22-3. FortiGate の SSL-VPN 機能 (1) SSL-VPN 接続でスマ−トデバイス * 接続は簡単に確かめられた Android と iPad のタブレットで、FortiGate と SSL-VPNで接続できることが簡単に確か められた。タブレットに標準で入っているブラウザですんなり接続できた。何をもってス マ−トデバイスから社内にアクセスするのが難しいと言われているのか。iPad と iPhone の iOS 系のデバイスは Cisco のVPN接続、IPSec VPN なら大丈夫と言われたり。どう も特に Android での IPSec VPN でつなげるのは不安定なようである。IPSec VPN でやろ うとして、うなくいかなかったということではないのか。SSL-VPN だと別に難しさはない のでないか。まあアプリも入れてみてトンネルモ−ドもやってみようではないか。だんだ んとイメ−ジが掴めてきた。触ってみないとやはり分からない。実際に調べてみて結果ど うだったかまとめておく。FortiGate では Android と iOS スマ−トデバイスではトンネ ルモ−ドはできなかった。FortiGate 用の Android アプリでは Web,Telnet,RDP,FTP,SMB ができた。同じく iOS アプリでは Web,FTP,SMB ができた。OTP は両者共できた。 * デバイス接続の予想と結果 *** 先ずはブラウザで確認したこと *** FortiClient なしでも、ひょっとしてもうアクセスできるのでないか。SSL-VPN アクセス は、一番基本的にはブラウザさえあればできるはず。OTP もブラウザの表示の中でのこと だから、スマ−トデバイスにブラウザさえありさえすれば、そのままできるのでないか。 ブラウザは証明書が扱えるかどうかとか、どこかに注意書きがあったのを見たが。クライ アント証明書もブラウザに入れて双方向認証するのはできないとか、そういう話ではない のか。スマ−トデバイスのブラウザでは、クライアント証明書が入らないとか。 東芝の Android 4.0 のタブレットで試してみた。ビルトインのブラウザで SSL-VPN アク セスできた。OTPもそのままできた。Chrome ブラウザのβ版をダウンロ−ドしてもやった、 問題なくできた。証明書を許可するかうんぬんの画面がどちらもでたがそのまま続行で。 Android 用のアプリは検索したら、Fortinet for Android と FortiClient Lite Android があった。Fortinet for Android はポ−トフォリオと説明書きがあるので、Fortinet 社 の Android アプリの列挙、紹介ということだろう。 RDP も直ぐにできると思いきや、できんかった。Java の Appletを入れてくれと出てきた。 そこをクリックしたら Oracle の Java の実行環境をインスト−ルするサイトにつながっ た。甘かったな。これ以上は進みそうにないので FortiClient を入れてやってみるか。 * メモに思い付きにつぶやき fortinet 社で接続できる機種を確認している。iOS系の iPhone と iPad は、リモ−ト接 続させるのはそんなに難しくはない。むしろ簡単だよと、とあるSI業者のエンジニアさ んが話していた。なる程つなぐだけならそうだなと何となく分かった。`2c/05/E IPSec VPN やるだけなら、iPad に備わっているVPN機能でやれるのでないか。 どうも そのやり方のレポ−トが fortinet のサイトに出ているのでないか。実際に iPhone のメ ニュ−を見た、[一般]->[ネットワ−ク]->[VPN] というのがあった。 iPhone の [一般]->[ネットワ−ク]->[VPN]。 つまり接続するだけなら特にソフトウェア を入れることなく、できるということ。スマ−トデバイスではソフトウェアではなくアプ リと言うべきか。これで不安定なら Cisco IPSec VPN Client が比較的いいよということ。 個人持ちの iPhone を見せてもらった、FortiMobile SSL-VPN と FortiToken Mobileとい うのがあるのを確認した。FortiToken Mobile の説明画面には iPhone の画面にパスワ− ドらしき文字列がでていた。どうも FortiMobile 用の OTP ソフトでないのか。 iPhone と iPad の違いは。iOS であることは変わりないのでないか。iPhone が対応にな っているのであれば iPad もできるのでないか。基本的なことがまだよく分かってないな。 なんせ自分ではまるでこうしたデバイスを持ってない、買ったことがないんで。 インタ−ネットを見てたらこんな文面もあった。FortiMobile SSL-VPN (Webモ−ド)、OTP あり。ドキュメントを見てみないと。iPad の新しい iPad2 はどうか。ネ−ミングが混乱 してたようだが。目新らしさはないけど使い易くなっているみたいだ。 Android, iPhone, iPad には ping のソフトも入ってない。別途アプリを取って来ないと いけない。300円ぐらいで売っているとか、無料のもあるとか。iPhone のネットワ−クの 設定で、[一般]->[ネットワ−ク]->[VPN] アプリ?で L2TP,PPTP,IPSec 設定をする。 パケットの流れを見るUNIX系の tcpdump、Windows 系の windump、ネットワ−ク管理 者には必須だ。SSL-VPN 装置の設定を社内の自分のパソコンでやる場合、SSL-VPN 装置を 経由してアクセスしているのか直接なのか、そんな場合パケットの様子を調べてみたい。 * ともかく資料をかき集める インタ−ネットで検索したら CTCSP サイトに、FortiGate の PDF ドキュメントがあった。 http://www.ctcsp-support.jp/fortigate/support/ の {その他のドキュメント}にこれも あった "iPhone/Android端末によるIPSecVPN接続設定について",15ペ−ジ。会員でないと 見れないとかユ−ザ登録するとかはない。 Google で検索したらでてきたので載せること にした。OTP デバイスの FortiToken の記事もある、"FortiGate FortiToken の連携方法 について"、11ペ−ジ。SSL-VPN 接続で端末は Windows XP での話が載っていた。CTCから 物を買っているならば "CTC Solution DataBase" を調べられたい。FortiGate のSSL-VPN 接続の手順書がある、プロキシ利用それにトンネル接続のことも書かれている。 SoftBank のサイトが調べたらでてきた。iPad と iPhone を売っている訳で FortiClient も関係しているからか。よく見たら Fortinet 社の製品全般を販売してた。 FortiClient のサポ−トサイトのサポ−トデ−タダウンロ−ドの画面にて。FortiClient は最新バ−ジ ョン 4.0MR3Patch。 FortiClient 4.0 MR3 Licensing Guide というとこの「FortiClient Licensing Guide」ドキュメントには "FortiClient-Lite version 4.3" と "FortiClient version 4.3" と "FortiClient Premium" は IPSec, SSL, Two Factor Authenticationに 〆が入っていた。日本語でのこのサイトの説明は "FortiClient-Lite version 4.3" には Two Factor Authentication は〆はなかった。 「FortiClient Lite for Android Devices QuickStart Guide」December 15,2011、15ペ− ジ。接続の方法は SSL proxy VPN connection。RDP, SSH, VPC を利用する場合は TELNET もできるようにしておくこと、ソフト内部で利用するため。アプリを起動するとサ−バで ある FortiGate から bookmarks をダウンロ−ドしてくる。 WEB,FTP,SMB,Telnet,SSL は このアプリに内臓されている。 他のプロトコルのは 3rd パ−ティのアプリを入れて使う。 {FortiClient Lite}の画面メニュ−には、ブラウザ : Firefox、RDP Client : 2X Client、 メ−ルソフト : K-9 Mail POP3/IMAP4/SMTP 対応。 「FortiClient for iOS v2.0.0 GA QuickStart Guide」June 26,2012、16ペ−ジ。 ダウン ロ−ドした、FortiClient_iOS.mht 2,673 KB MHTMLドキュメント。ブラウザの IE8で開い てみた。ActiveX うんたらと表示された、 そこで ActiveX を許可するとクリックしたら ドキュメントが表示されてきた。クライアント用のデジタルIDの生成のことが最初に書 かれている。OTP の FortiToken 画面もある、アプリ FortiToken を入れよとは書かれて いない。FortiClient 画面の Bookmarks にはユ−ザ自身で追加できる、[WEB] を wikiと いう名前で追加している例がでている。追加できるのは FTP,WEB,SMB だけと思われる。 * FortiGate 用のアプリ `2c/02 頃調べ [ iOS 用 ] FortiMobile SSL-VPN。トンネルモ−ドはなし。iTunes Store から無料でダウンロ−ドで きる。iPhone スクリ−ンショットには {ABC Comany Mail Server} というのがあるが。 http://iphone.appinfo.jp/ の Appinfo for iPhone/iPad。FortiMobile SSL-VPN があっ た、無料、2012年02月01日、バ−ジョン1.0、398.7 KB。Webモ−ド、OTPサポ−ト。 FortiToken Mobile バ−ジョン1.1.1 というのもあった。無料、更新2012/05/02。デバイ スの OTP のソフト版みたいだが。FortiMobile SSL-VPN と関係があるのか不明。 [ Android 用 ] FortiClient Lite Android。SSL-VPN。Android Market から無料ダウンロ−ド。 Android 2.2 or 2.3 対応。OTP 対応(二要素認証サポ−ト)。 http://android.appinfo.jp/ の Appinfo for android にて。FortiClient Lite for And roid(Beta) requires Android version 2.2 or 2.3。 Android 標準搭載の L2TP/IPSec 機能を利用してVPN接続する。Android OS Ver2.1 以 降、FortiOS 4.0MR3 以降。2011年6月頃の情報。 * タブレットの無線LAN接続 Android の標準ブラウザにはプロキシの設定項目はない。 WiFi の設定でプロキシの設定 をやっておく、この設定をブラウザは参照するということ。無線LANの設定を確認する こと。無線LANはブリッジ接続でただのハブみたいな設置でいいだろう。ここでのテス トではタブレットは無線LANの親機に接続するようにした。 Android タブレットでのネットワ−クの設定は、 無線LANである Wi-Fi の設定のとこ を見る。Wi-Fi の状況を見たら、接続状況 接続済み、電波強度 非常に強い、リンク速度 65Mbps、セキュリティ WPA PSK とでてきた。それに Wi-Fi 設定で固定IPアドレスを振 るか DHCP サ−バを使うかも指定する。メニュ−の切断を触れると設定が消える?。 * Android タブレットの様子 Android 搭載スマ−トフォンでの設定の動画があった。YouTube に乗っている。自宅で休 みの日に見つけてみていた。Google で検索 [ FortiClient Lite Android Google ]でト ップにでてきた `2c/06/M。トンネルモ−ドはできない。 動画の説明ではスマ−トフォン で FortiClient のメニュ−に SMTP がある、しかし FortiGate 本体がまだ対応してない。 アプリの FortiClient 入れて FortiGate に接続した、OTP もできた。SSL-VPN 接続の方 式は SSL proxy VPN connection という。FortiClient のメニュ−にでてきた RDP、クリ ックしたら先ずはアプリをダウンロ−ドする、RDP のクライアントのアプリ "2X Client" 素直に入った。内部に設置したパソコンに RDP してみた、ログオン画面は出てできた。 * iPad タブレットでの様子 iPad で探したら iPad 用でなく iPhone 用で FortiClient があった。このソフト出たば っかり。バ−ジョン2.0、リリ−ス2012/6/22。FTP,SMB/CIFS,Web のみできる。FortiGate 側で RDP や Telnet をメニュ−に入れていても、FortiClientのメニュ−にはでてこない。 内部ネットのWebサ−バへアクセスはできた、FTP サ−バへのアクセスもできた。 iPhone 用のアプリということなのだが iPad で起動したら、iPhone のサイズで表示され た。iPad の画面一杯に表示することはすぐにできた。特に iPhone用だから iPad では使 えないということはなかった。どうも分かりにくいのが FortiMobile というの、 これは なくす方向にあるのでないか。6月にでてきた FortiClient を主にして行くのでないか。 (2) UTM で SSL-VPN 経由のタブレット * Android での設定の様子 [ Android での FortiClient ] 動画をしっかり見たが "22-4.スマ−トデバイス利用への道,(2)UTMでPCで単にSSL-VPN" と設定は結局同じだと思う。動画では RDP の設定が説明されていたのは参考になった。 ・ユ−ザ hanako、二要素認証の場合 ◎Email, hanako@nix.co.jj。 グル−プ HANAKO、メンバ hanako、◎ファイアウォ−ル、〆SSL-VPN 許可 web-access。 ・wan1->internal で (wan1,all),(internal,192.168.1.0)、アクション SSL-VPN。 SSL-VPNユ−ザ:ユ−ザグル−プ HANAKO、サ−ビス ANY。 ・[VPN]->[SSL]->[ポ−タル] Web desu, Telnet, RDP, FTP, Samba desu を作成。 Android に入れたアプリで --------------------------------- ------------------------------------- |@FortiClient Lite OTP を |@FortiClient Lite |-------------------------------- 設定し |------------------------------------ | Please Login \ た場合 | Enter the 6-digit FORTINET TOKEN \ |-------------------------------- |------------------------------------ | User [ hanako ] >> | [ ] | Password [ ] | ↑ | □ Show password メ−ルでワンタイムパスワ−ドが届い | ているはずなのでそれを記入すること。 | [ Connect ] アカウントを入れて [ Connect ] を押すとサ−バである FortiGate に接続し Bookmarks をダウンロ−ドしてきて左下の画面が出てくる。"Web desu"などというのは自分が書いた 説明。初めてクリックすると、実際に利用するアプリを紐づけを先ず行なう。[Web] では 標準で入っている "ブラウザ" というブラウザを選ぶか、 "Playストア" から Chrome を 取ってきて入れておけば、どちらかを選ぶことができる。 ------------------------- --------------------------------------- |@FortiClient Lite | Installation Needed | |------------------------ | | | VPN Bookmarks \ | Install "2X Client", then connect | |------------------------ | to server "localhost" on port 3389 | | [web ] Web desu Click |-------------------------------------| | [rdp ] RDP desu ---------> | [install] | | [telnet] Telnet desu --------------------------------------- | [ftp ] FTP desu | [smb ] Samba desu telnet もダウンロ−ドする、ConnectBot というの。 [install] をクリックすると、インタ−ネットの "Playストア" からとってくる。ネット ワ−クの設定でプロキシサ−バのIPアドレスを記入したらとってきた。ちゃんとアクセ スできていない、"読み込んでいます...." と出て回っているだけ。 RDP の設定は [rdp] で "2X Client" の設定画面を出してやる。サ−バは localhost とする、動画でそうやっ ているのを見たので。ユ−ザ名とパスワ−ドはパソコンで使っているのを記入する。 ※[ポ−タル] に {接続ツ−ル} を入れてもクライアント画面にはそれは出てこなかった。 [ Android でのブラウザ ] ------------------------------ | https://192.168.1.9:10443/ |----------------------------- | -------------- | | Web | Telnet と RDP は Applet をダウンロ−ドせよとでた。FTP は | | RDP | 5秒ぐらい表示するのにかかった。Web,FTP,Samba はブラウザ | | Telnet | が別に開いて表示される。 | | FTP | | | Samba | FortiGate で SSL用のポ−タル画面に、接続ツ−ルを入れたら | -------------- 表示された。