DynagenでCCIEを目指す
INE Workbook Volume I Security 進捗 誤植
最終更新:
it_certification
-
view
- 進捗確認
- 誤植 および 問題文補足
- 11.1 AAA Authenticastion Lists
- 11.2 AAA Exec Authorization
- 11.5 Traffic Filtering using Extended Access-Lists
- 11.6 Traffic Filtering using Reflexive Access-Lists
- 11.8 Access Control with Dynamic Access-Lists
- 11.10 Traffic Filtering with Policy-Based Routing
- 11.11 Preventing Packet Spoofing with uRPF
- 11.13 TCP Intercept
進捗確認
正答率 チェック
2週目 | 3週目 | 4週目 | 5週目 | |
---|---|---|---|---|
11.1 AAA Authentication Lists | x | |||
11.2 AAA Exec Authorization | x | |||
11.3 AAA Local Command Authorization | x | |||
11.4 Traffic Filtering with Standard Access-Lists | x | |||
11.5 Traffic Filtering with Extended Access-Lists | ||||
11.6 Traffic Filtering with Reflexive Access-Lists | ||||
11.7 Filtering Fragment Packets | ||||
11.8 Access Control with Dynamic Access-Lists | ||||
11.9 Traffic Filtering with Time-Based Access-Lists | ||||
11.10 Traffic Filtering with Policy-Based Routing | ||||
11.11 Preventing Spoofing with uRPF | ||||
11.12 Using NBAR for Content-Based Filtering | ||||
11.13 TCP Intercept | x | x | ||
11.14 TCP Intercept Watch Mode | ||||
11.15 Packet Logging with Access-Lists | ||||
11.16 Stateful Filtering with CBAC | x | |||
11.17 Advanced CBAC Feature | x | |||
11.18 CBAC TCP/UDP Intercept Feature | x | |||
11.19 VLAN Filters for IP Traffic | ||||
11.20 VLAN Filters for Non-IP Traffic | x | |||
11.21 Port Security | ||||
11.22 HSRP and Port-Security | ||||
11.23 DHCP Snooping | ||||
11.24 DHCP Snooping and the Information Option | ||||
11.25 Dynamic ARP Inspection | x | x | ||
11.26 IP Source Guard | x | |||
11.27 Using Catalyst Ingress Access-Lists | ||||
11.28 Controlling Terminal Line Access | ||||
11.29 IOS Login Enhancements | ||||
11.30 Role Based CLI | ||||
11.31 IP Source Tracker | ||||
11.32 Router IP Traffic Export | ||||
11.33 Controlling the ICMP Messages Rate | ||||
11.34 Control Plane Policing | ||||
11.35 Control Plane Protection | x | |||
11.36 IOS ACL Selective IP Option Drop | ||||
11.37 BGP Generic TTL Security Mechanism | ||||
11.38 Flexible Packet Matching | x | x | ||
11.39 Zone Based Firewakk | ||||
11.40 ZFW Rate Limiting | ||||
11.41 ZFW Application Inspection | x | x | 捨て | |
11.42 Classic IOS Transparent Firewal | x | |||
11.43 ZFW-Based IOS Transparet Firewal | ||||
11.44 IOS IPS | 検証不能 | |||
正答率 | 65% | 88% |
所感
1週目 2011/09/11
- 11.1 "ip tacacas source-interface"のコマンドを見つける事ができませんでした。"tacacas"配下ばかりを探していましたので。
- 11.3 "privilege"コマンドを見つける事ができませんでした。"aaa"配下ばかりを探していましたので。
- 11.4 "Ensure R4 allows returning TCP packets for those connections"の意味を誤読しました。逆方向のACLを定義するだけではなく、ack bitが成立しているTCPのみを許可しなければなりません。
- 11.8 "dynamic access-list"というキーワードを思い出せなかったため、該当の記事を見つける事ができませんでした。"Rock & Key"は覚えていたのですが…。
- 11.15 "ip access-list logging interval"は秒指定ではなくミリ秒指定です。
- 11.21 "switchport port-security aging type inactivity"の設定を漏らしてしまいました。ageの設定にはabsolute, inactivetyがある事を頭の片隅に入れておかないと、出題意図が読み取れない可能性が高いそうです。
