25-2. サンドボックス製品の設置まで (1) FortiSandbox 導入の事前準備 `2f/10/e 〜 * これからやって行くこと FortiMail-200D にIPアドレスを付けて、現状の FortiMail 本番機と同じ設定にしてい く。ロ−カルでメ−ルのやりとりをしてみる。ライセンスはどうだったか。装置はそこそ こ音がするよ。ライセンスの登録はSI業者がやってくれていた。 FortiMail のファ−ムウェアについてもう一度調べる。ファ−ムウェアをアップして違っ て来る設定などをあらかじめ調べるだけ調べてみる。アップする際の手順なんかも無いか 調べる。アップしたらサンドボックスの設定項目をみて見る。 FortiMail-200D は初期設定をするためのウィザ−ドのメニュ−が出ている。 これはどう すればいいか。適当に設定してみてウィザ−ドのメニュ−が出なくしないことにはいけな いか。そこから本番機と同じ設定にして行くしかない。 メ−ルストアとしての基本的な動作の確認をする。Outlook で ikken(henomohe)を作って 自分宛にメ−ルを送る。ウィルスもスパムのチェックも無し、メ−ルリレ−との連携も無 しで。実際やったら30分でできた。 サンドボックスに関するメニュ−を調べてみる。本番機と同じ設定にしていく。メ−ルス トアとして試してみる。FortiMail1 にはいろいろ動作をみるのに、 プロファイル何かも テストで幾つも作った。どれが本番設定として利用されているのか、それも確認していく。 Fortinet 社製品の情報を今少し集める。http://gold.nvc.co.jp/supports/fortinet/OS/。 NVC SUPPORT というサイト。"FortiGateバ−ジョンアップ手順" などダウンロ−ドできる。 上のディレクトリにはいろいろ他にも情報がある。 * FortiSandbox の設置場所の確認 DMZに FortiSandbox を設置。筐体からは社内ネットワ−クにもケ−ブルを出す。社内 ネットワ−クにおいた FortiMail から怪しいメ−ルを、 このネットワ−クケ−ブルを通 すとのこと。最近のアプライアンスはこうした2本足構成が多いようだが大丈夫か。9月 入って直ぐ Fortinet のエンジニアにこういう構成にするんですと聞いた。 サ−バラックの設置スペ−スの空状況はどうか。電源やUPSの状況はどうか。まあ大丈 夫そうだ。もう本稼働から外れた1Uのプロキシサ−バとかメ−ルサ−バとか、取り外し てもいいだろう。ラックに入れてはいるが電源は入れてないし。 FortiSandbox-1000D のサイズ、89Hx437Wx383D 12.52 Kg。 FortiMail-2000B より奥行き は無いみたい。消費電力(平均/最大) 115/138W。冗長電源のモデルではない仕様でのこと。 ちなみに FortiGate-310B は 100-240VAC。 * FortiMail2 の基本設定は FortiMail の予備機はモデル 200D、 ここではこの予備機のことを FortiMail2 と呼んで 行くことにしよう。本番機はモデル 2000B、こちらは FortiMail1 と呼ぶことにする。フ ァ−ムウェアは FortiMail1 はv4.0,build0534,xxx。FortiMail2 は v4.0,build0510,xxx。 デスクトップのIEで設定した、Windows 7 の Internet Explorer 9 にて。 [Quick Start Wizard...] は常に出ているものだった。初期設定の時だけ出るのかなと思 い、ずっとどうしようかと悩んでいた。しょちゅうアクセスしているのに、見ているよう で見てないものだ。[Basic Mode >>] [Quick Start Wizard...] [Next Theme] [Help] .. ファイアウォ−ルでは FortiMail2 から FortiGuard サイトにアクセスできるよう許可し ておく。[モニタリング]->[システム]->{ステ−タス} の {ライセンス情報 } は更新済み や有効になっていることを確認する。 Time Zone を日本の Osaka,Sapporo,Tokyo にした。 NTP は pool.ntp.org になっていた、 そのままにした。[Maintenance] のところはそのままで。[System]->[Administrator] で Language:[English ▽] を "日本語" を選択するとメニュ−全部が日本語表示に変わった。 [メ−ル設定] [設定]->[メ−ルサ−バ−設定] ロ−カルホスト ホスト名:[fmail2 ] ロ−カルドメイン名:[nix.co.j ] 認証用デフォルトドメイン:[--なし-- ] ここは nix.co.jj といれたが、 そのあと見たら --なし-- のままだった。 リレ−サ−バ− リレ−サ−バ−名: [ ] とりあえずなしで。 [設定]->[ストレ−ジ] そのまま。 [ドメイン]->[ドメイン] AD を使う場合とりあえずなしで。 いやこれではだめかも。 ドメイン名:[nix.co.jj ] だけ記載した、これやったら ユ−ザの 新規 がでてきた。 [ユ−ザ−] [ユ−ザ−] ここにテスト用のユ−ザを幾つか作ってみる、ikken パスワ−ド henomohe。 これまでの設定、ユ−ザを作ることができない。メニュ−で新規がでない。 [ポリシ−] [アクセス制御]->[送信] 何も設定していない。 [アクセス制御]->[受信] アクション:[リレ− ▽] << 拒否をリレ−に。ここだけ変更。 メ−ルストアとしての基本的な動作の確認。以上の設定はウィルスもスパムのチェックも 無し、メ−ルリレ−との連携の設定も無しで。テスト用に利用しているノ−トパソコンの Outlook 2010 でユ−ザ ikken を作って自分宛にメ−ル送った。ここまで30分で出来た。 * いろいろかいろのメモ FortiMail2 でファ−ムウェアのアップをしてみないといけないが、 なかなか取りかかれ ない。`2f/11初め、予備機の FortiMail2 の電源を入れて稼働はさせた。メ−ルストアで 稼働させている FortiMail 本番機の予備として設定しよう。 これまで予備機として購入 したものの、どういう運用をすればいいかはっきりと思い付かなくてほかっていたのだ。 旧のメ−ルストアで使っていた予備のマシン Sun Solaris 9 を、 メ−ルリレ−用のみに 設定する。メ−ルリレ−とメ−ルストア両方の設定をしているのだが、メ−ルストアとし ては Active Directory 対応してないのでもはや使えない。 メ−ルリレ−は別な Sun の マシンでずっと稼働している。この予備機をすぐに使えるよう設定しておくのが望ましい。 予備機の FortiMail-200D をまずファ−ムウェアのアップをしてみる。結構音がする。電 源を入れるといきなりブワ−という大きな音がした。3分位して定常運転になるようだが、 それでもファンの音がそこそこする。とりあえず FortiMail-200D を手元においてにIP アドレスだけ付けて、その後はサ−バ−ル−ムの机の上に置いてきました。 パソコンのメ−ルソフトでメ−ルストアを、この予備機のIPアドレスにして自分宛のメ −ルの送受信をやってみる。外にメ−ルを出しての確認はちょっとできないか、どうかな。 確認すべきことはファ−ムウェアをアップして挙動がおかしいと感じたら、すぐに元のバ −ジョンのファ−ムウェアに戻すこと。これがすんなりできるかを確認をしたい。 ファ−ムウェアのバ−ジョンはこれを導入した時のままで v4.0。 最新のにアップするに は2段階でやらないといけない。先ずは v4.3.6 にあげて、v5.2.4 にするという。 特に 問題が起こるようには思わない、直感だけど。だとすると1つあげて様子をみて、おかし ければ元に戻す。様子をみる期間をどれだけにするか。期間無しでまあ大丈夫でしょう。 * FortiMail2 でのファ−ムウェアのアップ FortiMail-200D の上げる前は v4.0,build0510,120718 (MR3 Patch2)。ファ−ムウェアは 2段階で上げる。先ずは v4.3.6 に上げて v5.2.4 にする。ソフトバンクの FortiGateの サポ−トサイトからダウンロ−ドする。登録したユ−ザ−名とパスワ−ドを入れること。 v4.3.6 は FortiMail 4.0 MR3 Patch6 build0540。リリ−スノ−トと FortiMail-200D バ −ジョンのファ−ムウェアを取った。 リリ−スノ−トには Firmware Upgrade/Downgrade Information とか。変わった所は Resolved Issuesに、特にプリントして見るまでもない。 小さな画面で 本当にアップデ−トしますか?。 14:29:00 開始、しばらく ping は応答するが画面をリロ−ドしたら、"正常に接続できま せんでした" と出た。14:32 ping も応答しなくなった。14:33 ping 応答して画面が出た。 自分宛にメ−ルを送って、すぐに帰ってきた。( 作業の時点で v5.2.6 が出ていた ) 続いて v5.2.6 に上げる。 