RDP の場合はやはり Applet を入れてくれとでて | きた。OTP は有効だった。 * iOS での設定の様子 [ iPad での FortiClient ] アプリの {FortiClient} をクリックして。ユ−ザ hanako。二要素認証(OTP) するように したら OTP を入力する画面がでてきて、できた。初め FortiClient でログインしたとこ ろでエラ−が出たのだが。出てくるメニュ−は WEB,FTP,SMB のみである。 ---------------------------------- --------------------------- | > | |[WEB] Web desu | | | |User Name hanako | | | |------------------| | ここのメニュ | |Password | | | |[FTP] FTP desu | | −の記述、日 | ------------------------ | | |------------------| | 本語もiPadな | | | |[SMB] Samba desu | | んかでちゃん | | | -------------------- | と表示された。 ---------------------------------- --------------------------- [ iPad でのブラウザアクセス ] Android でのブラウザの場合と出てくるメニュ−も OTP ができるのも一緒。 ブラウザは Chrome でも Safari でも同じだった。https://192.168.1.9:10443/ でアクセス。ブラウ ザにキャッシュされた様子はどうやってみたらいいのか。IEなら閲覧の履歴相当の所か。 [ iPad での FortiMobile ] アプリの {FortiM-VPN} をクリックして。OTP に対応しない。OTP を設定したユ−ザでは ログインのところではじかれる。ただし FortiGate からは OTP が発行されている。ログ インできても、メニュ−は Webサ−バのしか出てこない。 ------------------------------------------ --------------------------------- | Portal Login | |[Edit] SSLVPN Portal [Settings]| |----------------------------------------| | | | Server: [https://192.168.1.9:10443 ] | >> | ----------------------------- | | Name: [ ] | | | Web desu | | | Password: [ ] | | ----------------------------- | | [ Login ] | | | ------------------------------------------ --------------------------------- * 主なアクセス方法 [ トンネルモ−ド ] 何でもできるモ−ド Windows 用の FortiClient Connect ソフトのモジュ−ル {SSL VPN} でトンネルモ−ドの 設定ができる、{IPSec VPN} モジュ−ルはそのままトンネルモ−ドである。トンネルモ− ドではクライアントに一時的なIPアドレスを振る。 NEC製の Android タブレットの LifeTouch には FortiClient が組み込まれていて、これには IPSec VPN も入っている。 [ プロキシモ−ド ] Webプロキシともリバ−スプロキシとも言う Android と iOS 用の FortiClient アプリはプロキシモ−ドである。FortiMobile も同じ く。これらには IPSec VPN 機能はない。独自に入手した FortiClient ソフトの一覧には iPhone,iPad 用に FortiClient Mobile SSL-VPN、Webモ−ドと書かれてあった。 しか しこの名前のアプリはないし、Webモ−ドというのもおかしい。名称が混乱している。 * ポ−トフォワ−ディングを試す `2c/08/s これまで分かったことはタブレットでは iOS も Android のアプリも、 SMTP と POP3 に は対応してない。これではタブレットから社内のメ−ルサ−バにアクセスしてメ−ルのや りとりができない。ポ−トフォワ−ディングの機能があるので、ひょっとするとこれでや れるのでないか。"(3)UTM をDMZに設置してのテスト" の環境では、うまくできなかっ たが。以下の絵のように Qube3 の SMTP/POP3 サ−バで試してみる。 「SSL VPN FortiOS Handbook v3 for FortiOS 4.0 MR3」を読むと、 どうもポ−トフォワ−ディングをやるに は、ブラウザにそれ用の Java Applet をダウンロ−ドするようである。 でもブラウザの 一体どこにその Applet が入ったのか分からない。 ------------------------------------------------------ 残念これではできない!。 | [OK][Cancel][Apply][Settings] |----------------------------------------------------- | Welcome to SSL VPN Service | [ウィジットの追加 ▽] |----------------------------------------------------- ||接続ツ−ル ||---------------------------------------------------- ||タイプ: [ポ−トフォワ−ディング ▽] << HTTP/HTTPS,FTP 等 [Settings] ||ホスト: [192.168.1.9 ] で〆したプロトコルが出てくる。 ||リモ−トポ−ト: [110 ] << これらは POP3用。SMTP用の 25 ||リスニングポ−ト: [110 ] << 番も定義すること。 || このポ−トにトラフィックを送信する || ためにアプリ側を設定してください || 〆ステ−タス表示 || [接続] |----------------------------------------------------- | △WinXP Windows XP は自分の普段使いのパソコン。 メ−ルは |.7 192.168.1.0 Outlook を使用。メ−ルのテストに Outlook Express ------------------------ を使う。Outlook Express で SMTP/POP3サ−バのIP WAN1|.9 アドレスを 192.168.1.9 とする。UTM の192.168.1.9 NAT---------- で SMTP/25 と POP3/110サ−バが動いているとみなす。 | UTM | そこにアクセスすると、UTM がポ−トフォワ−ディン ---------- グ機能でもって、Qube3 の SMTP,POP3サ−バにパケッ LAN|.1 192.168.0.0 トを転送するという。そのはずなのだがどこかがおか ------------------------ しい。Firefox でやってみたらログインしたところで、 |.3 SSL VPN ホストチェック Java アプレットがダウンロ □Qube3 −ドできませんでした。とでた。 ---------------------------------------------------------------------------- | 送信元 宛先 スケジュ−ル サ−ビス アクション ステ−タス NAT | |--------------------------------------------------------------------------| | ▼internal -> wan1 | | all all always ANY ACCEPT 〆 〆 | | ▼wan1 -> internal | | all QUBE_SVR > > SSL-VPN 〆 〆 | ---------------------------------------------------------------------------- [VPN]->[SSL]->[ポ−タル] に最初から入っていた [web-access] で [Settings]のところ HTTP/HTTPS, FTP, RDP, SMB/CIFS, SSH, Telnet, VNC, Ping に〆 してある。加えてポ− トフォワ−ドに〆した。 {接続ツ−ル} のメニュ−では "ポ−トフォワ−ド" はでてきた。 {Bookmarks} の追加メニュ−では "ポ−トフォワ−ド" は出て来なかった。しかし {接続 ツ−ル} ではその都度、メ−ルサ−バ相当のIPアドレスにポ−ト番号を入力しなくては いけない。これは面倒である。RDP 接続で社内の自分のパソコンにつなぐという使い方な らいいが、それぞれのユ−ザが自分のパソコンのIPアドレスをそこで打ち込むのである。 -------------------------------------------------------------------------------- 次にやった検討は "(4)ポ−トフォワ−ディングが鍵かも"である。