• はじめに
• 講習について
  • Certified Network Defender とは
  • 講習についての所感
• 受験について
  • 講習受講から試験受験までのスケジュール感
  • 学習方法
  • 勉強時間・勉強場所
  • 試験勉強の反省点
  • 試験当日
• 感想など
  • 感想
  • 試験（試験勉強）を通じた学び
  • 今後の目標

はじめに

2023/3/11 に EC-Council の Certified Network Defender の試験を受験し、合格点ギリギリ（72/100）で合格しました。

EC-CouncilのCertified Network Defender(CND)を受けてきました。
本番で上振れが来たので合格スコア+2でギリギリ合格でした。
やったね pic.twitter.com/c6xKT525aO

— 橘 あい (@tcbn_ai) March 11, 2023

受験した経緯としては、

• 会社のお金で CND の講習を受講させていただいた
  • 現在の専門分野がセキュリティ関係
• 受講料金に CND の試験バウチャーも含まれていた

というような感じです。今回は、この試験について振り返ろうと思います。特に試験勉強の反省点を重点的にまとめます。

講習について

Certified Network Defender とは

サイバーセキュリティ教育カンパニーのGSXさん（認定講座のマスターディストリビュータ）によると、

CND（認定ネットワークディフェンダー）は、EC-Council認定資格の一つで、ネットワークセキュリティ対策の知識を包括的に学ぶコースです。組織のセキュリティについてどの部分をレビュー、テストする必要があるかを特定し、ネットワークのリスクを防止、軽減するスキルを身に付けます。
引用元： CND（認定ネットワークディフェンダー）｜EC-Council公式トレーニング｜GSX

とのことです。ネットワークセキュリティを中心として、攻撃に対する防御や攻撃の検知、インシデントへの対応、リスクの予見などに焦点を当てています。今回は、CNDv2 の教育を受講しました。

CNDv2 では、コースは計20個のモジュールから構成されています。テキストのページ数の合計は約750ページでした。

講習についての所感

20個のモジュールを3日間で行うようなものだったので、各モジュールにかけられる時間はあまり多くなかったです。講義中に集中力が切れてしまうと置いていかれてしまうと思いました。私の場合はある程度知っている部分とほとんど知らない部分がはっきりしていたので、ほとんど知らない部分を集中して聞き、気になったところを講師の先生に質問する、というスタンスで受講しました。

受験について

講習受講から試験受験までのスケジュール感

講習を受講したのが12月第3週で試験を受験したのが3月の第2週だったので、講習受講後約3ヶ月後に試験を受けたことになります。

• 会社の予算的な都合で3月末までには受験し終えなければならなかった
• 3月末ギリギリまでは引き伸ばしたくない（忙しそうというのもある）
• 本当は2月下旬に受験しようとしていたが、明らかに合格できなさそうだった
• 平日に受験するためには半休をとる等しなければいけなかったが、有休の残り日数がギリギリだった

という理由で、試験受験日を 2023/3/11 にしました。講習受講後から試験受験までのスケジュール感はこのような感じです。

学習方法

注：結構反省点が多い学習方法です。

上図に示すように、

• テキストを読み、重要そうな用語と意味の対応表を作成
• 問題を解く
• 同時並行で未定着の部分の復習

という流れで勉強しました。実際知識がある程度定着してきたなと思ったのは、問題を解いて復習したときです。

はじめはインターネットに転がっていた問題を解いていたのですが、明らかに答えや解説が間違えているものが多かったので、試験の10日前に Udemy にあった問題集（1,500円）を個人的に購入してそれを解きました。

www.udemy.com

個人的には、

テキストである程度勉強する
→ 問題を解く
→ 解説を読んで復習する
→ テキストの関連箇所を見直す/まとめなおす

という試験約1か月前から前日までの流れが良かったと思っています。ちなみにこの学習方法は、私が高校のときからとっていたものです。

勉強時間・勉強場所

各月の勉強時間と勉強場所は以下のような感じです。

• 12月
  • 仕事納め後
    • 1h/日：家
• 1月
  • 30min/日（平日で勉強できた日）：家
    • やる気が起こらなかったため
• 2月
  • 前半
    • 30min/日（土日）：家
  • 後半
    • 3h/日（平日で勉強できた日）：家
    • 5h/日（土日）：図書館、家
• 3月
  • 3h/日（平日で勉強できた日）：家
  • 5h/日（土日）：図書館、家

