Notepad

10 июня 2016 года Cisco анонсировала новую версию CCIE Security v5. Это послужило поводом для написания этой короткой заметки, которая посвящена тем, кто только сейчас задумался над получением CCIE Security. Моя мысль проста - если стоит задача получить CCIE Security, то нужно начать именно сейчас чтобы успеть сдать текущую версию 4 до того как вступит в силу новая версия v5 (до 31 января 2017).

Плюсы CCIE Security v4:
• Текущая версия экзамена (v4) существует уже более 3х лет и на данный момент экзамен является одним из самых старых в линейке CCIE. За 3 года было создано большое количество материалов по подготовке, что конечно же увеличивает шансы.
• CCIE Security дает наиболее широкий кругозор - routing, switching, ASA, IPS, ACS, ISE, WSA, WLC + LWAP, даже немного по голосовой части - в лабе есть CUCME и Cisco Phone. Это делает экзамен уникальным. Для начинающего инженера это скорее плюс, чем минус. Конечно все это нужно знать поверхностно и с уклоном на безопасность, тем не менее.
• Оборудование к лабе версии 4 уже достаточно устарело, поэтому создание собственной домашней лабы (что я всем советую) является вполне себе достижимой задачей.

Минусы:

• Как было указано в плюсах, CCIE Security v4 существует уже более 3х лет. Изменения были анонсированы 05 июня 2012, за пять дней до “Cisco Live” в городе “San Diego” проходившего с 10 по 14 июня 2012 года. Изменения же вступили в силу спустя чуть более 5 месяцев - 19 ноября 2012. Многие ожидали, что новая версия v5 будет анонсирована до или во время “Cisco Live” в городе “Las Vegas” с 10 по 14 июля 2016 года, но это случилось 10 июня 2016 (за месяц до “Cisco Live”). Изменения же вступят в силу 31 января 2017. Т.е. время ограничено (менее 7 месяцев). А при учете того, что расчитывать нужно на 2-3 попытки, то остается менее 5 месяцев на подготовку.
• Обратная сторона того, что в экзамене очень много продуктов и технологий. Вопрос создания полной топологии, получения необходимый лицензий может занять много времени.
• Как было указано в плюсах, оборудование уже достаточно устарело и это является минусом. В современном мире уже не найти IPS4240, трудно найти ISE 1.X. Если стоит задача не просто сдать CCIE Security, а изучить и получить опыт с современными продуктами типа FirePower, то вам стоит готовиться уже к v5.

Приблизительная стоимость проекта будет состоять из следующих пунктов:
• Материалы по подготовке к Written - пропускаю.
• $400 - CCIE Security Written. Скорее всего потребуется 2-3 попытки.
• Материалы для подготовки к лабораторной работе:
• (Опционально) $350..550 - Advanced CCIE Security Workbook v4 (Technology Focused)
• (Опционально) $299 - INE CCIE Security Version 4 Advanced Technologies Class
• Оборудование для подготовки (реальное железо) в минимальном исполнении.
– $800 = 4 x ASA5510 или выше.
– $200 = IPS4240.
– $400..600 = 6 x Catalyst 3560/3750 (как минимум один из шесли обязательно должен быть с IOS v15 и желательно с PoE, к примеру 3750V2-48PS).
– $350 = 5 x Cisco 1841 (256Dram, 64Flash).
– $400 = Cisco 2911 (для поддержки IKEv2).
– (Опционально) $400 = Cisco WLC 2504 + БП. Как альтернативу можно использовать vWLC.
– $20 = LWAP 1240.
– $20 = Cisco Phone.
– $400 = Сервер для виртуализации ACS, ISE, vWSA.
– $100 = Консольный концентратор на 32 порта (Cisco 2500 или маршрутизатор с модулем NM-32AS или более современными мидулями для асинхронных портов, или Openger CM/IM, или Lantronix, или любой другой аналог).
– (Опционально, но желательно) $200 = Система удаленного управления питания.
– $1600 - Попытка сдачи лабы. Скорее всего потребуется 2-3 попытки.
– $99999 - 1000+ часов свободного от работы времени на подготовку к экзамену и лабе.

Для тех кто хочет немного сэкономить на железе и готов вместо этого потратить свое время на работу с софтом для виртуализации (GNS3, IOU, VIRL, UNL), то минимальный стенд можно сократить до сервера, одного коммутатора с PoE и LWAP. Мое мнение состоит в том, что для текущих треков RnS v5 или SP v4 виртуализация является незаменимым инструментом, тогда как для почти всех остальных треков типа Collaboration v3, DataCenter v1 или v2, Wireless v3 виртуализация не применимо вообще или может покрыть лишь малую часть стенда. Security v4 можно виртуализировать на 95% как я упомянул ранее, но скорее всего вы потратите на отладку, нелепые баги, ограничения тут и там гораздо большее количество времени, чем на изучение самих технологий.

