20-4. 次のファイアウォ−ルとIPS (1) 次のファイアウォ−ルの選択 `29/03〜 * そろそろ保守切れが来る Solaris 版の FireWall-1 は2011年早春頃に保守が終了する。2009年3月に発表 があった。しかし新たなパッチなどが出なくなるだけでしばらくはそのまま使うことはで きると思われる。FireWall-1 を稼働させているマシン Sun の保守が終了するまでの数年 は使えるだろうと踏んでいる。 ハ−ドである Sun のマシンは2013年の3月エンドま で使えるとしようか。2011年中に新しいファイアウォ−ルを選びたい。多分それまで には FireWall-1 の後継機種もこなれているだろう?。 CheckPoint 社はこの夏、日経の 雑誌に勢力的に広告を出している。しかしもはや評判は回復する感じはしないのだが。 昨今のファイアウォ−ル製品の状況を調べないといけない。 2009年6月の "Interop Tokyo 2009" は行くのはよそう。9月の "Security Solution 2009" を予定しよう。どう も Interop に行ってもファイアウォ−ルやIPSについて、 何がしか有益な情報を得ら れるような気がしない。各社の製品ラインナップが今一つ見えてこないというか。UTM との住み分けで混乱している真っただ中にあるのでないか。行った人の感想では"Interop Tokyo 2009" は、だいぶ展示が縮小されていたみたい。ひと頃の4分の1とか。まあ行か んでよかった。大御所の Cisco 社の展示がでてなかったとか。 2009年6月時点。SI業者さんのお勧めではインタ−ネット系のファイアウォ−ルは NetScreen か FortiGate かという感じらしい。 かつて標準かと思われた FireWall-1 は もはや名前は挙がって来ない。そもそも FireWall-1 というソフトは今はない。アプライ アンスや統合化されたソフトの中の一つの機能のようなことになっている。CheckPoint社 はいろんな製品をこの4〜5年の間に出してきた。SI業者さんでも、どんな製品がある のか把握できないとのこと。SI業者向けのサポ−トもホ−ムペ−ジを勝手に見てねとい う話らしい。業者向けのコンテンツもあるのだろうけど、直にポイントは聞かないと。 世界不況でIT投資予算も削減されている。これまでのファイアウォ−ルをコスト削減目 的で FortiGate に乗り換えるという話があるようである。 2009年5月ぐらいに聞い た話で、初期の費用はどうしてもかかるが、保守費用も含めて3年4年というスパンで計 算した場合、だいぶ安くなるというアプロ−チである。ん−、FortiGate か。メインのフ ァイアウォ−ルに使っていいのか。2004年の1月半ばのこと、東芝さんだったかがや ってきて "フォ−ティゲイト" というファイアウォ−ルはいかがですか?、と言ってたっ け。FireWall-1 もやってます、設定のできるエンジニアもいますと話していた。 * ファイアウォ−ルとIPSの動向 多分、今度ファイアウォ−ルを買う時は FireWall-1 でもそうだが、ファイアウォ−ルに はIPSの機能も入っていそうである。UTM製品が何でもござれの機能を持っていると いうのに、従来のファイアウォ−ル製品がファイアウォ−ル機能だけで商売、競争できる はずがないだろう。しかし従来のファイアウォ−ルの機能追加は蛸足配線に見えるぞ。 Cisco社から 2009/05/15 のメ−ルでこんな宣伝も。"Cisco ASA 5500 シリ−ズ あなたの 会社のファイアウォ−ルそろそろ賞味期限切れではありませんか? 社内からの情報漏え いが心配だ… ファイアウォ−ル+IPSで今すぐ対策を! 新機能でボットネットが「使 う見えない通信」を「みえる化」"。Cisco PIX FireWall サポ−ト終了の知らせも。 業界の動きは。CheckPoint 社は2007年に、IPS/IDSベンダ−のNFRセキュリティを 買収した。これにより SmartDefense の機能が変わった様子は伺えない。 CheckPoint 社 は2008年末にノキアのセキュアアプライアンス部門を買収した。ノキアはFireWall-1 のアプライアンスをもう売りたくはなくなったらしい?。 Radware 社は Nortel 社の Alteon ビジネス部を `29/10 買収完了した。Barracuda 社が `27/09 に Net Continuum を買収、それをベ−スにして Barracuda Web Site Firewallを 販売、Webアプリケ−ションファイアウォ−ル。 モデル 360 は1U、約200万円弱、 対応WWWサ−バは1台から5台。`28/10 頃の雑誌に出ていた。 アメリカ Juniper Networks 社は NetScreen シリ−ズを販売を終息した。後継機種はSSG シリ−ズと ISG シリ−ズ。2009/05 付けのパンフレットより。 2008年12月にSI 業者からもらったパンフレットには NetScreen-204 と 208 は載っていた。2009/05 付け のパンフレットにはなかった。 http://www.forvalcreative.com はおかしなサイトに変わっていた、転職、求人など10 位の項目だけの画面が出た。http://www.forvalcreative.co.jp に至ってはサイトそのも のが出なかった。フォ−バルクリエ−ティブと言う会社名は無くなった。業績が良くなく てTOBうんぬんなどで、インスパイア−(株)という社名に変更になっていた。 フォ−バルクリエ−ティブがインスパイア−に変わったのは2008年10月のことらし い。http://www.inspire-inc.co.jp。業務はそのまま引き継いでいる様子。CheckPointの 製品などを扱っている、ファイアウォ−ルの教育コ−スあり。2日と3日のコ−スがあり、 セット価格で42万円税込み。しかしどんな会社なのかまるで分からない。 Check Point VPN-1/FireWall-1 NGX 製品案内 `28/04付けの資料をもらった。バ−ジョン NG は NGX にアップグレ−ドが無償にてできる。包括的なWebセキュリティを提供する。 VPN-1 Gateway、Application Intelligence、Web Intelligence の3つの機能がある。そ れに SmartDefense を強化したとある。 * CheckPoint 社の製品を調べた FireWall-1 の SmartDefense と InterSpect の SmartDefense の違いは。InterSpect は セグメント分割してパソコンの検疫機能がある。InterSpect はアプライアンス。 SmartDefense は Application Intelligence 技術を通じて、 アプリケ−ションおよびプ ロトコルの本来の動作を認識する。シグネチャがない攻撃もブロックすることができる。 境界セキュリティ、企業内セキュリティ、Webセキュリティの3つに分けて製品展開し ていく。境界セキュリティは FireWall-1。企業内セキュリティは InterSpect。 Webセキュリティは Connectra というアプライアンス。SSL-VPN 機能もある。 `24/06 出荷。Web Intelligence という新技術を搭載し、WWWサ−バへの攻撃をブロックする。 VPN-1 Power には SmartDefense サ−ビスが統合されている。IPSec 及び SSL-VPNを簡単 に導入できる。FireWall-1 との統合による安全なVPN接続。侵入防止の技術。 Web IntelligenceはWebアプリケ−ションファイアウォ−ルともいう。コマンド・イン ジェクション、クロスサイト・スクリプティング、ディレクトリ・トラバ−サル、SQL インジェクションなどの攻撃をブロックする。 VPN-1 Power はソフトウェアとアプライアンスがある。SmartDefense 機能あり。 侵入防 御機能を追加するライセンスあり。また Web Intelligence 機能を追加できる。 FireWall-1 ソフトウェアは2009年4月現在、単体では販売してない。 境界セキュリ ティ製品の VPN-1 Power、VPN-1 UTM に含まれている。 VPN-1 UTM Power は VPN-1 Power にアンチウイルス機能とWebフィルタリング機能を含む。 ISP-1 アプライアンスまたはソフトウェア IDS/IPS 機能。 SmartDefense サ−ビス提供の終了の知らせが `29/11/end にきた。2011/3/end でおわり。 これはどういうことかな。ノキアが日本を撤退の報道 `2a/01、携帯電話での話で見た。 * "Security Solution 2009" で情報収集 東京ビッグサイトで9月2日から4日開催。会場は1つだけ。だんだん規模が小さくなっ てきた。音楽やマイクでひどい騒音。話を聞けるような状態ではとてもやない。大手の企 業の出展でも1コマで1人立っているだけとか。そのお兄さんがセミナ−で講師もしてい たり。この程度の展示会ならわざわざビッグサイトでやる必要もないぞ。東京駅から近い 適当なホテルかビルのフロア−を借りてやってもいい。人の入りも少なかった。感触とし てはいつもの半分か。会場入ってすぐの所に Check Point のブ−スがあった。 NECの 1Uアプライアンスも1台あり説明を聞いた、UNIVERGE UnifiedWall という。 ソフトウェアは Check Point の装置と同じのを使用、FireWall-1 のル−ルも引き継ぐこ とができるとのこと。標準でファイアウォ−ル、IPsec VPN、SSL VPN、IPS/IDS、アンチ ウィルス/アンチスパイウェア、URLフィルタリング、メッセ−ジング・セキュリティ。 オプションでWebアプリケ−ション・ファイアウォ−ル。ハ−ドは 80 GBx2 のハ−ドウェ アRAID が Check Point 製品に対して売り。