atwiki-logo
  • 新規作成
    • 新規ページ作成
    • 新規ページ作成(その他)
      • このページをコピーして新規ページ作成
      • このウィキ内の別ページをコピーして新規ページ作成
      • このページの子ページを作成
    • 新規ウィキ作成
  • 編集
    • ページ編集
    • ページ編集(簡易版)
    • ページ名変更
    • メニュー非表示でページ編集
    • ページの閲覧/編集権限変更
    • ページの編集モード変更
    • このページにファイルをアップロード
    • メニューを編集
    • 右メニューを編集
  • バージョン管理
    • 最新版変更点(差分)
    • 編集履歴(バックアップ)
    • アップロードファイル履歴
    • ページ操作履歴
  • ページ一覧
    • ページ一覧
    • このウィキのタグ一覧
    • このウィキのタグ(更新順)
    • おまかせページ移動
  • RSS
    • このウィキの更新情報RSS
    • このウィキ新着ページRSS
  • ヘルプ
    • ご利用ガイド
    • Wiki初心者向けガイド(基本操作)
    • このウィキの管理者に連絡
    • 運営会社に連絡(不具合、障害など)
ページ検索 メニュー
DynagenでCCIEを目指す
  • ウィキ募集バナー
  • 目安箱バナー
  • 操作ガイド
  • 新規作成
  • 編集する
  • 全ページ一覧
  • 登録/ログイン
ページ一覧
DynagenでCCIEを目指す
  • ウィキ募集バナー
  • 目安箱バナー
  • 操作ガイド
  • 新規作成
  • 編集する
  • 全ページ一覧
  • 登録/ログイン
ページ一覧
DynagenでCCIEを目指す
ページ検索 メニュー
  • 新規作成
  • 編集する
  • 登録/ログイン
  • 管理メニュー
管理メニュー
  • 新規作成
    • 新規ページ作成
    • 新規ページ作成(その他)
      • このページをコピーして新規ページ作成
      • このウィキ内の別ページをコピーして新規ページ作成
      • このページの子ページを作成
    • 新規ウィキ作成
  • 編集
    • ページ編集
    • ページ編集(簡易版)
    • ページ名変更
    • メニュー非表示でページ編集
    • ページの閲覧/編集権限変更
    • ページの編集モード変更
    • このページにファイルをアップロード
    • メニューを編集
    • 右メニューを編集
  • バージョン管理
    • 最新版変更点(差分)
    • 編集履歴(バックアップ)
    • アップロードファイル履歴
    • ページ操作履歴
  • ページ一覧
    • このウィキの全ページ一覧
    • このウィキのタグ一覧
    • このウィキのタグ一覧(更新順)
    • このページの全コメント一覧
    • このウィキの全コメント一覧
    • おまかせページ移動
  • RSS
    • このwikiの更新情報RSS
    • このwikiの新着ページRSS
  • ヘルプ
    • ご利用ガイド
    • Wiki初心者向けガイド(基本操作)
    • このウィキの管理者に連絡
    • 運営会社に連絡する(不具合、障害など)
  • atwiki
  • DynagenでCCIEを目指す
  • トップページ
  • 動作検証 ネットワーク系
  • INE Workbook Volume I Security 進捗 誤植

DynagenでCCIEを目指す

INE Workbook Volume I Security 進捗 誤植

最終更新:2011年11月16日 22:38

it_certification

- view
管理者のみ編集可
  • 進捗確認
    • 正答率 チェック
    • 所感
      • 1週目 2011/09/11
      • 2週目 2011/09/24
      • 3週目 2011/11/13
  • 誤植 および 問題文補足
    • 11.1 AAA Authenticastion Lists
    • 11.2 AAA Exec Authorization
    • 11.5 Traffic Filtering using Extended Access-Lists
    • 11.6 Traffic Filtering using Reflexive Access-Lists
    • 11.8 Access Control with Dynamic Access-Lists
    • 11.10 Traffic Filtering with Policy-Based Routing
    • 11.11 Preventing Packet Spoofing with uRPF
    • 11.13 TCP Intercept

進捗確認

正答率 チェック

2週目 3週目 4週目 5週目
11.1 AAA Authentication Lists x
11.2 AAA Exec Authorization x
11.3 AAA Local Command Authorization x
11.4 Traffic Filtering with Standard Access-Lists x
11.5 Traffic Filtering with Extended Access-Lists
11.6 Traffic Filtering with Reflexive Access-Lists
11.7 Filtering Fragment Packets
11.8 Access Control with Dynamic Access-Lists
11.9 Traffic Filtering with Time-Based Access-Lists
11.10 Traffic Filtering with Policy-Based Routing
11.11 Preventing Spoofing with uRPF
11.12 Using NBAR for Content-Based Filtering
11.13 TCP Intercept x x
11.14 TCP Intercept Watch Mode
11.15 Packet Logging with Access-Lists
11.16 Stateful Filtering with CBAC x
11.17 Advanced CBAC Feature x
11.18 CBAC TCP/UDP Intercept Feature x
11.19 VLAN Filters for IP Traffic
11.20 VLAN Filters for Non-IP Traffic x
11.21 Port Security
11.22 HSRP and Port-Security
11.23 DHCP Snooping
11.24 DHCP Snooping and the Information Option
11.25 Dynamic ARP Inspection x x
11.26 IP Source Guard x
11.27 Using Catalyst Ingress Access-Lists
11.28 Controlling Terminal Line Access
11.29 IOS Login Enhancements
11.30 Role Based CLI
11.31 IP Source Tracker
11.32 Router IP Traffic Export
11.33 Controlling the ICMP Messages Rate
11.34 Control Plane Policing
11.35 Control Plane Protection x
11.36 IOS ACL Selective IP Option Drop
11.37 BGP Generic TTL Security Mechanism
11.38 Flexible Packet Matching x x
11.39 Zone Based Firewakk
11.40 ZFW Rate Limiting
11.41 ZFW Application Inspection x x 捨て
11.42 Classic IOS Transparent Firewal x
11.43 ZFW-Based IOS Transparet Firewal
11.44 IOS IPS 検証不能
正答率 65% 88%

所感

1週目 2011/09/11

  • 11.1 "ip tacacas source-interface"のコマンドを見つける事ができませんでした。"tacacas"配下ばかりを探していましたので。
  • 11.3 "privilege"コマンドを見つける事ができませんでした。"aaa"配下ばかりを探していましたので。
  • 11.4 "Ensure R4 allows returning TCP packets for those connections"の意味を誤読しました。逆方向のACLを定義するだけではなく、ack bitが成立しているTCPのみを許可しなければなりません。
  • 11.8 "dynamic access-list"というキーワードを思い出せなかったため、該当の記事を見つける事ができませんでした。"Rock & Key"は覚えていたのですが…。
  • 11.15 "ip access-list logging interval"は秒指定ではなくミリ秒指定です。
  • 11.21 "switchport port-security aging type inactivity"の設定を漏らしてしまいました。ageの設定にはabsolute, inactivetyがある事を頭の片隅に入れておかないと、出題意図が読み取れない可能性が高いそうです。
  • 11.23 zero giaddrを許可する設定が必要な事を理解しておらず、相当はまってしまいました。
  • 11.30 "parser view"のコマンドが思い出せませんでした。どう考えてもparserではない処理なので、ヘルプメッセージから当該のコマンドを見つけ出すのは厳しいです。
  • 11.38 正規表現はCisco流ではなくLinux流の表記を使用するようです。Cisco流を使用するのかLinux流を使用するかについてまとめると以下の通りです。
Cisco 流 BGPのAS path絞り込み, CBACにおけるURLなどの絞り込み
Linux 流 Flexible Packet Matching, ZFWで使用するparameter-map
  • 11.38 class-mapを訂正した場合は、policy-mapを再作成しないと設定が反映されないようです。(もしかしたら、policy-mapのI/Fへの適用のみをやりなおせば設定が反映されるかもしれません。
  • 11.41 正規表現はLinuxと同じ表記を使用します。
  • 11.42 IRBの設定方法が思い出せませんでした。
  • 11.42 IPv6のether typeが思い出せませんでした。ether typeについてまとめる必要があります。
  • 11.42 模範解答の設定では、FTPの短命ポートが許可されていないので、FTPは疎通不能であるような気がします。FTPに関するまとめと動作確認は、後ほどやらなければならないと感じました。(active modeならばINSIDE側から接続するので可能?)
  • 11.43 CPLの意味が理解できませんでした。CPLは(Cisco Policy Language)の略で、transparent firewallでZFWを使用する事を意味します。