ファ−ムウェアは FortiMail 5.2 Patch6 build0460、65.9MB。 14:46:00 開始、14:47:30 ping 応答、14:48:00 "正常に接続できませんでした" の画面。 14:48:50 ping 応答せず、14:50:30 ping 応答、画面でてきた、暗号化でサイト許可する。 Outlook の "すべてのフォルダ−の送受信" をクリック。Outlook 送受信の進捗度で30 秒ぐらいそのままになった。メ−ルのユ−ザ登録は装置に自分だけ、メ−ルは1通送った のみ。こんなんでも時間がかかる。しかし一度起きたら、すぐに送受信クリックしても時 間がかかることはなかった。一瞬でチェックした。今の 2000B でもそういうことがある。 * それでもってこれからやることは FortiSandbox の資料を改めてみてみること。 2015年7月ぐらいまでの資料は手元に ある。それ以降出てきた資料がないか見てみること。 FortiGate アクセスでブラウザに警告のバ−表示が。許可するとグラフが表示されてくる。 Firefox では xx.xx.xx.xx の古いプラグイン "Adobe Flash" の実行をブロックしました。 200D のファ−ムウェアを最新に上げメ−ルの送受信は確認した。現状の Mail-Storeのウ ィルスやスパムのチェック等を本番機をみて設定する。それで違いを見てみる。 本番機の現状の設定を全部、書き出すこと。バックアップもとること。装置のシステムの 設定とユ−ザの設定が分けて取れるみたいだ。 外部から来るメ−ルをテスト機の 200D にも送って、ウィルスとスパムのチェックをさせ たい。現状と同等の検知をするか調べておきたい。200D にどうやってメ−ルを送るか?。 2段階でアップさせる、1つ前には戻すことができる、この確認。装置のユ−ザ情報の記 載、エイリアス記載。これらのセ−ブとロ−ドで戻るかの確認をしておきたい。 ユ−ザ認証の Active Directory(AD) 利用の動作の確認。2000B でユ−ザ情報が AD から きちんと取れない事があった。AD の1つの階層にユ−ザが多過ぎて、分けて解決したが。 メ−ルの添付ファイルで ZIP 形式の扱いの動作確認。 ウィルス入りメ−ル対策でユ−ザ に注意喚起するように装置がいったん受けて postmaster@nix.co.jj からの発信にした。 ファ−ムウェアをアップして変わったところを調べること。 [メ−ル設定]->[設定]->{メ −ルサ−バ−設定} ここにたくさん設定項目がある。ざくっとそんなに変わってないぞ。 (2) 最新 FortiMail の動作チェック `2f/10〜 * テスト環境が作れないか [ 検討その1 ] とりあえず自分宛の外からきたメ−ルで FortiMail1 でチェックして、その後のメ−ルを FortiMail2 へ送ることができないか。 このメ−ルには検知できなかったマルウェアなん かが入っている可能性がある。FortiMail2 と FortiSandbox と連携させる。 これで本番 機のメ−ルストア FortiMail1 の設定をいじることなくサンドボックスのテストができる。 そんなことできるか?。FortiMail のメニュ−を見ていて出来そうにない。 やれるとしたらユ−ザ−設定の {メ−ル自動転送} 位しかない。しかしここでどんなメ− ルアドレスを書けばいいというのだ。Sun のマシンならできる、メ−ルストアを移行する 際にメ−ルをそれで移動させた。アプライアンスではそんな細かい設定はできそうにない。 ikken@nix.co.jj に来たメ−ルを ikken@sub.nix.co.jj にも転送。 sub.nix.co.jj をア プライアンスのどこかでIPアドレスと紐付ける。そんなことができないとだめという事。 ならば FortiMail2 を透過型で自分のパソコンの前に設置するか。FortiSandboxは透過型 で連携はできるのか、あんまり面白くはないか。メ−ルリレ−から FortiMailの本番機と 予備機の二手にメ−ルを送る、メ−ルリレ−は Sun だから sendmail.cf をいじればでき るはずだが。Fortinet のエンジニアと話していて、DNSの設定で ikken@nix.con とか 認識するようにすればできるのでないかと。ちょっとばかり技術がいりそう。 [ 検討その2 ] 自分宛に来たメ−ル ikken@nix.co.jj を転送して kensan@nix.co.jj へ。 これをサンプ ルにする。転送前にウィルスなどのチェックが行われるか、行われないか、そこが問題だ。 行われないのなら好都合でなのだが。ともかくやってきたメ−ルを kensan@nix.co.jj に そのまま全部を転送したい。そのメ−ルでウィルス、スパム、マルウェアのチェックをし たい。でなければポリシ−で ikken@nix.co.jj 宛だけ何もチェックしないようにするか。 少なくとも ikken@nix.co.jj に届いたメ−ルをフォワ−ドで転送するのはだめだ、 ウィ ルスチェック等した後のメ−ルになる。エイリアスでもだめだ、エイリアスで ikken@nix .co.jj -> kensan@nix.co.jj とすると、自身へのメ−ルikken@ には来なくて kensan@に のみ行く。自身へもメ−ルが来るようにするには ikken@nix.co.jj -> kensan@nix.co.jj, ikken@nix.co.jj とすること。 両方のメ−ルでウィルスのチェック等がやられているかログを見てみる。[モニタリング] ->[ログ->{アンチスパム} ウィルス入りメ−ルはほとんど来ないので、スパムチェックで 見てみる。これでスパムメ−ルが来るのをしばらく待つとするか。1時間か半日ぐらい様 子を見ていればわかるか。両方ともスパムチェックされていました。エイリアス転送のメ −ルもチェックされるということを確認した。 [ 検討その3 ] エイリアスの kensan@nix.co.jj メ−ルを BlackJumboDog ソフトで拾って FortiMail 予 備機に送り、そこでウィルスとスパムのチェックをやってみるのはどうか。これで最新の ファ−ムウェアにした FortiMail の様子をみる。 そして FortiSandbox と連携するよう に設定してマルウェアのチェックをやってみる。早速やってみました。案ずるが生むが易 し、BlackJumboDog でテスト環境を作ることができた。下記のテストその2である。 BlackJumboDog のインスト−ルと設定は以前の自分の書いたのをみてすぐにできた。しか し Windows 7 ではどうも不安定で、 幾つか違うバ−ジョンを入れて何とか使えるように した。FortiMail2 のウィルスとスパムなどの設定を FortiMail1 とほぼ同じにした。 計 らずもランサムウェアというウィルスが12月8日位から国内に蔓延して、これが両者の 性能比較となった。FortiMail1 でメ−ルが抜けがでていることが分かった。 ファ−ムウェアのバ−ジョンが違うとウィルスやスパムのシグネチャが同じでも、性能に 違いができるのかと思ったが、それはないという。内臓時計の時刻がどうも関係したので ないか。FortiMail1 は手動、FortiMail2 は NTP。 FortiMail1 は正確名時刻から3分半 ぐらい遅れていた。その3分の間に危険なメ−ルが来た場合に把握できなかったのでない か。FortiMail1 も NTP 設定にしたら抜けがなくなったみたい。しばし様子をみないと。 * BlackJumboDog のインスト−ル http://www.sapporoworks.ne.jp/spw/、最新情報 BlackJumboDog Ver6.1.9 公開しました 2015.10.07 付け、推奨バ−ジョンは bjd-6.1.9.msi と出ていた。bjd-6.1.9.msi 発行元 を検証できませんでした、このプログラムを実行しますか?,ハイで次へ。InstallShield ウィザ−ドの画面が出てきた、[次へ]。Windows OSから念押しの画面がでてきた、ハイ。 C:\BlackJumboDog\ にインスト−ルされる。パソコンの画面にはアイコンはできない。フ ォルダに入って BJD.exe を叩く。パソコンに常駐させることもできる、BJDのメニュ−で。 Windows XP のときに BlackJumboDog を試している。今回Windows 7 にインスト−ルした。 Microsoft .NET Framework うんぬんは聞いてこなかった。Microsoft .NET Framework は 先にパソコンに入っていたと分かった。パソコンの反応が悪くなってシャトダウンしよう としたら、バックグラウンドで動いていて、警告が出てきて既に入っていると分かった。 BJD を入れて次の日 BJD を起動しようとすると警告画面がでてきた。"赤(X) 同一のキ− を含む項目が既に追加されています 場所 Bjd.WindowSize.ctor(Conf conf,String path)、 場所 Bjd.Kernel.xxxx" など続いて名前が幾つか書かれていた。画面の [ OK ] をクリッ クしても起動してこなかった。