Ieri 21 Agosto a Brussels ho superato l’esame di laboratorio per la CCIE Security, ho cominciato a prepararmi per questo esame nel Novembre 2013 durante la mia permanenza a Singapore.
In quel periodo ero reduce da un primo tentativo fallito nell’Agosto 2013 per la certificazione CCDE, ma visto che non ritenevo di dover studiare ulteriormente per questa e visto che avevo alcune esigenze pressanti per implementazioni DMVPN cominciai a portarmi avanti con lavoro per la CCIE Security.
Essendomi certificato CCSP (poi sostituita dalla CCNP Security) nel 2006 effettivamente la security è stato il primo campo in cui mi sono specializzato dopo aver ottenuto nel 2005 la certificazione CCNA. Il motivo che mi spinse era sostanzialmente sentimentale, decisi di seguire questo percorso anche prima di cominciare a studiare la CCNA ispirato dalla sicurezza informatica in generale, quindi semplicemente si trattò di una scelta di pancia che si rivelò quanto mai corretta.
Devo dire che da allora molto è cambiato o molto poco è cambiato dipende dai punti di vista. Certamente IPSec nei suoi fondamentali è rimasto lo stesso, e per certi aspetti anche il passaggio da Pix v6 a ASA v8.2 non presenta poi enormi cambiamenti come anche implementazioni tipiche con ACS basate su radius e tacacs+.
Ciò su cui mi sono concentrato maggiormente in questi quasi due anni di studio è stato approfondire tematiche come DMVPN, GETVPN, VPN su VTI, ASA v8.6 (soprattutto twice nat o object nat), imparare ad usare ACS approfonditamente poiché per lavoro avevo visto solo implementazioni piuttosto semplici di autenticazione per management apparati ma mai 802.1x in produzione fino a quel momento. Ma ciò che certamente ho trovato incredibilmente ostico ma meraviglioso è ISE con le sue possibilità molto avanzate di profiling e posture. Questo ha assorbito la maggior parte del mio tempo perché 802.1x, mab, autenticazione web, proxy web e in generale “AAA” (autentication, authorization, accounting) sono dal dal mio punto di vista tra le tecnologie ip più complesse. Certo ho dedicato anche tempo ad Ironport WSA e Wireless Lan Controller perché su questi apparati la mia conoscenza era decisamente scarsa.
Se pre CCIE SP le mie conoscenze R&S erano state una eccellente base di partenza, e se per la CCDE le due CCIE R&S e SP mi ponevano in una posizione privilegiata, qui queste conoscenze erano utili ma non coprivano oltre il 10% delle skill richieste.
Ho seguito un approccio ormai consolidato:
phase1 studio/pratica per singola tecnologia. In questo caso lo studio è stato molto diverso dagli esami preparati precedentemente, perché ho usato più documentazione ufficiale che non singoli libri, poiché non ho trovato testi che fossero davvero esaustivi sui dettagli delle tecnologie trattate. A volte mi sono scontrato con la difficoltà di voler conoscere aspetti che erano poco o mal documentati, così molto tempo è stato speso anche per trovare le corretti fonti per apprendere.
phase2 full scale labs: questa fase è durate anche più della prima. In security quando si vanno a mettere insieme tante tecnologie le interdipendenze possono avere delle implicazioni che vanno molto oltre ciò che si giudicherebbe ad un primo esame topologico.
Ciò che ho trovato estremamente ostico è la meticolosità e precisione che viene richiesta ad un CCIE Security, la vera difficoltà è nei dettagli, nei microfunzionamenti, nelle nascoste interdipendenze.
Non ho superato l’esame al primo tentativo quando provai nel remote lab di Singapore a Settembre 2014. In quella situazione dovetti prendere atto che le oltre 300 ore di laboratorio effettuate fino a quel momento non erano state sufficiente, e ancor di più mi accorsi di aver sottovalutato di versi aspetti. Il risultato era stato incoraggiante, ma come sempre bisogna soffermarsi sui propri punti di debolezza e cercare di correggerli. Probabilmente il mio punto debole maggiore stava nel fatto che essendo un “Infrastructor Engineer” ero molto sensibile al funzionamento e la scalabilità della soluzione, ma mi mancava la mentalità del dettaglio protocollare. In security una soluzione può funzionare, essere super scalabile ed essere totalmente errata!
Così proseguii, a causa degli impegni di lavoro è stato difficile trovare il tempo per riapprofondire, riesaminare e rivalutare i propri punti di debolezza, ma dopo ulteriori 100 ore di laboratori tenuti da Novembre 2014 e Agosto 2015 ho finalmente raggiunto il livello necessario per certificarmi CCIE Security.
Personalmente ho trovato l’esame incredibilmente ostico, dal mio punto di vista il più difficile abbia mai sostenuto, ma ripeto che questa valutazione è certamente condizionata dalla mia impostazione.
Come sempre è difficile poter esprimere a parole la gioia che si si prova quanto si raggiunge una certificazione come questa che rappresenta il top delle certificazioni di sicurezza IT (insieme alla CISSP ovviamente).
Sono contentissimo del risultato e sono certo che questo traguardo sarà di giovamento per tutti i miei clienti enterprise e studenti.
Virgilio Spaziani
E' un Ingegnere Elettronico network designer certificato 3xCCIE (R&S,SP,Sec) e CCDE. Si occupa di proggettazione e formazione nelle tecnologie di sua competenza..Ama lo studio ed applicazione delle tecnologie ed aiutare le persone a comprenderle nel miglior modo possibile. Con esperienza internazioninali in Russia, Singapore, Inghilterrs, vive in Svizzera dove lavora per clienti locali ed in generale europei.