Join Telegram Study Group ▷
لقد اجتزت للتو امتحان CCIE Security التحريري (350-018) في فترة ما بعد الظهر.
يحتوي 350-018 على 100 سؤال إجمالاً، ومدة الاختبار ساعتان، والنتيجة 70% (لقد اختبرت 77%). يغطي الاختبار مجموعة واسعة من المواضيع، من تبادلات التوجيه التقليدية إلى مبادئ الأمان وبروتوكولات الأمان وأمان نظام التشغيل واستكشاف أخطاء الشبكة وإصلاحها. اعتقدت في الأصل أنه بعد اجتياز CSS1 العام الماضي، لا ينبغي أن يكون اختبار أمان CCIE المكتوب مشكلة كبيرة. لكن مجرد القيام بالسؤال الأول يجعلني أشعر بالقلق بعض الشيء، وهو سؤال حالة عملي، اختبر فهمك لتصحيح أخطاء حزمة IP والتبديل السريع/تبديل العملية، والمشكلة مزعجة بعض الشيء، وهي دائمًا بين العنوان والرسم التوضيحي. التبديل، غير معتاد عليه. تقدر الحالات مثل هذه بستة أو سبعة طرق، تتضمن استخدام تصحيح أخطاء حزمة IP للكشف عن الأخطاء، ومطابقة الأقران لخريطة تشفير IPSec، والتعاون مع NAT (هذا النوع من الأسئلة له عدة طرق)، وبعضها يتضمن مثالاً لمبدأ التوجيه الأساسي. الشيء الأكثر إزعاجًا هو وجود العديد من الأسئلة حول أمان Windows وأمان Unix. يركز أمان Windows بشكل أساسي على أذونات المستخدم/الملف. أما أمان Unix فيتضمن مشكلات تتعلق بأذونات المستخدم/الملف، بالإضافة إلى تنفيذ Kerberos على Unix.
لذا فإن بروتوكولات الأمان التي يجب إتقانها هي: IPSec (IKE، AH، ESP، وضع النقل/النفق)، L2TP، GRE/PPTP (ليس كثيرًا، ولكن لا يزال لدي)، Kerberos (لا أهتم ببروتوكول Kerberos بشكل أساسي، لكنني اختبرت سؤالين أو ثلاثة)، SSH، SSL. هناك أيضًا أشياء في CA، والأوامر الشائعة لتكوين CA على جهاز التوجيه، وما هو RA/CRL، والفرق بين العديد من طرق المصادقة، والمفتاح المشترك مسبقًا/الرمز المشفر/التوقيع الرقمي، يجب توضيحها.
هناك أيضًا الكثير من أجزاء AAA، بما في ذلك بعض أسئلة الحالة، مثل مصادقة AAA/تفويض AAA المتنوعة، بالإضافة إلى بعض أوامر مستوى تنفيذ الامتياز، والتي تعد آخر أوامر الامتياز الصالحة. بالإضافة إلى ذلك، فإن رقم المنفذ المستخدم بواسطة بروتوكولي radius وtacacs+ ونوع حزمة الرسائل المستخدمة عندما يتفاعل خادم AAA مع عميل AAA، وتنسيق أزواج قيم السمات في كلا البروتوكولين مألوفة أيضًا.
بالإضافة إلى ذلك، تجدر الإشارة إلى أنه سيتم اختبار CBAC وAuth-Proxy في IOS، وسيكون تطبيق ACL يحتوي على أسئلة حالة فعلية.
بالطبع، لن يكون هناك نقص في IDS، على الرغم من أن الاختبار ليس عميقًا، حيث يقوم IDS Sensor / IDS Director في العديد من الشياطين التي يتم تكوينها وإدارتها وما إلى ذلك بما يجب اكتشافه. من المهم أيضًا أن نتذكر مبدأ العمل العام لكل نوع من أنواع الهجمات الشائعة. يجب التمييز بين العديد من الهجمات مثل Ping of Death/Land.c/Smurf/SYN Flood.
بالإضافة إلى ذلك، أود أن أذكر الجميع بأن إجراء هذا الاختبار يتطلب رقم back-port. يجب تذكر رقم المنفذ المستخدم بواسطة بروتوكولات الأمان المختلفة ورقم المنفذ الخاص بخدمات الشبكة الشائعة المختلفة لأنه يتم اختباره بالتأكيد.
