Áls erstes nehme ich mir die SNRS Prüfung vor.
Securing Networks with Routers and Switches.
Der Stoff ist sehr komplex - dafür aber auch wirklich brauchbar im tägl. Geschäft.
Ich will hier in einer Art BLOG meine Fortschritte dokumentieren, sowie die CCSP zertifizierung vorstellen - könnte ja sein dass es jemanden - ausser meiner Oma - interessiert. ;-)
Die Themen des SNRS im Einzelnen:
Access Control Server (ACS)
Eine auf Server2003 laufende Cisco Software, die einen TACACS+ Server mitbringt - und vielen Zusatzfunktionen. Eine Authentifizierungs Maschine quasi.
Bringt die AAA Features mit. Authentication (wer ist man?), Authorization (was darf man) und Accounting (was hat´man wann gemacht)
Die Lizenz kostet übrigens 6000$. Da ist MS ja regelrecht billig im Vergleich....hehe.
802.1x
Wie kriegt man es hin, einen User ´daran zu hindern, mit privaten mitgebrachten Notebooks oder Gäste-PCs ám LaN teilzunehmen? Richtig - mit 802.1X.
Kommt eigentlich aus dem WLAN Bereich, doch es gibt Mutige die es auch im LAN einsetzen.
IOS Firewall
Neben PIX ´gibt es auch eine im IOS eingebaute Firewall, dieses Featureset muss man aber erstmal lizensieren, um es nutzén zu dürfen.
IOS Firewall bringt folgendes mit sich:
Auth-Proxy
Bei entsprechender Konfiguration müssen User (oder Gäste?) eines bestimmten Subnets sich authentifizieren, um auf belibige Ressourcen ´(zb Internet) zugreifen zu dürfen. Die User kriegen dabei eine vom Router ´gesendete Webseite zu sehen, auf der sie sich authentifizieren müssen. Läuft in Zusammenarbeit mit einem Tacacs oder Radius Server, der dié Userdaten überprüft.
IPS
Deep Paket inspection. Je nachdem welche Art von Daten durchs LAN flattern, werden diese untersucht.
Treffen bestimmte Kriterien zu , werden abhängig von sogenannten Signaturen die Pakete verworfen, die session resettet oder ein event an den syslog server gesendet. Séhr ressourcenfressend das ganze...
CBAC
Content based Access Control
Eine Art Statefull Inspection Firewall.
Da kann man konfigurieren bis der ARzt kommt.
PAM
Port to Application Mapping.
Damit kann man die Port Zuordnung zu bestimmten Diensten die im Intranet angeboten wird, umbiegen.
Beispielsweise addressiert einer aus dem Internet eine Anfrage an Port 80. PAM kann die Anfrage umbiegen auf Port 666 und an den Webserver im Intranet weiterleiten.
VPN
IPSEC und Konsorten. Certification Authorities.
Da gehts ans eingemachte...
Kommentar