おしゃべりラビットフット

noobが這い上がって行く記録

ssmjp行ってきた

ssmjp行ってきた

ブログ枠じゃないけど初参加なので記事書いておく

gistに書いたメモコピペしたので誤字は後々直していく

 

ssm.pkan.org

 

 

f:id:xn16h7:20180426225751j:plain

 

会場はLINEでした。

 

発表者

喋る人 内容 時間
@tigerszkさん 前説 5分
LINE株式会社様   5分
@tcshさん なぜSphinxで手順書を作るのか 25分
@motonさん タイムマシン・インテリジェンス(仮) 10分
@gr4vit0nさん ペネトレーションテストの資格 30分
@gentaさん VyOSで挑むIPv6 IPsec(仮) 30分

 

前説 
ssmjp = 新橋スタディーミーティング

という知らなかった情報を得たw

 

 タイムマシン・インテリジェンス(仮) 

情報収集方法

未来の話題は海外ソース

過去の話題はまとめで収集している

 

時差を理解して情報を収集するメソッドについて

・とても効率がよくて通勤電車内でできる情報収集方法である。

・海外の情報が日本で話題になるまでにさきどりできる

・海外のニュースは日本の夜に公開されるので日本は翻訳の関係で時差があり午前から午後に公開される。

・注意喚起公開はIPAは12時頃 JPcert13時頃に公開されるため、朝に海外情報をキャッチすれば未来の話題を先どりが可能

 

流れ
RSSリーダに海外のニュースサイト登録

2毎朝RSSリーダーをチェック(既読位置までさかのぼる)

3タグ付け気になる記事をツイート

日本で話題になったネタはまとめで取りこぼさない。

 

f:id:xn16h7:20180426225809j:plain

登録しているフィード

 

ペネトレーションテストの資格 

ペンテスター向けの資格を紹介
資格に関する持論
強い技術者になるために勉強しなければならないことを知る
資格取得の責任資格保持を主張するなら資格の品位を落とさないよに自己研鑽すべし

資格紹介
・EC-Counccil CEH

30~60万円

認定条件 2年以上の実務経験またはトレーニングを受ける択一式試験で70パーセント以上

3年に1度の更新トレーニングや会合の参加で120ポイント以上で自動更新

 

試験メモ

教科書持ち込み不可攻撃ツールの基本的な使い方

アメリカの法律など

試験時間4時間ン7つぐらいのセクションに分かれていてそれぞれの持ち時間が決まってるのでそんなに時間に余裕がない

所感日本に代理店がなくてアメリカ時間でオンライントレーニングを受けるので大変だった。

アメリカの法律とかあまり使えない知識まで幅広く出題されるので割とつらい

・GIAC

費用80万円くらい トレーニング合わせて 試験だけなら10~20

認定条件 基準点を得点する

更新4年に1度の更新ポイント36点以上

試験メモ

教科書持ち込み可能

教科書に書いてある知識を組み合わせて考える問題が多い

ほぼすべての試験は英語で出題される明らかに範囲外の問題が数問出題される

品質が良い費用が大きいのでプレッシャーがすごい認定に合格できると知識が強化された実感がわく

・Offensive security

10~20万

認定条件

各認定に対応したトレーニングを受講する試験でoffensve securityの環境を攻撃して報告する

更新

更新なしの永久資格

OSWP

OSCP←世界中のペンテスターが目指している。

ODCE

OSWE 現地トレーニング必須のやつ

OSEE

 

OSCPに関して

海外のペンテスターが目標としている資格

実技試験により攻撃力が試される流れトレーニングを受ける試験に合格する

PWKの概要ビデオをみながら勝手にやってという形式専用フォーラム下手な質問をすると頑張れ位の返信しかもらえない殺伐としているフォーラムがある(笑)

5つのホストに攻撃してそれぞれ侵入して権限昇格する

実技の内容を報告書にまとめて提出する(英語で)

ホストの攻略により得られる点数報告書の減点をして70以上

ボーナス点制圧手順を報告書にまとめて提出すると5点の加算がされる。

試験メモ

Offensive SecurityのVPNにつなげるならどこでも可能

LAB環境で30ホストいじょうで攻略できてから挑戦するのがおすすめ

きついけどLABレポートは作成して提出するのがおすすめ

1流のペンテスターが体験すべきすべての苦悩が詰まっている

技術力の向上が実感できる(ry・・・

 

 

VyOSで挑むIPv6 IPsec(仮) 

VyOSとは
Linux KernelをforkしたVyOS用のLinux kernelのこと
VyOSshell環境やscript群
各種OSS
Linux kernel等について


Helium安定版は普通の人向け Debian6
currentβ版は人柱向け Debian8


実際使ってみると
一般的なユースケースではおおむね問題ない

問題が起こったときコミュニティに頼るか自分で直す

運が悪いと世界初のバグを踏んだりして・・・VyOSユーザー会半年に一回開催

 

VyOSでやったこと

・拠点間をセキュアにつなぎたい
IPV6網を経由すると早いらしい
IPv4 over IPv6 IPsec

結論 無理

なぜダメなのか?

両バージョンCLI未対応VTI6未対応
安定版は無理・・・

β版は大変
kernelをちょっと再ビルドする

動くVyOSのコンフィグシステムとCLIを雰囲気で治す必要がある

iproute2のバージョンを上げる必要がある。

4月頃VyOS1.2.0debian8 iproute2更新したlinux4.14.x

kernel何もしないでおk

その他細かい修正が必要

VyOSのコンフィグシステムとCLIを雰囲気で治す必要がある

バージョンが大きく上がったので色々影響ありそう

使った技術

二分探索法による切り分け

脳みそを一切使わなくてもなぜか原因個所を特定できるとてもすごいテクニック

活用例

Apacheの設定のどこかに間違いがあるの助けて

まずは祖俺らしいか所を丸っと別のファイルに切り出す動かしてみる

半分消して様子を見るの繰り返し

再現したー残った個所をさらに半分消してみる

再現しないー消した箇所を戻してまた半分消してみる


本家に貢献するモチベーションどや顔できるたくさんの人に試してもらえる

独自patchを頑張って維持する苦しみから解放される英語を使う機会をゲットできる(無課金で)
まとめバグの修正にすごい技術は不要基本雰囲気で治せる界隈の皆さんはとてもやさしいバグを見つけたらor直したら本家で直そう

 

なぜSphinxで手順書を作るのか 

GUI作業のコード化は比較的難しい

まずは脱GUI作業


sphinx手順書を書く時間が頭からお尻まで人が手で書くことを想定している手順をXMLで手書きXSLTでパースしてHTML化そんな時代があった。

Xpathがつらい

shellscriptで手順生成してsphinxでパースしいてHTML化

多彩なインクルード機能

デモドキュメントのパーツをインクルードshellscriptをそのまま実行可能

置換テーブルにより該当部分が置き換わるsourceをインクルードしてハイライト表示


sphinx 

shellscriptで全面的に自動化が可能

手順書の作り方インクルードを前提とする時代へ

大事なことは業務の構造化

運用自動化よりも

運用構造化の未来へ

 

 

次回もLINEで開催するそうです、参加したい

f:id:xn16h7:20180426230001j:plain