Видео курс настройка межсетевых экранов cisco asa и pix torrent
Cisco ASA является аппаратным межсетевым экраном с инспектированием сессий с сохранением состояния (stateful inspection). ASA умеет работать в двух режимах: routed (режим маршрутизатора, по умолчанию) и transparent (прозрачный межсетевой экран, когда ASAработает как бридж с фильтрацией). Мы познакомимся с работой в первом режиме и далее везде будем его подразумевать, если явно не указан иной режим.
В режиме routed на каждом интерфейсе ASA настраивается ip адрес, маска, уровень безопасности (security-level), имя интерфейса, а также интерфейс надо принудительно «поднять», так как по умолчанию все интерфейсы находятся в состоянии «выключено администратором». (Исключения бывают: иногда АСАшки приходят уже преднастроенными. Это характерно для модели 5505. В этом случае, как правило, внутренний интерфейс с названием inside уже настроен как самый безопасный и поднят, на нем работает DHCP сервер, задан статический адрес из сети 192.168.1.0/24, внешний интерфейс с названием outside тоже поднят и сам получает адрес по DHCP и настроена трансляция адресов из сети за интерфейсом inside в адрес интерфейса outside. Получается такой plug-n-play :))
Параметр «уровень безопасности» (security level) – это число от 0 до 100, которое позволяет сравнить 2 интерфейса и определить, кто из них более «безопасен». Параметр используется качественно, а не количественно, т.е. важно только отношение «больше-меньше». По умолчанию трафик, идущий «наружу», т.е. с интерфейса с большим уровнем безопасности на интерфейс с меньшим уровнем безопасности, пропускается, сессия запоминается и обратно пропускаются только ответы по этим сессиям. Трафик же идущий «внутрь» по умолчанию запрещен.
Параметр «имя интерфейса» (nameif) в дальнейшем позволяет использовать в настройках не физическое наименование интерфейса, а его имя, которое можно выбрать «говорящим» (inside, outside, dmz, partner и т.д.). По идее, как утверждает сама cisco, имя не зависит от регистра, (не case sensitive), однако на практике ряд команд требует соблюдения регистра, что довольно неудобно. Характерный пример: применение crypto map на интерфейс требует точного написания названия интерфейса. Название интерфейса продолжается нажатием кнопки TAB, т.е. можно набрать начало названия и табулятором продолжить его до конца, если набранное начало однозначно идентифицирует интерфейс.
Такая настройка интерфейсов характерна для всех моделей ASA, кроме ASA 5505. В модели 5505 реализован встроенный 8мипортовый L2/L3 коммутатор. IP адреса в модели 5505 задаются на логических интерфейсах
Сами же физические интерфейсы L2 сопоставляются VLANам.
Таким образом, межсетевое экранирование возникает между логическими interface vlan.
Как правило, уровень безопасности интерфейсов подбирается таким образом, чтобы максимально соответствовать логической топологии сети. Сама топология представляет из себя зоны безопасности и правила взаимодействия между ними. Классической схемой считается присвоение разным интерфейсам разных уровней безопасности.
Никто не запрещает сделать уровень безопасности на разных интерфейсах одинаковым, однако по умолчанию обмен трафиком между такими интерфейсами запрещен. Такой трафик можно сознательно разрешить, дав команду
Однако надо понимать, что между интерфейсами с одинаковым уровнем безопасности не возникает межсетевого экранирования, а только маршрутизация. Поэтому такой подход применяется для интерфейсов, относящихся к одной и той же логической зоне безопасноcти (например, 2 локальные сети пользователей, объединяемые при помощи ASA)
Маршрутизация
Ну куда же без неё! Как у любого маршрутизатора (ASA тоже им является, т.к. использует таблицу маршрутизации для передачи пакетов) сети, настроенные на интерфейсах, автоматически попадают в таблицу маршрутизации с пометкой «Присоединенные» (connected), правда при условии, что сам интерфейс находится в состоянии «up». Маршрутизация пакетов между этими сетями производится автоматически.
Те сети, которые ASA сама не знает, надо описать. Это можно сделать вручную, используя команду
Указывается тот интерфейс, за которым надо искать next-hop, т.к. ASA сама не делает такого поиска (в отличие от обычного маршрутизатора cisco). Напоминаю, что в таблицу маршрутизации попадает только один маршрут в сеть назначения, в отличие от классическим маршрутизаторов, где может использоваться до 16 параллельных путей.
Маршрут по умолчанию задается таким же образом
Если ASA не имеет записи в таблице маршрутизации о сети назначения пакета, она пакет отбрасывает.
