参考にならないアドバイス¶
WikiにCCSAで検索してきている人がいることに気がついた。これから受けるのでしょうかね。仕事の話なので、FireWall-1ネタは普段書かないのだが、CCSA受けるつもりで検索していた人向けに。
今月末でちょうど3年半で、今月末をもって抜ける今の現場ではLinuxよりもノキラーだった、いや、まだそうか。Nokiaというと世間一般的には携帯電話なんだろうが、iDC関連ではCheck Pointのアプライアンス 1 のこと。
FireWall-1からファイアウォールを触らせるのは、ファイアウォール技術者として、後任を育てるのには結構悩ましい所だったりする。というのは、FireWall-1の場合、TCPの3way Handshakeだけでなく、UDPやICMPもVirtual Sessionという、仮想セッションを持つので 2 、各サービスのプロトコルの動きを知らなくても、サービスオブジェクトをおいてやるだけでルールが通るので、なかなか各プロトコル自体の動きを理解しようとしない。そうかといって、逆に、単純なパケットフィルタリングのみからFireWall-1に移ってきた人は理解が速いというかというとそうでもない。必要ないのに戻りのパケットのためのルールを入れてしまう 3 。ステートフルとステートレスの違いを理解しないのには困ったものである。
で、今の現場で、FireWall-1の後任(予定)者にスキトラ 4 した内容として、まずこれを読めといっていたのが、オライリーのファイアウォール構築Vol.1, Vol.2。Vol.1はファイアウォールとは何ぞや、というところを理解するのに良い。ステートレスとステートフルの違いが分からない人はまず読めと。Vol.2は各プロトコルの動きが詳細に解説されているので、とても参考になる。パケットの流れも分からないのにルールを開けるな、ということ。
次にやっとけ、といったのが、tcpdump 5 で、パケットの動きと、Nokia独自仕様のVRRP 6 でのFail Overの動きの観察と理解。余力があれば、Ethereal 7 でも観察しろと。で、FireWall-1との比較で、Linuxのipchainsとiptablesの違いを見ておけと 8 。
CCSAを受ける受けないに関わらず、Check PointのINSPECT Engineの動きを理解するのにとても参考になるのが、”Exam Cram 2 Check Point CCSA (Unleashed)”。表題どおり、思いっきりCCSAのいわゆる対策本なのだが、市販の書籍でこれ以上詳しいのは無いので、これも読めとは言っているが、英語なのでなかなか読もうとしない。困ったものだ。 9
もし、資格を取ることが目的になっていたら考えを改めるべし。資格を取ることは目的ではないので、受けるだけ無駄。仕事でバリバリやっていて、力試しに受けてみよう、というのなら、最後の書籍は知識の整理になるのでおすすめ。NG-AI R55の時のものなので、NGXには対応していないけど、基本さえちゃんと抑えておけば、バージョンの違いなんて、リリースノート読めば良いのだ。 10
- 1
なぜか今の現場ではノキラーは坊主、なんて言葉があって、ノキラーだと坊主頭にするのか、坊主頭の人がノキラーをやるのかは知らんけど。ちなみにワシは、夏場は大学の時から、毎年坊主頭。理由は暑いから。決してノキラーだから、というわけではない
- 2
お、そういえば、これも仮想化ネタか
- 3
そりゃ、FW-1 4.1のころはそうだったけど、それだと無駄な穴をあけるだけでしょ。
- 4
スキトラってもしかしてかなりローカル用語?
- 5
IPSOにはtcpdumpがデフォルトで入っている
- 6
Monitored Circuitという
- 7
今は、Wiresharkでしたね
- 8
とはいうものの、Linux自体を触ったことが無い人が多いので意味なしだったが
- 9
今の現場を抜けるに当たって脳内と作業PCのみの情報をTiddlyWikiにDumpしたのだが、まぁ、これは公開出来ないからねぇ…
- 10
ぶっちゃけ、Check PointとNokiaのリリースノートとWhitepaperさえ読んでおけばいいんじゃない、という話もある