イベント, セキュリティ, 勉強会

久しぶりにツチノコBLOG書いてみたとうまつです。こんにちは。

先日、セキュリティ競技イベントである「Hardening 100 Value x Value」 に参加・協賛してきましたので、その様子を紹介いたします。

DSC_1531

 

Hardening ってなに?

Hardeningとは、セキュリティを軸にしたECサイトのディフェンスに特化の競技です。

ひとことで言うと・・・
「仮想の資金と脆弱性てんこ盛りなECサイトを渡されたチームが、そのECサイトのシステムを8時間の競技時間内に堅牢化(Hardening)してECサイトの売上を競い合う」
となります。

このため、単なるセキュリティの競技ではなく、ECサイト運営で如何にして売上を上げていくかにフォーカスされるので以下を要領よく処理していかなければなりません。

単に脆弱性対策をするだけでなく、以下への対応が求められるため、テンヤワンヤするというタフな競技内容となっています。

  • チームマネジメント
    • メンバーをタスクにアサイン
    • 意思決定
  • 販売
    • 売上管理
    • 在庫管理・発注
    • 商品価格設定
    • クレーム対応
  • ECサイトの堅牢化
    • ECサイト のOSやDaemonの管理
    • 各システムのバックアップ
    • パスワード管理
    • 定期的に実施される「kuromame6」というセキュリティの専門家チームによる容赦無いサイバー攻撃への対応
    • 攻撃された際にはJPCERTへの報告(本格的ですよね!)

などなど・・・・・

DSC_1791
競技中に無慈悲な暗躍をしていた kuromame6 のみなさん

競技内容

開催1日目は競技日です。殆どのチームが競技日までにチームビルディングを行い、作戦を練って競技に挑んでいる様子。興味深かったのは各チームごとのタスク管理で、たいていのチームは付箋(ポストイット等)を用いたアナログな管理を実践していました。

DSC_1545
奮闘中の各チーム

また、会場に設置されたディスプレイにてリアルタイムで各チームの健闘状況が表示されており、各チームの状態が一目瞭然でした。

各チームの成績が一目瞭然
各チームの成績が一目瞭然

 

足らないものは買え!

チームで足らないもの、例えばサービスや製品、そして各分野のエキスパートエンジニアを仮想の資金で調達できるマーケットプレイスが設置されています。
これにより、チームに足らないものを補うことができます。特に面白いかったのはエンジニアを時間単位で購入する制度で、ハイレベルなエンジニアを競技中に買うことが可能です。
というわけで、様々なチームが必要な物をどんどんアウトソースしていました。また、マーケットプレイスで調達できるエンジニアは有限であるため、戦略的にエンジニアを長時間確保して他チームに関わらせないような作戦も展開されたこともあったとか。

DSC_1530
マーケットプレイスに並ぶ「商品」のみなさま

会場全体を巻き込んでいく・・・

エンジニア調達の手段として、マーケットプレイスだけで良いのかとおもいきや、実は競技観覧者にコネがある人はそれを駆使して観覧者をエンジニアとして狩りだすことが可能だそうです。かくいう自分も、DNS周りの設定を何件かお手伝いさせていただきました。

DSC_1535
競技観覧者も巻き込んでいくの図

タフな勝負を勝ち抜いたのはTeam8の「No.Bee」

無慈悲なkuromame6の攻撃に耐え続けつつ売上をグイグイ伸ばしてグランプリを勝ち取ったのは チーム8「No.Bee」でした。

売上金額としては2億円以上を達成しており、他のチームを大きく引き離していました。No.Beeのチームメンバーには副賞としてDMM.comポイントカードを贈らせて頂きました。

DSC_1708
グランプリを勝ち取った超タフチームの No.Bee

全体を通して

Hardeningはチームメンバーのスキルが勝敗を大きく左右すると思いきや、実はスキルドリブンではなく、チームの結束力と意思決定の競技であるような印象を持ちました。というのも足らないスキルはマーケットプレイスで購入できるため、「スキルがないから・・・」といって尻込みする必要は無いという印象を持ちましたので興味ある方は遠慮せずHardening競技者に応募してみてはどうでしょう?