PS كتابي للتحضير للاختبار:
1. "مبادئ وممارسات أمن الشبكات"
كتاب جيد، كتب خمس نجوم على أمازون، موصى به بشدة. المؤلف هو أيضًا عضو في فريق CCIE Security Written/LAB. أوصي بالأقسام التالية التي ترتبط ارتباطًا وثيقًا بالامتحان: IPSec، واكتشاف التطفل (الفصل الكامل)، وAAA (الفصل الكامل)، واستخدام قوائم التحكم في الوصول بشكل فعال (القسم الأكثر فائدة)، واستكشاف الأخطاء وإصلاحها (الفصل الكامل. يجب أن يكون هذا الفصل جادًا، لقد اختبرت أيضًا CCIE R&S Written. بالمقارنة مع CCIE Security Written، فإن خصائص CCIE Security Written هي حالات أكثر، والخبرة الهندسية الفعلية جيدة بالطبع. إذا لم يكن الأمر كذلك، فيجب اختبار أجزاء IPSec وAAA واحدًا تلو الآخر. بصراحة، لا يوجد IS-IS في جزء بروتوكول التوجيه من امتحان الأمان. لم أواجه BGP، ومحتوى VPN3000 ليس كذلك.
2. "خدمات IP المحسنة لشبكات Cisco"
هذا كتاب جيد آخر. ورغم أنه كتاب صدر منذ 99 عامًا، إلا أنه لا يزال يستحق 4.9 نجوم. انظر إلى تقييم القارئ له وتعرف على طريقة كتابته:
هناك كتب كلاسيكية أخرى (مثل Routing TCP/IP 1 and 2 من تأليف Jeff Doyle)، ولكن مؤلف هذا الكتاب يصف الأمور بوضوح شديد وبحد أدنى من التعقيد مما يجعلني أتمنى لو كان قد ألف جميع كتب Cisco Press.
لسوء الحظ، يبدو أن هذا المؤلف لم يكتب أي كتب أخرى عن شركة سيسكو غير هذا الكتاب.
3. "دليل الحصول على شهادة امتحان CCIE Security"
لقد قرأت فصل مواضيع الشبكات العامة في هذا الكتاب، ولكنني لم أنه قراءته بعد. الوقت غير كافٍ. على الرغم من أن بعض الناس لا يحكمون عليه جيدًا، من منظور التعامل مع الاختبار، يجب أن يكون هذا الكتاب ومحتوى الاختبار الأكثر ارتباطًا، لأن أكبر مشكلة في الكتابين المذكورين أعلاه هي أنه لا يتم ذكر WIN/UNIX. نظام التشغيل آمن، ولا يوجد ذكر لـ SSL/Kerberos/NTP، ولكن كل هذا موجود في هذا الكتاب. إذا قرأت هذا الكتاب، آمل ألا يكون النصف الأول من الاختبار صعبًا للغاية (ثم فكرت في تعليقه). بالطبع، يذكر الكتاب المقدس أيضًا أن أمان CCIE أقل من الكتاب المقدس، لقد وجدت TestKing (الإصدار 3.1) و ActualTests، و ActualTests هو في الأساس نسخ TK. يحتوي عنوان TK على نصفين، النصف الأخير بسيط والعديد منه يأتي من Boson. النصف الأول جيد، تم شرح الموضوع، يمكن رؤية بعض التفسيرات التي لا يزال المؤلف على نفس المستوى، ولكن لا يمكن إقناعه تمامًا، بعض الإجابات/التفسيرات خاطئة، النصف الأول من الموضوع أقرب إلى الموضوع الحقيقي، ولكن ليس في الموضوع الحقيقي أكثر من 1/4 من الوقت، بالإضافة إلى الإجابة الخاطئة، من المستحيل في الأساس العودة إلى TK. Boson 1 قريب من الامتحان الفعلي، ولكن الموضوع ضحل إلى حد ما؛ Boson 2 جيد، يمكن رؤية الفهم الفني في Boson 2، ولكنه مختلف عن الامتحان الفعلي؛ Boson 3 والامتحان الفعلي ليسا قريبين، والموضوع ليس صعبًا، لقد طرحت بعض الأسئلة فقط استسلمت.
على الرغم من أنني أعمل في شركة سيسكو منذ أكثر من ثلاث سنوات، إلا أن هذه هي المرة الأولى بالنسبة لي: نظرًا لقدراتي المحدودة، لا أشارك كثيرًا في أنشطة المجتمع. الآن أدركت أنني مخطئ... أتمنى التعرف على المزيد من الأصدقاء في المجتمع... المقال يتحدث عن كيفية إعداد واختبار أمان IE دون الاعتماد على TK وعدم شراء الكتب.
