Dzisiaj prezentuję obiecane szczegóły dotyczące szkolenia Cisco ASA FirePOWER Services. Przede wszystkim agenda:
Podstawy pracy z Cisco ASA
Pierwszy moduł to stara dobra ASA i przejście przez niezmiennie skuteczne i żelazne zasady takie jak tworzenie i konfiguracja interfejsów i subinterfejsów, koncepcję security level, która dyktuje zachowanie działania mechanizmu Adaptive Security Algorithm. Omawiamy zasady transmisji ruchu przez ASA i zatrzymujemy się chwilę nad fundamentami ruchu IP, protokołów TCP, UDP, ICMP w odniesieniu do firewall’a stanowego jakim jest Cisco ASA. Dodatkowo moduł ten omawia zasady zarządzania ASA-OS, jej zabezpieczenie (hardening), zarządzanie dostępem ssh, telnet i konfigurację list AAA. Oczywiście w module pierwszym nie brakuje laboratoriów. Intensywnie rozgrzewamy się, aby być gotowym na wyzwania modułu drugiego.
1) Networking basics with ASA
- ASA Interfaces, Subinterfaces, VLANs
- DHCP, Set route options
- Security Level Concept
- Inter and Intra interface flows
- Basic Management (Logging, traffic to the box, aaa, ntp sync)
- Management Real Life Use Cases
Routing statyczny i dynamiczny na ASA
W module drugim przypominamy sobie routing IP. Dla tych, którzy znają routing statyczny i dynamiczny, moduł będzie łatwy i przyjemny. Dla tych, którzy nie są biegli w EIGRP, RIP, OSPF i BGP to dobra okazja aby poznać fundamenty tych procesów routingu i oczywiście skonfigurować dynamikę odzwierciedlającą najczęstsze przypadki routingu na styku z Internetem jak np. BGP (który, przypominam, od 9.2 ASA-OS już jest dostępny) i redystrybucję trasy domyślnej 0.0.0.0/0. Dodatkowo wysyłamy do ASA trochę prefiksów z LAN. Na końcu modułu pokazujemy redundancję na poziomie połączeń (link redundancy), czyli agregację połączeń najczęściej wykorzystywaną w dużych lub krytycznych środowiskach (LACP i specyficzny dla ASA mechanizm redundant interface).
2) ASA Routing and Link Redundancy
- ASA Static routing
- ASA Dynamic routing
- Port Channels, Link redundancy
ACL, NAT, objekty i MPF
O module trzecim można by było napisać osobną książkę. „Traffic restrictions” omawia kluczowe dla ASA mechanizmy: ACL (Access Control List), NAT (Network Address Translation) oczywiście dla wersji 8.3 i wzwyż (bo jesteśmy w rzeczywistości 9.X) oraz MPF, czyli esencję inspekcji ruchu powyżej L4. W tym module labujemy twice NAT, object NAT, translujemy użytkowników do Internetu przypominając sobie definicję static NAT, static PAT, dynamic NAT, PAT, source NAT, destination NAT. Wystawiamy serwisy do Internetu np. z DMZ (serwery www i ftp). Sprawdzamy jak działa Modular Policy Framework dla ruchu FTP, a jak działa FTP bez „inspect ftp”. Ten moduł jest kluczowy dla zrozumienia zasad NAT, ACL w połączeniu z routingem. Zrozumiecie też różnice między ruchem przechodzącym przez ASA, a ruchem „to the box”
3) Traffic Restrictions
- Object and object groups
- ACLs
- NAT (8.3+) Concept
- ASA Modular Policy Framework (MPF)
Wysoka dostępność
Moduł high availability to architektury wysokiej dostępności (surprise). Jak może pamiętamy, ASA daje możliwość konfiguracji Active / Standby w parze oraz Active / Active w multi-context mode. W tej sekcji skupiamy się na tym jak failover rzeczywiście działa, np. czy każdy appliance potrzebuje adresu IP, czy może jest jakiś wirtualny adres IP, jakie maksymalne opóźnienia dopuszczane są w budowie pary Active / Standby i Active / Active? Analizujemy też dogłębnie proces failover: przełączenia ról active / standby i sposób elekcji urządzenia active. Dodatkowo wspominamy o koncepcji Cisco ASA Clustering dostępnej na platformie ASA 5580, 5585-X, co nam to daje i jak spada wydajność klastra w stosunku do pojedynczego firewall’a.
