Monday, July 31, 2006

Security Labに向けての勉強プラン

さて、Security Labに向けての勉強プランを考えていましたが
これは想像以上にタフです。

のんびり勉強していると2007年での受験は無理っぽいですね。
今からトップギアでやっていかないと、とても来年には間に合いそう
にありません。

Securityを受けようなんて人は私かnetworkerさんぐらいだと
思いますが(笑)、他にも目指している人のために使う予定の
教材についての紹介です。


まずは既に手に入れた教材から。

- Cisco Router Firewall Security

R&Sの時も使いましたが、全てを読んだわけではないので最初から
最後までじっくり読みます。


- Cisco ASA and PIX Firewall Handbook

networkerさんも購入されていましたが、ASAとPIXがよく分かって
いない私にとっては必須の本ですね。


- IPSec VPN Design

IPSecはたまに設計したことはありますが、EzvpnとかDMVPNとか設計
したことないので一応基礎からやり直そうかと。
今はこれを読んでます。


- The Complete Cisco VPN Configuration Guide

Router、PIX、VPN3000シリーズのVPN設定ガイドです。
VPN3000シリーズはCCSPの時以来なのでこれも基礎からやり直し
です(笑)


- Penetration Testing and Network Defence

新しいSecurity LabではNetwork Attackという項目があったので
この本でお勉強です。Attackの手法とそれを軽減する手だてが
書いてありそうです。


今後入手予定の教材は

- Intrusion Prevention Fundamental

まずIPSが何なのか根本的な理解から始めないとダメそうなの
でこの本を買ってみようかと思っています。


- Cisco ASA All-in-One Firewall, IPS, and VPN

ASAに特化した本です。来年のLabからはASAが2台もある
ようなので重点的にやる必要がありそうです。Failoverとか
やるのかな。


- Cisco Network Security Troubleshooting Handbook

CiscoがSecurity Lab Updateのnewsの中で

"Troubleshooting techniques will now be integrated into
the lab exam. "

なんてわざわざ宣言してるので、この本でも読んでおこうかと。
TrboubleshootできずにLabを終えたくないですから(笑)


- CCSP IPS Exam Certification Guide

IPSについてもCCSP以来なので、再度SPレベルからやり直し
でしょうね。


ちなみに買わずに済む資料といえば

- CCO

これは定番というか見なきゃダメというレベルですね。


- SAFE Blueprint

いろいろ本を買っていますが、まずはここから読むか検討中
です。CCSP受験の時に斜め読み程度には読みましたが、内容
もバージョンアップされてると思うので徹底的に読み込んだ方が
良いかもしれません。


- RFC

Security関連のRFCは読んでおいたほうが無難だと思います。
それにRFCはLabでは見れませんし。丸暗記するぐらいの勢い
で読むつもりです。


Workbookはまだ検討中です。


一番の鬼門はCisco Secure ACSかと思っています。。。というのも
来年のLabはASCを自分で設定しなければなりません。

以前は(というか現行では)pre-configureされていて設定する必要
はありません。

それにバージョンが4.xになるということで、Cisco Pressの本も存在
しません。バージョン3.xまでの本しか存在しないのでCCOの
Configuration Guideだけが唯一の情報源です。

ACSなんて普段全く触らないのでCisco Pressで分かりやすく解説
された本があればいいんですが。。。

それとオンラインラボでACSも触れるとこが出てくれることを期待します。
そうじゃないと、Labではじめて触るハメになっちゃいます(笑)


SecurityはR&Sに比べ物にならないぐらい大変そうですが、何故か
ワクワクしてます。

Thursday, July 27, 2006

CCIE R&S Lab Study & Exam Tips

受験記や試験については書けませんが、私なりの

CCIE R&S Lab Study & Exam Tips

を書きたいと思います。


まずStudy Tipsということで使った教材から。

-Routing TCP/IP, Volume 1, 2nd Edition
-Routing TCP/IP, Volume II
-
CCIE Practical Studies, Volume I
-
CCIE Practical Studies, Volume II
-CCIE Routing and Switching Practice Labs

この5冊は言わば「定番」ですよね。
CCIEを受験する人は必ず読んでいると思います。
私自身、全て読みましたが、Practical Studiesシリーズ
は必須という感じはしませんでした。

