CCNA Security im Unterricht

Präsentation unter: http://www.coufal.info/presentations/CCNAS_im_Unterricht.html

Klaus Coufal

1.3.2016

Übersicht

• Einführung
• Ziel
• Der Inhalt von CCNA Security
• Kapitel von CCNA Security und Ihre Eignung für den Unterricht
• Mögliche Aufteilung auf Unterrichtsgegenstände bzw. Selbststudium
• ASA im Packettracer
• Zusammenfassung

Einführung

• Warum diese Thematik?
• Warum in diesem Rahmen?
• CCNA Security ist deutlich "ciscolastiger" als CCNA R&S
• In Kursen ohne CCNA R&S als Vorbildung nicht direkt einsetzbar
• Im Zeitalter von Smartphones und IoT ist Sicherheit aber unabdingbar
• Daher ist eine Stoffauswahl aus dem Kurs für alle Studierende sinnvoll
• Alternativkurse sollten ebenfalls überlegt werden
  (z.B.: Introduction to Cybersecurity)

Ziel

• CCNA Security kennenlernen
• Der Einsatz von CCNA Security im Anschluß an CCNA R&S
• Der Einsatz ausgewählter Kapitel von CCNA Security im Unterricht
• Sensibilisierung für die Sicherheitsthematik (z.B.: MITM mit Rasperry PI)
• Zum Querdenken im Securitybereich anregen
• Grenzen des Einsatzes des Packettracers aufzeigen
• Erhöhung der Sicherheit der Arbeitsplätze und Smartphones

CCNA Security - Inhalt 1

• 1. Modern Network Security Threats
• 2. Securing Network Devices
• 3. Authentication, Authorization, and Accounting
• 4. Implementing Firewall Technologies
• 5. Implementing Intrusion Prevention
• 6. Securing the Local Area Network

CCNA Security - Inhalt 2

• 7. Cryptographic Systems
• 8. Implementing Virtual Private Networks
• 9. Implementing the Cisco Adaptive Security Appliance
• 10. Advanced Cisco Adaptive Security Appliance
• 11. Managing a Secure Network

1. Modern Network Security Threats 1

• Die Inhalte dieses Kapitels eignen sich für alle
• An Hand einfacher Beispiele kann die Problematik näher gebracht werden
• Zertifikate und ihr Nutzen (MITM, ...)
• Verlorene/Gestohlene Hardware (USB-Sticks, Smartphones, ...)
• Klartextdaten (eMail, Messenger, Clouddienste, ...)
• Identitätsdiebstähle durch schlechte Passwortwahl
• Gefahren von BYOD für die Firmeninfrastruktur

1. Modern Network Security Threats 2

• Sicherheit und Bequemlichkeit vertragen sich nicht

  Was sicher ist, ist mir Sicherheit unbequem! Was bequem ist, ist mit Sicherheit unsicher!

• Notwendigkeit, Sicherheit und Bequemlichkeit auszubalancieren
• Ein zu viel an Sicherheitsmaßnahmen führt durch ihre Umgehung ebenfalls zu Unsicherheit

1. Modern Network Security Threats 3

• Malware (Viren, Trojaner, Botnetze, ...)
• DDOS: Folgen und Abwehrmöglichkeiten
• Social Engineering und
• Sniffing (Wireshark, Cain und Abel, ...)
• Penetration Testing (Kali, ...)
• Sicherheitsinformation (Cert.at, BSI, NSA, ...)
• ...

2. Securing Network Devices

• Hier ist nur ein Unterschied in der Tiefe bzw. in den Details notwendig
• Die Thematik ist wieder für alle wichtig
• Die Detailtiefe des Kapitels ist nur für "Netzwerktechniker" wichtig
• "Physical Security" (Zutritts- und Zugriffsschutz)
• Betriebssystemsicherheit (Updates, Antimalwaresoftware, ...)
• "Device Hardening"(Abdrehen unbenötigter Services, Defaultkonfiguration, ...)
• Passwörter