Если возникает задача сделать запасной статический маршрут, который будет работать только при пропадании основного, то это решается указанием так называемой Административной дистанции маршрута. Это такое число от 0 до 255, которое указывает, насколько хорош метод выбора маршрута. Например, статическим маршрутам по умолчанию сопоставлена AD 1, EIGRP – 90, OSPF – 110, RIP – 120. Можно явно указать AD для запасного маршрута больше, чем AD основного. Например:
Но в этой ситуации есть один важный вопрос: как заставить «пропасть» основной маршрут? Если физически упал интерфейс все очевидно – само получится, а если интерфейс поднят, а провайдер погиб? Это очень распространенная ситуация, учитывая, что на ASA сплошной ethernet, который физически падает крайне редко.
Для решения этой задачки используется технология SLA. Она весьма развита на классических маршрутизаторах, а на ASA с версии 7.2 внедрили только самый простой механизм: доступность некоторого хоста по протоколу icmp. Для этого создается такая «пинговалка» (sla monitor)
Далее, её необходимо запустить, указав время начала (есть возможность запустить «сейчас») и окончания работы (можно задать работу до бесконечности)
Но и это ещё не все. Надо создать «переключатель» (track) который будет отслеживать состояние «пинговалки».
Не спрашивайте, почему привязка пинговалки производится ключевым словом rtr – это ошметки несогласованности настроек на маршрутизаторах cisco. К слову, на самих маршрутизаторах такое несоответствие уже починили, а вот на ASA ещё нет.
И вот теперь все готово, чтобы применить эту конструкцию к статической маршрутизации
Теперь, пока пингуемый хост доступен, track будет в поднятом (чуть не написал в «приподнятом» :)) состоянии и основной маршрут будет в таблице маршрутизации, но как только связь пропадет, через заданное количество потерянных пакетов (по умолчанию пакеты посылаются раз в 10 секунд и ждем пропадания трех пакетов) track будет переведен в состояние down и основной маршрут пропадет из таблицы маршрутизации, а пакеты будут отправляться по запасному пути.
Приведу пример конфига двух дефолтных маршрутов через разных провайдеров с проверкой доступности основного провайдера:
Динамическая маршрутизация на ASA возможна по протоколам RIPv1,2, OSPF, EIGRP. Настройка этих протоколов на ASA очень похожа на настройку маршрутизаторов cisco. Пока динамической маршрутизации касаться в этих публикациях не буду, хотя если дойдут руки и будет интерес – напишу отдельную главу.
Удаленное управление
Понятно, что при нынешнем развитии сетей передачи данных было бы неразумно не внедрять удаленное управление межсетевыми экранами. Поэтому ASA, как и большинство устройств cisco, предоставляет несколько способов удаленного управления.
Самое простое и небезопасное – telnet. Чтобы предоставить доступ на ASA по телнету необходимо явно указать, с каких хостов и сетей и на каком интерфейсе разрешен доступ, а также необходимо задать пароль на телнет командой passwd:
В целях безопасности работа по телнету на самом небезопасном (с наименьшим уровнем безопасности в рамках данной ASA) интерфейсе заблокирована и обеспечить работу на этом интерфейсе по телнету можно только в том случае, если он приходит через IPSec туннель.
Более безопасный доступ к командной строке обеспечивается протоколом ssh. Однако, для обеспечения доступа по ssh кроме явного указания того, с каких хостов можно заходить для управления, необходимо также задать RSA ключи, необходимые для шифрования данных о пользователе. По умолчанию для подключения по ssh используется пользователь pix и пароль, задаваемый командой passwd (пароль на telnet).
Как правило, на ASA начиная с версии 7.2 имя домена уже задано (domain.invalid) и дефолтные ключи сгенерированы, однако как минимум это надо проверить
Наличие хотя бы каких то ключей RSA уже позволяет работать по ssh. Но можно дополнительно создать и недефолтовые ключевые пары. Для этого надо указать явно имя ключевой пары
Чтобы удалить ключевую пару (или все пары) используется команда
Совет: после любых действий с ключевыми парами (создание, удаление) обязательно сохраняйтесь. Для этого можно использовать стандартные команды cisco
или короткий вариант последней команды
Если больше ничего не настраивать, то доступ будет обеспечен без указания пользователя. Если же был указан пароль на привилегированный режим
то при подключении надо в качестве пароля указывать именно его, не указывая пользователя.
Надо проверить, что во флеше ASA лежит файл ASDM, соответствующий используемой ОС.
При работе с ASDM используется java и верно следующее: если вы используете ОС версии 7.Х, то ASDM нужен версии 5.Х и java 1.5. Если же используется ОС 8.Х, то ASDM нужен версии 6.Х и java версии 1.6. К чести разработчиков и радости настройщиков, ASDM версии 6 работает не в пример лучше и быстрее версии 5.Х. Чья тут заслуга: java или cisco или обоих – не знаю.