- 11.23 zero giaddrを許可する設定が必要な事を理解しておらず、相当はまってしまいました。
- 11.30 "parser view"のコマンドが思い出せませんでした。どう考えてもparserではない処理なので、ヘルプメッセージから当該のコマンドを見つけ出すのは厳しいです。
- 11.38 正規表現はCisco流ではなくLinux流の表記を使用するようです。Cisco流を使用するのかLinux流を使用するかについてまとめると以下の通りです。
Cisco 流 | BGPのAS path絞り込み, CBACにおけるURLなどの絞り込み |
Linux 流 | Flexible Packet Matching, ZFWで使用するparameter-map |
- 11.38 class-mapを訂正した場合は、policy-mapを再作成しないと設定が反映されないようです。(もしかしたら、policy-mapのI/Fへの適用のみをやりなおせば設定が反映されるかもしれません。
- 11.41 正規表現はLinuxと同じ表記を使用します。
- 11.42 IRBの設定方法が思い出せませんでした。
- 11.42 IPv6のether typeが思い出せませんでした。ether typeについてまとめる必要があります。
- 11.42 模範解答の設定では、FTPの短命ポートが許可されていないので、FTPは疎通不能であるような気がします。FTPに関するまとめと動作確認は、後ほどやらなければならないと感じました。(active modeならばINSIDE側から接続するので可能?)
- 11.43 CPLの意味が理解できませんでした。CPLは(Cisco Policy Language)の略で、transparent firewallでZFWを使用する事を意味します。
2週目 2011/09/24
- 11.1 "Customize the prompts for AAA users authentication and change the default banner message."の意味を以下のように誤読してしまいました。
banner exec ^C banner exec ^C banner incoming ^C banner incoming ^C banner login ^C banner login ^C banner motd ^C banner motd ^C
- 11.8 オンラインドキュメントを読みながら、かろうじて正解する事ができました。feature guide, command referenceではなく、Technology配下にも有用なドキュメントが眠っている可能性がある事を覚えておきましょう。
Technology -> Security and VPN -> Lock & Key
- 11.13 "ip tcp intercept list"を忘れてしまいました。このコマンドを忘れると、tcp interceptが有効にならないようです。
- 11.13 "close connections after 30 seconds of inactivity"の意味を誤読してしまいました。誤ってfinrst-timeoutを設定してしまいましたが、finrst-timeout, connection-timeoutの両方の意味をよく理解していれば、どちらの設定の方がより題意に近いか分かるはずです。
- 11.17 "ip inspect name INSPECT udp router-traffic"が思い出せませんでした。
- 11.18 問題文を誤読というか、何を血迷ってしまったのか、問題文には全く指定のない設定を投入してしまいました。OUTSIDEからINSIDEへのアクセスを全て拒否してしまいました。思い込みって怖いです。
- 11.20 ether typeを覚えていませんでした。覚え切れるわけないので、"試験直前暗記リスト"のようなまとめページを作りたいと思います。
- 11.20 11.19を省略し以下のような設定を投入します。すると、全てのIPパケットが拒否されてしまう現象が発生しました。mac access-listは、IP以外を制御する機能のようで、ether type 0x0800を許可する設定を投入してもIPは許可されないようです。
no vlan filter VMAP vlan-list 146 no vlan access-map VMAP no mac access-list extended ACL_MAC mac access-list extended ACL_MAC permit any any 0x0800 0x0 permit any any 0x0806 0x0 permit any any lsap 0x4242 0x0 permit any any lsap 0xAAAA 0x0 ! vlan access-map VMAP 10 action forward match mac address ACL_MAC ! vlan filter VMAP vlan-list 146
- 11.25 "Do not trust any trunk port to other switches"の意味を理解できませんでした。これは、"ip dhcp snooping trust"をtrunkに投入してはいけませんという意味ではなく、"ip arp inspection trust"をtrunkに投入してはいけませんという意味です。dhco snoopingと同様にarp inspectionにもtrust port, untrust portの概念があり、untrustであるポートに対してのみarpを除き見します。
- 11.26 vlan 67が疎通不能になっている事に気づきませんでした。
- 11.35 HTTPがルータを経由するパケットを指しているのか、ルータ宛てのパケットを指しているのかを問題文から読み取る事は不可能です。しかし、queueingの設定がhost sub interfaceに対してのみ設定できる(cef-exception, transitは設定不可)事から、ルータ宛てのパケットを指している事が推測できます。
- 11.38 以下のように0x0800と指定すると、パケットがマッチしません。先頭の0は省略しなければならない仕様(?)のようです。
match field ETHER type eq0x08000x800 next IP
- 11.38 icmp typeを覚えていませんでした。echo, echo-replyくらいは覚えていても良いかもしれません。