Routing TCP/IPシリーズとPractice Labsだけでも
十分いけると思いますので、経済的に苦しい方は
この3冊だけにしましょう。

-
Cisco QOS Exam Certification Guide
(IP Telephony Self-Study), 2nd Edition


QoSイマイチという方に是非読んで欲しい1冊です。
かなり読みやすい英語で書かれていると思いますので
英語に慣れない方も読みやすいと思います。

CCIEを受ける前にこの本を読んで、QoSの試験
(たしか642-642だったかな?)を受けておくことを
オススメしますよ。

-
Cisco Router Firewall Security

タイトルだけみると、とてもCCIEには関係なさそうですが
この本、私は大好きです(笑)
なんと言っても読みやすい英語、それに幅広い内容を
カバーしています。SecurityやIOS Featureが苦手と
いう方には効果抜群かも知れません。

-
CCIE Security Practice Labs (CCIE Self-Study)

この本はさすがにR&S Labには関係ないだろうという
感じですが(笑)
でも、使えます。
この本が書かれたころのSecurityのLabにはR&Sの
Blueprintと同一の内容もあって、この本の問題を
やってみるということは役に立つと思います。

この本だけは誰にも教えたくなかった(ウソ)

私の中では定番以外の3冊が非常に役立ったように
感じます。やっぱりQoSですかね、心底いい本だと
思ったのは。日本語のQoS本ありますが、私はアレ
ではさっぱり理解できませんでした。まずQoSの必然性
とかがまったく見えてきませんでしたし。とにかくQoSの
本は良い本です。

最後はCCOです。
これはしっかり読みましょう!

え?Workbookは?
Workbookは、あれはあくまでも練習として、は有用
だと思いますね。Workbookをやれば即合格というのは
ちょっと遠い気がします。もちろん、それでも合格できる
という人は居るのでしょうが。。。

ちなみにDOiTをメインでやっていましたが、DOiTを
やってて良かったと思いますよ。


次にExam Tipsです。

1.問題は後ろから読んでみる。
 頭から読むと、IGPあたりで設定したくてウズウズして
 きます(笑)。でも問題全部を読むことは大事だと思い
 ますので、あえて後ろから読んでみるのも手かと。

2.問題用紙に穴があくぐらい、問題をよく読む。
 試験当日は気が昂ぶっていたり、早く設定してしまおう
 という気持ちが先にたって、どうしても問題を斜め読み
 しがちです。それに、英語というのは文の頭に主語と
 動詞がくるので、何をどうする、というのがすぐにわかり
 ます。そうすると、文の後ろのほうに書いている、どうやって
 という部分をしっかり読まないまま、何をどうする、の
 設定をしてしまいがちです。
 問題の意図を正しく掴むためには、問題をよく読む
 以外にありません。

3.分からない問題をすぐにCCOで調べない。
 これは変に感じるかもしれませんが、大事なことは
 分かった問題やできたと思う問題が絶対に間違って
 いないことを確認する方が先だ、ということです。

 分かっていること、理解できていることは、確認作業を
 やるときに、どうなっていればOKというのが分かるはず
 です。showコマンドでこの出力であればOKだとか、Debug
 してこうなればOKだとか、要は正しいか正しくないかの
 確認ができます。

 しかし、分からない問題をCCOで設定しても、それが正しく
 動作しているのか、あるいは正しく設定されているのかの
 判断ができません。要はあっているかどうかの確認が非常に
 難しいということです。

 そんなことをやるなら、ちゃんと解答できたつもりになっている
 ところの見直しを確実にしたほうが、より点を取りやすくなりま
 す。もしケアレスミスしてたりすれば分かるわけですから。

 これらの見直しが全て完璧だと思ったら、最後に分からない
 問題をCCOで調べる、というステップが良いと思います。

 CCIEは、何故か全て解かないとという気持ちになりがちですが
 別に全てに解答していなくても80%以上とれば合格です。


ちょっとは皆さんのお役に立てたでしょうか。
ちなみに、このエントリーでNDAに違反してるというところが
あれば教えて下さい。修正しますので。

Monday, July 24, 2006

ガレ兵さんとの緊急会談

ガレ兵さんのBlogで既に紹介されていましたが、 7月某日に北九州の
某所で、ガレ兵さんと会談をしました。

何の会談かというと、ガレ兵株式会社入社のための社長面接です(笑)