BlackJumboDog サイトのVer6.1.9 の msi をクリック、イ ンスト−ラで次ヘと行くと変更、修復、削除がある。修復やってみたがだめ。削除したら、 フォルダ BlackJumboDog はあって残っているものがあった。 その後に変更で入れ直した がダメ。削除してフォルダ BlackJumboDog も消去して、変更で入れたら 赤(X) 画面はで なくなり起動した。でも、どうもパソコンを停止して、また起動するとそこでおかしくな るみたい、赤(X) 画面が出てきてしまう。別なパソコンに入れてみるか。テスト用のノ− トパソコンにインスト−ルしてみたが、やはり同じ現象が出てきてしまった。 ノ−トパソコンに 2015/10/11 bjd-6.20.msi を入れた。これで安定して動くみたいだ!。 BJD を手動で起動させ、 ノ−トパソコンの蓋をしても BJD が動いているようにしてみる。 [コントロ−ルパネル]->[ハ−ドウェアとサウンド] 画面の {電源オプション} の{スリ− プ解除時のパスワ−ド要求} または {電源ボタンの動作の変更} 画面で {カバ−を閉じた ときの動作} [スリ−プ状態 ▽] を [何もしない ▽] に変更した。 翌日見たらパソコン の蓋を開けたら止まっているみたい、スリ−プ状態になっていた。 {コンピュ−タ−がス リ−プ状態になる時間を変更} 画面で "コンピュ−タ−をスリ−プ状態にする" が [1時 間 ▽] になっていたのを [なし ▽] にした。とりあえず動作確認で [10分] にして蓋 を閉じてみた。ちゃんと動いてました。BJD を何年振りかでパソコンにインスト−ルして みて3日間でここまで設定できた。今回のテスト環境に使わせてもらいます。 * BlackJumboDog のテストその1 パソコン PC2 のメ−ルソフト Outlook の設定。メ−ルアドレス ikken@nix.co.jj、受信 メ−ルサ−バでアカウントのユ−ザ名 ikken。PC2 はテスト用のノ−トパソコン。 以下 BlackJumboDog を起動しての設定、C:\BlackJumboDog\BJD.exe。[オプション]->[メ −ルサ−バ]->[メ−ルボックス]->{利用者} でユ−ザ名 ikken, kensan を作成した。 [オプション]->[メ−ルサ−バ]->[SMTPサ−バ]->{基本設定} でドメイン名はデフォルト のままで [example.com ]。以下このメニュ−での元での設定。 {自動受信} 受信間隔(分)[2 ]、サ−バ[192.168.1.9 ]、ポ−ト[110 ]、ユ−ザ[ikken ]、 配信先(ロ−カルユ−ザ)[kensan ]、同期[サ−バから削除する ]。 {エイリアス} ユ−ザ名[kensan ]、別名[user1@nix.co.jj ]、SMTP 認証とかは無しで。 {ホスト設定} 対象ドメイン[nix.co.jj ]、転送サ−バ[192.168.1.1 ]、ポ−ト[25 ]。 {中継許可} 禁止リスト優先。 PC2 SMTP MF2 POP3 BJD SMTP FM1 POP3 PC1 FM1:FortiMail1 □ --------> □ <-------- □ --------> □ <-------- □ FM2:FortiMail2 | |.9 | |.1 | ------------------------------------------------------------------- ken kensan@example.com PC1 Outlook で受けたメ−ル から として BJD内に受信 From: ken ikken@nix.co.jj に送信 ↓ To: ikken@nix.co.jj {エリアス}と{ホスト設定} このメ−ルソフトには user1 ※BJD(BlackJumboDog) の指示で 192.168.1.1 に を作成しているが、受けたメ user1@nix.co.jj を送信 −ルにuser1 は無い事に注意。 BJD から MF2 に POP3アクセスで2分間隔で自動的に受信してメ−ルとる。メ−ルを取得 したら、FM2 の [ユ−ザ−]->[ユ−ザ−] ikken のディスク使用量が 0 になる。 * FortiMail1 のエイリアス設定 エイリアスで ikken@nix.co.jj -> ikken@nix.co.jj, kensan@nix.co.jj に送る。自身に も送っておくということ。[ポリシ−]->[ポリシ−]->{ポリシ−} の {受信者ポリシ−}で kensan@nix.co.jj は下記の設定のように何もチェックしないでおく。 ▲受信者ポリシ− -------------------------------------------------------------------------------- 新規 編集 移動 削除 ドメイン:[--すべて-- ▽] 方向[受信 ▽] -------------------------------------------------------------------------------- 有効 ポリシ 方向 送信者パタ−ン 受信者パタ−ン ドメイン名 アンチスパム リソ−ス -------------------------------------------------------------------------------- 〆 2 受信 *@* kensan nix.co.jj 〆 1 受信 *@* * nix.co.jj NspamR ポリシ−は上からが適用される。前にテストした際の "ポリシ−ID" 2 番をクリックして 受信者パタ−ンが "user1" とかしていたのを "kensan" にして、"アンチスパム" のとこ ろに定義していたのを消した。"アンチウィルス" "コンテンツ" も定義していれば消すこ と。実際の運用設定では "ポリシ−ID" 1 番 に "リソ−ス" は定義されている、 2 番も 同じのが定義されていて、これはそのまま有りにした。以上の設定で "ポリシ−ID" 2 番 の□を〆にした。よっしゃ確認できました。ikken@nix.co.jj 宛の高品質バイアグラうん たらという本文のメ−ルはスパムと判定されて隔離された。 kensan@nix.co.jj はそのま ま来たのがWebメ−ルの受信トレイに入った。 * BlackJumboDog のテストその2 以下 BlackJumboDog を起動しての設定、C:\BlackJumboDog\BJD.exe。[オプション]->[メ −ルサ−バ]->[メ−ルボックス]->{利用者} でユ−ザ名 kensan, keroyon を作成した。 [オプション]->[メ−ルサ−バ]->[SMTPサ−バ]->{基本設定} でドメイン名はデフォルト のままで [example.com]。以下このメニュ−での元で。 {自動受信} 受信間隔(分)[2 ]、サ−バ[192.168.1.1 ]、ポ−ト[110 ]、ユ−ザ[kensan ]、 配信先(ロ−カルユ−ザ)[keroyon ]、同期[サ−バから削除する ]。 {エイリアス} ユ−ザ名[keroyon]、別名[katou@nix.co.jj]。{中継許可} 禁止リスト優先。 {ホスト設定} 対象ドメイン[nix.co.jj ]、転送サ−バ[192.168.1.9 ] ポ−ト[25 ]。 PC1 POP3 MF1 POP3 BJD SMTP FM2 FM2 に来たメ−ルは □ --------> □ <------------ □ ------------> □ PC1 でWebメ−ル | |.1 | |.9 画面で見てもよし。 ------------------------------------------------------------------ FM1に ikken@nix.co.jj に kensan@nix.co.jj で取る katou@nix.co.jj に来る 来たメ−ルをエイリアスで ↓ kensan@nix.co.jj へ keroyon@example.com 元々 FM1 に来た、ikken@ を として装置内に受信 チェックなしで、kensan@ に ↓ 送ったものを、FM2 に持って {エリアス}と{ホスト設定} きたということ。FM2 でウィ の指示で 192.168.1.9 に ルスにスパムのチェックをや katou@nix.co.jj を送信 って処理性能みるということ。 BJD で MF1 からメ−ルを取って来る、BJDではサ−バにメ−ルを残さない設定にしている、 すぐには MF1からメ−ルは消えない、そこはかとなくしばらくしたら消えているという感 じ。ここでは MF1 のユ−ザ kensan@nix.co.jj のメ−ルである。それに同じメ−ルがFM2 に2通やってくるというのもある。ノ−トパソコンに bjd-6.20.msi の BJDを入れて5分 間隔でメ−ルを取得、FM1 に kensan@nix.co.jj メ−ル残らず、FM2 に2通来ず。同一う んぬん出ず。これでよければ、これでテスト環境はできたことになる。 * FortiMail のウィルス、スパムのチェックの状態を見るには [モニタリング]->[ログ]->{アンチスパム} のログを見ると、 同じメ−ルが幾つもスパム 検知されているように見える。 