25-7. インタ−ネット接続モデル {j} `2g/06〜 (1) UTMの FortiGate でのモデル * 20年経ってモデルができそう イントラネット構築に取り組んで20年が経った。気付いたら同じテ−マを取り組む事を 先日考えていた。`2g/05/28 初めての唐津への旅でふと思った。最後の章にイントラネッ ト構築のまとめを書こう。FortiGate を真のUTMとして統合的に利用するプランをまと めてみるか。プロキシサ−バ、リモ−トアクセス、IPS、アプリケ−ション制御などな ど1台のマシンで全部やる。それが可能になってきた。各機能が十分にこなれてきた。 UTMとしての FortiGateを最大限活用する事を考える。アプリケ−ション制御、IPS、 SSL-VPN に IPSec VPN。これらの機能は十分にもう使えると思う。IPSはボットの通信 を検知して止める。FortiAnalyzer も1台、処理速度とログ容量の大きいのを用意しよう。 つまりこれは、インタ−ネット接続口のモデルということだ。20年前にインタ−ネット 接続口ということで考えたのが、再びそれを考えることになった。 FortiGate の VDOM なる機能を押える。これでプロキシサ−バを独立したマシンとして作 ることができる。DNS権威サ−バのマシンもやれるのでないか。メ−ルリレ−サ−バの マシンとDNS権威サ−バのマシンは、これまでは一緒の筐体にある。メ−ルリレ−は実 物マシンの FortiMail にして、DNS権威サ−バは FortiGate 内の VDOM にする。ただ しIPアドレスはこれまでのままとしたい。パケットの振り分けでできるのでないか。 2つのWAN回線でのパケット振り分け、ポリシ−ル−ティングのこと。いっそ別な機能 を使ってみるというのは。WAN最適化という機能もある。FortiGate の機能には他にも いろいろある、デ−タ漏洩防止 DLP、SSL 検査とか。しかし実際に設定して運用していく にはそんなに多くは盛り込むことはできない。 手元の FortiGate-80C に作り込んで行っ てみよう。とりあえずトライするのは VDOM とプロキシサ−バの設定である。 FortiAnalyzer、FortiGate は仮想マシンに載せることもできる。 FortiGate はアプライ アンスの方が処理速度の観点やHA構成においても、いいと思う。FortiAnalyzer は仮想 マシンでもいいのでないか。適当な仮想サ−バがあれば。FortiGate でDNS権威サ−バ は無理ぽいとなればクラウドサ−ビス利用で外に出そう。DNSキャッシュサ−バ、レゾ ルバならば十分 FortiGate でやれるのでないか。先ずは動作の確認をしてみよう。 VDOM 機能の動作確認をやっておこう。 DNSサ−バの機能は先に触ってみたことでよし としよう。 "25-3. インタ−ネットの回線とDNS、(4) 悩みどころはプロキシサ−バも、 * FortiGate のDNSサ−バ機能は"。 Fortinet社のエンジニアさんも、どれだけ使えそ うか見てみますと言っていたし。 昨年でた FortiGate の本には社内のサ−バの名前解決 程度に用いること、外向けのDNSサ−バの利用はお勧めしないとは書かれてあったが。 リモ−トアクセスは SSL-VPN 機能を VDOM で仮想マシンにして使う。別な FortiGate を DMZに設置はしない。設定は "25-6.FortiGate でリモ−トとサンド" を見ること。 こ こにはパソコン等のMACアドレス認証のことも書いてある。 メ−ルまたは FortiToken のOTPでユ−ザ認証してもよい。FortiToken は買うだけで利用できる。 FortiGate に FortiToken の番号を記入すること、別にライセンスを購入したりする必要はない。 Webフィルタリングはサンドボックス連携での利用に留める。外へのWebアクセスで ファイルを FortiSandbox に怪しいのを送る。サンドボックスで検知された悪意のサイト のURLをWebフィルタリングに反映。スポ−ツサイトは総務は見ていいとか、SNS の mixi は見るはいいとして書き込みはダメとか。休憩時間はいいとか。際限がなくなる のでIT部門ないしセキュリティ担当ではやらないものとする。これをポリシ−とする。 某T社のネットワ−クをやっている人とよく会う。UTMをHA構成にするのでなくロ− ドバランサで冗長化する方が柔軟な運用ができるよと。プロキシサ−バをどうするかとい う話から、インタ−ネット接続口周りの設計について議論してて。社内パソコン台数が千 を超えるような組織ではそうした方がいいかも知れないと思った。これまでロ−ドバラン サは使ったことがない。実際触ってみないとイメ−ジが掴めない、勉強します。`2g/06/m もう1つ某T社の人との話で。ネットワ−クの監視について。シスコのスイッチングハブ の売りはかつて、ネットワ−クの絵を出せること。ネットワ−クのトポロジ−が出てパソ コンなどが引っ付いているか分かる。これはその後、他社も載せてきたという。数年前に SI業者にレイヤ3スイッチやその下のスイッチを再構築をやってもらったのだが、ネッ トワ−ク監視については何も提案がなかった。何ぞいい案はないか尋ねたけど。`2g/06/m * これからやるべき事は メ−ルサ−バのアプライアンスは他社にこれまで幾つかあったが、打ち切りになったり消 えていった。ひょっとして FortiMail ぐらいしか売っているのは無いのでないか。 クラ ウドのメ−ルサ−ビスを利用して行くつもりが無いのであれば、FortiMail は大きな選択 肢になるだろう。サンドボックス製品も FireEye や Palo Alto ではあまりよろしくない。 セキュリティ対策には、強力ウィルスが社内に入らないようにすることが肝要である。 FortiGate が1台あればインタ−ネット接続口を設計できる。IPSやDoS対策もある 程度できる。メ−ルサ−バは FortiMail でメ−ルリレ−もメ−ルストアもできる。 そし て FortiSandbox も導入すれば、今日最強のセキュリティ対策を講じることができる。個 々の機能を使う設定をすることは今の自分はできる。統合したUTMとして設定をするこ ともやればできると思う。しかし運用までを考えると、それはかなり大変な話である。 きちんと雛型を設計しないといけない。一企業のIT担当レベルで出来る話ではないこと は確かだろう。設計して設定して運用する。ここはそれらのポリシ−を考える所までにす るのが現実的かも知れない。SI業者でも全部をやれるところはないと思う。これを担う のが情幇技連研究所か。情幇技連研究所が中核となって雛型を作っていき、設置設定の実 働部隊はSI業者としノウハウを提供して行く。一企業に留まっている時ではない。 インタ−ネット接続口のモデルが Fortinet 社製品で出来たと言える。これまで自分が考 えてきた事の土壌ができた。これはチャンスである。このまま中小企業の製造業に留まっ てもこの先、インタ−ネット接続の安全性を守ることはできない。もはや限界だろうと思 う。危機的状況になっているとみなしていい。しかし負け戦はしない。やるからには勝つ シナリオを描かなければならない。結論はこれで出たのでないか。`2g/06/05 のこと。 * いろいろ検討 IPSは基本的な設定だけにとりあえずして運転するか。多分、大丈夫だと思う。最初は ログだけとって様子を見る。誤検知がないかチェックする。誤検知があった場合の対処の 仕方を確認する。以前にやったことはあるが再度、操作方法を確認すること。 ファイアウォ−ルとしての移行のこと。存在してないとか整合性が取れてないポリシ−の ル−ルの見直しと不要ル−ルの削除。オブジェクトの洗い出しと削除。社外から社内への パケットで社外のオブジェクトが社内のIPアドレスだったりとか。 FortiGate のいろいろな機能を1つにまとめていく。FortiAnalyzer は仮想アプライアン スにするという手もある。FortiGate はDoS対策はやれたのだったかな。IPSは基本 的なチェックだけになるか、誤検知がやはり厄介だからな。 どこの組織でもファイアウォ−ルがあるところは既にある。保守切れなどでリプレ−スす る時期がどうしてもやって来る。その際に他社製品から置き換える。何に注意しなければ ならないか。暗黙のファイアウォ−ルのル−ル設定とか。 国内ではまだリリ−スされてない FortiGateのファ−ムウェアでは、WAFもできるよう になっているとか。DMZにWebサ−バを設置しているなら、ぜひこのWAF機能を使 いたい。2016年の秋には国内でもそのファ−ムウェアがリリ−スされるのでないか。 FortiGate のプロキシサ−バ機能はソフトウェアで処理される。他のは Fortinet 社が設 計した専用 ASIC で処理されるので処理が速い。プロキシサ−バは相対的に処理が遅いの で利用はお勧めでない、パフォ−マンスが出ないという人もいる。ということ。 SCSK(株)の FortiGate 製品案内に書かれていること、`2g/07/m 調べ。内でもテスト 用として使っている FortiGate-80C はサポ−トの終了は2021年の4月、 後継機種は FortiGate-90D。因に FortiGate-310B は2018年の4月末にサポ−ト終了。 ネットで [ FortiGate 価格 ] で検索し一番に出てきたサイトで。FortiGate-90D はライ センスのバンドル版で税込み19万円、20万円以内で買えそう。 その上のモデル 100D だと38万円。Fortinet 社製品の価格が2016年7月半ばから改訂されるとのこと。 設定の順番で VDOM を使うのなら最初に VDOM を作っておくこと。FortiGate のモデルは 800D がいいのでないか、予算が許せばだが。FortiGateの機能をフルに使うためのパフォ −マンスは 600D でもいけると思う。Fortinet 社のエンジニアとも話しての感触だが。 FortiGate の 800D,600D はサイズは1Uで 310B と同じ。置き換えはラックにある 310B の1台をぬいて1台に。800D はラックに2台入れる。 