Интенсив по сетевой безопасности
Продолжительность: 40 часов (очно или дистанционно)
Требования: Базовые знания сетевых технологий
Стоимость: по запросу
Расписание
Требования: Базовые знания сетевых технологий
Стоимость: по запросу
Расписание
ТЕМЫ, ИЗУЧАЕМЫЕ В КУРСЕ:
Описание базовых сервисов
1. Администрирование оборудования Eltex ESR
a. Протоколы управления telnet, ssh, ntp, snmp
b. Журналирование событий logging
c. Создание резервных копий и восстановление
d. Обновление ПО
2. Принципы защиты сетевых устройств
a. Место и важность Control plane
b. Broadcast и Multicast в Vlan 1 (Default, Native, PVID etc)
c. Подключение к сервисам AAA (роль RADIUS и TACACS+)
d. Вспомогательные протоколы (LLDP и т.д.)
e. Настройка линий line con, ssh, telnet
3. Принципы защиты сети L2
a. Функциональность порта уровня доступа
b. Функциональность соединения IEEE 802.1Q
c. Место и роль STP в обеспечении безопасности сегмента управления
d. Функции STP PortFast and BPDUGuard
e. Описание работы вспомогательных VLAN Vlan для порта в Trunk и General
f. Применение функциональности Port-Security
g. Отключение и фильтрация STP
Описание сервисов фильтрации и защиты периметра
1. Статические списки доступа
a. Типы и назначение списков доступа (L2-L4 ACL)
b. Направление движения трафика (In, Out)
c. Транзитный трафик и трафик устройства
d. Расположение списков доступа
e. Характеристики префикс-списков и их применение
f. Структура списка доступа на маршрутизаторах Eltex ESR
2. Типы Firewall
a. Устаревший (классический) тип периметральной защиты
b. Зонирование с помощью Zone Based Firewall
c. New-Generation Firewall и его сервисы
Работа Zone Based Firewall на маршрутизаторах Eltex
1. ZBF и возможные дизайны
2. Режимы работы Stateful и Stateless
3. Журналирование и анализ попаданий в правила
4. Последовательность прохождения трафика
5. Правила формирования пар-зон
a. Зона self и специальные зоны
b. Направление инспектирования трафика
c. Правила для обратного трафика
d. Нумерация и порядок анализа правил
e. Структура правил
f. Рекомендации по применению правил
Функциональность NGFW: IDS/IPS и URL-Filtering
1. IDS/IPS и сценарии применения
a. Inline и passive режим
b. Зеркалирование трафика
c. Команда monitor на коммутаторах Eltex
2. Типы IPS: host-based и network-based IPS
a. Компоненты IPS
b. Архитектура IPS на устройстве ESR
3. Основные функциональные возможности ESR IPS
a. Анализ и мониторинг трафика
b. Классификация атак
c. Действие
Сигнатурный анализ
1. Атрибуты сигнатур (тип, тревога (триггер), действие)
2. Анализ базового поведения
a. Типы тревог
1. На основе шаблона (pattern-base)
2. Обнаружение аномалий
3. Обнаружение на основе политик и шаблона
4. Обнаружение на основе ловушки (Honey-pot)
b. Типы действий
1. Сообщения, журналирование, запреты “deny”, reset TCP, block, SNMP traps
c. Критерии правильной настройки
1. True/Fales Positive/Negative
Работа с поставщиками сигнатур
1. Подключение к провайдеру сигнатур
a. Касперский стрим
b. Позитивные технологии
2. Сервер лицензирования
a. Место сервера лицензирования в дизайне сети
b. Описание модели лицензирования
3. Методы обновления сигнатур
4. Управление перечнем сигнатур
Защита от сетевой разведки и атак типа «отказ в обслуживании
1. Классификация атак типа «отказ в обслуживании
a. Атаки с большим объемом трафика
b. Атаки на истощение
c. Атаки на приложения
2. Рекомендации и защита от базовых типов атак
3. Способы противодействия маршрутизаторов Eltex ESR против DoS/DDoS
4. Защита от атак сетевой разведки
VPN и защита данных
1. Основные принципы обеспечения защиты информации
a. Конфиденциальность
b. Целостность
c. Аутентификация источника
d. Невозможность отказа
2. Алгоритмы криптозащиты
a. Срок жизни информации
b. Понятие криптостойкости алгоритмов
c. Принципы выбора алгоритма
3. Функции подтверждения целостности
a. Hash-функция (MD5, SHA) - Integrity
b. HMAC – Origin Authentication
4. Шифрование - Confidentiality
5. Шифрование с симметричным ключом
a. Блочное шифрование (DES, 3DES, AES)
b. Потоковое шифрование (Elliptic Curve Cryptography)
6. Шифрование с ассиметричным ключом (RSA)
c. Использование инфраструктуры PKI совместно с RSA
d. DH Groups
e. IPSec vs SSL
f. SSL и proxy
7. IPsec Framework
a. AH, ESP, AH+ESP
b. Tunnel vs Transport Mode
c. Длина заголовка и требования к MTU
8. ISAKMP Framework
d. IKE v1 (Phase 1 + Phase2)
e. IKE v2
f. Сравнение версий IKE
Типы туннелей и VPN
1. Site-to-Site VPN
2. Remote Access (RA) VPN
3. Туннелирование без шифрования
a. IP-IP
b. GRE (multi-proto, broadcast, multicast, unicast) и mGRE
c. Длина заголовка и требования к MTU
4. Защищенные туннели
a. IPsec point-to-point (unicast only)
b. IPSec over GRE (MTU и фрейм)
c. DMVPN phase 1, 2, 3 и маршрутизация
5. Особенности использования маршрутизации в DMVPN
a. Особенности OSPF в Broadcast сети и место DR/BDR
b. Рекомендации использования BGP
Описание базовых сервисов
1. Администрирование оборудования Eltex ESR
a. Протоколы управления telnet, ssh, ntp, snmp
b. Журналирование событий logging
c. Создание резервных копий и восстановление
d. Обновление ПО
2. Принципы защиты сетевых устройств
a. Место и важность Control plane
b. Broadcast и Multicast в Vlan 1 (Default, Native, PVID etc)
c. Подключение к сервисам AAA (роль RADIUS и TACACS+)
d. Вспомогательные протоколы (LLDP и т.д.)