本が技術評論社から 2009/09/25 に出るとの こと。「Check Point UMT-1 導入ハンドブック」 2,980円+税、チェック・ポイント・ソ フトウェア・テクノロジ−ズ株式会社監修。1冊ぜひ下さい。そうそう装置は静かです。 * ファイアウォ−ルの今後 展示会で説明を聞いて Palo Alto Networks PA シリ−ズ、使ってみたくなった。 なかな かいいのでないか。既存のファイアウォ−ルの下に透過型で設置して、どんなパケットが どれ位流れているか、とりあえず見てみようということで導入したとこもあるとか。帯域 制御ができる。動画サイトへのアクセスを絞るとか、おや?制御できるのは動画サイトか 動画デ−タか?。この装置、大は小を兼ねる。これまでのファイアウォ−ルとしての設定 もできる、ポ−ト番号やIPアドレスでのパケットフィルタリングである。UTMなので 追加ライセンスにて侵入検知防御やアンチウィルスやアンチスパイウェアもできる。 ファイアウォ−ルをどうするか。既存の FireWall-1 はそのままにしておく。ソフトウェ アの保守契約が終了しても機能的には問題ない。マシンが壊れるまでそのままでも構わな い。とりあえず Palo Alto Networks PA を買って、FireWall-1 のマシンの直下とか、他 ネットワ−クが遅いとかいうポイントにかまして様子をみるとか。併せて一応FireWall-1 の置き換えがいつでもできるようDMZとかル−ルとか検討して行く。Palo Alto を見て 似たような製品が ConSentry LANShiled Switch だとすぐ浮かんだ。こちらはほとんど売 れていないらしい。扱っているSI業者さんに電話で話していてトンを掛けてみた。 Palo Alto も ConSentry も言わばレイヤ7スイッチである。FortiGateでも新しいOSで はできるようになった。HTTP でも Skype とかいろんなサ−ビスが流れている。これまで のファイアウォ−ルではそれが認識できなかった。 HTTP なるパケットは通すとか止める かしかできなかった。そしていずれの装置でも帯域制御ができるのでないかな。これらに より自分達でいろいろ触って仕組みが理解できようというもの。見えるファイアウォ−ル である。これでやる気になれば自前での運用ができる。一応、SI業者には年に一度か二 度、ファイアウォ−ル設定の見直しのアドバイスをもらう事を含めて保守契約を結ぼう。 * FortiGate でいいかも 2010年1月 FortiGate を改めて調べてみた。 ひょっとすると次のファイアウォ−ル は FortiGate でいいかも知れないと感じ始めた。FortiGateなら100万円ぐらいの製品 でもよさそうである。かなりのファイアウォ−ル・スル−プットがある。気を付けるとこ は PROXY ARP がいるかいらないか、DMZの仮想IPアドレスの振る舞いである。 置き 換えるのにあまり問題はないような気がする。FortiGate は FireWall-1 ほど細かな設定 はできない、メニュ−があまり無いということ。年に一度、装置の診断チェックをしても らうのはどうか。一日来てもらってセキュリティ対策で追加すべきこととか相談に乗って もらう。簡単なことならその場でやってもらう。難しいことは別途費用発生ということで。 保守契約にそうしたことも含めるとか。どうもそんなサ−ビスを受けるまでもないか?。 50B : FWスル−プット 50Mbps、DMZなし、50ユ−ザ フルオプション利用時の目安。 51B : 540,000 WAFS 機能 ソリッドステ−トドライブ 32GB。FW 50Mbps。2009/06 発売。 60B : FW 100Mbps。PCカ−ドスロットがある、ここに3Gカ−ドが刺さる。イ−モバ イル D01NE とか。2009/11 に販売終了、後継機種は 50B または 80C。 80C : 2009/06 発売、プロセッサ FortiASIC 搭載、エントリモデルでは一番性能がいい。 FW 350Mbps。ExpressCardスロット各種無線規格をサポ−ト。100ユ−ザ、DMZあり。 100A : FW 100Mbps。2009/04 に販売終了、後継機種は 110C。 110C : FW 500Mbps。500ユ−ザ。DMZのポ−トはない、111Cも。以下、中大規模向け製品。 111C : 883,000 WAFS 機能 ソリッドステ−トドライブ(SSD) 64GB。FW 500Mbps、55W。 200B : FW 5 Gbps。FSM(Fortinet Storage Module) 拡張スロットあり。これで WAFSがで きる。本体搭載ストレ−ジ。2010/01/19 発表。初年度保守含む 87.3万円。 200A : FW 150Mbps。200A-HD はハ−ドディスク搭載 40GB、50W、4.7Kg。 310B : FW 8Gbps。2008/06 頃出荷。80GBハ−ドディスクドライブ搭載できる ASM-S08 と いう AMCモジュ−ル。Nokia IP390 との比較で半値。1台初年度保守込約150万円。 今後、海外拠点とのネットワ−ク接続にインタ−ネットVPNを張る、予想される、予定 している。やるのは誰か他の人ではない、自分だし。だから表現は "予想される" ではな く "予定する" である。DMZ上にインタ−ネットVPN用の装置を1台置くか、ファイ アウォ−ル1台で共用するか。FireWall-1 にも IPSec 機能はあるので、本社FireWall-1 で拠点 FortiGate で IPSec VPN を張ることは可能である。しかしかつて FireWall-1 の IPSec 機能を FireWall-1 のクライアントソフトとで試したことがあるが、極めて不安定 であった。とてもやこのプランは受け入れられるものではない。本社側も FortiGateにす るなら、試してみてもいいかなと思うが。 この際だから FortiManager と FortiAnalyzer も買うか。FortiManager は FortiGateを たくさん設置する場合はあると便利、集中管理ができる。いるかな?。FortiAnalyzer は FortiGate のIPS機能を使う場合はあった方がいい。FortiGate 単体では100行位し かログを溜めておくことがでない、50B では。これではIPSが何をブロックしてくれて いるのか分からない。FortiAnalyzer の値段は 100B と 800B というのがある。 100B は 約30万円。800Bは200万円位、次年度からの保守費用が約30万円。2010年2月 にFortinet のサイトを見たら 100C,400B,1000B というラインナップになっていた。100C はハ−ドディスク 1TB、デ−タ受信レ−ト 800Kbps、100C は 100B の後継機種である。 * トレンドマイクロの2つの製品( 幕張のクラウドEXPO展示会にて ) `2a/11/10 Deep Security。サ−バのセキュリティを確保するソフト。仮想的にパッチを当てる。 マ シン内のソフトを調べて自動的にパッチをあてる。マシン毎にこのソフトを入れておくと いうこと。パッチをどのようにあてるか推奨を独自に作っている。ゲ−トウェイでのファ イアウォ−ルはもういらない。パソコンにはそれぞれウィルスチェックソフトを入れる。 新しい製品 Smart Protection Network、これって初めて見聞きしたかも。 ハブのミラ− ポ−トに設置して監視し、ウィルスをチェックする。ウィルスを出しているパソコンを特 定することができる。手元には紙1枚の資料、この装置出たばっかか。ミラ−ポ−トに設 置したんでは不正アクセスを止めることはできない。ウィルスを検知するだけだったか。 (2) 次の侵入防御装置はどうする * そろそろ保守切れが来る 本書の中で稼働している DefensePro の保守がそろそろ終了する。またこの手の製品とし てはそろそろ買い換え時でもある。セキュリティ関連製品は3年が賞味期限だろう、3年 でも長いかも知れない。基本的には今使っている装置の後継機種を選びたい。DefensePro は世に言われるようなIPS運用の難しさはなかった。先ずは今の装置の仕様を確認する。 今は DefensePro の筐体は Application Switch Π を使用。 これで5セグメントを監視 中。特にネットワ−クが遅くなっているという感はない。スペックは Non-blocking バッ クプレ−ン 19.2Gbps、Throughput 1Gbps、RAM 128MB、10/100Mbps port 16個。 基本的には今使っている装置の後継機種を選ぶ。 DefensePro を扱うSI業者はだいぶ増 えた。前回購入した際は扱う業者はあまりなかった。現在の DefensePro を購入した同じ SI業者からはお値打ちに出しますと見積りを出してきた。しかし価格だけなくトラブル や質問ヘの対応なども考慮して業者を選びたい。侵入防御装置は適切に運用するためには、 非常に細かなノウハウが必要である。輸入元の日本のラドウェア社は当初から直接販売は しないし、サポ−トについても無関係である。会社の安定性に関しては2009年の時点、 米国ラドウェア社は無借金経営で問題ない。どこかに買収されてしまう心配はない。 次の候補は DP-1020 か。最大スル−プットは 1Gbps で、現在使用中の DefensePro で同 じ。10/100/1000Mbps ポ−ト12個。GE(GBIC)ポ−ト8個あり。フェイルオ−プンバイパ ス機能で、装置のポ−トなど故障した際は通信をバイパスする。電源ユニットの二重化対 応。7 Kg、432Wx455Dx88H、消費電力 108W。ハ−ドディスクは搭載してない。音はあまり しない。というかほとんどしないはず。ユ−ザ単位、セッション単位で帯域制御ができる。 お値段はだいたい定価で約1300万円、設置に初年度保守が約150万円。次年度から は保守など約220万円。これでどれだけお勉強してくれるかだ。 どのモデルも前のモデルではオプションだったのが標準装備された。ストリングマッチエ ンジンとバイパス機能装備。GBICポ−トはあるがコネクタは別、これは前のモデルの通り。 DP-620 でいかんか。最大スル−プット600Mbps。パソコン台数500で、監視セグメント 5つで。DP-620 のお値段は約850万円。これでも行けそうな気がするが、 5セグメン トをフルに監視させるにはどうかなと思う。監視セグメントを増やすことも考えるならば DP-1020 を選んでおいた方がいいと思う。1セグメントだけなら DP-202 でいい。最大ス ル−プット200 Mbps。定価300万円程。DP-202 でDMZだけ監視するという手もある。 [ 他社製の侵入防御装置 ] ・IntruShield ----- McAfee 社。管理用のパソコンがいる。相当負荷がかかる?。 ・IBM Proventia ---- 実質的には IntruShield か、こっちの Proventia を選ぶか。 ・SonicWALL ------- これにもIPS機能が入っているか、オプションであるかも。 ・FireWall-1 ------ CheckPoint 社の FireWall-1 にある SmartDefense 機能は。 ・FortiGate ------- UTM製品である FortiGate の侵入防御機能はそこそこだ。 * 侵入防御の外部サ−ビス 知っているところでラックにIIJにセコム。ラックとIIJについては既に他の章で紹 介した。数年経ったので今一度調べてみる必要があるが、とりあえずセコムのサ−ビスを 紹介してみよう。2008年3月入手のパンフレットでは、セコム不正侵入検知/予防サ −ビス for LAN(仮)とあった。ということはまだ始めていないのか。IPS機能をワンス トップサ−ビスで提供とある。そんなコンビニじゃない、セコムしてますか。セコムして ればそれで大丈夫だなんていえない。警備員が駆け付ける5分の間に泥棒は侵入し金品を 盗んでいく。それは事実だ。それはネットワ−クでも同じだろうと思う。 サ−ビスについて。IntruShield 1400 初期導入費用約 80万円、月額運用費用約10万円弱、 製品購入費用定価約 200万円弱、初年度からの保守費用約 60万円弱。 と言うことは最初 に 280万円、保守運用に年間 180万円かかる。インライン防御セグメント数は2。処理能 力は 200Mbps。4か5セグメントをみたいとなると IntruShield 3000 のモデルを選ぶこ とになる。製品購入費用定価約 815万円、初年度からの保守費用約 245万円。インライン 防御セグメント数は6、処理能力は 1000Mbps である。ともかく侵入防御の装置は自社で 買うこと、そして運用をお願いするということ。それでも結構費用がかかるバイ。 * これまでと違う方式のIPS 外部からの侵入防御用、ファイアウォ−ルのインタ−ネット側に設置する。 ActiveScout という。シ−ティ−シ−・エスピ−(株)取り扱いで、CTCの営業から2009年5月に 紹介された。シグネチャ不要、エ−ジェント不要。ゼロディ攻撃にも対応。2009年9 月までのキャンペ−ンで ActiveScout SC-100 100Mbps 対応モデルが280万円に。初年 度から保守料必要で年36万円から。HP DL360 G5 ベ−スの1Uラックマウント型。他に 2/10/50/100/200/1000 Mbps モデルがある。ばかちょんで設置しチュ−ニング不要。エス ピ−のエンジニアが話すには、既に導入して成果を上げている企業もあるとか。 偵察行為を検知して、そこに偽情報を送り不正アクセスかどうかを判別する。やってきた パケットの内容を見て攻撃かどうかを判断するのではない。Active Response Technology といい特許を取得。何ヶ月か手元にパンフレットおいたままで、よく仕組みが理解できな かった。http://www.forescout.jp/。未知の攻撃に対抗できる唯一の手段とのうたい文句 だが、偵察行為元=攻撃元とは限らないぞ。分業されたら全然、無防備になってしまうの でないか。1年や2年はこれでも持つかも知れないが。仕組みを理解して5分でそう感じ た。つまり脆弱サイトを調べるのが専門、そのリストを買って攻撃するのが専門。 * やっぱり DefensePro はいる これまでの DefensePro はそのまま稼働させる。保守契約が終了しても最新の攻撃には対 処できなくなるにしても、古典的な攻撃には有効である。DMZ上の幾つかのサ−バはセ キュリティパッチはちゃんと当てるようにする。新しい DefensePro でどうマルウェアや ボットに対処するのか、つぶさにみる。透過的にあちこちの怪しいと思われるパソコンの 前に設置してみるとか。1セグメントだけ監視させる。ファイアウォ−ルの直上に設置す る。1ヶ所だけの監視として DP-202 を選ぶ。社内も監視するのであれば、ウィルスの拡 散防止という観点で細かく区分けするのが望ましい。費用の関係で無理それは無理である。 新しい DefensePro でどれだけマルウェアやボットを防御できるかは分からない。分から ないからと言って導入の必要なしということではない。今とることができる侵入防御対策 としてIPS製品の中では多分、一番使えるのが DefensePro だと思う。 DefensePro は ふるまい検知をする。パタ−ンファイルが無いマルウェアやボットでも、そのふるまいを 見て検知ができるとのこと。雑誌に載っていた説明だ。ふるまいをトレ−スする時間がト レンドの Threat Management Solution のより短いみたいである。多分 DefensePro は外 から内への振る舞い、トレンドは内から外への振る舞いを見ているのでないか。 * WWWサ−バのセキュリティ 対策は3つ。 元々内では Sun のマシンで Netscape Enterprise Server を動かしていた。 PHP を使いたいということで Netscape から Apache に変えた。先ずは Apache のパッチ をちゃんと当てること。Netscape のライセンスはまだあるので PHP が Netscape で動く か改めて調べること。もし動くようなら Netscape に戻す。次にWWWサ−バを守る専用 装置のWAF(Web Application Firewall)を導入すること。IPSでも DefensePro であ れば十分WAFの働きはしていると思う。3つ目はWWWサ−バは外のサ−ビスを利用す る、IIJ などちゃんとした会社のを選ぶこと。安いとこはそれなりでしかないと思う。 IPSやWAFを導入できない場合はちゃんと対策をやっておかないとダメ。改竄されて しまうぞ。Apacheのセキュリティ用のパッチとかモジュ−ルとかあるのか。あった、オ− プンソ−スのWAFソフト mode_security。東京の展示会の技術評論社のとこでもらった。 「ネットワ−クセキュリティ Expert 8」Software Design 特別編集 `29/06/10 発行、に 記事がある。それに mode_security モジュ−ルを作った人が執筆した本が、Apache のセ キュリティについてオライリ−から1冊出ている。本屋で出版の日付けをちらっと見たら 2005年だった。何か難しそうなことが書かれていた。 * それでもまだ考える DefenseProを新たに購入する代わりにトレンドマイクロが新しく出してきた装置とサ−ビ スを導入するのはどうか。Threat Management Solution と言う。 ラックの監視サ−ビス と似たようなものだが、感触としてこちらの方がマルウェア防御に対しては有用な気がす る。はっきりとリアルタイムでボットを検知すると言っている。一方SQLインジェクシ ョンは検知しないとか。多分IPSはIPSとしての基本的な役割がある。これからも必 要だと思う。SQLインジェクションなどWWWサ−バへの攻撃であるとかDoS攻撃で あるとか、基本的な攻撃からの防御も重要である。 現実問題、費用面でトレンドのは導入は無理。Threat Management Solutionはかなり高い。 やはり DefensePro DP-202 か。 今の DefensePro が保守切れしたら FortiGateのIPS 機能を試してみるチャンスである。これまでは DefensePro がマルウェアなど弾いていた ので FortiGate が働く場面がなかった。 FortiGate に対する評価は自分の中でだんだん 大きくなっている、`2a/03時点。DefensePro-202 はこれはこれで買おう。 FortiGate の IPS機能もかなり期待できる気がする。FortiAnalyzer と組み合わせて侵入防御の勉強 に用いたい、それぞれ下位のモデルを買う。IPSを2つで機能を比較することができる。 * そして出した結論とは `2a/09 頭は DefensePro の新しい機種を設置する。尻には FortiGate を設置する。 これまでの DefensePro はもう使わない、 使っても管理者である自分の手元でのテストに用いるだけ にする。ファイアウォ−ルは FireWall-1 から FortiGate に変える。 ハイこれでできま した!。長いこと検討してきたがようやく結論が出た。FireWall-1 を止めるのは、 次の 章の中での話で、情けないトラブルを起こしたことにより、三下り半を突き付けたことに よる。いったん傾きかけたらやはりだめか。起きようはずのないトラブルが起きたりする。 巷の噂では CheckPoint 社から Fortinet 社に転職して行く人がままいるとも聞く。 頭というのはファイアウォ−ルのすぐ上のこと、ここにIPSを置けばインタ−ネットを 出入りするパケットは全て診ることができる。尻というのはWANの IP-VPN や広域イ− サネットの本社へつながるル−タ辺り。企業のアジア進出に伴い、中国を始めWANを構 築するのに既存の IP-VPN 等に国際IP-VPN が乗ってくる形が濃厚である。 裏口の尻から 脅威が侵入してくる可能性が出てきた。このル−タをUTMにするか、ル−タのセキュリ ティ機能を用いるかする。多分WAN用のル−タは業者設置の保守契約になっている、触 ることはできない。となると新たにUTMをル−タの下に透過的に設置するしかない。 * Juniper の製品も一応みた `2a/11 NetScreen 用に開発されたファイアウォ−ルとしてのOSである ScreenOS。 それを SSG シリ−ズが引き継いでいる。ScreenOS は IPSec VPN、PPPoE、DHCPクライント機能がある。 これらに加えてアンチウィルス、アンチスパム、Webフィルタリング、Deep Inspection機 能をオプションで利用できるようにした、それがUTM機能であるということ。UTM機 能は別売りのライセンスになっている。最初からUTMとして設計された FortiGateなん かとは捉え方が違っている。SSG が素直にUTM装置といわない理由である。 NetScreen の後継機種の SSG で、SSG 5 の 128MB のモデルはUTM機能は使えない。 Juniper の IDP シリ−ズは侵入防御の専用装置である。IDPという名前だが機能はIPS である。管理サ−バと管理用パソコンがいる。管理サ−バは Linux マシンがいる、 既に あればそれにソフトを入れてもいい。管理用パソコンは何でもいい、専用ソフトを入れる。 設置するネットワ−クはどこでもいい。運用の手間はすごくかかるみたい。これを選ぶお 客さんは殆どいない模様。値段は他メ−カのIPSよりは安いかも。パンフレットはとて も見にくい。製品の名前も分かりにくいし紛らわしい。できれば触りたくない製品である。 Juniper は新しいOSを出しているが、どうもまだ安定してないとか、いい話は聞かない。 (3) やっぱり DefensePro だと思う * DefensePro-202 でよし DefensePro-202 約300万円 --- 保守費用は約10%?。ハ−ドの保守。 Security Update 約22万円 --- パタ−ンファイル等、これも毎年いる。 スル−プットが 200 Mbps か。1セグメントだけ診るなら結構余裕がある。 サイズ 298Wx215Dx44H、消費電力20W。DefensePro-502,102 も同じ筐体。 ある業者から先の装置は購入した。はっきりいって売りっぱなし。他の業者に変えたいと 思った。一つ条件をだした。今後、侵入防御装置を運用していくために必要なことである。 小生でもIPSをきちんと稼働させて行くのは、なかなか難しいことである。それをでき れば、社内のそこそこの人にでも運用していけるようにしたいのである。年に一度の定期 点検なるものを見積りに入れるよう要求してみた。1日エンジニアに来てもらって装置や ソフトの様子を見てもらう。1年の内に出てきた新しいアタックなどル−ルに含めた方が よければ入れるとか。そんなに難しい設定変更であるとかはここではお願いできない。そ ういうのは別途料金で見積りを出してもらい、作業してもらうとかする。 以下 `2a/10 に確認。モデル 1016,2016,3016 は筐体は同じものを使う。製品プラットフ ォ−ムは ODS2S。筐体は同じでスル−プットが違うだけ。ライセンスでスル−プットを変 える。10/100/1000 Copperポ−ト 12、GE(SFP)ポ−ト 4。最大スル−プットは1016/1Gbps、 2016/2Gbps、3016/3Gbps。電源AC 100V-120V/200V-240V、消費電力228W。モデル 102,202, 502 で筐体は同じ、製品プラットフォ−ム Mini-DP、10/100/1000 Copper ポ−ト2。最大 スル−プットは 102/100Mbps、202/200Mbps、502/500Mbps。消費電力 20W。String Match Engineにバイパス機能が最初から載っている、それで価格が高くなっているといえる。し かし高い、これまでのと同じ監視をさせるので出た見積りが定価ベ−ス1500万円。 モデル 1012 は直に販売終了になる、後継機種が 1016 である。製品を選ぶ目安のスル− プット。インとアウトで 1Gbps いるとすると、2Gbps のモデルを選ぶこと。 1Gbps のネ ットワ−クが3本あれば、6Gbps のモデルがいるということ。モデル 1020 は2011年 1月1日で販売終了予定。新しい製品は販売終了後5年間はハ−ドウェアサポ−ト、2年 間はソフトサポ−トを提供できる、らしい。このことから、これまで使ってきている装置 は保守契約は終わっているのだが、その時点のパタ−ンファイルなどの状態で問題なく稼 働し続けるということ。SI業者のエンジニアにも確認した。それで年に一度の訪問によ る定期点検、これまでの業者は数十万円でやりますと返事があった。これで決まりだ。 ※年に一度の訪問による装置のメンテナンスは、それ以前の問題で結局実現できなかった。 * 購入前の手続きであたふた `2b/01 いかん購入を詰めるだけで右往左往だ。当初は簡単に考えていた。既存の DefensePro が 見張っている FireWall-1 のWAN側のすぐの所、ここだけを新しい DefensePro に置き 換えればいい。そこのル−ルも既存の DefensePro のをとりあえずは、そのまま適用して 様子をみる。誤検知して止められるパケットがあれば、業者の技術者に問い合わせて対処 する。それだけのことである。前回もそうだが Radware社から扱い業者、そして自社の通 常取り引き業者を経由して購入する。なかなか実物を拝むことが難しい製品だ。日経の雑 誌に広告が出ているのをよく見たが。この1年の間に行った東京での展示会でも見なかっ たぞ。正月明けのITホワイトボックスで Gumbler攻撃の再放送があった、Webサ−バ を攻撃から守るWAF(Web Application FireWall)は日本では全然普及してないと言って いた。IPSもWAF以上に普及してない、未だそういうことのようである。 見積りも業者にお任せではなく、自分でもやはり最初から吟味すべきであった。上司に最 終的に出した見積りは、よく見たら実はセンドバック保守のだった。これではいかんがや。 オンサイトに変更するには、これまたぐっと価格が上がってしまうではないか。センドバ ック保守は製品価格に含まれている。DefensePro のモデル202は価格は今も変わってなく て305万円+税である。センドバックで戻ってくるまで、これまでの DefensePro で凌 ぐ手もあるがそれはやりたくない。インタ−ネットに新規につないで5分も経たない内に どんどん攻撃パケットがやってくる。2週間も3週間も旧式の装置でいいはずがない。と もかくオンサイト保守での見積りを再度だしてもらった。製品価格の何%と書かれたプラ イスリストがある。この初年度のオンサイトの保守費用は、社内の処理において固定資産 には含めない。固定資産伝票には値引き後の製品価格と設置設定の作業費用を記入する。 * さて導入には実際どうする `2b/03 DefensePro-202が入ってきたら、先ずは予備のインタ−ネット回線の方に設置してみるか。 次に、稼働中の DefensePro のWAN側監視分のポリシ−を、今回設置の DefensePro に 移行して直ちに稼働させるか。DefenseProの管理用ポ−トと管理用パソコンのネットワ− クIPアドレスは同じにすること、でも社内のネットワ−クのセグメントのIPアドレス とは関係はない。予備のインタ−ネット回線にはただ装置をかますだけでよい。APSolute Insite を入れたパソコンで見れば、 多分5分も経たない内にすぐに不正アクセスの兆候 がグラフに出て来るはずである。ただしポリシ−が甘いとなかなか検知しないので注意。 DefensePro の syslog を取るか?。取らないでおく。 取る場合は管理用パソコンでも別 なマシンでも構わない。 取ったからと言って管理ソフトの APSolute Insite で何か見れ るというものではない。一般的な syslog の解析ソフトなんかで見たければ見れるという 話である。それでああそうだねと分かるようにするには、相当な勉強とノウハウが必要で ある。もし syslog を取る場合には、大量のログが出るので十分なディスク容量が必要で ある。ログは取っても今のところ小生のところでは見る術がない。不要である。 異常発生などメ−ル通知するようにするか?。しない。前に DefensePro から大量のメ− ルが出て、社内メ−ルサ−バがパンクしたことがある。侵入防御装置がDoS攻撃してど うするの、女房酔わせてどうするの。他の設定項目は。DNSの名前解決をさせるか、し ない、不要。こんなんをやると不用意にパフォ−マンスが落ちてしまう。AntiScanningは やるようにする、多分この機能の中にメ−ルのウィルスチェックがあると思うが。現状の DefenseProでも99%ぐらいウィルス入りメ−ルをブロックしている。今回も必要である。 DefensePro の防御の様子を設置当日に確認すること。結局、既存の DefensePro、ファイ アウォ−ル直上を監視しているのはそのまま。その上に今回の DefensePro をかまし、し ばらくは不正アクセスのログを取るだけにしてもらった。これでインタ−ネット側からの 攻撃は全部把握することができる。社内から外への攻撃パケットは、既存 DefensePro が 保守切れ時点でのシグネチャで稼働しているので、そこで漏れたのだけ検知ができる。数 日様子を見るに、このような2段構えの DefensePro になったが問題は起きていない。 ところで侵入防御装置をかました瞬間から、通常なら不正パケットを検知するはずが、ま るで検知しない。APSolute Insite のレ−ダに何も出てこなかった。APSolute Insite を 入れたパソコンに windump を急遽インスト−ルし、SNMP パケットの流れを見た。トラフ ィックの SNMP パケットは 161/UDP で送ってくる。不正パケットは 162/UDP でトラップ として、検知した時だけ APSolute Insite に送ってくる。