ログの "メッセ−ジ" が FortiGuard-AntiSpam の辺りま で見えているので、そう見えるのだが。画面で "メッセ−ジ" のところを延ばすと続きが 出てきて、異なるスパムの判定がなされていることが分かる。今回初めて気付いた。 スパム判定されたメ−ルは {ユ−ザ−隔離} か {システム隔離} に入る。ウィルス入りは 即破棄で。 {ユ−ザ−隔離} は "〆FortiGuardスキャン" でほぼ確実にスパムなメ−ルを 対象にしたつもり。{システム隔離} は "FortiGuardスキャン" の下の"〆ブラックIPスキ ャン"、"〆フィッシングURI" として、小生が見て状況を把握できるようにということで。 以上は FortiMail 本番機での設定である。予備機は最新のファ−ムウェアにして、 これ らのチェックも行なう。受信者ポリシ−のアンチスパムプロファイルで、若干メニュ−は 変わっているところがあるが、ほとんど似たようなものである。本番機の方の "ディ−プ ヘッダ−スキャン" の "ブラックIPスキャン" が場所が変わったぐらいか。 動作の確認で。"受信者ポリシ−"のアンチスパムプロファイルのアクションでは、ユ−ザ −隔離とシステム隔離があってどちらか1つ選択できる。両方には隔離できない。 "IPポ リシ−" のアンチスパムプロファイルのアクションではシステム隔離のみある。アンチウ ィルスアクションプロファイルはシステム隔離のみある。FortiMail v5.2 でも確認。 (3) FortiMail と FortiSandbox `2f/12〜`2g/02 -------------------------------------------------------------------------------- 本番機 FortiMail のファ−ムウェアのアップと FortiSandbox 設置と両者の設定の準備。 -------------------------------------------------------------------------------- * 知り得たことをメモしておこう サンドボックスは原理的には誤検知は起こらないはず。その点からして FortiSandbox の 設定はそんなに難しいものではないと思う。そもそも難しくできないと思う。 サンドボックスのチェックで純粋にサンドボックスだけやるならそうだが、いろいろ組み 合わせてチェックするようになっていると誤検知がやはり起きて来るだろう。 メ−ルのサンドボックスの判定は3段階ある。一番下の判定はたくさん出てくる、気にし なくていいらしい、そのまま通しても構わない。2番と3番目は危ないということ。 2015/12 中にサンドボックスの新しいファ−ムウェアのバ−ジョンが出る。2015/11 中に FortiMail 5.3 が出る?、UnratedURI で未知のURL もチェックする、基本はオンでよし。 受信者ポリシ−の 送信者 *@*、受信者 *@nix.co.jj は、外から内ヘのメ−ルに該当する。 他にも内から内ヘのメ−ルも該当する。このことに注意しなければならない。 FortiMail で [モニタリング]->[メ−ルキュ−]->[FortiGuardアウトブレイク防御] はサ ンドボックスの動作には特に関係しない?。チェックを入れたりはしなかった。 FortiMail は v5.2.6 でいこう。FortiSandbox は v2.x でいこう、v2.2 がそろそろ出て 来るみたいだが FortiSandbox の設置に間に合わない。 FortiMail は v5.3 はメ−カでは2015年末に出ているが、SI業者のサイトにはまだ 出ていない。2016/01/半ば頃。2016年2月末になってもまだ出てない。 FortiMail は v5.3 では high, medium, low で動作を分けることができる。 low は誤検 知が多いのでやらない方がいいとの話。破棄や隔離でなくスル−させるという意味。 FortiMail v5.2 は30分で隔離したメ−ルを解放する。 処理に負荷がかかって判定結果 がでない場合があるとか、本当かいな。その場合どういう判定になるの?。 FortiMail v5.3 からはメ−ルの本文に書かれているURLのスキャンができる。怪しいサイ トに誘導されないようにできるわけで、この機能は是非使いたいところである。 FortiSandbox が故障したり繋がらなくなった場合は、怪しいメ−ルは FortiMail のキュ −に溜まる?。これも本当かいな。 [モニタリング]->[メ−ルキュ−]->[FortiSandbox]。 ところでマルウェアとは何ぞな。 malware は malicious と software を組み合わせた造 語。悪意のあるソフトウェアという意味。悪質なボットはマルウェアの一種。 Malicious は悪意のあるとか敵意のあるという意味。 Suspicious は疑わしいとか怪しい とかうさん臭いという意味。 Adobe Flash のファイルをサンドボックスでチェックすると誤検知が多い?、それでこの サンドボックスではチェックはしないことに。 Adobe Flash にはセキュリティホ−ルが多い。Adobe Flash というファイルはスクリプト みたいなものか。他のIT会社から、もう使うなよと突き上げがあった。 ボットやマルウェアの情報収集。Norton Blog とか https://japan.norton.com/category /antivirus。トレンドマイクロの http://blog.trendmicro.co.jp/、結構書かれている。 メ−ル添付の圧縮したファイルもウィルスチェックしている。ZIP ファイルでパスワ−ド が設定されてないのはチェックしている。パスワ−ド有りのはどうなのか、要確認。 FortiSandbox が入っていた梱包箱は2重になっていた。中にはドキュメントのCD-ROM が 1枚、Embedded Windows XP と Windows 7 のライセンス証書が1枚入っていた。 FortiSandbox はDMZ上に設置する。ネットワ−クケ−ブルはLANにも繋ぐ。 DMZ に物はおくがWANの仮想IPアドレスは振らなくてもいい。 FortiSandbox 1000D は電源コネクタは2つある。 2つとも電源ケ−ブルを繋ぐこと、で きれば電気系統を変えて。繋がないと音が鳴るらしい。標準で冗長化電源になっている。 * FortiMail のファ−ムウェアのアップ 本番機のファ−ムウェアをアップさせる時、ファ−ムウェアをダウンロ−ドして来たパソ コンとのみネットワ−クが取れるようにして、他とはネットワ−クから切り離した方がい いのかどうか。社内のパソコンからのメ−ルの送受信ができないように、外部からのメ− ルが来ないようにするということで。特にそういうことはしなくてもいいのでないか。ま あ作業は日曜にやったので。ファ−ムウェアをアップする前に下記のようにバックアップ を取った。アカウント、エイリアス、ホワイトリストの情報が含まれる。 ping で装置の応答をみていった。ファ−ムウェアのアップを開始、 本当にいいですかと 出て来たのに Y をクリック。 応答が無くなってまた応答がかえって来るまで約3分だっ た。待っている間、マジシャンの水中脱出みたいだとSI業者のエンジニアと笑った。も うそろそろ息が続かないのでないかと。装置内のメ−ルユ−ザのアカウント、メ−ルのデ −タ、転送情報のエイリアス(メ−リングリスト)、ホワイトリスト。全然変化は無かった。 ファ−ムウェアは2回アップしたので確認はその都度やった。特に問題は起きなかった。 * TeraStation へのメ−ルデ−タのバックアップ 共有フォルダ−の作成で 共有フォルダ−名:[FORTIMAIL1 ] NASへは https://IP でア 公開先: 〆Win/Mac(SMB) 〆FTP アクセス制限なし クセス。ディスク情報はRAID ワ−クグル−プは WORKGROUP。 アレイ1:約20GB/約1500GB。 [ネットワ−ク]->[NFS] で NFSフォルダ−の設定で。 エクスプロ−ラでこのNAS 共有フォルダ−名: FORTIMAIL1 のIPを [\\IP\ ] でアクセ NFSパス: /mnt/array1/FORTIMAIL1 NFS: ◎有効 スすればフォルダ−が見える。 FortiMail に溜まっているメ−ルのデ−タを退避させる。しかしせっかくデ−タを取って もあまり意味がないのでないか。90GB取るのに4時間ぐらいかかった。1GBずつバ ックアップのファイルを作っていった、1つが2分または3分かかったと出ていた。多分 バックアップをとる最初の手続きで、その時点でのファイルの全体をなめてコピ−するフ ァイル名をリストアップしているのだと思う。と言うことであればバックアップは4時間 前の状態を取る。その間にやって来たメ−ルは対象にならない。しかも万が一メ−ルデ− タをリストアするとなった場合、既存のメ−ルデ−タに上書きしてしまう。これではいか ん。メ−ルストア本番機でなく予備機の FortiMail にリストアして、 ユ−ザにはこっち をメ−ルソフトからアクセスしてネと言うしかない。 