というのはウソで、出身が近いということもあり、私が帰省した際は是非
お茶してくださいと申し入れてたのでした。
ガレ兵さんは、見ず知らずの私でも気さくに会ってくれました。

会談の内容は、私がガレ兵さんの受験記の熱心なファンである、という
ことからガレ兵さんの体験を臨場感たっぷりに話してもらいました。
受験記に書かれていることとほぼ同じ内容ですが、ガレ兵さんの口から
聞くとまた違った印象で面白かったですよ。

あとSecurityを受けます、とも伝えましたが、たっぷりSecurityの大変
さを教えられてしまいました。
正直、「無理かも」と思ってしまいましたが、新しいLabをチャレンジして
なんとかやり遂げたいですね。

ちなみに各所で話題となったガレ兵さんの「見た目が怖い説」ですが
あれはネタだということが判明しました。
優しそうな人でしたよ。かもし出す雰囲気はnetworkerさんに似てた
ような気もします。

Saturday, July 22, 2006

みなさんありがとうございます。

たくさんの方からコメントをいただきました。
コメントを寄せてくれた方、ありがとうございました。

それに、私の合格をBlogで紹介していただいている方に
お礼のコメントを書きましたが、AGさんのところはコメント
が書けないようですね。

なんででしょ。。

Wednesday, July 19, 2006

緊急記者会見

--今回、記者会見をされるということでいくつかお伺いしたのですが?

「OK。次の予定は特に入っていないから何でも聞いて!」


--そもそもこの記者会見は何のためにされたのですか?

「何のためにって、それは今後の僕の進む道を知らせるためだよ。」


--進む道というのはよくわかりませんが・・・?富士登山への道ですか?

「バカ言うなよ!僕を殺す気か?富士登山できる体力なんてないんだ
から。」


--とすると、今後のCCIEへの取り組みでしょうか?
   Koichi氏はこれまでに2回もLabにFAILしていると聞いてますが。

「そうだね。僕は2回もR&S Labに負けた。でもそれは必要な負けだった
んだ。1回目で合格してたら、僕は使えないCCIEになるところだったよ。
合格するために基礎から勉強しなおし、そしてついに僕は3回目に勝利
したんだ!!」


--つまらないネタはいいので、今後の進むべき道というものをお聞かせ
ください。

「オイオイ待ってくれよ、ネタじゃないよ。僕はLabにPASSしたんだよ!」


--本当ですか?いつもは受験する日を公開されていましたが?

「そうだね。でも今回はひっそりと受けたかったんだよ。宣言すると
プレッシャーがかかってしまうからね。
やっぱり宣言したからには絶対に合格しないと、と気負ってしまうから
なんだよ。」


--要は再度LabにFAILした場合は黙っていようという魂胆だったと。。。

「バカ言うなよ!たんにひっそりと受験したかっただけだよ。
僕はプレッシャーに弱いんだ。」


--目標にしていた24才までの取得が達成できましたが、それについて
はどうですか?

「うん。年齢がどうの、というのは本質的には関係ないけど、自分で決めた
Deadlineを守れたというのは意義があると思う。悪い気はしないよ。」


--R&S受験に関して会社の理解はありましたか?

「全然ないよ!全くと言っていいね!!でも、逆にこれでよかったと思う。
お金に関しては本当に辛かったよ。それに、情報もないし機材もないし、
満足に勉強できる時間もなかったけど、その状況の中で努力して結果を
出せたことは今後の糧となると思うよ。」


--それでは今後の進む道というものをお聞かせください。

「そうだね。無謀なのを承知で言うけど、次はCCIE Securityを目指すよ。
次も自腹の予定なんだ。会社は理解してくれそうもないからね。」


--CCIE Securityですか?Lab機材とかはどうするんですか?

「もちろん自分では持たないよ。オンラインラボを利用することになる
だろう。」


--なぜSecurityに挑戦しようと思ったのですか?

「アメブロ界のラスボスであるnetworker氏独裁政権に立ち向かわな
いとダメだと思ったからさ。
僕がSecurityにチャレンジすることで、彼の独裁政権を阻止できるかも
しれないからね。
でも、僕一人の力では到底太刀打ちできないから、TOMOさんや番犬
さんの力を借りないとダメなんだよ。(ウソ)」


--PIXやASA、VPN3000シリーズの実務経験はあるのですか?