لقد أجريت الاختبار في الثاني والعشرين من إبريل/نيسان من هذا العام وحصلت على 79 نقطة. إن الدافع وراء اختبار IE ينبع من التحدي الأمني: لذا بعد اختبار NP، انتقلت مباشرة إلى المسار، بالإضافة إلى الأشياء التي بحثتها الشركة في العام الماضي والتي تتعلق بالأمن، بالإضافة إلى متطلبات معدات مختبر R&S. إنها عالية جدًا، لذا يتعين علينا الدراسة بجد.
كما ذكرت أعلاه، ليس لدي الكثير من المشاركة في المجتمع. وقد تسبب هذا في ضعف في تعلم التفكير: ليس كافيا. على الرغم من أنني أستطيع وضع بعض الكتب والنظريات ولقطة واحدة، في النهاية، لا تزال المعلومات ليست سلسة بما فيه الكفاية. إذا كنت أعرف TK متأخرًا جدًا، فما هو ... على الرغم من أنني أشعر أن طريقة TK تخمينية إلى حد ما، فإن سكين 300 ليست كمية صغيرة بالنسبة لي. إذا تم استخدام Fail، فسوف يستغرق الأمر وقتًا طويلاً، لذلك وجدت بعض الأصدقاء في الصناعة وأردت الحصول على TK. ومع ذلك، نظرًا لأن هذا المسار لا يزال نادرًا ما يتم اختباره، لأكثر من شهر، لم يحصل عليه صديقي. لقد كسرت عقلي ببساطة.
في نوفمبر من العام الماضي، شاهدت "تجربة اختبار أمان CCIE" على مواقع SPOTO الرسمية الأخرى، وحصلت على بعض المعلومات، لكن لم يكن لدي العديد من الكتب المذكورة فيه. لم أشاهد النسخة الصينية حتى ديسمبر. مبادئ الأمان والممارسة بشكل عام، أردت أيضًا جمع هذه الكتب معًا وزيادة عامل التأمين، لكنني ما زلت غير قادر على العثور عليها، لذلك استسلمت. وتعلمت أيضًا بعض الأفكار من بعض كتب CISCO، في الأساس لن تتجاوز الأشياء الموجودة بداخله المعلومات الموجودة على موقعه على الويب، فهناك العديد من الأشياء المتكررة بين الكتب المختلفة.
لذا، في غياب TK، بدون الكتاب، في مرحلة العدو السريع، أشعر أحيانًا وكأنني إبرة في كومة قش، النطاق كبير جدًا - المفتاح هو عدم معرفة مدى عمق التعلم! ! ! حتى لو كان فرعًا صغيرًا، إذا كنت تريد الوصول إلى القاع، فإن الوثائق تحتوي على مئات الصفحات. يجب على الأقل فهم مبادئي وتطبيقها بالكامل. على موقع CISCO على الويب، يوجد عدد قليل جدًا من المواد التي يمكن العثور عليها في الكتاب، ولكن لا يزال هناك الكثير من الأشياء التي يمكن استعارتها: الصفحة البيضاء، دليل التكوين، دراسة الحالة، وما إلى ذلك، والتي أستخدمها أكثر من غيرها، هو دليل التكوين. الدليل، لا يزال هناك الكثير من المبادئ، وشرح الأشياء، بالطبع، بناءً على تكوين منتجات Cisco، واستخدام أقل. أعتقد أن مثل هذه المعلومات أمر جيد لتعلم واختبار Cisco.
ولا يعد هذا إضافة إلى نشر شركة سيسكو. فمبدأ الأمان عالمي في الواقع. ولا تزال شركة سيسكو لا تتمتع بميزة ساحقة في هذا الصدد، لذا فهي لا تعتمد على بروتوكولات خاصة كثيرة مثل توجيه IP. ومبدأ Kerberos صعب للغاية، ووصفه ليس أفضل من "شبكات الكمبيوتر (الطبعة الثالثة)". وكما أن RFC هو أيضًا كنز، فأنا أبحث عن العديد من الموضوعات على www.ietf.org. إنه لأمر مرهق حقًا أن ترى RFC، 100 صفحة من الوثائق الإنجليزية، ولكنها مفيدة بالتأكيد - صارمة وموثوقة وشاملة ومتعمقة. في بعض الأحيان، عند البحث عن وثائق تمهيدية في مكان آخر، ومعقولة، وليست عميقة، فمن الأفضل ببساطة إلقاء نظرة على RFC: قالت مقالة على موقع ويب تديره "سلطة" في الصين: إذا لم يكن هناك RA، فلن تتمكن CA من العمل. لاحقًا، رأيت RFC وعرفت أن RA كان مجرد خيار... بالإضافة إلى ذلك، إذا كنت منخرطًا أيضًا في تطوير المعايير والقواعد، فإن RFC يعد أمرًا ضروريًا حقًا.