For those who use real hardware for CCIE Collaboration or Security Lab preparation…

Documentation

• Understating Cisco IOS v15 Licenses.
• Understanding CME-SRST License Activation.

Example - Enabling Security feature

conf t
 license boot module c2900 technology-package securityk9
 yes
 end
wri mem
reload

Checking results:

Router#show version | b License
License Info:

License UDI:

-------------------------------------------------
Device#   PID                   SN
-------------------------------------------------
*0        CISCO2911/K9          FGL111111A1

Technology Package License Information for Module:'c2900'

-----------------------------------------------------------------
Technology    Technology-package           Technology-package
              Current       Type           Next reboot
------------------------------------------------------------------
ipbase        ipbasek9      Permanent      ipbasek9
security      securityk9    EvalRightToUse securityk9
uc            None          None           None
data          datak9        Permanent      datak9

Configuration register is 0x2102

Router#
Router#show license
~
Index 2 Feature: securityk9
        Period left: 8  weeks 4  days
        Period Used: 0  minute  0  second
        License Type: EvalRightToUse
        License State: Active, In Use
        License Count: Non-Counted
        License Priority: Low
~
Router(config)#crypto ?
  call          Configure Crypto Call Admission Control
  ctcp          Configure cTCP encapsulation
  dynamic-map   Specify a dynamic crypto map template
  engine        Enter a crypto engine configurable menu
  gdoi          Configure GDOI policy
  identity      Enter a crypto identity list
  ikev2         Configure IKEv2 Options
  ipsec         Configure IPSEC policy
  isakmp        Configure ISAKMP policy
  key           Long term key operations
  keyring       Key ring commands
  logging       logging messages
  map           Enter a crypto map
  mib           Configure Crypto-related MIB Parameters
  pki           Public Key components
  provisioning  Secure Device Provisioning
  wui           Crypto HTTP configuration interfaces
  xauth         X-Auth parameters

Router(config)#

This is simple, but not all filter expressions are allowed. For example, if you need to see CDP frames ONLY using filter like this: ‘ether[20:2] == 0×2000′ you would probably like to install Cisco ACS 5.X Root Pacth to get it done.

Example

Here is an example how to capture 200 packets to/from 192.168.1.251 on bond0 interface and save the result as example10.cap file. You can stop it anytime by pressing Ctrl+C key.

hostname/admin# tech dumptcp "-i bond0 -s 0 -w example10.cap -c 200 host 192.168.1.251"
Invoking tcpdump. Press Control-C to interrupt.
tcpdump: listening on bond0, link-type EN10MB (Ethernet), capture size 65535 bytes
12 packets captured
12 packets received by filter
0 packets dropped by kernel
hostname/admin#
hostname/admin# dir | i \.cap
      64445 Oct 31 2014 10:36:16  example01.cap
     328264 Oct 31 2014 10:49:40  example02.cap
       1110 Jan 12 2015 13:54:08  example10.cap
hostname/admin#

Then you can upload the file to you local PC to analyze:

hostname/admin# copy disk:/example10.cap ftp://1.1.1.1/

Real quick because it’s 2 A.M.

• Patch file is universal for all ACS 5.X versions - RootPatchSSH.tar.gz.
• To install it you should use “application install” command instead of “acs patch install”. Installation process does not require reboot the server:

hostname/admin# conf t
hostname/admin(config)# repository TEST
hostname/admin(config-Repository)# url ftp://10.0.0.8/
hostname/admin(config-Repository)# user ftpuser password plain ftppass
hostname/admin(config-Repository)# end
hostname/admin# application install RootPatchSSH.tar.gz TEST
Do you want to save the current configuration ? (yes/no) [yes] ? yes
Generating configuration...
Saved the running configuration to startup successfully

Application successfully installed
hostname/admin#

• After installation you will see additional section in “show ver” at very end:

hostname/admin#show version

 Root Patch VERSION INFORMATION
-----------------------------------
Version     : 1.3.0                             Vendor: Cisco Systems, Inc.
Build Date  : May 10 2013  17:45IST
hostname/admin#

• To enable root login you have to relogin and then:

hostname/admin# root_enable
Password :
Password Again :

Root patch enabled

hostname/admin# root
Enter root patch password :
Starting root bash shell ...
ade # cat /etc/redhat-release
CentOS release 4.7 (Final)
ade #

Again about ACS patching.

• Configure simplest repository (FTP is simplest because RSA key is not required):

conf t
 repository TEST
  url ftp://10.0.0.8/
  user ftpuser password plain ftppass
  end

• Upload patch file to FTP server, then check file availability:

show repository TEST

• Install the patch:

acs patch install 5-3-0-40-10.tar.gpg repository TEST