「いや、全然(汗)。SecurityのLabに出てくる機材でルータ以外はほとんど
さわったことないよ。でも、やったことがないを理由にしていたら、いつまで
たっても先に進めないよ。
やったことがないことにチャレンジして、最終的に結果を出すことが大事
なんだ。結果を出すことがね。」


--まずはWrittenを取得することが先決ですね。

「実はWrittenはもう持っているんだ。去年の3月に受かっていたんだけど
もうすぐ失効しそうだったから6月にも受験したよ。
こんなことを言っても信じてもらえないだろうけど、僕は兵頭さんの存在を
知る以前からSecurityのCCIEは受けたいと思っていたんだ。
CCSPを取ったのも、そのためだったんだ。
なのでもうLabの勉強は始めているよ。」


--Securityは来年からLabが新しくなるようですが?

「もちろん新しいLabに照準を合わせている。受験するのは来年あたり
になるだろう。
新しいLabを受けるのは日本人で僕が最初になるかもしれないね。」


--本当に大変さを認識しているのですか?

「あたりまえだろ!R&Sでも十分すぎるぐらい大変だったよ。
Securityはあのガレ兵さんが5回も受けるような試験だからね。
僕なんて5回じゃ済まないかもしれないよ。」


--本気ですか?

「本気だよ!面白おかしく書いているけど、十分本気さ。」


--バカか、もしくは狂ってますよね?

「失礼なやつだな!僕はいたって正常だよ。」


--では最後に、このBlogを読んでいる方にメッセージを。

まずこのBlogを読んでくれている皆さんにお礼を言いたい。それに僕が
落ちるたびに温かいメッセージを送ってくれた方には特に感謝したいよ。
皆さんの応援がなかったら僕は最後までがんばれなかったかもしれない
からね。

それと、TOMOさんにも言われていたけど、もうConfigブログは止めるよ。
これまでConfigブログをやっていたのは、とても日記調に書く余裕なんて
なかったからなんだ。
仕事もきつかったし、精神的にも追い込まれていたよ。
でも、目標としていたことが達成できたから、次の目標に向かってがんば
ろうと思う。

僕と同じような境遇でCCIEを頑張っている人に、努力すれば結果は出
せるんだということを言いたいよ。

Friday, July 14, 2006

臨時ニュース

ただいま臨時ニュースが入りました。

Overseas and BeyondのKoichi氏が緊急記者会見を行う模様です。
詳しい日時や時間帯は明らかにされていませんが、近日中には
会見が開かれる模様です。

「この時期に緊急記者会見とは何ですかねぇ」
「さぁ~、富士登山の赤紙が玄関先に張られてて、腰抜かした
んじゃないですか?」
「どちらにしろ、たいした話題ではないかも知れませんよ」

以上、臨時ニュースをお伝えしました。

Monday, July 03, 2006

Cisco IOS Login Enhancements(後半)

はじめに
 今回はCisco IOS Login Enhancements機能を設定するとき
 のお話です。
 実際の仕事にも使えそうな機能だと思いますので、実機をもって
 いるかたは設定して、実際にTelnetでアクセスするなどして
 どんなログが出力されるのか見てみると良いと思います。

Default設定
 Login Enhancements機能はDefaultでは無効になっています。


Configuring Cisco IOS Login Enhancements
 以下に設定のステップを示します。
 Step1
  Router# conf t

  まず、Global Configuration Modeに移ります。

 Step2
  Router(config)# login block-for seconds attemps tries
  within seconds

  quiet modeの設定をします。引数は以下のようになります。
  seconds・・・Login要求を全く受け付けない時間を設定
  します。単位は秒です。1~65535まで指定できます。

  tries・・・Loginが何回失敗したらquiet modeにするかを
  指定します。1~65535回まで指定できます。

  seconds・・・ここで指定した秒の間、triesの数だけLogin
  が失敗するとquiet modeに移行します。
  1~65535秒まで指定できます。

  このコマンドは、他のloginコマンドよりも必ず先に実行
  されている必要があります。
  このコマンドを有効にすると、デフォルトで1秒のDelay
  が有効になります。

 Step3
  Router(config)# login quiet-mode access-class acl

  Loginに何度失敗してもquiet modeにならないホストをACL
  で指定できます。この設定はoptionalです。

 Step4
  Router(config)# login delay seconds

  Loginに失敗してから、次のPromptが出るまでのDelayを
  設定できます。この設定はoptionalです。
  指定できるのは1~10秒までです。

 Step5
  Router(config)# login on-failure log [every login]