- 11.42 L2の制御方法が思い出せませんでした。catalystスイッチではmac access-listを用いて定義しますが、ciscoルータではprotocol type code access-list(access-listコマンド)を用いて定義します。
3週目 2011/11/13
- 11.4 FTP active modeのシーケンスを記憶違いしていました。また、tracerouteの設定も誤っていました。tracerouteの設定誤りは今回が初めてではないので、必ずテストをするように心がけたいと思います。
ip access-list extended ACL_TO_R5 10 permit tcp 150.4.0.0 0.0.255.255 any 20 permit tcp 155.4.146.0 0.0.0.255 eq www any 21 permit tcp 155.4.146.0 0.0.0.255 eq smtp any 22 permit udp 155.4.146.0 0.0.0.255 eq domain any 23 permit tcp 155.4.146.0 0.0.0.255 eq domain any24 permit tcp 155.4.146.0 0.0.0.255 eq ftp any25 permit tcp 155.4.146.0 0.0.0.255 any eq ftp-data26 permit tcp 155.4.146.0 0.0.0.255 any range 20 21 40 permit icmp any any echo 41 permit icmp any any echo-reply 42 permit udp any any range 33434 33523 43 permit icmp any any port-unreachable 44 permit icmp any any packet-too-big 45 permit icmp any any time-exceeded ip access-list extended ACL_FROM_R5 10 permit tcp any 150.4.0.0 0.0.255.255 established 20 permit tcp any 155.4.146.0 0.0.0.255 eq www 21 permit tcp any 155.4.146.0 0.0.0.255 eq smtp 22 permit udp any 155.4.146.0 0.0.0.255 eq domain 23 permit tcp any 155.4.146.0 0.0.0.255 eq domain24 permit tcp any 155.4.146.0 0.0.0.255 eq ftp25 permit tcp any eq ftp-data 155.4.146.0 0.0.0.25526 permit any tcp 155.4.146.0 0.0.0.255 range 20 21 30 permit udp any any eq rip 40 permit icmp any any echo 41 permit icmp any any echo-reply 42 permit udp any any range 33434 33523 43 permit icmp any any port-unreachable 44 permit icmp any any packet-too-big 45 permit icmp any any time-exceeded
- 11.13 "ip tcp intercept list"を忘れてしまいました。2週目と同じ間違えです。
- 11.25 想定通りの動作をしませんでした。要やりなおしです。
- 11.38 route-cacheによってルーティングされたパケットは、FPM(Flexible Packet Matching)の対象外になる事を忘れていました。
- 11.41 3週目も解けませんでした。恐らく、このような難しい問題は出題されないと思いますので捨てる事にします。仮に出題されたとしても、他の問題の見直しに時間を割り当てた方が得策と思います。
誤植 および 問題文補足
11.1 AAA Authenticastion Lists
TACACSに関する設定で、以下赤字部分は必須設定ではありません。
tacacs-server host 155.X.146.100 tacacs-server directed-request tacacs-server key CISCO omitted
"tacacs-server directed-request"は、ユーザ認証の際にTACACSサーバを指定する事ができる設定です。例えば、test@192.168.1.1のように指定すると、TACACSサーバ192.168.1.1にユーザtestが存在するかどうかを問い合わせます。TACACSサーバが複数存在する環境で、ユーザtestがプライマリTACACSサーバに存在しない場合は、有用な設定となります。
但し、セキュリティ上の問題点があるため、本機能はデフォルトで無効化されています。例えば、自前TACACSサーバを用意し、そのサーバに認証を要求するようユーザ名を指定すれば、ユーザ名, パスワードが分からなくても、IOSにログインする事が可能になってしまいます。
但し、セキュリティ上の問題点があるため、本機能はデフォルトで無効化されています。例えば、自前TACACSサーバを用意し、そのサーバに認証を要求するようユーザ名を指定すれば、ユーザ名, パスワードが分からなくても、IOSにログインする事が可能になってしまいます。
11.2 AAA Exec Authorization
赤字部分を投入しても、デフォルトの挙動と変わらないので、明示的な投入は不要と思われます。INE模範解答を性善説的に考えれば、"明示的に投入した方が分かりやすいから投入した"と考える事もできます。
aaa authorization console aaa authorization exec default none aaa authorization CONSOLE group tacacs+ local aaa authorization VTY gruop tacacs+ if-authenticated omitted
11.5 Traffic Filtering using Extended Access-Lists
以下問題文の意味がやや不明確なので、補足説明をします。
- Configure R4 to permit any TCP traffic destined for R5 and souced from the Loopback0 subnets. Ensure R4 allows returning TCP packets for those connections.