162番のパケットは全然出てな かった。原因はポリシ−のル−ルが少なかったのとル−ル適用が緩かったことだった。 Configware Insite のライセンスは。これは以前の名前のソフト。今は APSolute Insite という。APSolute Insite Security License 45万円が必要である。 説明はセキュリテ ィレポ−ト用ライセンスとあり、詳しいレポ−トが必要でなければいらないと一見して思 う。そうでなく必須であり、管理ソフトと考えた方がいい。そこら辺りラドウェア社と代 理店の間できちんと情報が伝わっていないこともあるようで、見積りに入ってないことも ある。注意したい。このライセンスは最初に購入したら、その後の年間保守費はいらない。 APSolute Insite を利用するには、このソフトを載せるパソコンのMACアドレスを、あ らかじめSI業者に知らせる。業者がラドウェアからライセンスを発行してもらう。パソ コンは Windows XP以上、Windows 7、Windows 2003 Server 32ビットに対応と確認。エ ンジニアさんの話をまとめるに、MACアドレスは2台でも登録できるが、管理パソコン で使えるのは1台だけみたい。それは装置から SNMP パケットを送るパソコンは1台だけ しか指定できないから。APSolute Insite は MySQL が必要で、あらかじめ含まれている。 DefensePro-202 にはバイパス機能が最初から載っている、この設定はいかに。 ハブが余 分にいるのかとか。実際に試した。装置の電源を入れてなくて、ネットワ−クケ−ブルを つないでみた。通信はできた、パケットは通った。電源を入れて稼働させて、また電源を 切った。問題なくパケットは通った。電源はいきなり切っても構わない。ソフトウェアは 装置にフラッシュメモリのカ−ドが刺さっている。ハ−ドディスクは搭載してないので大 丈夫である。そうそうバイパス機能にはハブはいらない、関係ない。 管理パソコンにシグネチャがいったん入るのか、直接 DefensePro に入るのか。管理パソ コンが止まったらどうなる。DefensePro はちゃんと稼働していくのか、 シグネチャは最 新のを DefensePro に取ってくるのか。シグネチャは管理パソコンに取り込んでから装置 に入れるようになっていると確認。やらしい。それを自動でやるのが APSolute Insiteソ フトである。Web なり FTP で Radware のサイトにアクセスして、手動でシグネチャをダ ウンロ−ドして装置に入れることもできるらしいが、実運用には適したものではない。 現状ずっと稼働している DefensePro は、ほとんどのチェック項目をやるように設定して、 その上で誤検知したのを通すようにした、ということらしい。今度来たエンジニアさんが そう話していた。装置に十分な処理能力があればそれでいい。 DefensePro-202 もあると 思う。とりあえず今回設置してパケットは止めず、ほとんどのポリシ−のチェックをやる だけやって、ログを取るのみとした。それでまた後日エンジニアに来社してもらい必要な ポリシ−適用の判断をすることにしてもらった。年に一度はこうした作業がいると思う。 これまでのはそのまま使う。ファイアウォ−ルの直上においてある。今回のはこれまでの 侵入防御装置とファイアウォ−ルの間にかます。インタ−ネットから内部に向けてこれま での装置が侵入防御とメ−ルのウィルスチェックをやる。それをすり抜けてきた不正パケ ットとウィルスメ−ルを今回の装置で補足する。パフォ−マンス的にもこの構成がいいだ ろう。内から外へのパケットの方がその反対よりもパケット量は少ない。そういうことで 実際、新しい DefensePro をかましたのだが、これから長丁場になって行くのであった。 * ログを1ヶ月位取ってみた DefensePro のログを1ヶ月位とった。それは消えずにある。 期間を区切ってログを表示 することができる。HTML 形式または Excel のファイルにもできるようである。それでど んなパケットが止められていたか、つぶさにチェックしてみるか。特に社内側からインタ −ネット側へいくパケットをみる。このログをファイルとして保存したいのだがどうやっ たらできるか。いや HTML で吐き出すことができるのなら、それでいいか。ログを取る期 間?、ログのサイズ?を設定するメニュ−がある。実際の運用ではどうしたらいいか。 パケットを止めずにログだけ5月1日から取り、1ヶ月の間で約5600ペ−ジだった。1ペ −ジ20行で。Top 100 Attacks のデ−タで Web-Crawlers-GoogleBot と Web-Crawlers- YahooBotが約65%占めた。こいつら、ログには含めないようにするか。紛らわしい。最 初だけどんなものか見ておくというのには意味があるが。一度見ればいいぞ。クロウルだ、 検索エンジンが巡回してコンテンツの内容を調査している。他のログはよく見たら種類は 20もなかった。どうやらこれらも、ボット的な攻撃のログではなさそうだった。 (4) ファイアウォ−ルは FortiGate `2a/11〜 * FireWall-1 から FortiGate へ置き換え 本社のインタ−ネット接続のところのファイアウォ−ル、これまでの FireWall-1 のこと。 置き換えのポイントは典型的な FireWall-1 のル−ルはどうか。 FireWall-1 の特殊なル −ルはどうだったかということ。今一度、現在の FireWall-1 ソフトとマシンの設定を全 部、書き出すこと。そして代表的な設定をピックアップし、疑似ネットワ−クを手元で作 りテスト確認をすることである。UTMはNAT型で設置する。多分DMZと仮想IPア ドレスの扱いに注意すれば事足りる気がしている。まあ後は実際に置き換えてみないと分 からないこともあるだろう。ファイアウォ−ルは本社に1つという訳には行かなくなって きている。アジアの海外拠点の国際 IP-VPN 網の所にもUTMがいると思う。さらには国 内の各拠点にもこれからはUTMをかまして行くことを考えなくては。 * FortiGate-80C で実際に検討してみる 箱を開けて中身をみた。電源やネットワ−クにシリアルポ−ト接続のケ−ブルなどが入っ ていた。CD-ROM が1枚入っていた "Tools and Documentation FortiGate-80C_CM"。A3 の紙 "QuickStart Guide" これにも中身の一覧の絵があった。Factory default settings には NAT/Route mode で Internal Interface は 192.168.1.99 と書かれている。イ−サ ネットポ−トは Internal が6個 10/100 Base-T、WAN1 と WAN2 が 10/100/1000 Base-T、 DMZ が 10/100 Base-T。ネットワ−クケ−ブルは鼠色で2メ−トル、 CAT.5e とケ−ブル に印刷されていた。それで初期設定をやってみよう。FortiGate-80C にはDMZもできる。 FireWall-1 の代替機としてテストするのであればDMZポ−トは必要である。 前に買っ た FortiGate-50B はDMZポ−トはないので、ここでの検討には使えない。 * FortiGate と FortiAnalyzer の値段 FortiGate-80C の値段は NTT-X Store で定価 273,000円税込が116,760円、オプションは フルバンドル込み。他で同じので24万円とか。NTT-X Store のなんちゅう安い、本当か いな。110C はオプションなしで 462,000円が192,990円。110Cオプションありで 593,250 円が 277,830円。2010年3月末までの台数限定キャンペ−ンのオンサイト保守バンド ル版というのもあるが、どうなっているのか。安いからといって通販で買うような代物で はない。お値段の参考まで。IPSec VPN のテストなどに用いるのは FortiGate は 80C で いい。FortiAnalyzer は FortiGate を本格利用する場合でも 100Cで十分だろう。フォレ ンジックとして半年とか1年とか長期に渡りログを取る訳ではないので。 FortiAnalyzer 100C は一秒間に200ログ、FortiAnalyzer 800 だったかは一秒間に500ログ取れる。 * インタ−ネット接続のファイアウォ−ル 複数の FortiGate のパケットを監視できるようにしておく。 インタ−ネット接続のファ イアウォ−ルのパケットも、詳しく見たい調べたいこともあるだろう。 複数の FortiGate を管理するのには FortiManager 装置もあると便利、しかしFortiGate が数台ぐらいの内は特に必要はない。それぞれの FortiGate を直接、設定すれば済む。 FortiAnalyzer は実践配備して実稼働させた後からでも機能の動作確認はできる。注意点 は FortiAnalyzer と FortiGate のバ−ジョンは合わせておくこと。 ユ−ザ認証はグル−プ単位でできる。個人毎ではできないのでユ−ザ別の制限はできない。 小生、今後もファイアウォ−ルでユ−ザ単位で何かやろうなんてことは考えていない。 見える化をやってみたい。アプリケ−ション別の制御ができるので、グラフを出してネッ トワ−クの状況を見てみたい。それに帯域制御ができるので、できれば掛けてみたい。 * FireWall-1 から FortiGate への検討 DNSを新しいバ−ジョンに設定した際に、 FireWall-1 でパケットが止められたことが あった。SI業者の技術者と相談して FireWall-1 の設定を調整した。FireWall-1がこけ た際に NetScreen をかましたが、Mail-Store と Mail-Relay でやりとりができなかった。 DMZに置くマシンのNAT変換に注意。発信IPアドレスがDMZのインタ−フェ−ス かWANのインタ−フェ−スか。