  Login認証に失敗したらSyslogに出力します。
  every引数は、Syslogに出力する間隔を指定します。
  指定しない場合は1となります。
  この設定はoptionalです。

 Step6
  Router(config)# login on-success log [every login]

  Login認証が成功したらSyslogに出力します。
  every引数は、Syslogに出力する間隔を指定します。
  指定しない場合は1となります。
  この設定はoptionalです。

 Step7
  Router(config)# end

 以上で設定は終了です。


Configuration Example
 設定例を以下に示します。
 ここでは、Login試行が3分以内に3回連続で失敗した場合、Login
 要求を30秒間受け付けないようにしています。
 また、Login認証が失敗して次のPromptが表示されるまで2秒の
 Delayを設けています。

 Router(config)# login block-for 30 attempt 3 within 130
 Router(config)# login on-failure delay 2

 quiet modeになったときには以下のSyslog Messageが表示
 されます。以下の出力内容は、上のコンフィグとは関係あり
 ません。

 00:04:07:%SEC_LOGIN-1-QUIET_MODE_ON:Still timeleft for
   watching failures is 158 seconds, [user:sfd] [Source:10.4.2.11]
 [localport:23] [Reason:Invalid login], [ACL:22] at 16:17:23
 UTC Wed Feb 26 2003

 このログが頻繁に見られるような場合、何者かが不正アクセスを
 試みている可能性があります。
 ログには送信元のアドレスが表示されるので、それを利用して
 アクセス元を追跡できるかもしれません。

 不正アクセスを試みる場合、送信元アドレスはSpoofingされない
 ことがほとんどだと思います。
 #単純にDoSが目的ならSpoofingされることも考えられます。


Advanced Configuring Exercise
 さて、基本的な設定は比較的単純ですので、いきなり応用問題
 をやってみましょう。

 要件は以下のとおりです。
 -5分以内に5回連続でLogin認証に失敗したら60秒間Login
  要求を受け付けないようにしてください。
 -Login試行が失敗・成功したらSyslogに記録できるようにして
  ください。
 -SyslogにTimestampが正しく記録できるようにしてください。
 -Loginが失敗する場合は毎回、成功する場合は3回に1度の
  割合で記録してください。
 -1.1.1.1と2.2.2.2のアドレスを持つホストは何度失敗しても
  すぐにLogin試行ができるようにしてください。


 では、解答です。

 -5分以内に5回連続でLogin認証に失敗したら60秒間Login
  要求を受け付けないようにしてください。

 まずこの要件に対するConfigは以下のようになります。

 Router(config)# login block-for 60 attempt 5 within 300
 この問題では秒や分といった異なった単位が含まれています。
 ミスしないように気をつけましょう。

 -Login試行が失敗・成功したらSyslogに記録できるようにして
  ください。

 この問題をぱっと見たときに、特に設定が必要ないと思われた
 方もいるかもしれませんが、以下の設定が必要です。

 Router(config)# logging buffered
 Syslogをローカルバッファに記録します。

 -SyslogにTimestampが正しく記録できるようにしてください。

 Timestampと言えば以下の設定ですね。

 Router(config)# service timestamps log datetime localtime
 この設定に限定されるものではないので、msec単位にしたり
 timezoneを表示したりするようなオプションをつけていても
 OKです。

 -Loginが失敗する場合は毎回、成功する場合は3回に1度の
 割合で記録してください。

 Router(config)# login on-failure log
 Router(config)# login on-success log every 3

 -1.1.1.1と2.2.2.2のアドレスを持つホストは何度失敗しても
 すぐにLogin試行ができるようにしてください。

 Router(config)# ip access-list standard Excluded_HOSt
 Router(config-std-nacl)# permit host 1.1.1.1
 Router(config-std-nacl)# permit host 2.2.2.2
 Router(config)# login quiet-mode access-class Excluded_HOST

 設定は以上となります。


Further Reading
 DocumentへのLinkです。いつもマニュアルへのLinkとなって
 しまいますが、それ以外にCCOで載ってないんですよね(笑)

 Cisco IOS 12.4 Configuration Guide
 http://www.cisco.com/univercd/cc/td/doc/product/
  software/ios124/124cg/hsec_c/part30/h_login.htm