800D にして問題が起きたら 310B に直ぐに戻す。ラックの空スペ−スとUPSの容量やコネクタの関係で工夫が必要。 Web系の攻撃の検知と防御は動作確認するのが難しいな。怪しいサイトがどこかを知る こと自体も難しい。メ−ルのウィスルのサンプルのようにURLのサンプルもあるといい が。トレンドマイクロの IWSS で止められたURLはどうか、ログは何か出ているのか。 DLP もやった方がいいのかな、情報漏洩防止の機能。Fortinet 社のサイトから2016年7月 初めに入手した「Fortinet ランサムウェア対策ガイド」に DLP のことが載っていたので。 SSL インスペクションもやった方がいいのかな。DLP も SSL も余力があればやりたい。 侵入防御機能は是非とも利用したい。フレ−ム0攻撃のような基本的なアタックを先ずは 止めることとする。ともかく誤検知ができるだけ起きない範囲の侵入防御のル−ルを適用 することにする。それがどういう設定なのかが問題、目星みたいなのはあるのだろうか。 FortiGate 本体ではメ−ルのウィルスチェックはしない、でいいだろう。FortiMail でも FortiSandbox でもチェックするので。 Webのウィルスチェックはする、FortiSandbox に送りチェックさせないと。これでセキュリティ確保のための入口と出口対策になる。 * 更に検討した これまでのプロキシサ−バでの名前解決とかURL変換とかは。 プロキシサ−バの IWSS にはURL変換する機能はない。 IWSS のOS、HP仮想マシンの Linux の /etc/hosts にエントリを書いていて、社内の幾つかのサ−バのIPアドレスとURLの対応づけをし ている。これが FortiGate にした場合ちゃんとできるか。とりあえず FortiGate でのプ ロキシサ−バは適当なIPドレスで稼働させ、しばらくテスト利用をしよう。おかしなポ −ト番号のもプロキシでちゃんと扱えるか。プロキシサ−バは VDOM に作るつもり、ここ にDNSキャッシュサ−バも動かす。レスポンスとか装置の負荷状態とかみないと。 プロキシサ−バを FortiGate 本体で動かすのはどうか。 その場合ポリシ−ル−ティング はどうなるか。今はプロキシサ−バのマシンのIPアドレスからのパケットはあっちへ行 け、wan2 経由で外に行けと振り分けている。SSL-VPN を FortiGate 本体で動かす場合も どうなるか。ポリシ−ル−ティングと LinkProof はどうなるのか。 SSL-VPN 利用は外部 から FortiGate の wan1 ポ−トのIPアドレスにアクセスするしかない?。FortiGateの "高度なル−ティング"、"WANリンクロ−ドバランス"、"トラフィックシェ−ピング"、"ロ −ドバランス"、"Local In ポリシ−"。いろいろ機能がある、こんなので何かできないか。 プロキシサ−バも SSL-VPN も VDOM で分けた方がよさそうである。設定の分 かり易さ、SSL-VPN は回線冗長化対応のため。そしてパフォ−マンス的にも。 FortiGate の SSL-VPN を設置し LinkProof でも回線冗長化するには、回線Cのパブリッ クIPアドレスがない。SSL-VPN のポ−ト番号を 443 でなく別な番号にできないか。 パ ソコンに入れた FortiClient からの利用だから、 ユ−ザにはポ−ト番号は意識させるこ とはないのでないか。SSL-VPN へはIPアドレスでなくドメイン名にするか、そうすれば LinkProof で回線冗長化で自動切り替えができる。FortiGate の SSL-VPN は Windows 10、 それに Surface でも一発で設定できたし動作も安定している。 もっとも回線冗長化対応 をやらないのであれば SSL-VPN は FortiGate 本体に含めてもいいと思う。 DNSサ−バをどうするかという検討。DNS1次を FortiGate で出来ないか、VDOM を 現在のDNSサ−バ、メ−ルリレ−でもあるマシンのIPアドレスで作って。 FortiGate のDNS機能としては1次でもやれそうだ。DNS2次にもできるし。DNSエントリは A,AAA,NS,CNAME,MX,PTR を作成できる。しかし付録で検討したのだが、どうも挙動がよく 分からないというのが正直な感想である。DNS1次、2次をやらせるのはどうかな。こ れらはクラウドサ−ビスを使うことにしよう。でもDNSキャッシサ−バは FortiGate内 に設定して利用したい、FortiGate でプロキシサ−バを動かすためにはあった方がいい。 FortiGate と FortiSandbox との連携、どうやって連携するのか。どうも連携という言い 方はあまり適切でないかも知れない。FortiGate と FortiSandbox で利用することを相互 に認識させる設定をするだけでいい。特に他の設定に影響を及ぼすようなことはないと思 われる。FortiGate でWebアクセスの怪しいのを FortiSandbox に送る。危険と判断し たのは FortiGuard に送り対応シグネチャが作られる。このシグネチャは通常配信される シグネチャに含まれるだけということみたい。どのシグネチャが自社宛の攻撃に対するも のだったのか分かるのかな。ただし FortiOS 5.4 になると連携ぽい事ができるみたい。 * 用語のことなど 最近のとある資料、「2016年の標的型攻撃対策」2016/06 頃入手したのを見たら FSA から脅威DBのアップデ−ト配信。FSA って何、これまで入手した Fortinet 社の他の資 料には一つも出てない。FOS 5.4 と書かれているのもあった。変に略してもらっては困る。 FortiGuard Labs でシグネチャを作成するのか、FortiGuard Center と書いてあるパンフ レットや資料もある。FortiGuard Labs でマルウェアなどの情報収集をし、対策シグネチ ャを作成し、FortiGuard Center からシグネチャを配信するという仕組みなのだろう。そ れをまとめて FortiGuard でシグネチャを作成、配信と簡単に言うこともあるのだろう。 (2) VDOM 機能の基本とプロキシ設定 * VDOM 機能の動作確認 VDOM でプロキシサ−バのマシンを仮想的に作ってみる。先日まで UTM2 で SSL-VPN のテ ストなどをやっていた FortiGate-80C を使って。 プロキシサ−バは独立した FortiGate に仮想的になる、インスタンスという。 以下のようにインスタンス vdom1 を作ってみた。 FortiGate-80C のコンソ−ルで、# config system global, set vdom-admin enable, end とやった。y/n 聞いて来て y を押したら再起動して VDOMが使えるようになっていた。こ れまで FortiGate の SSL-VPN などのテストをやってきた、それらの設定などはそのまま になっていて使えた。VDOM の root というインスタンスがこれまでの設定になっていた。 [グロ−バル]->[ダッシュボ−ド]に[VDOM],[ネットワ−ク],[設定],[管理者],[ログ設定]。 [バ−チャルドメイン]->[root] というのができた。[root] にこれまでの内容があった。 : □Router ◇仮想IPアドレス vdom1 ではDNS指定 202.241.128.3 に。 | .3| ------------------------ 202.241.128.x UTM2 .6|WAN PCのIEでプロ | □MR,DNS ------------- キシサ−バの指 .2| .1| | GLOBAL | 定 192.168.9.3。 UTM1□----------------- 192.168.2.0 | ----------|(6)LAN .2| □MS △PC2 | |NAT vdom1|------ ここの検討は正 | .1| | | |---------| | 味1日でできた。 -------------------------- 192.168.1.0 | |NAT root | | 試行錯誤したが。 .6| Proxy ------------- | UTM2□root □vdom1 △PC .2|(1)(2)LAN | △PC .2|VDOM |.3 |.9 |(3)(4) |.3 | -------------------------- 192.168.9.0 ---------------------------------- 例えば FortiGate のLANポ−トの6番を vdom1 としたい。 VLAN は使わずに物理ポ− トを、プロキシサ−バのマシンのIPアドレスを付けたい。でも肝心のところでポ−ト番 号が選択できない。インタ−フェ−スの internal を分割しないといけないらしい、その ためのコマンドを打つのをネットを検索して見つけた。ポリシ−を設定する前にこの作業 をやっておかないけないみたい。 VDOM を使うのを解除しないと internal 分割のコマン ドが使えない。どうやったらいいのか。いかん、こんなところではまってしまった。 [グロ−バル]->[ダッシュボ−ド]->[ステ−タス] の {システム情報} のところで "バ− チャルドメイン 有効 [無効]" というのがあった。 [無効] をクリックしていったらログ イン画面になった。ログインしたら VDOM を使わない元の状態に戻っていた。internal分 割コマンドやった。# config system global, # set interface-switch-mode interface, # end。reboot するので y をいれたらエラ−が出た、 "Internal Interface is in use"。 ポリシ−の internal があるル−ルを削除しないといけないらしい。 とりあえずいったん無効にしてみた。 wan1->internal を無効にしたらポリシ−画面がま るで出なくなった。これまではWAN側からアクセスしていた。LAN側からアクセスし たらポリシ−画面は出たので wan1->internal を有効にした。