"Sicheres" Passwort

Quelle: http://www.xkcd.com/936/

3. Authentication, Authorization, and Accounting

• Von allgemeinem Interesse sind nur nur die Begriffe
• Wo sind wir alle davon betroffen (WLAN-Nutzung, ...)
• Welche Auswirkungen hat das (Wo werden Accounting-Daten gespeichert)
• "Authentication" (Wer bist Du?)
• "Authorization" (Was darfst Du machen?)
• "Accounting" (Was hat Du gemacht?)
• Für CCNA Absolventen ist das Kapitel eine sinnvolle Ergänzung

4. Implementing Firewall Technologies

• Für den allgemeinen Unterricht eignet sich nur das Konzept
• Möglicherweise kann auch Anschauungsmaterial aus dem Kurs verwendet werden
• An Hand eines NAT-Devices (Home-"Router") die Funktionalität zeigen
• Für CCNA-Absolventen selbstverständlich den vollen Kursinhalt
• Wiederholung ACLs, Firewallarten (Überwachungsrouter, Inspection Engine, ALG)
• Router als Firewall versus dedizierte Firewall
• Position der Firewall(s) im Netz

5. Implementing Intrusion Prevention

• Für alle eignen sich wieder nur Konzepte und Begriffe
  • IDS versus IPS (parallel versus inline)
  • Signature-, Anomaly- bzw. Policy-Bases
  • Hostbasierend (Antimalware) versus Netzwerkbasierend
• Für CCNA-Absolventen dazu
  • Umsetzung in einem Cisco-Router
  • SPAN-Port, Promiscuous-Mode
  • Signaturtypen (atomic, composite), Microengines
  • Triggerarten (Alarm, Action)
  • Alarmtypen (True/False, positive/negative)

6. Securing the Local Area Network

• Für alle empfiehlt sich der klassische Ansatz
  • Antimalware Software
  • Hostbasierende Firewall
  • Hostbasierendes IDS
• Für CCNA-Absolventen einen deutlich umfassenderen Ansatz
  • AMP (Antimalwareprotection, Host- und Netzwerkbasierend)
  • NAC (Network Access Control, Layer 2 bis 7)
  • ESA (e-Mail Security Appliance)
  • WSA (Web Security Appliance)
  • Ansätze von anderen Firmen als Cisco (z.B.: Checkpoint)

7. Cryptographic Systems

• Hier gibt es nur in der Tiefe Unterschiede zwischen den zwei Ansätzen
• Begriffe: Zertifikat, CA, PKI, Vertrauensstellung, Digitale Unterschrift,
  PIN, TAN, Hash, Prüfsumme, ...
• Notwendigkeiten:
  • Confidentiality (Vertraulichkeit)
  • Integrity (Unversehrtheit)
  • Availability (Verfügbarkeit)
• Verfahren:
  • Symmetrisch (Secret-Key)
  • Asymmetrisch (Private-, Public-Key)
• Verschlüsselung verstehen: z.B.: Geheimschriften, Cryptool, ...

8. Implementing Virtual Private Networks

• Für alle ist sicher nur der Begriff VPN interessant
• Am Beispiel einer https-Session kann hier alles wichtige gezeigt werden
• Alternativ: e-Mail Abfrage/Senden mit Wireshark beobachten
• Die Grundlagen und die Konfiguration ist nur für "Spezialisten" interessant
• Arten und Modi: Remote-Access, Site-To-Site, Transport- versus Tunnelmode
• IPsec-Framework (AH, ESP, ...)
• IKE (Internet Key Exchange)

9. Implementing the Cisco ASA

• Dieses Kapitel ist nur für Kursteilnehmer interessant
• Wenn trotzdem für alle
  • ein schon erwähntes "NAT-Device" konfigurieren
  • oder eine "Personal Firewall" am Arbeitsplatz erläutern
• Achtung: Die Implementierung im Packettracer ist sehr mangelhaft
• Der Kursinhalt kann daher nur mit "realen" ASAs gezeigt werden
• Auch die Lizenz der realen ASAs ist wichtig
• Nur die Security Plus Lizenz kann mehrere Zonen
• Firewalls anderer Hersteller sollten zusätzlich eingesetzt werden
  (z.B.: Checkpoint, ...)

