Tweet
CCIE Security #22317
Mình chia sẻ với anh em một ít kinh nghiệm luyện lab, hi vọng sẽ có ích cho các bạn luyện track security. Mình bắt đầu luyện CCIE Sec từ IPExpert 4.0. Mình đánh giá 1 số workbook của các hãng. Nếu bắt đầu luyện lab các bạn nên đi từ Internetwork Expert or IPExpert. Nếu level cao hơn bạn có thể bắt đầu với NetMetric, tác giả của Trinet Security nổi tiếng lúc trước. CCBootcamp version cũ cũng khá good, nhưng mình ko có version mới nên cũng ko đánh giá được bộ sách này. Tùy vào mỗi người sẽ chọn cho mình một bộ sách chủ đạo để luyện lab, tuy nhiên nên tham khảo các hãng khác bao gồm workbook and COD. Mình chọn bộ Internetwork Expert là tài liệu chính để luyện lab.
Các bài Mini lab đa số đều có thể thực hiện được thông qua Dynagen, pemu. Tuy nhiên để làm các bài lab liên quan đến WebVPN phải làm trên ASA thật, các bài lab này các bạn có thể tham khảo ở Cisco Elearning để làm và tìm hiểu các tính năng này. Cũng như các bài làm IPS liên quan đến SPAN port cũng đòi hỏi làm trên Switch thật.
IPExpert
Minilab mỗi section bài làm kéo dài 3 – 4 h đòi hỏi người làm phải theo dõi config từ đầu đến cuối để hiểu được bài lab và các feature. Mình đánh giá cao về phần AAA của IPExpert. Các bài superlab theo mình rating khoảng 6 7 so với Internetwork Expert, viết ko đào sâu vào các vấn đề, nhiều khía cạnh ko thể thấy được để tiếp cận với một bài lab thật.
Internetwork Expert
1 bài mini lab tương đối ngắn, dễ hiểu, các bài sẽ inherit config từ các bài trước đó. Đây là điều kiện để nắm vững từng feature nhanh chóng. Các feature sẽ dần dần được đào sâu hơn và chỉ thấy được thông qua các bài superlab. Làm và verify với Forum Online của Internetwork expert, thực sự nhiều đáp án sai trong workbook (no trust any solution except Cisco Document).
Theo Brian Dennis, các bạn nên làm và hiểu kỹ các bài rating khoảng 7 8, ko cần quá chú tâm vào những bài quá khó rating 9 10 vì vậy sẽ tốn nhiều thời gian của các bạn. Xem COD do Brian Dennis, bạn có thể học hỏi kn làm lab từ thao tác chuột, bàn phím với các thao tác copy paste. Theo mình đây là yếu tố cực kỳ quan trọng quyết định đúng sai của bài lab, chỉ cần bạn gõ sai hay dư 1 khoảng trắng cũng sẽ làm rất mất thời gian trong vấn đề trouble shooting. Đối với Router và Switch ko có cơ chế kiểm tra điều này. Vd như phía trên khai báo 1 access-list và apply vào interface sai tên access-list, router và switch ko nhận ra điều đó, nhưng trên firewall ASA và PIX thì ok.
Lưu ý 1 điều khi làm thi là hạn chế vấn đề trouble shooting, nếu hơn 15 – 20 phút ko tìm ra lỗi thì bỏ qua để làm các phần khác. Do đó các bạn nên tập thói quen làm lab bằng copy paste, nhiều khi kể cả IP address, có thể sẽ tốn thời gian hơn bằng cách gõ phím nhưng đảm bảo chính xác. Đó là kinh nghiêm xương máu khi làm lab. Mình nhớ rõ 1 lần trouble shooting cho người bạn về authentication EIGRP. 1 bên key là ‘cisco’, bên kia là ‘cisco ‘ (dư khoảng trằng). Đương nhiên khi show run mắt thường nhìn thấy sẽ key y chang. Chỉ có cách tô đen hoặc show key mới thấy key nằm trong dấu nháy có dư khoảng trắng.
NetMetric
Cuốn workbook và DVD solution, các video này ko đầy đủ và chi tiết từng câu hỏi của minilab, đòi hỏi người học cần phải nắm vững kiến thức trước khi vào bộ sách này. Mình cũng cảm thấy ngợp trước khi bước vào bộ sách này. COD Khawar Butt quá bro với kỹ năng gõ command ko cần dùng tab và thuộc lòng các command, tuy nhiên rủi ro sẽ cao.