2月の前半まであまりやる気が起こらず、やる気が起こった日に30分くらい勉強していました。2月の後半から焦りが出てきて勉強時間を確保しました。具体的には、

• 平日（勉強できた日）
  • 朝仕事前の30分
  • 仕事、夕食後の2時間～2時間半
• 土日（予定がなかった日）
  • 朝～昼過ぎの3時間～4時間
  • 夕方～夜の1時間～2時間

を勉強時間として確保しました。土日で予定がないときは朝から図書館に行って昼過ぎまで勉強するようにしていました。

勉強場所についてですが、駅前に朝早くから営業しているカフェがあるので土日はそこで勉強してもよかったかなと今更ながら思っています。

試験勉強の反省点

今回の受験について、いくつか反省点を挙げようと思います。

• 12月に割と忙しかったというのもあり（言い訳）勉強が進まなかった
  • 仕事後に勉強するやる気も休日に勉強するやる気もあまり起こらなかった
• 前半の「テキストを読み、重要そうな用語と意味の対応表の作成」で、ほとんど知識が定着していなかった
  • 対応表を作るのに満足していたのか、記憶に残っていなかった
  • 試験が近づくまでやる気があまり起こらず、最初の方はかなり間を空けてしまっていた
  • 私は昔からテキストを読むだけよりも問題を解きながらテキストで復習する方が知識が定着するタイプだったが、今回は先にテキストを読むだけ読んでいただけだった
• 問題集を解き始めるのが遅かった
  • インターネットに転がっていた問題集を解き始めたのが試験の約1ヶ月前
  • Udemy にあった問題集は1周しか解いていない

特に、やる気が起こらずギリギリになるまで放置していたことと、自分の昔からの勉強方法を無視してしまったことはかなり反省しています。やる気が起こらなかった原因の1つは、テキストを読んでいるだけで具体的なイメージができなかったことだと思っています。

試験当日

試験はピアソンVUEで実施しました。

www.pearsonvue.co.jp

テストセンター自体初めての経験でした。荷物をすべて預けてテストセンターのPCに向かう、という感じでした。

問題自体は30分くらいで解き終えて、見直し含めて約45分くらいで終わりました。自信のない問題は15問くらいだったので問題集よりは解けたかなと思ったのですが、結果としては 72/100（合格点は70/100）とかなりギリギリでした。まあ合格は合格なので良しとしましょう（良くない）。

無事合格したので、試験後は春物の洋服を試着して買ったり、帽子屋さんで色んな帽子の試着をして店員さんにおすすめを聞いたりしてました。

感想など

感想

ネットワークセキュリティまわりの基礎的な知識を広く勉強する機会になったと思いました。今回は試験ギリギリになってから勉強時間を確保したということもあり、試験に合格するためだけの勉強になってしまった感じもするので、勉強する過程でテキストを読むだけではなく自分で色々調べたり手を動かしてみたりすれば良かったかなと思いました。

試験としては正直いろいろ気になった部分もあるのですが（一部問題の出題意図があまり分からなかったり）、基本的な知識の確認としては良いのかなと思いました。講習および試験全体の満足度は個人的には7割といったところでしょうか。

試験（試験勉強）を通じた学び

自分に合った学習方法は、自分が高校生の頃からしていた学習方法

テキストである程度勉強する
→ 問題を解く
→ 解説を読んで復習する
→ テキストの関連箇所を見直す/まとめなおす

だったことを改めて実感しました。自分に合った学習方法だとやる気も起きやすいし、継続しやすいと思います。

また、この資格の勉強を通じて継続的な学習習慣は大事だと改めて実感しました。今回の試験勉強を通じて学習方法の目星が付いたと思うので、これを継続していきたいと思っています。

