Cisco Firepower VPN Lösungen

Mit den Firepower Appliances bietet Cisco eine Next-Generation Firewall, die sich neben der vereinheitlichten Konfiguration über ein Policy-Modell weiterhin sehr stark auf den Schutz vor Bedrohungen im Netzwerk-Umfeld konzentriert. Neben den klassischen Firewall-Funktionalitäten bieten die verschiedenen Firepower-Systeme auch Application Control, Threat Prevention und Advanced Malware Protection und lassen sich darüber hinaus auch als VPN-Gateway einsetzen.

Die Schulung Cisco Firepower VPN Lösungen vermittelt dir solide Kenntnisse der Einsatzmöglichkeiten als VPN-Gateway, vermittelt VPN-Grundlagen und betrachtet sowohl Site-to-Site VPNs (IPsec/IKEv2) als auch Remote Access VPNs (SSL/ZLS und IPsec/IKEv2).

VPN Produkte von Cisco

• Überblick

• Verschiedene Wege bei VPNs

• Lizenzierung

  • VPN-Lizenzen

• AnyConnect

• Remote Management von FTD-Geräten

VPNs und Sicherheit

• Angriffsarten

• Kleines 1x1 der Kryptographie

  • Vertraulichkeit – Symmetrische Verschlüsselung

  • Diffie-Hellman – Erzeugen symmetrischer Schlüssel

  • RSA – Asymmetrische Verschlüsselung

  • Datenintegrität – Hashwerte

  • Authentisierung – Daten und Absender unverfälscht

VPN Grundlagen

• Die Struktur von IPsec

• IPsec – Die Betriebsarten

• Der IPsec Header – Bestandteile von IPsec

  • Vertraulichkeit – ESP

  • Aushandlung mit ISAKMP und IKE

• Security Associations

• Die Authentisierung

• Der Main Mode

• Der Aggressive Mode

• Der Quick Mode

• IKEv2

• IKEv2 – der Ablauf

  • Option: Extensible Authentication Protocol

  • Option: Remote Access VPN

• TLS – Transport Layer Security

• Der TLS Verbindungsaufbau Sichere Datenübertragung

IPsec Site-to-Site VPNs

• Site-to-Site VPNs: Das Konzept

  • Performance

• Die Topologie

  • Hub-and-Spoke und Full Mesh

  • IKE-Policies

  • IPsec-Proposals

  • IKE-Parameter in der Topologie

  • IPsec-Parameter in der Topologie

  • Weitere Topologie-Einstellungen: IKE

  • NAT und VPN

• Kontrolle im FMC

• Kontrolle via CLI

• Debugging

• Dynamic Crypto Map

  • Dynamic Crypto Map: Konfiguration

• Authentisierung mit Zertifikaten

  • Installation des Zertifikats

  • Manual Enrollment

  • Zertifikate: Monitoring

  • IKE mit Zertifikaten

• Die Konfiguration im CLI

• Site-to-Site VPNs mit VTIs

  • Routing mit VTIs

  • Kontrolle per CLI

SSL VPNs

• Der AnyConnect Client

  • Anpassung des AnyConnect

  • AnyConnect Client Profile

• Das Konzept

• Vorbereitende Konfiguration

  • Grundlegende SSL/TLS-Einstellungen

• Benutzerauthentisierung per AAA

  • Active Directory als Realm

  • Lokale Benutzerdatenbank

  • AAA mit RADIUS

  • 2-Faktor-Authentisierung

• Die VPN Policy

  • VPN Policy: Anpassungen

• Das Connection Profile

  • Connection Profile: Details

• Die Group Policy

• Die Sicht des Benutzers

  • AnyConnect: Preferences

  • AnyConnect: Statistics

  • AnyConnect: Routen und Log

• Kontrolle auf dem Gateway

• Authentisierung mit Client-Zertifikat

  • Das Connection Profile

  • Authentisierung mit Zertifikat und AAA

IPsec Remote Access VPNs