Thời gian luyện lab.
Luyện các bài Minilab để hiểu các feature khoảng 2 – 3 tháng. Luyện Vol1 càng vững thì khả năng control được config sẽ rất cao và làm super lab sẽ rất nhanh.
Vol2 luyện khoảng 2 – 3 tháng, cố gắng làm mỗi bài ít nhất 2 – 3 lần để quen cách suy nghĩ cũng như những thao tác khi làm full lab.
1 tháng để làm quen tra cứu document, nên xem trước list các feature guide của từng mục để có thể dễ dàng tra cứu theo mục đích đồng thời xem lại, tham khảo Group Study, SecurityIE để xem kinh nghiệm người đi trước.
Các bước làm khi thi
Export toàn bộ init cấu hình Router và Switch ra desktop.
Soạn sẵn các alias thường dùng, mình thường dùng 1 số alias để config và verify cấu hình
Alias exec c conf t
Alias exec sr show run
Alias exec sir show ip route
Alias exec sib show ip int brief
Đọc qua ít nhất 1 lần đề thi.
Bắt đầu làm từ các phần init configuration, chú ý làm thật kỹ phần này vì nó là yếu tố quyết định để có thể làm những câu sau. Làm đến đâu verify đến đó. Mình note các điểm chính trên chính notepad. Cố gắng giải quyết bài lab từ 5 – 6 h, thời gian còn lại để verify.
Init ASA hoặc PIX lưu ý vấn đề tag VLAN, tùy theo physical hoặc logical interface sẽ cấu hình port gắn với switch trunk hoặc access vlan tương ứng. Nên hiểu kỹ các quy tắc tag VLAN này.
Đối với multicontext cần hiểu kỹ quy tắc classtify trên context trên shared interface: NAT or MAC classify, tùy theo yêu cầu.
Thứ tự để verify và trouble shoot: Layer 2, IP, Routing, NAT, ACL, …. Command thông dụng để verify config:
show run | include abc|123|xyz
show history , để copy group command thì bên này sang bên kia nhanh chóng.
Đảm bảo các traffic chạy thông suốt.
Khi apply ACL và sử dụng CBAC hoặc reflexive ACL, nhớ note lại ACL inbound và outbound trên interface tương ứng để có thể control traffic đi qua theo yêu cầu cần thiết của các câu hỏi khác.
Nắm vững các quy tắc debug traffic vd nhu deny ip a a log kết hợp với logging console, buffed… hoặc sử dụng debug ip policy ( nhớ no ip route-cache trên interface, còn ko sẽ ko thấy log), policy routing …
Site to Site VPN
Đảm bảo 2 đầu entry point thấy nhau và thấy được route sang LAN bên kia
Quy tắc dọn đường: kiểm tra allow các traffic VPN như udp 500, 4500, esp …
Vài điểm khác nhau trên Firewall và Router
Default
Phase 1: ASA group 2, Router group 1
VPN Client: group 2
Các bước verify VPN Site to Site trên ASA
Crypto isa enable outside
Crypto map <name> interface outside
NONAT traffic VPN nếu có NAT traffic hoặc nat-control
Synopt permit-vpn (bypass VPN ACL)
DMVPN
permit traffic GRE giữa 2 entry point, bước này cần thiết trước khi apply ipsec lên tunnel,
permit udp 500, esp là bắt buộc.
Tunnel key : bắt buộc có để interface up
NHRP network-id: bắt buộc có để chạy NHRP, ngoài ra các command khác tùy thuộc client và server.
IPS
Hiểu rõ quy tắc SPAN port, VLAN pair, Inline pair để config switch port tương ứng. Traffic chỉ thực sự đi qua khi apply vào virtual sensor. Bật các signature để test như Echo (2004) hay echo-reply (2000) kiểm tra hoạt động thông suốt.
VPN Concentrator
Nắm vững thao tác init VPN 3k như IP, DefaultGW, … Lưu ý nhớ add thêm rule cho Public Filter khi sử dụng các service như RADIUS, … từ Public interface.
Config VPN client chú ý chọn IP Address Assignment tương ứng, nếu quên Client ko thể lấy được IP. Ngoài ra còn các yếu tố revert route kết hợp với redistribute route.