Возникает резонный вопрос: а если хочется использовать не дефолтовые правила доступа, а явно указывать, откуда брать пользователя? Для этого используются команды (console — ключевое слово)
Если используется только локальная база данных пользователей, то в правиле аутентификации можно указывать только LOCAL (проверьте, что хотя бы один пользователь создан, иначе можно себе заблокировать доступ), а если требуется использовать внешние базы, доступные по протоколам TACACS+, RADIUS или LDAP, то такие сервера надо предварительно настроить
Локальная база пользователей задается командой
Доступ по ASDM возможен только от имени пользователя с уровнем привилегий 15 (максимальный, означает, что пользователю можно все настраивать)
Также локальным пользователям можно задать ряд атрибутов, используя команду
Используя такие настройки вы разрешите пакетам ходить из непосредственно присоединенной сети за интерфейсом inside наружу. Снаружи будут приходить только ответы по сессиям (tcp и udp), открытым изнутри, т.к. напомню по умолчанию трафик идущий «внутрь» весь запрещен. Как его разрешить поговорим в следующей части.
Материалы курса позволят проектировать и отлаживать варианты построения/модернизации сетей, конфигурацию сетевого оборудования, а также подбирать и тестировать функционал/версии программного обеспечения Cisco IOS в лаборатории, еще до фазы внедрения проекта и переноса уже готовых конфигураций на реальное оборудование.
Это поможет правильно подобрать оборудование и программное обеспечение, избежать ошибок при их выборе, закупке и настройке, а также существенно сократить время внедрения проекта и его стоимость.
Дополнительная информация:
Что в этом видео курсе ?
В этом пошаговом видео курсе подробно разбираются все тонкости установки, настройки и работы с эмулятором сетевого оборудования Cisco — GNS3.
В состав продукта входят 2 диска с версиями курсов v2.7 и v3.1. В первой части разбирается линейка версий GNS3 v0.x, а во второй — GNS3 v1.x, включая и v1.4.x. Плюс, лабораторные работы с вариантами их решений и детальным видео разбором.
Уже через пару часов после скачивания и ознакомления с материалами, у вас будет полноценная лаборатория с маршрутизаторами, коммутаторами, межсетевыми экранами PIX/ASA и другим современным оборудованием Cisco Systems.
Вы сможете самостоятельно строить нужные вам сетевые топологии одним кликом мышки и делать лабораторные работы для подготовки к сертификационным экзаменам Cisco практически любого уровня — CCENT/CCNA/CCDA/CCNP/CCDP/CCIE/CCDE.
Лабораторные работы, прилагаемые к этому курсу, позволяют не только сразу же опробовать в действии правильность сборки самой лаборатории, но и охватывают наиболее частые практические вопросы работы сетевого администратора по различным технологиям, таким как коммутация, маршрутизация, безопасность и др.
Дополнительные лабораторные работы также включены и в соответствующие учебные курсы по различным технологическим направлениям, например «Настройка межсетевых экранов Cisco ASA и PIX».
Практическая часть всех выпускаемых тематических курсов базируется на этой лаборатории, включая организацию папок, файлы топологий, начальные и конечные конфигурации сетевых устройств.
В видео курсе подробно разбираются:
Обзор пакета GNS3, его архитектура, состав, компоненты и возможности
Рекомендации по железу и программному обеспечению персонального компьютера, на котором будет запускаться лаборатория GNS3
Начальная установка, настройка и тестирование GNS3
Какой выбрать Cisco IOS, где его взять
Какие аппаратные платформы лучше использовать для устойчивой эмуляции
Создание проектов и топологий в GNS3
Эмуляция маршрутизаторов с помощью Dynamips, IOU, IOSv, IOS XRv, vIOS-XE
Эмуляция коммутаторов с помощью Dynamips, IOU, IOSv-L2, NX-OSv
Как снять ограничения эмуляции коммутаторов в Dynamips с помощью IOU L2 и IOSv-L2
Эмуляция межсетевых экранов PIX, ASA и ASAv
Эмуляция системы предотвращения вторжений IPS 4235 c кодом 6.0(6)E3
Графическиме интерфейсы IDM, IME, SDM, ASDM, CCP, CNA
Работа в GNS3, установка модулей в маршрутизаторы, соединение устройств