4) High Availability
- Failover Active-Standby
- Clustering Active-Active
- Security Contexts
- Resource Limitations
- Cisco ASA Clustering
VPN na ASA
Virtual Private Networking na ASA to kolejny powszechnie wykorzystywany mechanizm w świecie enterprise, ale też w rozwiązaniach operatorskich. Analizujemy możliwości ASA pod kątem budowy IPSec VPN, analizujemy w jaki sposób brak wsparcia dla tunelowania GRE może wpłynąć na funkcjonalność i możliwości ASA jako koncentratora VPN. Sprawdzamy, czy mając Cisco ASA możemy zestawić tunel VPN IPSec z rozwiązaniami innego producenta. W końcu dochodzimy do punktu Cisco Anyconnect Secure Mobility Client i implementacja VPN remote access, chyba najszerzej implementowanym rozwiązaniem tego typu na świecie. Sprawdzamy jaki wpływ na bezpieczeństwo i user experience (UX) ma wykorzystanie SSL VPN, a jaki IPSec IKEv2. Implementujemy dostępy VPN dotykając też zagadnienia integracji Cisco ISE (Identity Services Engine) oraz możliwości wprowadzenia mechanizmów Multi-factor Authentication (MFA). Swoją drogą opis przykładu takiego wdrożenia znajdzesz tu
5) VPNs
- IPSec Site2Site
- Anyconnect SSL VPN client
FirePOWER Services
Dochodzimy do sedna, czyli bierzemy na warsztat FirePOWER Services. W module 6 poznajemy sposób licencjonowania FirePOWER, architekturę rozwiązania, ale też to, co może nas ograniczyć w implementacji. Przechodzimy przez i omawiamy kroki instalacji systemu zarządzania firepower, czyli FMC (Firepower Management Center), następnie instalujemy moduł SFR, czyli moduł instalowany na ASA w formie „software”, rejestrujemy nasze moduły w FMC i przekierowujemy ruch do sensora. W ten sposób sami zestawiamy środowisko Firepower i w ten sposób jesteśmy gotowi do pracy z Next Generation Firewall.
6) FirePOWER Architecture and licensing
- Licensing, Architecture, Limitations
- Firepower Management Center installation
- SFR Modules Provisioning
- Traffic Flow & Redirection
ACP, Intrusion policy, AMP, File Policy i URL Filtering…
W module siódmym dochodzimy do tzw. „mięsa”. Bierzemy się za omówienie i konfigurację ACP (Access Control Policy), czyli polityk, agregujących wszystkie nasze reguły FirePOWER. Każdy z uczestników szkolenia Cisco ASA FirePOWER Services ma możliwość konfiguracji polityki i przetestowania jej wzdłuż i wszerz. Dodajemy do omówienia stopniowo kolejne koncepcje: URL filtering, AMP (Anti-Malware Protection), File Policy, IPS (Intrusion Policy) – oczywiście sprawdzając ich działanie empirycznie. Pamiętajcie, że mamy do dyspozycji maszyny testowe symulujące urządzenie użytkownika oraz serwery DMZ. Najczęściej na etapie omawiania sekcji Application Control pada uzasadnione pytanie: „Jak można rozpoznać zaszyfrowaną aplikację SSL”? W tym momencie dotykamy tematu SSL Policy. Na końcu coś, co przydaje się administratorom sieci i firmom z oddzielnymi zespołami security i network: List & Feeds.
7) ASA FirePOWER core features configuration
- Traffic processing and actions
- Access Control Policies
- ACP rules
- AND OR logic
- Application control
- URL and URL categories – filtering
- AMP for Networks Concept – File & Malware policy
- IPS Concept – basic ruleset – Intrusion Policy
- SSL Policies
- Lists & Feeds
Active Directory, pxGRID i troubleshooting
Na samym końcu sprawdzamy jak FirePOWER integruje się z innymi systemami np środowiskiem AD. Analizujemy opcje z wykorzystaniem Active Directory i Firepower User Agent vs. z protokołem pxGRID. Każdy dopasowuje sobie 2 podejścia identity firewalling do swojego środowiska. Oczywiście, czym byłoby szkolenie (bootcamp) bez aspektu troubleshooting, sprawdzania nawiązanych połączeń, wyszukiwania w które reguły wpadły dane pakiety i jakie zostały zastosowane na nich akcje? Albo weryfikacja hitcount’ów na poziomie service-policy MPF w celu sprawdzenia, czy w ogóle jakiś ruch wpada do naszego sensora? Troubleshooting to chyba jeden z najważniejszych punktów tego szkolenia.
8) ASA FirePOWER advanced features configuration
- AD integration
- FMC User Agents vs Cisco pxGRID
- Troubleshooting and reporting