コマンド打ってダメだった。 無効でなく削除しないといけなく、 internal インタ−フェ−スもIPアドレスを初期状 態の 0.0.0.0 にしないといけないらしい。 こうなるとLAN側からアクセスできなくな る。WAN側からアクセスするしかない。こんなんで本当に VDOM の設定ができるのか。 ポリシ−のところ結局全部を削除した。 [ポリシ−&オブジェクト]->[ポリシ−]->[IPv4]。 それでも "Internal Interface is in use" エラ−は出た。こりゃ工場出荷時に戻してや ってみるしかないな。RS-232C ケ−ブルの用意、そして # execute factoryreset やった。 # config system interface FortiGate のWAN側に管理アクセ (interface) # edit wan1 スできるように。#set mode static (wan1) # set allowaccess ping http https をやらないとDHCPサ−バを使うこと (wan1) # set mode static になって、wan1インタ−フェ−スに (wan1) # set ip 192.168.1.6/24 IPアドレスを付けられない。確認 (wan1) # end は #show で設定状態が出てくる。 # config system global この前にポリシ− "internal->wan1 (global) # set internal-switch-mode interface 〆ACCEPT 〆有効"を削除。internal (global) # end は 192.168.1.99 のデフォルトでな Changing switch mode will reboot the system! っている。これを 0.0.0.0 に DHCP Do you want to continue? (y/n)y サ−バは無効にしておかないと。 [システム]->[ネットワ−ク]->[インタ−フェ−ス] ここで {Create New} でポ−ト1〜4 --------------------------------------------- 番を1つに。 インタ−フェ−ス名: | 名前 メンバ IP/ネットマスク タイプ LAN1to4、タイプ:ソフトウェアスイ |-------------------------------------------- ッチ,物理インタ−フェ−スメンバ: | dmz 0.0.0.0 0.0.0.0 物理 internal1〜internal4、IPアドレ | internal1 〃 〃 ス 192.168.9.2/255.255.255.0 に。 | | | internal6 〃 〃 下記でVDOM利用するにして、これら | wan1 192.168.1.6 255.255.255.0 〃 の中を見ると バ−チャルドメイン: | wan2 0.0.0.0 0.0.0.0 〃 [root ▽] がメニュ−に出てくる。 # config system global これで VDOM が利用できるようにな (global) # set vdom-admin enable る。[グロ−バル]->[VDOM]->[VDOM] (global) # end {Create New}でバ−チャルドメイン You will be logged out for the operation to .. :[vdom1] 名前を付けた。Operation Do you want to continue? (y/n)y Mode:◎NAT有効 のままで作成した。 [グロ−バル]->[ネットワ−ク]->[インタ−フェ−ス] の画面で internal6 をクリックす る。タイプは物理インタ−フェ−スになっている。バ−チャルドメインが root になって いるのを vdom1 を選択。IPアドレスを 192.168.9.3/255.255.255.0 に。DHCPは使わず。 [バ−チャルドメイン]->[vdom1]->[システム]->[ネットワ−ク]->[インタ−フェ−ス] を 見ると1つ "internal6 192.168.9.3/255.255.255.0 物理 vdom1" というのがある、ここ ではIPアドレスを変えることはできる。ここまでやれれば、メドは付いたといえる。要 は物 FortiGate が届いたら、最初にこれらのを操作をしないといけないと言うこと。 [グロ−バル]->[ダッシュボ−ド]->[ステ−タス] の {セキュリティフィ−チャ−} 画面 で "Explicitプロキシ" が OFF になっていたのを ON にした。 そしたら [バ−チャルド メイン]->[root]->[システム]->[ネットワ−ク] に [Explicitプロキシ] というのができ ていた。[バ−チャルドメイン]->[vdom1] にも同じく出来ていた。プロキシサ−バの設定 は "(4) 悩みどころはプロキシサ−バも、* FortiGate のプロキシサ−バ機能は" も参考 に。NATモ−ドかトランスパレントモ−ドか、などいろいろ各自やってみること。 その後 FortiGate-80C から FortiCloud を利用してみようと触っていて、VDOM で CLIコ ンソ−ルから # exec ping ができないことが分かった。これは困る。# config ? と叩く と global と vdom のメニュ−が出た。# config vdom と打った。(vdom)# edit root 打 つと "current vf=root:0" とメッセ−ジが出た。ここまでやって (root)# exec ping が 効いた。デフォルトル−トも確認しておくこと [バ−チャルドメイン]->[root]->[システ ム]->[ネットワ−ク]->[ル−ティング]->{スタティックル−ト} のデバイス wan1 で。 * VDOM でプロキシサ−バの設定 `2g/06/e 半日で検討済み ・テストの構成 << FortiGate の VDOM でプロキシサ−バ >> FortiGate の UTM2 のLANポ−トの6番を vdom1 とした。VLAN は使わずに物理ポ−ト にプロキシサ−バのマシンというつもりでIPアドレス 192.168.9.3 を付けた。 : □Router ◇仮想IPアドレス vdom1 ではDNS指定 202.241.128.3 に。 | |.3 ------------------------ 202.241.128.x UTM2 .6|WAN PCのIEでプロ | □DNS ------------- キシサ−バの指 .2| |.1 | GLOBAL | 定 192.168.9.3。 UTM1□----------------- 192.168.2.0 | ----------|(6)LAN .2| □Qube3 Web Server | |NAT vdom1|------ 実際の接続では | |テストウィルス | |---------| | ケ−ブルを出し -------------------------- 192.168.1.0 | |NAT root | | てハブをかます。 .6| Proxy ------------- | UTM2□root □vdom1 △PC .2|(1)(2)LAN | △PC .2|VDOM |.3 |.9 |(3)(4) |.3 |.9 -------------------------- 192.168.9.0 ---------------------------------- ・テストその1 << root でのプロキシサ−バの動作確認 >> 先ず VDOM の root にプロキシサ−バの設定をしてみる。 PC のブラウザではプロキシ指 定を 192.168.9.2 とする。これで Yahoo など表示するか。30分で動作を確認しできた。 "25-3. インタ−ネットの回線とDNS"、linedns.txt を参考。 [グロ−バル]->[設定]->[フィ−チャ−] 画面で "Explicitプロキシ" を ON にした。 [バ−チャルドメイン]->[root]->[システム]->[ネットワ−ク]->[Explicitプロキシ] ---------------------------------------------------------------- | Explicitプロキシ |--------------------------------------------------------------- |▽Explicit Webプロキシ オプション | |Explicit Webプロキシを有効 〆HTTP/HTTPS □FTP □PAC |Listenするインタ−フェ−ス LAN1to4 |HTTPポ−ト [8080 ] | | |デフォルトのファイアウォ−ルポリシ−のアクション ◎許可 ○拒否 [バ−チャルドメイン]->[root]->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] の設定。 "LAN1to4 wan1 all all ALL 〆ACCEPT NAT有効" と "any any all all ALL DENY"。 [バ−チャルドメイン]->[root]->[ポリシ−&オブジェクト]->[ポリシ−]->[Explicitプロ キシ] 設定なし。...->[ポリシ−]->[プロキシ オプション] はいじらず。 [グロ−バル]->[ネットワ−ク]->[DNS] --------------------------------------------------- | DNS設定 |-------------------------------------------------- | ◎FortiGuardサ−バ−を利用 ○詳細 | プライマリDNSサ−バ− [208.91.112.53 ] | セカンダリDNSサ−バ− [208.91.112.52 ] | ロ−カルドメイン名 [ ] | FortiGuardへ接続 〆 緑 | Webフィルタリングのライセンス 〆 緑 ・テストその2 << vdom1 にプロキシサ−バを作って確認 >> [バ−チャルドメイン]->[vdom1]->[システム]->[ネットワ−ク]->[インタ−フェ−ス] の 設定。