CEHのバージョンについて
Google先生に聞いたところ、CEHは2003年にスタートしたようです。
最近のバージョンについても検索すると、
- 2015年9月:v9
- 2018年3月:v10
- 2020年9月:v11
という2年半のサイクルになっているようです。
このサイクルに基づけば、2023年3月にv12がリリースされると思われます。
2003年のスタート時から2年半サイクルだと計算が合わないので、変更の可能性はあると思います。
2020年の夏ごろに、iClass(オンライン自習教材)の割引があった、という情報があり、それはバージョン変更に伴う、在庫一掃セールのようなもの?
自分は、2021年2月中旬までのiClass早期割引を利用しました。
こちらも、バージョン変更による恩恵だったのか、と今更思います。
GSXのサイトを見ると、日本語の講座は、2021年5月はv10とv11が混在で、
6月からはv11のみになっていました。
翻訳作業などに時間がかかるのでしょうか。
今さらのMetasploit Framework
ペネトレーションテストの初手
Metasploitは、コンピュータセキュリティに関するオープンソースのプロジェクトで、脆弱性、ペネトレーションテスト、侵入検知システム、シェルコードのアーカイブ、アンチフォレンジクス(コンピュータ・フォレンジクスによる解析への対抗技術)などを主な守備範囲としている。
ということで、さっそく環境のセットアップ
Metasploit Frameworkのインストール
本家のサイトからダウンロードできる。
有料版のMetasploit Proの情報ばかりだが、そちらも気になる。
有料版は値段もわからず、14日間のトライアルも、別途申し込みが必要らしい。
無料版である、Metasploit Frameworkは、Linux,Mac,Windows版があるようです。
試しに、Windows版をインストールしてみる。
アンチウイルスがインストールをブロックしてくれちゃいます。
Windows Defenderでも、多くの脅威を検出、ということでインストール失敗。
Kali vs Parrot
素直に、Metasploit Frameworkセットアップ済みのOSイメージを使うべき。
CEHのラボでは、Parrot Securityを使用していた。
Kaliと比べると、使用するリソースも少なくて軽い、という情報も。
Parrotのovaファイルをダウンロードしたが、VMware Workstationでは起動できなかった。
結局、情報量の多さからも、王道であるKaliに落ち着く。
Kaliのイメージをダウンロードして、VMware Workstationで起動して、以下の2つを実行。
sudoがめんどい
security-hirohiro.hatenablog.com
DB設定
そして、msfconsoleの実行
つ・づ・く
CEH v11 合格の道のり
認定ホワイトハッカー資格のCEH (312-50) v11を目指して、苦労して、合格できました。
なぜか、英語で勉強して、英語で受験する方法を取りました。
他の方のブログも参考にしたのですが、いろいろと試行錯誤した経緯などが他の方の役に立てば幸いです。
※記事は2021年5月時点の情報です。
CEH受験資格の取得方法 - ロード・オブ・ザ・ホワイトハッカー
CEHを英語で受験する - ロード・オブ・ザ・ホワイトハッカー
CEH試験後について - ロード・オブ・ザ・ホワイトハッカー
CEHのバージョンについて - ロード・オブ・ザ・ホワイトハッカー
CEHはつづくよ、どこまでも - ロード・オブ・ザ・ホワイトハッカー
おまけ~EC-Cousilは商売熱心 - ロード・オブ・ザ・ホワイトハッカー
1年に1度の大安売り - ロード・オブ・ザ・ホワイトハッカー
CEH受験資格の取得方法
CEHを受験するためには、受験資格が必要です。
受験資格を得る方法は以下の2つ。
- 2年間のセキュリティ業務経験の証明
- 公認のトレーニングを受講する
こちらを参考にしています。
コスト的には、
1.の場合100ドル。2年間の経歴が認められなくても返金不可。
2.の場合、850ドル?でも、それだけでは受験資格にならない、とも記載があり、何か良く分からない。
日本語でのトレーニングはGSXが提供していて、
547,800円(税込)という数字にビックリしてしまいます。
EC-Councilセキュリティエンジニア養成講座|CEHコース詳細(認定ホワイトハッカー) - GSX|グローバルセキュリティエキスパート株式会社
受験料も含まれているようですが、会社でお金を出してくれるなら良いけど。。。
一応、情報処理安全確保支援士として登録しているので、1.で申し込んでみるか、ということで申し込みフォームに入力する。
早々に返信がきて、添付の申請フォームに記入して、履歴書も送って、とのこと。
その作業がそれなりに大変だし、そもそもホワイトハッカーとしてのスキルを習得するのが目的。
疑問だった850ドル払って、その教材で勉強すれば、受験資格得られるのか、メールで聞いてみた。
「iLearn packageなら、24時間365日学べて、受験料込み。いまなら早期割引で2月16日までに申し込めば、2014ドルのところ、1612ドルですよ」
と返信が来た。
それが2月11日のことで、何を血迷ったのか、勢いで申し込んでしまった。。。
比較対象が、 547,800円(税込)だったのでしょうか。
そして、英語との格闘の日々がはじまる。
つ・づ・く
CEH自習学習の教材について
勢いで申し込んだCEHのiLearn packageという自習教材について。
メールで紹介を受けた際は、以下の内容でした。
- One Year Access to the CEH E-courseware
- Six months access to EC-Council's official Online lab environment (iLabs)
- EC-Council’s Certification Exam Voucher
