Děkujeme za vaši dotaz! Jeden z našich pracovníků vás brzy kontaktuje.
Děkujeme za rezervaci! Jeden z našich pracovníků vás brzy kontaktuje.
Návrh Školení
Základy a architektura VPN
- Typy VPN: remote access, site-to-site, client-to-site
- Porovnání protokolů VPN: WireGuard, OpenVPN, IPsec, SSTP
- Kryptografické základy: symetrické a asymetrické šifrování
- PKI a správa certifikátů pro VPN
- Úvahy o síťové architektuře pro enterprise VPN
Hlubší pohled na protokol WireGuard
- Principy a architektura designu WireGuard
- Routing podle klíčů a správa endpointů
- WireGuard versus tradiční VPN: výkon a jednoduchost
- Analýza zabezpečení protokolu a formální verifikace
- Podpora platforem a dostupnost klientů
Architektura a režimy OpenVPN
- Přehled protokolu OpenVPN: VPN založená na SSL/TLS
- Režimy zařízení TUN versus TAP
- Úvahy o transportu UDP versus TCP
- Konfigurace VPN na Layer 2 a Layer 3
- Konfigurace šifrování a HMAC pro OpenVPN
- Požadavky na zpětnou podporu enterprise
Nasazení serveru WireGuard
- Instalace a konfigurace modulu jádra Linux
- Nástroje WireGuard a utilita wg-quick
- Strategie generování a distribuce klíčů
- Konfigurace serveru: rozhraní, peerové, routing
- Podpora více sítí a směrovací tabulky
- Nastavení vysoké dostupnosti a load balancingu
Nasazení serveru OpenVPN
- Instalace balíčku OpenVPN
- Vytvoření konfiguračního souboru serveru
- Nastavení PKI Easy-RSA a generování certifikátů
- Generování TLS klíčů pro zabezpečení řídicího kanálu
- Šablony konfigurace klienta
- Integrace služeb a konfigurace spuštění
Správa konfigurace klientů
- Nastavení klienta WireGuard: Linux, Windows, macOS, mobilní zařízení
- Konfigurace klienta OpenVPN: OpenVPN Connect, Tunnelblick
- Generování a distribuce konfiguračních souborů
- Konfigurace pomocí QR kódu pro mobilní zařízení
- Konfigurace split tunnelingu
- Prevence a konfigurace DNS leak
Ověřování a autorizace
- Ověřování založené na certifikátech (WireGuard a OpenVPN)
- Integrace LDAP/Active Directory s OpenVPN
- Ověřování RADIUS pro enterprise integraci
- Integrace dvoufázového ověřování (TOTP, hardwarové tokeny)
- Možnosti integrace OAuth a SAML
- Implementace řízení přístupu na základě rolí
Konfigurace VPN site-to-site
- Topologie hub-and-spoke versus full mesh
- WireGuard site-to-site s persistentním keepalive
- WireGuard site-to-site s sdílenými klíči a certifikáty
- Dynamický routing přes VPN tunely (BGP, OSPF)
- Vzory failover a redundancy
- Traversování NAT a firewallu
Pokročilé funkce WireGuard
- wg-easy a nástroje pro správu přes webový prohlížeč
- WireGuard s kontejnery a Kubernetes
- Nastavení WireGuard road warrior s klienty s roamingem
- Predisponované sdílené klíče pro další zabezpečení
- WireGuard v omezených síťových prostředích
- Konfigurace multi-hop a kaskádování
Pokročilé funkce OpenVPN
- Přehled OpenVPN Access Server
- Konfigurace specifická pro klienta a soubory CCD
- Tlačení konfigurací a trasování ke klientům
- Systém Irwins a floating IP adresy
- Konfigurace bridgingu a Ethernet přes IP
- Komprese a tuning výkonu
- Pluginy a skriptování
Síťová bezpečnost a integrace firewallu
- Pravidla firewallu pro VPN servery
- Integrace iptables/nftables
- Filtrování provozu a zásady řízení přístupu
- Implementace kill switchu pro klienty
- Detekce intruzí v provozu VPN
- Ochrana proti DDoS pro endpointy VPN
Monitoring a protokolování
- Stav a monitoring peerů WireGuard
- Stav a analýza logů OpenVPN
- Sledování připojení a aktivity uživatelů
- Integrace Prometheus/Grafana pro metriky VPN
- Alarmování na anomálie připojení
- Integrace SIEM pro monitoring zabezpečení
Škálovatelnost a vysoká dostupnost
- Load balancing VPN připojení
- Konfigurace HA active-passive a active-active
- Přetrvávání relací a zpracování znovu-připojení
- Geo-distribuované VPN servery
- Plánování kapacity a testování výkonu
- Strategie obnovy po havárii
Nástroje pro správu a automatizaci
- Automatizované poskytování a odvolávání uživatelů
- Správa konfigurace (Ansible, Puppet, Chef)
- Řešení správy založená na API
- Self-service portály pro správu certifikátů
- Automatizace nasazení na základě zásad
Ladicí programování a údržba
- Běžné problémy s WireGuard a jejich řešení
- Metodika ladění OpenVPN
- Ladění připojení a zachytávání paketů
- Identifikace zúžených míst výkonu
- Životní cyklus správy certifikátů a klíčů
- Postupy upgradu a zpětná kompatibilita
Migrace z komerčních VPN
- Vyhodnocení kandidátů na náhradu komerční VPN
- Plánování migrace a fázový přechod
- Školení uživatelů a dokumentace
- Hybridní provoz během přechodu
- Stratěgie rollbacku
- Získané zkušenosti a best practices
Shrnutí a kontrolní seznam nasazení
- Kontrolní seznam pro nasazení do produkce
- Best practices pro bezpečnostní hardening
- Požadavky na dokumentaci
- Úvahy pro dlouhodobou údržbu
Požadavky
- Pochopení TCP/IP sítě a subnetingu
- Zkušenosti se správou systému Linux
- Znalost konceptů PKI a certifikátů
- Seznámení s koncepty firewallu a routingy
- Základní porozumění šifrování a kryptografickým principům
Cílová skupina
- Inženýři pro síťovou bezpečnost
- Správci systémů spravující vzdálený přístup
- DevOps inženýři budující bezpečnou infrastrukturu
- IT administrátoři odpovědní za konektivitu pracovní síly
21 Hodiny
Reference (1)
komunikace, znalosti zkušeností, řešení problémů,
Marcin Walewski - Intel Technology Poland Sp. z o.o.
Kurz - OpenStack Bootcamp
Přeloženo strojem
