熱

オーストリアのみやげ。なんとルータの熱だけで車輪が回り続けるというもの。
そんだけ。



【IEWB-SC-V2　116/100 Labs】
【暗号技術入門　～秘密の国のアリス～　２回目読破】




　～迪拜実技試験迄２１日

Reading IE Online Community

Hi every dubai!
Do you know IE(Internet Expert) Online Community? It  is a place for CCIE candidates to share their information and learn each other. You can discuss all about CCIE topics for free! Sometimes IE CCIE instructors answer your questions. I use it as one of the my study tool to pass lab exam.
I think that CCIE Security Technical section is so cool  for CCIE security candidates, because everyone share the same ploblems. and today i choose some interesting topics from there and write down here.

1. What is "aaa authorization config-commands"
"aaa authorization config-commands" means that you authorize command that are entered in global config, or other parser modes such as route-map mode.  By default only exec level commands, like "show ip int brief" or "enable" would be command authorized.

2.LAN-to-LAN and remote access VPN on the same device
It is possible for you to configure L2L and RA VPN on the same device. but be sure set RA as a lower sequence in crypto-map, otherwise do not work correctly.

3.Cisco ASA and the test regex command
When configuring the ASA to match packets based on regex patterns it can be useful to know if the ASA will even match the pattern you want to configure. The ASA includes the test regex commandto do this.A good example would be blocking instances of root.exe for the Code Red Worm.First you want to create your expression to match “root.exe”
[rR][oO][oO][tT]\.[eE][xX][eE]
Now you can try testing it with the test regex command.
ciscoasa(config)# test regex http://www.me.com/scripts/root.exe/c+dir [rR][oO][oO][tT]\.[eE][xX][eE]
INFO: Regular expression match succeeded.

4.Sig ID
AFAIR signature IDs are the same across all Cisco platforms. DIfference is that not all signatures are available for each platform/software.

5.why can not Rate Limiting with IPS while IPS Network Access Control once working?
Rate limiting is only supported in IOS versions about 12.3.  You can configure it in the IPS but it may not actually configure the router.  Check the show version output on the routers and find one that has a higher version to test the feature on.

6.Can not remove the whole access-list on ASA once configured
In ASA you can not remove the whole access-list with "no access-list xxx" like IOS, but use command "clear configure access-list xxx".


【IEWB-SC-V2　114/100 Labs】

【Cisco Network Security Troubleshooting Handbook　OVER!!!】




  with only 23 days left until lab exam

Blueprintチェックするぞ！ ～認証編～

NHK「沸騰都市」シリーズは毎回かかさず見ている。
シリーズ第１回はドバイを紹介した。飛ぶ鳥も落とす勢いは金融危機で失速し、今は数多くのプロジェクトの見直しが迫られているみたい。

まさに、ドバイがやばい。です。

行く時期がちょっと遅かったぽ。
でもどんなに不景気でもラクダにはちゃんと乗れるからよしとする。(・∀・)



認証編チェックは主にルータとＡＳＡでのＡＡＡ設定、ACS設定でしゅ。

このセクションでいちばんやらかしやすいのはコンソールロックアウトです。
自分で自分を締め出すプレイ。復旧策なし。ゆえに即死になるので絶対に注意すべし！
とりあえず設定前に aaa authentication login NNN noneでも叩いとけって話です。

A.Security Protocols (RADIUS and TACACS+)　⇒　ＯＫ！
B.Cisco Secure ACS Configuration Access　⇒　ＯＫ！
C.Management (Telnet, SSH, Pwds, Priv Levels)　⇒　ＯＫ！
D.Proxy Authentication　⇒　ＯＫ！
E.Service Authentication (FTP, Telnet, HTTP, other)　⇒　ＯＫ！
F.Network Admission Control (NAC Framework solution)　⇒　あ～にがて～。どうしょ・・・
G.802.1x　⇒　ＯＫ！
H.Advanced Features　⇒　たぶんＯＫ！
 