インタ−フェ−ス名 internal6、タイプ 物理インタ−フェ−ス、IP/ネットワ−ク マスク 192.168.9.3/255.255.255.0、Explicit Webプロキシを有効〆。 [バ−チャルドメイン]->[vdom1]->[システム]->[ネットワ−ク]->[ル−ティング] の設定。 スタティックル−トで、 IP/ネットマスク 0.0.0.0/0.0.0.0、ゲ−トウェイ 192.168.9.3、 デバイス internal6。 [バ−チャルドメイン]->[vdom1]->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4]の設定。 "internal6 internal6 all all ALL 〆ACCEPT NAT無効" と "any any all all ALL DENY"。 [バ−チャルドメイン]->[vdom1]->[ポリシ−&オブジェクト]->[ポリシ−]->[Explicit プ ロキシ] 設定なし。[プロキシ オプション] はいじらず。 [バ−チャルドメイン]->[vdom1]->[システム]->[ネットワ−ク]->[Explicitプロキシ] --------------------------------------------------------------- | Explicitプロキシ |-------------------------------------------------------------- |▽Explicit Webプロキシ オプション | |Explicit Webプロキシを有効 〆HTTP/HTTPS □FTP □PAC |Listenするインタ−フェ−ス internal6 |HTTPポ−ト [8080 ] | | |デフォルトのファイアウォ−ルポリシ−のアクション ◎許可 ○拒否 ・テストその3 << サイトのウィルスをちゃんと止めるか >> [バ−チャルドメイン]->[vdom1]->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4]の上記 設定 "internal6 ..." で、セキュリティプロファイルを ( ON )アンチウィルス にした。 PC から Qube3 に http アクセスして EICAR_test.com ファイルをダウンロ−ドしようと したら、ブラウザに "High Security Alert!!" と出て止められた。 [バ−チャルドメイン]->[root]->[ログ&レポ−ト]->[セキュリティログ]->[アンチウィル ス] にログが出た。バ−チャルドメイン root、送信元インタ−フェ−ス LAN1to4。 [バ−チャルドメイン]->[vdom1] にログが出るのがまっとうな気がするが、上のようにロ グが出るところのメニュ−がそもそもない。 PC のブラウザからはパケットはプロキシ指定で 192.168.9.3 に行き、そのまま UTM2 内 を通って WAN から Qube3 にアクセスするのでないか。そうならば UTM2 の 192.168.9.2 のケ−ブルをスイッチから外しても問題ないはず。 と考えたが Qube3 にアクセスできな くなった。これはとりもなおさず PC からのパケットは、vdom1 プロキシサ−バに行って UTM2 の 192.168.9.2 インタ−フェ−スへ行っているということ。 だから LAN1to4 とい うログが出てきたのである。この動作が正常なものだと考えて間違いないだろう。 (3) FortiCloud でサンドボックス `2g/06/e -------------------------------------------------------------------------------- すでに FortiSandbox を実際に導入し FortiMail と連携させた。改めて FortiGate のテ スト機 FortiGate-80C を用い FortiCloud を利用し、出来る事を探ってみることにした。 -------------------------------------------------------------------------------- * テスト構成と結果 マルウェアのテスト用サンプルで FortiGate-80C で、FortiCloud Sandbox の動作確認を やってみた。PC のブラウザで Cobalt Qube3 へ http://xxxx とアクセスしあらかじめ放 り込んでいた bottest.bat をクリックしダウンロ−ドする。Qube3 では /home/temp/ 内 が出るようにしている、index.html は置いてないのでファイルがリストされる。PC がダ ウンロ−ドする時、FortiGate を通る際にマルウェア検知をするはずである。と予測して テストをやったのだが、すんなりダウンロ−ドして来たしログは何も残らなかった。よく 分からない。とりあえず PC からインタ−ネットへいろいろアクセスして様子を見てみる か。どこかにテスト用にウィルスというのもあった、探して試してみるとしよう。 Qube3 Proxy |FortiCloud Sandbox へ □ □ □FireWall | | | [バ−チャルドメイン]のポリシ−の IPv4 はデフォルトで、 ----------------------- ▽Implicit のところに "all all always ALL (/)DENY"1 wan1|NAT つだけあった。IPv4 に ▽LAN1to4-wan1 を定義した "all □FG80C △PC all always HTTP 〆ACCEPT NAT有効 AVdefault アプリケ (1)| | −ションコントロ−ルdefault"を作った。 PC のブラウザ ----------------------- はプロキシ経由しなくても外へ行けるようにしておいた。 FortiGate-80C は v5.2.4 で VDOM のテストをした。SI業者から Fortinet 社製品の保 守終了のメ−ルが時たま来る、もうそろそろ終わりでないのか、SI業者の Fortinet 社 のサポ−ト画面を見たらまだサポ−トされていて、310Bよりも保守終了は後になっていた。 ファ−ムウェアは最新の v5.2.7 があった。今回それを入れてみた。 VDOM のテストの際 に、[グロ−バル]->[ネットワ−ク]->[インタ−フェ−ス] で (1)から(4) はinternal で LAN1to4 と言う名前をつけた、タイプはソフトウェアスイッチ。ファ−ムウェアをアップ しても、先に作成した VDOM や LAN1to4 はそのまま有った。 * FortiCloud 利用のアクティベ−ト [グロ−バル]->[ダッシュボ−ド]->[ステ−タス] の {FortiCloud}の所{アクティベ−ト} 出た画面で アクション ◎アカウントにして、Email とパスワ−ドを入れた。Email は通 常の自分のメ−ルアドレス、パスワ−ドは適当に何でも決めて入れた。メ−ルがすぐに来 た noreply@forticloud.com から。メ−ル本文の [Finish Singning Up] をクリックした。 別画面が出て "Your FortiCloud Account is now active" とでた、下あたりに "You may now login" と出ているのをクイックした。 そしたら FortiCloud サイトにログインする 画面が出てきた。先ほどの Email とパスワ−ドを入れると自分用の画面が出た。 * FortiGate-80C の設定 [グロ−バル]->[ダッシュボ−ド]->[ステ−タス] -------------------------------------------------------------------------------- |▽システム情報 |------------------------------------------------------------------------------- |ファ−ムウェア バ−ジョン v5.2.7,build718(GA)[アップデ−ト] ※他の設定は略。 |------------------------------------------------------------------------------- |▽ライセンス情報 |------------------------------------------------------------------------------- |サポ−ト契約 ・登録 〆登録済み (Confidential) | |FortiGuard ・IPS&アプリケ−ション 〆ライセンスあり(有効期限 xxx) | コントロ−ル | ・アンチウィルス 〆ライセンスあり(有効期限 xxx) | | ・アカウント jtarou@nix.co.jj [A][B] |FortiCloud ・タイプ フリ−(リアルタイム アップロ−ド) | ・ストレ−ジ [ ] 0.00 of 100.00GB [C][D] | |FortiSandbox ・FortiSandbox Cloud 〆Free License | ・Files Uploaded Today [ ] 0 of 10 | | -------------------------------------------------------------------------------- [A]=[ポ−タル起動] [B]=[ログアウト] [C]=[How to Upgrade] [D]=[アップグレ−ド] [ポ−タル起動] をクリックすると https://www.forticloud.com/.... が開いた。画面に は大きく4つのメニュ−があった Analysis、Sandbox、General Manager、AP Network で ある。