CCIE Security - WB1 - Lab 1a - Config ASA - parte 2

Despues de jugar con mi hija un rato, ver un pedazo de un bluray... toi aqui de vuelta. Mi mente me traiciona... no puedo evitar pensar en que alternativamente podria estar haciendo uso de mi tiempo en otras cosas. Quisiera comprar una pildora que me hiciera zombie mientras estudio y ya.. lo peor es que seguro existe una, pero con efectos colaterales poco gratos, como transformarme en una de las cosas que mas detesto (zombies :). ... by the way, vieron 28 weeks? Gran pelicula de zombies. Uno de los protagonistas principales era un stripper masculino de capa caida, cuestionable estado fisico y icono del loser mid-crisis en una pelicula inglesa, que tiene su momento de fama y que termina.. bueno, vean 28 weeks.

Suficiente basofia. De vuelta al CCIE-security-world, donde todas los security appliances, routers, switches, AAA srvrs son Cisco, donde no existe cuestionamiento (porque no tiene sentido), donde la aplicacion en el real-world no siempre es la que uno quisiera, pero... bueno, la prueba es la prueba, uno hace lo que le piden en ella y punto.

Durante el resto de la mitad del ejercicio de ASAs, pude constatar:

• Que para evitar las traducciones de NAT hay dos sabores, identity NAT y NAT exemption, basicamente son lo mismo, pero en distintos formatos de comandos:
• Identity NAT - nat (inside) 0 10.1.1.10 255.255.255.255
• NAT Exemption - nat inside (0) access-list acl_name_here
• Que para configurar un auth-proxy que intercepte todos los requests salientes de telnet, ftp, http desde una interfaz inside en un ASA es mas elegante usar ACLs con este formato de comando
• access-list out_aaa permit tcp any any eq 23
• access-list out_aaa permit tcp any any eq 80
• access-list out_aaa permit tcp any any eq 21
• aaa authentication match out_aaa inside AAA <-- siendo AAA un aaa-server previamente definido
• Para virtual-telnet, igual hay que permitir explicitamente el acceso agregando un ACL, y si es accedido desde una interfaz de menor nivel de seguridad (ej: outsite, 0) a una de mayor nivel de seguridad (ej: inside, 100), es _necesario_ agregar un static (inside,outside) x x donde x es la IP de virtual-telnet (virtual telnet = auth proxy para otros puertos que no sean los autenticables via auth-proxy como telnet, ftp, http)
• Que para permitir que una sesion BGP autenticada pase a traves de un ASA, es _imperativo_ dejar pasar el atributo 19 de TCP (que por defecto es limpiado) y deshabilitar la randomizacion del numero de secuencia TCP. Tipicamente se arma con una config similar a esta:
• access-list BGP extended permit tcp any any eq bgp
  !
  tcp-map BGP
  tcp-options range 19 19 allow
  !
  class-map BGP
  match access-list BGP
  !
  policy-map global_policy
  class BGP
  set connection random-sequence-number disable
  set connection advanced-options BGP
• Que para la configuracion de QoS en el ASA, primero se define el trafico de interes (con una access-list y luego un class-map que lo relaciona), luego bajo un policy-map se invoca al class-map, y se aplica priority, luego se llama al policy-map desde un service-policy y finalmente se habilita la interfaz (priority-queue interfaz)
• !
  class-map VOIP
  match dscp ef
  !
  policy-map OUTSIDE
  class VOIP
  priority
  !
  service-policy OUTSIDE interface outside
  !
  priority-queue outside
  !
  
• Que MPF es re power y hay que tenerle respeto. Que la forma de configurarlo tipicamente es definiendo un class-map type inspect , match X, luego con policy-map type inspect .. acciones, parametros, referencia al class.. y finalmente aplicando el policy-map type dentro del clasico policy-map invocandolo bajo un class con un inspect. No se entendio nada? Claro que no, a esta hora la correcta redaccion esta prohibida. Quizas queda mas claro con la config a continuacion que -en teoria- previene que la IP 10.1.1.87 use Yahoo:
• !
  access-list NO_IM extended permit ip host 10.1.1.87 any
  !
  class-map imblock
  match access-list NO_IM
  !
  policy-map type inspect im impolicy
  parameters
  match protocol yahoo-im
  reset
  !
  policy-map IM
  class imblock
  inspect im impolicy
  !
  service-policy IM interface inside

Bueno, habiendo ya terminado el lab 1a en algo asi como en 7 horas (y deberian haber sido 4 segun la guia), y ya dejando listo el GNS3 para correr el lab 2a, que tiene un foco bien fuerte en IOS FW (CBAC), ZBFW (L2 y L3), rACLs, lock n key, NAT, TCP intercept, auth-proxy, PAM, y otros... con una duracion estimada de 10 horas, me voy al sobre, manana hay que laborar.