- One year access to EC-Council's expert instructor-led training modules with streaming video presentations for an all-inclusive training program that provides the benefits of classroom training at your own pace
以下、それぞれ説明します。
1.One Year Access to the CEH E-courseware
これは、1年間有効の電子書籍です。
VitalSourceというプラットフォームで提供されています。
講義内容:3,000ページ
その他情報:500ページ
ラボ(後述)のマニュアル:1,500ページ
2.Six months access to EC-Council's official Online lab environment (iLabs)
これは、6か月利用できるラボ環境です。
仮想環境で、サーバーやデスクトップが準備されていて、
実際のツールで、攻撃手法を試すことができます。
アクセスすると2分ほどで環境が毎回作成されます。
PC画面に右側に操作方法が表示され、それを見ながら、やっていきます。
一定時間経過すると、自動で終了して、初期化されます。
3.EC-Council’s Certification Exam Voucher
これは、受験のバウチャーですが、ECC EXAM CENTERという、
EC-Council独自の受験方法となります。
自宅で受験できるのですが、カメラを用意して、
試験官とやり取りしながらテストを受験するらしいです。
ピアソンVUEなどのテストセンターで受験する場合は、
100ドル追加して、バウチャーを変更する必要があります。
4.One year access to EC-Council's expert instructor-led training modules with streaming video presentations for an all-inclusive training program that provides the benefits of classroom training at your own pace
これは、講義の動画になります。リアルで5日間でやる内容らしく、
20章毎に準備されていて、動画の長さは40~80分などです。
英語字幕が表示できます。
テキストやラボの内容、ホワイトボードを使用したりと、
目で見て、ある程度、何をしているかわかる内容だったと思います。
以上4つが、iLearn packageの説明でした。
これにプラスして、149ドルでオンラインの問題集を購入しています。
20章毎に問題が用意されていて、合計1,000問以上。
2回分(125問x2)の模擬試験が付いています。
この段階で、かなりお腹いっぱいなのですが、これを英語で咀嚼していくことを考えると気が遠くなりました。。。
つ・づ・く
CEH書籍について
CEHのiLearn packageの自習教材以外にも、書籍を購入しました。
いろんなブログで評価が高い書籍、
を買いました。
これに以下の2冊が含まれます。
Exam Guideは購入したものの、ほとんど読んでいないです。
CEHのオンラインテキストの方が図が多く読みやすいです。
一通りオンライン問題集が解けるようになってから、上記2冊に記載されている問題だけ解きました。
併せて、書籍購入者には300問のオンライン問題集が利用できるようになっていて、
それも利用しました。
こちらの方が、EC-Coucilのオンライン問題集よりも、
機能が優れているように感じました。
自分が解いた過去の問題が参照できるからです。
ただ、問題の中身については、古い内容が含まれている印象でした。
それでも、本番と同じような問題があった気がします。
この本だけで、試験に合格できるか、と聞かれると、
正直キビシイのでは、と思ってしまいます。
そもそものIT関係の知識(例えばIPAの資格試験のような)が備わっていれば、
それで補えるような気がします。
以下の書籍も購入しました。
CEHの基本事項について、押さえられていると思います。
著者がオンラインセミナーをやっているらしく、そちらも気になりましたが、受講はしていません。
CEH受験方法について
2月からCEHの勉強を始め、4月中旬にはオンライン問題集で8割は正解できるようになる。
ゴールデンウイークの連休に追い込みをかけて、5月中旬に受験を予定。
CEHの受験方法には2種類あるようです。
- ECC exam
- ピアソンVUE
CEHのiLearn packageに含まれる受験のバウチャーは、ECC exam という、EC-Council独自の受験方法となります。
自宅で受験できるのですが、カメラを用意して、試験官とやり取りしながらPCでテストを受験するらしいです。
- 日本時間に対応してんの?
- 英語でやり取りするの?
- システム的にトラブったら解決できるのか?
と不安があり、ピアソンVUEのテストセンターでの受験に切り替えました。
追加で100ドル払って、2-3日で手続き環境。
Eligibility CodeとVoucher Codeがもらえます。
そもそも、ECC exam バウチャーは950ドルで、
ピアソンVUEバウチャー は1199ドルするようなので、少しお値打ち?
再受験は、ピアソンVUEでは499ドルと表示されています。
CBTの場合、再受験する際、再度受験するには一定期間経過後、
とかルールがあることが多いのですが、CEHのルールは確認できませんでした。
申し込み時点で、英語か日本語、どちらで受験するか迷いました。
そもそも、バウチャーが日本語に対応していたのか分かりませんが、英語で勉強してきたので、英語で受験することにしました
312-50を選択して、Eligibility CodeとVoucher Codeを入力して、予約完了。
試験時間は、通常4時間ですが、英語圏ではない国で、英語で試験を受ける場合、試験時間30分延長のオマケがありました。