Mail-Relay や SSL-VPN 装置をバリアセグメント上に仮 想IPアドレスにすることも注意したい。 "11-7.NetScreen-50 について、(5)FireWall-1 の代替として設定する"を参考にすること。 FireWall-1 では Mail-Storeから Mail-Relay へは、あくまでも Mail-Store からの発信 である。NetScreen ではDZMのインタ−フェ−スからになり、はまったことがあった。 これまでの FireWall-1 のマシンはどうするか。予備機にはする。止めてネットワ−クケ −ブルを外して、そのまま置いておくか。WANとDMZのネットワ−ケケ−ブルを外し、 LANのIPアドレスを別なのにして繋げてはおくとするか。 FortiGate で現在の FireWall-1 のル−ルを書き直したらどうなるか。internal からwan ヘ、wan から internal ヘの通過許可パケットの記述。組み合わせはこれまで3つだった のが6つになる。一応SI業者にル−ルを作ってもらうのだが自分でも十分検討すること。 できるだけ既存 FireWall-1 のル−ルを減らす。すでに不要になったル−ルがどうも結構 ある。一度思いきってル−ルをとりあえず無効にしてみるのはどうか。今のところ数十の ル−ルなのでそう多い訳でない。そのままのル−ルを FortiGate にしても構いはしない。 FireWall-1で特定ポ−トを使うアプリケ−ション用にサ−ビスを作ったのがある。HTTPの 8888 や 8080 もそう。FireWall-1 のオブジェクトでグル−プ単位にしたのは結構たくさ んある。FortiGate でもグル−プ指定はできないとル−ルが繁雑になるので必要である。 今の FireWall-1 はマシンを Sun V210 としている。 V210 はUPSの制御下にしている。 計画停電の際には、事前に自動停止させ復電後に自動起動ができる。FortiGate はできる のかな。UPSから電気をもらうだけで、そうした制御はしなくても問題ないとか。 現在の FireWall-1 のネットワ−ク環境を模したのでもテストすること。まだ本稼働させ てない新しい SSL-VPN環境の FirePass と ROUD も、テスト用ネットワ−クで動作を確認 してみよう。やっぱり、こうして書いて行くと何をやらないかんか見えてくるものです。 * 本社ファイアウォ−ルとしての基本設定 拠点のセグメントからのパケットをインタ−ネットへ抜けられないようにル−ルを設定す る。セグメント単位の設定をどうやってやるか。 FireWall-1 ではSI業者の技術者に設 定を教えてもらったことがあるが、結局これまでセグメント単位での設定はしてない。し かしこの設定、拠点セグメントからのパケットを本社ファイアウォ−ルでブロックすると いう設定は特にやらなくてもいい。ファイアウォ−ルを設置した1997年当初から内か ら外へは必要なパケットのみ通過を許可するようにしてあるため。今のファイアウォ−ル FireWall-1 でル−ルを一杯記述してしまって、 ひょっとして抜けが生じるかも知れない。 その時のためにダメ押しの意味で明示的に禁止ル−ルを設定するなら、するかである。と もかく疑似環境を作ってみて、そこで実際に触りながらいろいろ検討してみる。 * ファイアウォ−ルのテスト検証用環境 バリアセグメントは 192.168.1.0 とする。Mail-Store の予備機が実際の 192.168.1.0上 にあるので、予備機ごと切り離してネットワ−クのテスト環境とする。これでメ−ルの送 受信の確認ができる。DMZは仮に 192.168.2.0 とする。社内ネットは 192.168.3.0 と する。OpenBlockS をDMZにおく。192.168.2.0 と 192.168.3.0 を社内ネットワ−クに はないIPアドレスなら、そのままWAN側を社内ネットワ−クにつなげてもいい。ただ 経路情報を設定してないので、社内なんかで行けない所はあるよということ。プロキシサ −バも 192.168.1.0上あるので、プロキシ経由でインタ−ネットのサイトへも行ける。先 ず確認すべきことは OpenBlockS を仮想設置して、パケットの出入りのIPアドレスを調 べることである。それがファイアウォ−ルの設置で一番重要なポイントである。 PC2△ ◇MS ○仮想設置 PC2☆ ●OpenBlockS WAN1にパソコンや | | | MS | | 予備のMail-Store -------------------- 192.168.1.0 ----|------|---------- を繋いで、閉じた NAT |e3 ● | □ □ □ □□□ | ネットでテストす ---------e2 | | WAN1 WAN2 DMZ □□□ | る。或いはWAN1を | Forti |-------- 192.168.2.0 ------------------|---- 社内ネットに繋い --------- △PC1 FortiGate-80C | で、インタ−ネッ |e1 | △PC1 トへもプロキシ経 -------------------- 192.168.3.0 << 実際の配備 >> 由でアクセス可に。 * ユ−ザ認証を試してみる 内部ネットワ−クにあるパソコンから外部にアクセスしようとする際に、アカウントを入 力するユ−ザ認証を行なう。その逆の外部から内部へのアクセスも試してみる。通信しよ うとするのは何でも適用するか、Webアクセスだけにするとか。ユ−ザ ikkenを作って、 グル−プも作る Group1。そして ikken を Group1 に含める。 [ファイアウォ−ル]->[ポ リシ−] で "□アイデンティティ−ベ−スポリシ−を有効にする" を〆する。それで何や ら細かな設定の画面がでてきた。(追加)をクリックすると {新規認証ル−ル} という別画 面が出てくる。"選択されたユ−ザグル−プ"に Group1、"選択されたサ−ビス"に ANY を 入れる。"〆プロテクションプロファイル [Test1▼]"。と以上してみた。 [ファイアウォ−ル]->[ポリシ−]->[ポリシ−] ------------------------------------------------------------------------------- |ステ−タス ID 送信元 宛先 スケジュ−ル サ−ビス プロファイル アクション |------------------------------------------------------------------------------ |▽internal -> wan1(1) | 〆 1 all all always ANY Test1 ACCEPT □ ■ 先ずは内部から外部へ全部のプロトコルの種類に対してユ−ザ認証を求めるようにしてみ た。最初に Outlook で送受信しようとしたら Outlook の認証画面がでてきてエラ−にな った。ブラウザを開いてどこでもいいからアクセスしようとすると、FortiGate からのユ −ザ認証画面がでてきた。登録したのを入れたらリダイレクトしてますと、5秒位してサ イトが表示された。それからOutlook を送受信したらできた。どうもいったんユ−ザ認証 されたら FortiGate が覚えているようである。 パソコンを再起動してもユ−ザ認証画面 は出てこずに、そのままサイトにでもアクセスできた。 [ユ−ザ−]->[モニタ]->[ファイアウォ−ル] にユ−ザ名ikken、ユ−ザグル−プ[Group1] 等と出ていた。ここのメニュ−画面の {認証解除} をクリックすると、ikken というのは なくなった。 ここでいったんユ−ザ認証したのを覚えておくようだ。 この覚えておく時 間はいかに。[ユ−ザ−]->[オプション]->[認証] 画面がそうだ。 認証タイムアウト [5] (1-480分) 5分がデフォルト。 プロトコル HTTP,HTTPS,FTP,Telnet があり全部に〆がデ フォルトでしてあった。E-mail はここにはなかった。ということはプロトコルの Any 指 定はまずい。Any 指定するなら SMTP,POP3 はその前にル−ルを作って許可しておくかだ。 * 内から外への FTP アクセスをユ−ザ認証してみる 手元で FortiGate を社内ネットワ−クに透過型で設置。FortiGateのLAN側に普段使い のパソコンを接続してのテスト。外へ FTP をかけようとする場合だけ FortiGate でユ− ザ認証をさせたい。ファイアウォ−ルのル−ルの順番は下記のようにすること。ル−ルが 逆だとWebアクセスにも FortiGate のユ−ザ認証画面がでてくる。 メ−ルアクセスで は失敗してしまう、POP3 アクセスのユ−ザ認証がだめで。 しかし、ポリシ−のル−ル適 用はちょっとおかしいような気がする。 Webアクセスには HTTP の他にも DNS もファ イアウォ−ルのル−ルに入れておくこと。動作を確認するための環境設定です。 [ファイアウォ−ル]->[ポリシ−]->[ポリシ−] -------------------------------------------------------------------------------- |ステ−タス ID 送信元 宛先 スケジュ−ル サ−ビス プロファイル アクション |------------------------------------------------------------------------------- |▽internal -> wan1(1) |------------------------------------------------------------------------------- | 〆 1 all all always ●PING ●DNS ACCEPT □ ■ | ●HTTP ●HTTPS | ●POP3 ●SMTP |------------------------------------------------------------------------------- | 〆 2 all all always FTP ACCEPT □ ■ |------------------------------------------------------------------------------- |▽wan1 -> internal(2) 以下ル−ルなし |------------------------------------------------------------------------------- ル−ル2をポリシ−編集。"