Difference between revisions of "6245 Gateway sikkerhed/Materialer"

From Teknologisk videncenter
Jump to: navigation, search
m (Platforme)
m (Materialer til IPsec/VPN)
 
(15 intermediate revisions by the same user not shown)
Line 6: Line 6:
 
*Cisco ASA
 
*Cisco ASA
 
*Cisco IOS Router
 
*Cisco IOS Router
*Linux [[IPtables]]
+
*Linux [[iptables]]
 
*Hvad har vi ellers?
 
*Hvad har vi ellers?
 +
=Onsdag=
 +
*Teori VPN og IPsec
 +
==Øvelse IPsec/VPN==
 +
*Start med en router der er nulstillet.
 +
*Find et hold at arbejde sammen med eller find en router mere
 +
*Lav netværksdiagram over setuppet med IP adresser og interface navne.
 +
*Lav IPsec/VPN mellem mellem de interne netværk mellem routerne
 +
**Test at der kan pinges mellem to hosts på de interne netværk
 +
*Lav NAT på routerne så de interne hosts også kan komme på internettet
 +
**Test igen at der kan pinges mellem to hosts på de interne netværk
 +
*Konfigurer Zone-Based firewall på routerne
 +
**Test igen at der kan pinges mellem to hosts på de interne netværk
 +
**Test at hostene på de interne netværk kan komme på Internettet
 +
==Tag udgangspunkt i dette eksempel==
 +
<source lang=cli>
 +
crypto isakmp policy 1
 +
  hash md5
 +
  authentication pre-share
 +
  group 2
 +
  lifetime 500
 +
crypto isakmp key l8heise address 10.11.12.13
 +
!
 +
crypto ipsec transform-set Kunde1 esp-aes esp-sha-hmac
 +
!
 +
crypto map Viborg 10 ipsec-isakmp
 +
  set peer 10.11.12.13
 +
  set transform-set Kunde1
 +
  match address 101
 +
!
 +
interface FastEthernet0/1
 +
  ip address 7.8.9.10 255.255.255.0
 +
  crypto map Viborg
 +
!
 +
access-list 101 permit ip 192.168.3.0 0.0.0.255 172.16.4.0 0.0.0.255
 +
</source>
 +
===Materialer til IPsec/VPN===
 +
*[[Media:02.03.01_-_CCNAS_Part_III.pdf |Part III includeing IPsec - PowerPoint ]]
 +
*[[Media:01.01.02_-_WAN_netværk_-_samlet.pdf|WAN Netværk]]
 +
*[[IPsec_Cisco_IOS|IPsec Cisco IOS eksempel]]
 +
*[[Media:Zone-based firewall.pdf|Zone-Based Firewall]]
 +
 +
==Firewall ASA==
 +
*[[media:01.01.01 - ASAS opgave 1.pdf|ASA Opgave 1]] (Loads PDF)
 +
===Links===
 +
* Andre artikler om [[:Category:ASA Cisco|ASA]]
 +
* [http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/data_sheet_c78-701253.html Ciscos egen introduktion til ASA familien]
 +
* [http://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/start.html#wp1054582 Hvordan man reset'er en Cisco ASA 5505 til factory defaults]
 +
* [https://supportforums.cisco.com/document/79016/asa-password-recovery Hvis du får brug for at nulstille password, men gemme konfigurationen ;-)]
 +
*[http://www.firewall.cx/cisco-technical-knowledgebase/cisco-firewalls/964-cisco-asa5500-startup.html Fin begyndervejledning til Cisco ASA fra folkene bag siden www.firewall.cx]
 +
 +
Videoguides:
 +
*[https://www.youtube.com/watch?v=F6qvKRFn-xc Cisco ASA 5505 - Initial setup fra soundtraining.net]
 +
=Materialer=
 +
*[[media:01.01.02_-_WAN_netværk_-_samlet.pdf|WAN netværk]] (Loads PDF)
 +
*[[media:03.01.01_-_VPN_introduktion_VPN.pdf|VPN introduktion]] (Loads PDF)
 +
*[[IPsec Cisco IOS]]
 +
*[[iptables]]
  
 
=Værktøj=
 
=Værktøj=

Latest revision as of 13:05, 21 March 2019

I faget 6245 Gateway sikkerhed vil vi lege med forskellige gateway platforme og gateway sikkerheds teknologier. Forløbet vil veksle mellem teori, praksis og fordybelse.


Platforme

Onsdag

  • Teori VPN og IPsec

Øvelse IPsec/VPN

  • Start med en router der er nulstillet.
  • Find et hold at arbejde sammen med eller find en router mere
  • Lav netværksdiagram over setuppet med IP adresser og interface navne.
  • Lav IPsec/VPN mellem mellem de interne netværk mellem routerne
    • Test at der kan pinges mellem to hosts på de interne netværk
  • Lav NAT på routerne så de interne hosts også kan komme på internettet
    • Test igen at der kan pinges mellem to hosts på de interne netværk
  • Konfigurer Zone-Based firewall på routerne
    • Test igen at der kan pinges mellem to hosts på de interne netværk
    • Test at hostene på de interne netværk kan komme på Internettet

Tag udgangspunkt i dette eksempel

crypto isakmp policy 1
  hash md5
  authentication pre-share
  group 2
  lifetime 500
crypto isakmp key l8heise address 10.11.12.13
!
crypto ipsec transform-set Kunde1 esp-aes esp-sha-hmac
!
crypto map Viborg 10 ipsec-isakmp
  set peer 10.11.12.13
  set transform-set Kunde1
  match address 101
!
interface FastEthernet0/1
  ip address 7.8.9.10 255.255.255.0
  crypto map Viborg
!
access-list 101 permit ip 192.168.3.0 0.0.0.255 172.16.4.0 0.0.0.255

Materialer til IPsec/VPN

Firewall ASA

Links

Videoguides:

Materialer

Værktøj

Opgaver

  1. Få alle platforme op at køre
    1. Anvend exempelvis VMware ESXI til PFsense, Kali linux og interne klienter
  2. Lav grundlæggende firewall til mindre firma
    1. Tillad ping indefra, HTTP ....
  3. Lav full mesh IPsec tunneler mellem alle platforme