Стыковка лабораторного стенда с внешним миром и Интернетом
Дополнительное полезное программное обеспечение
Как максимально оптимизировать работу GNS3, снизить загрузку CPU и потребление памяти
Простая методика установки GNS3 v0.8.6 на Linux Ubuntu 14.04.1 LTS
Настройка и запуск новой линейки версий GNS3 v1.4.x
Технологические лабораторные работы по базовой настройке маршрутизаторов, коммутаторов и ASA для работы в единой сети
Настройка VLAN и протокола VTP
Основы настройка протоколов STP
Основы работа с динамическими протоколами маршрутизации EIGRP и OSPF
Настройка IPS и тестирование срабатываний сигнатур атак
Новые функции и возможности:
Что нового в версии v3.1 (релиз от 15.02.2016):
Настройка и запуск новой линейки версий GNS3 v1.4.x
Интеграция GNS3 с VMware
Использование устройств из Cisco VIRL в GNS3
Виртуальный Маршрутизатор CSR 1000v и IOS XE в GNS3 v1.4.x
Виртуальный межсетевой экран ASAv с кодом 9.5(1)200 в GNS3 v1.3.13 и v1.4.1
Поддержка IOS 15.x на Dynamips
Cisco IOS под Unix/Linux (IOU) в VirtualBox и VMware
Виртуальный Cisco IOSv для эмуляции коммутаторов и маршрутизаторов (IOSv, IOSv-L2)
Как снять ограничения эмуляции коммутаторов в Dynamips с помощью IOU L2 и IOSv-L2
Особенности запуска межсетевого экрана ASA c кодом 8.4.2
Эмуляция межсетевого экрана ASA 5520 c новым кодом 9.1(5)16
Эмуляция межсетевого экрана ASAv c кодом 9.5(1)200 в GNS3 v1.3.13 и v1.4.1
Запуск и начальная настройка системы предотвращения вторжений IPS 4235 c кодом 6.0(6)E3, графические интерфейсы IDM/IME
Работа с графическими интерфейсами SDM, ASDM, CCP, CNA
Виртуальный Маршрутизатор ASR 9000 и IOS XRv
Виртуальный Маршрутизатор CSR 1000v и IOS XE в GNS3 v1.4.x
Виртуальный Коммутатор Cisco Nexus 7000 Titanium и NX-OSv
Работа с Appliances в GNS3 v.1.4.x, их импорт и быстрая настройка
Технологические лабораторные работы в формате практического экзамена CCIE, но с уровнем заданий CCNA/CCNP и разбором решений
![]() Разное |
![]() Раздел жалоб |
![]() Зарабатываем деньги на нашем сайте! |
![]() 3 февраля 2017 Апдейт тИЦ |
![]() Чертежи, инженерная графика, 3D моделирование |
![]() Почему сайт выпадает с Яндекса? |
![]() Adobe After Effects CS3 |
![]() - Сынок, ты пьяненький? - Угу, в попочку. |
![]() Про спорт |
![]() Смешная история |
![]() Простые иконки групп + psd |
![]() Как установить плагин (фильтр) в Photoshop? |
![]() Видеоурок "Новогоднее поздравление в ретро стиле" |
![]() Как продлить жизнь жёстким дискам? |
![]() Приветик |
![]() У нас нашли, переходы с ПС |
![]() Яндекс тИЦ 03.12.2016 |
![]() Правильное питание |
![]() Вечный двигатель на 4 киловатта |
![]() Ищу курс по созданию сайтов. |
Администрация сайта не претендует на авторские права. Материалы предоставленные на сайте, принадлежат их владельцам и предоставляются исключительно в ознакомительных целях.
-->Главная » Видео-уроки » 2016 » Октябрь » 6 » Настройка межсетевых экранов Cisco ASA и PIX. Том I, v2.1. Видеокурс (2013-2016)
Курс будет полезен как для начинающих IT специалистов в области информационной безопасности, так и для опытных сетевых и системных администраторов, обеспечивающих защиту информации в компании, безопасную и стабильную работу корпоративных сетевых приложений, а также безопасный доступ пользователей в Интернет. Курс не имеет аналогов в Рунете. Все обучение Вы можете проходить в домашних условиях, в любое удобное Вам время и в желаемом темпе! Стоимость аналогичных очных курсов будет выше, как минимум, на порядок.
Что в этом видео курсе?
Курс сделан, как практическое видео руководство и в нем очень подробно рассмотрены основы настройки межсетевых экранов Cisco, начиная с краткой теории работы межсетевых экранов, обзора всех продуктовых линеек Cisco PIX, ASA, NGFW ASA 5500-X с FirePOWER сервисами, и заканчивая подробными объяснениями и демонстрацией деталей настройки функционала современных межсетевых экранов.
Что дает этот видео курс?
С помощью этого пошагового видео руководства Вы сможете на практике освоить принципы работы межсетевых экранов, научиться самостоятельно их настраивать и диагностировать возможные проблемы в работе компьютерных сетей.