引き続き、11月に開催されるHardeningもDMM.comラボが協賛いたします。冬の沖縄でまたお会いしましょう。

DSC_1766
奮闘後の参加者

 

IoT, イベント, 超解釈

mental_health_woman

ドーモ、ハジメマシテ、@arimoです。
6/8〜6/10に行われたInteropというイベントに行ってきました。
先にイベントの感想(まじめに)を言っておくと、

エンジニア向けInterop Tokyoの歩き方という記事で述べられていた

Interop Tokyoの展示内容は非常に難解なものが多いと言えますが、その難解さこそが魅力でもあると私は考えています。Interop Tokyoで行われた展示は、それを見た半年後、場合によっては数年後に初めて「あのときのあれは、あのような意味がある展示だったのか!」と気づくことが多い印象があるためです。

という感動がいずれ得られるかと思うと来年も行きたいな〜と思いました。
もう未知の世界すぎてまだよくわかっていないけどすごい技術の結晶だということはわかりました。

@arimoはわりとアプリケーションエンジニアなので、最新ネットワーク機器のエモさとかはまだほとんど理解できないので、IoTの展示をいくつか紹介したいと思います。

注意:使い方参考例は個人的な見解であり本来の使い方と著しく違う可能性があるため、正しい用法は公式サイトをご覧ください。

 

MT90G

IMG_3399
世界最小の3Gパーソナルトラッカー、つまり追跡マシンである。
耐水性、最長180時間スタンバイが可能。
公式サイトにも人の追跡、車の追跡、貴重品の追跡と書いてある。77*47*20mm、76gの小ささで、かつ位置情報の精度は10mである。
これはもう完全に浮気調査用かな?しかしただの位置情報発信機器であれば、職場などに移されたら意味をなさない。
よく読むと内蔵マイク・スピーカーがあり、通話もできる。
浮気を疑うまたは再構築中の彼氏のカバンに忍ばせ、明らかに位置情報が変わらない時は通話で直接確認ができる。携帯2台持ちの浮気彼氏殺しのIoT機器である。
「ね、これでいつも一緒だよ。わたしからは離れられないからね。早く結婚しようね。」

 

世界最小の小型タグ、MAMORIO

IMG_3407
縦35.5mm×横19mm×厚さ3.4mmという驚異的な薄さ、小ささ。
タグを紛失した地点の位置情報だけではなく、クラウドトラッキングという、「みんなでさがす」機能で、他のユーザが自分のタグとすれ違うとその情報がMAMORIO サーバに送信され、その時点でタグがどこにあるのかがわかる。MAMORIOが世に広まれば広まるだけ発見される確率も上昇する仕組みである。
過去に置き引き、落下で財布を2回も失くし、TokyuRubyKaigiで飲みすぎてMac(会社のマシンではない)とカメラの入ったカバンを駅の券売機のところに置き忘れたことのある私にとっては革命的な逸品である。なお一つ3500円程度だそうで、複数個買うのもお財布に優しい。

IMG_3426

”手元から離れました。”
あまりにも小型のタグ、こっそり彼氏の財布に忍ばせて彼氏と離れた場所や時間を再確認してもよし、再度会った時にアプリを確認してほくそ笑むもよし、あわよくば「みんなでさがす」機能でどこにいるかがわかってしまう。

IMG_3427

”誰かが見つけました!”
「このタグはわたしの分身だから、一緒に出かける気分になれる。でも早く帰ってきてね。早く結婚しようね。」
「ねえ、なんでそんな場所にいるの?今日は実家に帰るからって言ってたよね????電話出て????」

 

眠りの質が一目瞭然、beddit

IMG_3398
帯状のセンサーをシーツの下にひくだけで、心拍数や眠りの浅い深いがグラフとなって視覚化できる。なんとベッドから立った時間や覚醒している時間も一目瞭然である。
「こっそり彼氏のベッドに仕掛けちゃった。昨日は何時に寝たかな?何時に起きたかな?
なんで計測されていないの?無断外泊なの????わたしに黙って???」
「振動センサーと、スマートフォンのマイクの両方を利用して計測しているから、いずれ結婚したらわたしとあなたのいびきを聞き分けてくれるから、今から楽しみだね。早く結婚しようね。」
※センサーはコンセントからの給電が必要なためこっそり仕掛けよう
※Bluetoothでスマートフォンと通信するため、彼氏の携帯を見せてもらうか、自分で余分に端末を買って部屋に置いておく必要がある