〆アイデンティ−ベ−スポリシ−を有効にする"。 -------------------------------------------------------------------------------- |ユ−ザID ユ−ザグル−プ スケジュ−ル サ−ビス プロファイル トラ.. | | |-----------------------------------------------------------------------|------| | 1 Group1 always FTP | □ ■| -------------------------------------------------------------------------------- 外のサイトに FTP アクセスしようとすると FortiGate にロッグインしたようなメッセ− ジが出て、FortiGate に登録したユ−ザ認証のアカウントを入れると、それでいったん終 わる。すぐに同じ FTPサイトにアクセスすると、そのサイトのロッグインが出てアカウン トを入れると入ることができる。 [ユ−ザ−]->[オプション]->[認証] の認証タイムアウ ト時間、しばらく有効になる。この画面の FTP の〆を外してみた。すると FTP サイトに アクセスしようとしても無反応になった。なかなか。アクセス制限の機能が働いている。 (5) 拠点のUTMにも FortiGate を `2a/12〜 * 大きなポリシ−と設定 ウィルスが本社など他の拠点に入り込んでこないようにする。蔓延しないようにすること を最初考えた。しかしウィルスチェックと侵入防御だけではだめだ。人が悪意をもって本 社に攻撃を仕掛けてサ−バに侵入することだって有り得る。UTMにはファイアウォ−ル の設定も必要である。必要なパケットのみを通すようにする。拠点から他へのアクセスを 制限すること、telnet も ftp も基本ダメにするとか。あらかじめ拠点のパソコンで利用 しているソフトを列挙して、使用しているプロトコルとポ−ト番号を調べておく。できれ ば実際に流れているパケットをキャプチャして、確認もしておきたい。 拠点でのインタ−ネットの利用は本社を経由するように先ず取り決めをする。国内ではそ う神経質にならなくていいが、海外ではそもそも直接インタ−ネットにアクセスできない ように本社ファイアウォ−ルで制限を掛けることにする。それに海外から日本を経由して インタ−ネットにアクセスすると、かなり時間がかかることになる。そのため海外ではイ ンタ−ネットにアクセスするためのパソコンを、別なセグメントとして用意することにす る。中国などに工場を進出する企業がどんどん増えている。国際電話会社の人が話すには、 そうやって日本本社への脅威をとりあえずは回避することをお勧めしているとか。 _______________________________________ / インタ−ネット \ 日本の本社ファイアウォ−ルは現在 \_______________________________________/ FireWall-1 が稼働、次はFortiGate : を予定。ファイアウォ−ルでは拠点 : 新IPS はDefensePro-202 セグメントからのパケットがインタ ------------- で最新の脅威を防御する。 −ネットへ抜けられないようにする。 | 旧IPS は保守切れになっ 海外拠点C からのパケットを止める。 ■新IPS たDefenseProで保守切れ 国内拠点の方は通してもいいだろう、 | した時点での性能を有す。 ---------- 拠点のUTMにはあまり細かな設定 |FireWall| Mail-Store Intra FortiAnal はしない。ざくっとしたル−ルにし ---------- □ □ □ □ □yzer て、本社のファイアウォ−ルも含め | | | | | | て安全性を確保する。UTMの設定 ------------------------------------------- A は現地のSI業者に依頼する。年に | | File-Share Proxy 数回のUTMの設定変更等、インシ ▲MyPC ■旧IPS デント対応の契約もすること。 管理者 | IP-VPNを国際とに分けた □Router が論理的には1つ。経路 海外含めどこのパソコンでもインタ : はメッシュ型で、拠点間 −ネットのホ−ムペ−ジにアクセス : の制限は掛けられない。 するのはプロキシサ−バを介すこと _______:______ _____________ にする。これまでは NetCache を利 / IP-VPN \/ 国際IP-VPN \ 用してきたが、今後は InterScanの \_______________/\_____________/ Webレピュテ−ションを利用する。 | | これで怪しいサイトへ行けなくする。 | | Router -------- ------- 海外含めどこのパソコンでもメ−ル |Router| | .1 | 中国とか米国 は本社のメ−ルサ−バを利用するこ ---*---- ---*--- セグメント C とにする。Mail-Storeではこれまで B | |.2 通りウィルスとSPAM対策を施す。 ------------ FortiGate---*--- .3 以上により、この海外拠点はメ−ル | | 80Cを透過| UTM |---□FortiAnal アドレスは日本のドメイン名を使う。 △ △PC 型で設置 ------- lzer-100C | 拠点では予約IPアドレスを.1-.10 国内拠点 ------- .4 まで取っておく。ハブにはミラ−ポ |ハブ |---□OpenBlockS −トの設定をあらかじめやっておく。 ------- ミラ−ポ−ト 必要に応じてOpenBlockSを設置する、 MyPCから拠点UTM へ管 | | 設置場所は机でもロッカ−の中でも。 理アクセスできること。 △ △PC ftp で秘密の通信をするとかの用途。 [ OpenBlockS で拠点用ファイルサ−バ ] ftp サ−バの利用。最初の発想は OpenBlockS を拠点においてパケットをキャプチャでき るようにし、トラブル時の解決に役立てたいということだった。WANを介してファイル 共有しようとすると遅いという問題がどうしてもつきまとう。ならば拠点で見たいファイ ルは OpenBlockS に入れればいいではないか。ftp サ−バとしてファイルを送っておけば いいでないか。それを拠点では OpenBlockS のWeb画面で見れる、取れるようにすれば。 OpenBlockS は拠点のオフィスの机やロッカ−の中にいれて鍵をかけておく。 パソコンの 盗難防止でいろいろグッズを買って対策するよりも安全かも知れない。ユ−ザ別にアクセ スできるフォルダやらファイルを作ったりはしない。せいぜいファイルの一般ユ−ザとそ の管理者だけぐらいにする。平社員と役職者の区分け。単純な連絡用ボックス。 * 拠点用UTMの設定ポリシ− 拠点から本社へのパケットを許可するのは HTTP, HTTPS, SMTP, POP3, CIFS。これらだけ を通す。他のは必要に応じて。Active Directoryのパケットとか、パソコンの管理ソフト のパケットとか。これらは例えばの話で、Windows サ−バを使うようなソフトを何がしか 日本と海外でまたいで使うと言うのは、いかがなものか。実質的にそんな利用は無理だと 思う。日本の各拠点は広域イ−サネットか IP-VPN 網にあるとする、海外拠点もどちらか の網に繋がっているとする。インタ−ネットVPNで接続する拠点は、ここでは扱わない。 ・機種はそこそこの量のログが取れる FortiGate-80C にする。 ・FortiGate のオプションは分かりやすくIPSだけとする。 ・FortiGate を透過型で拠点WANル−タの内側に設置する。 ・侵入防御をやる。拠点から本社などへの攻撃を防止する観点で。 ・拠点からのインタ−ネット利用は本社プロキシサ−バを介す。 ・ファイアウォ−ルはやる。拠点から本社などへの telnet 禁止。 ・メ−ルのウィルスはチェックしない。SPAMのチェックもなし。 ・HTTP のウィルスはチェックする。URLチェックもしない。 ・Webフィルタもやらない。レピュテ−ションとかもなし。 各国にUTMをばかちょんで設置して、めんどうも現地の会社にみてもらう。日本側では 何も関知しない。できればそういうようにしたいのだが、やはりできそうにない。基本的 に安全は自分自身で守ること。これがやっぱり基本原則である。 設置した FortiGate の ファイアウォ−ルのフィルタリングのル−ルを、日本で変えるなどの運用を自前でやるの である。しかし実際これは業者との保守契約上難しいかも知れない。なかなか業者はやら せてくれないかも知れない。保守対象の装置をユ−ザがそもそも触るのは嫌がられる。 拠点UTMではメ−ルのウィルスチェックはしない。メ−ルは本社のメ−ルサ−バを利用 する、そこでウィルスチェックにSPAMチェックはやっているので、他でやることはな い。いやいやメ−ル爆弾ということだってあるかも知れない。拠点のパソコンがボットな んかに感染し、大量のメ−ルを本社メ−ルサ−バに送信するかも知れない。そのメ−ルが ウィルスをもっていれば拠点UTMで止めることができ、本社メ−ルサ−バをダウンさせ ることはない。しかしそうそう起きることではないと思う、問題ないと判断しておく。 ログをとるポリシ−。FortiGate のログを詳しく見たい場合は、FortiAnalyzer も拠点に 設置する。FortiAnalyzer は FortiGate のLANポ−トにつないでおく、 これなら拠点 のネットワ−クにも負荷をかけることはないだろう。 通常は FortiAnalyzer にもログの みを送る。必要な時には中身も含めて記録するようにする。通常取得するログはメ−ルと ブラウザのログはいらない。フォレンジックはやるつもりはない。拠点UTMではメ−ル のウィルスチェックはしないため。いるのはIPSなど不審なアクセスのログである。 * 拠点用 FortiGate の設定内容 国内用ではタイムゾ−ンを東京にして、日本語表示にしておくこと。[ファイアウォ−ル] のところで大きく何をチェックするか指定して、[UTM] のところで具体的に何をどうチェ ックするか細かく指示する。[ファイアウォ−ル] でいじるのは [ポリシ−] と[プロテク ションプロファイル] のみ。 パケットの何がどれだけ流れているか FortiAnalyzer のグ ラフ機能は用いたい。そのためのログの指定はしないといけない。[UTM] の方ではログを 出す指定にしておき、 [ファイアウォ−ル]->[プロテクションプロファイル] の方ではロ グを出すか出さないか指定することにする。 [ファイアウォ−ル]->[ポリシ−] 内->外、外->内 のル−ルは上から順に評価される。 Status ID Source Destination Schedule Service Profile Action ------------------------------------------------------------------------- ▼ internal -> wan1(2) 〆 1 all Mail-Store always SMTP,POP3 ACCEPT 〆 2 all all always HTTP,HTTPS ACCEPT 〆 3 all all always SAMBA ACCEPT 〆 4 all all always ANY Test1 DENY ------------------------------------------------------------------------- ▼ wan1 -> internal(1) 〆 5 MyPC OpenBlockS always ANY ACCEPT 〆 6 all all always ANY DENY ※HTTP の 8888 番ポ−ト使用のサイトには、InterScan IWSS のプロキシ機能で扱うこと ができるか。要確認のこと。そもそも現時点の NetCache ではどうなっているかも確認。 Windows のファイル共有にもアクセスするには SAMBA をサ−ビスに入れる。 プロトコ ル名の CIFS は選択覧にはない。追加したらすぐにファイル共有は使える。 ※internal -> wan1(2) には PING も許可しておくこと。PING の ICMP に関する[ファイ アウォ−ル]->[サ−ビス] には "PING ICMP/8", "ICMP_ANY ICMP/ANY", "INFO_ADDRESS ICMP/17", "INFO_REQUEST ICMP/15", "INFO_ADDRESS ICMP/17", "TIMESTAMP ICMP/13" がある。とりあえず "PING ICMP/8" を許可したら問題なさそうだった。 [ファイアウォ−ル]->[プロテクションプロファイル] の "Test1" プロファイル プロトコル識別 特にここでの設定はない。 アンチウィルス 特にここでの設定はない。〆は1つもなし。 IPS 〆all_default で定常運転する。 ウェブフィルタリング 特にここでの設定はない。 Emailフィルタリング 特にここでの設定はない。 デ−タ漏洩防止センサ 特にここでの設定はない。 アプリケ−ション制御 特にここでの設定はない。 ロギング 〆IPS侵入検知ロギング、のみチェック。 [UTM] アンチウィルス 利用しない。 侵入検知 利用する。 但しここでの設定は特にない。 ウェブフィルタ 利用しない。 Emaiフィルタ 利用しない。利用する場合はエッチな言葉等を登録する。 デ−タ漏洩防止 利用しない。 アプリケ−ション制御 利用しない。利用する場合は mixi 等を止めるとかする。 * FortiGate のIPS機能の設定 "18-6.FortiGate と FortiAnalyzer 付録" も参照。 [UTM]->[侵入検知]->[IPSセンサ] all_default 説明 # §はゴミ箱。#は編集。 all_default_pass 々 # ゴミ箱がないメニュ−は、他のメニュ−はそ protect_client 々 §# のメニュ−内に含まれていないということ。 protect_email_server 々 §# protect_http_server 々 §# 最初しばらくは all_default_pass 指定にして、パケットを調べて不正アクセスのログを 取るだけで通過させる。誤検知した必要なパケットは通すようにして、all_default 指定 にして本稼働させる。他のメ−カでもIPSを設置する場合に、行われている手順である。 必要パケットを通すのに、[UTM]->[侵入検知]->[定義済] をいじったり、[カスタム]にル −ルを追加したりすることは、技術の人が言うにはほとんど無い。 いじるのは [DoSセン サ] とか。現地に設定を依頼する業者には、最初の設定とその後のIPSの調整、つまり 止められた必要パケットを通す設定を、しばらくしてやってもらうようにすること。 * 一度ちゃんと調べておくこと FortiGate-80C で DLPログを取るようにしていると、メ−ルソフトの反応が遅いような気 がする。テストで FortiGate のLAN側に自分のパソコン1台置いての話。 Outlook で 送受信をクリックすると、んん−んという5秒ぐらいかかる感じ。FortiGate をかまさな いこれまでなら、クリックしたらすぐにメ−ルを送信して、溜まっているメ−ルを受信し てきていた。Outlook では社内メ−ルサ−バで送受信と予備の社内メ−ルサ−バから受信 するようにしている。どうも予備のマシンの方にアクセスしている際に、ん−と時間がか かっている。状況をいろいろ変えてみて動作を一度確認しておくこと。 ------------------------------------------------------------------------------------ [付録] やっぱり FireWall-1 だと思う `2a/03〜 * FireWall-1 でいいと思いたいが 買うとしたらアプライアンス製品を買う。ノキアの製品はもうない。 NECの UNIVERGE UnifiedWall があるのみである。NECは2008年11月に参入したと聞いた。モデル が幾つかあり有償のIPS機能とかある。多分IPS機能は使わない方がいいと思う、フ ァイアウォ−ル機能だけでいいと思う。これまでの FireWall-1 のル−ルを使えるとのこ となのでいいかと思うが。ノキアについての情報、2010年1月発表だったか市場は日 本だけではないといって日本を撤退してしまった。携帯電話だけでなく FireWall-1 のア プライアンスも全部撤退。2010年3月にSI業者の人に聞いたら、もう撤退したよと のこと。彼いわく FireWall-1 から FortiGate や Juniper にだいぶ乗り換えが進んでい るよとも話していた。FireWall-1 はいよいよだめか。ほぼ腹をくくった。 FortiGate に 乗り換えることにします。今からその準備を始めることにします。2010/03/09 のこと。 * WAFまではいらないと思うけど ( WAFはワフと呼びます ) WAF(Web Application Firewall) について INTEROP 2010 で聞いたこと。 どんな場合 に導入すればいいのか。DMZのWWWサ−バで Apache を動かし、PHP も動かしている、 別サ−バの PostgreSQL を利用。これ位ではWAFは必要ないという。いわゆるWAFと いう綴り通り "アプリケ−ションサ−バ" を動かしている場合に入れるという代物である。 市販ソフトでは WebLogic とか、 フリ−ソフトでは Apache + Tomcat とかもそうだろう。 RDBを使っている場合でも、適切なパッチを当てておけばSQLインジェクション攻撃 は防げる。どうやらそんな初歩的な対策もせず、IPSもWAFも導入してないのでない か。今なお月に一度は1万件単位の個人情報漏洩事件が報道されている。SI業者の提示 する対策費用はすごい。それが導入しないできない理由かも知れない。「日経コミュニケ −ションズ」`2a/06, P.48〜 "Webサイトのセキュリティ"、1社は5年間で3億6540万円。 * FireWall-1 か FortiGate どっち FortiGate はコスト削減になるということで、FireWall-1 や NetScreen から乗り換える 話が多い訳で、本当にコストメリットが出るのか調べたい。CheckPoint 社は FireWall-1 アプライアンスを2010年中、半額キャンペ−ンをやっている。 もう一回 FireWall-1 で行くか。ファイアウォ−ルのル−ルもそのまま使える。ファイアウォ−ルを変更するこ とによるパケットの通過、遮断がおかしくなるリスクを避けることができる。料金比較を 今後5年使うとしての保守費用を含めた総額を出して検討してみるか。FortiGate に変え るには予備機も必要になる。これまでの FireWall-1 を予備にする訳には行かない。頑張 ればそれもできないことはないが、頑張ってできるようなことは無理して選択しない。安 全に関わることにはこのポリシ−で貫きたい。 それで FortiGate ならば機種は 310B ぐ らいか、これを2台買うことになる。あるいは予備は能力の低いのでもいいかも。