ここで動作を確かめて すぐ下の Android での記事に続けた。 Android タブレットでの {FortiClient Lite} ア プリで、メ−ルの送受信もできるようにした。残念ながら iPad のアプリでは FortiGate で作った同じメニュ−にアクセスしても SMTP,POP3 のメニュ−自体が出てこなかった。 -------------------------------------------------------------------------------- * Android でポ−トフォワ−ドでメ−ル送受信 `2c/08/M メ−ルソフトは最初、標準で {メ−ル} という名前のアプリが1つ入っている。 {Gmail} も入っていたかも知れない。Android の {FortiClient Lite} でメ−ルの SMTP、POP3 の メニュ−のところには "K-9 Mail" というアプリを入れてくれと、でてきていた。指示に 従ってダウンロ−ド、インスト−ルしたらロボットの犬の顔をしたアイコンの{K-9 Mail} が入った。ここでの設定には Java Applet は関係しない。 ------------------------------------------------------ FortiGate-80C で設定作成。 |Bookmarks | [VPN]->[SSL]->[ポ−タル] |----------------------------------------------------| にて、POP3 用にポ−ト110 |名前: [SMTP desu ] | でエントリを作る。 |タイプ: [ポ−トフォワ−ド ▽] | |ロケ−ション: [192.168.0.3 ] | {〆ステ−タス表示}にして |リモ−トポ−ト: [25 ] | いても Android ではTable |リスニングポ−ト: [25 ] | は表示されなかった。 ------------------------------------- ポ−タルで作成したメニュ− {Bookmarks} |@FortiClient Lite の所は表示された。{接続ツ−ル}もメニュ |------------------------------------ −として作ったがそれは表示されなかった。 | VPN Bookmarks \ Android のアプリでは有効でないのだろう。 |------------------------------------ | [Web ] Web desu SMTP も POP3も同じソフトを使う。どちら | [ftp ] FTP desu かで "K-9 Mail" のアプリを入れればいい。 | [rdp ] RDP desu | Proxy 3389: 192.168.0.2 -------------------------------------- | [telnet] Telnet desu | Installation Needed | | Proxy 2023: 192.168.0.3 | | | [smtp ] SMTP desu <-- | Install "K-9 Mail", then connect | | Proxy 2025: 192.168.0.3 | to server "localhost" on port 2025 | | [pop3 ] POP3 desu <-- |------------------------------------| | Proxy 2110: 192.168.0.3 | [install] | ------------------------------------- -------------------------------------- "K-9 Mail" をダウンロ−ドしてきてインスト−ルを先ずやる。{K-9 Mail} アイコンをク リックしてメ−ルの送受信の設定を行なう。しかしこれで半日ぐらい手こずった。このア プリの設定というか使い方が分からなかった。タブレット画面全体が"katou:受信トレイ" と出てくるだけでメ−ルソフトらしい画面がでてこない。画面下のBCGの予防接種跡の ような斑点が設定画面を出すマ−クだと分かるまでだいぶかかった。仕方ないので Qube3 のタブレットから直接アクセスして、SMTP/POP3 サ−バへの設定を通常のように設定して、 メ−ルがやりとりできるか確認した。以下は {K-9 Mail} のメ−ルの設定。 SMTPサ−バ:127.0.0.1、ポ−ト:2025、このサ−バは認証が必要。 POP3サ−バ:127.0.0.1、ポ−ト:2110、認証タイプ PLAIN。 ------------------------------------ 上のメニュ−の [smtp] または [pop3] をクリ | Opening bookmark | ックすると出てくる画面。[ Open ]をクリック | | したらタブレット画面全体が "katou:受信トレ | Configure "K-9 Mail" with server | イ"となった。つまり直ぐに"K-9 Mail" にアク | "localhost" on port 2110 | セスしているということ。FortiClient で接続 |----------------------------------| した後は {K-9 Mail} アイコンを直接操作して | [ Open ] | もメ−ルの送受信はできる。ポ−トフォワ−デ ------------------------------------ ィングの設定ゆえにできることで注意したい。 [web] をクリックすると https://192.168.1.9:10443/proxy/http/192.168.0.3/となり中 身が表示される。ブラウザ用のアプリに直接、このURLを入れても中身は表示されずに、 https://192.168.1.9:10443/remote/login とログイン画面がでてくる。[telnet] もそう で {ConnectBot} アプリを直接クリックしても、何やら説明書きがでてくるだけで、その ままでは使えそうにない。いやそんなことはないか単純にはできるはず。説明書きを順々 に次を見て行くと "ユ−ザ名@IPアドレス:ポ−ト番号" というアクセス先を入れよと出 てきた。FortiClient 接続状態において、多分これに従って入力しても Qube3 に telnet はできないのでないか。FortiClient メニュ−の中からしかできないのでないか。 (3) UTM をDMZに設置してのテスト * テスト環境での動作の確認 ここでのテストはファイアウォ−ルがあって、DMZ上に FortiGateを設置して SSL-VPN 装置として機能させる検討でもある。あるいは SSL-VPNのクライアントとしてパソコンや スマ−トデバイスを社内のネットワ−クにあって設定し、動作確認する場合の話でもある。 これらの設定は Fortinet 社のサイトやSI業者のサポ−トなど、どこにも書かれていな い事柄である。ひょっとしたらこうしたらできるのでないか、多分そうでないかと実際に 試して動作確認したことである。例えば int->int などという、ちょっと意味が取れない ル−ルを作ることによって SSL-VPN のアクセスができたとか。 [ リバ−スプロキシ方式 ] ル−ル3)を加 △PC2 WinXP ル−ル1)だけでできる事 えてできる事 |.7 -------------------------- 192.168.1.0 |.192.168.1.9 |.9 NAT------- NAT------- Qube3 | UTM | PC1 Qube3 | UTM | PC1 □ ------- △ □ ------- △ |.3 | .1 |.2 |.3 | .1 |.2 -------------------------- 192.168.0.0 -------------------------- 192.168.0.0 1) int->int (all,QUBE_SVR,>,SSL-VPN) にて PC1 のブラウザで https://192.168.0.1:10443/, https://192.168.1.9:10443/ OK。 wan->int (all,QUBE_SVR,>,SSL-VPN) ル−ルは関係なし。 2) int->int を無効にしたら、つまりステ−タスの〆なしにして。 https://192.168.0.1:10443/, https://192.168.1.9:10443/ でログイン画面は出た、 しかしアカウントを入れたら "エラ−:不許可" となった。 3) wan->int (all,QUBE_SVR,>,SSL-VPN) WAN側設置のパソコン PC2 からも SSL-VPN 接続できるようにする。Qube3 の Web サ−バにアクセス https://192.168.1.9:10443/proxy/http/192.168.0.3/。 [ トンネルモ−ド方式 ] PC2△ FortiClient ↓ | ---------- -------------------------- 192.168.1.0 |ssl.root| 静的経路 |.9 ---------- NAT------- ↓192.168.193.x(トンネルIP) Qube3 | UTM | PC1 / ̄ ̄ ̄\ □ ------- △FortiClient \___/ |.3 | .1 |.2 | sslvpnトンネルインタ− -------------------------- 192.168.0.0 ↓ フェ−ス [ル−タ]->[スタティック]->[スタティックル−ト] で 宛先IP/ネットマスク[192.168.193.0/255.255.255.0]、デバイス[ssl.root ▽]。 