TeraStation に ftp でアクセスした。admin でロッグインする。 カレントディレクトリ は /mnt になる。cd array1 で ls やったら、作ったフォルダが見えた。 拡張子が .bar という1GBずつのファイルになっている。FortiMail の予備機でいろいろ動作を確認し てみた。テストのユ−ザをロ−カルで2つほど作った。それでメ−ルを数通送っておいて。 バックアップを全部でとって、そのユ−ザだけのメ−ルをリストアしてみたり。それで上 書きされていることが分かった。ファイルは拡張子が .bcat とか .burst とか .restore とかできていた。一応、差分でバックアップをとったり、リストアしたファイルを覚えた りしているらしい。FortiMail では [メンテナンス]->[システム]->{メ−ルデ−タ} でデ ィレクトリは /mnt/array1/FORTIMAIL1、[バックアップ開始]をクリック。触れば分かる。 * FortiMail 設定のセ−ブのメニュ− [メンテナンス]->[システム]->{設定} -------------------------------------------------------------------------------- | --設定のバックアップ---------------------------------------------------------- | | "ユ−ザ−設定"に〆を入れて、試しに押し | | ◎ロ−カルPC ○FortiManager た。作業時刻が出て何がしかセ−ブされた | | 〆システム設定 みたいだが、どこにセ−ブされたのか?。 | | ロユ−ザ−設定 ↓ | | バックアップ前にユ−ザ−設定ファイルをアップ [アップデ−ト][リフレッシュ] | | ロIBEデ−タ | | バックアップ前にIBEデ−タファイルをアップデ [アップデ−ト][リフレッシュ] | ------------------------------------------------------------------------------ | [バックアップ] ← これクリックしたら xxx.cfg などの名前でセ−ブされる。パソコ | ンのログオンのユ−ザのフォルダ−のダウンロ−ドに入った。 | -設定のリストア----------------------- | | ファイル名: | | [ ][参照] | -------------------------------------- ※今回も設定のバックアップ、ファ−ム | [リストア][キャンセル] ウェアのリストアはやることはなかっ | た。FortiMail-2000B の設定をセ−ブ | -ファ−ムウェアのリストア------------- して 200D にリストアしたらどうなる | | ファイル名: か、一度やってみたいと思う。200Dを | | [ ][参照] 予備機から本番機にする場合、ユ−ザ | -------------------------------------- のアカウントやエイリアスやホワイト | [リストア][キャンセル] リストがコピ−されるのか確認したい。 * FortiSandbox のDMZ設置のこと 物はDMZ上に設置する。ネットワ−クケ−ブルはLANにも繋ぐこと。DMZに物は置 くがWANの仮想IPアドレスは振らなくてもいいという。ファイアウォ−ルのル−ルと してはDMZからWANへのパケットを通せばいい。これは既に "Any Any プロトコルい ろいろ NAT有り" で設定しているので、特に FortiSandbox 用に設定することはなかった。 WANからDMZヘの通信も無いということである。ならば特段、装置をDMZにおく必 要があるのかという疑問が出る。こういう場合 LinkProof の出番というのは、 どういう ことになるのか。このままでは主回線がダウンしたらそのまま FortiSandbox も、クラウ ドのサ−バに何がしか聞きに行くことが出来なくなる訳で。別に一時的に聞きに行けなく ても問題ないのかな。いや問題といえば問題だ。 主回線がダウンしても LinkProof のお かげでメ−ルのやりとりは出来る訳で、その間にだってウィルス入りメ−ルはやって来る。 できれば FortiSandbox も LinkProof の回線冗長化の対象マシンにしたい。 3日位考えた、分かった。まさに DeMiltalized Zone の本来の設置の仕方だった。 非武 装セグメント。DMZ上に設置したマシンのIPアドレスからファイアウォ−ルの WANイ ンタ−フェ−スのIPアドレスに変換されて外に出ていく。インタ−ネットへは主回線を 通っていく。このままでは LinkProof があっても副回線の方には通ることはない。 副回 線も通るようにするには、WAN側の仮想IPアドレスを付けること。主回線と副回線の プロバイダから割り当てられたパブリックIPアドレスをつけること。インタ−ネットへ はこれらのIPアドレスで行くことにする。この場合でも WAN->DMZ へのル−ルは必要な い。2015/09 初めにフォ−ティネットのエンジニアに FortiSandbox はDMZに設置する という話を聞いて以来、ようやく納得した。装置からLANにも足を出すというのはファ イアウォ−ルのル−ルはほとんどいじることがなく、セキュリティ的にはきわめてシンプ ルにできるということである。しかし装置自体には高いセキュリティが求められる。 * サンドボックスを設置しようとしている最中にもマルウェアが トレンドマイクロのセキュリティブログ http://blog.trendmicro.co.jp/をチェックして。 2015年12月からランサムウェアの記事が目立つ。投稿日:2015年12月8日 「vvvウィ ルス」の正体とは?ランサムウェア「CryptTesla」の流入は限定的。12月6日国内で突 如 vvvウィルス が大きな話題になった。特に日本を狙ったのではなく、 世界的にも対規 模な拡散には至ってない。パソコン内のファイル名を拡張子 .vvv にして暗号化してしま う。元に戻すために身代金を要求するという。 同じくトレンドマイクロのブログの記事。ランサムウェア「CryptTesla」を拡散させる一 連のマルウェアスパム攻撃を、詳細分析 投稿日:2015年12月11日、日本にも相当数が流入 していることが確認された。2015/12/17には "すぐ役立つ!組織で行うべきランサムウェ ア対策"。2015/4/27 には "日本語対応したCryptoランサムウェアを国内で確認"。キャノ ンITソリュ−ションズ(株)のマルウェア情報局、ばらまき型メ−ルによるランサムウェ ア感染が国内で増加中 2015/12/11、2015/12/7 から一気に増えているグラフあり。 「日経NETWORK」2016/02, P.110〜113,"裏読みセキュリティ事件簿、(第11回)注 目のランサムウェアに感染 身代金を払ってはいけないのか?"。金銭を支払うという選択 肢も、FBIの捜査官も払った方がよいと助言をするケ−スもあると。金銭目的なので概 ね金を払えば暗号は解かれるという。しかしテロには屈しないアメリカがそんなことをい うとは驚きだ。ソフトバンク・テクノロジ−のセキュリティ専門家が執筆した記事。歳が 明けて2月頃、アメリカの病院に対しとんでもない金額を要求する事件もでてきた。 これらの記事が出るようになって、FortiMail のスパムチェックがシビアになって来てい るのでないか。メ−ルの受信でやたら誤検知が増えてきた。システム隔離するようにして いて、自分がつぶさにチェックしている。まっとうな所からのメ−ルは、スパムのホワイ トリストに書いて行っている、それが追い付かない切りがない。日本語でない中国語とか のメ−ルは我々日本人には普通、件名を見ただけでは判断できない。2015年12月半 ば過ぎ、止むなくスパムチェック "ブラックIPスキャン" はしないようにした。 すると今度は docomo, ezweb, yahoo などのメ−ルアドレスから、空メ−ルが頻繁に来る ようになった。自分にも他の人ヘも来る人は一日に数通やって来る。特に危害はなさそう で有効なメ−ルアドレスを収集しているのか。これらは "ブラックIPスキャン" で止めら れていた。"IPポリシ−"のセッションでチェックできないかSI業者とも相談して試して みたがだめだった。セッションのチェックはメ−ルリレ−に FortiMailを置かないと意味 がない。メ−ルの送信元のチェックで、送信元はメ−ルリレ−からになってしまうので。 (4) 続 FortiMail と FortiSandbox `2g/02〜 -------------------------------------------------------------------------------- FortiMail と FortiSandbox 連携の設定とウィルスにサンドボックス機能の挙動と動作。 -------------------------------------------------------------------------------- * これらの装置の連携の設定について 装置登録のリクエストをサンドボックス装置に送る。