今後の目標

今のところ、今後取りたい資格として

• 情報処理安全確保支援士
• Certified Ethical Hacker（CEH）
• G検定

あたりを考えています。資格試験を通じて学習するきっかけにするのと、試験に合格するためだけの勉強ではなく学習を通じて知識を定着させるということを意識したいです。

資格試験以外にも学習する習慣をつけたいです。例えば、セキュリティ関係の英語のニュースを読むとか、自宅のインフラまわりをさらに改造するとかですかね。適度にモチベを保ちつつ頑張りたいですね。

今回は以上です。ここまで読んでくださり、ありがとうございました。

• はじめに
  • これまでの自宅インフラ系記事のリンク
• 自宅環境と在宅勤務環境の分割
  • ハード的な分割
  • ネットワーク的な分割
• 構築した自宅ラボ
• まとめ

はじめに

自宅インフラ（自宅ラボ）系の記事を書いてからだいぶ間が空いてしまいましたが、1年目の12月までに作った自宅環境（自宅ラボ）と在宅勤務環境について語りたいと思います。

配線まじで汚いけど、8月から12月にかけてワンルーム社員寮で1つの机に自宅環境と在宅勤務環境を作って良い感じに分けることができたからそれについてまとめようかな

— 橘 あい (@tcbn_ai) December 28, 2022

Twitter でつぶやいたように、個人的にはワンルームという制約条件下では良い感じに構築できたと思っています。

これまでの自宅インフラ系記事のリンク

• 自宅インフラを育てる (1) ネットワークまわりの改造 - 立ち話
• 自宅インフラを育てる (2) サーバーを自作して仮想化する - 立ち話
• 自宅インフラを育てる (3) 遊ぶための環境を作って動かしてみる - 立ち話

自宅環境と在宅勤務環境の分割

前述のように、1つの机に自宅環境と在宅勤務環境を作って分けている。

ハード的な分割

使っている物理機器を以下表にまとめる。

ここでは、ハード的な分割についてまとめる。

HDMI切替器は、多数のデバイスの信号を入力とし、1つのモニターに出力するようなものである。執筆者は、以下表のように利用している。

執筆者はHDMI切替器とUSB切替器には以下のメリットがあると考えている。

• 複数台のPCを1台のモニターに接続できる
  • 物理的なモニターを大量に用意する必要がない
• 同一のキーボード を複数台のPCで使うことができる
  • わざわざキーボード（USB機器）を繋ぎ変える必要がない

ネットワーク的な分割

次に、ネットワーク的な分割についてまとめる。

12/28時点では、以下のようなネットワーク構成にしている。

自宅環境と在宅勤務をネットワーク的にも分割するために、ポートvlan機能を使っている。会社PCはVPN機能を使うことが多いが、自宅環境と分けておくと安心感がある。

構築した自宅ラボ

ここでは、Proxmox仮想サーバ上に構築した自宅ラボについてまとめる。

12/28時点で、以下のような構成にしている。

図中の灰色のボックスが物理マシン、白色のボックスが仮想マシンである。また、水色で囲っている部分が仮想化サーバである。

net1 に接続しているクライアント、サーバは、以前記事で構築したものである。

ここでは、home-net上のwikiサーバとファイルサーバについて簡単に触れる。

自分用のWikiみたいなのを作ろうと思って Gollum っていう git 管理のやつを入れようとしてたんだけど、インストールでエラーが出まくってここまでにかなり時間がかかってしまった... pic.twitter.com/1Azt6zRJAj

— 橘 あい (@tcbn_ai) September 15, 2022

wikiサーバは、9月くらいに構築したものであり、主に以下の内容をまとめている。

• 環境構築の際の備忘録
• 資格の勉強

seekt.github.io

ファイルサーバは大学院時代に構築したものとほぼ同じであり、主にWindowsやwikiサーバのバックアップなどに使っている。仮想マシンとして作っているので、仮想化サーバが物理的に壊れてしまうと、バックアップしたデータもなくなってしまう、という問題点がある。

wikiサーバは、home-netに接続した機器から閲覧・編集が可能であり、cronを使って毎日ファイルサーバにバックアップをとっている。今後もwikiサーバを更新して、自分のためのwikiを作成する予定である。