 

Bluetooth Low Energy スマートソール

IMG_3397
見た目や使い心地は普通のインソールと変わらない、見た目はよくある靴底に敷く中敷きである。目立たず、使用者に気付かれないとなんと公式で謳っている。
ハブと中敷きをWi-Fiで同期して、もし規定範囲外にインソールが出るとPCやスマートフォンで警告を通知する。広い部屋でも狭い部屋でも監視する範囲を設定できる。
「ねえ、なんでこんな時間に出かけるの?さっきおやすみって言ったよね?電話出て????」
なんとインソールの着用者に通知メールが自動で送られる機能もある。
(メール着信)「全部見てるからね?」

 

データの収集、データの分析、そして異常を検知して通知してくれる超便利ツール、impulse

IMG_3403
IoTのセンサーなどで温度や振動などのデータをたくさん収集したとしても、それが異常な値か正常な値かが分からなければ意味をなさない。
その情報を収集して分析して異常な時は通知してくれるようなそんなツールである。
デモでは製造ラインにおいて良品と不良品を振り分けるようなものがあった。
Kibanaで視覚化されていて、データの遷移や不良品発見時もわかりやすい。
「あなたのこれまでの動向データの分析結果を見てみたら不良品だったみたい。新しい彼氏できたからじゃあね。」

 

hardware, イベント, ネットワーク

SDN/NFVサービスチェイニングのデモの中で、OpenFlowを今よりもさらに柔軟に使うコンセプトデモも含まれていました。

数年前と比べると、OpenFlowの仕様や実装が進化しているので、OpenFlowでできることは増えています。しかし、現在のOpenFlowは主にマッチと書き換えを行うものなので、直接計算は行えません(コントローラに判断を仰ぐ方法はありますが、それだとリアルタイムな処理は困難です)。

そこで、今年のShowNetではNetFPGA-SUMEとOpenFlowを使ってハッシュ計算を伴うロードバランシングを実現しています。

7

デモの内容としては、以下のようなものです。

  • イーサネットフレームは、NetFPGAを通過してからLagopusへとパケットが転送される。
  • OpenFlowで負荷分散をするための例として、送信元IPアドレスと宛先IPアドレスでハッシュして、イーサネットフレームに含まれる送信元イーサネットアドレスを書き換える。
  • NetFPGAは、ハッシュ結果を送信元イーサネットアドレス下位8ビットにマーキングをしていって、OpenFlowは送信元イーサネットアドレスの48ビットをマッチして使って転送。
  • NetFPGAに入ってくるイーサネットフレームは、上位のルータからなので、そもそも入力は毎回同じ送信元イーサネットアドレスだけど、NetFPGAが下位8ビットを変更する。

この他に、OpenFlowのフローエントリ数を減らす工夫(微調整)も行われています。

今回サーバ上で動いているVMは8台なので、3bitで全てのVMを指定できます。NetFPGAはそのまま8bitに埋め込み、Lagopusのルールは送信元MACアドレスのうちマスクを使って下位3bitのみを見ています。

8bitでは全てのパターンを指定するのに256個のフローエントリが必要になりますが、下位3bitを見るだけであれば8エントリのみで全てのVMにトラフィックを転送することができます。これによって、OpenFlowでIPアドレスをマッチして転送するのと同じことを、8個のフローエントリで実現しています。

L3な機能(VirNOS含む)が使われるときは、ARP解決のために、OpenFlowで宛先イーサネットアドレスを宛先とするL3デバイスのMACアドレスに書き換えています。

NetFPGAを使ったデモは、NOCメンバーがShowNet 2016のために独自開発されたものです。なかなかマニアックですが、こういうの大好きです。


LagopusとNetFPGA(上に基盤むき出しで乗っているのがPCIカード用給電されたNetFPGA)

hardware, イベント, セキュリティ, ネットワーク

ShowNetで行われるSDN/NFV関連デモは、年々進化しています。今年は、昨年よりも柔軟性と拡張性が大幅にアップしたSDN/NFVサービスチェイニングがShowNetで運用されていました。広帯域・高速処理が必要なバックボーンネットワークを構築しつつ、必要なトラフィックのみをSDN/NFV機器へと誘導することで、SDN/NFV機器を直接バックボーンネットワーク内に設置せずに運用しています。

