やりたいことをとことん妄想してメモしました

こんばんは。ナツヨです。

春の情報処理試験も無事おわりまして、自由な時間を手に入れましたヾ(*´∀`*)ノ

やりたいことがたくさんあるので、ここにメモしようと思います。

 

twitterにはこんな感じで書いてました。

ネットワーク図(落書き)を描いたらいろいろ反応してもらえて楽しかったです。

 

今はデスクトップにvirtualboxを入れて、debian8.4でUnboundのDNSキャッシュサーバを建てた?ところです。インストールしただけだからlocalhostからしか名前解決できない。はっは~ん。

 

●やりたいことリストその1

・DNSSEC検証対応のリゾルバ構築

・zabbixサーバ(せっかくなら3.0)の構築 DNSリゾルバたちを監視させる

・powerDNS recursorでのリゾルバ構築

・dbjdnsでのリゾルバ構築

DNSはいろいろ触りくらべてみたいですね。

 

さて、これだけ遊ぶとなるとデスクトップのvirtualboxじゃぁ物足りなくなりそうですね(´・ω・`)

 

●やりたいことリストその2

・デスクトップとは別にサーバ用途で1台買う(SSD,ESXi動作環境を満たすもの)

ESXi、フォロワーさんが使っている方が多いようで、けっこういろいろリプライをいただいたのですがけっこう良さげな雰囲気。

 

ここまで内側でガチャガチャやってたら外部にも建てたくなっちゃいそうですね~(。-`ω-)

 

●やりたいことリストその3

独自ドメインの取得(infragirl.comとかほしい)

レンタルサーバの契約

・↑で物足りなくなったらプライベートクラウドの契約 ミーハーなのではやりのAWSさわりたい

独自ドメインでメールサーバの構築(zimbra気になります)

・wwwサーバの構築(wordpress触ったことないからさわってみたい)

 

このぐらいかな?

妄想するだけならタダなので、とりあえずここまで:-)

 

H28年 春期 セキュリティスペシャリストを受けてきました

 おひさしぶりだいこんです。
ずーっと更新していませんでしたが生きています。
今日、セキュリティスペシャリスト試験を受けてきました。
問題としては、普段の業務で見たことあるようなものが多く、「これは解けないとあかんやつ!」と思いながら解いていました。

〇勉強時間
iPhoneアプリを使って記録つけていました。
勉強用SNSという感じで、「ほかの人勉強頑張ってるし自分も頑張らないと!」って思えます。今後も使っていきたいと思ってます。
f:id:okisan2:20160417205549p:imagef:id:okisan2:20160417205626p:image
〇勉強方法
過去問を解いて、わからないところをまとめるというながれをひたすらやっていました。今考えると、理解を深めるためにもっと掘り下げて勉強すれば良かったなって思ってます(∩´﹏`∩)

〇手応えは?
午前Ⅱ、午後Ⅰまではいけたような気がします!午後Ⅱはお察しください!

〇セスペは業務に役に立つか?
私がプロバイダの中の人をしているという前提での話になりますが、広く浅くを身につけるには役に立つのではないでしょうか。お仕事によってはケースバイケースですし(>_<;)

受験が終わった皆様お疲れ様でした!



暗号技術入門を読み始めました

おはごきげんようこんばんにちは。
ナツヨです。

AP受かって、次はセスペだ!と意気込んでいたら、そのあと1週間ほど体調が優れず…今週の水曜日にちょっと熱が出ました。
とばしすぎて、オーバーヒートしたようです。グヌヌ( ・᷄ὢ・᷅ )

セスペ用に、暗号技術入門という本を買いました。

今までIPAの試験は過去問オンリーで特に参考書は買っていませんでした。
午前Ⅱの問題で、暗号化の知識を問う問題があり、全くわかりませんでした。解説を見てもピンと来なかったので、暗号化の書籍を漁っていたところコレにたどり着きました。

Amazonでの評価が高く、セスペ取得を目指すなら是非読んでおいた方が良い!というレビューもあって購入に踏み切りました。

セスペの勉強でペンを持ちたくない時にパラパラ読んでいます。まだ第1章ですが、あまり考え込まずにスーッと読める感じです。

全部読むには時間がかかりそうですが、読み終わったらまた感想を書きますね。

余談ですが、「Amazonで暗号化の本買った!」ってつぶやくと出来るインフラエンジニアっぽくて良いですね(´∀`)

それでは、おやすみなさいませ( ˘ω˘ )

BINDの脆弱性対応についての動きまとめ

おはこんばんにちは。ナツヨです。

いつか、脆弱性対応についての記事を書こうと思っていたら、BINDさんがまた

脆弱性を発表してくれました。(CVE-2015-8704,CVE-2015-8705)

前回の発表から1ヶ月も立っていないのに、流石BINDさんだなぁと思いました。(遠い目)

 

今日は、BINDに焦点をあてて、脆弱性対応とはどういうことが必要なのかまとめていこうと思います。すでに日常的に脆弱性対応されている方というよりは、「なんかしらんけどDNSサーバの管理者になっていた。とりあえずBINDというソフトウェアで動いていることは知っている」という方向けだと思います。

 

1.BINDの脆弱性の発表をキャッチする

BINDの脆弱性について、世の中で一番早く発信するのはBINDのサポートを行っているISC本家(BIND | Internet Systems Consortium)だと思います。情報をキャッチする主な手段としては以下があげられます。

・ISCが提供しているメーリングリストへの登録

・ISCが提供しているRSSを利用する

・ISC公式twitterをチェックする

英語なのでパッと見わかりにくいですし、個人的にはISC本家について必ずしもびんびんにアンテナを張っていなくてもいいんじゃないかなと思います。理由は後述します。

 

BINDの脆弱性について、次に発信してくれるのはJPRSです。日本の.jpドメインの管理をしている会社です。緊急性の高いBINDの脆弱性が発表されると迅速にアナウンスを出してくれます。

CVE-2015-8704,CVE-2015-8705の時は、ISCからの発表が19日の11:54(日本時間との時差は17時間であり、日本時間に直すと20日の4:54)だったのに対し(

CVE-2015-8704: Specific APL data could trigger an INSIST in apl_42.c | Internet Systems Consortium Knowledge Base

JPRSからのアナウンス((緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2015-8704))が20日の11:00でした。大体6時間で、わかりやすくまとまった日本語でアナウンスしてくださるのでとてもありがたい限りです。上司や客先に説明するときに、JPRSのアナウンスを印刷して持って行くと説明がしやすいです。JPRSはBIND以外のDNSのソフトウェアについてもアナウンスを出しています。

 

 その他JPCERT/CCが出すアナウンスもあります。JPCERT/CCDNS関係だけではなく脆弱性全般について取り扱っているので、普段からチェックしておいて損はないと思います。

ISC本家について必ずしもビンビンにアンテナを張っている必要はない、と言ったのは、このJPRSのアナウンスがあるからです。

 

2.対応するかどうかを決める

これは、環境によって異なるのでなんとも言えないのですが、私の場合はJPRSが反応しているものは即、対応の対象にすると決めています。緊急性の高いものはタイトルに(緊急)とついています。

あとは以下の観点から判断しています。

・対象のサーバが外に出ているかどうか

→FWで守られているかどうか。外に出ているものであれば、一刻も早く対処しないといけないです。リモートで攻撃可能な脆弱性だといつ攻撃を受けるかわかりませんし。

脆弱性によって受ける影響が大きいかどうか

JPRSのアナウンスを読むと、どのような条件でどのような影響を受けるかがわかります。サービス停止などだと、会社のサービスの継続に関わるので即対処しないと行けないと思っています。(BINDに限って言えば個人情報漏洩などはあんまり考えられないですけど・・・ゾーンがまるまる取られることがあると、動作しているサービスが予測されるので良くないですね)

 

基本的には脆弱性にはすべて対応すべきだと思っています。ただし、実際に対応するかどうかは実際の環境や、対応にかかる工数とリスクを天秤にかけて、上司や客先と相談して判断しています。

 

3.対応作業を実施する

私はlinux系のOSでしかDNSサーバを運用したことがないので、linux系に限って書きます。

 

BINDをソースでインストールした場合、ISCが提供している修正版のソースを落としてきて、configure→make→make installのいつもの流れで修正版をインストールします。make installをする前に、named.confなどの設定ファイルのバックアップをとっておく、修正版のソースを展開したあとに、修正版のnamed-checkconfを使って動作中のBINDのnamed.confのコンフィグチェックを実施するとより安心です。

蛇足なんですが、この修正版のnamed-checkconfを使う方法は先輩から教わりました。聞いた時は頭いいな〜と思いました(ヽ'ω`)

 

以前の脆弱性対応で、make installしたあとに、BINDが起動してこなくて焦った経験があります。その場で前バージョンのソースをmake installしなおして復活するまで汗がだらだらでした。バージョンアップにより動作が変わり、新バージョンでは今まで使用していたnamed.confの設定を受け付けなくなったことが原因でした。先輩にnamed.confを修正してもらって、バージョンアップを実施しました(`;ω;´)

 

BINDをパッケージでインストールした場合、ディストリビューションが修正版をリリースするまで待つことになります。リリースされたらパッケージのアップデートをすればOKだと思います。ただし、ねんのために、named.confなどの設定ファイルとかはバックアップをとっておいたほうがいいかもしれません。

(パッケージのアップデートでも、修正版ソースのnamed-checkconfを実行するのって有効なんでしょうか。そのへんはやったことないので不明です・・・(゜_゜))

 修正版ソースを展開してnamed-checkconfを実行する以外に、パッケージ版ならではのコンフィグチェックをするもっと良い方法があれば教えていただきたいです。

 

ながくなりましたが、私はこんな感じでBINDの脆弱性対応をしています。

世の中にいるDNSサーバ管理者1年生の方の役に経てばとっても嬉しいです。

間違った点などありましたら、@infragirl755 まで知らせてくださるとたすかります。

 

それではおやすみなさいませ (´-ω-`)

 

以下、追記

・JPCERTの正式名称はJPCERTコーディネーションセンターだと指摘をいただき、記載をJPCERT/CCに修正しました。

・BINDパッケージ版のアップデートのくだりについて、少し日本語がわかりにくいので修正しました。

・ISC発表からJPRSのアナウンスまでの時差について修正しました。(日本時間のわけがないのに痛恨のミス)

 

RHEL向けの手順を作成された方がいらっしゃいました!

まこぴ(@makopicut)さん、ありがとうございます。

 

・そもそもパッケージ版とソースどちらを用いるかという話についてツイートされていたので引用させていただきました。ソース版だと手がかかるんですよね・・・。

鳥海ゆえ(@sarvant_yue)さん、ありがとうございました。

 

 

あとは・・・ISCの第一報からJPRSのアナウンスが出るまでの時間差の話は「現地時間ではないか?」と突っ込まれているのをTLで眺めていました。あー恥ずかしい(・_・;)

今後も気になることがあれば追記しようと思います。

はじめまして

おはこんばんにちは。
初めてブログ記事を書きます。

最初なので自己紹介をします。

名前:ナツヨ
今から20分ぐらい前に決めました。

職業:インフラエンジニア(?)
2012年入社。主としてプロバイダのサーバの保守をしています。今のところlinuxだけです。
ソフトはpostfix、BIND、squidApacheなど。
「インフラ?はて?」の状態から4年ですのでぺぺぺのぺーです。

学歴:日本海側唯一の商船高専

仕事で好きなこと:excelvisioで図形を組み合わせてカンタンな絵を書くこと

資格:初級シスアド、FE、AP(2015秋受験現在合格証書待ち)

仕事で興味のあること:DNS関連(DNSSEC、NSD、Unbound)

仕事での目標:情報セキュリティ、ネットワークスペシャリストの取得

プライベートの趣味:ドライブと絵を書くこと、ひとり暮らしで出来る自由気ままや料理

最近の悩み:「IT企業につとめている」と言うと必ずと言っていいほど「プログラマ?」と言われること。そして、仕事内容を説明してもなんだか伝わらないこと。

プログラマという開発の仕事があるならそれを保守する人もいるんですよ(白目)

Twitterとブログを始めた理由:インフラ系の知り合いが少ないこと。
職場は男性だらけであり女性が少なすぎる現状を嘆き、Twitterにインフラ女子仲間を求めて旅立った。

「データセンターって風が凄くてスカートはけないよね〜」「深夜作業ってお肌荒れるよね〜」と言い合う仲間がほしいです。

…(∪^ω^)

なんだかしまらないですが、もうすぐ明日になるのでこのぐらいにして布団inします。では、おやすみなさいませ。