Difference between revisions of "6245 Gateway sikkerhed/Materialer"
From Teknologisk videncenter
m (→Platforme) |
m (→Materialer til IPsec/VPN) |
||
(13 intermediate revisions by the same user not shown) | |||
Line 8: | Line 8: | ||
*Linux [[iptables]] | *Linux [[iptables]] | ||
*Hvad har vi ellers? | *Hvad har vi ellers? | ||
+ | =Onsdag= | ||
+ | *Teori VPN og IPsec | ||
+ | ==Øvelse IPsec/VPN== | ||
+ | *Start med en router der er nulstillet. | ||
+ | *Find et hold at arbejde sammen med eller find en router mere | ||
+ | *Lav netværksdiagram over setuppet med IP adresser og interface navne. | ||
+ | *Lav IPsec/VPN mellem mellem de interne netværk mellem routerne | ||
+ | **Test at der kan pinges mellem to hosts på de interne netværk | ||
+ | *Lav NAT på routerne så de interne hosts også kan komme på internettet | ||
+ | **Test igen at der kan pinges mellem to hosts på de interne netværk | ||
+ | *Konfigurer Zone-Based firewall på routerne | ||
+ | **Test igen at der kan pinges mellem to hosts på de interne netværk | ||
+ | **Test at hostene på de interne netværk kan komme på Internettet | ||
+ | ==Tag udgangspunkt i dette eksempel== | ||
+ | <source lang=cli> | ||
+ | crypto isakmp policy 1 | ||
+ | hash md5 | ||
+ | authentication pre-share | ||
+ | group 2 | ||
+ | lifetime 500 | ||
+ | crypto isakmp key l8heise address 10.11.12.13 | ||
+ | ! | ||
+ | crypto ipsec transform-set Kunde1 esp-aes esp-sha-hmac | ||
+ | ! | ||
+ | crypto map Viborg 10 ipsec-isakmp | ||
+ | set peer 10.11.12.13 | ||
+ | set transform-set Kunde1 | ||
+ | match address 101 | ||
+ | ! | ||
+ | interface FastEthernet0/1 | ||
+ | ip address 7.8.9.10 255.255.255.0 | ||
+ | crypto map Viborg | ||
+ | ! | ||
+ | access-list 101 permit ip 192.168.3.0 0.0.0.255 172.16.4.0 0.0.0.255 | ||
+ | </source> | ||
+ | ===Materialer til IPsec/VPN=== | ||
+ | *[[Media:02.03.01_-_CCNAS_Part_III.pdf |Part III includeing IPsec - PowerPoint ]] | ||
+ | *[[Media:01.01.02_-_WAN_netværk_-_samlet.pdf|WAN Netværk]] | ||
+ | *[[IPsec_Cisco_IOS|IPsec Cisco IOS eksempel]] | ||
+ | *[[Media:Zone-based firewall.pdf|Zone-Based Firewall]] | ||
==Firewall ASA== | ==Firewall ASA== | ||
− | |||
− | |||
*[[media:01.01.01 - ASAS opgave 1.pdf|ASA Opgave 1]] (Loads PDF) | *[[media:01.01.01 - ASAS opgave 1.pdf|ASA Opgave 1]] (Loads PDF) | ||
===Links=== | ===Links=== | ||
Line 22: | Line 60: | ||
Videoguides: | Videoguides: | ||
*[https://www.youtube.com/watch?v=F6qvKRFn-xc Cisco ASA 5505 - Initial setup fra soundtraining.net] | *[https://www.youtube.com/watch?v=F6qvKRFn-xc Cisco ASA 5505 - Initial setup fra soundtraining.net] | ||
+ | =Materialer= | ||
+ | *[[media:01.01.02_-_WAN_netværk_-_samlet.pdf|WAN netværk]] (Loads PDF) | ||
+ | *[[media:03.01.01_-_VPN_introduktion_VPN.pdf|VPN introduktion]] (Loads PDF) | ||
+ | *[[IPsec Cisco IOS]] | ||
+ | *[[iptables]] | ||
=Værktøj= | =Værktøj= |
Latest revision as of 13:05, 21 March 2019
I faget 6245 Gateway sikkerhed vil vi lege med forskellige gateway platforme og gateway sikkerheds teknologier. Forløbet vil veksle mellem teori, praksis og fordybelse.
Contents
Platforme
Onsdag
- Teori VPN og IPsec
Øvelse IPsec/VPN
- Start med en router der er nulstillet.
- Find et hold at arbejde sammen med eller find en router mere
- Lav netværksdiagram over setuppet med IP adresser og interface navne.
- Lav IPsec/VPN mellem mellem de interne netværk mellem routerne
- Test at der kan pinges mellem to hosts på de interne netværk
- Lav NAT på routerne så de interne hosts også kan komme på internettet
- Test igen at der kan pinges mellem to hosts på de interne netværk
- Konfigurer Zone-Based firewall på routerne
- Test igen at der kan pinges mellem to hosts på de interne netværk
- Test at hostene på de interne netværk kan komme på Internettet
Tag udgangspunkt i dette eksempel
crypto isakmp policy 1
hash md5
authentication pre-share
group 2
lifetime 500
crypto isakmp key l8heise address 10.11.12.13
!
crypto ipsec transform-set Kunde1 esp-aes esp-sha-hmac
!
crypto map Viborg 10 ipsec-isakmp
set peer 10.11.12.13
set transform-set Kunde1
match address 101
!
interface FastEthernet0/1
ip address 7.8.9.10 255.255.255.0
crypto map Viborg
!
access-list 101 permit ip 192.168.3.0 0.0.0.255 172.16.4.0 0.0.0.255
Materialer til IPsec/VPN
Firewall ASA
- ASA Opgave 1 (Loads PDF)
Links
- Andre artikler om ASA
- Ciscos egen introduktion til ASA familien
- Hvordan man reset'er en Cisco ASA 5505 til factory defaults
- Hvis du får brug for at nulstille password, men gemme konfigurationen ;-)
- Fin begyndervejledning til Cisco ASA fra folkene bag siden www.firewall.cx
Videoguides:
Materialer
- WAN netværk (Loads PDF)
- VPN introduktion (Loads PDF)
- IPsec Cisco IOS
- iptables
Værktøj
- Indbyggede værktøjer i platforme
- Wireshark
- Kali Linux
Opgaver
- Få alle platforme op at køre
- Anvend exempelvis VMware ESXI til PFsense, Kali linux og interne klienter
- Lav grundlæggende firewall til mindre firma
- Tillad ping indefra, HTTP ....
- Lav full mesh IPsec tunneler mellem alle platforme