CCIE Security - WB1 - Lab 1a - Config ASA

Hola,

Hable con el jefecito sobre el tema de timing para el CCIE. Segun mis calculos, deberia invertir aproximadamente 450+ horas para recorrer ambos workbooks end-to-end. Esto basicamente se traduce en un poco mas de 2 meses de dedicacion exclusiva al tema. La sugerencia fue re-agendar, lo cual es super razonable. Mi nueva agenda se traduce en dos horas de estudio diarias, mas 4 horas los fines de semana hasta fines de Diciembre, mas Enero con dedicacion exclusiva y un target de prueba de principio de Febrero del 2011, para luego irme de vacaciones.

En fin, hoy ya tuve mi primera sesion de labs de tecnologia, y parti con el tema "Configure Secure Networks using Cisco ASA Firewalls". Acabo de terminar las dos horas del dia de hoy, voy en schedule, dado que estoy en la mitad del ejercicio exactamente.

Que aprendi/recorde hoy:

• Que cuando el PC se freezea mal... bueno, se pierde toda la config de los routers :)
• Que el estudio para el CCIE pasado definitivamente sirve, pero esta medio oxidado y necesita speed-up
• Que la info de autenticacion EIGRP va en las interfaces!
• Que RIP e EIGRP hacen uso de key-chain, no asi OSPF.
• Que la generacion de default route en EIGRP se hace con summary-address bajo la interfaz, no en el proceso
• Que si ASA no tiene una ruta default, y esta originandola hacia otros peers via OSPF, necesita el comando default-information originate always bajo el proceso
• Que jugando con las metricas, sla monitor y track puedes tener una ruta de respaldo que se active solo cuando un host X deja de responder el ping (nice), config a continuacion:
• route outside 0.0.0.0 0.0.0.0 192.1.24.2 1 track 1
  route outside 0.0.0.0 0.0.0.0 192.1.24.4 5
  sla monitor 1
  type echo protocol ipIcmpEcho 192.1.24.2 interface outside
  timeout 1000
  frequency 3
  track 1 rtr 1 reachability
  sla monitor schedule 1 life forever start-time now
  
• Que me demoro 10 minutos en configurar failover en ASA (sin hacer trampa) .. necesito mejorar el tiempo.

Saludotes!

Camino al CCIE security lab (intento #2) - post 1

Desocupado lector,


Retomando el camino al CCIE security lab quiero usar este blog para ir plasmando mis avances. Espero en un par de meses (fines de Junio, para ser mas exacto) recordar con alegria este primer post. Despues de ya un buen tiempo de estar postergandolo, he hecho las siguientes gestiones:

• Compra de workbook, detailed solution guide y audio on demand de un prestigioso vendor, autorizado por mi estimadisimo jefecito
• Compra de mueble de escritorio y habilitacion de cuarto de estudio en casa
• Habilitacion y setup inicial de respetable PC (AMD Phenom, 4 cores, 4GB RAM, 500 GB HDD)
• Research sobre estado del arte en herramientas de emulacion para armado de lab. Basicamente se trata de GNS3, qemu y vmware.
• Instalacion, puesta en marcha y fine tuning de lab
• Estudio parcelado en varios dias de las 12 horas de Audio on Demand - by the way, esta buenisimo!
• Notas sobre issues con lab actual vs CCIE security blueprint 3.0 (IOS-object group solo disponible en ISR no en 2691 emulado, IPS virtual sensor 6.1-no en 6.0 emulado, ASA 8.2 features como CSD, SSL VPN, otras no disponibles en PIX 8.02 emulado, switching features no disponibles en modulo emulado NM-16ESW-DHCP snooping, DAI, ISG, PVLAN, vlan mapping.
• Notas sobre temas con los que estoy lejos de sentirme comodo para el CCIE (al menos hoy): FPM, PVLAN, GETVPN, SSL VPN, CSD, ZBF, IOS transparent FW, RFC 3330, CoPP, CAR, QoS Dual Rate CBP, ASA threat prevention, DAI device tracking), IP options, IP fragments, network attacks referenciados (memorizados), DAI vs ISG.
• Busqueda de sountrack apropiado para el estudio - tiempo - 1 hora
• Configuracion cargada del ejercicio #1 del tecnology workbook del primer vendor (tiempo de setup = 45 mins).

Veamos como me va con la resolucion manana del ejercicio #1. Deberia tomarme menos de 4 horas. Tema es "Configure Cisco ASA Firewalls".


Hasta la proxima...