【勉強会】#ssmjp 2015/04
4/24にビッグローブさんで開催された#ssmjp 2015/04に参加してきたのでメモを書いておきます。
スライドは現在公開されているもののみ載せています。
今後掲載されたら追加していきます。
人工知能のはなし
大学で機械学習を学んでいる
全能アーキテクチャ若手の会で会計をやってる。
・リンゴと梨の写真を見て
なんでリンゴと梨とわかるのか?判断基準はどこ?
経験を基にリンゴや梨と判断している
これをコンピュータにやらせる。
ロボット(コンピュータ)に知識を与える。
赤い+丸い → リンゴ
黄色い+丸い → ナシ
という知識を入れて判断させる。
ネットワークやセキュリティに例をとると、
スパム検出の挙動とかamazonのレコメンドシステムにあたる。
・応用範囲が広い事が人工知能(機械学習)の特徴
例、jubatusを使ってスパムを検知する。
1.解析ログを取る。
2.解析ログを半分のグループに分ける。
3.半分のグループで学習する。
4.通常パケット、マルウェアパケットを学習させる。
5.残りのグループで評価をする。
6.パケットの特徴を見て確率を出す。
・人工知能注目のわけ
大容量データが簡単に入手できる
▶︎twitter、facebook、instagram等
特徴という壁を打ち破ったdeeplarning
▶︎googleの猫、一般物体認識コンテストwired.jp
DQN(deep Q-network)wired.jp
畳み込みニューラルネットワークsinhrks.hatenablog.com
・ブロック崩しの動画
最初はへたくそだけど、学習することによって人間らしい動き(玉を打ち返す)ように
なってきてる。
高得点を取る方法も学習しており、端っこに穴を開けて裏側へと押すと自動で玉がブロックを
崩してくれる事を自動学習してコンピュータが自動で行っている。
・人工知能界隈の動き
facebookがディープラーニングのフレームワークをOSS化
総務省の技術的特異点(2045年問題)
技術的特異点 - Wikipedia
IBMワトソンが銀行員に内定
リクルートの人工知能研究所設立
・まとめ
人工知能はコンピュータに人間のように認識能力を与えるもの
有名企業も注目している今後重要になる技術
お絵かきのお話~NW構成図ってどんな感じで書いてます?
・発表の目的
ネットワークの構成図を周りの方から聞く事が少ない
▶︎機密情報関わるのでインターネット公開とかむずかしい
みんなで共有してしたほうがいいジャンルだと思う
・NW構成図の書き方のコツ
上から下までのトラフィックを意識する。
▶︎水が上から下に流れるように
物理と論理を分けて書く
▶︎大規模になればなるほどもっと細分化する。(全体、拠点ベース)
一部の情報が欲しいのに大きな図で出されても分かりにく
目的に対する視認性を高くする
▶︎ビジュアル重視でアイコンを多用する必要はない
資料の存在意義を明確にする
・良くある質問
使ってるツールは?
▶︎PowerpointとVisio
いろいろ使ったがPowerpointに落ち着いた
・発表資料
@togakushiさん SSH48
メモをとることが難しかったので、スライド出たらうれしいなー。
@h_shiobaraさん 自社サイトにセキュリティホール見つけたら開発者じゃないのに一年かけて自分で直させられたぜ
架空の会社?!を例に取りセキュリティインシデントについてお話。
この会社はセキュリティはしっかり作ってた。
CSIRTの体制も整えている。
▶︎メンバーは経営陣や各部署のトップ
Webサイトの構築体制に歪であった。
@h_shiobaraさんは制作部(Ops)をご担当されていた
意識の高いDev(開発)が居ない。
サーバの知識はあるが、フレームワークでプログラムを作れる人が居ない。
Webサイトの作り
そのwebサイトはWindows(IIS)レガシーASP。
フレームワークを一切つかってない。
.aspですべて作っている。
共通部分はincludeで切り出し。
サイトがオープンし暫く運用するとセキュリティインシデントが発覚した。
▶︎ログイン状態で各ページに表示される情報が抜き取られてしまう。
何故?
表示を外部javasprictファイルのincldeで実現していた。
IISからレガシーASPでjavasprictファイルを吐き出すようにして
document.write()で書いていた。
そのjavasprictファイルを外部ドメインから参照すると情報が見れてしまう。
その脆弱性をPoC付きレポートを書いて上長へ報告。
CSIRTで要改修案件となった。
リファラーチェックする事で一時的に対応、抜本解決は後日という事に…
なぜかredmineでチケットを@h_shiobaraさん宛に切られた。
・何でこんな事になるのか?
CSIRTのメンバーは経営陣や各部署のトップ
▶︎責任の所在や対応状況がうやむやになる
システム部に偏った知識を持った方が多くWebシステムの知識がある人が居なかった
▶︎クリティカルな箇所が分からない
業者選定の決定権を持つ物がCSIRTメンバーと重なっている
▶︎いつものメンバーが適当に決めてしまい、必要要件のヒアリングが不足する。
セキュリティホール作らないのも無くすのも政治力がないとダメという風にはしたくないので
経営陣の日々の鍛錬をお願いしたい。
Taiji Tsuchiyaさん なぜネットワーク運用の自動化が進まないのか〜とあるNW屋の泣き言〜
ビッグローブでコアネットワークの運用のお仕事をされている
・ネットワークの運用お仕事について
ルータ設定
各種設定手順書作成
トラフィック制御
NW資源(IPアドレスや機器構成)管理
ルータリプレイス
データセンタ資源調達
・NW自動化事情について
サーバインフラは最近自動化の話をよく聞く。
NW界隈の自動化は事情が違い進んでない
・進まない理由
捜査対象のOSが多い
▶︎各社が出しているOSでそれぞれCLIが違ったりする
外部APIが確立されていない
▶︎各社で統一されたAPIがない
失敗時の影響(リスク)が大きい
▶︎サーバ1台の自動化が失敗した場合、物にもよるが影響は数サービス
ルータで失敗すると、ぶら下がってるすべての機器に影響が出る可能性あり
コアスイッチとかだと西日本全断とかもあり得る話
これ起こすと総務省に報告…
自動化のスキルはサーバ屋さんスキル
▶︎自動化のアイデアが出づらい
手作業で何とかなる作業量
・やれる理由
NW機器は状態取得を取る事は比較的簡単
ホワイトボックススイッチ(ベアメタルスイッチ)
▶︎いっぱいポートがあるLinuxサーバ
netconf(xml)
開発の敷居が下がってる
▶︎webフレームワークや構成管理がそろってきている
・発表資料
wakamonoによるISP的実験プロジェクト
ISPを個人で始めた。
JPNICからAS番号とIPを割り振ってもらった。
・目的
インターネットの基幹技術が触りたい
ISPをゼロから作ってみたい
流れているパケットを見てみたい
NWエンジニアならBGP触ってみたい
自宅 NOC Operator’s groupという名前で活動
https://www.bgp.ne.jp/
・ISPのネットワークはどうあるべきか?
組織(お客さん)から発せられたパケットを運ぶのが仕事
パケットはこぼさず、早く運ぶ
予算が無いので、決められて枠で安定した運用を目指す
ISP接続初めて1ヶ月で2回ほど障害があった。稼働率99.9%台。
・設計方針
ASとつないでるので、他に迷惑がかかるような事は絶対しない。
やりたい事をやっていく。
NOCは計画中のものも含め6拠点。パーシャルメッシュで接続。
通常回線はASのピアリングする時は専用線をつかうが費用が高い(100Mで数十万)なのでフレッツ
のIPv6折り返し通信を利用してトンネリングプロトコルを通して仮想の回線を作ってる。
接続計画をしているASとすべて繋がると対面接続2.6Gになる。
外部接続を受けるところを細かく分けており、1カ所が全断してもASが全部
インターネットから落ちる事がないような設計にしている。
ビッグローブのASともつないでいる。
ASやIXをつなげてもいいという方を募集中。
・質問
Q.費用は?
A.IPアドレス取得でJPNICへ¥54,000/年。初期費用で¥270,000。
回線やトランジット費用も必要
Q.電気代は?
A.¥50,000/月とか… 構成次第で¥10,000/月くらいの方もいる。
Q.NTTのメンテ等を考慮してNOCを引っ越したとかは?
A.たまたまメンバーが散けてたので引っ越しの必要はなかった。
クラホスのDDoS対策の話
ビッグローブクラウドホスティング = クラホスcloud.biglobe.ne.jp
DDos対策には事業者でやるというとこもあれば、お客様でやってください
というとこもある。
情報を公開する事によりお客様に安心して使って頂きたい。
クラウド事業者には世の中に公表されていない機能が沢山ある。
寺社・仏閣のHPでの利用が多いクラホス(トラフィック従量課金無し)
▶︎従量課金だと海外から攻撃があった場合かなりのコストになる。
自動でDDos対応するクラウド
▶︎一般的なクラウドサービス事業者だと自動設定はあまりない
攻撃検知した場合、NWエンジニアが対応する
一定の容量の通信を超えた場合、自動で遮断する機能を備えている。
この機能はビッグローブISPで利用していた機能をクラウド基盤側で
流用した形になる。(強み)
質問
Q.トラフィック量ベースで遮断とあるが、どのレベルで見ているのか?
A.ネットワーク
※自動遮断のロジック(具体的数値)をお話頂きましたが、ブログに書いて
いいのかわからないので数値記載は控えます。
@takahoyoさん パケットで遊ぼう
・パケットと接する心構え
パケットを良く知る
パケットを恐がらない
パケットに愛を込める
つまり「パケットは友達」ということ
・パケットで遊ぶとは?
キャプチャしたパケットを見る
送信パケットをいじる
チャプチャしたパケットをいじる
wireeditをつかってパケットをいじってみる
適当なキャプチャファイルをつかって
wireeditに読み込ませる
user-agentを変える
wiresharkで見てみる
うまくいかないときは直す
・user-agentをshellshock風に変えてみる
▶︎wiresharkで見るとエラーをはいている
・なぜか??
TCPデータの長さが変わっている・・・
シーケンス番号とACK番号がおかしい
そこで、手計算でACK番号を出して直した値を入れてみた。
wiresharkでエラーなく表示された。
wireeditはチェックサムは自動で計算してくれる。
・発表資料
@nomukenさん TDUCTFの話
単なる思いつきでやって大変な思いをした。
TDCTFには81名が参加
練習問題の作成が大変、とにかく大変、みなさんもぜひ1度開催してみてほしい。
今回のスライドではないですが、TDCTFを開催したときのスライドがありました。
@mimura1133さん YAMAHA ルータの設定を Visual Studio で書きやすく
研究室でRTX1200をいじっていたらYAMAHAルータがどうしても欲しくなった。
飲んでる時に友人から買っちゃえよ!って言われたので買ってしまった。
自宅に持ち帰りごにょごにょいじって遊んだ。
ここまではどこの家庭にもある出来事ww
ルータの設定を書くのが面倒
▶︎もっと視覚的に分かりやすくする事が出来ないだろうか?
そうだ、、、
visual studioのような色分けとIntelliSenseが欲しい!
これを作ればいい。
普通に生活してれば思いつくようなことww
実演の動画を上映されていました。
ソースはGithubにおいてあるそうです。github.com
-
-
- -
-
前回に引き続きとても濃いお話が聞けました。
セキュリティ関連の話はもちろんの事、ネットワークの話が聞けてよかったです。
特に自宅ISPはスゴいの一言です。
すげぇ、自宅NOCは想像より遥か斜め上いってたww #ssmjp
— yut.noguchi (@toto_1212) 2015, 4月 24
次回のssmjpは運用系のようです。楽しみですね。