e. Настройка линий line con, ssh, telnet
3. Принципы защиты сети L2
a. Функциональность порта уровня доступа
b. Функциональность соединения IEEE 802.1Q
c. Место и роль STP в обеспечении безопасности сегмента управления
d. Функции STP PortFast and BPDUGuard
e. Описание работы вспомогательных VLAN Vlan для порта в Trunk и General
f. Применение функциональности Port-Security
g. Отключение и фильтрация STP
Описание сервисов фильтрации и защиты периметра
1. Статические списки доступа
a. Типы и назначение списков доступа (L2-L4 ACL)
b. Направление движения трафика (In, Out)
c. Транзитный трафик и трафик устройства
d. Расположение списков доступа
e. Характеристики префикс-списков и их применение
f. Структура списка доступа на маршрутизаторах Eltex ESR
2. Типы Firewall
a. Устаревший (классический) тип периметральной защиты
b. Зонирование с помощью Zone Based Firewall
c. New-Generation Firewall и его сервисы
Работа Zone Based Firewall на маршрутизаторах Eltex
1. ZBF и возможные дизайны
2. Режимы работы Stateful и Stateless
3. Журналирование и анализ попаданий в правила
4. Последовательность прохождения трафика
5. Правила формирования пар-зон
a. Зона self и специальные зоны
b. Направление инспектирования трафика
c. Правила для обратного трафика
d. Нумерация и порядок анализа правил
e. Структура правил
f. Рекомендации по применению правил
Функциональность NGFW: IDS/IPS и URL-Filtering
1. IDS/IPS и сценарии применения
a. Inline и passive режим
b. Зеркалирование трафика
c. Команда monitor на коммутаторах Eltex
2. Типы IPS: host-based и network-based IPS
a. Компоненты IPS
b. Архитектура IPS на устройстве ESR
3. Основные функциональные возможности ESR IPS
a. Анализ и мониторинг трафика
b. Классификация атак
c. Действие
Сигнатурный анализ
1. Атрибуты сигнатур (тип, тревога (триггер), действие)
2. Анализ базового поведения
a. Типы тревог
1. На основе шаблона (pattern-base)
2. Обнаружение аномалий
3. Обнаружение на основе политик и шаблона
4. Обнаружение на основе ловушки (Honey-pot)
b. Типы действий
1. Сообщения, журналирование, запреты “deny”, reset TCP, block, SNMP traps
c. Критерии правильной настройки
1. True/Fales Positive/Negative
Работа с поставщиками сигнатур
1. Подключение к провайдеру сигнатур
a. Касперский стрим
b. Позитивные технологии
2. Сервер лицензирования
a. Место сервера лицензирования в дизайне сети
b. Описание модели лицензирования
3. Методы обновления сигнатур
4. Управление перечнем сигнатур
Защита от сетевой разведки и атак типа «отказ в обслуживании
1. Классификация атак типа «отказ в обслуживании
a. Атаки с большим объемом трафика
b. Атаки на истощение
c. Атаки на приложения
2. Рекомендации и защита от базовых типов атак
3. Способы противодействия маршрутизаторов Eltex ESR против DoS/DDoS
4. Защита от атак сетевой разведки
VPN и защита данных
1. Основные принципы обеспечения защиты информации
a. Конфиденциальность
b. Целостность
c. Аутентификация источника
d. Невозможность отказа
2. Алгоритмы криптозащиты
a. Срок жизни информации
b. Понятие криптостойкости алгоритмов
c. Принципы выбора алгоритма
3. Функции подтверждения целостности
a. Hash-функция (MD5, SHA) - Integrity
b. HMAC – Origin Authentication
4. Шифрование - Confidentiality
5. Шифрование с симметричным ключом
a. Блочное шифрование (DES, 3DES, AES)
b. Потоковое шифрование (Elliptic Curve Cryptography)
6. Шифрование с ассиметричным ключом (RSA)
c. Использование инфраструктуры PKI совместно с RSA
d. DH Groups
e. IPSec vs SSL
f. SSL и proxy
7. IPsec Framework
a. AH, ESP, AH+ESP
b. Tunnel vs Transport Mode
c. Длина заголовка и требования к MTU
8. ISAKMP Framework
d. IKE v1 (Phase 1 + Phase2)
e. IKE v2
f. Сравнение версий IKE
Типы туннелей и VPN
1. Site-to-Site VPN
2. Remote Access (RA) VPN
3. Туннелирование без шифрования
a. IP-IP
b. GRE (multi-proto, broadcast, multicast, unicast) и mGRE
c. Длина заголовка и требования к MTU
4. Защищенные туннели
a. IPsec point-to-point (unicast only)
b. IPSec over GRE (MTU и фрейм)
c. DMVPN phase 1, 2, 3 и маршрутизация
5. Особенности использования маршрутизации в DMVPN
a. Особенности OSPF в Broadcast сети и место DR/BDR
b. Рекомендации использования BGP
Эксперт
- Ашот Пастажян
Готовы начать?
Оставьте ваши контакты — и мы обязательно свяжемся.
Нажимая кнопку "Отправить" вы даёте согласие на обработку персональных данных.