18-6. FortiGate と FortiAnalyzer (1) FortiGate のダッシュボ−ドが変 `2b/01 -------------------------------------------------------------------------------- FortiGate のモデルは 80C、FortiAnalyzer のモデルは 100C を利用。(1)〜(4)の記述で FortiGate-80C のバ−ジョンは MR1 Patch2。(5) では 80C をバ−ジョンアップした。 -------------------------------------------------------------------------------- * FortiGate のダッシュボ−ドが変 [システム]->[ステ−タス]->[ダッシュボ−ド] 画面右の{▽ログとア−カイブの統計} -------------------------------------- |[ログとア−カイブの統計] 〇 @ × |------------------------------------- |"DLPア−カイブ" -- 一日平均 | | |------------------------------------- |"ログ" -- 一日平均 | | |------------------------------------- ともかく {Ш} をクリックしてみること。こ |Шトップセッション 分離 / @ × こでそこそこパケットの流れの様子が分かる。 -------------------------------------- Windows 2000 Professional で起こったこと。ブラウザとの相性かブラウザの設定か、そ れとも Windows 2000 でのバグか。"Шトップセッション" で出てくる画面の[カスタマイ ズ] で、リフレッシュ間隔を [5] にしたらIEブラウザがぶれる。 パケットの量がすご く多く出るのか、IEブラウザがぶれてマウスもコントロ−ルできないことになった。そ の後 [システム]->[ステ−タス] 画面に入るだけでずっとぶれる。どうやらブラウザから FortiGate にかなりのパケットが流れている。FortiGate のLANポ−トが連続して点滅 している。FortiGate の管理画面のブラウザを閉じるとぶれはなくなる。 "Шトップセッ ション ... ×" の × をクリックしても、 このメニュ−自体が表示され無くなりぶれは 止まった。Windows XP Professional でもやってみた、[50] とか入れてみた。問題ない。 よくよくリフレッシュ間隔を設定するメニュ−のところを見たら、10-240秒内で指定する か 0 の無効指定か。それを [5] とか入れたので、その後 [0] にしても [5] のままにな ってしまったのでないか。ブレる画面でなんとか [50] とか有効範囲の値を入れ直してみ た。これでブレは止まった。Windows OSともブラウザとも関係なかったようである。ま あ結局 FortiGate のバグというか癖でしょう。こういうことも遠方に FortiGate を設置 して運用する場合のノウハウということになる。多分 FortiGate をよく知れば、 さっき 出ていたパケットの量がどの程度のものだったか分かると思う。その量だけでWANの拠 点回線を一杯くってしまったかも知れない。中国なら回線速度は 1〜2 Mbps程度だ。鼻か ら利用できないことになった。実践配備する前にどれだけノウハウを獲得するかだ。 * FortiGate やっぱり何かおかしい `2b/02 □2533t 透過型設置 □Desktop HP 2533t : Windows XP Embedded |.1 ---------------.2 |.3 Desktop : Windows XP Proffesional ----------|FortiGate-80C|----------- WAN --------------- LAN Desktop の IE6 で FortiGate を設定。 FortiGate の [システム]->[ステ−タス] の画面右に{アラ−トメッセ−ジコントロ−ル} にでてくる。ForiGate とパソコンだけつないでも、ワ−ニングがでてくる。 最初、どこ か他のマシンから大量のパケットが来ているのでないかと疑ったが、そうではないみたい。 2011-02-16 09:13:43 Fortigate が接続制限に達しました 2 秒 2011-02-16 08:58:45 Fortigate が接続制限に達しました 2 秒 2011-02-16 08:43:49 Fortigate が接続制限に達しました 2 秒 2011-02-16 08:28:44 Fortigate が接続制限に達しました 2 秒 この時に、[ログ&リポ−ト]->[リポ−トアクセス] の {サ−ビスごとの帯域幅} を見ると、 赤のグラフが先鋭的にパケットが大量にでている。Browsing のパケットが 13000bit/sと か 17000bit/s とか。これがおかしい原因でないのか。 [システム]->[ステ−タス] の画面に出した {トップセッション}で、パケットの様子を表 示したテ−ブルがでていると、おかしくなるようである。特に {リフレッシュ} をクリッ クするとIEブラウザがぶれて、[2] の Active Sessions の数がどんどん増えてきた。 [3] の画面で {Display Format} を "Table" にした際のバグみたいである。 バグとみな していいだろう。グラフ表示の "Chat" だと画面はぶれない。[1] のようにパソコンから FortiGate の80番へのパケット、ブラウジングの通信、も大量に出てこない。 [1] おかしい時のトップセッションの表 ------------------------------------------------------------------------------- | Top Sessions Detach / @ × |------------------------------------------------------------------------------ |# Protocol Source Address Source Port Dest Address Dest Port Policy ID |------------------------------------------------------------------------------ |1 tcp 192.168.1.3 3490 192.168.1.2 80 |2 tcp 192.168.1.3 3444 192.168.1.2 80 | | 10個以上でてきた。 [2] この画面はどなんしたら出せたかな ---------------------------------------- | Top Sessions Detach / @ × << /はEdit、@はRefresh、×はClose。 |--------------------------------------- |# Source Address Active Sessions |--------------------------------------- |1 192.168.1.3 41 # |2 192.168.1.1 3 # [3] Edit をクリックすると出てくる画面 ------------------------------------------------------------------ |Dashboard - Custom Top Sessions Display | | | | -------------------------------------------------------------- | | |Dashboard - Custom Top Sessions Display | | | |------------------------------------------------------------| | | |Report By [Source Address ▼] | | | |Display User Name □ | | | |Resolve Host Name □ | | | |------------------------------------------------------------| | | |Display Format ○Chat ●Table | | << ここ注意。 | |Top Sessions To Show [ 10 ▼] | | | |Refresh Interval [60 ] (10-240 seconds,0 to disable) | | | |------------------------------------------------------------| | | | ( OK ) ( Cancel ) | | | -------------------------------------------------------------- | | | ------------------------------------------------------------------ FortiGate のバグだろうということで、ファ−ムウェアをアップしようとした。1次代理 店のサイトで、ファ−ムウェアのダウンロ−ドをする。 そのためには FortiOS ダウンロ −ドペ−ジにアクセスするためのパスワ−ドを発行してもらうことが必要である。装置の シリアル番号に会社名などをいれて登録手続きをした。 ForiGate-80C が手元に来たのは 2010年の秋、 ファ−ムウェアのバ−ジョンは v4.0,build0192,091222 (MR1 Patch2) その時のままである。その1次代理店の Fortinet サイトで2011年月末時点、ダウン ロ−ドできる最新の FortiGate-80C 用は Fortinet OS 4.0MR2P3 である。 特に中間的に アップすることなく、そのままアップできる。しかし、バグの回避ができそうなことが分 かったので、アップはとりあえずやめにする。FortiGate をアップしたら FortiAnalyzer も同じくアップしないとまずい、バ−ジョンを合わせておかないといけないということ。 << こんだけのパケットは出ているみたい >> 正常な状態での例えばのトップセッション (秒) ------------------------------------------------------------------------------------ |# プロトコル 送信元アドレス 送信元ポ−ト 宛先アドレス 宛先ポ−ト 有効期限 継続時間 |----------------------------------------------------------------------------------- |1 udp 0.0.0.0 68 255.255.255.255 67 176 18727 |2 192.168.1.1 224.0.0.22 295 1763 |3 tcp 192.168.1.3 3504 192.168.1.2 80 3600 76 |4 tcp 192.168.1.3 3499 192.168.1.2 80 33 286 ------------------------------------------------------------------------------------ 1番のパケットは不明。どうも FortiGate 自身から出ているようである。 2番の 192.168.1.1 は 2533t シンクライアント。何かパケットがでている。 3番と4番はブラウザによる FortiGate の設定画面へのアクセスである。 (2) FortiGate で早速怪しいパケットが * 侵入防御機能だけを先ずは働かせてみる [FireWall]->[Policy] -------------------------------------------------------------------------- | Status ID Source Destination Schedule Service Profile Action |------------------------------------------------------------------------- |▽internal -> wan1(1) | 〆 1 all all always ANY Test1 ACCEPT FortiGate をIPSだけ働かせるよう設定した。とりあえず内から外へは何でも通すよう に設定した。{Edit Policy} の画面では "Enable Identity Based Policy" 以下の項目で "〆Protection Profile [Test1 ▼]" だけチェックした。"Test1" というプロファイルは 先に作成しておくこと。作り方はすぐ下。プロファイルの名前は何でも構わない。 [ファイアウォ−ル]->[プロテクションプロファイル] で、プロファイルを "Test1" とい う名前で作成。メニュ− [IPS] で "IPSセンサ 〆[app_default ▼]"にした。[ロギング] ではとりあえず全部に〆を入れた。侵入防御に関係するのは {IPS}の{侵入検知ロギング} だけと思う。{デ−タ漏洩防止センサ}の{DLPロギング} は似ているが侵入防御ではない。 [System]->[Admin]->[Settings] で英語表示を日本語に変えた。タイムアウトが 5分にな っているので、とりあえず 50 分にした。 もう1台パソコンを FortiGate のLAN側に つないで FortiGate と FortiAnalyzer にアクセスしてみた。FortiGate の画面はこれで 出た、制御できた。デフォルトの設定では FortiGate にはWAN側から操作はできない。 [システム]->[メンテナンス]->[FortiGuard] の {アンチウィルスとIPSオプション} のと ころ。最初は何も〆されてない。"〆定期更新 ●ごと[1 ▼] (時/時間)" これでウィルス のパタ−ンファイルとIPSのシグネチャが、1時間毎に最新のを取りに行く。1時間が どうもお勧めのよう。一日に一回でもいいような気がするが、テストではそうしておく。 * IPSで早速怪しいパケットが見つかった パソコンの 192.168.1.6 から社内のパソコン 192.168.1.88 へたまに FTP しているのあ り。相手は Windows OSの ftp サ−バみたい。ping打ったら応答あり。FTP の中身を取 るように設定してみたが意味不明。一体これは何。すぐにこのパソコンの中でどのプログ ラム、プロセスがそうなのか現行犯で見つけることができない。それで、とりあえずこの パケットをブロックする。 以下の nazono-ftp の指定は 192.168.1.88/255.255.255.255、 インタ−フェ−ス[wan1]。2のル−ルを1のル−ルの下に置いたのでは効かない。2のル −ルでは "〆違反トラフィックをログ" にした、プロファイルを指定する項目はそもそも 出て無かった。Profile 指定はなくても FTP パケットは止まった。 [FireWall]->[Policy] -------------------------------------------------------------------------- | Status ID Source Destination Schedule Service Profile Action |------------------------------------------------------------------------- |▽internal -> wan1(2) | 〆 2 all nazono-ftp always FTP DENY | 〆 1 all all always ANY Test1 ACCEPT * FortiGate で怪しいパケットを調べてみた `2b/01 "IPSで早速怪しいパケットが見つかった" という話の続き。 自分の普段使いとテスト 用のパソコンを調べてみた。怪しいのは資産管理のクライアント用ソフトのアクセスだっ た。資産管理ソフトは、管理サ−バにパソコンの状態を報告するのは、多分1日1回でな いのか。FortiGate がそれを止めると資産管理のクライアントソフトが再送して、数分お きにアクセスが出るということでないか。 Windows 2000 からは怪しいパケットは出てな いのだが、報告するタイミングが違っているだけなのでないか。1日監視すれば出ている のが分かるのでないか。このソフトは情報漏洩対策の一つとして、他の人が小生が付き合 いのない業者を使って設置設定した。自分は関与してなかったのだが、どんなパケットが 流れているか、やはり一度きちんと把握する必要がある。 手元の Windows XP Professional マシンに TCPView をインスト−ルして、パソコンを起 動して TCPView だけ起動して何もせずにおいた。 Windows OSのカ−ネルで動いている プロセスだけが、そのまま何も変化なしで表示されているだけだった。表示されているプ ロセスは alg.exe, ekrn.exe, lsass.exe, spoolsv.exe, svchost.exe, System。 状態は LISTENING か何もなし。30分以上そんな状態が続いていて、やおら動きが出てきました。 [System Process] PID 0, MMM 1886, MMM 1880, MMM.ftp ftp というのが30個ぐらい出 てきた。MMM の文字列は実際に出たのを見て、資産管理ソフトのマシンだったということ が分かった。 疑問、TCPView 表示の Remote_Address に MMM と出たのだがその名前はど こから拾ってきたのか、MMM 本体のプロセスは見えないようになっているのか。 [ 怪しいパケットのログの出方 ] ・怪しいパケットをIPSで止める。 > アタックログ出る。トラフィックログ出ない。 ・怪しいパケットをポリシ−で止める。 > アタックログ出ない。トラフィックログ出る。 怪しいパケット FTP はIPSで通っているのと止められているのがある。 資産管理ソフ トはそこそこ知られた製品なので確かだとすると、止められたパケットは誤検知されたと いうことになる。この調子で自分のパソコンに入っているソフト、それにFortiGate を設 置するところで使う予定のソフトで、パケットの誤検知がないか調べて行くとしよう。 << 共通のル−ル設定 >> [ファイアウォ−ル]->[プロテクションプロファイル] の {プロファイル Test1}、の所で [IPS] で "IPSセンサ 〆[app_default ▼]"。[ロギング] 全部に〆した。 FortiGate から FortiAnalyzer にはログは送らない設定。[ログ&リポ−ト]->[Log環境] ->[ログ設定] 〆Local Logging、〆メモリバッファ設定、最小ログレベル[情報 ▼]。 "Local Logging"は装置にハ−ドディスクや SSD の記録媒体がある場合に使うということ だと思う。FortiGate-80C にはそのような記録媒体はないので、メモリだけに記録される。 "Local Logging" にチェックすると "メモリバッファ設定" にもチェックが入る。 "メモ リバッファ設定" のチェックを外すと 最小ログレベル[情報 ▼] メニュ−が消えた。 最小ログレベルには、緊急、警戒、重大、エラ−、警告、通知、情報、デバッグ、があり 1つ選ぶ。デフォルトは "情報" である。"情報" 以上のレベルのログは全部出てくる。 << ル−ル設定その1 >> 午前中にやっていた [FireWall]->[Policy] ル−ル2では "〆違反トラフィックをログ"。 -------------------------------------------------------------------------- | Status ID Source Destination Schedule Service Profile Action |------------------------------------------------------------------------- |▽internal -> wan1(2) | 〆 2 all nazono-ftp always FTP DENY | 〆 1 all all always ANY Test1 ACCEPT [システム]->[ステ−タス] の {ログ} の {IPS} 0 アタックをブロック。ログはナシ。 [システム]->[ステ−タス] の {ログ} の"トラフィック 3 違反したトラフィック"。クリ ックすると、最新のトランザクションで次のように出た。 12:12:00 warning 6 21/tcp ソ−ス デスティネ−ション 0 0。 12:11:54 warning 6 21/tcp ソ−ス デスティネ−ション 0 0。 これら3つ出て 12:11:51 warning 6 21/tcp ソ−ス デスティネ−ション 0 0。 出なくなった。 [ログ&リポ−ト]->[ログアクセス] の{メモリ} の "ログタイプ [トラフィックログ▼]" に次の、止められたと言うログが出ていた。 12:00 warning violation 3 送信元 宛先 21/tcp 0 0 11:54 warning violation 3 送信元 宛先 21/tcp 0 0 11:51 warning violation 3 送信元 宛先 21/tcp 0 0 [ログ&リポ−ト]->[ログアクセス] の{メモリ} の "ログタイプ [アタックログ▼]"は何 も出てない。 << ル−ル設定その2 >> 午後からやってみた [FireWall]->[Policy] ル−ル2を無効にする。〆をクリックするのみ。 -------------------------------------------------------------------------- | Status ID Source Destination Schedule Service Profile Action |------------------------------------------------------------------------- |▽internal -> wan1(2) | □ 2 all nazono-ftp always FTP DENY | 〆 1 all all always ANY Test1 ACCEPT [ログ&リポ−ト]->[ログアクセス] の{メモリ} の "ログタイプ [トラフィックログ▼]" は何もでてない。 [ログ&リポ−ト]->[ログアクセス] の{メモリ} の "ログタイプ [アタックログ▼]"には 以下のが出ていた。 時刻 レベル サブタイプ ID キャリア 送信元 宛先 リファレンス メッセ−ジ 13:19:06 alert signature 16384 N/A xxx yyy http://xxx file_trans 13:19:06 alert signature 16384 N/A xxx yyy http://xxx file_trans 13:19:06 alert signature 16384 N/A xxx yyy http://xxx file_trans 13:19:05 alert signature 16384 N/A xxx yyy http://xxx file_trans リファレンス : http://www.fortinet.com/ids/VID11251 メッセ−ジ : file_transfer:HP,UX,FTP,Server,Directory,Listing パケットログ : ナシ [システム]->[ステ−タス] の {ログ} の "IPS 4 アタックをブロック" の [詳細]をクリ ック。直近に検知されたアタックで、上と同じ内容のログが表示された。 [システム]->[ステ−タス] の {DLPア−カイブ} の FTP で 13:11:51秒から13:19:15秒に かけて。10 URL にアクセス、37ファイルをアップロ−ド、2 ファイルをダウンロ−ド。 * IPS機能について記述の追加 `2b/09 ファイアウォ−ルのル−ル設定の中でのIPS機能を利用するかという話である。ファイ アウォ−ルで外から内へ HTTP のパケットを通すようにまずしたとする。その HTTP パケ ットに対してIPS機能をオンにするか、オンにした場合に HTTP パケットの検査をいろ いろ細かくやるかどうか、検知した HTTP パケットを破棄するかログだけとって通すよう にするかとか設定していくということである。 LAN内に FortiGate を設置する場合で その内側からのパケットをチェックしてウィルスが、社内の他のセグメントに広まらない ようにしたい場合、HTTP に限らず全部のパケットを検査する。 パソコンなどの台数がそ んなたくさんないとかであれば、IPS設定のめんどうがなくていいだろう。 * 参考 こんなんがネットを検索したらあった。侵入防御機能の FortiGateのドキュメントである。 「FortiGate IPS User Guide Version 3.0 MR7, September 16,2008」62ペ−ジ。PDF フ ァイル。内容はドキュメントの文中の設定画面を見ると FortiGate-80C MR1 Patch2 とほ ぼ同等のようである。IPS sensors の章を読めばよさそうである。 自分のパソコンの FortiGate の見積りなど入れたフォルダを見た。 いつの間にかどこか らか入手した日本語のドキュメントがあった。「FortiGate管理ガイド FortiGate バ−ジ ョン 3.0 MR4」485ペ−ジ。FortiGate_Administration_Guide_3.0_JP.pdf 9,096 KBで フォルダのファイルの更新日時は 2011/02/16 18:39 になっていた。 (3) FortiGate と FortiAnalyzer のログ * FortiGate と FortiAnalyzer のログ `2a/12〜`2b/01 拠点には FortiGate と FortiAnalyzer も設置してログと内容を常に取っておくか。これ ら一杯になっても順繰りになっていく。 FortiAnalyzer を FortiGate のLANポ−トに 繋いでおけば他のパケットは流れて行かない。それでもいいが、普段はログだけにして何 か問題が起きた時に本社からこれらの装置にアクセスして、内容を取るように変更するか。 拠点でパソコンが数台しかないなら別だが、10台やそこら何やかんやあるだろう。内容 まで取るとすると FortiGate の 50B や 80C ぐらいでは FortiGate の処理能力が一杯に なるのでないか。 パソコン利用者からは何か遅いぞということになる。 FortiGate がボ トルネックになったのではダメである。普段はログだけにした方が無難だと思う。 拠点 FortiGate にログインしてもログを見ることはできる。 FortiAnalyzer で見るべき ログは。どういうログをどちらで取るか。 ログは FortiGate-50B は数百行しか取れなか ったが、80C は結構とれているように見える。FortiAnalyzer を拠点に設置しない場合は 80C を設置しておけば、そこそこの量のログを取って監視するようにできる。 FortiGate が保存できるログの量は 80C ではやはりしれている。中身は取れない。 出る レポ−トも簡易なものである。やはりログをある程度取って、グラフもしっかりと出した いならば FortiAnalyzer が必要である。それなりの量のログのパケットは流れる。 設置 業者の技術者の人も具体的にどれだけの量が流れるかは定かではないようだった。 FortiAnalyzer-100C は3つのセグメントを対象にできるようにポ−トは3つある、port1 〜3。本社のレイヤ3スイッチに幾つかのセグメントがあって、 それを監視したいという 場合に使う。どうやら基本的にはLANでの監視に用いること。国内のWANの拠点で回 線速度もままあるという状況での利用までだろう。 海外に FortiGate を設置してパケットを日本に設置した FortiAnalyzer に送る。ワ−ル ドワイドなWAN監視体制を敷くことはいかに。一見するとなかなか格好いい話だが。無 理して日本までログや中身のパケットを飛ばすことはない。購入業者の技術者がそう話し てくれた。確かにそうだと思った。こういう生きたアドバイスが実際に役立つのである。 海外のWAN拠点はやはり回線速度が 512Kbps とか 1Mbps とか、そんな状況ではログを 日本の FortiAnalyzer に飛ばすのは難しいのでないか。 パケットの量が不明で通常の通 信の妨げになりかねない。海外では FortiGate の傍に FortiAnalyzer も設置して、日本 からWebアクセスでグラフなんかを見ればいい。100C なら実質価格20万円で買える。 それでも拠点の FortiGate のログと中身を本社の FortiAnalyzer に送って、手元で問題 の原因をじっくり解析したいということもあるだろう。 その際の拠点 FortiGate のログ 等を送る操作は、本社から自分でやるということにしたい。まとめると普段は FortiGate のログだけ利用、次に拠点 FortiAnalyzer 利用、そして本社FortiAnalyzerの利用である。 * Forti の DLPログとア−カイブを追いかける `2b/01 << メ−ルとWebのアクセスのログ >> 1) [ファイアウォ−ル]->[プロテクションプロファイル] の "Test1" プロファイルで。 ▼{デ−タ漏洩防止センサ} の "〆[Content_Archive ▼]"。 2) [ファイアウォ−ル]->[プロテクションプロファイル] の "Test1" プロファイルで。 ▼{ロギング} の "デ−タ漏洩防止センサ" の "DLPロギング □"。 3) [UTM]->[デ−タ漏洩防止]->[センサ−] の "Content_Archive Test1" の編集。 ▼{ル−ル} 〆All-Email ア−カイブ、〆All-HTTP ナシ。アクションnone、重要度1。 << FortiGate で出たログ >> [ログ&リポ−ト]->[ログアクセス] の [DLPログ ▼]、[FortiAnalyzer] と [メモリ] 共 メ−ルとWebのログあり。 ↑ FortiAnalyzer を外したら [FortiAnalyzer] のログは出なくなった。 [ログ&リポ−ト]->[DLPア−カイブ] の [Eメ−ル] はログあり、[ウェブ] はログなし。 ↑ FortiAnalyzer を外したら[Eメ−ル]のログは出なくなった。 << FortiAnalyzer で出たログ >> [ログ]->[ログ表示]->[リアルタイム] の [DLP ▼] はログナシ。 [DLPア−カイブ]->[Webア−カイブ] はログナシ。 [DLPア−カイブ]->[メ−ルア−カイブ] はログとメ−ル本文あり。 ↑ 3) の "〆All-Email サマリ−のみ" にしたらログだけになった。 * FortiGate のメモリの中のログを消すには `2b/01 [ログ&リポ−ト]->[ログアクセス] の {メモリ} の中のログを消すメニュ−がない。 [システム]->[ステ−タス] の {CLIコンソ−ル} # exec log delete delete logs of one category delete-all delete all logs delete-rolled delete rolled log file(s) display display filtered log entries filter filter fortianalyzer fortianalyzer list list current and rolled log files info roll roll log files now # exec log list Available categories: 10: application control 9: dlp 6: content 5: spam 4: ids 3: webfilter 2: virus 1: event 0: traffic # exec log delete ids これらダメ、効かない。