Sandbox と AP Network はクリックしても反応なし中身はなかった。 Analysis には FortiGate のシリアル番号?が1つ出ていた、FGT80Cxxxxx という。これ をクリックしたら | Dashboard | FortiView | DrillDown | Reports | Management | と 言う画面が出た。[Reports] をクリック。Summary Report の Schedule が毎日、 メ−ル で来るようになっていた。翌日 noreply@forticloud.com から来ていた。グラフなどいろ いろ項目はあったが中身は無かった。とりあえずメ−ルは来ないようにした。 [グロ−バル]->[設定]->[FortiSandbox] [グロ−バル]->[ログ設定]では ------------------------------------------- 〆FortiCloudへログを送る、ア | FortiSandbox設定 ップロ−ドオプションは、◎リ |------------------------------------------ アルタイム。 |FortiSandbox Settings |------------------------------------------ |〆FortiSandboxインスペクションを有効 << ここは最初から〆が入っていて有効にな | ○FortiSandboxアプライアンス っていた。おかしなことに灰色で無効に | ◎FortiSandbox Cloud することは、ここではできない。 | FortiCloudアカウント jtarou@nix.co.jj | |FortiSandbox Statistics (Last 7 Days) |------------------------------------------ | サブミットされた合計ファイル数 | Malicious 0 | Suspicious (High Risk) 0 | Suspicious (Medium Risk) 0 | Suspicious (Low Risk) 0 | 感染なし合計数(レポ−ト付き) 0 ------------------------------------------- [バ−チャルドメイン]->[root]->[セキュリティプロファイル]->[アンチウィルス] ------------------------------------------------------ | アンチウィルスプロファイルの編集 |----------------------------------------------------- |インスペクションモ−ド ◎フロ−ベ−ス ○プロキシ |ウィルスを検知 ◎ブロック ○モニタ |〆Send Files to FortiSandbox Cloud for Inspection | ◎疑わしいファイルのみ | ○All Supported Files << こっちにしてみたが変わらなかった。こ |〆Botnet C&Cサ−バへの接続を検知 れで FortiCloud に検体を送って調べて | ◎ブロック もらうということ。 | ○モニタ ------------------------------------------------------ "インスペクションモ−ド" を "◎プロキシ" にしたら "プロトコル Web でウィスルスス キャンとブロック HTTP 〆"。 続いて Email で SMTP,POP3,IMAP に〆、MAPI に□。ファ イル転送で FTP 〆 と、上の画面表示に続いてでてきた。"◎プロキシ"にしても結果は変 わらなかった、bottest.bat の検知のログは出て来なかった。 [バ−チャルドメイン]->[root]->[ログ&レポ−ト]->[ログ設定]->[脅威ウェイト] ------------------------------------------------------------------ | 脅威ウェイトの定義 |----------------------------------------------------------------- |( ON )脅威ウェイトをログ | ここの画面の一部分でデフォルトの状態。 | アプリケ−ション保護 | ====□ Botnetアプリケ−ション << =は赤色。Criticalな場合にログを出す | ということだと思う。ならば LOWの水色 | マルウェア プロテクション にして軽い危険性でも、ログを出すよう | ====□ マルウェア にしてはどうか。やってみたが変わらず、 | ====□ ボットネットのC&C通信 ログは出てこなかった。 | | リスクレベル値 | [ LOW水 ][5] [ MED黄 ][10] [ HIGH茶 ][30] [ CRIT赤 ][50] ------------------------------------------------------------------ * テスト用のウィルスで Qube3 の /home/temp/ に前にも試したテスト用のウィルス EICAR_TEST_FILE を放り込ん だ。EICAR でインタ−ネットを調べたらすぐ分かる。50字位の文字列をコピ−して適当 なファイル名を付けて使う。EICAR_test.com とした。PC のブラウザIE9 で、このファイ ルをクリックしたら反応があった。ファイルのダウンロ−ド画面は出てこず、10x6センチ 位の警告画面が出てきた。"上の帯に High Security Alert!!、 その下に英文うんぬんが あって、そして http://www.fortinet.com/ve?vn=EICAR_TEST_FILE" などと。 FortiGate の関係しそうな設定状態は。 [バ−チャルドメイン]->[root]->[セキュリティ プロファイル]->[アンチウィルス] でインスペクションモ−ド ◎フロ−ベ−ス、ウィル スを検知 ◎ブロック、□Send Files ...、□〆Botnet ...。 アプリケ−ションコントロ −ルは OFF にした。ON になっているのはアンチウィルスだけである。脅威ウェイトの定 義で、アプリケ−ション保護の Botnetアプリケ−ションは水色、 マルウェアプロテクシ ョンのマルウェアも水色にした。このような設定で以下の結果になった。 [バ−チャルドメイン]->[root]->[ログ&レポ−ト]->[セキュリティログ]->[アンチウィル ス] 一覧のログとその下に詳しい内容が出ていた。FortiSandbox Checksum dbx99...ずっ と長い、Submitted to FortiSandbox false、URL http://xxxxx/EICAR_test.com、アクシ ョン blocked、イベントタイプ infected、ウィルス/Botnet EICAR_TEST_FILE、ファイル 名 EICAR_test.com、レベル 水色、方向 incoming、検知タイプ Virus、脅威スコア5、脅 威レベル low、隔離スキップ No-skip。脅威ウェイトを変えてやったのが下記の様子。 [グロ−バル]->[ダッシュボ−ド]->[ステ−タス]の FortiSandbox の所 "Files Uploaded Today [ ] 0 of 10" のままで、どこかにファイルを送った形跡はなかった。しかし どこに送ると言うのだ。用語がごちゃまぜになっている。 ここの画面では FortiSandbox とある、これはアプライアンスだろう。 FortiCloud Sandbox か FortiSandbox Cloud か。 念押しで bottest.bat をダウンロ−ドした、やはり止められない。 FortiMail のシステ ム隔離に FortiSandbox で検知されたのがある。これでテストする?、かなり怖いけど。 << 脅威ウェイト >> (以下全部で High Security Alert!! と出てウィルスは止められた) アプリケ−ション保護の Botnetアプリケ−ションは水色、 マルウェアプロテクションのマルウェアは水色で、脅威スコア 5、脅威レベル low。 アプリケ−ション保護の Botnetアプリケ−ションは赤色、 マルウェアプロテクションのマルウェアは赤色で、脅威スコア 50、脅威レベル critical。 アプリケ−ション保護の Botnetアプリケ−ションは水色、 マルウェアプロテクションのマルウェアは赤色で、脅威スコア 50、脅威レベル critical。 アプリケ−ション保護の Botnetアプリケ−ションは水色、 マルウェアプロテクションのマルウェア OFF で、脅威スコアと脅威レベルはでなかった。 * FortiGate と FortiSandbox での動作確認 `2g/09 適当な Windows パソコンに Windows OS用のWebサ−バのソフトをインスト−ルして みる。調べたら幾つかフリ−ソフトがすぐでてきた。このパソコンのしかるべきフォルダ に以下の test.html をおく。 そして別な Windows パソコンで test.html をクリックし、 bottest2.bat をクリックするとDOS窓が開いて ping などを実行していく。 これによ りWebサイトにあるマルウェア、ボットの疑似的な動作確認ができる。 test.html bottest2.bat --------------------------------------------------- ----------------------- |まるうぇあテスト |ping xxx.xxx.xxx.xxx | |telnet xxx.xxx.xxx.xxx |
   危険なWebサイト
|ftp xxx.xxx.xxx.xxx |危険Webサイト |
   危険なプログラム