まとめ

12月までに構築した自宅環境および在宅勤務環境についてまとめました。在宅勤務主体なので、かなりお金をかけて構築しました。お金が貯まって引っ越したら自宅環境と在宅勤務環境を物理的に分けたいと考えています。もう一度構築を考える必要がありそうですね。

今回構築した環境は、ワンルームという制約の下で自宅環境と在宅勤務環境を分割できていると思っていますが、執筆者の整理整頓能力がないせいで配線が汚くなってしまいました。今後は、配線も綺麗にしつつ、よりエレガントな自宅環境・在宅勤務環境を構築したいと考えています。

最後に、いずれ実現したい自宅環境についてまとめます。

• Proxmoxのクラスタリング
• NASの導入
• IoTデバイスの導入
• 良い椅子（ゲーミングチェア）の導入
• 良いキーボードを買う

• はじめに
• 今回作った環境
• 用途・使い方
• 各VMの設定
  • ParrotOS
    • インストール
    • 初期設定
    • 必要なパッケージのインストール
    • アップデートの自動化
  • Ubuntu
    • インストール
    • 初期設定
    • アップデートの自動化
  • Fedora (Client, Server)
    • インストール
    • 初期設定
• クライアント － サーバ間の通信
  • UDP 通信
    • UDP クライアント
    • UDP サーバ
  • TCP 通信
    • TCP クライアント
    • TCP サーバ
  • 通信のテスト
  • 通信を定期的に行う
• 負荷監視ログの取得
• まとめ

はじめに

前回はサーバーを自作し、Proxmox を導入して仮想化しました。

seekt.hatenablog.com

今回は、遊ぶための環境をサーバー上に作ったのでそのメモを残したいと思います。

今回作った環境

こんな環境を作りました。上段がホームネットワーク上の物理マシン (Windows10) で、中段と下段が Proxmox 上のVMです。

• 攻撃端末 (ParrotOS)
• 踏み台 (Ubuntu)
• クライアント (Fedora)
• サーバ (Fedora)

の4つのVMを Proxmox 上に立てて動かしています。

用途・使い方

用途・使い方はこんな感じです。

• クライアントからサーバに TCP または UDP の通信をする
• 攻撃端末は通信の盗聴・改ざんをする
• Windowsからクライアントおよびサーバを動かせるようにする
  • Windowsから踏み台サーバにSSH接続できるようにする
  • 踏み台からクライアントおよびサーバにSSH接続できるようにする
• 踏み台サーバでクライアントおよびサーバの負荷監視を行えるようにする

各VMの設定

ここでは、それぞれのVMの設定について簡単にまとめます。

ParrotOS

ParrotOS は、攻撃端末として使います。基本的にGUIで運用しますが、WindowsとSSH接続できるようにします。

インストール

公式サイト から ISO イメージをダウンロードして設定します。ここでは、Security Edition の ISO イメージを使っています。

VMのスペックはこんな感じにしています。

• CPU
  • 6 CPUs
• Memory
  • 8 GB
• Storage
  • 96 GB

初期設定

sudo apt update
sudo apt -y upgrade

realtek-rtl8188-dkms でエラーが出るので、エラーの解決をします。

community.parrotsec.org

sudo apt purge realtek-rtl8188eus-dkms
sudo parrot-upgrade
sudo apt autoremove
sudo parrot-upgrade

SSHを有効にします。

sudo apt install ssh
sudo systemctl start ssh
sudo systemctl enable ssh

必要なパッケージのインストール

通信の盗聴や改ざんには Python の Scapy と NetfilterQueue を使うので、必要なパッケージをインストールします。

パッケージのインストール

sudo apt install python3-venv
mkdir .venvs
python3 -m venv ~/.venvs/venv39
source ~/.venvs/venv39/bin/activate
(venv39) pip install --upgrade pip
(venv39) pip install scapy NetfilterQueue

テスト

(venv39) python
>>> import scapy
>>> from netfilterqueue import NetfilterQueue
(Ctrl + D)
(venv39) deactivate

もし NetfilterQueue でうまくいかなかったら、以下のコマンドを実行してもう一度試す。

sudo apt install build-essential python-dev python3-dev libnetfilter-queue-dev

アップデートの自動化

crontab を用います。具体的には、/etc/crontab に以下を追記します。

00 3    * * *   root    apt update && apt -y upgrade && apt -y autoremove

毎日朝3時に root 権限でアップデートが行われる¹。

Ubuntu

インストール

公式サイト から ISO イメージをダウンロードして設定します。ここでは、Ubuntu 22.04 を使っています。

VMのスペックはこんな感じにしています。

• CPU
  • 4 CPUs
• Memory
  • 8 GB
• Storage
  • 256 GB

初期設定

sudo apt update
sudo apt -y upgrade

SSHを有効にします。

sudo apt install ssh
sudo systemctl start ssh
sudo systemctl enable ssh

GUI は負荷が大きいので、CUI で運用することにする。

sudo systemctl set-default multi-user.target
reboot

アップデートの自動化

Parrot と同じ方法でアップデートを自動化する。

Fedora (Client, Server)

インストール

公式サイト から ISO イメージをダウンロードして設定します。ここでは、Fedora Server をダウンロードしました。

VMのスペック・設定はこんな感じにしています。

• CPU
  • 2 CPUs
• Memory
  • 2 GB
• Storage
  • 32 GB
• インストール時は 192.168.0.0/24 のみ接続し、インストール後に 192.168.50.0/24 を追加する。
• root ユーザを作る

初期設定

yum update

nmtui をインストールする

yum install NetworkManager-tui

nmtui で 192.168.50.0/24 のIP を固定 (下図は server の例)。

また、192.168.0.0/24 のネットワーク接続を切っておきます (nmtui で deactivate する)。

クライアント － サーバ間の通信

www.oreilly.co.jp

この本を参考に作っています。

UDP 通信

UDP のクライアントとサーバを作りました。

UDP クライアント

クライアント側で動かすプログラムです。

import socket

MESSAGE_SIZE = 1024 

dstip = '192.168.50.3'   
dstport = 12590
dst_addr = (dstip, dstport)

# (1) create a socket
udp_client = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
# (2) send a message
udp_client.sendto(b'ABCDEF', dst_addr)
udp_client.close()

UDP サーバ

サーバ側で動かすプログラムです。

import socket 

MESSAGE_SIZE = 1024
host = '192.168.50.3'   # server's IP address
port = 12590

addr = (host, port)

def main():
    # (1) create a socket 
    sock = socket.socket(socket.AF_INET, type=socket.SOCK_DGRAM)

    # (2) bind
    sock.bind(addr)
    print(f'[*] Listening on {host}:{port}')

    while True:
        try:
            # (3) receive a message
            rcv_data, client_addr = sock.recvfrom(MESSAGE_SIZE)
            print(f'[*] Received: {rcv_data.decode(encoding="utf-8")} from {client_addr[0]}:{client_addr[1]}')
            print('\n')
        
        except KeyboardInterrupt:
            print(f'[*] Finished')
            sock.close()
            break 

if __name__ == "__main__":
    main()

TCP 通信

TCP のクライアントとサーバを作りました。

TCP クライアント

クライアント側で動かすプログラムです。

import socket 

MESSAGE_SIZE = 1024 
host = '192.168.50.3'
port = 12600

addr = (host, port)
# create a socket
client = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
# connect to server
client.connect(addr)
# send a message
client.send(b'ZYXWVU')
response = client.recv(MESSAGE_SIZE)

print(response.decode())
client.close()