2週目 2011/09/24

  • 11.1 "Customize the prompts for AAA users authentication and change the default banner message."の意味を以下のように誤読してしまいました。
banner exec ^C banner exec ^C
banner incoming ^C banner incoming ^C
banner login ^C banner login ^C
banner motd ^C banner motd ^C
  • 11.8 オンラインドキュメントを読みながら、かろうじて正解する事ができました。feature guide, command referenceではなく、Technology配下にも有用なドキュメントが眠っている可能性がある事を覚えておきましょう。
Technology -> Security and VPN -> Lock & Key
  • 11.13 "ip tcp intercept list"を忘れてしまいました。このコマンドを忘れると、tcp interceptが有効にならないようです。
  • 11.13 "close connections after 30 seconds of inactivity"の意味を誤読してしまいました。誤ってfinrst-timeoutを設定してしまいましたが、finrst-timeout, connection-timeoutの両方の意味をよく理解していれば、どちらの設定の方がより題意に近いか分かるはずです。
  • 11.17 "ip inspect name INSPECT udp router-traffic"が思い出せませんでした。
  • 11.18 問題文を誤読というか、何を血迷ってしまったのか、問題文には全く指定のない設定を投入してしまいました。OUTSIDEからINSIDEへのアクセスを全て拒否してしまいました。思い込みって怖いです。
  • 11.20 ether typeを覚えていませんでした。覚え切れるわけないので、"試験直前暗記リスト"のようなまとめページを作りたいと思います。
  • 11.20 11.19を省略し以下のような設定を投入します。すると、全てのIPパケットが拒否されてしまう現象が発生しました。mac access-listは、IP以外を制御する機能のようで、ether type 0x0800を許可する設定を投入してもIPは許可されないようです。
no vlan filter VMAP vlan-list 146
no vlan access-map VMAP
no mac access-list extended ACL_MAC

mac access-list extended ACL_MAC
 permit any any 0x0800 0x0
 permit any any 0x0806 0x0
 permit any any lsap 0x4242 0x0
 permit any any lsap 0xAAAA 0x0
!
vlan access-map VMAP 10
 action forward
 match mac address ACL_MAC
!
vlan filter VMAP vlan-list 146

  • 11.25 "Do not trust any trunk port to other switches"の意味を理解できませんでした。これは、"ip dhcp snooping trust"をtrunkに投入してはいけませんという意味ではなく、"ip arp inspection trust"をtrunkに投入してはいけませんという意味です。dhco snoopingと同様にarp inspectionにもtrust port, untrust portの概念があり、untrustであるポートに対してのみarpを除き見します。
  • 11.26 vlan 67が疎通不能になっている事に気づきませんでした。
  • 11.35 HTTPがルータを経由するパケットを指しているのか、ルータ宛てのパケットを指しているのかを問題文から読み取る事は不可能です。しかし、queueingの設定がhost sub interfaceに対してのみ設定できる(cef-exception, transitは設定不可)事から、ルータ宛てのパケットを指している事が推測できます。
  • 11.38 以下のように0x0800と指定すると、パケットがマッチしません。先頭の0は省略しなければならない仕様(?)のようです。
match field ETHER type eq 0x0800 0x800 next IP
  • 11.38 icmp typeを覚えていませんでした。echo, echo-replyくらいは覚えていても良いかもしれません。
  • 11.42 L2の制御方法が思い出せませんでした。catalystスイッチではmac access-listを用いて定義しますが、ciscoルータではprotocol type code access-list(access-listコマンド)を用いて定義します。