192.168.193.0 は自社内で使っているIPアドレスに勝ち合わないように付ける。 4) int->int (all,tunnel-192.168.193.0,>,SSL-VPN) ssl.root->int (tunnel-192.168.193.0,QUBE_SVR,ACCEPT) NAT有効 LAN側 PC1 の FortiClient ソフトで 192.168.0.1 へ接続。192.168.1.9 は不可。 5) int->wan (all,all,ACCEPT) wan->int (all,QUBE_SVR,>,SSL-VPN) 4) に加えたらLAN側 PC1 の FortiClient ソフトで 192.168.1.9 へ接続できる。 6) wan->int (all,QUBE_SVR,>,SSL-VPN) ssl.root->int (tunnel-192.168.193.0,QUBE_SVR,ACCEPT) NAT有効 これも加えるとWAN側 PC2 の FortiClient ソフトで 192.168.1.9 へ接続できる。 PC2 のパソコンまたはスマ−トデバイスで FortiClient、または Windows のブラウザIE8 にて 192.168.1.9 にアクセスする。いったんトンネルが張られると、PC2側から好きなよ うに内側資源にアクセスできる。ここでは Qube3しかないが。PC2 がパソコンならDOS 窓で >ftp 192.168.0.3 と telnet 192.168.0.3。スマ−トデバイスならメニュ−からftp、 telnet ができる。 ブラウザではパソコンでもスマ−トデバイスも file://192.168.0.3/ で Qube3 の Samba サ−バへ、http://192.168.0.3/ で Web サ−バへアクセスできる。 * サ−バをDMZに置く場合 ここではDMZに Qube3を置いている。これにLAN側からWAN側からアクセスできる ようにする。UTM はファイアウォ−ルで FortiGate とする。Qube3 の代わりにFortiGate を設置すれば、それで SSL-VPN 機能を用いればという話である。 一般ユ−ザはWAN側 からのみアクセスできればよく、下記のル−ル 1) があればいい。ネットワ−ク管理者が SSL-VPN 機にユ−ザの登録などする際は、社内から SSL-VPN 機にアクセスしたい。 アク セスできた方が便利である。その場合 2) のル−ルもしくは 3) のル−ルを追加しておく。 △PC1 "Qube3_VIR" [ファイアウォ−ル]-> Internt | [バ−チャルIP] External インタ− / ̄ ̄ ̄ ̄ ̄ ̄ ̄\ (Qube3_BAR) フェ−スport1(wan)、スタティック \_______/ □Qube3' NAT、 外部IPアドレス 192.168.1.4、 | |.4 Barrier Segment マップ先IPアドレス 192.168.2.3。 -------------------------- 192.168.1.0 |.9 □Qube3 "Qube3" [ファイアウォ−ル]->[ア NAT------- |.3 DMZ Segment ドレス] 192.168.2.3、インタ−フ PC2 | UTM |---------- 192.168.2.0 ェ−スAny。 △ ------- |.2 | .1 Internal Segment "Qube3_BAR" [ファイアウォ−ル]-> -------------------------- 192.168.0.0 [アドレス] 192.168.1.4、Any。 1) wan->dmz (all,Qube3_VIR,HTTPS) NATナシ PC1 から Qube3' の 192.168.1.4 に SSL-VPN アクセス。 ※ここでの UTMは最新 の FortiGateではない。 2) int->dmz (all,Qube3,HTTPS) NATナシ PC2 から Qube3 の 192.168.2.3 に SSL-VPN アクセス。 3) int->wan (all,Qube3_BAR,HTTPS) NATアリ PC2 から Qube3' の 192.168.1.4 に SSL-VPN アクセス。 FortiGate-80C をファイアウォ−ルに、FortiGate-50B をDMZ上においてテストすると いうのはどうか。50B が最新のファ−ムウェアに対応しているのか、そこがちょっと不安 だが。S社のサイト見たら対応してた。4.0MR3P6 書いてありました。50Bはまだ販売終了、 サポ−ト終了のアナウンスがない。50 と 50A はサポ−ト終了のアナウンスはされている。 手元の 50B のファ−ムウェアはバ−ジョン 3.00,build0480,070330 だった。メニュ−の [VPN] には [IPSEC] と [証明書] があるのみ、SSL-VPN機能は無かった。ネットで見たら 個人で 50B を買ってファ−ムウェアを 4.x に上げ、この章のようなスマ−トデバイスの テストをやっているサイトがあった。多分 50B でも 4.x にあげて大丈夫と思う。 `2f/04/E 追記。上記のル−ルには dmz->wan が無いが、"all all ANY ACCEPT NAT有効" が dmz->wan に記載されているとしている。Qube3 からインタ−ネットへの発信IPアド レスは Qube3_VIR の設定と関係して 192.168.1.4 からになる。NAT無効だと192.168.1.9 からになる、プライベ−トIPアドレスである 192.168.2.3 からにはなったりしない。 * 実際の回線を含めたプラン / ̄ ̄ ̄ ̄\インタ−ネット a)がずっと使っているインタ−ネット回線。b)はその予備 \____/ 回線ということで、一時は回線冗長化装置の LinkProofを a): :b) □仮想IP かましていた。プロキシサ−バの NetCache が社内にあっ : : |.4 て、LinkProof も通すようにすると、どうもマイクロソフ ---------------------- トのサイトへのアクセスが不安定なことがあった。それで |.9 □SSL-VPN しばらくして LinkProof は外して b)回線の宙ぶらりんに。 NAT------- |.3 LinkProof の方式は数年前に変わったと聞く。それにHA | UTM |---------- 構成が簡単に取れる機器も出ているようだ。SSL-VPN アク ------- セスは主にb)回線を通すようにする。a)回線が混んできて | .1 b)がその時すいていれば、使ってもらうとか多分できそう。 ---------------------- iPad / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\―△ リバ−スプロキシ方式なんかで SSL-VPN 装置、FortiGate \________/ を設置する場合。インタ−ネットの回線を別途引いて装置 a): b): で WAN側、LAN側として設定する。WANのインタ−フェ−ス : : はプロバイダから割り当てられたパブリックIPアドレスを --------------- :WAN 1つ付ける。現在までインタ−ネットの予備回線というこ |.9 □ SSL-VPN とで契約はしてある。8個のパブリックIPはあるので、こ NAT------- |LAN うしたネットワ−ク接続はやろうと思えばできる。パブリ | UTM |---------- ックIPは1個あれば済む話である。しかし SSL-VPN のWAN ------- 側に直接回線をつなぐという考えは、正直なところ小生に | .1 はなかった。SI業者のエンジニアさんに聞いた事である。 ---------------------- (4) ポ−トフォワ−ディングが鍵かも `2c/08/m * どうやってアプロ−チしてみるかそれに情報収集 普通ポ−トフォワ−ディングはファイアウォ−ルの機能として使われる。パブリックIP アドレスが例えば1つしかない場合、このIPアドレスの 80 番ポ−トへのアクセスを内 部に設置したWWWサ−バにパケットを送って処置するのである。なので先ずはファイア ウォ−ルとしてポ−トフォワ−ディングを試してみないといけない。それが確認できてか ら SSL-VPNにあるポ−トフォワ−ディングの機能が、どうなるかやってみるという手順が まっとうだと思う。多分、勘だがひょっとするとファイアウォ−ルとしてポ−トフォワ− ディングの設定をした上で SSL-VPN の設定なのかもしれない。 ポ−トフォワ−ディングの設定に参考になりそうな雑誌記事を探してみたが、あまりない。 「NETWORK MAGAZINE」2004/03, P.178〜, Radish で作る簡単メ−ルサ−バ。サッポロソフ ト開発工場の SMTP/POP サ−バ。 ポ−トフォワ−ディングで内部ネットに設けた Radish サ−バに外からアクセスする。 ダイナミックDNSも利用、http://home.big.or.jp/ が 運営する MyDNS.JP サ−ビス。「Software Design」2010/09,P.64〜68,"第2章sshポ−ト フォワ−ディングによる複数サ−バ管理"、P.67 には "ダイナミックフォワ−ディングで socks procy を構築" という記事あり。