[セキュリティログ]->[Webフ |ボットの無害なサンプル ィルタ]に blocked のログが | 出て来たサイトを書くといい。 (4) FortiGate でUTMのフル制御 * 動作確認用の構成 回線冗長化装置の利用と FortiGate のポリシ−ル−ティングの利用については、 ここで は取り上げない。回線冗長化は FortiGate の SSL-VPN 機能の利用に関係する。実際の設 置テストは現在のファイアウォ−ル FortiGate のDMZに、この FortiGate-80C を置い てみて動作確認をすることにする。FortiGate の機能を部分的に試す。そしてポリシ−ル −ティングでの wan1、wan2 利用や SSL-VPN の設定をまとめることとする。 [グロ−バル]->[設定] というのは G->[設定]、[バ−チャルドメイン]->[root] というの は V->[root] とも表わす。あるいは [root] や [vdom1] は [バ−チャルドメイン] にし かないので root->[xxx]、vdom1->[xxx] と言うようにも表わす。 FortiGate のインタ− フェ−ス、ポ−トは internal5 とかだが lan5 というようにも表わす。 それにDNSキ ャッシュサ−バは DNSc と表わす。因みにDNS1次2次サ−バは DNS1, DNS2 と表わす。 FortiSandbox□ Internet FortiGate-80C のファ−ムウェアv5.2.7。 | | PC2 vdom1 はプロキシサ−バと DNSc を稼働、 仮想IP□ -------□Fire △ PC1 から動作確認。vdom2 は SSL-VPN機 SSL-VPN|.8 |.2 |.7 能をDMZにて稼働、PC2 から動作確認。 ---------------------------------------- | 192.168.1.0 | NAT|.6 ------ |wan1 ------------------- |ハブ| lan5------------- | vdom2 |VDOM:root| | |-----|vdom2| 本体 | |SSL-VPN| | | | .3------| | --------|FortiGate| DNSc | | .2| |------ .3| | -80C|-------- | |-----------|dmz |vdom1| ---------------|.2 | vdom1 | | | -------------- 192.168.8.0 | | Proxy | ------ lan1-4| |lan6 ------------------- PC1 |.2 |.3 □Qube3 | |lan6 △ PC1,PC2には --------------- |.4 192.168.9.0 |.2 |.3 |.9 FortiClient |ハブ | ---------------------------------------- 入れている。 --------------- テスト用の FortiGate-80C では VDOM を先ず1個作った、プロキシサ−バ用に。LAN用で 1,2,3,4 番ポ−ト、vdom1 用で 6 番ポ−ト、5番ポ−トは空きになっている。本番機では VDOM は3つにしようか。1つはプロキシサ−バ、2つ目はSSL-VPN、3つ目は予備として。 とりあえずもう1つ VDOM を追加して作った。設定をさらきにするようなことは無かった。 FortiGate のインタ−フェ−スに空があれば、新しく作る VDOM と関係付ける事ができる。 [グロ−バル]->[VDOM]->[VDOM] {Create New} でバ−チャルドメイン[vdom2] と名前を付 けた、Operation Mode ◎NAT有効 のまま。 G->[ネットワ−ク]->[インタ−フェ−ス] で dmz をクリックして出た画面で、バ−チャルドメイン [root]、アグレッシブモ−ド ◎マ ニュアル、IP [192.168.8.2/255.255.255.0]、他設定なし。同じくinternal5 をクリック し、バ−チャルドメイン [vdom2]、◎マニュアル、IP [192.168.8.3/255.255.255.0]。 G->[ネットワ−ク]->[インタ−フェ−ス]の様子は。LAN1to4 192.168.9.2、ソフトウェア スイッチ(4)。 dmz 192.168.8.2、internal5 192.168.8.3、internal6 192.168.9.3 はタ イプは物理。ネットマスクは全部 255.255.255.0 である。wan2 は今のところ定義してな くて [0.0.0.0 0.0.0.0]、ポリシ−ルティングのテストもするならここも定義する。G の [DNS] などDNS関係の設定は、FortiGate 全体でDNSの挙動を明らかにしないと。 * プロキシ機能 ※`2g/12/M に以下すぐ下の2段落の設定を確認した。 vdom1->[システム]->[ネットワ−ク]->[インタ−フェ−ス ] の設定、 インタ−フェ−ス internal6、バ−チャルドメイン vdom1、◎マニュアル、IP[192.168.9.3/255.255.255.0]、 Explicit Webプロキシを有効〆。vdom1->[システム]->[ネットワ−ク]->[Explicitプロキ シ]で Explicit Webプロキシを有効 〆HTTP/HTTPS、HTTPポ−ト 8080、Listenするインタ −フェ−ス internal6/!\、デフォルトのファイアウォ−ルポリシ−のアクション ◎許可。 vdom1->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] には "1 lan6 lan6 all all ALL 〆ACCEPT NAT無効"、"2 any any all all ALL DENY" とする。 パケットは vdom1 のプロ キシサ−バを入って出て FortiGate 本体の lan から中に入る。ポリシ−はバ−チャルド メイン root のポリシ− [IPv4] の LAN1to4->wan1 が適用される。[IPv4] メニュ−の下 の [Explicitプロキシ] と [プロキシ オプション] にはこれまでに何も設定してない。 ブラウザでプロキシ指定すると、そのプロキシサ−バのマシンが持っている名前解決手段 を利用することになる。DNSクライアントとそのマシンでDNSサ−バが動いていれば それも利用する。DNSクライアントは vdom1->[システム]->[ネットワ−ク]->[DNS] の {インタ−フェ−ス上のDNSサ−ビス} である。 ここの選択に 1)"再帰検索"、2)"DNSデ− タベ−ス参照のみ"、3)"システムのDNSサ−バに転送" がある。 1)と3) は名前解決に G->[ネットワ−ク]->[DNS] を見に行くようで、 ここの動作が要で ある。"◎詳細" で [0.0.0.0]、[0.0.0.0] とすると [208.91.112.53]、[208.91.112.52] と解釈されるみたい。つまり" ◎FortiGuardサ−バを利用" と同じになる。ここで外部の URLの名前解決をする。 動作確認は付録で一旦テストして、ダメ押しで [0.0.0.0] の 解釈を想定しテストし直して、外部のURLの名前解決の仕組みを解明?した。 実際の設定は "◎詳細" 最初 [A.3]、次に [B.d] を見るようにする。これは 現在のプロキシサ−バのマシンの /etc/resolv.conf の記載と同じ事である。 DNS指定の [A.3],[B.d] は "24-5.ネットワ−ク構築は雲の彼方に,(1)クラウド時代の ネットワ−ク,*続インタ−ネット回線の改善" を参照のこと。A.3 は今は権威DNSサ− バだが、いずれDNSキャッシュサ−バに変える。権威DNSサ−バはクラウド上に出す。 [A.3] 指定でなく FortiGate の [208.91.112.53] にする手もある。どちらが名前解決が 速いかだが。多分自分のところは自分ので、それにこの方が速いのでないかと思う。 * SSL-VPN 機能 設定はちょっとややこしい、FortiGate-80C のDMZに別な FortiGate を置いてSSL-VPN 機能を使うとして考えた。G->[設定]->[フィ−チャ−] で {VPN} を ON にした。vdom2に [VPN]->[IPSec],[SSL],[モニタ] ができた。vdom2 にユ−ザとグル−プを作る。ユ−ザは jiroudesu(jirou123)、グル−プは適当な名前で SSL-Group とか、このグル−プにユ−ザ jiroudesu を入れる。[VPN]->[モニタ] の所でパソコンが接続した様子が出る。 vdom2->[VPN]->[SSL]->[設定] Listenするインタ−フェ−ス lan5、Listenするポ−ト443、 アクセス制限 ◎任意のホストからアクセス許可、サ−バ証明書 Fortinet_Factory、アド レス範囲 ◎自動的にアドレス割り当て、DNSサ−バ ◎クライアントシステムのDNSと同じ。 認証/ポ−タルマッピングは "すべてのその他のユ−ザ/グル−プ tunnel-access"、 先に 作成したグル−プを指定してもいい、指定しない場合は作成グル−プ全てが対象になる。 vdom2->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] の設定。 "1 lan5 lan5 all all ALL 〆ACCEPT 無効"、"2 Fromはssl.vdom2(SSL VPN interface) Toはlan5 送信元はallと SSL-Group 宛先はSSLVPN_TUNNEL_ADDR1 サ−ビスはALL アクションは〆ACCEPT NAT無効"、 "3 any any all all ALL DENY"。root の [IPv4]は全方向のル−ルを作成する、LAN->WAN はNAT有効。DMZ->LAN,WAN->DMZ,LAN->DMZはNAT無効。最後は any any all all ALL DENY。 PC1 の FortiClient からDMZ上にある vdom2、192.168.8.3 へアクセス、FortiClient の画面で jiroudesu のアカウントを入れて SSL-VPN 接続を確認した。