3週目 2011/11/13

  • 11.4 FTP active modeのシーケンスを記憶違いしていました。また、tracerouteの設定も誤っていました。tracerouteの設定誤りは今回が初めてではないので、必ずテストをするように心がけたいと思います。
ip access-list extended ACL_TO_R5
 10 permit tcp 150.4.0.0 0.0.255.255 any
 20 permit tcp 155.4.146.0 0.0.0.255 eq www any
 21 permit tcp 155.4.146.0 0.0.0.255 eq smtp any
 22 permit udp 155.4.146.0 0.0.0.255 eq domain any
 23 permit tcp 155.4.146.0 0.0.0.255 eq domain any
 24 permit tcp 155.4.146.0 0.0.0.255 eq ftp any
 25 permit tcp 155.4.146.0 0.0.0.255 any eq ftp-data
 26 permit tcp 155.4.146.0 0.0.0.255 any range 20 21
 40 permit icmp any any echo
 41 permit icmp any any echo-reply
 42 permit udp any any range 33434 33523
 43 permit icmp any any port-unreachable
 44 permit icmp any any packet-too-big 
 45 permit icmp any any time-exceeded

ip access-list extended ACL_FROM_R5
 10 permit tcp any 150.4.0.0 0.0.255.255 established
 20 permit tcp any 155.4.146.0 0.0.0.255 eq www
 21 permit tcp any 155.4.146.0 0.0.0.255 eq smtp
 22 permit udp any 155.4.146.0 0.0.0.255 eq domain
 23 permit tcp any 155.4.146.0 0.0.0.255 eq domain
 24 permit tcp any 155.4.146.0 0.0.0.255 eq ftp
 25 permit tcp any eq ftp-data 155.4.146.0 0.0.0.255
 26 permit any tcp 155.4.146.0 0.0.0.255 range 20 21
 30 permit udp any any eq rip
 40 permit icmp any any echo
 41 permit icmp any any echo-reply
 42 permit udp any any range 33434 33523
 43 permit icmp any any port-unreachable
 44 permit icmp any any packet-too-big 
 45 permit icmp any any time-exceeded
  • 11.13 "ip tcp intercept list"を忘れてしまいました。2週目と同じ間違えです。
  • 11.25 想定通りの動作をしませんでした。要やりなおしです。
  • 11.38 route-cacheによってルーティングされたパケットは、FPM(Flexible Packet Matching)の対象外になる事を忘れていました。
  • 11.41 3週目も解けませんでした。恐らく、このような難しい問題は出題されないと思いますので捨てる事にします。仮に出題されたとしても、他の問題の見直しに時間を割り当てた方が得策と思います。

誤植 および 問題文補足

11.1 AAA Authenticastion Lists

TACACSに関する設定で、以下赤字部分は必須設定ではありません。
tacacs-server host 155.X.146.100
tacacs-server directed-request
tacacs-server key CISCO

 omitted


"tacacs-server directed-request"は、ユーザ認証の際にTACACSサーバを指定する事ができる設定です。例えば、test@192.168.1.1のように指定すると、TACACSサーバ192.168.1.1にユーザtestが存在するかどうかを問い合わせます。TACACSサーバが複数存在する環境で、ユーザtestがプライマリTACACSサーバに存在しない場合は、有用な設定となります。
但し、セキュリティ上の問題点があるため、本機能はデフォルトで無効化されています。例えば、自前TACACSサーバを用意し、そのサーバに認証を要求するようユーザ名を指定すれば、ユーザ名, パスワードが分からなくても、IOSにログインする事が可能になってしまいます。

11.2 AAA Exec Authorization

赤字部分を投入しても、デフォルトの挙動と変わらないので、明示的な投入は不要と思われます。INE模範解答を性善説的に考えれば、"明示的に投入した方が分かりやすいから投入した"と考える事もできます。
aaa authorization console
aaa authorization exec default none
aaa authorization CONSOLE group tacacs+ local
aaa authorization VTY gruop tacacs+ if-authenticated

 omitted


11.5 Traffic Filtering using Extended Access-Lists

以下問題文の意味がやや不明確なので、補足説明をします。
  • Configure R4 to permit any TCP traffic destined for R5 and souced from the Loopback0 subnets. Ensure R4 allows returning TCP packets for those connections.
"any TCP traffic destined for R5"は宛先がR5の意味ではなく、R5へ向かうトラフィックの意味です。具体的には、宛先がR5, SW2, SW4などのトラフィックを指しています。出題者は、VLAN 146がINSIDE(trusted zone)で、R5, SW2, SW4などがOUTSIDE(untrusted zone)である事を想定しているのではないかと推測できます。