難しい記事で、これらどうも参考にならない。 Fortinet のドキュメントに何か書かれていないか、「SSL VPN FortiOS Handbook v3 for FortiOS 4.0 MR3」31 January 2012, P.23 の {Port forward tunnel} 所。{Tunnel mode settings} の目次の中に {Port forward tunnel} がある。。 トンネルモ−ドができないからポ−トフォワ−ディングでやれないかと検討しているのに。 ポ−トフォワ−ディングをやるにはトンネルモ−ドができていることが前提ということな なのか。違う違う。ポ−トフォワ−ディングはそれ自体がトンネル技術を用いてできてい るということ。SSL-VPN のトンネルモ−ドを設定しないといけないということではないと 思う。他 FortiGate で設定に関係しそうなメニュ−は。[ル−タ]->[スタティック]->[ポ リシ−ル−ト] は?。[ファイアウォ−ルオブジェクト]->[サ−ビス]->[Webプロキシサ− ビス]、[ポリシ−] で "web-proxy -> internal"というル−ルを作ったり。関係なかった。 * ファイアウォ−ルでのポ−トフォワ−ディングは FortiGate-80C v4.0MR7 にて。テストする数時間前にファ−ムウェアを国内で入手できる 一番最新にアップしてみた。たぶんこんな設定かなとやって見たらあっけなく、一発でで きてしまった。10分もかからなかった。情報を探して見たが案の定まるでなかった。 □Qube3' △WinXP Qube3' は Qube3 の仮想IPアドレスで置かれたもの。 |.3 |.7 WinXP パソコンの Outlook Express では SMTP, POP3 ------------------------ サ−バのIPアドレスは 192.168.1.3を指定すること WAN1|.9 192.168.1.0 NAT---------- Qube3 の [バ−チャルIP] の設定で外部IPアドレスは | UTM | 192.168.1.3 にしてみた。先ずこれでできることを確 ---------- 認して、 外部IPアドレスを 192.168.1.9 にしてみた。 LAN|.1 192.168.0.0 これでもできた。このIPアドレスは UTM の WAN1イ ------------------------ ンタ−フェ−スであることに注意したい。このような |.3 ことができることがそもそものポ−トフォワ−ディン □Qube3 グの機能である。 [ファイアウォ−ルオブジェクト]->[バ−チャルIP]->[バ−チャルIP] -------------------------------------------------------- | バ−チャルIPアドレス名 [ ] | << 適当に名前を付けよう。 | 外部インタ−フェ−ス [ wan1 ] | ポ−トフォワ−ドPOP3。 | タイプ スタティックNAT | | □ソ−スアドレスフィルタ− [ ] | | 外部IPアドレス/レンジ [0.0.0.0 ]-[ ] | << [192.168.1.3]-[]と記 | マップ先IPアドレス/レンジ [0.0.0.0 ]-[ ] | << [192.168.0.3]-[]入。 | □ポ−トフォワ−ディング | | [ OK ] [キャンセル] | -------------------------------------------------------- | 〆ポ−トフォワ−ディング << 〆したら続いて下にメニュ | プロトコル ◎TCP ○UDP ○SCTP −がでてきた。 | サ−ビスポ−ト [ ]-[ ] << [25]-[ ] と記入した。 | マッピングするポ−ト [ ]-[ ] << [25]-[ ] と記入した。 | [ OK ] [キャンセル] ---------------------------------------------------------- [ファイアウォ−ルオブジェクト]->[バ−チャルIP]->[バ−チャルIP] バ−チャルIP名 IP サ−ビス IP/IPレンジへ ポ−トへの ポ−ト のマッピング マッピング ----------------------------------------------------------------------------- ポ−トフォワ−ドSMTP wan1/192.168.1.3 25/tcp 192.168.0.3 25/tcpp ポ−トフォワ−ドPOP3 wan1/192.168.1.3 25/tcp 192.168.0.3 25/tcpp [ポリシ−]->[ポリシ−]->[ポリシ−] 送信元 宛先 認証 サ−ビス アクション ステ−タス NAT -------------------------------------------------------------------------------- internal -> wan1 all all ANY 〆ACCEPT 〆 〆 wan1 -> internal all ポ−トフォワ−ドPOP3 ANY ※1) 〆ACCEPT 〆 × all ポ−トフォワ−ドSMTP ANY ※2) 〆ACCEPT 〆 × ※ 1) は POP3、2) は SMTP だけ指定すればよし。最初はどうなるか分からない ので ANY 指定にしたが。できることを確認して設定を詰めていくということ。 * ル−ル 3) を追加して SSL-VPN ができるようにした こうすると一発でメ−ルの送受信もできた。3) のル−ルでは SSL-VPN で Qube3のファイ ル共有それにWebサ−バにアクセスできることを既に確認はできている。メ−ルソフト で Qube3 のメ−ルサ−バには、1),2)でポ−トフォワ−ディング機能でアクセスはできる。 しかしQube3 のメ−ルサ−バは、どこからでもアクセスできる状態になっている訳でまる で安全ではない。実際に動作をみてそのことを理解した。これではだめである、できたこ とにはならない。あくまでも SSL-VPN というセキュアな接続方法でもって、 社内リソ− スにアクセスができなければ意味がない。ん−、本当に触ってみないと分からないことだ。 机上の検討だけでは見えてこない。さて今日はこれで時間切れだ。明日はどう攻略しよう。 送信元 宛先 認証 サ−ビス アクション ステ−タス NAT -------------------------------------------------------------------------------- wan1 -> internal all ※1) ポ−トフォワ−ドPOP3 POP3 〆ACCEPT 〆 × all ※2) ポ−トフォワ−ドSMTP SMTP 〆ACCEPT 〆 × all ※3) QUBE_Server > > SSL-VPN 〆 × * SSL-VPN 設定の中でのポ−トフォワ−ドの設定は [VPN]->[SSL]->[ポ−タル] の [Settings]のところ。基本設定で選択できるプロトコルが 列挙されている。この中にある PortForward を〆すると、{接続ツ−ル} でタイプにポ− トフォワ−ドが選択するてて出てくる、{ブックマ−ク}でも以下のように出てくる。メ− ルサ−バはLAN側ネットワ−クにあって、ここでは以下のように指定するしか、やりよ うがないように思う。デフォルトは{〆ステ−タス表示} になっている、 ブックマ−クの メニュ−として [ Qube3-SMTP ]、[ Qube3-POP3 ] をクリックするとパケットの状態がカ ウントされる画面が表示されてくる。残念ながらメ−ルソフトはメ−ルサ−バに接続でき ない。カウント画面でもパケットが流れているような風はない。だめか!。 送信元 宛先 認証 サ−ビス アクション ステ−タス NAT -------------------------------------------------------------------------------- wan1 -> internal all QUBE_Server > > SSL-VPN 〆 × ------------------------------------------------------ |ブックマ−ク | |----------------------------------------------------| |名前: [Qube3-SMTP ] | |タイプ: [ポ−トフォワ−ド ▽] | |ロケ−ション: [192.168.0.3 ] | |リモ−トポ−ト: [25 ] | << POP3 用に 110 もブック |リスニングポ−ト: [25 ] | << マ−クでエントリを作る。 | このポ−トにトラフィックを送信する| | ためにアプリ側を設定してください | |〆ステ−タス表示 | |----------------------------------------------------| --------------------------------------------------- | https://192.168.1.9:10443/sslvpn/portal.html | |-------------------------------------------------| | Welcome to SSL Service | |-------------------------------------------------| a),b) を両方ともクリックす | | ること。