どうもみむらです。
ブログ書くなんて何年ぶりだ、そんな雰囲気がしますが、
調べてみると去年書いていたらしいです。
気分的にはもう10年ぐらい書いていない勢いなんですけどね。
気づけば友人がブログを定期的に書き始めていましたので
自分も定期的とは言わなくても書かねば、と。
ということで、「ブログ書きたい枠」があったので
タイミングもいいやとチャレンジしてみることにしました。
前説
あっ、とがくしさん!とがくしさんの説明だ!
レアだレア!!
この勉強会は「運用」がテーマらしいです。
また「かなりゆるふわ」で「喋る敷居はとても低い」とのこと。
喋りたい方はサイトを確認してくださいとのことですので、
チャレンジしてみてはいかがでしょうか。
http://ssm.pkan.org/
私もこんな記事を過去に貼り付けたことがあります:
タイムマシンインテリジェンス
スピーカー : @moton さん
さて・・情報収集はどうやっていますか?
1. 専門家なので寝ずに情報収集している
2. 業務中も業務外も頻繁にチェックしている
3. 情報収集が仕事だ
4. JPCERT のメールで十分だ
5. 収集しなくても良い
→ 普通の人は「常時情報収集は難しい」ので
「タイムマシン・インテリジェンス」で効率よく情報を収集しよう。
タイムマシン・インテリジェンス?
→ 時差を理解してセキュリティ情報を収集するメソッド
・海外の情報が日本で話題になるまでに先取りする
→ 朝一に海外情報をチェックできれば、日本で話題になる前に情報を知ることが出来る。
How? : RSS リーダーに海外ニュースサイトを登録して、毎朝スマホでチェックする。
・日本で話題になったネタは「まとめ」で取りこぼさない
→ twitter セキュリティまとめ etc… を用いて追いかける。
Appendix (Source):
MS, Adobe, Oracle, ICS(BIND), McAfee, Symantec, Trend Micro, Malwarebytes, Skybox, EndGame etc..
ペネトレーションテスターの資格
スピーカー : @gr4vit0n さん
資格を取る意義
→ 「強い技術者になるために勉強しなければならないことを知る」
・「資格を持っている割には」と言われないようにする。
・「資格取得のための勉強がすべてではない」(自己研鑽が重要)
ペネトレーションテスター向けの資格?
EC-Council, Certified Ethical Hacker (略称 : CEH)
2年以上の実務経験または公式トレーニング受講
択一式選択で 70% 以上
費用は 30 ~ 60 万円.→ 「アメリカの法律」や「攻撃ツールの基本的な使い方」などの基礎的な問題が多い。
→ (Src: Twitter) 「環境とツールの豊富さがいい。ツールを動かしながら学べる」
https://twitter.com/enigma63/status/989099449321308161GIAC のペネトレーションテスター向け認定
基本は SANS トレーニングのあとに受講。
四択式で基準点を満たす(各認定によって基準点が異なる)
費用は 80万円ぐらい→ 教科書の持ち込みが出来るが、知識を組み合わせて解く問題が多い。(深い知識が求められる)
→ 実務的でとても品質が良い。Offensive Security (OSCE, OSCP, OSWP の3つがオンラインで受講できる)
Kali Linux 開発元の Offensive Security が運営するペネトレーションテスター向けの資格。
各認定に対応したトレーニングを受講し、試験環境を攻撃してレポーティングする内容。
費用は 10 ~ 20 万円。→ 海外のペネトレーションテスターが目標とする「難関」の資格。
→ トレーニング環境は「マテリアルを渡すので、勝手にやってみてください」という構成。
→ Lab 環境で 30ホスト以上攻略できるようになってから挑戦するのがオススメ例) OSCP 試験
<実技(23時間45分)>
5つのホストに侵入して、それぞれ権限昇格する
<報告(24時間)>
実技の内容を報告書に纏めて提出する。認定条件:ホスト攻撃により得られる得点 + 報告書の点数 で 70点を超える.