• Der AnyConnect Client und IPsec

• Die VPN Policy

  • VPN Policy: Interface-Einstellungen

  • IKEv2-Parameter

  • VPN-Policy: Feintuning

• Das AnyConnect Profile

• Die Group Policy

• Die Sicht des Benutzers

• Kontrolle auf dem Gateway

• Authentisierung mit Client-Zertifikat

Redundanz und Hochverfügbarkeit

• VPNs und Redundanz

  • Backup Server

  • Stateful Failover

  • VPN Load Balancing

  • Cluster

Cisco Firepower VPN: Praktische Übungen im Kurs

• Netzwerktopologie und Grundkonfiguration

• Site-to-Site VPN

  • Authentisierung mit Zertifikaten

  • Certificate Map

  • Site-to-Site VPN mit VTI

• SSL VPN mit dem AnyConnect Client

  • SSL VPN: Client Profile und NAT

  • SSL VPN: VPN Policy

  • Authentisierung mit Client-Zertifikat

  • SSL VPN: Authentisierung per AAA und Zertifikat (Optional)

• IPsec VPN mit AnyConnect

• Redundanz mit Backup Server

• Redundanz mit HA

• Lösungsvorschläge

  • Grundkonfiguration

  • Site-to-Site VPN

  • Authentisierung mit Zertifikaten

  • Certificate Map

  • SSL VPN mit AnyConnect

  • SSL VPN mit AnyConnect

  • SSL VPN: Authentisierung mit Zertifikat

  • IPSec VPN mit AnyConnect

Der Kurs Cisco Firepower VPN Lösungen richtet sich an Security- und Netzwerk-Administratoren, die eine Firepower Thread Defense Appliance als VPN-Gateway in Betrieb nehmen und verwalten werden. Solltest du planen die Cisco ASA in deinem Netzwerk durch FTD zu ersetzen, bist du ebenfalls richtig in diesem Kurs.

Der Kurs Cisco Firepower VPN Lösungen setzt grundlegendes, produktspezifisches Know-how des Cisco IOS, Kenntnisse des TCP/IP-Protokolls und seiner Sicherheitsrisiken sowie Grundlagen des Switchings und Routings voraus. Die Teilnehmer sollten außerdem mit der Arbeitsweise von Paketfiltern und Firewalls vertraut sein. Grundsätzliche Kenntnisse des Firepower Management Systems (FMC) sowie des Policy-Modells von FTD werden ebenfalls vorausgesetzt.

Firepower VPN bezieht sich auf die Virtual Private Network (VPN)-Funktionen, die in Cisco Firepower-Geräten integriert sind. Diese Geräte, die oft als Next-Generation Firewalls (NGFWs) oder Next-Generation Intrusion Prevention Systems (NGIPS) eingesetzt werden, bieten eine breite Palette von Sicherheitsdiensten, einschließlich VPN-Konnektivität.

Bedeutung:

• Cisco Firepower VPN bietet Unternehmen eine sichere und flexible Möglichkeit, Netzwerke und Remote-Benutzer zu verbinden.

• Die Integration mit anderen Firepower-Sicherheitsdiensten bietet einen umfassenden Schutz vor Bedrohungen.

Cisco Firepower VPN Anwendungsbereiche:

• Unternehmen, die Zweigstellen mit dem Hauptsitz verbinden müssen.

• Unternehmen, die Remote-Benutzern sicheren Zugriff auf Unternehmensressourcen ermöglichen müssen.

• Unternehmen, die ihre VPN-Verbindungen mit erweiterten Sicherheitsfunktionen schützen möchten.

Zusammenfassend bietet Cisco Firepower VPN eine leistungsstarke und sichere VPN-Lösung, die in die umfassende Sicherheitsarchitektur von Cisco Firepower integriert ist.

Unser Cisco Firepower VPN Lösungen Training bieten wir dir in Hamburg und Live-Online an.