Информация о видеокурсе
Название: Настройка межсетевых экранов Cisco ASA и PIX. Том I, v2.1
Автор: Алексей Николаев
Год выхода: 2013-2016
Жанр: Видеокурс
Язык: Русский
Выпущено: Россия
Файл
Формат: MP4 (+ доп файлы)
Видео: AVC, 928x688, ~175 Kbps
Аудио: AAC, 192 Kbps, 48.0 KHz
Продолжительность: ~7 часов
Размер файла: 3.22 Gb
Нехватка IT-специалистов. Уверен, что многие системные интеграторы, да и обычные компании, сталкиваются с этой проблемой. В данном случае я имею ввиду «сетевиков» и «безопасников». Вроде и ВУЗы уже несколько лет увеличивают набор студентов на профильные специальности, а дефицит не уменьшается и даже растет. Да и скажем прямо, качество специалистов сразу после университета оставляет желать лучшего (конечно есть и исключения). И это вовсе не вина самих студентов, просто наша текущая система образования не дает практические навыки в полной мере. Именно поэтому мы уже несколько лет подряд берем студентов 3-х, 4-х курсов к себе на стажировку. И практически каждый год оставляем себе одного-двух талантливых инженеров. Если интересен формат стажировки, то можно ознакомиться с ним здесь, а сейчас речь не об этом.
Обычно, в качестве первого практического задания мы даем студентам Курс молодого бойца, который неожиданно для меня, стал весьма популярным в рунете. После этого мы переходили к более профильным вещам (мы все же занимаемся security): Check Point, Fortinet, Splunk, Kali-Linux. Однако, вскоре стало понятно, что это слишком резкий переход — от обычных сетей, сразу к таким сложным продуктам информационной безопасности. Скажем прямо, тот же Check Point, не самый лучший вариант для ознакомления с Межсетевыми экранами. Нужно было начинать с чего-нибудь попроще. Именно поэтому мы начали создавать курс “Cisco ASA Administrator”. Мы сразу решили, что сделаем этот курс открытым и запустим на канале NetSkills, просто потому что там больше подписчиков, а значит его увидят большее кол-во людей. Почему именно этот курс и о чём он, мы расскажем ниже.
4. Бонус: удалённая лаборатория производителя
Developer ориентирован на программистов, решающих задачи сетевой автоматизации, поэтому представленные топологии достаточно просты. Их задача – дать возможность «пощупать» API железа. Но несмотря на простоту топологий, в некоторых случаях такой инструмент может дать то, чего не даст виртуальная лаборатория. Например, мне вчера удалось познакомиться с командной строкой железного Cisco 9000 и веб-интерфейсом Cisco WLC 9800. А dCloud знакомит с новыми продуктами.
Подключение к лаборатории в большинстве случаев осуществляется через фирменный VPN-клиент от Cisco — AnyConnect. Т.е. ваша машина оказывается в сети песочницы. А это значит, что удалённую лабораторию вы можете объединить… с локальным GNS3[8] или EVE-NG!
2.2. IOU/IOL + WebIOL
Следующий эмулятор это Cisco IOS on UNIX – IOU и его вариация Cisco IOS on Linux – IOL. Представляет собой двоичный исполняемый файл, содержащий операционную систему L3 коммутатора Catalyst (L2IOU, да L2 – это не опечатка) или многофункционального маршрутизатора — ISR (L3IOU), скомпилированную производителем для запуска в UNIX/Linux. IOU характеризуется очень низким потреблением ресурсов (относительно других эмуляторов). И в отличии от Dynamips он может запускать ПО для коммутаторов. Для IOL существует официальный графический фронтенд WebIOL (не путать с неофициальным iou-web [3]), который позволяет формировать из устройств сложные сетевые топологии.
Проблема в том, что IOU разработан Cisco Systems для внутреннего использования, поэтому он доступен только сотрудникам и партнёрам. Несмотря на это, в Интернет есть инструкции по его скачиванию и установке. Однако следует помнить, что это нелегально.
К сожалению, мне не удалось найти информацию о том, развивается ли сейчас IOL или его вытеснили образы для QEMU и VMWare, о которых речь пойдёт далее. Если кто-то знает о судьбе IOU, прошу поделиться пруфами для улучшения этого абзаца.
1. Симуляторы
Этот класс программного обеспечения имитирует работу оригинального ПО, но им не является. ПО симулятора содержит существенные упрощения и предназначено только для воспроизведения внешнего поведения исследуемого объекта. Симуляторы обладают собственным набором багов, производительностью и реализуют не весь функционал. Поэтому, в основном их применяют на низких ступенях обучения. Искушённым специалистам они не подойдут. Но начинающим – самое то.
1.2. Boson NetSim
Представляет собой некий сборник лабораторных работ, сгруппированный по темам экзамена. Как можно наблюдать по скриншотам, интерфейс состоит из нескольких секций: описание задачи, карта сети, в левой части находится список всех лаб. Закончив работу, можно проверить результат и узнать все ли было сделано. Есть возможность создания собственных топологий, с некоторыми ограничениями. [1]
Пожалуй, на этом с симуляторами всё.