今年のShowNetで行われたSDN/NFVサービスチェイニングの非常に大きなポイントは、BGP Flowspecを使ってバックボーンルータから特定のトラフィックをSDN/NFVエリアまで誘導できるようにしてあるところです。今年のShowNetでは、SDN/NFVエリアがdcwestエリアにまとめてありますが、任意のタイミングで任意のトラフィックをバックボーンからSDN/NFVエリアを経由させることができます。

1

2

SDN/NFVエリア内では、OpenFlowを使ったサービスチェイニングが行われています。ファイアウォールやDDoS mitigationを行う機器に対してユーザ単位でトラフィックを誘導できるようになっています。

3

4

5

今年のShowNetでのSDN/NFVデモは、SDN/NFV機器へとトラフィックを誘導することを目的として、通常トラフィックが通過する経路上にSDN/NFV機器を設置せずに実現できているという点が昨年と大きく異なります。

昨年のShowNet構成では、出展社などのユーザはvCPE(virtual CPE)に収容され、そのvCPEを通過するトラフィック”のみ”がOpenFlowで変更されるというネットワーク設計でした。そのために、OpenFlowで実現していたサービスチェイネイングの網自体もバックボーンから見ると下流にありました。必要に応じてサービスチェイニングを利用できるようにようするために、すべての出展社へのネットワーク提供の入り口に工夫をする必要があったのが去年の構成です。

去年の構成と比べると、今年の構成はシンプルでエレガントだと思いました。今年は、ShowNet各所でBGP Flowspecが活用されていますが、BGP Flowspec対応機器が増えたことで、サービスチェイニングを行う機器に流入するトラフィックを柔軟に制御しやすくなるので、処理能力に制約がある高機能機器も使いやすくなるのかも知れないと思える展示内容でした。

イベント, セキュリティ, ネットワーク

今年のShowNetのセキュリティ関連デモは、次の図のような構成になっています。NFVはサービスチェーニング、BGP Flowspecを使ってDDoS mitigationを行う機器へのトラフィックの誘導、TAP/ミラーリングと解析、来場者や出展社への通信サービス提供箇所での監視とブロックなどです。

今年のShowNetでは、様々なセキュリティ製品のオーケストレーションをNICTのNIRVANA改が行っています。ここ数年は、毎年グラフィカルな攻撃可視化を行っているNIRVANA改ですが、今年は大幅にバージョンアップしてShowNetでのセキュリティオーケストレーションを行うようになったようです。

今年のセキュリティ連携は、以下のような構成になっています。

  1. タップ/ミラーしたトラフィックを検知装置に分配
  2. 検知結果をsyslogで通知して集約
  3. 各種機器にフィルタを設定

今年の構成では、ShowNetのトラフィックがタッピングもしくはミラーリングされ、検知機器に分配されます。検知機器は何らかの攻撃を検知するとsyslogで通知します。各種機器からのsyslogを収集したうえで、それらを統合的に扱うのがNIRVANA改です。

解析装置によって攻撃が発見されると、ShowNet運用者に攻撃内容と遮断する設定を行う機器の候補が通知されます。NIRVANA改は、ShowNetのトポロジを把握した上で防御用の設定を入力する機器の候補の計算も行うようになっています。ただし、今回は、自動的に攻撃を遮断するのではなく、その攻撃を遮断するのかどうかの判断をオペレータが行うという運用になっています。

ShowNet運用者が、攻撃を遮断すると判断すると、遮断を行う設定が各種機器に対して行なわれます。各種機器への設定入力の方法も機種依存します。今年のShowNetでは、NETCONF、BGP Flowspec、REST API、syslogの4種類の手法でNIRVANA改から機器へと設定が行われています。

シングルベンダーであればひとつの手法で一気にできることでも、マルチベンダーになるとこのようなオーケストレーションが必要になるというのが良くわかるデモと言えるかもしれません。

PAGE TOP