نظرًا لأنه امتحان، يجب أن يكون الغرض قويًا جدًا، ويجب ألا تنظر إليه دون أي غرض. لقد طبعت المخطط. إذا لم أتقن موضوعًا تمامًا، فسألعب خندقًا بجانبه. سأراجعه بعد فترة، وأعتقد أنه سيكون من الجيد عمل خندق مرة أخرى. بهذه الطريقة، يكون الأمر أشبه بالشخير وضرب الموضوع مثل القلعة المحصنة: عندما يكون هناك عدد قليل من الخنادق، يكون هناك شعور بالإلحاح. عندما يكون الخندق أكثر، تنمو الثقة في القلب. عندما كنت موضوعًا، أصررت على القيام بملاحظة، والتي يمكن تبسيطها والاستفادة الكاملة من الوقت: مثل بضع دقائق من الوقت الفارغ، لا تفعل أي شيء آخر، ألق نظرة عليه، عندما يكون كل موضوع في الوقت المناسب، أعلم أنه الوقت المناسب.
4. استراتيجية الامتحان
كما ذكرت سابقًا، في غياب النصائح، أشعر دائمًا بالخوف، أي أنني لا أعرف مدى صعوبة الأمر. في هذا الوقت، صدرت النسخة التجريبية: رأيت Blueprint، وحصلت على 20% أكثر من Topic، وستستغرق نتائج الاختبار بضعة أسابيع حتى تظهر! ومع ذلك، لدي فكرة في هذا الوقت: أولاً، اختبر النسخة التجريبية، وتعرف على نوع الأسئلة، ثم اجتز الاختبار الرسمي بعد أسبوعين.
5. النسخة التجريبية
بصراحة، اختباري ليس مثاليًا. أولاً، لقد اختفى التمديد الذي يبلغ 30 دقيقة للدول غير الناطقة باللغة الإنجليزية. لا يمكنني القيام بذلك في السؤالين الأخيرين. بالإضافة إلى ذلك، تم إهمال بعض التفاصيل مسبقًا: مثل RC4 من Microsoft، وعتبة إعادة إنشاء IPSec SA، وهناك أيضًا عدم الإلمام بنوع السؤال.
خلال أسبوعين، قمت بتعزيز التدريب في الأماكن التي ليست موجودة في امتحان البيتا، وقمت بإعادة مراجعة بعض المواضيع لمعرفة خصائص الأسئلة.
استغرق الامتحان 30 دقيقة إضافية. كانت كافية، لكنها جعلتني أسترخي من يقظتي، مما جعلها فضفاضة ومحكمة. أولئك الذين احتاجوا إلى النظر إلى الصورة كانوا يستهلكون الكثير من الوقت. أود أن أقدم نصيحة هنا: يجب أن تسرع ولا تتخلى عندما تفعل ذلك بسهولة. عندما أختبر NP، أواجه أيضًا مشكلة النظر إلى الصورة، لكن النسبة بعيدة كل البعد عن أن تكون عالية جدًا. بالإضافة إلى ذلك، هناك عدد قليل جدًا من الأسئلة الفرعية التي يمكن إكمالها بالفطرة السليمة. هناك أيضًا العديد من الفخاخ. إذا تعلمت أكثر قليلاً، فمن السهل أن تسقط. ادخل. لا تزال هناك بعض الأسئلة التي هي صعبة حقًا. لا أستطيع فعل ذلك حقًا. سأحاول معرفة ما يريد السائل القيام به. لحسن الحظ، لا تزال الدرجة النهائية للامتحان مرضية.
فيما يتعلق بمحتوى الاختبار، فإن "تجربة اختبار أمان CCIE" مكتوبة بشكل جيد للغاية. لقد واجهت أسئلة Kerberos، بالإضافة إلى AD وSMTP وما إلى ذلك.
وأخيرا، ما أريد أن أقوله هو أنه مهما كنت مستعدا جيدا، سيكون هناك دائما سؤال أو سؤالين صعبين للغاية.