3.3. iou-web → UNetLab → EVE-NG
Ну и наконец, на сладкое, у меня в обзоре осталась виртуальная лаборатория EVE-NG (The Emulated Virtual Environment – Next Generation). Её история началась с того, что в 2012 г. Andrea Dainese опубликовал неофициальный веб-интерфейс для IOL: iou-web. Затем он научил свою лабораторию работать с другими эмуляторами и таким образом в 2014 г. появилась UNetLab. А в 2017 Alain Degreffe создал форк проекта UNetLab, который назвал EVE-NG. У автора исходного UNetLab тоже были большие планы на развитие проекта и выпуск второй версии [3], однако постепенно он забросил эту идею: «Don’t ask for UNetLab2 and go with GNS3, VIRL or EVE-NG» — написал он по итогу. Таким образом, EVE-NG является единственной актуальной веткой продукта. Текущая версия: 2.0
EVE-NG по своему функционалу очень похожа на GNS3: почти такой же набор эмуляторов и поддержка аналогичных образов устройств (и точно так же поддерживается много производителей помимо Cisco). Однако, отличается форма распространения и интерфейс: EVE-NG представляет собой виртуальную машину, которую можно запустить у себя на рабочем месте или на выделенном сервере. Управление лабораторией осуществляется из браузера (в виртуальной машине, помимо прочего, встроен веб-сервер). Точно так же, как и GNS3, EVE-NG поставляется без образов и их необходимо раздобыть (в смысле «купить», конечно же) и загрузить в лабораторию самостоятельно. Использование веб-интерфейса делает лабораторию кроссплатформенной. Так же виртуальная машина по определению проста в развёртывании и избавлена от сложных программных зависимостей (распространяется в формате OVF – Open Virtualization Format и прекрасно воспроизводится в бесплатном (для частного использования) VMWare Player. Несмотря на изоляцию среды в виртуальной машине, для работы с ней тоже можно использовать PuTTY, SecureCRT, Wireshark и др.
EVE-NG поддерживает многопользовательскую работу с лабораторией. В том числе в разных ролях. Например, студент, собирающий лабу, и присматривающий за ним преподаватель.
EVE-NG распространяется под собственной лицензией в бесплатной общественной (community) и платных профессиональной или обучающей версиях [7]. Платная версия отличается ролевой моделью (в бесплатной есть только одна роль администратора), ограничением по числу узлов на лабораторию – 1024 (в бесплатной – 63) и др.
3.2. GNS3
Следующая виртуальная лаборатория это GNS (Graphical Network Simulator). Первая версия GNS появилась в 2007 году и представляла собой графический интерфейс для Dynamips, написанный на Qt. В 2014 году проект был сильно переработан (по утверждениям разработчиков он сохранил в себе только 5% кода) и появился GNS3. Причём «3» это не совсем версия, а скорее название. Актуальная версия GNS3: 2.2. Теперь GNS3 позволяет запускать не только образы Dynamips, но и QEMU, а также взаимодействовать с IOU и другими виртуальными машинами. Приложение является «толстым», т.е. запускается непосредственно на машине, на которой находится. Для эмуляции устройств оно может использовать виртуальные машины, расположенные на этом же хосте или удалённо. Поддерживается работа в Linux, Windows и Mac OS X. Большим плюсом GNS3 является возможность использования тех же инструментов, что и для работы с реальным «железом»: PuTTY, SecureCRT, Wireshark и др.
Несмотря на то, что сам продукт бесплатный, на его сайте есть магазин, где приторговывают софтом (образами), учебными материалами и просто сувенирами.
Заключение
В заключении хочу обобщить сказанное небольшой схемой (а то маленькая шпаргалка разрослась в большую портянку и это при том, что я очень поверхностно описал только самые главные особенности инструментов):
2.3. Виртуальные машины для QEMU/VMWare/…
В соответствии с общим трендом на виртуализацию (и виртуализацию сетевых функций в частности – NFV, Network Functions Virtualization) сама Cisco Systems всё больше и больше продуктов выпускает в виде т.н. Virtual Appliance или, проще говоря, обычных виртуальных машин, предназначенных для запуска в распространённых гипервизорах: QEMU, VMWare, Hyper-V и др.
Так, например, в виде виртуальных машин доступны следующие продукты.
- ASAv (Cisco Adaptive Security Virtual Appliance) – хорошо всем знакомый, но немножко устаревший, МСЭ Cisco ASA. Теперь и в виртуалке.
- NGFWv и NGIPSv (Cisco Firepower – Next Generation Firewall и Intrusion Prevention System) – новое поколение устройств безопасности.
