雑記

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|
2007|01|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|09|11|
2009|02|03|05|06|07|08|10|11|12|
2010|01|03|04|05|06|07|08|09|10|
2011|05|06|09|10|
2012|03|07|09|12|
2013|01|02|04|05|07|08|10|11|
2014|04|05|08|10|12|
2015|01|05|
2016|09|

2003-12-02 Internet Week 2003 初日

というわけで,今日から4日間横浜です.

会場

はパシフィコ横浜.桜木町駅から歩いたのですが遠いですね.クロークに預けようと思って荷物を持っていったのを大後悔.しかも受付で聞くと「クロークは用意しておりません」,結局荷物はコインロッカーに.

インテリジェントレベルによる多段防御

ラックの偉い人ということで聞いてきました.内容は先日のセキュリティセミナーの話で投げっぱなしだった部分を埋めたような感じでした.例えば,方針の考え方というタイトルで「何が,どうなれば問題なのか?」と書かれているスライドの後に,3枚かけて基本方針や影響の分類等についての説明が続くと言った具合.

チュートリアルのタイトルでもある多段防御の手法はIDS/IPS(IDP)と総合管理ツールを組合せて,インシデントの検出と防御のうち可能なものは自動化して,インシデントの発生から実際の防御までのタイムラグを減らそうというもの.

資料はスライドのみ.特に図だけのスライドなどは説明文が欲しい所.数枚のスライドの追加はあったが,入手は可能との事.そういえばセキュリティセミナー第2回の高木氏の資料はどうなったのだろう? と思ったら公開されていた.これはこれでお金払って参加した人間の立場は?とか思わないこともないが,自分がもし参加者じゃなければこういうのは非常に嬉しいだろうし.難しいですね.

企業におけるIPv6ネットワーク利用

「IPv6の利用がこんなに広まっていますよ」という話かと思いきや「IPv6使ってください」という話でした.聞き終わった時点での率直な感想は,まだまだ待ちというか,2008年にはv4アドレス枯渇するとか言ってる割にv6の作業も進んでいないんだなぁと言ったもの.「通常の使用に必要な技術はだいたいReadyになっている」と書いておいて,後から「ほとんどのOSがIPv6でのDNSルックアップに未対応」と来たあたりでうーんと唸っていたら,さらに強烈なのが.問題のスライドのタイトルは「将来のF/W構成」.そこに描かれていた将来のF/W構成では,なんとF/Wをバイパスして外部と内部のネットワークで直接通信するそうです.境界上のルータでパケットフィルタリングするとか,「金庫モデル」を使うとか言っていましたが,言い訳にしか聞こえません.その前に,IPv6のIPsecではレイヤ4情報を参照できないため,従来のF/Wとの共存は不可能という話があるのですが,その後でこのスライド見せられたら「逃げただけじゃん」という印象しか持てないんですが.他にもツッコミどころが散見され,全体に自分達の首を自分達で絞めてた感じ.

そうそう,チュートリアルでは一貫して「玄関モデル」「金庫モデル」という言葉を使っていて,「やべぇ,そんな言葉あったんだ.知らなかったよ」とか思っていたのですが,ググって見ると「玄関モデル」が11件,「金庫モデル」が9件,しかもどうやらIPv6関係者以外では使われていない言葉の模様.私の知っている言葉で言い換えると「玄関モデル」はファイアウォールによる防御,「金庫モデル」はホストIPSによる防御です.ホストIPSってのはなかなかチャレンジングかも.

セキュリティホールmemo BoF

いつもお世話になっているセキュリティホール memoBoFに参加.

「日本Snortユーザーズグループ最新情報」はユーザーズグループ立ち上げましたのでよろしく,といった内容.

「個人情報保護法update」は2005年4月の本施行までに色々と準備しないとまずいよと言う話.湯沢で聞いたのとはだいぶ話が違ってました.

「セキュリティ関連出版関係」は良書が売れないという切実なお話.大学の図書館や情報系の研究室に行き渡らせることができれば多少は状況が改善されるのかな.

「サイバー犯罪条約批准ネタ」はこれに伴う法改正がかなりヤバいというお話.詳しくはこの辺を参照.

本日のツッコミ(全2件) [ツッコミを入れる]

- mak-y [横浜に出没してたとは。MMのカップル軍団に混じっているのかと思うと・・・]

- hs [金曜までは横浜滞在です.カップル軍団の間を縫うように桜木町駅へと向かうスーツ集団の図はなかなかシュールです.私はスー..]


2004-12-02 Inteeernet Week 2004(2日目)

今日は仕事がらみのチュートリアル2件。

「大規模システムにおけるユーザ認証」

OpenLDAPと、大規模システムにおけるその補助ツール(と言っていいのか?)UltraPossumのお話。LDAPの概要、負荷分散とフォールトトレランス、UltraPossumを使ったシステム構築といった内容でした。

既知の問題として、日本語の文字列ではインデックス生成のアルゴリズムに問題があって、生成したインデックスが空間の一部に集中して

あいまい検索が遅いという問題があると言うことでしたが、文字列のハッシュを取ってその先頭4バイトをインデックスとすれば解決するんじゃないのかな? と思ったり。

「WebDAV」

HTTPを使ったファイル共有システム(偏った視点)のお話。WebDAVの歴史、仕組み、実装、問題点など。UNIX(apache)ではhttpdの実効ユーザーがオーナーになってしまうと言うのは盲点でした。解決策としてmod_suid2の利用が挙げられていましたが、後で調べてみると、このモジュールを使うにはhttpdをroot権限で動かす必要があるらしいです。ファイルの実際のオーナーはnobodyとかで、内部的にACL相当の処理を実装しているのかと思っていたのですが、ぜんぜん違いました。ってモジュールの名前見ればわかりますね。ともあれ、WebDAVのためにroot権限でhttpdを動かすのにはちょっと躊躇してしまいます。なんか考えよう。

感想

やっぱいくら暇がないといってもこういう場にはある程度の頻度で参加しないと駄目ですね。