個別にログ # exec log delete 4 を消せると思うが、できそうにない。 # exec log delete-all これでメモリのログは全部消える。 This will delete all local logs Do you want to continue? (y/n)y # exit * FortiGate のメモリのログ `2b/12 とあるアジアの拠点に設置した FortiGate-80C ( MR1 Patch2 ) でのこと。1ヶ月程ログ が取られたところの様子。WANでの拠点用UTMということで設置。日本の本社からア クセスして見ているところ。100msec 位の遅延だが別にもたもたした感じはない。向こう から日本へのパケットはファイアウォ−ルで制限しIPS機能もオンにして不用意なパケ ットが日本に流れ込まないようにする。その逆も勿論なので双方向にIPSチェックを行 なう。IPSはログだけ取ってブロックはせず、しばらく誤検知を見ているというところ。 [ログ&リポ−ト ] メインメニュ−画面。 [Log環境設定 ] すぐ下を見られたし。 [ログアクセス ] メモリという画面が出る。 [IPS Packet Archive] 何もなし。 [隔離ファイル ] 何もなし。 [リポ−トアクセス ] パケットの種別で色づけ。 Browsing が9割だった。 [ログ&リポ−ト]->[Log環境設定]->[ログ設定] ------------------------------------------------- | ログ設定 | |-----------------------------------------------| | ▼ □ Remote Logging & Archive | | ■ FortiAnalyzerサ−バ設定 | | ■ FortiGuard Analysis & Management Service | | ■ リモ−トSyslogサ−バ設定 | | ----------------------------------------------| | ▼ 〆Local Logging | | 〆メモリバッファ設定 | "Local Logging" にチェックす | 最小ログレベル [情報 ▽] | ると "メモリバッファ設定" も |-----------------------------------------------| チェックが入る。 "メモリバッ | ( 適用 ) | ファ設定" のチェックを外すと ------------------------------------------------- [情報 ▽] メニュ−が消えた。 [ログアクセス]->[メモリ] 画面のログタイプをクリック。ここでログ無しのは、"アプリ ケ−ション制御ログ"、"DLPログ"、"Emailフィルタログ"、"ウェブフィルタログ" だった。 "アタックログ" は8個のログ。"アンチウィルスログ" は7ペ−ジ出ていた。 "イベント ログ" は Adminstrator でログインしたとかタイムアウトしたとか。"トラフィックログ" は16ペ−ジでていた、下の (b)と同じログが出ていた。装置のメモリに保存されるのは どうも16ペ−ジ分しかないようである。内容を見たら1ペ−ジから16ペ−ジ同じ日付 けのログだった。そのまた一部が [ダッシュボ−ド] で表示されるログのようである。 ※もっとたくさんのログを保存できると思っていたのだが。装置を手元に置いてのテスト ではそんなにいろいろアクセスする訳ではないので、出るログも少なく分からなかった。 [システム]->[ステ−タス]->[ダッシュボ−ド] 画面右の {▽ログとア−カイブの統計} ------------------------------------------------------------ |[ログとア−カイブの統計] 取得開始 2011-11-3 10:20:35) | |----------------------------------------------------------| |"DLPア−カイブ" -- 一日平均 0 B 最後のリセットから | | HTTP 1232386 URLにアクセス [詳細] (r) | どのパソコン、IP | HTTPS 17847 URLにアクセス [詳細] (s) | アドレスからどこの | Eメ−ル 2237 メ−ルを送信 [詳細] (a) | サイトにHTTP,HTTPS | 6430 メ−ルを受信 | アクセスしたか記録 | | | される。メ−ルも。 | 合計 0 B 最後のリセットから | |----------------------------------------------------------| |"ログ" -- 一日平均 2 MB(10807メッセ−ジ)最後のリセットから| | トラフィック 0 許可したトラフィック [詳細] (b) | | 520319 違反したトラフィック | | アンチウィルス 0 ウィルスを検出 [詳細] | | IPS 8 アタックをブロック [詳細] | IPSはログを取る | Email 0 スパムを検出 [詳細] | だけで止めてはいな | ウェブ 0 URLをブロック [詳細] | い。最新のシグネチ | DLP 0 デ−タ漏洩を検出 [詳細] | ャではない?ので検 | | | 知が少ないのかも。 | 合計 73 MB(520594メッセ−ジ) 最後のリセットから | |----------------------------------------------------------| |Шトップセッション | ------------------------------------------------------------ (a) をクリックして出たの (r)のHTTP と (s)のHTTPS も同じく (最大96)。 ------------------------------------------------------------------------ |Eメ−ルコンテンツア−カイブ - Microsoft Internet Explorer | |----------------------------------------------------------------------| | 最新のトランザクション (最大96) | |----------------------------------------------------------------------| |(null) From To 件名 | |----------------------------------------------------------------------| |いつ誰から誰へのメ−ルか出ている。件名は =?gbsa232Ngsa34==?= こんな風 | | | | |----------------------------------------------------------------------| | 長期間ア−カイブしたDLP情報は FortiAnalyzer GUIから利用できます。 | | −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− | | ( 閉じる ) | ------------------------------------------------------------------------ (b) をクリックして出たの ここでは許可したトラフィックは取られてない。 -------------------------------------------------------------------------------- |直近に記録されたトラフィック - Microsoft Internet Explorer | |------------------------------------------------------------------------------| | 最新のトランザクション (最大20) | |------------------------------------------------------------------------------| |日時 レベル プロトコル サ−ビス ソ−ス デスティネ−ション 送信 受信| |------------------------------------------------------------------------------| |2011-11-05 14:18:20 warning 6 8237/tcp 1.1.1.1 2.2.2.2 0 0 | | | この間19個のログがある | |------------------------------------------------------------------------------| | ( 閉じる ) | -------------------------------------------------------------------------------- 拠点側からは HTTP, HTTPS, SMTP, POP3など必要なパケットしか通さないように設定した。 それで 8237 番などという変なパケットはファイアウォ−ルで止めたということ。拠点の ほぼ同じIPアドレスからインタ−ネットのIPアドレスいろいろに、30秒とかへたす ると1秒に3回とか UDPとTCP パケットがでている。[ログ&レポ−ト]->[ログアクセス] の[トラフィックログ] で見るとレベル warning、サブタイプ violation、ID 3 と16ペ −ジのログほとんどで出ていた。[ログ&レポ−ト]->[ログアクセス]の[アタックログ]は 約1ヶ月の監視でも8コしかでてない。レベル alert、サブタイプ signature、ID 16384 で拠点パソコンのIEブラウザがインタ−ネットのどこからか ActiveXを取ってくるのに 引っかかった。これはそんなに問題ではないだろう。 [アタックログ]はIPSで止められるのが記録されるが、アタックログが少ないのは許可 したパケット以外はファイアウォ−ルが止めるので、その中にIPSで止められのも含ま れている可能性があるということ。 多分 FortiGate ではパケットはファイアウォ−ルで 先ず評価し、次にIPSで評価するようになっていると思われる。IPSの方が評価の負 荷は大きいと思われるので、順当な評価の順番と言える。