- IOS XRv – версия IOS-XR для маршрутизаторов операторского класса. Такая штука может заменить Quagga или что-нибудь по мощнее.
- CSR1000v (Cloud Service Router) – маршрутизатор с ОС IOS-XE. Специализируется на VPN, MPLS, VXLAN, контроле трафика и т.д. Предназначена для размещения в облаке.
- NX-OSv – ещё один коммутатор/маршрутизатор, на этот раз под ОС IOS-NX, которая используется в «железках» Cisco Nexus. Также ориентирована на решение задач в ЦОД.
- Nexus 1000v – специальная версия виртуального Nexus, предназначенная для обслуживания кластера виртуальных машин Hyper-V или VMWare. Причём это специфическая виртуальная машина, поддерживающая подключение распределённых и, опять же, виртуальных модулей. [4] Поставляется вместе со средствами виртуализации.
- Cisco Nexus Titanum – устаревшая виртуальная машина с NX-OS, предназначенная для внутреннего использования в Cisco.
- Так же другие популярные продукты ISE, WLC, MSE/CMX и др. уже доступны в виде виртуальных машин.
- IOSvL2 – виртуальный образ маршрутизирующего коммутатора.
- IOSv – виртуальный образ маршрутизатора Cisco.
Ещё не следует путать (а их даже google и Яндекс иногда путают в выдаче) уже рассмотренный L2IOU и IOSvL2. Это разные программные продукты. [5]
2. Эмуляторы
Эмуляторы – это программы, предназначенные для запуска оригинального или слегка изменённого программного обеспечения на x86 или x64 платформе (в данном случае). Работа эмуляторов гораздо ближе к работе реального оборудования, нежели работа симуляторов. Хотя и тут могут быть небольшие отличия. Рассмотрим наиболее распространённые эмуляторы сетевых устройств Cisco.
Видео уроки
Все уроки как обычно в формате видео, где присутствует теория и практика. После некоторых уроков необходимо пройти тест. На текущий момент записано всего 5 уроков. Был большой перерыв в выпусках (силы были направлены на курс Check Point на максимум), но планируем возобновить в ближайшее время.
После записи всех уроков будет предложено сдать экзамен и получить сертификат об успешном завершении курса.
Заключение
Безусловно, Cisco ASA уже немного устаревший продукт, но, как я уже писал выше, это отличная (и на наш взгляд очень необходимая) “ступенька” для изучения более интересных и сложных security продуктов. Искренне надеемся, что данный курс пригодится кому-то кроме нас. Будем благодарны, если вы в комментариях расскажите каким образом готовите своих Security-инженеров. Какие курсы используете, какие книги читаете?
Недавно я столкнулся с проблемой выбора среды для изучения некоторых фич маршрутизаторов Cisco. Раньше я пользовался GNS3, а сейчас решил посмотреть, что изменилось в мире. Как выяснилось, прогресс шагнул далеко вперёд. Погружаясь в пучину статей и форумов, я обнаружил что огромное количество информации из них уже устарело. Чтобы не запутаться в многообразии ПО, я сделал себе небольшую шпаргалку (актуальность — март 2020 г.). Теперь я хочу выложить её на суд общественности. Во-первых, чтобы не пропадала (мне кажется, кому-то это может пригодиться, так как в одном месте я упоминания всех средств разом так и не нашёл). Во-вторых, возможно, в комментариях мне укажут на ошибки в описаниях и это позволит улучшить обзор.
Итак, если у вас нет под рукой «железного» коммутатора/маршрутизатор(а/ов) для подготовки к экзаменам/отработки фич перед внедрением/повышения квалификации, то скорее всего вас выручат:
2.1. Dynamips + Dynagen
Эмулятор маршрутизаторов Cisco, который может работать в Windows, Linix и Mac OS X. Распространяется по лицензии GNU GPLv2 (чего нельзя сказать об образах, которые он использует). Позволяет запускать виртуальную машину с оригинальным образом ОС от старых маршрутизаторов семейств 1700, 3725, 7200 и некоторых других. Позволяет имитировать интерфейсы Ethernet и вымирающие ATM и Serial. При этом Dynamips не может работать с прошивками коммутаторов, так как их ОС ориентированы на использование ASIC, которые во множестве встречаются в коммутаторах и очень сложно имитируются на x86 системах.
Впервые Dynamips был опубликован в 2005 году. Его разрабатывал Christophe Fillot. Однако, уже в 2007 году, на версии 0.2.8 он бросил этот проект. Википедия пишет, что существует версия 0.2.15 от 2015 г., но страница с пруфом недоступна. Для Dynamips существовал консольный фронтенд Dynagen.