FortiSandboxでは複数台登録ができ る。[システム]->[設定]->[FortiSandbox] 有効に〆して、FortiSandbox のIPアドレス と管理者のメ−ルアドレスを記載して [接続性テスト] をクリックする。 FortiMail の [プロファイル]->[アンチウィルス]->{アンチウィルス} で前は〆ヒュ−リ スティックスキャンだけだったのを次の様に。〆グレ−ウェアスキャン、〆リアルタイム サンドボックスマルウェア解析、〆疑わしい添付ファイルをFortiSandboxへアップロ−ド。 FortiSandbox ではファイルベ−スの検知、通常はこれをワッチしていればいい。 普通の ウィルスは "既知のマルウェア" に入る。 "疑わしいファイル" はまさにサンドボックス で検知された悪いもの、"クリ−ン" は検知したが問題ないものである。 FortiSandbox でマルウェア判定されたら ikken@nix.co.jj 宛にメ−ルが来るように設置 の際に、SI業者さんは設定してた。もし一杯来るようになった場合には、来ないように したい。1つのウィルス入りメ−ルに対し3通来る。真ん中のは来なくてもいいぞ。 FortiSandbox の [システム]->[FortiView]->[オンデマンド] ここでサンプルや本物のウ ィルスを送り込んでテストできる。設置の時にやって見せてくれた。ウィルスのサンプル を残してくれたので、それで自分でも一度試してみること。 FortiSandbox で判定されたメ−ルは、FortiMail の [モニタリング]->[メ−ルキュ−]-> {システム隔離} に入れることにした。一週間ほどここに留め置くことにした。 これまで ウィルス入りメ−ルには何もメッセ−ジは出さないし、問答無用で破棄にしてたのだが。 * これらの装置の挙動や動作について FortiMail のログで [モニタリング]->[ログ]->{ヒストリ} でもどれでも"クライアント" と "宛先IP" を見ると社内のパソコンのIPとメ−ルストアのIP、メ−ルリレ−のIP とメ−ルストアのIP、他に 127.0.0.1 と 127.0.0.1 がある。 "クライアント" にメ− ルストアのIP、"宛先IP" にメ−ルリレ−のIPと言うのはログに出てこない。 これら のIPアドレスが [ポリシ−] の IPポリシ− のところで "送信元" と "宛先" で記入で きるIPアドレスとなる。 ポリシ−の適用は "アクセス制御"、"IPポリシ−"、"受信者ポリシ−" の順番でやられる。 "アクセス制御" はデフォルトのままにしている。"IPポリシ−" で適用されるチェックの 順番は 1)セッション 2)アンチウィルス 3)アンチスパム 4)コンテンツ である。"受信者 ポリシ−" には セッション はない、1)アンチウィルス 2)アンチスパム 3)コンテンツの 順番でチェックされる、リソ−スは最後かな。FortiMail でコンテンツは一番最後に処理 されるということを 2015/01/m にSI業者のエンジニアに聞いた、と思う。 ログの セッションID をクリックするとクロス検索結果というのが出てくる。そのヒスト リの中の ポリシ−ID を見ると、どういう順番でチェックされたのか出ている。最近よく 来る本文なし、件名なしの xxx@softbank.ne.jp とか xxx@ezweb.ne.jp からのメ−ルを 例に説明する。分類 FortiGuard AntiSpam-IP、ポリシ−ID 1:2:1。最初の 1 は "アクセ ス制御" の ID 1番。2番目の 2 は "IPポリシ−" のポリシ−ID の 2番。3番目の 1 は "受信者ポリシ−" の ポリシ−ID の 1番を意味する。 [アンチスパム]->[ブラックリスト/ホワイトリスト]->{システム} の"ホワイトリスト"で チェックなしで通すドメイン名をこれまででも列挙している。ドメイン名しか書けないと 思っていた。メニュ−画面を改めて見たら、IPアドレスでもいいみたいだ。 "ホワイト リスト:これらのアドレス/ドメイン/IPから送信されたメ−ルは常に受信されます"。1個 のIPアドレスを指定するなら 1.1.1.5 とか。 1.1.1.* と書けば全部を指定できそうだ が 1.1.1 とすること。画面右上の {ヘルプ} をクリックすれば説明サイトが出てくる。 FortiSandbox の [システム]->[メンテナンス]->[FortiGuard] の画面ではモジュ−ル名 が6個出ている。最終チェック日時が新しくなっている事を確認する。サンドボックスエ ンジンは数ヶ月毎に出るのかな。他のはウィルスのシグネチャなどは毎日なのかな。それ に [システム]->[ダッシュボ−ド]->[ステ−タス] 画面のシステム情報のところもたまに 見ておくこと。"Windows VM" 以下が緑になっていること。 黄色や赤になっていたりする と正常に動作してない可能性がある。でも見かけ2週間位はまま機能するみたい。 FortiSandbox にメ−ルが送られても、 すぐに装置内のサンドボックスの機能で調べるの でなくクラウドのサ−ビスに尋ねる。 ログをつぶさに見ると Cloud という文字が出てい るのもある。チェックの順番はウィルス検知、クラウド・デ−タベ−ス照会、コ−ド・エ ミュレ−ション、仮想OSサンドボックス、コ−ルバックの検出。クラウド照会はインタ −ネット上の FortiCloud へアクセスして即判定できるものは判定する。エミュレ−ショ ンはOSに依存しない攻撃を検知、リアルタイムでウィルスの動作をなぞって解析する。 * FortiSandbox のマルウェア検知性能の検証 FortiSandbox のマルウェアの検知の有効性を証明したい。 パソコン用のウィルスチェッ クソフトはアプライアンスにあるのよりも性能がいい、日経の雑誌に性能比較が名前を伏 せて載っていた。だいたいそういう傾向で、当社で導入しているパソコン用ソフトでもそ うである。今後、そのソフトで検知されなかったマルウェアが FortiSandbox で検知され れば有効性が実証されたことになる。でも、なかなか検知されない。 自分宛に来たメ−ル ikken@nix.co.jj をエイリアスで転送して、kensan@nix.co.jj へも 送る。これをサンプルにする。ikken@nix.co.jj へのメ−ルは FortiMailのウィルスチェ ックはしない、パソコンのウィルスチェックソフトで引っかかるようにする。kensan@ の 方は一般ユ−ザと同じ扱いでウィルスチェックもやる、それで怪しい添付ファイル付きの メ−ルはサンドボックスに送られチェックされる。 ▲IPポリシ− -------------------------------------------------------------------------------- |有効 ポリシ 送信元 宛先 セッション スパム ウィルス コンテンツ IPプ−ル| |------------------------------------------------------------------------------| |〆 1 0.0.0.0 0.0.0.0 NspamS Nvirus | -------------------------------------------------------------------------------- ▲受信者ポリシ− -------------------------------------------------------------------------------- |新規 編集 移動 削除 ドメイン:[--すべて-- ▽] 方向[受信 ▽]| |------------------------------------------------------------------------------| |有 ポリ 方向 送信 受信 ドメイン名 アンチ アンチウ コンテンツ リソ−ス | |効 シID 者 者 スパム ィルス | |------------------------------------------------------------------------------| |〆 2 受信 *@* ikken nix.co.jj NspamR ここらも設定はしてあ | |〆 1 受信 *@* * nix.co.jj NspamR Nvirus るとして | -------------------------------------------------------------------------------- 送信者:送信者パタ−ン、受信者:受信者パタ−ン。* は *@nix.co.jj の意味。 "IPポリシ−" では {その他} の設定で "受信者ベ−スポリシ−の適用を省略"というのが ある。"IPポリシ−" は "受信者ポリシ−" より先にチェックされる。"IPポリシ−" でル −ルが該当してチェックしたら、もうそれでチェックはおしまいにするということである。 "IPポリシ−" のアクションはスキャン、拒否、一時失敗がある。 チェックするのがスキ ャンということ。拒否は字の通りだが、一時失敗というのも選択肢にある。