Орієнтований на: менеджерів з інформаційної безпеки; ревізорів інформаційних систем; аналітиків щодо захисту інформаційних систем; мережевих інженерів і фахівців служб технічної підтримки; архітекторів інформаційних систем і архітекторів захисту; технічних консультантів; інших фахівців, чия діяльність пов'язана із забезпеченням безпеки периметра мережі.
Попередній рівень підготовки: високий. Необхідно прослухати курс "ASN301 Security and Audit of TCP / IP and Web Technology" , Або мати еквівалентну знання протоколів TCP / IP і загальних принципів мережевої взаємодії і безпеки, і відповідний практичний досвід. Так як курс є лабораторним і включає в себе практичні заняття, то учасники також повинні бути знайомі з організацією файлових систем і використанням командного рядка в Windows і Unix-подібних ОС робочих станцій.
Тривалість: 5 днів, 40 годин.
Методичні матеріали: методичні матеріали навчального центру.

програма курсу

1. Розробка плану аудиту безпеки периметра мережі
   • Ризики для безпеки периметра мережі
   • Точки контролю захисту периметра мережі
   • Вимоги щодо відповідності Стандарту безпеки даних індустрії платіжних карт (Payment Card Industry Data Security Standard, PCI DSS) та інших положень і стандартів
   • Вимоги щодо здійснення керівництва, документування та управління змінами
   • Аналіз оточення демілітаризованої зони (DeMilitarized Zone, DMZ)
   • Розробка методології управління ризиками для додатків TCP / IP: сервери додатків з публічним доступом, служби каталогів (DNS, LDAP)
   • Ролі різних пристроїв демілітаризованої зони: проксі-сервери контролю, стабілізатори навантаження, проксі-сервери, поштові шлюзи, інші сервери захисту
   • Контрольний перелік для аудиту демілітаризованої зони
   • Міркування щодо визначення області і рамок аудиту
   • Джерела інструментальних засобів і інформації для проведення аудиту
   • Робочий план аудиту при аналізі безпеки периметра мережі
   • Практичні приклади і вправи з аналізу демілітаризованої зони
2. Конфігурація, захист і аудит маршрутизаторів

• Порівняння відомих мережевих пристроїв
• Класи пристроїв і протоколів маршрутизації
• Засоби управління доступом до портів обслуговування мережевих пристроїв
• Основні відомості по конфігурації, захисту та проведення аудиту маршрутизаторів, що використовують Cisco IOS
• Огляд команд Cisco IOS
• Протоколи маршрутизації: внутрішні, зовнішні / граничні
• Захист портів обслуговування і пристроїв
• Засоби запобігання ситуації "відмова в обслуговуванні"
• Управління журналами реєстрації: syslog, AAA, SNMP, NetFlow
• Важливі додаткові засоби захисту: інструментарій міжмережевих екранів, шифрування
• Списки контролю доступу (Access Control List, ACL) при фільтрації пакетів
• Відмінності в конфігурації і захисту для внутрішніх і прикордонних маршрутизаторів
• Інструментальні засоби для управління конфігурацією і аудиту маршрутизаторів
• Контрольний перелік для проведення аудиту безпеки маршрутизаторів
• Вправи з аналізу конфігурації маршрутизатора

• Конфігурація, захист і аудит мережевих комутаторів
• Роль комутаторів мережі (Ethernet) в демілітаризованій зоні
• Характеристики та конфігурації віртуальних локальних мереж (Virtual LAN, VLAN)
• Протокол транкинга в віртуальних мережах (Virtual Trunking Protocol, VTP)
• Протокол динамічного транкинга (Dynamic Trunking Protocol, DTP)
• Конфігурація віртуальних мереж в демілітаризованій зоні
• Приватні віртуальні мережі (Private VLANs, PVLANs)
• Атаки Рівня 2 моделі OSI і засоби захисту від них
• Безпека портів комутатора
• Списки контролю доступу при конфігуруванні політики безпеки комутатора
• Контрольний перелік для проведення аудиту безпеки комутаторів мережі
• Вправи з аналізу конфігурації комутатора
• Політики, захист, конфігурація і аудит міжмережевих екранів
• За і проти архітектур міжмережевих екранів: фільтри пакетів, проксі-шлюзи, фільтри з аналізом контексту (stateful inspection), екрани веб-додатків
• Типовий синтаксис політики брандмауера
• Базові вимоги політики фільтрації пакетів
• Робота з різними типами додатків: TCP, UDP, ICMP, VPN
• Особливі глобальні правила: чорна діра, анти-спуфинг, очищення
• Політики міжмережевих екранів для вхідних і для вихідних даних
• Трансляція мережевих адрес (Network Address Translation, NAT)
• Екрани додатків, і інші особливості під час виборів та застосування веб-екранів
• Поширені помилки конфігурації міжмережевих екранів
• Управління журналами реєстрації брандмауера
• Системи виявлення / запобігання вторгнення (Intrusion Detection / Prevention Systems, IDS / IPS)
• Інтегроване управління погрозами (Unified Threat Management, UTM): реальність чи фікція?
• Інструментальні засоби управління конфігурацією брандмауера і проведення аудиту
• Контрольний перелік для проведення аудиту безпеки брандмауера
• Вправи з аналізу політики брандмауера
• Безпека віртуальних приватних мереж (Virtual Private Networks, VPN) і віддаленого доступу
• Оцінка різних протоколів віртуальних приватних мереж: IPsec, SSL, SSH, PPTP, L2TP
• Особливості конфігурації захисту віртуальних приватних мереж і пов'язані з цим вимоги політик: IPsec, SSL
• Відносне позиціонування міжмережевих екранів і кінцевих точок віртуальних приватних мереж
• Рішення проблем взаємодії віртуальних приватних мереж і NAT
• RADIUS, TACACS + та інші служби аутентифікації
• Контрольний перелік для проведення аудиту безпеки віртуальної приватної мережі
• Вправи з аналізу конфігурації захисту віртуальної приватної мережі
• Віддалене дослідження і тестування на вразливість периметра мережі
• Деякі спеціальні міркування при дослідженні та тестуванні на вразливість зовнішніх мереж
• Вивчення і опис демілітаризованої зони: дослідження мережевих вузлів, маршрутів даних різних протоколів
• Процедури виявлення і дослідження віртуальних приватних мереж, міжмережевих екранів і інших пристроїв
• Сканування служб і приховане сканування
• Маршрутизація від джерела і інші форми обходу брандмауера
• Тести на "відмова в обслуговуванні"
• Контрольний перелік для проведення тестів з виявлення вразливостей периметра при аудиті
• Вправи з проведення тестування захисту периметра