10. Advanced Cisco Adaptive Security Appliance

• Dieses Kapitel ist nur für Kursteilnehmer interessant
• Die Verwendung von ASDM und die Konfiguration von VPNs
• ASDM (ASA Secure Device Manager): Nur Prüfungsrelevant
• Site-to-Site-VPN mit CLI bzw. ASDM konfigurieren
• Remote Access VPNs mit ASDM konfigurieren
• IPsec versus SSL
• Client-Based- (AnyConnect) versus Client-Less-VPNs

11. Managing a Secure Network

• Der Teil mit Testtools kann für alle interessant sein
  • NMAP (Portscanner, nmap.org)
  • Nessus (Nicht mehr OSS), OpenVAS (Schwachstellenscanner OpenVAS.org)
  • Metasploit (Penetration Testing Framework, metasploit.com)
  • ...
• Die Teile über Policies und Audits sind nur für Kursteilnehmer von Interesse
  • Security Policies: Arten
    • Behördenvorgaben
    • Allgemeine Grundsätze
    • Spezifische Anweisungen
  • Security Policies: Standards, Richtlinien und Verfahren
  • Verantwortung für Security Policies und Konsequenzen daraus
  • Audits

Aufteilung auf Unterrichtsgegenstände

• zu wenig Stunden für diese Themen ⇒ Mehrere Gegenstände
  Aufteilung je nach Schultype und auch Schulstandort
• Mathematik
  • Symmetrische und Asymmetrische Verschlüsselung (Ch7)
• Einführung in die Informatik
  • Bedrohungspotentiale (Ch1)
  • Basiswissen und Begriffe (Ch2, Ch3, Ch4, Ch5, Ch6, Ch8, Ch9)
  • Kryptographie, Zertifikat (Ch7)
• Netzwerkspezifische Gegenstände
  • Vertiefendes Wissen (Ch2, Ch3, Ch4, Ch5, Ch6, Ch7)
  • Details zu VPN und Firewall (Ch8, Ch9, Ch10)
  • Penetration Test, Policies und Audit (Ch11)

Selbststudium versus Unterricht/Labor

• Grundlagen für alle im Unterricht
• Für alle Sicherheitsinteressierten:
  • sind vertiefende Übungen zum Thema im Selbststudium möglich
  • zu Zertifikaten z.B.: mit Easy-RSA
  • zu Kryptographie z.B.: mit Cryptool
• Für CCNA-Absolventen zusätzlich
  • Alle PT-Übungen ohne ASA sind als Selbststudium möglich
  • Übungen mit ASA benötigen eine "echte" ASA da die Emulation im Packettracer unvollständig
  • Attacken im kontrollierter Laborumgebung testen

ASA im Packettracer

• Die ASA im Packettracer ist nur als Demonstrationsobject zu gebrauchen
• Schwächen der ASA im Packettracer
  • Eingeschränkte Lizenz (nicht erweiterbar)
  • Konfigurationsteile fehlen nach einem Neustart
  • In ACLs ist das Protocol "ip" nicht vorhanden
  • Die Inspection Engine funktioniert anders als in einer realen ASA
  • "inspect" ist nicht mit ACLs kombinierbar
  • Der Befehl "(config)# nat" existiert nicht, daher entweder NAT oder Tunnel
  • Häufige Abstürze des Packettracers bei ASA-Konfigurationen
  • Keine Möglichkeit Livekonfigurationen in PT-ASA zu übertragen
    (funktionieren wegen fehlender Kommandos nicht)
• Als Firewall in PT-Übungen daher besser einen Router einsetzen

Zusammenfassung

• CCNA Security ist nicht nur für Spezialisten
• Security wird für alle immer wichtiger
• CCNA Security kann bei sinnvoller Auswahl diesen Bedarf decken
• Die Grundlagen der Sicherheitsproblematik sind gut abgedeckt
• Sinnvolle Ergänzungen sind zahlreich vorhanden
• Bei der PT-ASA gibt es großen Verbesserungsbedarf
• Für die Zertifizierung (210-260 IINS) ist intensives Training erforderlich

Quellen

• S5: A Simple Standards-Based Slide Show System
• Mein Informationsportal (www.coufal.info)
• Cisco Netspace
• Bild zur sicheren Passwortwahl (xkcd.com)

Fragen

?

Danke für Ihre Aufmerksamkeit