Операционная система Cisco IOS очень консервативна, поэтому некоторые фичи вы сможете без проблем изучать даже на таком старом ПО. Однако, есть проблема с образами ОС: официально приобрести IOS для 7200 и других уже давно нельзя, ибо пребывают они в состоянии не только End of Sale (29.09.2012), но и Last Date of Support (30.09.2017) [2]. Поэтому легально использовать Dynamips нельзя. Хотя вряд ли можно считать ущерб для компании Cisco от такого использования хоть сколько-нибудь значимым для инициации преследования, но всё может быть.
3. Виртуальные лаборатории
Одна виртуальная машина – это хорошо, но компьютерная сеть – это всё-таки совокупность независимых узлов. Поэтому, зачастую, возникает потребность запустить несколько эмулированных устройств и заставить их взаимодействовать как единое целое. Сделать это вручную возможно, но такой подход затруднителен. Поэтому существуют программные продукты, которые позволяют автоматизировать создание виртуальных сетевых окружений и снабдить его графическим интерфейсом. Отдельного устоявшегося термина для них нет, поэтому здесь будем называть их виртуальными лабораториями.
О чем курс?
В ходе курса будут рассмотрены следующие темы:
- Что такое межсетевой экран
- История межсетевых экранов Cisco
- Подготовка макета (GNS3, EVE NG)
- Security Level и Stateful Inspection
- Базовая настройка
- VLAN-ы
- Access-List-ы
- NAT/Static NAT
- VPN (Site-to-Site, RA VPN)
- Troubleshooting
- Заключение, рекомендации
Почему Cisco ASA
Для начала рассмотрим “глобальные” причины:
- Cisco ASA это один из самых популярных межсетевых экранов в мире. Вряд ли вы встретите сетевого специалиста, который не знал бы, что такое Cisco ASA. Огромное количество компаний используют именно этот фаервол. Отсюда вытекает следующая причина.
- Проще найти работу. Можете проверить сами, зайдя на сайт Headhanter и поискав вакансии по запросу “cisco”. В большинстве случаев вы встретите в качестве требований к кандидату — знание Cisco ASA.
- Cisco ASA фактически является стандартом для межсетевых экранов класса stateful inspection. Если вы будете понимать, как работает ASA, то освоить другие устройства для вас не составит особого труда.
- И еще одно важное преимущество — возможность эмулирования в GNS3 и EVE NG. Даже в Cisco Packet Tracer есть данная возможность в виде Cisco ASA 5505 (хотя функционал там очень скудный).
3.1. Cisco VIRL
VIRL уже включает в себя учебные версии образов IOSv, IOSvL2, IOS XRv, NX-OSv, CSR1000v, ASAv. Так же в него могут быть добавлены сторонние виртуальные машины других сетевых производителей.
Для работы с VIRL используется собственный GUI клиент VM Maestro.
1.1. Cisco Packet Tracer (CPT)
Самый известный симулятор для Cisco. В Интернет (и на Хабре в частности) есть очень много материалов, посвящённых работе с ним. Этот инструмент хорошо знаком тем, кто изучает Cisco на официальных курсах производителя. Позволяет составлять достаточно сложные сети из коммутаторов Catalyst 2960, ISR (Integrated Service Router), симуляторов ПК и нескольких других, менее значительных элементов. Текущая версия 7.3. Надо отметить, что CPT развивается существенно медленнее технологий своего производителя. Так, например, там вы не найдете никакой современной линейки типа Catalyst 9200, но при этом там присутствуют такие динозавры как Catalyst 2950, который добросовестно имитирует подключение без Auto-MDI, 3560 и даже неуправляемый концентратор (не путайте с коммутатором).
Кстати, в Cisco ASA есть команда packet-tracer, которая позволяет проверить настройки межсетевого экрана. Так вот, она никакого отношения к Packet Tracer не имеет.
Почему Cisco ASA
Для начала рассмотрим “глобальные” причины:
- Cisco ASA это один из самых популярных межсетевых экранов в мире. Вряд ли вы встретите сетевого специалиста, который не знал бы, что такое Cisco ASA. Огромное количество компаний используют именно этот фаервол. Отсюда вытекает следующая причина.
- Проще найти работу. Можете проверить сами, зайдя на сайт Headhanter и поискав вакансии по запросу “cisco”. В большинстве случаев вы встретите в качестве требований к кандидату — знание Cisco ASA.
- Cisco ASA фактически является стандартом для межсетевых экранов класса stateful inspection. Если вы будете понимать, как работает ASA, то освоить другие устройства для вас не составит особого труда.
- И еще одно важное преимущество — возможность эмулирования в GNS3 и EVE NG. Даже в Cisco Packet Tracer есть данная возможность в виде Cisco ASA 5505 (хотя функционал там очень скудный).
Читайте также: