Windows でのセキュリティ学習環境構築準備メモ – やられ側 –


■Windows でのセキュリティ学習環境構築準備メモ – やられ側 –

Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

を達成してからしばらくたつが、そのあと何をやろうか、悩んでいる。

ラズパイに kali linux をインストールして、

というのも考えてはいるが、内容自体は多分

ラズパイでセキュリティ

に記載したものと同等レベルになるだろうと思われる。

それだと単なる焼き直しになってしまうので、
*それはそれで復習としてはよいのだけれど、

何か他のことをやりたいなぁ、と思っている。

で、考えたのだが、電子工作系だと、あとは

・R2-D2 を作る
・ドローン化に挑戦する

ぐらいしか思いついていない。

どっちも長期化しそうなので、現段階ではまだ躊躇中。

ということで、もともとやろうと思っていた、

・セキュリティ関連の記事を充実させる

がやっぱりよいのではないかと考えている。

ということで、raspberry pi からは少し離れるが、

折角購入した Windows マシンを使い、

Windows でセキュリティを学べる環境

を作ってみたいと思う。

そのためには、とりあえず、

脆弱性のある『やられサーバー』の設定

が必要となる。

ということで、こういった環境を構築するための準備として、

今回は、やられ側についてどんなものがあるか、を調べてみた。

いずれちゃんと整理したいが、とりあえず今回はそのメモを残す。



脆弱性のある診断対象の設定

セキュリティについて学ぶためには、

攻撃手法は当然だが、やっぱり、

・実際それで攻撃(診断)できるのか?
・攻撃が成功するとどうなるのか?

というところを自分自身で体験することが重要だと思う。

そのためには、

・攻撃を仕掛けたらやられてくれる機器またはサーバー

が必要不可欠。

これがないと、セキュリティ診断をかけたとしても、

脆弱性が発見できない(そもそもない)

のか、

セキュリティ検査に失敗しているのか、

の区別がつかない。

ということで、現時点で想定している、

「あえて脆弱性を持つ診断対象」

について、備忘録的に記載しておこうと思う。



とりあえず最初に思いつくものは、やはり

metasploitable2
https://metasploit.help.rapid7.com/docs/metasploitable-2

だろう。

非常に強力なセキュリティ診断ツールである、

metasploit

を用いて、脆弱性が悪用されうるかどうかを

確認できるようにするための、やられサーバーである。

攻撃ガイドもあるみたい。
Metasploitable 2 Exploitability Guide
https://metasploit.help.rapid7.com/docs/metasploitable-2-exploitability-guide

現在、metasploitable3 までが出ている模様。

https://github.com/rapid7/metasploitable3

2 と 3 で何が違うのか、を確認してみても面白そうだな。

なお、このサーバーは仮想マシン上で動作するため、

Windows 上で動作する仮想マシンソフトウェアが必要。

以前、Virtual Box で試してみたのだが、

今のところなぜかうまく動かせていない。

とりあえずこの問題の解消から取り組もうか。



基本的な脆弱性に関しては、この

metasploitable2/3

でよいと思うのだが、Web アプリ向けのものもある。

一つ目は IPA が提供している、

脆弱性体験学習ツール AppGoat
https://www.ipa.go.jp/security/vuln/appgoat/

だ。

以前は Web アプリ向けだけだったが、

どうもサーバー・デスクトップアプリ用もあるらしい。

前者は 12 個の脆弱性を、

後者は 7 個の脆弱性を、

各々学べるということらしい。

無料だが、申請しないといけないのが玉にきず。

とはいえ、こういったやられ環境をあえて作るのは

結構大変なので、これはありがたい。

一度ちゃんと使ってみようと思う。

とはいえ、これだと多分、

・自分でツールを準備してセキュリティ診断する

ということができないのではないか?と思われる。
*試してないからわからないけど。

そうなると本来の目的からちょっと逸脱するなぁ。

最初にこれをやって、再度脆弱性とは何ぞやを復習してから、

やられ環境と診断環境を構築するのがよいのかもしれないな。



あとは OWASP BWA か。

OWASP BWA とは、Web アプリケーションにあえて脆弱性を混入させた、

Web アプリケーションの脆弱性診断用やられサーバーの模様

OWASP Broken Web Applications Project
https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project

手動検査、自動ツール検査、ソースコード分析、web attack の観測、

WAF(Web Application Firewall)のテスト、などなどができるらしい。

こちらも仮想マシン上で動作する。

OWASP ZAP を使って診断できるみたいなので、

今回の目的にはばっちりかもしれない。

なお、他にも

・OWASP WebGoat
・OWASP Multillidae 2

などがある模様だが、OWASP BWA にはこれらも含まれているとのこと。

ということで、Web アプリ関連に関しては

これさえ入れればとりあえず十分なような気がする。



やられ側サーバーについてのまとめ

今回はひとまず、やられ側サーバーについて調べてみた。

セキュリティ診断ができるかどうかはわからないが、

まずは IPA 提供の

AppGoat

において、Web アプリ系、サーバー系の両方に関する

脆弱性の復習をするのがよいかもしれない。

その次に、いわゆる通常のサーバー系に関して試してみる。

こちらは、

・metasploitable2
・metasploitable3

で十分なように思える。

この二つに対してセキュリティ診断をかけてみて、

その違いを見る、というところまでできれば面白そうだ。

そして最後は OWASP BWA。

OWASP ZAP や BurpSuite などを使い、

どんなことができてどういう風になるのか、を

試してみるのがよさそう。

このあたり、環境構築からツール一覧作成、ツールの使い方解説などで、

一通りまとめられそうな気がしてきたな。

うん、ちょっとやる気になってきた。

頑張ってやってみよう!




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ タグ: , パーマリンク