ACS Server
Quen thuộc thao tác bật các attrible cần thiết để gán cho user, group. Khác biệt giữa Radius và Tacacs+ và attrib tương ứng. Quy tắc AAA, tránh bị tình trạng logout khỏi console khi apply AAA.
Còn nhiều vấn đề khác có dịp mình sẽ post lên sau.
Vì một thế giới CCIE Vietnam.
Các bài Mini lab đa số đều có thể thực hiện được thông qua Dynagen, pemu. Tuy nhiên để làm các bài lab liên quan đến WebVPN phải làm trên ASA thật, các bài lab này các bạn có thể tham khảo ở Cisco Elearning để làm và tìm hiểu các tính năng này. Cũng như các bài làm IPS liên quan đến SPAN port cũng đòi hỏi làm trên Switch thật.
IPExpert
Minilab mỗi section bài làm kéo dài 3 – 4 h đòi hỏi người làm phải theo dõi config từ đầu đến cuối để hiểu được bài lab và các feature. Mình đánh giá cao về phần AAA của IPExpert. Các bài superlab theo mình rating khoảng 6 7 so với Internetwork Expert, viết ko đào sâu vào các vấn đề, nhiều khía cạnh ko thể thấy được để tiếp cận với một bài lab thật.
Internetwork Expert
1 bài mini lab tương đối ngắn, dễ hiểu, các bài sẽ inherit config từ các bài trước đó. Đây là điều kiện để nắm vững từng feature nhanh chóng. Các feature sẽ dần dần được đào sâu hơn và chỉ thấy được thông qua các bài superlab. Làm và verify với Forum Online của Internetwork expert, thực sự nhiều đáp án sai trong workbook (no trust any solution except Cisco Document).
Theo Brian Dennis, các bạn nên làm và hiểu kỹ các bài rating khoảng 7 8, ko cần quá chú tâm vào những bài quá khó rating 9 10 vì vậy sẽ tốn nhiều thời gian của các bạn. Xem COD do Brian Dennis, bạn có thể học hỏi kn làm lab từ thao tác chuột, bàn phím với các thao tác copy paste. Theo mình đây là yếu tố cực kỳ quan trọng quyết định đúng sai của bài lab, chỉ cần bạn gõ sai hay dư 1 khoảng trắng cũng sẽ làm rất mất thời gian trong vấn đề trouble shooting. Đối với Router và Switch ko có cơ chế kiểm tra điều này. Vd như phía trên khai báo 1 access-list và apply vào interface sai tên access-list, router và switch ko nhận ra điều đó, nhưng trên firewall ASA và PIX thì ok.
Lưu ý 1 điều khi làm thi là hạn chế vấn đề trouble shooting, nếu hơn 15 – 20 phút ko tìm ra lỗi thì bỏ qua để làm các phần khác. Do đó các bạn nên tập thói quen làm lab bằng copy paste, nhiều khi kể cả IP address, có thể sẽ tốn thời gian hơn bằng cách gõ phím nhưng đảm bảo chính xác. Đó là kinh nghiêm xương máu khi làm lab. Mình nhớ rõ 1 lần trouble shooting cho người bạn về authentication EIGRP. 1 bên key là ‘cisco’, bên kia là ‘cisco ‘ (dư khoảng trằng). Đương nhiên khi show run mắt thường nhìn thấy sẽ key y chang. Chỉ có cách tô đen hoặc show key mới thấy key nằm trong dấu nháy có dư khoảng trắng.
NetMetric
Cuốn workbook và DVD solution, các video này ko đầy đủ và chi tiết từng câu hỏi của minilab, đòi hỏi người học cần phải nắm vững kiến thức trước khi vào bộ sách này. Mình cũng cảm thấy ngợp trước khi bước vào bộ sách này. COD Khawar Butt quá bro với kỹ năng gõ command ko cần dùng tab và thuộc lòng các command, tuy nhiên rủi ro sẽ cao.
Thời gian luyện lab.
Luyện các bài Minilab để hiểu các feature khoảng 2 – 3 tháng. Luyện Vol1 càng vững thì khả năng control được config sẽ rất cao và làm super lab sẽ rất nhanh.