ボーナス : テキストの演習を全て纏め、Lab 環境の制圧手段を報告書に纏めて提出すると追加点
FAQ
Offensive Security の試験のレポートの形式は?
→ テンプレートは公開されている。
( https://www.offensive-security.com/reports/sample-penetration-testing-report.pdf )
VyOS で挑む IPv4 over IPv6 IPsec
スピーカー : @genta さん
Sub-keyword? : 「雰囲気で VyOS をやろう。バグを直そう。貢献しよう。」
経歴
・VyOS Helium (安定版) のフルビルドを試した
・脆弱性対応のために「Linux 本家から取り込まれたパッチに漏れがあった」ことに気づく
→ 「コントリビュータ」として語れるように。
なお、下記の技術があれば「コントリビュータ」になれる!
「ドヤ顔」ができる!・パズルを解く能力
(git log –p を読む, grep –ril ‘keyword’ する, try-and-error をする)How to become a Contributor without technology skills:
1. 二分探索でコードのエラー行を発見する。(コードを消したり戻したりしてみつける)
2. エラーコードをググる。
3. 治す。開発の人たちは怖くない。
ドンドンコミュニケーションをしていこう。
無料で英語が使える環境を触ることも出来るよ?
こういう経験、よくありますよね?
・IPsec を張りたくなった。 IPhone で L2TP/IPSec とかしたい。
・実家と BGP 張りたい。親が病気でどうしても張らなければいけない。
→ これを 素の Linux で見たそうとするのはとても大変。 VyOS ならサクッと出来る。
VyOS とは?
→ Linux と 各種 OSS と設定スクリプト(シェル環境) が一緒にまとまったもの。
→ JUNOS と似たコマンド体系!
→ ただ 安定版の Kernel はとても古い (Debian : squeeze)
IPv4 over IPv6 IPSec をやってみた。
→ IPv6 網を経由すると早くなるらしい? (理由は分からないけれど)
→ でも各拠点は IPv4.. なら 「IPv4 over IPv6 すればいいじゃない!」
ダメだった。
なぜダメだったの?
→ カーネルが古い。 OSS も古い。 vti6 対応してない。
→ なら Linux の git から cherry-pick してくればいいじゃない?
・・そんな4月頃。「 VyOS 1.2.0 Current 」が更新される
→ iproute2 が更新される。
→ カーネルも更新され、最初から対応されている。 cherry-pick いらない・・。
→ CLI に関しては IPv4 ベースで使えない。← 頑張ってここを修正する必要がある。
VyOS 現状のまとめ
これは VyOS ではない。 Debian だ。
さすれば道は開かれん。
(意訳:コンフィグを手で書けば動く)
→ みなさんでここのところ、頑張って治していきましょう・・!
なぜSphinxで手順書を作るのか
スピーカ : @tcsh さん
SPHINX で手順書を生成しよう。
なぜなら Include できるから。 (CSV, ソースコード, ドキュメントのパーツ etc..)
→ 画像やコードを純粋に挿入出来る (イメージとしては TeX っぽい。)
→ 定数置換が出来る。
→ シェルスクリプトを貼り付けて、それを実行させることができる(!)
手順書は「ドキュメント」だけ・・?
→ SPHINX を使うと、運用で使える「シェルスクリプト」を一発生成できる。
→ また「索引」が自動生成されたりしてとっても良い感じ。
(個人的には Sandcastle と似たような感じのイメージ・・)
よく使われる例
→ API や環境、演算結果等はスクリプトで生成し、
人間が書かねばならないところ(設計意図など)だけを手で書いて
常に最新のドキュメントを簡単に生成できるようにする。自動化する。
まとめ
久しぶりの参加で面白かったです。
ただちょっと、雨上がりだったことを完全に忘れていてか
最後の方ちょっと気分が悪かったです。。体力回復してこう・・。