NET-04 · ОПЫТ
Проектирую, сегментирую и защищаю сети и межсетевые экраны Cisco
Я выстраиваю и привожу в порядок сетевой уровень, от которого зависит всё остальное. Это коммутация на Cisco IOS и Catalyst, политика межсетевого экрана Firepower, проектирование VLAN и сегментации, ACL и site-to-site VPN, который действительно держится. Я работаю по опубликованным стандартам и никогда не трогаю продакшен без письменного плана изменений и готового к запуску отката.
01 · Чем я занимаюсь
Реальная работа
- Проектирую VLAN и сегментацию так, чтобы нужный трафик проходил, а остальной был отгорожен, включая разделение голоса, управления и гостевого доступа
- Пишу и проверяю ACL на коммутаторах и маршрутизаторах, а затем тестирую их на том доступе, который вы действительно хотите разрешить
- Строю и сопровождаю политику Cisco Firepower: наборы правил, NAT, инспекцию и логирование, которое сможет читать SOC
- Поднимаю и диагностирую site-to-site VPN-туннели, включая несовпадение фаз, MTU и маршрутизацию через туннель
- Провожу проверки сегментации, чтобы найти плоские сети, слишком широкие правила и пути, которых быть не должно
- Усиливаю защиту конфигураций коммутаторов и межсетевых экранов по базовым требованиям DoD STIG и NIST 800-53, а не только по настройкам по умолчанию
- Документирую топологию, назначение правил и историю изменений, чтобы следующему человеку не приходилось гадать
02 · Что вы получаете
С чем вы остаётесь
- Сегментированная сеть с понятными зонами и правилами, которые вы сможете объяснить аудитору
- Политика межсетевого экрана и ACL, соответствующая замыслу, с вычищенными мёртвыми и дублирующимися правилами
- Рабочие, задокументированные site-to-site VPN-туннели и записи, по которым их можно будет диагностировать позже
- Конфигурации, проверенные по DoD STIG и NIST 800-53, с письменно зафиксированными находками и исправлениями
- Документация по топологии и журнал изменений, чтобы ваша команда владела сетью, а не боялась её
03 · Инструменты и знания
С чем я здесь работаю
04 · Как я подхожу к делу
Спланировано, очерчено и доведено до конца
Всё начинается с 30-минутного звонка для оценки объёма работ и письменной оценки соответствия в тот же день, чтобы мы оба понимали, с чем имеем дело, ещё до какого-либо расчёта стоимости. Прежде чем что-то менять в продакшене, я составляю упорядоченный план изменений с точными командами, контрольными точками проверки и откатом, и подтверждаю, кто отвечает за этот откат. Сетевые изменения ломают вещи незаметно, поэтому я провожу переключение в отведённое окно, проверяю по этим контрольным точкам и всё это время держу предыдущую конфигурацию наготове. Если контрольная точка не пройдена, мы откатываемся, а не идём вперёд в надежде, что всё обойдётся.
05 · Вопросы
Хорошие вопросы, прямые ответы
Можете ли вы работать в действующей сети, не уронив её?
Да. Именно для этого и нужны план изменений и откат. Я планирую работу в отведённое окно, проверяю каждый шаг по контрольным точкам и держу прежнюю конфигурацию наготове, так что проблема превращается в быстрый возврат, а не в простой неизвестной длительности.
Вы занимаетесь Firepower или только коммутацией на IOS?
И тем, и другим. Я веду коммутацию и маршрутизацию на Catalyst и IOS вместе с политикой межсетевого экрана Firepower, NAT, VPN и логированием, так что уровни коммутатора, ACL и межсетевого экрана проектируются так, чтобы согласовываться друг с другом, а не конфликтовать.
Можете ли вы просто проверить то, что у нас уже есть, вместо того чтобы перестраивать?
Да. Проверка сегментации и конфигурации, это частая отправная точка. Я сверяю топологию, VLAN, ACL и правила межсетевого экрана с вашим замыслом и с DoD STIG и NIST 800-53, а затем передаю вам письменный список того, что нужно исправить и почему.
06 · Смежный опыт
Смежные направления, которыми я занимаюсь
Нужно, чтобы за это взялись?
Расскажите, что вы пытаетесь сдвинуть с места и где оно застряло. Нескольких предложений достаточно для начала, и они попадут прямо в мой почтовый ящик.