Qube3 はこの時は 設置してなかった。 FortiClient、FortiGate で利用ポ−ト番号を変えることも確認した。 デフォルトは Listenするポ−ト 443、因みに 444 にしたところ問題なく接続した。これ で FortiGate の SSL-VPN 利用で、LinkProof のIPアドレス不足対応ができるかも。 vdom2 の [IPv4] のル−ル 1番か 2番で、セキュリティプロファイルの設定をするか、つ まりアンチウィルス、Webフィルタ、アプリケ−ションコントロ−ル、IPS、 SSLインスペ クションをかけることができるが、ここでやるのがいいか root の [IPv4] でやるのがい いいのか。あるいは特にやらなくても構わないとか。このことはプロキシサ−バを vdom1 で稼働させるのでも同様な検討がいる、vdom1 でやるのか root でやるのか。 * SSL-VPN の設定の続き ファイアウォ−ルとしてのフィルタリングのル−ルのこと。DMZのオブジェクトの扱い をもう一度押えておくこと。一番ややこしいところで、これまでも以下のように動作確認 をしたことがある。"21-5.続インタ−ネット接続周りの事,(5)UTMのファイアウォ−ル も注意"、"25-4.回線冗長化装置を再び呼び出す,(5)ファイアウォ−ルの挙動の復習"。さ らに今回だめ押しで再度、動作確認をやってみた。その様子は 25-4 章の付録に記載した。 V->[root]->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] これではPC1,PC2 から -------------------------------------------------------- ping 192.168.1.8 応 | From To 送信元 宛先 サ−ビス アクション NAT 答せず。宛先 allは単 |------------------------------------------------------- に全部でなく Virtual |3 wan1 dmz all all ALL 〆ACECPT 無効 IPは除くということか。 -------------------------------------------------------- これにしたら PC1,PC2 | From To 送信元 宛先 サ−ビス アクション NAT からping 192.168.1.8 |------------------------------------------------------- 応答。PC1,PC2 のFort |3 wan1 dmz all all ALL 〆ACECPT 無効 iClientで192.168.1.8 |4 wan1 dmz all SSL_VIR ALL 〆ACECPT 無効 へ SSL-VPN接続できた。 SSL_VIR は Virtual IP でインタ−フェ−ス wan1、タイプ Static NAT、 External IP は 192.168.1.8、マップされたIP は 192.168.8.3 である。 ル−ル 4 で NAT 有効でも PC1,PC2 の FortiClient で 192.168.1.8 への SSL-VPN 接続 できた。上記のル−ルには dmz->wan1 が無いが "dmz wan1 all all ANY 〆ACCEPT NAT有 効" も実際には作っている。 SSL-VPN 装置から外への発信IPアドレスは SSL_VIR 設定 により 192.168.1.8 からになる。NAT 無効だと 192.168.1.6 からになる、プライベ−ト IPアドレスである 192.168.8.3 からの発信になったりはしない。 * サンドボックス連携機能 FortiSandbox の設定は。 [Scan Input]->[Device] に FortiGate-80C が登録されていた。 この装置の設置の時に FortiMail の連携それにテスト用で FortiGate-80C もSI業者に やってもらったのだった。{Device Status} Status:↓黄色、{Permissions} Authorized: □。G->[設定]->[FortiSandbox] の所で FortiSandbox アプライアンスの LANへのIPア ドレスを記入して[適用]、ついで [接続をテスト]。これで↓黄色は↑緑になった。 FortiSandbox から FortiGate 認識のIPアドレスは FortiGate の WAN ポ−トを書いた。 双方でIPアドレスを記載して認識させればいいということ。G->[ダッシュボ−ド]->[ス テ−タス] {ライセンス情報} の所で、"FortiSandbox ・FortiSandboxアプライアンス 〆 有効"になっていた。さてこれからどうしたらいいか。 攻撃と防御のログはどこで見たら いいのか、脅威ウェイトで設定するのか?、FortiMail のようには簡単ではない?。 root->[セキュリティプロファイル]->[アンチウィルス] ------------------------------------------------------- ここを改めて見たら内容 | アンチウィルスプロファイルの編集 が変わっていた。〆Send |------------------------------------------------------ FilesのところAppliance |インスペクションモ−ド ◎フロ−ベ−ス ○プロキシ は、これまで Cloudだっ |ウィルスを検知 ◎ブロック ○モニタ た。□Botnetに〆入れた |〆Send Files to FortiSandbox Appliance for Inspection ら直下に、ブロックとモ |□Botnet C&Cサ−バへの接続を検知 ニタの選択肢が出てきた。 FortiMail に来た怪しいメ−ルは保留しつつ FortiSandbox に送りチェックされる。黒と 判定されたのは FortiGuard Labs に送り対応シグネチャが4〜5時間で作られ、 ユ−ザ 設置の FortiGate に配信される。 社内のブラウザから怪しいサイトにアクセスするのは リアルタイムでは防御できない。メ−ル経由、Web経由で社内に入り込んだマルウェア が情報収集活動をし、情報を外部のC&Cサ−バに送ろうとするのをFortiGate は止める。 これは FortiGate の "アプリケ−ションコントロ−ル" で行なわれる、 IPSライセン スが必要である。メ−ル本文などに怪しいサイト名が書かれているのを FortiSandbox は チェックする。黒判定だった場合その情報が FortiGate Labs に送られ、対応シグネチャ が4〜5時間で作られる。 次に同じサイトにアクセスしようとすると "Webフィルタ" で 止められる。だいたいこんな動きをするようである。動作確認をできればしてみたい。 情報漏洩はシグネチャが配信される4〜5時間の間は止めることはできない。これからリ リ−スされる FortiGate の FortiOS 5.4 では、仮のシグネチャでもって直ちに防御でき るようにするということである。怪しいサイトへのアクセスも Webフィルタのロ−カルシ グネチャにて、直ちに止めることが出来るようになる。 それ用の FortiGate の設定が加 わって来るということである。それでいつこのOSはリリ−スされるのか。`2g/07/e * アプリケ−ションコントロ−ル機能 G->[設定]->[フィ−チャ−] で {アプリケ−ションコントロ−ル} を ON にした。root-> [セキュリティプロファイル] に [アプリケ−ションコントロ−ル] ができた。root->[シ ステム]->[FortiView] に [アプリケ−ション] ができた。vdom1 の方にも同じくできた。 ------------------------------------------------------------ | アプリケ−ションセンサ−の編集 細かく制御するには |----------------------------------------------------------- フィ−チャ−設定で | 名前 [default ] [アプリケ−ションシグネチャを表示] 複数セキュリティプ | コメント [Monitor all applications. ] ロファイルをONにす | る。この機能の他に | カテゴリ Webフィルタ、 アン | @Botnet ◇General.Interest ◇Social.Media ◇Web.Others チウィルス、侵入防 | ◇Business ◇Mobile ... 御、デ−タ漏えい防 | | 止でも制御できる。 * Webフィルタ機能 G->[設定]->[フィ−チャ−] で {Webフィルタ} を ON にした。root->[セキュリティプロ ファイル] に [高度な設定] 以下ができた。 [高度な設定]->[Webレ−ティング オ−バラ イド] と [Webプロファイル オ−バライド]。vdom1 の方にも同じくできた。 ------------------------------------------------------------ | Webフィルタプロファイルの編集 |----------------------------------------------------------- | インスペクションモ−ド ◎プロキシ ○フロ−ベ−ス ○DNS | □FortiGuardカテゴリ | | この間20位項目あり。 | □Cookieフィルタを削除 この画面には Webフィルタ のレ−ティングというチェック機能がある。Rating とは評価、 見積り、等級分けの意味がある。Fortinet社には https://fortiguard.com/webfilter と いうサイトがある。この画面右の方に {URL/IP Rating & Info} というのがあってURL またはIPアドレスを入れる。