11.6 Traffic Filtering using Reflexive Access-Lists

私の英文読解力不足なのか、言い回しが曖昧なのか分かりませんが、赤字部分の意図が理解できませんでした。
  • Configure R5 to permit TCP, UDP, and ICMP packets sourced from behind the VLAN 58 interface.
赤字部分は直訳すると、"VLAN58 interfaceの手前から発信された"という意味であり、"SW2, SW4から発信された"という意図のようです。後々の問題文を読むと、ルータ発信のパケットに関する指示もあるので、"ルータ発信ではない"という事を伝えるために、"sourced from the behind the VLAN 58 interface"と出題者は表現したのかもしれません。
なお、出題者は、frame-relay側がOUTSIDE(untrusted zone)で、VLAN58, VLAN108がINSIDE(trusted zone)である事を想定しているのではないかと推測できます。

なお、模範解答はnext-hopに誤りがありますので、以下の通り訂正して下さい。
html2 plugin Error : このプラグインで利用できない命令または文字列が入っています。

11.8 Access Control with Dynamic Access-Lists

privilege 0では"access-enable"コマンドを実行する事ができないため、模範解答に以下を加筆します。

username ENABLE privilege 15 password 0 CISCO
username ENABLE autocommand access-enable host timeout 5
!
interface FastEthernet0/0.67
 ip access-group 100 in
!
ip access-list extended 100
 permit tcp any any eq telnet
 permit tcp any any eq 7001
 permit udp any any eq rip
 dynamic DYNAMIC timeout 15 permit tcp any any eq www
!
line vty 0 3
 password cisco
 login local
line vty 4
 password CISCO
 login
 rotary 1
 autocommand  access-enable timeout 5

11.10 Traffic Filtering with Policy-Based Routing

"11.8 Access Control with Dynamic Access-Lists"の設定を削除しないと、動作確認に支障をきたしてしまいます。
ip access-list extended ICMP
 permit icmp any any
!
route-map DROP
 match ip address ICMP
 match interface FastEthernet 0/0.67
 match length 100 100
 set interface Null0
!
interface FastEthernet 0/0.146
 ip policy route-map DROP
!
interface FastEthernet0/0.67
 no ip access-group 100 in

11.11 Preventing Packet Spoofing with uRPF

uRPFに違反したパケットをログ出力するためには、no ip route-cacheが必要です。
Router(config-if)# no ip route-cache

11.13 TCP Intercept

問題文を以下の通り訂正します。
  • The router should start dropping half-open connections when they cross the rate threshold of one connection per second. The router should not stop untile the agerage rate is oen per two minutes one per two seconds.

恐らくINE模範解答は旧書式であると思われます。現在では以下赤字の書式が%
「INE Workbook Volume I Security 進捗 誤植」をウィキ内検索
LINE
シェア
Tweet
DynagenでCCIEを目指す
記事メニュー

メインコンテンツ

  • トップページ
  • トップページ/動作検証 ネットワーク系

更新履歴

取得中です。

@Wiki

  • @wiki
  • @wikiご利用ガイド
  • プラグイン紹介
  • まとめサイト作成支援ツール




ここを編集
記事メニュー2
人気記事ランキング
  1. トップページ/動作検証 ネットワーク系/NAT
  2. トップページ/動作検証 ネットワーク系/CBAC 基本設定
  3. プラグイン
  4. トップページ/手順書 ネットワーク系/VLC media player (Windows版) 操作手順
  5. トップページ/手順書 サーバ系/Apache HTTP Server Windows 32bit版 インストール手順
  6. トップページ/手順書 サーバ系/TACACS+ インストール手順
  7. トップページ/動作検証 ネットワーク系/20100623 BGP AD値の設定
  8. トップページ/動作検証 ネットワーク系/20100818 EEM applet
もっと見る
最近更新されたページ
  • 2994日前