これはどうい う処理になるのか。"IPポリシ−" は幾つかある場合は上から順にチェックされる。 "IPポリシ−" は発信元、宛先(送信先)のIPアドレスを指定してル−ルを作成する。 デ フォルトで書かれている 0.0.0.0/0, 0.0.0.0/0 だと、どこからのメ−ルも該当してしま う。外から内のインタ−ネットから社内、内から外もへったくれもない、全部である。 "受信者ポリシ−" は外から内ということである。内から外へは "IPポリシ−"でやるとし よう。"IPポリシ−" の初めに送信元をメ−ルリレ−、 宛先をメ−ルストアとしチェック は無しとする。するとこのル−ル以外のメ−ルが 0.0.0.0/0, 0.0.0.0/0 で評価される。 すぐ上の設定で、送信元をメ−ルリレ−のマシンのIPアドレスにするということ。これ までのメ−ルリレ−とファイアウォ−ルの設定では、DMZ上の実IPアドレスからメ− ルストアのマシンへの通信になる。仮想IPアドレスではない。十分注意したい。 * FortiMail のスパムチェックのメニュ− [プロファイル]->[アンチスパム]->{アンチスパム} ファ−ムウェアをアップする前で ------------------------------------------------------------------- | アンチスパムプロファイル | |ドメイン: [--システム-- ] 灰色 |プロファイル名: [NspamR ] 灰色 |方向: [受信 ] 灰色 |デフォルトアクション:[NspamR-act ] デフォルトというのは左の設定 | NspamR-act を使うということ。 | スキャン設定 ↓ |〆▼FortiGuardスキャン アクション:[-デフォルト- ▽] | 〆ブラックIPスキャン アクション:[NspamR-act2 ▽] | 〆フィッシングURI アクション:[NspamR-act2 ▽] | □グレ−リストスキャン | □DNSBLスキャン [設定] | □▼ディ−プヘッダ−スキャン | □ブラックIPスキャン << 試しにやったことがあるが特に必要ないと思った。 | □ヘッダ−分析 | | 最新のファ−ムウェアにアップして FortiMail v5.2.6 にて ------------------------------------------------------------------- | | |〆▼FortiGuardスキャン アクション:[-デフォルト- ▽] | 〆ブラックIPスキャン アクション:[-デフォルト- ▽] | □ヘッダ内のIPをスキャン | 〆フィッシングURI [phishing ▽] アクション:[-デフォルト- ▽] | □スパムアウトブレイク制御 | □グレ−リストスキャン もう検知されたメ−ルは各ユ−ザの隔離に入れる | □SPFチェック ことにしよう。デフォルトアクションNspamR-act | □振る舞い分析 は検知したのは、以前からユ−ザ隔離に入れる設 | □ヘッダ−分析 定にしてある。NspamR-act2 はチェック項目は同 | | じで、システム隔離に入れる設定にしてある。 * 稼働を始めて気付いたこと FortiMail の [モニタリング]->[ログ]->{アンチウィルス} にたくさんログが出てきてい る。添付ファイルでウィルスそのものだけでなく、Word や Excel に張り付いたウィルス も対象にするということで、添付ファイルのメ−ルならなんでもチェックしているような のだ。これまでは {アンチウィルス} のログは滅多になかったのに。 たいがい2個とか5個とかチェック中になっている。[モニタリング]->[メ−ルキュ−]-> {FortiSandbox} にサンドボックスに送って検査中のメ−ルがリストされる。 と言うこと は添付ファイルの付いたメ−ルは、ほとんどが一時的に配信保留になっているのでないか。 でないかでなくて、そういうことになっている。 FortiSandbox で処理に負荷がかかって判定結果がでない場合がある。FortiMail v5.2 は キュ−に入ったメ−ルを30分で解放する。この判定は一応白となるらしい。サンドボッ クスに負荷がかかっているかどうかはステ−タスのペンディングの数を見ればおおよそ分 かるという。しかしウィルス入りメ−ルがすり抜けてしまう訳で、これはよろしくない。 FortiSandboxのオ−バ−ロ−ド状態が起きたら、負荷を減らすことを考えないといけない。 社内間のメ−ルはほぼ問題ないとすれば、そのメ−ルはサンドボックスのチェックはしな いようにしたらどうか。ウィルスチェックはするがサンドボックスチェックはしないとか。 社内のパソコンのIPアドレスで判断するとか、何かやれないか。 社内間のメ−ルをサンドボックスでチェックしない影響はいかに。社内のパソコンがウィ ルス感染して、そこから社内にウィルス入りのメ−ルを出す可能性がある。そのメ−ルが 検知されなくなってしまう。入り込んだウィルスが社内のメ−ルサ−バを探すぐらいのこ とは訳無い話である。外ヘの直接メ−ルはファイアウォ−ルのル−ルで止めるけど。 FortiSandbox が故障したりネットワ−クに繋がらなくなった場合、 チェックのメ−ルは FortiMail のキュ− [モニタリング]->[メ−ルキュ−]->{FortiSandbox} に溜まる。この メ−ルは30分で解放されるという。つまり社内間のメ−ルの配信が30分かかることに なる。FortiSandbox が故障するというのは滅多にないだろうが、一応覚えておくこと。 FortiSandbox のこと、ネットで改めて調べた。「日経コンピュ−タ」2014/06/06 の記事 が目についた。1000D の参考価格 852 万円。以下 1000D の性能。サンドボックスの処理 能力 160ファイル/時間。動作する仮想マシン数 8台。ウィルス対策能力6000ファイル/時 間。かなりの処理能力があるようである。 `2g/02/E頃、ここら辺り書いていて気付いたことがある。今回もう1社検討していたSI 業者の FortiSandbox の独自に作成した16ペ−ジの説明資料のこと。チェックの順番が コ−ド・エミュレ−ションと仮想OSサンドボックスで入れ替わっていた。Fortinet社の 5ペ−ジのパンフレットと改めて見比べた。どうも変だなとずっと思っていたのだ。 (5) FortiSandbox の運用とこれから `2g/02/e〜 * なんか挙動がおかしい−その1 ファ−ムウェアをアップして、どうもログの出方が変わったみたい。アンチスパムのログ に出ているけど、ヒストリのログでは Not Spam で、ちゃんとメ−ルが届いている。前は アンチスパムの所にこんなログは出てなかった。アンチスパムの変わったログで問題なし Antispam profile、max scan size:600KB、email size:1310KB、レベル Information、タ イプ spam。 ヒストリのログ、分類 Not Spam、処理 Accept;Defer Dispositon、方向 in、 ポリシーID 0:1:1、レベル information タイプ statistics。 最大スキャンメッセ−ジサイズ 600KB というのは、メールの本文が 600KB を超えるのは、 スパムのチェックをしないということ。スパムメ−ルはそんなにファイルサイズは大きく ないだろう。ん?、メ−ルの本文をチェックして行って、600KB を超えたところはチェッ クしないということか。メ−ル本文が600KB を超えていたら、そもそも何もチェックしな いということか。SI業者も今一つ分かってないみたい、いちど動作を確認してみないこ には。このログを見た時、こりゃようけ誤検知しているとあせった。 * なんか挙動がおかしい−その2 ウィルス入りメ−ルがスパムでは黒、サンドボックスは白と判定。全体ではウィルスが検 知されず抜けた。ヒストリでは分類 Not Spam、処理 Accept;Defer Disposition。サンド ボックスのログは Scan result: rating=CLEAN。アンチスパムのログは FortiGuard-Anti Spam identified spam IP: 1.2.3.4、score:1、レベル information、タイプ spam。チェ ックのポリシ−ID 0:2:1。spam IP は適当に変えた。昨年12月からよく来出した件名が invoice の英文。特に標的型とまでは言えないが、開いてしまう輩も出かねない。 本来なら止められるはずのメ−ルだという。この時 "ブラックIPスキャン" は有効にして なかった。これを〆にしていれば、メ−ルを止めたということはないか。それにまだこの 時 FortiSandbox はどうも初期不良みたいなことで動作が不完全だったらしい、そのため に黒の判定がされるはずだったのが装置の不具合により白判定された、ということはない か。このウィルス入りメ−ルは、自分の普段使いのパソコンではウィルスチェックソフト で脅威 "VBA/TrojanDownloader.Agent-ATGトロイの木場" で検知され止められていた。 * なんか挙動がおかしい−その3 前の記事でおかしいと書いている。"23-6.