"any TCP traffic destined for R5"は宛先がR5の意味ではなく、R5へ向かうトラフィックの意味です。具体的には、宛先がR5, SW2, SW4などのトラフィックを指しています。出題者は、VLAN 146がINSIDE(trusted zone)で、R5, SW2, SW4などがOUTSIDE(untrusted zone)である事を想定しているのではないかと推測できます。
11.6 Traffic Filtering using Reflexive Access-Lists
私の英文読解力不足なのか、言い回しが曖昧なのか分かりませんが、赤字部分の意図が理解できませんでした。
- Configure R5 to permit TCP, UDP, and ICMP packets sourced from behind the VLAN 58 interface.
赤字部分は直訳すると、"VLAN58 interfaceの手前から発信された"という意味であり、"SW2, SW4から発信された"という意図のようです。後々の問題文を読むと、ルータ発信のパケットに関する指示もあるので、"ルータ発信ではない"という事を伝えるために、"sourced from the behind the VLAN 58 interface"と出題者は表現したのかもしれません。
なお、出題者は、frame-relay側がOUTSIDE(untrusted zone)で、VLAN58, VLAN108がINSIDE(trusted zone)である事を想定しているのではないかと推測できます。
なお、出題者は、frame-relay側がOUTSIDE(untrusted zone)で、VLAN58, VLAN108がINSIDE(trusted zone)である事を想定しているのではないかと推測できます。
なお、模範解答はnext-hopに誤りがありますので、以下の通り訂正して下さい。
html2 plugin Error : このプラグインで利用できない命令または文字列が入っています。
11.8 Access Control with Dynamic Access-Lists
privilege 0では"access-enable"コマンドを実行する事ができないため、模範解答に以下を加筆します。
username ENABLE privilege 15 password 0 CISCO username ENABLE autocommand access-enable host timeout 5 ! interface FastEthernet0/0.67 ip access-group 100 in ! ip access-list extended 100 permit tcp any any eq telnet permit tcp any any eq 7001 permit udp any any eq rip dynamic DYNAMIC timeout 15 permit tcp any any eq www ! line vty 0 3 password cisco login local line vty 4 password CISCO login rotary 1 autocommand access-enable timeout 5
11.10 Traffic Filtering with Policy-Based Routing
"11.8 Access Control with Dynamic Access-Lists"の設定を削除しないと、動作確認に支障をきたしてしまいます。
ip access-list extended ICMP permit icmp any any ! route-map DROP match ip address ICMP match interface FastEthernet 0/0.67 match length 100 100 set interface Null0 ! interface FastEthernet 0/0.146 ip policy route-map DROP ! interface FastEthernet0/0.67 no ip access-group 100 in
11.11 Preventing Packet Spoofing with uRPF
uRPFに違反したパケットをログ出力するためには、no ip route-cacheが必要です。
Router(config-if)# no ip route-cache
11.13 TCP Intercept
問題文を以下の通り訂正します。
- The router should start dropping half-open connections when they cross the rate threshold of one connection per second. The router should not stop untile the agerage rate is
oen per two minutesone per two seconds.
恐らくINE模範解答は旧書式であると思われます。現在では以下赤字の書式が%