前にテストした際、ファイアウ ォ−ルとIPSのオン/オフで出てくるログが違った。どうして違ってくるのか、これで 分かった。[UTM]->[侵入検知] のメニュ−には [DoSセンサ] というのもある。SYN flood シンフラッド等の DoS攻撃を防御する。これもファイアウォ−ルの前の評価と思われる。 (4) FortiGate で RDP 接続のユ−ザ認証 `2b/01 * ユ−ザ認証がない場合の確認 << これはOK >> 2533t は User ログオン。FortiGate のWAN側に 2533t、LAN側にノ−ト RDPサ−バ。 [ファイアウォ−ル]->[ポリシ−]->[ポリシ−] -------------------------------------------------------------------------------- |ステ−タス ID 送信元 宛先 スケジュ−ル サ−ビス プロファイル アクション |------------------------------------------------------------------------------- |▽internal -> wan1(1) |------------------------------------------------------------------------------- | | |------------------------------------------------------------------------------- |▽wan1 -> internal(2) 以下ル−ルなし |------------------------------------------------------------------------------- | 〆 5 all all always ●ANY ACCEPT □ ■ ---------------------------------------- 2533t XP |リモ−ト デスクトップ接続 | △User ▲root |--------------------------------------| |ログオン ----------- |ログオン | コンピュ−タ名: [ 192.168.1.9 ▼] | --------------|FortiGate|------------- | ユ−ザ−名: 指定されていません | .1 WAN-----------LAN .9 | 接続時には資格情報を要求されます。 | | | ForiGate は透過型で設置。ネットワ−ク | [接続][閉じる][ヘルプ][オプション] | IPアドレスは 192.168.1.0。 ---------------------------------------- * ユ−ザ認証をしようとすると << だめみたい >> RDP 接続しようとするのが反応なし。ファイアウォ−ルとアプリケ−ション制御のメニュ −がこなれてない気がする。どうもぐちゃぐちゃしている。直感的ではない。下記の順番 でル−ルが適用されるというのか。 1) 大きなル−ルとしてポリシ−で、全部のパケットを通すように許可しておく。 2) その際に指定したユ−ザだけ通すようにする。ユ−ザは Group1 所属の ikken。 3) 次に細かなル−ルとして、アプリケ−ション制御で RDP だけ通すようにする。 ※[ユ−ザ]->[オプション] にはプロトコルサポ−トで HTTP,HTTPS,FTP,Telnet しかない ので RDP はやはり対象外ということか。新しいファ−ムウェアではどうなっているか。 [ファイアウォ−ル]->[ポリシ−]->[ポリシ−] ------------------------------------------------------------------------------- |ステ−タス ID 送信元 宛先 スケジュ−ル サ−ビス プロファイル アクション |------------------------------------------------------------------------------ |▽wan1 -> internal(2) |------------------------------------------------------------------------------ | 〆 5 all all always ANY Test2 ACCEPT §☆ ↑ 編集 ル−ル5を編集。"〆アイデンティ−ベ−スポリシ−を有効にする"。 -------------------------------------------------------------------------------- |ユ−ザID ユ−ザグル−プ スケジュ−ル サ−ビス プロファイル トラ.. | | |-----------------------------------------------------------------------|------| | 1 Group1 always ANY Test2 |§ ☆ | -------------------------------------------------------------------------------- ごみ箱 編集 [ファイアウォ−ル]->[プロテクションプロファイル] の Test2 {アプリケ−ション制御} の所は "〆[ Thin-Client Test ]"。ここにはごみ箱§が出てないがいいのか。 [UTM]->[アプリケ−ション制御]->[ブラック/ホワイトリスト] 名前 [ Thin-Client Test ] リストタイプ ●ブラックリスト(未定義のアプリケ−ションをすべて許可) ------------------------------------------------------------------------- | ID カテゴリ アプリケ−ション アクション ロギング | | |----------------------------------------------------------------|------| | 1 ip-protocol RDP パス 〆 | § ☆| ------------------------------------------------------------------------- ↑ 編集をクリックすると数秒だけ、へたら長いメニュ−が出てくる場合がある。 * RDP でなく SSL-VPN でユ−ザ認証を使うのは "20-6. シンクライアントで安全安心, (4)シンクライアントのテスト,*モバイルシンクラ イアントについて閃いた"。2011年1月半ばのこと。 これに基づき必要なテストだっ た。半日テストしてみて、FortiGate ではできそうな感触を得た。しかし FireWall-1 で もできるか確認してみないといけない。まだしばらくは FireWall-1 を運用しないといけ ないので。半年ぐらいか。昔 FireWall-1 でユ−ザ認証の機能をだいぶ試してみたことが ある。ほとんど挫折したのでなかったか。挙動が不審でやってられないということだった ような気がする。実際問題、実稼働している FireWall-1、触りたくないというのが本音。 a△ b△ A,B は社内のディスク付きパソコン。 ________|___|__ a,b はパソコン A,B ユ−ザ用のシンクライアント。 / \ \_________________/ a,b から SSL-VPN へは HTTPS。 : SSL-VPN から A,B へは RDP。このアクセスで FireWallで : ○仮想IP ある FortiGate でユ−ザ認証をさせたい。 : | -------------------- とりあえずは共通アカウントでよろしい。できれば個人毎 | ●SSL-VPN のアカウントにした方が望ましいが。ユ−ザ管理サ−バは | |FirePass RADIUS か LDAPで、やはり LDAP がいいだろう。 Fire□-------- Wall| A△ B△ RDP ではユ−ザ認証はできないかも知れない。その場合は | | | FortiGate のアプリケ−ション制御機能を用いるのはどう -------------------- か。カテゴリ[ ip-protocol ▼] に RDP は入っている。 * FortiGate で決まりなのだが `2b/01 1つ問題がでてきた。RDP のことだ。ファイアウォ−ルで FortiGate だと RDP パケット を通す際にユ−ザ認証ができない。 納入されたままの FortiOS でいろいろ試してみたが できなかった。 ユ−ザ認証ができる対象は HTTP,HTTPS,FTP,Telnet だけに限定されるよ うである。外のパソコンがインタ−ネットにある場合は、社内のパソコンにアクセスする のに何らかの制限をかけたい。 どうしても RDP でのユ−ザ認証をファイアウォ−ルでや りたい。FortiOS を最新バ−ジョンにしたらできるのか。今できないとしても対応予定は あるのか。まるで対応は不明ということなら、 FireWall-1 はできるのか確認しなければ ならない。WANの中で本社から支社などのパソコンをリモ−トで操作したいということ なら、アクセスできる本社のパソコンを限定することで逃げてもいい。限定にはパソコン のIPアドレスか、そのパソコンがあるセグメントのネットワ−クIPでもいいだろう。 アップしたファ−ムウェアではどうだ。できるようになったか確認のこと。 パソコンの個体認証をするのはできればやめたい。個体認証の装置の保守費用が結構する というのもあるが、どうも気分的に。SSL-VPN の機能で端末内にある特定ファイルの存在 で一応、端末を認証するようにするか。ファイアウォ−ルを RDP通信する際に、ユ−ザ認 証をやってみるか。それぞれ銘々のユ−ザのパスワ−ドにするか、それとも共通のパスワ −ドでいいとするか。共通のパスワ−ドでいいと思う。何か問題がおきたら共通パスワ− ドをすぐに変更するという運用ル−ルでもいいと思う。社内のパソコンに RDP接続した際 にパスワ−ドを入れる。iPad 関係のセミナ−のデモで RDP 接続して、社内のパソコンを 使っているのを見た。その iPad の通信は Cisco のVPN製品でのみ保証している PPTP や IPSec でだった。パソコン、シンクライアント、スマ−トフォン、iPad など。リモ− ト接続したい端末がどんどん増えてきている。ここから2011年の10月半ば追記、今 開催されている東京のIT関連の展示会では "私物解禁" がテ−マになっている。 (5) FireWall-1 から FortiGate への移行 `2b/08〜 -------------------------------------------------------------------------------- この検討のために、先だって FortiGate のファ−ムウェアを最新にアップをしておく。 -------------------------------------------------------------------------------- * FortiGate 80C のファ−ムウェアをアップ FortiGate 80C は2011年2月に購入したままで、その時点でのファ−ムウェアが載っ ている。v4.0,build0192,091222 (MR1 Patch2)だった。このままでもいいような気もする が、そう言えばログのパケットが大量に出るバグみたいなことが起こっていた。それにア ジアの拠点を IP-VPN で国内とWAN接続するのに、 拠点に FortiGate 80C を設置する。 これからの設置なので、ファ−ムウェアは昨今のになるはずである。やはりファ−ムウェ アは新しいのにした方がいいだろう。できれば同じバ−ジョン、パッチのにしたいがそこ までは分からない。一応予測として近いバ−ジョン、パッチのを入れることにする。よく 見ると頻繁にパッチがでてる。こんなに出ていて大丈夫かと思う。ファ−ムウェアをアッ プするには2つメニュ−がある。ファ−ムウェアは装置に2つ入れることができるみたい。 これでもしもの時はダウングレ−ドができるみたいなのだが、本当にできるのか。 [ C社のサイトで出ていたファ−ムウェア ] FortiGate MR 2 (build303) 2011年2月22日リリ−ス これら3つのみ FortiGate MR 1 (build205) 2010年10月27日リリ−ス サイトに出てた。 FortiGate MR 1 (build194) 2010年6月8日リリ−ス FortiGate v4.0 MR 2 パッチビルド3(build303)は v4.0 MR 1 パッチビルド6(build 205) のマイナ−バ−ジョンアップ。 FortiGate v4.0 MR1 (build 194) 以前のバ−ジョンが載 っている装置は、先ず build 205 にアップすること。 C社のサイトからダウンロ−ドし ようとしたけど、アカウントの登録をしてなかったみたい。それでS社のサイトからダウ ンロ−ドすることにした。いやいや結果的にそれでよかった。FortiGate 80C を購入した のはS社からだった。FortiGate 50B の方は成り行きで、C社から買ったのだった。 [ S社のサイトから取って来ることにした ] S社のサイトでは FortiOS をダウンロ−ドするメニュ−があるが、 まるで説明が出てな かった。Fortinet OS 4.0MR2P7 Upgrade、Download for FortiGate-80C が最新のようで ある。英語のリリ−スノ−トはある。 FGT_80C_v400-build205-FORTINET.out、17.1MB を ダウンロ−ドしてパソコンに入れた。ブラウザでの FortiGate 画面で、 このファイルを 指定して入れ込む。やってみたら何のことはない、すぐに終わったみたい。 [システム]->[ステ−タス] の [ダッシュボ−ド] の画面にて ファ−ムウェアバ−ジョン v4.0,build0192,091222 (MR1 Patch2) [アップデ−ト] ↑ メニュ−の {参照} からファイルを選択して。 ---------------------------------------------------- |ファ−ムウェアップグレ−ド | |--------------------------------------------------| |ソフトウェアがアップロ−ドされアップグレ−ドが始ま| |っています。数分後にブラウザをリロ−ドしてください| ---------------------------------------------------- しばらくしてブラウザを再表示した。いつものログイン画面がでてきた。特に問題はなし。 ファイアウォ−ルのポリシ−もそのままだった。 次に v4.0 MR 2 パッチビルド3 をいれ てみた。FGT_80C_v400-build303-FORTINET.out、22.5MB。あれ、全然画面が違っているぞ。 反応も遅い、おかしい。80C の電源を切って再起動してみた。結果は変わらなかった。パ ソコンは Windows 2000 ProfessionalでIE6、だからか。日本語表示になっているから か。英語表示にしてもぐずいのは変わらなかった。Windows XP ならどうか。 停電でファ−ムウェアのイメ−ジが壊れる場合があるというアナウンスがでている。いき なり電源を切ってはいけないとのこと。[システム]->[ユニットオペレ−ション]のシャッ トダウンをやること。何やらコメントをいれよとでてくる。シャットダウンする理由とか。 そのまま画面が変わらない。止まったのかどうなのか分からないが止まっていた。80C の 後ろの電源コネクタを抜いて止める。80C には電源スイッチがない。電源スイッチがない んでは主ファイウォ−ルとしては、やはりそれだけでも採用はできないな。 * ファ−ムウェアをアップしてみた [User]->[Authentication] の画面には、これまで同様 HTTP,HTTPS,FTP,Telnet しかなか った。新しいファ−ムウェアでも RDP は対象外となっていた。 それにしてもブラウザで の画面の反応が遅い。Windows 2000 で遅い。Windows XP ではどうか。 XP だとそこそこ 早い。Windows 2000 では遅くて、何がしか設定できる状態ではない。 ブラウザはIEの バ−ジョン7以上を使ってくれとのことである。2011年9月にそう聞いた。いつまで も古いバ−ジョンを使っていてはダメということ。 Windows 2000 のデスクトップのパソ コンでIE6を普段使いにしているのだ。ハンズオントレ−ニングに参加させてもらえる ことになった。ノ−トパソコン持参で Windows XP SP3 でIE7以上のこと。IEは特に 理由がない限り今はバ−ジョン8でいいそうな。自宅のノ−トパソコンが XP SP2 でIE 6だったのを2日間で XP3 にしてIEもバ−ジョン8に上げました。やればできる!。 * 主ファイウォ−ルとしての FortiGate の設定は FortiGate でのファイアウォ−ル設定の参考がないか。インタ−ネットをちょっと探せば 幾らでも設定例がでてきそうなものだが、ありそうでない。どうも気持ちとしてどうした らいいのか分からない。どうもいかん、一つブレ−クスル−が必要だ。 [ファイアウォ− ル]->[ポリシ−] には3つある。{ポリシ−},{DoSポリシ−},{Snifferポリシ−}。{DoSポ リシ−} と {Snifferポリシ−}は使うべきか。先ずはどういう機能なのか分からなくては。 [ファイアウォ−ル]->[トラフィックシェ−パ−] は使うべきか。 これからは必要かも知 れない。YouTube を好きなように見させていたら他のパケットに影響してくる。現に昼休 みなんか、インタ−ネットのサイトを表示するのが遅くなっている。YouTube パケットを 絞るのをやってみるか、やってみよう。動画の表示するのを止めてしまうというのではな く絞る。これならそうそう気付く輩もいないだろう。IT管理者は制限、やってよし。 [UTM] の {デ−タ漏洩防止} と {アプリケ−ション制御} は使うべきか。 {デ−タ漏洩防 止} は機能を確認するだけに留める。他の人には特に、こんな機能があるよとは話さない でおくこととする。こういうのは個別対応になっていく可能性が大きい。全社的に丸秘と ドキュメントに書いたのを、漏洩防止対象にするとか決めることができればいいが。そう でなければ個別にこういうキ−ワ−ドうんぬんを止めてくれとなってしまう。 ログはどうするか。FortiAnalyzer は使うべきか。 ログは FortiGate 特有のログは勝手 に取られるので構わない。システムログをどこか別なマシンに転送するかというのは、そ こまでやらなくていいだろう。 FortiAnalyzer も設置したい場合は FortiGate のポ−ト に直接つなげてしまえばいい。FortiAnalyzer 装置をそこに持って行って、使い回しにす るのである。へたにネットワ−クにログのパケットを流さないのでいいかも。 * FortiGate のHA構成について SI業者のエンジニアにこのHA構成について今少し聞いた。L2スイッチは物理的には3 台いるのだが、1台のスイッチングハブでVLANを切ってセグメントを分ける手もある という。なる程そういう手もあったか。ラックにこれらを入れるとなると、4ポ−ト位の の小さなハブに金具をかまして1U分とるというのは、いかにも無駄ぽい気がする。ハブ それぞれで3台使うのは直感的に分かりやすいのは確かだが場所をとる。VLANの設定 をした予備のハブを用意しておけばいいような気がするが。気になるのはIPアドレスを どう付けるか。ファイアウォ−ルは1台あるとみなして付ければいい。従来のFireWall-1 で付いているIPアドレスのままでよし。物理的には6ヶ所のイ−サネット・インタ−フ ェ−スがあるが、IPアドレスもMACアドレスも FortiGate が仮想的に付けるらしい。 FortiGate のHA構成は Active-Standby 構成しかとれない。 Virtual MAC、Virtual IP という機能がある。ProxyARP の機能が Virtual IP となる。 ハ−トビ−トのインタ−フ ェ−スにもIPアドレスは付くが、FortiGate の内部的な話でこれらのIPアドレスは表 面的には出てくることはないという。2台ある FortiGate のどちらに入って画面、 設定 しているかぱっとは分からないという。Active の方の画面に入っているのだが。 どっち の FortiGate かは画面のメニュ−からシルアル番号を見れば分かるということ。 HAの 話をSI業者のエンジニアに聞いた際、Active Directory連携のことをちらっと言ってい た。Active Directory に FSAE ソフトを入れれば FortiGate で対応できるとのこと。と もかく今度入れるのはHA構成にして Active Directory は見ない、使わないです。 * インタ−ネット回線への冗長化 FortiGate でWANの2重化ができるそうだが、どうできるのか。一応調べてみよう。ま あSI業者さんに聞くだけなのだが。FortiGate-80C にも WAN1 と WAN2 の2ポ−トがあ る。何と安い機種の FortiGate-50B にでさえも、見たらWANが2ポ−トあった。 多分 DMZ上にWWWサ−バなどがなければ、すぐにWAN回線の2重化ができるのだと思う。 