セプキャン2日目

2日目から各クラス、各コースに分かれて、講義。
それぞれの専門的な内容に入っていきます。

パケット工作から学ぶネットワークセキュリティ

吉田さんによる講義。
IP,TCP,UDP,ICMPヘッダの中身や、ポートスキャンの原理、手法について。

演習では、実際に自分でパケットを作ってみる、
ポートスキャンツールを用いたスキャン、自分で作ったパケットによるポートスキャンなど。

講義の内容は事前課題の内容と重なる部分が多かったので、確認の意味合いがあった感じ…？
ポートスキャンの手法については、事前に調べた内容より詳細に教えてもらえたのがよかった。

偽装通信

宮本さんによる講義。

偽装通信ってどんなものか、暗号通信と偽装通信の違いについて暗号通信でなくて、偽装通信でないといけない理由について講義。
あと、自分たちならどんな場所に通信内容を隠すかを、グループごとに議論して軽く発表。
ここで問題になるのは、現在使われていることが多い、NAT,NAPTで変換されてしまうところかどうか、明らかに不審と気づかれないか(なはず)

演習は、偽装通信を行って、キャプチャ。
キャプチャしたものを見て、どうやったら偽装通信を見つけられるかについて。

通常の通信でなく、それの裏や穴使った通信の方法とその見つけ方。
通信を隠したい側と、見つけたい側どんな意図があるだろう？みたいなディスカッションが面白かった。
偽装通信を見つけるには、普段の正常なパケットを見慣れていないと厳しい…。
パケット見慣れないとなぁと改めて思った。

侵入検知

川口さんによる講義。
セキュリティ全般？や、IDS/IPSについて基本的な講義のあと、演習へ。

演習でやったのは、Snortのシグネチャ作成。
シグネチャっていうのは…、簡単なイメージでは、フィルタのルールだと思えばいいはず。
渡されたパケットファイルについて、指示されたパケットを拾うようなシグネチャをひたすら書いてた。
自分は、シグネチャ書いて動いたら、数が合ってるか確認のためにwiresharkのディスプレイフィルタ使ってたけど、他の人は使ってなかったらしい…？
合ってるか自信がなかったのでいちいち確認してたのだけど。

wiresharkで確認作業してて困ったのが、単純に文字列で引っ掛ける必要があるときにディスプレイフィルタでのやり方がわからなかったこと。
パケットの内容全体に対して、文字列検索なフィルタをかけられたら楽だったのだけど。
それができなかったので、単純な検索で、対象をパケット全体にしてヒットしたものをいちいち自分で数えてました…。

まとめ？

この一日何やったかと一言で言えば「パケット見てました」な一日。
休憩時間除いて、パケット見てるか講義かのどちらか！
講師側からは、パケット見慣れてほしいという意図もあるとか…