Vol2 luyện khoảng 2 – 3 tháng, cố gắng làm mỗi bài ít nhất 2 – 3 lần để quen cách suy nghĩ cũng như những thao tác khi làm full lab.
1 tháng để làm quen tra cứu document, nên xem trước list các feature guide của từng mục để có thể dễ dàng tra cứu theo mục đích đồng thời xem lại, tham khảo Group Study, SecurityIE để xem kinh nghiệm người đi trước.
Các bước làm khi thi
Export toàn bộ init cấu hình Router và Switch ra desktop.
Soạn sẵn các alias thường dùng, mình thường dùng 1 số alias để config và verify cấu hình
Alias exec c conf t
Alias exec sr show run
Alias exec sir show ip route
Alias exec sib show ip int brief
Đọc qua ít nhất 1 lần đề thi.
Bắt đầu làm từ các phần init configuration, chú ý làm thật kỹ phần này vì nó là yếu tố quyết định để có thể làm những câu sau. Làm đến đâu verify đến đó. Mình note các điểm chính trên chính notepad. Cố gắng giải quyết bài lab từ 5 – 6 h, thời gian còn lại để verify.
Init ASA hoặc PIX lưu ý vấn đề tag VLAN, tùy theo physical hoặc logical interface sẽ cấu hình port gắn với switch trunk hoặc access vlan tương ứng. Nên hiểu kỹ các quy tắc tag VLAN này.
Đối với multicontext cần hiểu kỹ quy tắc classtify trên context trên shared interface: NAT or MAC classify, tùy theo yêu cầu.
Thứ tự để verify và trouble shoot: Layer 2, IP, Routing, NAT, ACL, …. Command thông dụng để verify config:
show run | include abc|123|xyz
show history , để copy group command thì bên này sang bên kia nhanh chóng.
Đảm bảo các traffic chạy thông suốt.
Khi apply ACL và sử dụng CBAC hoặc reflexive ACL, nhớ note lại ACL inbound và outbound trên interface tương ứng để có thể control traffic đi qua theo yêu cầu cần thiết của các câu hỏi khác.
Nắm vững các quy tắc debug traffic vd nhu deny ip a a log kết hợp với logging console, buffed… hoặc sử dụng debug ip policy ( nhớ no ip route-cache trên interface, còn ko sẽ ko thấy log), policy routing …
Site to Site VPN
Đảm bảo 2 đầu entry point thấy nhau và thấy được route sang LAN bên kia
Quy tắc dọn đường: kiểm tra allow các traffic VPN như udp 500, 4500, esp …
Vài điểm khác nhau trên Firewall và Router
Default
Phase 1: ASA group 2, Router group 1
VPN Client: group 2
Các bước verify VPN Site to Site trên ASA
Crypto isa enable outside
Crypto map <name> interface outside
NONAT traffic VPN nếu có NAT traffic hoặc nat-control
Synopt permit-vpn (bypass VPN ACL)
DMVPN
permit traffic GRE giữa 2 entry point, bước này cần thiết trước khi apply ipsec lên tunnel,
permit udp 500, esp là bắt buộc.
Tunnel key : bắt buộc có để interface up
NHRP network-id: bắt buộc có để chạy NHRP, ngoài ra các command khác tùy thuộc client và server.
IPS
Hiểu rõ quy tắc SPAN port, VLAN pair, Inline pair để config switch port tương ứng. Traffic chỉ thực sự đi qua khi apply vào virtual sensor. Bật các signature để test như Echo (2004) hay echo-reply (2000) kiểm tra hoạt động thông suốt.
VPN Concentrator
Nắm vững thao tác init VPN 3k như IP, DefaultGW, … Lưu ý nhớ add thêm rule cho Public Filter khi sử dụng các service như RADIUS, … từ Public interface.
Config VPN client chú ý chọn IP Address Assignment tương ứng, nếu quên Client ko thể lấy được IP. Ngoài ra còn các yếu tố revert route kết hợp với redistribute route.
ACS Server
Quen thuộc thao tác bật các attrible cần thiết để gán cho user, group. Khác biệt giữa Radius và Tacacs+ và attrib tương ứng. Quy tắc AAA, tránh bị tình trạng logout khỏi console khi apply AAA.
Còn nhiều vấn đề khác có dịp mình sẽ post lên sau.
Vì một thế giới CCIE Vietnam.
Comment