Active-Active でやれるそうな。自社Webサ−バとメ−ルリレ−のサ−バをクラウドサ −ビス利用にすれば問題なくなる。SSL-VPN 装置は割り切って、使えなくなってゴメンと 言うか、SSL-VPN 相当のクラウドサ−ビスにこちらも移行してしまうかである。 「日経コミュニケ−ションズ」2011/06, P.50〜61, "ソリュ−ションクロ−ズアップ ファ イアウォ−ル/UTM"。従業員5千人規模、UTMは2重化にするのが条件で。ソニック ウォ−ルの NSA E8500、チェックポイントの UTM-1 3078、 パロアルトネットワ−クスの PA-5020、FortiGate-620B で、驚くべきはチェックポイントでの費用、2台で980万円、 24時間オンサイト保守270万円。プロバイダを3社使ってインタ−ネットへのアクセ スを分散する絵が出ているが、そこをどうするかは書かれていない。他社の提案でも結構 な費用である。これまでの同じ企画の記事を見ても、見積り費用はかなり高目だと思う。 * ポリシ−の移行の注意は {ポリシ−} の設定が FireWall-1 のポリシ−とどう違うのか。FireWall-1 の現状のポリ シ−を全部書き出すこと。そして実際には使われていない、不要になったル−ルなんかな いか調べる。FireWall-1 ではパソコンなどをオブジェクトとして登録して、 ポリシ−の ル−ルにいれて適用する。FortiGate でも同じようにオブジェクト相当のを登録するのだ ろうか。FortiGate にはだいぶ触ってきているのに、何となくそこのところが漠然として いる。FireWall-1 では一杯ホストのオブジェクトを作っているのだが、 ポリシ−のル− ルに無いのがあるのでないかと漠然と思っていた。全てのオブジェクトをル−ルに記載さ れているか調べてみたら、ちゃんと記載されていた。これが分かったことで FortiGateで どうポリシ−のル−ルを作っていけばいいか分かってきた。ところでポリシ−とル−ルの 使い分けは?、意味は?。確認しておくこと。`2b/10 * FireWall-1 のル−ルの特徴 `2b/10 下記のル−ルの1番で SOURCE を Any としている。この Any というのは、内外区別ない。 パケットはファイアウォ−ルの装置の中に入ってしまったら、外部から来たのか内部のパ ケットだったのか分からないということ。初期のファイアウォ−ルやパケットフィルタリ ングではそういうことだった。ある時期からどこからパケットが来たのか判別できるよう に、インタ−フェ−スに Trust/Untrust と付けて区別するようになった。FireWall-1 は 初期のポリシ−のル−ルの付け方をそのまま踏襲しているということである。このことは ブラウザをプロキシ利用にする際に、DNSのパケット(domain-udp,53/udp) がどう働く か改めて調べて分かったことである。 FireWall-1 でDNSのパケットに関するル−ルを 見ていって、FireWall-1 でどのようにル−ル決めしているか理解する糸口にしてみる。 NO. SOURCE DEST SERVICE ------------------------------- 1 Any DNS domain-udp 自社のDNSに外から名前解決のためにアクセス。 ------------------------------- 2 DNS Any domain-udp 自社のDNSが外のサイトの名前解決にアクセス。 ------------------------------- 3 DNS-S DNS domain-tcp 自社のDNS情報の2次DNSへのゾ−ン転送用。 ------------------------------- 4 PC1 Any http 内部のパソコンを登録して外のサイトにアクセス。 ------------------------------- 5 Proxy Any http 内部のパソコンのブラウザでプロキシ指定で外へ。 ------------------------------- 6 UTM Any domain-udp この後のル−ルは明示して全パケットを通過禁止。 ------------------------------- 7 PC2 Any http dns dns は domain-udp と domain-tcp の組み合わせ。 内部ネットワ−クのパソコンは名前解決にDNSのIPアドレスは、DNS のを指定してい るものとする。DNS はDMZ上のDNSサ−バのマシン。 ル−ル1番は外部の任意のマシンからDNSのマシンに 53/UDP パケットを通過許可する。 内部からも任意のマシンから許可する。内部からは対象でないといつからか思っていた。 ル−ル4番には domain-udp を入れなければと思っていたが不要。1番のル−ルで包含さ れる。PC1 は [Network Objects]->[Node]->[Host] で "Hide behind IP Address" 指定。 ル−ル5番は内部ネットワ−クのパソコンがインタ−ネットのWWWにアクセスするため。 名前解決は Proxy から DNS へ問い合わせる、これは1番のル−ルに包含されている。 ル−ル6番は内部ネットワ−クの部署や拠点に設置した FortiGateなどのUTMが、シグ ネチャをインタ−ネットから取るなどするため、装置デフォルトの指定DNSにアクセス。 ル−ル7番は内部ネットワ−クのパソコン PC2から任意のWWWにアクセス。DNSサ− バは自社 DNS だけでなくどこのでも利用できるようにした。53/TCP も通してみた。 ファイル共有を利用する場合のこと。FortiGate には関連プロトコルの定義は TCP/139の SAMBA しかない。他の番号の関連パケットは自分でサ−ビスを定義して加える。 * 最終的に選んだ FortiGate 製品は `2b/10 2011年の残暑の頃の話で 310B の後継機はアメリカでは出ているようなことを聞いた。 まだまだ日本国内での販売は先になる模様である。少なくとも年内には出て来ないだろう。 2011年中に設置したいのなら 310B を選択するしかないだろう。9月、後継機は日本 ではまだ出そうにない。アメリカではすでにリリ−スされている。向こうのホ−ムペ−ジ には製品が紹介されている。国内でリリ−スされるのは、扱うSI業者が半年ぐらい製品 の動作検証をしてからになる。FortiOS でもバ−ジョン4がリリ−スされるまで、1年ぐ らいかかかったのでないか。Fortinetのホ−ムペ−ジ、日本語サイトで製品はラインナッ プされているのに、SI業者のホ−ムペ−ジのサポ−トペ−ジにOSがダウンロ−ドでき るようになるまで。日本でその新製品が販売になるのを待っていたら来年になるぞ。 ということで選んだのは FortiGate-310B。そして、 もう十分実績があると思えるHA構 成にする。FortiGate-310B 2台、FireWall-1 から移行計画それに設置設定の費用など含 めて全部で500万円もあればいいか。SI業者と詰めのやりとりをしている際、見積り に 310B-DC とか書いてあった。買うのは 310B でいい、 こういう細かなことも自分でし っかりチェックすること。310B-DC は直流電源用である、ぶっつけ本番だったりしたら当 日になって困ったということになる。ライセンスはファイアウォ−ルだけにした。IPS 機能やもろもろ他のセキュリティ機能は使わない、ライセンスそのものも買わない。本社 メインのファイアウォ−ルは、ファイアウォ−ル機能だけ。シンプルに運用するものとす る。多分それだけでも実際の変更作業は結構、大変なものになると思われる。 FortiGate-310B 10/100/1000 Mbps 10ポ−ト。AC電源 100-240VAC, 50-60Hz,8A?。 AMC を装置可能。 AMC( Advanced Mezzanine Card ) は4ポ−トの内 臓用ハブモジュ−ル。 ファイアウォ−ルと IPSec VPN のスル−プッ トを上げる。製品名は ASM-FB4、4 Port GigE FortiASIC モジュ−ル。 FortiGate-311B 310B とは奥行きも重さも異なる。冗長電源可能。AMCは装置できない。 付属ロ−カルスレ−ジ(FSM-064)、ベ−スシステムスレ−ジ 64GBとも いう。FSM( Fortinet Storage Module )。SSD のディスクを搭載でき るということ。SSD か HHD 搭載機種はファイル高速化機能が使える。 FortiGate-310B-DC DC電源。48V DC(ノ−マル)。`2b/10にとあるSI業者から見積りを 取ったら 310B-DC と書いてあった。 何だと思い調べたら直流電源用 だった。デ−タセンタ−用なんだと。見積りでは単価は200万円を 超えるけど値引きで半値強。ネットでも見たら値段はばらばらだった。 ------------------------------------------------------------------------------------ [ 付録 ] いろいろ ● FortiGate のIPS機能について `2b/12 * FortiGate-80C MR1 Patch2 での設定画面 2011年の初めに侵入防御機能を一応さわってみたのだが、どうもまだちゃんと分かっ ていない。メニュ−の構造が厄介で、しばらく触ってないと頭が混乱して分からなくなっ てしまった。ともかく設定画面のところを書き出してみた。 [UTM]->[侵入検知]->[IPSセンサ] デフォルトで5つあった。MR2 Patch3 も同じ。 ------------------------------------------------------------------------------- | 名前 | コメント | |--------------------|--------------------------------------------------------| |all_default | all predefined signatures with default setting § | |all_default pass | all predefined signatures with PASS action § | |protect_client | protect against client-side vulnerabilities @§ | |protect_email_server| protect against EMail server-side vulnerabilities @§ | |protect_http_server | protect against HTTP server-side vulnerabilities @§ ← ------------------------------------------------------------------------------- protect_http_server の編集をクリックしたのが下記。