CCIE Security v5 has been announced (Jun 10, 2016)
10 июня 2016 года Cisco анонсировала новую версию CCIE Security v5. Это послужило поводом для написания этой короткой заметки, которая посвящена тем, кто только сейчас задумался над получением CCIE Security. Моя мысль проста - если стоит задача получить CCIE Security, то нужно начать именно сейчас чтобы успеть сдать текущую версию 4 до того как вступит в силу новая версия v5 (до 31 января 2017).
Плюсы CCIE Security v4:
• Текущая версия экзамена (v4) существует уже более 3х лет и на данный момент экзамен является одним из самых старых в линейке CCIE. За 3 года было создано большое количество материалов по подготовке, что конечно же увеличивает шансы.
• CCIE Security дает наиболее широкий кругозор - routing, switching, ASA, IPS, ACS, ISE, WSA, WLC + LWAP, даже немного по голосовой части - в лабе есть CUCME и Cisco Phone. Это делает экзамен уникальным. Для начинающего инженера это скорее плюс, чем минус. Конечно все это нужно знать поверхностно и с уклоном на безопасность, тем не менее.
• Оборудование к лабе версии 4 уже достаточно устарело, поэтому создание собственной домашней лабы (что я всем советую) является вполне себе достижимой задачей.
Минусы:
• Как было указано в плюсах, CCIE Security v4 существует уже более 3х лет. Изменения были анонсированы 05 июня 2012, за пять дней до “Cisco Live” в городе “San Diego” проходившего с 10 по 14 июня 2012 года. Изменения же вступили в силу спустя чуть более 5 месяцев - 19 ноября 2012. Многие ожидали, что новая версия v5 будет анонсирована до или во время “Cisco Live” в городе “Las Vegas” с 10 по 14 июля 2016 года, но это случилось 10 июня 2016 (за месяц до “Cisco Live”). Изменения же вступят в силу 31 января 2017. Т.е. время ограничено (менее 7 месяцев). А при учете того, что расчитывать нужно на 2-3 попытки, то остается менее 5 месяцев на подготовку.
• Обратная сторона того, что в экзамене очень много продуктов и технологий. Вопрос создания полной топологии, получения необходимый лицензий может занять много времени.
• Как было указано в плюсах, оборудование уже достаточно устарело и это является минусом. В современном мире уже не найти IPS4240, трудно найти ISE 1.X. Если стоит задача не просто сдать CCIE Security, а изучить и получить опыт с современными продуктами типа FirePower, то вам стоит готовиться уже к v5.
Приблизительная стоимость проекта будет состоять из следующих пунктов:
• Материалы по подготовке к Written - пропускаю.
• $400 - CCIE Security Written. Скорее всего потребуется 2-3 попытки.
• Материалы для подготовки к лабораторной работе:
• (Опционально) $350..550 - Advanced CCIE Security Workbook v4 (Technology Focused)
• (Опционально) $299 - INE CCIE Security Version 4 Advanced Technologies Class
• Оборудование для подготовки (реальное железо) в минимальном исполнении.
– $800 = 4 x ASA5510 или выше.
– $200 = IPS4240.
– $400..600 = 6 x Catalyst 3560/3750 (как минимум один из шесли обязательно должен быть с IOS v15 и желательно с PoE, к примеру 3750V2-48PS).
– $350 = 5 x Cisco 1841 (256Dram, 64Flash).
– $400 = Cisco 2911 (для поддержки IKEv2).
– (Опционально) $400 = Cisco WLC 2504 + БП. Как альтернативу можно использовать vWLC.
– $20 = LWAP 1240.
– $20 = Cisco Phone.
– $400 = Сервер для виртуализации ACS, ISE, vWSA.
– $100 = Консольный концентратор на 32 порта (Cisco 2500 или маршрутизатор с модулем NM-32AS или более современными мидулями для асинхронных портов, или Openger CM/IM, или Lantronix, или любой другой аналог).
– (Опционально, но желательно) $200 = Система удаленного управления питания.
– $1600 - Попытка сдачи лабы. Скорее всего потребуется 2-3 попытки.
– $99999 - 1000+ часов свободного от работы времени на подготовку к экзамену и лабе.
Для тех кто хочет немного сэкономить на железе и готов вместо этого потратить свое время на работу с софтом для виртуализации (GNS3, IOU, VIRL, UNL), то минимальный стенд можно сократить до сервера, одного коммутатора с PoE и LWAP. Мое мнение состоит в том, что для текущих треков RnS v5 или SP v4 виртуализация является незаменимым инструментом, тогда как для почти всех остальных треков типа Collaboration v3, DataCenter v1 или v2, Wireless v3 виртуализация не применимо вообще или может покрыть лишь малую часть стенда. Security v4 можно виртуализировать на 95% как я упомянул ранее, но скорее всего вы потратите на отладку, нелепые баги, ограничения тут и там гораздо большее количество времени, чем на изучение самих технологий.