    トップページ
  • 4193日前

    トップページ/手順書 ネットワーク系/Loopbackインターフェースとの接続
  • 4193日前

    トップページ/手順書 ネットワーク系
  • 4193日前

    トップページ/手順書 開発系
  • 4193日前

    トップページ/手順書 サーバ系
  • 4193日前

    トップページ/動作検証 ネットワーク系
  • 4906日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 15
  • 4927日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 14
  • 4940日前

    メニュー
  • 4950日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 13
もっと見る
人気記事ランキング
  1. トップページ/動作検証 ネットワーク系/NAT
  2. トップページ/動作検証 ネットワーク系/CBAC 基本設定
  3. プラグイン
  4. トップページ/手順書 ネットワーク系/VLC media player (Windows版) 操作手順
  5. トップページ/手順書 サーバ系/Apache HTTP Server Windows 32bit版 インストール手順
  6. トップページ/手順書 サーバ系/TACACS+ インストール手順
  7. トップページ/動作検証 ネットワーク系/20100623 BGP AD値の設定
  8. トップページ/動作検証 ネットワーク系/20100818 EEM applet
もっと見る
最近更新されたページ
  • 2994日前

    トップページ
  • 4193日前

    トップページ/手順書 ネットワーク系/Loopbackインターフェースとの接続
  • 4193日前

    トップページ/手順書 ネットワーク系
  • 4193日前

    トップページ/手順書 開発系
  • 4193日前

    トップページ/手順書 サーバ系
  • 4193日前

    トップページ/動作検証 ネットワーク系
  • 4906日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 15
  • 4927日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 14
  • 4940日前

    メニュー
  • 4950日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 13
もっと見る
ウィキ募集バナー
新規Wikiランキング

最近作成されたWikiのアクセスランキングです。見るだけでなく加筆してみよう!

  1. 鹿乃つの氏 周辺注意喚起@ウィキ
  2. 機動戦士ガンダム EXTREME VS.2 INFINITEBOOST wiki
  3. MadTown GTA (Beta) まとめウィキ
  4. R.E.P.O. 日本語解説Wiki
  5. AviUtl2のWiki
  6. シュガードール情報まとめウィキ
  7. ソードランページ @ 非公式wiki
  8. ドラゴンボール Sparking! ZERO 攻略Wiki
  9. シミュグラ2Wiki(Simulation Of Grand2)GTARP
  10. Dark War Survival攻略
もっと見る
人気Wikiランキング

atwikiでよく見られているWikiのランキングです。新しい情報を発見してみよう!

  1. アニヲタWiki(仮)
  2. ストグラ まとめ @ウィキ
  3. ゲームカタログ@Wiki ~名作からクソゲーまで~
  4. 初音ミク Wiki
  5. 機動戦士ガンダム バトルオペレーション2攻略Wiki 3rd Season
  6. 検索してはいけない言葉 @ ウィキ
  7. 発車メロディーwiki
  8. オレカバトル アプリ版 @ ウィキ
  9. Grand Theft Auto V(グランドセフトオート5)GTA5 & GTAオンライン 情報・攻略wiki
  10. ニコニコMUGENwiki
もっと見る
全体ページランキング

最近アクセスの多かったページランキングです。話題のページを見に行こう!

  1. 過去の行動&発言まとめ - 鹿乃つの氏 周辺注意喚起@ウィキ
  2. マイティーストライクフリーダムガンダム - 機動戦士ガンダム EXTREME VS.2 INFINITEBOOST wiki
  3. 参加者一覧 - ストグラ まとめ @ウィキ
  4. 前作からの変更点 - 機動戦士ガンダム EXTREME VS.2 INFINITEBOOST wiki
  5. 旧トップページ - 発車メロディーwiki
  6. 魔獣トゲイラ - バトルロイヤルR+α ファンフィクション(二次創作など)総合wiki
  7. マリオカート ワールド - アニヲタWiki(仮)
  8. コメント/雑談・質問 - マージマンション@wiki
  9. フェイルノート - 機動戦士ガンダム バトルオペレーション2攻略Wiki 3rd Season
  10. RqteL - ストグラ まとめ @ウィキ
もっと見る

  • このWikiのTOPへ
  • 全ページ一覧
  • アットウィキTOP
  • 利用規約
  • プライバシーポリシー

2019 AtWiki, Inc.