クリックして始めて | --------------------------------------------- | SMTP,POP3 のポ−トフォワ− | | Bookmarks | | ディングが働く。上のブック | |-------------------------------------------| | マ−クのメニュ−でステ−タ | | Qube3-Web | | ス表示に〆があると"SSL VPN | | Qube3-FTP | | Connection Table" が表示さ | | Qube3-SMTP ※a) | | れる。ポ−トフォワ−ディン | | Qube3-POP3 ※b) | | グが成功して、実際メ−ルの | --------------------------------------------- | やり取りをしてみたが、トラ | [追加] [編集] | フィック値に変化はなかった。 --------------------------------------------------- --------------------------------------------------------------- |警告 − セキュリティ | 信頼されたル−ト |-------------------------------------------------------------| 証明機関に"Forti | サイト名が証明書に記述されている名前と一致しません。 /!\ | Gate CA"というの | 続行しますか?  ̄ ̄ ̄ | があった。消して | | みた。FGT80Cxxxx | 名前: 192.168.1.9 | という証明書がで | 発行者: FGT80Cxxxxx | きていたり。挙動 | | がよく分からない。 | □この発行者からのコンテンツを常に信頼します。 | ブラウザの証明書 | | のことはまた別途 | [はい] [いいえ] | 検討する。 --------------------------------------------------------------- -------------------------------------------------------------------------------- | SSL VPN Connection Table | |----------------------------------------------------------- Traffic Traffic| | Remote Host Remote Port Local Port Service Status In Out | |------------------------------------------------------------------------------| | □ 192.168.0.3 25 25 App Listening 0 0 | | □ 192.168.0.3 110 110 App Listening 0 0 | | | |------------------------------------------------------------------------------| | Delete Connection | -------------------------------------------------------------------------------- * SSL-VPN 設定の中でのポ−トフォワ−ドはこれで パソコンのメ−ルソフトの設定で SMTP,POP3 サ−バのIPアドレスを 127.0.0.1 にすれ ばそれでできた。https://192.168.1.9:10443/sslvpn/portal.html のポ−タルのメニュ −で Qube3-SMTP と Qube3-POP3 をクリックすると、その時点でパソコンに Java Applet をダウンロ−ドしてくるらしい。その Java Applet プログラムが FortiGate の SSL-VPN とトンネルを張るらしい、Qube3-SMTP をクリックして向こうとこっちで 25番ポ−トのト ンネル、Qube3-POP3 で 110 番ポ−トのトンネルを張るのである。昔、自前で買った雑誌 「N+I NETWORK Guide」2003/09,"SSL VPN導入『超』入門" の P.122, "Java アプレットタ イプ" の設定にポ−トフォワ−ディングの説明があり、localhost を指定するということ が書かれていた。また英文ドキュメントにもよく見たら同様な記事が載っていた。 「SSL VPN FortiOS Handbook v3 for FortiOS 4.0 MR3」P.11 の {Port forwarding mode} 。 以上でポ−トフォワ−ドの検討は終了。2日でできた。 (5) FortiGate の SSL-VPN いろいろ * ActiveX はどこに入ったのか `2c/08/S Windows XP では C:\WINDOWS\Downloaded Program Files フォルダに入る。デスクトップ の Windows XP では何故かここに見当たらない。有るのは Java Runtime Environment が 3つと WUWebControl Class 1つだけである。DOS窓で見たら wuweb.infファイル1つ だけが見えた。このパソコンは元々 Windows 2000 で FortiClientSetup_4.1.0.exe をイ ンスト−ルしようとして、おかしくなってしまったという経緯がある。いろいろ入れたフ ァイルは生きていて、OSは Windows XP にした。別な Windows XP のノ−トパソコンで は C:\WINDOWS\Downloaded Program Files に、F5 何たらという FirePass の ActiveXコ ントロ−ルが幾つか入っているのが見える。 先に入れた FortiClient のホストチェック 機能である "FortiHostCheck クラス" というのも有るのが見える。 デスクトップの Windows XP で katou でログオンして、ブラウザで https://xxx:10443/ アクセスしても ActiveX が入るべき場所には見当たらない。 しかしどこに入ったのか分 からないが、入れたのは機能している。デスクトップで root でロ−カルでログオンして みる。何か権限の違いで入る入らないがあるのかも知れないので。あらためてブラウザで https://xxx:10443/ でアクセスしたら、アドオンを入れるかとでてきた。 アドオンの実 行をクリックして、この ActiveX コントロ−ルを実行しますか?、でイエス。 しかしこ れでも結局 ActiveX は入らなかった。 期待しているのはノ−トパソコンの方に入ってい る ActiveX の "FortiHostCheck Class" がデスクトップでも入ることなのだが。 デスク トップの方に入れた FortiClient ソフト、これもいったん消して確認した方がいいのか。 -------------------------------------------------------------------------------- |このWebサイトは FortiClient SSL VPN Security Check アドオンを実行しようとしてい |ます。Webサイトとアドオンを信頼し、アドオンの実行を許可するには、ここをクリック |してください ... × ----------------------------- |------------------------------------------------- | アドオンの実行 | | | すべてのWebサイトでアド.. | | Performing Host Check ... | 危険性の説明 | | ----------------------------- | If you see the yellow warning bar that the hostcheck ActiveX control is not | installed or need permission to run,please click on it to install or run it. | Alternatively, if you do not want to install or run the ActiveX control,the | host checking function can be performed by a Java applet. | 右上のメニュ−の [アドオンの実行] をクリックすると出てくる。 -------------------------------------------------------------------------------- |してください ... × ----------------------------- |------------------------------------------------- | アドオンの実行 | | | ----------------------------------------------- | |Internet Explorer - セキュリティ警告 | | |---------------------------------------------| | | この ActiveX コントロ−ルを実行しますか? | | | | | | 名前: FortiClient SSL VPN Security Check | | | 発行元: Fortinet Technologies | | | | | | [実行する][実行しない] | | |---------------------------------------------| | | (!) この ActiveX コントロ−ルはうんぬん | | ----------------------------------------------- デスクトップでどこかにそれらしいファイルがないか、ファイル名 FortiHostCheck で検 索をかけてみた。隠し属性のファイルも対象にしたが見つからなかった。hostcheck で大 文字、小文字関係なしで検索したら以下のようなのが見つかった。 < デスクトップで検索してみた > katou でログオン。 HostCheck_192_168_1_9.dll C:\Documents and Settings\katou\Local Setting\Temp 143 KB アプリケ−ション拡張 2012/07/19 SslvpnHostCheck.dll C:\Program Files\Fortinet\FortiClient 159 KB アプリケ−ション拡張 2011/06/07 < ノ−トパソコンでも検索した > root ログオン。 FortiHostCheck Class C:\WINDOWS\Download Program Files 以下空欄 HostCheck_192_168_1_9.dll C:\WINDOWS\Temp 143 KB アプリケ−ション拡張 2012/06/13 デスクトップにて HostCheck_192_168_1_9.dll は名前を変えることはできた。 変えたま まブラウザのアクセスをやったが、特に変化はなかった。 改めてこの dll を入れてくれ と出てくるかと思ったが、ブラウザのアクセスにはこの dll は関係ない。 そもそもこの dll は "SSL VPN Client Host Check Java Applet Library" ということで、Java Applet である。ここでは ActiveX を入れようとしているのだから関係なくて当り前だが。 もう1つの dll、SslvpnHostCheck.dll の名前を変更しようとしたら、使われているとい ってできなかった。デスクトップには FortiClientソフトをインスト−ルしているからか。 ブラウザのアクセスなのに、FortiClient ソフトで入ったプログラムを用いるということ なのか。しかしおかしい。 プロパティの説明は "FortiClient SSL VPN Security Check" で、Applet とは書かれてないが Applet なのではないか。いやただのプログラムか。 * HP 2533t でも ActiveX みてみた HP2533t でブラウザのアクセスにて [アドオンの管理] をみたら、ホストチェックやるよ うにして、このマシンでは指定ファイルは作ってない状況。アクセスはエラ−になったが FortiHostCheck の ActiveX はブラウザに入ったようである。マシンには root ログオン。 このマシンには FortiClient ソフトは入ってない。 ひょっとしてインスト−ルしようと してできなかったのか、どうだったか忘れた。 -------------------------------------------------------------------------------- |アドオンの管理 | |------------------------------------------------------------------------------| | | | 表示: [Internet Explorer で使用されたアドオン ] | |------------------------------------------------------------------------------| ||名前 発行元 状態 種類 ファイル | ||-----------------------------------------------------------------------------| ||FortiHostCheck Class Fortinet 有効 ActiveXコントロ−ル SslvpnHostCheck.dll| || 発行元はフルで "Fortinet Technologies" C:\WINDOWS\Download Program Files\FortiHostCheck Class に入っていた。 プロパティ をみると [全般] のところ {最終アクセス日: 2012/08/05} はその通りでいつ使われたか 分かる。{コ−ドベ−ス: https://192.168.1.9:10443/fortihostcheck.cab} というのも 書かれてあった。[依存関係] のところには C:\WINDOWS\..\SSLVPNCHECK.DLL というのと C:\WINDOWS\DO..\FORTIHOSTCHECK.INF の2つがあった。 ホストチェッカ−の機能がちゃんと、このマシンでも働くか確認してみた。FortiGate で すでに指定しているファイルはDドライブに置くように記載している。2533t はDドライ ブはないので、Cドライブに指定ファイルをおくのを追加した。ちゃんと機能した。2つ 以上のホストチェッカ−用のファイルがあると and 条件でみる。 これは試してみて分か った、or にするとか指定する項目はない。 * FortiClient は勝手に何かやっている? `2c/01/m 自分のパソコンが何か怪しいぞ。DOS窓で >netstat -rn やったら、外部のIPアドレ スが xxx.5〜 xxx.9 と言うように連続して、 ホスト単位でネットワ−クの静的経路が出 てきた。この動きは怪しいぞ、これらのIPアドレスには ping 行くが nslookup はでて 来ない。 >route -f でパソコンのネットワ−ク設定以外の経路情報はこれで消してとり あえずパソコンを使用するようにした。そしてウィルスチェックでディスクの中身をチェ ックした、特に怪しいのはなかった。ボットのチェックをしたいが、C&Cという公の組 織はもうないのでないか、やはり無くなっていた。プロセスのチェックをしたい、身に覚 えのないプロセスが動いてないか調べる。とはいっても問題のない時のプロセスの状態が 分からないことには、これもチェックできないか。 仕方ない、やれることをやろう。静的経路でててくるIPアドレスがどういう所か調べて みるか。ディスクのどこかのファイルに、 >netstat -rn で出てきた静的経路のIPアド レスが書かれていないか調べてみた、パソコンのディスク全部なめたが書かれたファイル はなかった。パソコン起動して順々に経路情報が追加されていくようだから、ファイルに 経路設定情報が書かれているという可能性は少ないような気がする。ウィルスチェックの ソフトは最新になっているか、パタ−ンファイルは最新になっていた。経路情報を追加し ていくクウィルスが仕込まれてはいないように思う。パソコンが何かおかしい場合の対処 を書いた資料をトレンドマイクロのセミナ−でもらったが。レジストリまで調べていじら れた形跡を調べ対処する高度なテクニックが書かれてあった。 画面右下の3つのアイコンがおかしいかも。 [1] ダウンロ−ドに失敗。数時間後にお試しください。なんじゃこれは。猫の足あとみ たいなアイコンは。Cancel software update -- FortiClient だった。 [2] Windows Messenger 一 未接続。 [3] FortiClient 画が稼働。 パソコンのDOS窓で route -f で消して。 [1] はそのままで。 [2] Windows Messenger アイコン外した。 [3] FortiClient 停止。アイコンは消えたが 1) のアイコンはそのままあった。 route add 0.0.0.0 mask 0.0.0.0 192.168.1.2 でデフォルト経路設定。 route print コマンドを叩いて経路情報の様子をみた、経路が追加されてきた。 [1] のアイコンを消して下記をやった。 route add 0.0.0.0 mask 0.0.0.0 192.168.1.2 でデフォルト経路設定。 route print コマンドやった、しばらくしたら1個ずつ経路が追加されてきた。 [ パソコンを起動した後にやっていること ] 結局おかしな理由ははっきりとは分からない。FortiClient が自身をアップロ−ドしよう として、ダウンロ−ドしようとしているのでないか。どうもそんな感じ。ともかく暫定処 置としてパソコンを起動してログオンし Windows 画面がでたら、 画面右下の小さなアイ コン3つをクリックして、プロセス?を止める作業をしている。 {シャトダウン FortiClient Connect} {Cancel Software update} FortiClient ソフトウェアアップグレ−ドはキャンセルされ ました。次回、このコンピュ−タを起動する時、このソフトウェアアップグレ−ドを 再試行させますか? {Windows Messenger - 未接続} のメニュ−を開いて {終了} をクリック。