新メ−ルストアの安定稼働まで、(4)FortiMail で更なるスパム対策を" の中の記事にて。本来 [IPポリシ−] でメ−ルの送受信でウィル スをチェックするはずとのこと。それが社内から外部へは Discardされた。外部から社内 へは Accept で通った、ウィルス検知はされてもなぜかブロックされてなかった。不可解 な動作でファ−ムウェアのバグかも知れない。2000B と 200Dでテストしている時も2000B でウィルスチェックはパスしたが、200D に送ったメ−ルはスパムとして検知された。 仕様なのか初期不良なのか、ややこしい機械だけにいろいろあるわさ。 FortiSandbox を 設置して2週間程したところからウィルス入りメ−ルが抜けて来るのが増えてきて、まる で検知しなくなった。人様に来るのはたいがい自分にも来るので。ログをつぶさに書きだ して挙動を調べていた。そんなさなかに悪い時には悪いことが重なるもので事件が。すぐ さまSI業者とやり取りして、初期不良でライセンスがきちんと認識されてなかったらし いことが分かった。二日後にはSI業者のエンジニアが来て、きちんと対処してくれた。 * 何とか落ち着いて稼働を始めた "ブラックIPスキャン" でブラックリストもチェックするようにして、 サンドボックスも 正常に作動するようになって、翌日からは自分にも余分なメ−ルは全く来なくなった。ま るで静か。かえって大丈夫かしゃんと疑ってしまう。まっとうなメ−ルを止めているので ないかと。"ブラックIPスキャン"では黒になったメ−ルはユ−ザ隔離にした。これからは 自分でチェックしてもらう。サンドボックスで黒になったメ−ルは、これまでは破棄して たがシステム隔離にした。ログを見るよりも一目で分かるので、この方がいいだろう。 * FortiGate と FortiSandbox のメモ VirusTotal というサイトがある。https://www.virustotal.com/ja。疑わしいファイルや URLを分析する無料のサ−ビス。"19-7.安全なパソコン環境を提供する" で書いていた。 FortiSandbox ではウィルスチェックもあるし、どうしてかと思っていたが FortiSandbox 単体で透過型の設置で SMTP のメ−ルを対象にできるから。 FortiGate のC&C通信をブロックはアプリケ−ション制御で行なわれる。IPSライセ ンスが必要である。サンドボックスの連携には AntiVirusライセンスが必要である。 手元にある FortiGate-80C と今回導入の FortiSandbox で、 Web系のマルウェア対策 をテストしてみたい。部門用として本格的に設置するには FortiGate-100D は最低いる。 FortiGate は FortiSandbox でなく、クラウドサ−ビスの FortiGuard センタ−を利用す ることができる。何がしか登録する。どうやって登録するのだったか、確認すること。 FortiSandboxのファ−ムウェアはどんどん上げていい。特にメ−ルの送受信には影響ない。 アップの時間は正味5分もないのでないか。その間メ−ルは FortiMailのキュ−に溜まる。 FortiGate の設置モ−ドは。透過型またはNAT型で設置が1つ。プロキシサ−バとして 設置が1つ。もう1つパケット取得型で設置というのがある。 メ−ルのサンドボックスのことを先ずしっかり見てみる。Webアクセスのチェックも一 緒にやるとログなんかが混在して、訳が分からなくなるかも知れない。 FortiSandbox では FortiGate、FortiMail と言ったデバイス別、複数台の FortiMail 別 にログが出るみたい。FortiView の Threats by Devices でそれぞれが見られそう。 FortiSandbox は英語での画面。日本語表示は何か不具合があるらしい。画面上の {Help} で FortiSandbox Online Help サイトに行った、ここには翻訳メニュ−はなかった。 * 社内の重要部門へ FortiGate の設置 Google で FortiGate を検索したらでてくる フォ−ティゲ−ト専門サイト。 2月の特別 キャンペ−ンで FortiGate-60D バンドルが約10万6千円。FortiGate-100D バンドルが 約33万5千円。このサイトでの製品サポ−ト情報で 2016/01/26 FortiGate-80C の販売 終了のお知らせ、2016年4月14日 受注分まで、製品サポ−ト終了日 2021年4月21日。 80C ではその内、FortiSandbox とは連携できくなるかも知れない。FortiSandbox のパンフレ ットを見ると、連携の推奨モデルは FortiGate-100D が一番下である。できれば 100D を 今後のテスト用として1台欲しいところだ。勿論、必要な部門にも設置して行くのだが。 * FortiGate をパケット取得型で設置 ハブからポ−トミラ−でパケットを取得。アライドテレシスの FS917S がポ−トミラ−対 応でやれるかな、物は手元にあったかな。 FortiGate-80C は LinkProof を動作確認する ため、インタ−ネット疑似環境用のファイアウォ−ルとして設定した。だからNATモ− ドにしている。今一度 LinkProof の動作を Branch で確かめてみたいし。 NATモ−ド のままで、こっちのテストもやれないかと思った。自分のパソコンのブラウザの使用にお いて流れているパケットを対象にしてみる。パソコンの前にハブをかまして、ミラ−ポ− トの設定をして FortiGate にパケットを送る。 [ FortiGate-80C のファ−ムウェアは v5.2.4 ] wan2 をワンア−ムスニファとする。 [システム]->[ネットワ−ク]->[インタ−フェ−ス] の wan2 で、アドレッシングモ−ドをワンア−ムスニファ、セキュリティプロファイルは 〆アンチウィルスを有効。wan1 を見てもアドレッシングモ−ドの選択の所に、 ワンア− ムスニファはない、どうなっているのか。あるのはマニュアル、DHCP、PPPoE、Dedicated to FortiAP である。 [システム]->[設定]->[FortiSandbox] で FortiSandbox Settings の画面で。 〆Sandboxインスペクションを有効 ◎FortiSandboxアプライアンス IPアドレス [1.1.1.1 ][接続をテスト] << クリックしてFortiSandboxを Email通知先 [ikken@nix.co.jj ] 使いたいとリクエストを送る。 ○FortiSandbox Cloud(?) [システム]->[ダッシュボ−ド]->[ステ−タス] 画面でライセンス情報は。 "◇FortiCloud ・アカウント [アクティベ−ト]" "◇FortiSandbox ・FortiSandboxアプライアンス 〆有効" * とりあえずこの確認はできると思う テスト用に置いてある FortiGate を透過型で自分のパソコンの前にかます。 怪しいサイ トにアクセスしてみる?。Web系アクセスのファイルで怪しいのを FortiGuard センタ −に送りチェックしてもらう。チェックしてもらって本当に怪しいとなったら、センタ− でシグネチャが作られて、この FortiGate にも配信される。 配信といういい方は適切で はないかも。FortiGate がある時間毎にシグネチャがとりにいく。シグネチャは4時間ぐ らいで作られる。透過型で手元に設置する。最新のファ−ムウェアも入れてみるか。そう 思ってから数ヶ月が経ってしまった。ややこしいことはちっとも頭が働かない。 * FortiGate でのC&C通信の防御は アプリケ−ション制御の機能でやる。 テスト用の FortiGate-80C なら今すぐにでもテス トできる。FortiAnalyzer も使えばC&C通信を防御したというのをビジュアルに表示で きるのかな。FortiAnalyzer はファ−ムウェアを新しいものを入れてスタンバイさせてい る。故あってネットワ−クケ−ブルを抜いているが、差せばいつでも使える状態になって いる。ちょっとしたトラブルがあって、 問題の切り分けで FortiAnalyzer をネットワ− クから外したということがあり、そのままにしてしまっている。Fortinet社のツ−ルはこ れで揃った。FortiSandbox が落ち着いたのでここで頭を一度整理してから前に進もう。 * FortiGate と FortiSandbox の連携 何ができるのかどうもあやふやだった。 `2g/05/E 分かるエンジニアと話す機会があって 改めて尋ねた。Webアクセス(FTP もかな)でファイルをダウンロ−ドして来るところを FortiSandbox に送りチェックする。ファイルを止める訳ではなく素通りさせる。 後で危 険かどうか分かるということで、パソコンには入ってしまう。FortiGate では先ずはウィ ルスのチェック、次にサンドボックスでチェック、次にアプリケ−ション制御でチェック、 次にプロキシサ−バで Webfiltering でチェック。アプリケ−ション制御はモニタリング に使える、ランサムウェアのアプリを検知して止める。と言うことだが確認してみよう。