参考にならないアドバイス

WikiにCCSAで検索してきている人がいることに気がついた。これから受けるのでしょうかね。仕事の話なので、FireWall-1ネタは普段書かないのだが、CCSA受けるつもりで検索していた人向けに。

今月末でちょうど3年半で、今月末をもって抜ける今の現場ではLinuxよりもノキラーだった、いや、まだそうか。Nokiaというと世間一般的には携帯電話なんだろうが、iDC関連ではCheck Pointのアプライアンス [1] のこと。

FireWall-1からファイアウォールを触らせるのは、ファイアウォール技術者として、後任を育てるのには結構悩ましい所だったりする。というのは、FireWall-1の場合、TCPの3way Handshakeだけでなく、UDPやICMPもVirtual Sessionという、仮想セッションを持つので [2] 、各サービスのプロトコルの動きを知らなくても、サービスオブジェクトをおいてやるだけでルールが通るので、なかなか各プロトコル自体の動きを理解しようとしない。そうかといって、逆に、単純なパケットフィルタリングのみからFireWall-1に移ってきた人は理解が速いというかというとそうでもない。必要ないのに戻りのパケットのためのルールを入れてしまう [3] 。ステートフルとステートレスの違いを理解しないのには困ったものである。

で、今の現場で、FireWall-1の後任(予定)者にスキトラ [4] した内容として、まずこれを読めといっていたのが、オライリーのファイアウォール構築Vol.1, Vol.2。Vol.1はファイアウォールとは何ぞや、というところを理解するのに良い。ステートレスとステートフルの違いが分からない人はまず読めと。Vol.2は各プロトコルの動きが詳細に解説されているので、とても参考になる。パケットの流れも分からないのにルールを開けるな、ということ。

次にやっとけ、といったのが、tcpdump [5] で、パケットの動きと、Nokia独自仕様のVRRP [6] でのFail Overの動きの観察と理解。余力があれば、Ethereal [7] でも観察しろと。で、FireWall-1との比較で、Linuxのipchainsとiptablesの違いを見ておけと [8]

CCSAを受ける受けないに関わらず、Check PointのINSPECT Engineの動きを理解するのにとても参考になるのが、”Exam Cram 2 Check Point CCSA (Unleashed)”。表題どおり、思いっきりCCSAのいわゆる対策本なのだが、市販の書籍でこれ以上詳しいのは無いので、これも読めとは言っているが、英語なのでなかなか読もうとしない。困ったものだ。 [9]

もし、資格を取ることが目的になっていたら考えを改めるべし。資格を取ることは目的ではないので、受けるだけ無駄。仕事でバリバリやっていて、力試しに受けてみよう、というのなら、最後の書籍は知識の整理になるのでおすすめ。NG-AI R55の時のものなので、NGXには対応していないけど、基本さえちゃんと抑えておけば、バージョンの違いなんて、リリースノート読めば良いのだ。 [10]

ファイアウォール構築 VOLUME1 第2版 ―理論と実践

ファイアウォール構築 VOLUME1 第2版 ―理論と実践

[1]なぜか今の現場ではノキラーは坊主、なんて言葉があって、ノキラーだと坊主頭にするのか、坊主頭の人がノキラーをやるのかは知らんけど。ちなみにワシは、夏場は大学の時から、毎年坊主頭。理由は暑いから。決してノキラーだから、というわけではない
[2]お、そういえば、これも仮想化ネタか
[3]そりゃ、FW-1 4.1のころはそうだったけど、それだと無駄な穴をあけるだけでしょ。
[4]スキトラってもしかしてかなりローカル用語?
[5]IPSOにはtcpdumpがデフォルトで入っている
[6]Monitored Circuitという
[7]今は、Wiresharkでしたね
[8]とはいうものの、Linux自体を触ったことが無い人が多いので意味なしだったが
[9]今の現場を抜けるに当たって脳内と作業PCのみの情報をTiddlyWikiにDumpしたのだが、まぁ、これは公開出来ないからねぇ…
[10]ぶっちゃけ、Check PointとNokiaのリリースノートとWhitepaperさえ読んでおけばいいんじゃない、という話もある