Wie bereits bekannt, bereite ich mich grade auf CCSP Certifizierung vor.

Áls erstes nehme ich mir die SNRS Prüfung vor.
Securing Networks with Routers and Switches.

Der Stoff ist sehr komplex - dafür aber auch wirklich brauchbar im tägl. Geschäft.
Ich will hier in einer Art BLOG meine Fortschritte dokumentieren, sowie die CCSP zertifizierung vorstellen - könnte ja sein dass es jemanden - ausser meiner Oma - interessiert. ;-)
Die Themen des SNRS im Einzelnen:

Access Control Server (ACS)

Eine auf Server2003 laufende Cisco Software, die einen TACACS+ Server mitbringt - und vielen Zusatzfunktionen. Eine Authentifizierungs Maschine quasi.
Bringt die AAA Features mit. Authentication (wer ist man?), Authorization (was darf man) und Accounting (was hat´man wann gemacht)
Die Lizenz kostet übrigens 6000$. Da ist MS ja regelrecht billig im Vergleich....hehe.

802.1x

Wie kriegt man es hin, einen User ´daran zu hindern, mit privaten mitgebrachten Notebooks oder Gäste-PCs ám LaN teilzunehmen? Richtig - mit 802.1X.
Kommt eigentlich aus dem WLAN Bereich, doch es gibt Mutige die es auch im LAN einsetzen.


IOS Firewall
Neben PIX ´gibt es auch eine im IOS eingebaute Firewall, dieses Featureset muss man aber erstmal lizensieren, um es nutzén zu dürfen.
IOS Firewall bringt folgendes mit sich:

Auth-Proxy
Bei entsprechender Konfiguration müssen User (oder Gäste?) eines bestimmten Subnets sich authentifizieren, um auf belibige Ressourcen ´(zb Internet) zugreifen zu dürfen. Die User kriegen dabei eine vom Router ´gesendete Webseite zu sehen, auf der sie sich authentifizieren müssen. Läuft in Zusammenarbeit mit einem Tacacs oder Radius Server, der dié Userdaten überprüft.

IPS
Deep Paket inspection. Je nachdem welche Art von Daten durchs LAN flattern, werden diese untersucht.
Treffen bestimmte Kriterien zu , werden abhängig von sogenannten Signaturen die Pakete verworfen, die session resettet oder ein event an den syslog server gesendet. Séhr ressourcenfressend das ganze...

CBAC
Content based Access Control
Eine Art Statefull Inspection Firewall.
Da kann man konfigurieren bis der ARzt kommt.

PAM
Port to Application Mapping.
Damit kann man die Port Zuordnung zu bestimmten Diensten die im Intranet angeboten wird, umbiegen.
Beispielsweise addressiert einer aus dem Internet eine Anfrage an Port 80. PAM kann die Anfrage umbiegen auf Port 666 und an den Webserver im Intranet weiterleiten.

VPN
IPSEC und Konsorten. Certification Authorities.
Da gehts ans eingemachte...

Hört sich interessant an. Danke für die Infos.

bye, pantheros

Den Blog hab ich ja ganz vergessen.
Nun ist schon etwas zeit vergangen, und die SNRS und SND Prüfungen sind beide im Kasten (mein Jahresziel damit erreicht...hehe).

Die SNRS hatte viele Themen die ich zwar interessant fand, aber im täglichen Arbeitsleben wohl nicht brauchen werde. IBNS (bzw. das ist 802.1X in Cisco -Sprache) war jedoch recht hilfreich. Auch das genaue Verständnis wie IPSEC funktioniert fand ich sehr erfrischend. IPSEC kennt ja jeder irgendwie, doch kaum einer weiss was das wirklich ist. Hehe.

SND ist eher so die "Einführungsprüfung" die alle Themen des CCSP bisschen anschneidend, aber doch sehr sehr einfach ist
Darum wollt ich diese beiden erstmal hinter mich bringen, um mich dann den wahren höheren Weihen des CCSP zu widmen - der genauen Kenntnis der PIX Firewall, ASA Appliance und des berühmten VPN Concentrators.
Das sind fette Maschinen, die sehr sehr viele grosse Unternehmen seit Jahren einsetzen.
Zum Glück hab ich einige davon in der Firma rumstehen zum freien Testen und Lernen, das ist immer das beste, wenn man 2 Wochen direkt an den Geräten schraubt und sich wilde Szenarien zusammenbastelt.

Innerhalb des CCSP gibts den "Cisco Firewall Specialist" Schein wenn man SND und SNPA geschafft hat. Wenn man SND und CSVPN geschafft hat gibts den "Cisco VPN Specialist".

Ich denke in der Netzwerkwelt sind das wunderbare Zertifikate, vor allem wenn man sich auf Sicherheit spezialsiert hat.

Wenn CCSP fertig ist überlege ich den logischen Schritt zum "Certified Ethical Hacker".

Ach ja - den CCIE hab ich auch mittlerweile immer öfter im Hinterkopf - das ist zwar der heilige Gral, aber mir war ja noch nie was heilig. Hehe. Ausserdem würde ich gerne meine eigene These überprüfen, die besagt dass ein Mensch ALLES schaffen kann, wenn er nur genug Biss hat. Ich denke der CCIE wäre so eine Sache, mit der ich die These vorzüglich testen könnte.

So jetzt waren bisschen Feiertags-Tralala angesagt. Nichts desto trotz hab ich mich etwas in die PIX u ASA Sache eingelesen, bzw. CBT Nuggets Videos angeschaut (sehr unterhaltsam) und ein PDF durchgelesen.

Jetzt steht eigentlich die Praxis an - sprich Testlab aufbauen und alle möglichen wilden Szenarien durchspieln (VPN IPSEC konfigurieren, Policies, Securty Contexts, Filterregeln usw usw) und alles schön dokumentieren - muss schauen wann ich das terminlich im Jan. unterkriege.