How to activate Evaluation License on Cisco ISR G2. [TESTED]
For those who use real hardware for CCIE Collaboration or Security Lab preparation…
Documentation
• Understating Cisco IOS v15 Licenses.
• Understanding CME-SRST License Activation.
Example - Enabling Security feature
conf t license boot module c2900 technology-package securityk9 yes end wri mem reload
Checking results:
Router#show version | b License
License Info:
License UDI:
-------------------------------------------------
Device# PID SN
-------------------------------------------------
*0 CISCO2911/K9 FGL111111A1
Technology Package License Information for Module:'c2900'
-----------------------------------------------------------------
Technology Technology-package Technology-package
Current Type Next reboot
------------------------------------------------------------------
ipbase ipbasek9 Permanent ipbasek9
security securityk9 EvalRightToUse securityk9
uc None None None
data datak9 Permanent datak9
Configuration register is 0x2102
Router#
Router#show license
~
Index 2 Feature: securityk9
Period left: 8 weeks 4 days
Period Used: 0 minute 0 second
License Type: EvalRightToUse
License State: Active, In Use
License Count: Non-Counted
License Priority: Low
~
Router(config)#crypto ?
call Configure Crypto Call Admission Control
ctcp Configure cTCP encapsulation
dynamic-map Specify a dynamic crypto map template
engine Enter a crypto engine configurable menu
gdoi Configure GDOI policy
identity Enter a crypto identity list
ikev2 Configure IKEv2 Options
ipsec Configure IPSEC policy
isakmp Configure ISAKMP policy
key Long term key operations
keyring Key ring commands
logging logging messages
map Enter a crypto map
mib Configure Crypto-related MIB Parameters
pki Public Key components
provisioning Secure Device Provisioning
wui Crypto HTTP configuration interfaces
xauth X-Auth parameters
Router(config)#
Cisco ACS 5.X - How to capture the network traffic. [TESTED]
This is simple, but not all filter expressions are allowed. For example, if you need to see CDP frames ONLY using filter like this: ‘ether[20:2] == 0×2000′ you would probably like to install Cisco ACS 5.X Root Pacth to get it done.
Example
Here is an example how to capture 200 packets to/from 192.168.1.251 on bond0 interface and save the result as example10.cap file. You can stop it anytime by pressing Ctrl+C key.
hostname/admin# tech dumptcp "-i bond0 -s 0 -w example10.cap -c 200 host 192.168.1.251"
Invoking tcpdump. Press Control-C to interrupt.
tcpdump: listening on bond0, link-type EN10MB (Ethernet), capture size 65535 bytes
12 packets captured
12 packets received by filter
0 packets dropped by kernel
hostname/admin#
hostname/admin# dir | i \.cap
64445 Oct 31 2014 10:36:16 example01.cap
328264 Oct 31 2014 10:49:40 example02.cap
1110 Jan 12 2015 13:54:08 example10.cap
hostname/admin#
Then you can upload the file to you local PC to analyze:
hostname/admin# copy disk:/example10.cap ftp://1.1.1.1/
Cisco ACS 5.X - Root Patch. [TESTED]
Real quick because it’s 2 A.M.
• Patch file is universal for all ACS 5.X versions - RootPatchSSH.tar.gz.
• To install it you should use “application install” command instead of “acs patch install”. Installation process does not require reboot the server:
hostname/admin# conf t hostname/admin(config)# repository TEST hostname/admin(config-Repository)# url ftp://10.0.0.8/ hostname/admin(config-Repository)# user ftpuser password plain ftppass hostname/admin(config-Repository)# end hostname/admin# application install RootPatchSSH.tar.gz TEST Do you want to save the current configuration ? (yes/no) [yes] ? yes Generating configuration... Saved the running configuration to startup successfully Application successfully installed hostname/admin#
• After installation you will see additional section in “show ver” at very end:
hostname/admin#show version Root Patch VERSION INFORMATION ----------------------------------- Version : 1.3.0 Vendor: Cisco Systems, Inc. Build Date : May 10 2013 17:45IST hostname/admin#
• To enable root login you have to relogin and then:
hostname/admin# root_enable Password : Password Again : Root patch enabled hostname/admin# root Enter root patch password : Starting root bash shell ... ade # cat /etc/redhat-release CentOS release 4.7 (Final) ade #
Cisco ACS 5.3 - Patch installation. [TESTED]
Again about ACS patching.
• Configure simplest repository (FTP is simplest because RSA key is not required):
conf t repository TEST url ftp://10.0.0.8/ user ftpuser password plain ftppass end
• Upload patch file to FTP server, then check file availability:
show repository TEST
• Install the patch:
acs patch install 5-3-0-40-10.tar.gpg repository TEST