どうかＮＡＣが出ませんように（祈）！


【IEWB-SC-V2の進捗　112/100 Labs】

【Cisco Network Security Troubleshooting Handbookの進捗　675/1077 Pages】




　　～ラボまで２６日

Blueprintチェックするぞ！ ～IPS編～

ＩＰＳはこれといった難しい設定はあまりない。コマンドは独自なものですが、数はそんなにないし、ＩＤＭも慣れれば使いやすい。setup設定以外はほとんどＩＤＭで設定するので、非常に分かりやすい。ＰＩＸやＶＰＮのような高度なトラブルシューティングを必要とするような問題もなさそうだし、割と点数ゲットしやすいセクション。

A.IPS 4200 Series Sensor Appliance　⇒　ほとんどの設定できる。ＯＫ！
B.Basic Initialization　⇒　基本。ＯＫ！
C.Sensor Configuration　⇒　基本。ＯＫ！
D.Sensor Management　⇒　ＯＫ！
E.Promiscuous and Inline Monitoring　⇒　ＯＫ！
F.Signature Tuning　⇒　ＩＤＭ、コマンド両方でできる。ＯＫ！
G.Custom Signatures　⇒　ＩＤＭは実に分かりやすい。ＯＫ！
H.Blocking　⇒　確認までできる。ＯＫ！
I.TCP Resets　⇒　確認までできる。ＯＫ！
J.Rate Limiting　⇒　確認までできる。ＯＫ！
K.Signature Engines　⇒　ＯＫ！
L.IDM　⇒　問題なし。ＯＫ！
M.Event Action　⇒　全てのアクション確認済み。ＯＫ！
N.Event Monitoring　⇒　ＯＫ！
O.IOS IPS　⇒　ＲＳでも出題範囲内。ＯＫ！
P.PIX IDS　⇒　ＯＫ！
Q.SPAN, RSPAN　⇒　ＲＳでも範囲内。ＯＫ！
R.Advanced Features　⇒　たぶんＯＫ。


【IEWB-SC-V2の進捗　109/100 Labs】

【Cisco Network Security Troubleshooting Handbookの進捗　425/1077 Pages】




　　～ラボまで２９日

Blueprintチェックするぞ！ ～VPN編～

VPNは難しい。最初はまったく理解できなくて、当然設定もちんぷんかんぷんでした。時間かけてやっとなんとかすらすら設定できるようになった。でも細かい部分についてはまだまだ理解不足が多いと感じている。

VPN
A.IPSec LAN-to-LAN　⇒　基本構成、これでないといけません。ＯＫ！
B.SSL VPN　⇒　ＡＳＡの設定がまだ弱い。
C.DMVPN　⇒　ＯＫ！
D.CA (PKI)　⇒　ＩＯＳ、ＡＳＡの両方で設定できること。ＯＫ！
E.Remote Access VPN　⇒　これもＩＯＳとＡＳＡ。ＯＫ！
F.VPN3000 Concentrator　⇒　完璧。ＯＫ！
G.VPN3000 IP Routing　⇒　問題なし。ＯＫ！
H.Unity Client　⇒　ん？
I.WebVPN　⇒　VPN3000ならなんとか。ＯＫ！
J.EzVPN Hardware Client　⇒　ＯＫ！
K.XAuth, Split-tunnel, RRI, NAT-T　⇒　理解するまで時間かかった。ＯＫ！
L.High Availability　⇒　ＯＫ！
M.QoS for VPN　⇒　ＯＫ！
N.GRE, mGRE　⇒　DMVPNと合わせて。ＯＫ！
O.L2TP　⇒　ＯＫ！
P.PPTP　⇒　ん～ちょっと自信ない
Q.Advanced VPN Features　⇒　ＯＫ！


【IEWB-SC-V2の進捗　105/100 Labs】

【Cisco Network Security Troubleshooting Handbookの進捗　288/1077 Pages】



　～ラボまで３６日。