例えば [ www.iij.ad.jj ] と書いて [Search] をクリッ クすると Category:Information Technology と出た。つまりカテゴリ分けのことらしい。 * 侵入防御機能 G->[設定]->[フィ−チャ−] で {侵入防御} を ON にした。 root->[セキュリティプロフ ァイル] に [侵入防御] ができた。vdom1 の方にも同じくできた。多分 root のポリシ− の [IPv4] の WAN->DMZ に適用するのだろう。WAN->LAN への適用は必要ないだろう。 ------------------------------------------------------------ | IPSセンサ−の編集 |----------------------------------------------------------- | 名前 [default ] [IPSシグネチャ表示] | コメント [Prevent critical attacks. ] | | パタ−ンベ−スのシグネチャとフィルタ | アプリケ−ション層での大量パケット攻 | レ−トベ−ス シグネチャ は全部 ( OFF ) << 撃の防御。25個の攻撃がある。シグネ | | チャが xxx.DoS や xxx.Brute.Force 等。 * FortiGate と FortiSandbox で *** ここらから FortiGate v5.2.8 にした *** Web系アクセスのセキュリティ対策のテスト。FortiGate-80C の LAN->WAN とのところ、 root->..[IPv4] の LAN1to4->wan1 でアンチウィルス ON にして。PC2 にEICAR_test.com テスト用ウィルスを置いて、PC2 では簡易Webサ−バを動かした。適当なのをインタ− ネットから拾ってきた。展開して実行モジュ−ルをクリックしたらすぐにWebサ−バが 動いた。設定で URL は PC2 を、ファイルパスにウィルスを入れたフォルダを指定。これ で利用できる。PC1 のブラウザからアクセスしたら指定フォルダが見えているはずである。 root->[セキュリティプロファイル]->[アンチウィルス] で、◎モニタでは ログは出なかった。[アンチウィルス]の ログ画面の{Add Filter}のアクシ ョンのデフォルトは Blocked で、Monitored に変えれば出るかと思ったが。 そしてEICAR_test.com をクリックした。root->[ログ&レポ−ト]->[セキュリティログ]-> [アンチウィルス] に出たログを見た。 先に FortiCloud を使う設定をしたのとほとんど 同じだった、〆Send Files で FortiSandbox を使う設定でも同じだった。 つまりこのウ ィルスに対しては FortiGate 内で処理しているということである。 直接フォルダにある ウィルスをクリックしてはダメなのか、 HTML の記述の中に画像みたいに入れないといけ ないのか、URL 指定してその先にこのウィルスを置いておかないといけないのか。 なかなかウィルスのテストは厄介だ。PC2 ではパソコンのウィルスチェックソフトでリア ルタイムファイルシステム保護を無効にして、テスト用ウィルスを所定のフォルダにコピ −した。無効にしないとファイルを触っただけで検知削除されてしまってコピ−できない。 しばらくして分かったがフォルダ指定すればその中は検知対象外にできた。PC1 ではウィ ルスチェックソフトを無効にした、Windows OS の Windows Defender も無効にした、 で ないと PC2 に入れたウィルスも削除してしまってテスト作業がとてもやりにくくなる。 (5) イントラネット構築のまとめを * さあラストダンスの時間だ! `2g/08 果たしてすんなり FortiGate の置き換えはできるのか。 SI業者でも極力やるのを避け る案件である。インタ−ネットのサ−ビス全部に関わっている。先ずはフィルタリングの ル−ルを全部みてみる。メ−ルはどことどこのル−ルでメ−ルリレ−とメ−ルストア間で やりとりしているのか。他にもDMZ上のサ−バのパケットの内外のやりとりも改めて把 握しておいた方がいい。もし通信できないというのが頻発する事態が起き、どうしてもと いう場合は旧来の FortiGate に戻すことも念頭に入れておく。 しかし戻してしまっては、 いつまでたっても置き換えはできない。入念に準備したあかつきには、ある程度のトラブ ルはその場で解決していく。腹を据えた対応が必要だろうと考える。 現在のファイアウォ−ルの FortiGate で、wan1->dmz のル−ルでNATが無効であったり有 効になっていたりしている。これまで NATは画面表示に加えてなかった。他にも何となく 理解しにくいル−ルもあったりする。 しかし今回改めて FortiGate-80C でテストしたと ころ、特に問題になるようなことではないと分かった。ここの所は大きな懸念材料だった。 多分ポリシ−のル−ルに関しては新しい FortiGate で、 手作業で作るなり既存のから流 し込むなりすればいいだろう。後は VDOM を利用すること、SSL-VPN とプロキシ機能を利 用すること。ポリシ−ル−ティングも使うこと。IPSなどセキュリティ関係は基本設定 をすること。これらをシステムとして全体を設計しまとめ上げる事は銘々の課題とする。 フォ−ティネット社から 2016/08/04 に来たメ−ル「メ−ル無害化ソリュ−ション導入ガ イドを公開」。http://www.fortinet.co.jp のダウンロ−ドセンタ−のホワイトペ−パ− から入手の案内。添付ファイルを削除と HTML メ−ルをテキストにするのが無害化の基本。 元メ−ルを別途保管しWebメ−ルで閲覧もできる。など FortiMail v5.3.4 以降で対応。 FortiSandbox との連携手順はかなり詳しく書かれている、十分参考になる。 メ−ルによ ると「地方自治体セキュリティ強化対策」で "メ−ルの無害化" がうたわれているという。 これはメ−ルをより安全にするやり方に違いないが、これまでのメ−ルの扱いを変えるも のでそうた易く採用しますとは言えない。とりあえずは従来のままのメ−ル設定で行く。 * イントラネット構築のまとめ `2g/06 1997年の末に後書きを一度書いた。インタ−ネット接続すること自体、情報がまるで 無く、皆目見当が付かない時代だった。インタ−ネット黎明期の1994年から1997 年頃までのこと。Windows パソコンが出る前、Sun Microsystems や Silicon Graphics社 のEWSでしかインタ−ネット接続ができなかった時代。 Apollo コンピュ−タのマニュ アルを嘗めるように見て、Apollo を何台が使ってDNSとメ−ルの仕組みを調べた。 そ れがまとまったのが1996年4月18日だった。それで終わりにしてもよかった。しか し単にインタ−ネット接続するだけでなく、イントラネットの構築という広い視野で検討 を継続することにした。ファイアウォ−ルも設置してまとめたのが1997年末だった。 それから大方20年の歳月が流れた。限界を感じながらやってきた。もうこれで終わりだ ろうと思いつつ。非常にエキサイティングな時代に生まれ、一線でそれを担うことが出来 たのは何よりも幸せなことだったと思う。しかしインタ−ネットが世の中で当り前になっ て行くと、会社でも必要不可欠なツ−ルになって行くに従って、だんだんと運用などの手 順、マニュアル化に重きを置かれることになっていった。これはこれで重要なことなのだ が、そのために肝心の技術面がおろそかになり、安全性を確保することも通り一辺になっ てきた。社内では分かる技術者は育たず、業者にお任せするしかなくなった。その業者と て、とてもや人材が十分とは言い難い。その状況は今日でも変わって無いように思う。 小生は早くからインタ−ネット接続口のモデルというのを意識して来た。会社など組織が 違ってもやりたいこと、やるべきことは似たような話のはずだ。ならばベ−スとなるモデ ルを作ってそれをしっかり技術的に固める。運用面、安全面をしっかり検討するのである。 多くの組織に同じような機器を用いて設定し、それぞれで上がった問題点と解決策を共有 するのである。SI業者の営業やセキュリティ装置のメ−カの人などに話してきた。残念 ながら共感を得ることにはならなかった。それは組織によって要求は様々だから、モデル は当てはまらないし、儲けにならないと。多分それがSI業者がユ−ザと接しての実際の ところなのだろう。しかしエンドユ−ザはわがままなのか、要求はばらばらなのか。 SI業者の逃げの方便のような気がする。インタ−ネットの危険性は頂点に達していると 言っていいだろう。個々の組織のネットワ−ク担当がごそごそして、凌げる段階ではもは や無いのである。わがまま言っている場合ではないことは、もう重々分かっていると思う。 Fortinet社の機器を触って、これならインタ−ネット接続口モデルができそうだと思った。 FortiGate でファイアウォ−ルを中心にIPS、プロキシサ−バ、SSL-VPNなど。 メ−ル サ−バを社内に持つ場合でも FortiMail が使える。FortiSandbox という強力なウィルス チェックをする装置もある。これらを組み合わせれば1つのモデルになり得ると感じてい るのである。幾つものメ−カの機器で構成するのでなく、これならシンプルにできる。 この分野の賞味期限は半年だ。UTMなど様々な機器の設定など書いてきたが、バ−ジョ ンアップと共に変わっていく。新しい機能が追加される。メ−カやSI業者でも把握し切 れないことも多々あるだろう。お互い知っている情報を出し合い、精度を高めていくこと が必要である。一人溜め込んだところでしれている。常に見直し、世の中の動向をワッチ し続け、その都度適正なプランを立てて行かなければならない。手を繋ぎ先に進んで行こ う。そのための雛型が先ず必要である。それを Fortinet 社の製品で作ってみたいと思う。 自分自身これから先どこまでできるか、それも確たるものがある訳でない。でも誰かがや らなければ、日本という国は世界から取り残され、このまま沈没して行ってしまうだろう。