TCP サーバ

サーバ側で動かすプログラムです。

import socket 
import threading 

MESSAGE_SIZE = 1024 
host = '192.168.50.3'
port = 12600

addr = (host, port)

def main():
    # (1) create a socket
    server = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    # (2) bind
    server.bind(addr)
    # (3) wait for client
    server.listen(5)
    print(f'[*] Listening on {host}:{port}')
    
    while True:
        try:
            # (4) obtain
            client, address = server.accept()
            print(f'[*] Accepted connection from {address[0]}:{address[1]}')
            client_handler = threading.Thread(target=handle_client, args=(client,))
            client_handler.start()
        except KeyboardInterrupt:
            print(f'[*] Finished')
            break 
    
def handle_client(client_socket):
    with client_socket as sock:
        request = sock.recv(MESSAGE_SIZE)
        print(f'[*] Received: {request.decode("utf-8")}')
        print('\n')
        sock.send(b'ACK')

if __name__ == "__main__":
    main()

通信のテスト

通信を行う前に、サーバ側のポートを開けます。今回は、12590/udp と 12600/tcp を開けます。

サーバ側 (192.168.50.3) に root でログインして、以下コマンドでポートを開けます。

# firewall-cmd --add-port=12590/udp
# firewall-cmd --add-port=12600/tcp

youtu.be

通信を実行している様子を動画にしました。

サーバ側 (右側) のプログラムを実行してからクライアント側 (左側) のプログラムを実行すると、サーバ側がメッセージを受け取る様子が見て取れます。

通信を定期的に行う

サーバを起動した状態で、クライアントのプログラムを数秒おきに実行すると、定期的な通信を模擬できます。

例えば、5秒おきに UDP の通信をしたいときは、

watch -n 5 python3 udp_client_sample.py

とすれば良いです。

負荷監視ログの取得

踏み台からクライアントとサーバの負荷監視ログを取得しようと思います。今回は、毎秒の vmstat のログを1時間とるようにしました。

こんなスクリプトを書けば実現できます。

サーバのログを取得するスクリプト (obtain_log_server.sh)

#!/bin/bash

HOST=192.168.50.3
USER=guest

ssh ${USER}@${HOST} < log_command.sh > ./log/log_server_`date "+%Y%m%d%H%M%S"`.vmstat

クライアントのログを取得するスクリプト (obtain_log_client.sh)

#!/bin/bash

HOST=192.168.50.4
USER=guest

ssh ${USER}@${HOST} < log_command.sh > ./log/log_client_`date "+%Y%m%d%H%M%S"`.vmstat

共通で使うスクリプト (log_command.sh, 上2つのスクリプトと同じディレクトリに置く)

#/bin/bash

vmstat -n -t 1 3600

./obtain_log_server.sh でサーバの、./obtain_log_client.sh でクライアントのログが取得できます。

やっていることは、SSH 接続先で log_command.sh を実行して、踏み台の log ディレクトリに log_client_YYYYmmddHHMMSS.vmstat として保存するということです。

procs -----------memory---------- ---swap-- -----io---- -system-- ------cpu----- -----timestamp-----
 r  b   swpd   free   buff  cache   si   so    bi    bo   in   cs us sy id wa st                 JST
 0  0      0 1478852   1668 313252    0    0     3     1   41   42  0  0 99  0  0 2022-09-04 11:17:21
 0  0      0 1478852   1668 313252    0    0     0     0  120  116  0  0 100  0  0 2022-09-04 11:17:22
 0  0      0 1478852   1668 313252    0    0     0     0  102  104  0  0 99  0  0 2022-09-04 11:17:23
 0  0      0 1478852   1668 313252    0    0     0     0   95   96  0  1 99  0  0 2022-09-04 11:17:24
 0  0      0 1478852   1668 313252    0    0     0    20  103  106  0  1 99  0  0 2022-09-04 11:17:25
 0  0      0 1478852   1668 313252    0    0     0     0   92   92  0  1 100  0  0 2022-09-04 11:17:26

こんな感じのログが取れます。

まとめ

ここでは、

• 遊ぶための環境について
• クライアント － サーバ間の通信について
• 踏み台サーバからのクライアントおよびサーバの負荷監視について

書きました。

時間があるときに通信の盗聴とか改ざんとかもこの環境で試そうと思っています。