@はごみ箱、§は編集を示す。 名前を短縮表示した。タ−ゲット(タ−ゲ)、プロトコル(プロ)、デフォルト(デフォ) アプリケ−ション(アプリ)。 フィルタ:[フィルタを追加] -------------------------------------------------------------------------------- |# 名前 重要度 タ−ゲ プロ OS アプリ 有効 ログ記録 アクション カウント | |------------------------------------------------------------------------------| |1 1 all server HTTP all all デフォ デフォ デフォ 1122 @§☆★○ | -------------------------------------------------------------------------------- クリックして下記 ↑ -------------------------------------------------------------------------------- | IPSフィルタを編集 | |------------------------------------------------------------------------------| | 名前 [ 1 ] | | 重要度 ◎すべて ○指定 ■info ■low ■medium ■high ■critical 灰色 | | タ−ゲット ○すべて ◎指定 〆server □client | | OS ◎すべて ○指定 ■Other ■Windows ■Linux ■BSD ■Solaris ■MacOS| | プロトコル ○すべて ◎指定 選択で HTTP のみ | | アプリ ◎すべて ○指定 | | | | □アタッカ−を隔離(禁止ユ−ザリストへ追加) | | メソッド [アタッカ−のIPアドレス ▼] 灰色 | | 有効期限 ●無期限 ●期限あり [5 ][分後 ▼] 灰色 | | シグネチャ設定 | | 有効 ◎シグネチャのデフォルト設定を使う ○すべて有効 ○すべて無効 | | ログ記録 ◎シグネチャのデフォルト設定を使う ○すべて有効 ○すべて無効 | | アクション ◎シグネチャのデフォルト設定を使う ○すべてパス 続く | | ○すべてブロック ○すべてリセット | | ( OK ) ( キャンセル ) | -------------------------------------------------------------------------------- ※{アタッカ−を隔離}というのは、不正アクセスとして検知した通信をしばらく止めると いうことらしい。それが5分とか、しばらくでなく無期限に止めるとか。 * FortiGate-80C MR2 Patch3 で異なるところ 短縮表示: Packet Logging(Packet) フィルタ:[フィルタを追加] ログ記録(ログ) -------------------------------------------------------------------------------- |□ # 名前 重要度 タ−ゲ プロ OS アプリ 有効 アクション ログ Packet カウント | |------------------------------------------------------------------------------| |〆 1 1 all server HTTP all all デフォ デフォ 〆 × 1801 | -------------------------------------------------------------------------------- -------------------------------------------------------------------------------- | IPSフィルタを編集 | |------------------------------------------------------------------------------| | 名前 [ 1 ] | | | | | シグネチャ設定 | | 有効 ◎シグネチャのデフォルト設定を使う ○すべて有効 ○すべて無効 | | アクション ◎シグネチャのデフォルト設定を使う ○すべてパス 続く | | ○すべてブロック ○すべてリセット | | ログ記録 ◎すべて有効 ○すべて無効 | | Packet Logging ○すべて有効 ◎すべて無効 | | ( OK ) ( キャンセル ) | -------------------------------------------------------------------------------- ● Fortinet 社のファ−ムウェアについて * ファ−ムウェアのバ−ジョンについて `2f/03/e RS-232C または telnet で入って。Windows 7 パソコンで Tera Term で RS-232C にて。 # get system status Firmware Version: FortiGate-80C v5.0,build0310,150123(GA Patch 11) | 画面では 現在稼働中のファ−ムウェア FGT80C-5.00-build310 と表示された。 S社のサイトから取得した、OS 5.0.11 Upgrade。 FGT_80C-v5-build0310-FORTINET.out、26,734 KB。 2015/03/25 時点でS社のファ−ムウェアのダウンロ−ドの用意の状況。 FortiGate OS 5.0.9 | 連番で続いて OS 5.0.3 OS 5.0.2 << OS 5.0.11 << この番号に注意。0.11 は 0.1 の 1 というように解釈すること。 OS 5.0.10 << OS 5.0.1 << OS 4.0MR3P9 | OS 4.0.4 | FortiAnalyzer OS 5.0.9 | 連番で続いて OS 5.0.3 OS 5.0.2 OS 5.0.11 OS 5.0.10 OS 5.0.1 OS 4.0MR3P8 | OS 4.0.4 * FortiAnalyzer のファ−ムウェアのアップ `2f/03/E # get system status Firmware Version: FortiAnalyzer-100C v4.0,build0128,091130(MR1 Patch 2) 保守契約している会社のサイトのサポ−トペ−ジで、 Fortinet 製品のファ−ムウェアの ダウンロ−ドをした。幾つかある中で、FortiGate-80C のファ−ムウェアとバ−ジョンを 合わせるため "OS 5.0.1 Upgrade" を選んだ。FAZ_100C-v500-build0087-FORTINET.outで 27,763 KB。[システム]->[ダッシュボ−ド] 画面でファ−ムウェアの {更新} をやったら しばらくして以下のような画面がでてきた。ダウングレ−ドなんかしないけど、?。 ---------------------------------------------------------------------------- |この操作により現在のファ−ムウェアのバ−ジョンがダウングレ−ドされるため、| |幾らかの設定が消失する可能性があります。継続してもよろしいでしょうか。?? | | [ y ] [ n ] | ---------------------------------------------------------------------------- 数分してブラウザをリロ−ドしてくれと。FortiGate のファ−ムウェアはこれまででも経 験している。数分してブラウザを再表示したらそれでOKだ。それがいかにもシステムエ ラ−らしき画面がブラウザにでてきた。それから数分たっても状況は変わらず。装置を再 起動しても変わらず。まずいことになった。ひょっとするとまだダウンロ−ドが完了して なかったのかも知れない。それでシステムエラ−のような画面になったのでないか。 # show と入れたら前 # show ? # get ? # get system status は の設定がリス fasystem fasystem も show と 反応がない。まずい!。 トされた。 fmsystem fmsystem 同じ表示が。 fmupdate fmupdate サポ−トに電話したら壊れた可能性がある、コマンドでファ−ムウェアをインスト−ルす るのをやってみてもダメなら送ってくれとのことだった。サポ−トに電話する前にネット でコマンドでのやり方を調べていた。口頭でサポ−トの人と概略手順を確認してやってみ ることにした。調べたネットの検索記事はパソコンと装置を TeraTerm でRS-232C 接続し、 かつLANケ−ブルもつなぐ。ファ−ムウェアは 3CDaemon なる tftp サ−バでLAN経 由でパソコンから装置に入れると書かれてあった。3CDaemon ソフトは Windows にインス ト−ルしようとすると何か変なことをしているような感じがあり、途中でやめた。他を急 遽探して tftpd32_standard_edition v4.50 をインスト−ルしてみた、すんなり入った。 # exe reboot やってすぐに適当なキ−を叩くと特別なメニュ−が使える。 装置の電源ス イッチのオフ/オンでもいい。'G'を入れるとコマンドによるファ−ムウェアのダウンロ− ドができる。先ず tftp サ−バのIPアドレス、ロ−カルのIPアドレス、ファイル名を 記入する。tftp サ−バのマシンは Windows で該当ファイルをあらかじめ tftp サ−バで 指定したフォルダに入れておく。ちゃんとダウンンロ−ドしたのかどうも挙動が分からな い。取ってきたファ−ムウェアで何度もトライした。最初に入っていたバ−ジョンのファ −ムウェアをネットから取ってきてやってみた。バ−ジョンには変わらなかった。バ−ジ ョンは # exe reboot か起動プロセスの最後の方で出ていた。 ふとブラウザを IE でやっていたのを Firefox でやってみた。 すんなり FortiAnalyzer の画面が出てきた。Firefox はバ−ジョンは 36.04で最新バ−ジョンらしい。何んてこっ た。最初の一発目のインスト−ルでちゃんとやれていたのだ。へぼなブラウザのせいでど んだけ時間を取られて、慌てさせられたか。まあ装置をサポ−トに送らなくてよかった。