirePOWER training
Topologia Cisco ASA FirePOWER training

Leave a comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *