HOME»情報処理安全確保支援士掲示板»手を動かして勉強したい
投稿する

[1000] 手を動かして勉強したい

 PC苦手なSEさん(No.1) 
安全確保支援士の勉強をするにあたって手を動かして勉強したいのですが、具体的にどのようにすればいいのか、アドバイスなどあればお願いします。
業務でサーバーを触ったりしていないので頭でっかちになりそうで。
具体的にパケットの中身を見たりポートスキャンしてみたりSYNの送信元IP書き換えみたいなことを手を動かしたいです。
昔CTFに挑戦しようと思いましたがよくわからず挫折しました、、、
2022.12.23 21:17
CEHが目標さん(No.2) 
この投稿は投稿者により削除されました。(2022.12.24 03:50)
2022.12.24 03:50
CEHが目標さん(No.3) 
とりあえず「ハッキング・ラボの作り方」、「Ghidra実践ガイド」、「サイバーセキュリティテスト完全ガイド」等のペネトレーションテスト環境構築本を読んでみてはいかがですか?
それで興味があったら環境を構築して試してみればいいと思います。

最新のパソコンではなくても良いので、それ専用に安い中古部品集めてパソコンを組んでみてもいいかもですね。
パソコンの知識も身に付きますよ。

私は、たとえ仮想環境といえどもメインPCでは使いたくないので…
2022.12.24 03:56
MSUさん(No.4) 
ほぼ独学の自己流でしたが、10年ほど前に自作のウェブサービス(1日数百万PV)を数十台のウェブサーバ上で提供したことがある情報処理安全確保支援士です。
(今は経営側で自分用のメール/WEBサーバをちょこちょこ趣味で扱う程度で現場から離れていますので、以下は参考程度に読んでください)


まず、サーバ構築経験がないのであれば、2台のPCと家庭用ルーターを用意してpingが通るか確認してみるといいと思います。

2台のPCをLANケーブルでつなげば物理的に離れているので、よりわかりやすいです。IPアドレスは数字の羅列でただでさえ混乱します。概念をしっかりと把握されていない初心者の場合、より実験をシンプルにすることは不可欠です。今時WIFIじゃないの?と言われるかもしれませんが、直感的にわかりやすくするため、まずは有線LANがおすすめです。

それから実験に失敗はつきものです。
いずれの場合もインターネットから物理的に完全隔離する必要があります。そういう意味でもWIFIではなく有線LANをおすすめしています。
以前、開発中のプログラムの負荷テストをしているとき、誤って開発版サーバのURLではなく、正規版サーバのURLを指定してしまい本番稼働中のサーバに本当に負荷がかかりそうになる経験がありました。下手をすると外部を本当に攻撃してしまいセキュリティを守るはずの人間が犯罪者になりかねないので、注意してください。

▽実験手順
まずは2台のPCでpingが通るかからはじめて、次はウェブサーバの構築などをしてみるといいんではないでしょうか?別にLinuxではなくWindowsでもいいので、ApacheなどのウェブサーバをどちらかのPC上にインストール(この時点でそのPCがサーバ、もう1台がクライアントになります)して、クライアント役のPCのブラウザからアクセスし、ウェブサーバに接続できるか確認する。それからパケットをのぞいてみる。

ここまでの成功を体験できたら、今度はWIFIルーターでも試してみて、pingが通るか、ウェブサーバにブラウザで接続できるか同じことを試してみる。

また、難易度もあがるので試験勉強的にはあまりおすすめできず、優先順位もさがりますが、もしも時間があれば、VirtualBoxとかで仮想マシンを構築し、IPアドレスをいろいろ変えてみたり複数台ネットワークのテストをしてみるのもいいと思います。仮想マシンならすぐに複製が作れますし、クラウド環境のイメージがつくと思います。

・ファイル共有サーバ(Sambaとか)
・メールサーバ(PostfixとかDovecotとか)
・DNSサーバ

上記は、ウェブサーバに対して設定が複雑、クライアント側で勝手にキャッシュしたり、勝手に何かしたりと、検証がウェブブラウザのようにわかりやすくないイメージがあり、設定の記述ミスにはまりやすいので、誰かサーバに詳しい方がいないのであれば、ウェブサーバ構築になれた後にしてみるといいと思います。
2022.12.24 11:27
GinSanaさん(No.5) 
SC ブロンズマイスター
ギドラ本、1年前に見たときは4500円くらいでしたが、いまやペーパーバックは8500円じゃもう意欲がわくか怪しい値段でしたね。電子書籍じゃないと買えないな・・・。
2022.12.24 17:37
GinSanaさん(No.6) 
SC ブロンズマイスター
最近よくあるOAuth系列の実践は、ツイッタークライアント(小鳥男とか)で勉強しました。
richmikanの小鳥男解説の『OAuth1.0aを自力でやる』とかを参考に昔勉強しました
まあ、いまやOAuth2.0 Betaとかになってるので、それはそれで調べてみてやるしかないんですが、OAuthは実践しないとなかなか頭に入ってこない分野な気はしますねえ。
2022.12.24 17:56
GinSanaさん(No.7) 
SC ブロンズマイスター
>パケットの中身を見たりポートスキャンしてみたりSYNの送信元IP書き換え
パケットの中身をみたいならWireSharkを入れてやるのが手っ取り早いです。
ポートスキャンもnmapでやってみたり(Androidならuserlandとかでも試せる)
なんだかんだ試すのは手軽なんですね。
2022.12.24 18:07

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop