18-3. UTM装置を一つなめ尽くす (1) UTM装置の FortiGate を触る `27/12〜 * 装置の概要 UTMの FortiGate を雑誌等でよく目にするようになった。Unified Threat Management 統合脅威管理を行なうセキュリティ対策装置。オ−ルインワンの何でもござれ装置。自前 でウィルスチェックのパタ−ンや侵入防御のシグネチャも作っている。パワ−がいるので 専用 ASIC を開発した。6年前からあるらしい。なんやパソコンの個人向けや小規模オフ ィス、10人や20人での製品かと漠然と思っていた。セミナ−に出て話を聞いてみたら、 上はデ−タセンタ−まで幅広いラインナップがあった。ライセンス数での縛りはなく、ス ル−プットによって幾つかのモデルがある。なかなか分かりやすい製品だ。 一番安いタイプは FortiGate-50B。11万円、初年度サポ−ト含む。FortiGate-50A の後継 機種。IPS サブスクリプション 2.2 万円。2007/01/11 出荷開始。FireWallスル−プット 50 Mbps。標準機能はファイアウォ−ルとVPN(IPSec)。アンチウィルス、IPS、コン テンツフィルタ、アンチスパム機能は別。えらく安いぞ、ファイアウォ−ルなんかの機能 がついているYamahaのル−タみたいなものか。fortigate なんたらというサイトに価格が 出ていた。50B 本体が約 58,000円。全部入った本体価格が約 76,000円、次年度保守が約 60,000円。FortiGate の会社であるフォ−ティネットジャパン(株)のサイトではない。 この製品、ネットワ−クのセグメント毎に置いていくことを推奨している。そして一括し て "センタ−" でル−ル設定とログの収集の管理を行なうことを勧めている。ル−ル設定 は FortiManager アプライアンス、ログ収集は FortiAnalyzer アプライアンス。 これら の実機を見た、騒音はまるでしていなかった。空調ル−ムにでなくても普通のオフィスの 片隅においても音的には問題ない。クリティカルな部署にはファイアウォ−ル機能もいる、 侵入防御機能もあるといい、スパム対策もやってもいい。 さるSI会社の FortiGate の 説明資料の注意書き。複数の機能を使う場合は能力に注意、余裕をもって上位機種を選ば れたし、またゲ−トウェイで設置する程の細かな設定はできないとも。 * 装置の仕様など マルチWANリンクサポ−ト、PPPoE クライアント、DHCP クライアント/サ−バ。ユ−ザ 認証は RADIUS, LDAP, Windows AD, PKI との連携、IP/MACアドレス・バインディン グ。RADIUS による Xauth サポ−ト(IPSec)。RSA SecurIDのサポ−ト。帯域制御もできる。 FortiMail はメ−ル専用スパム&ウィルス対策アプライアンス。宣伝文句は、より高精度 のEメ−ルセキュリティが必要ならこちらをどうぞ。FortiGate よりもspamチェック 項目が多い。メ−ルリレ−機能あり、Mail-Relay ホストの置き換えができる。FortiMail の透過型の利用形態が FortiGate のスパム対策になる。 FortiWiFi-60A は無線LAN搭載モデル、802.11a/b/g 対応。2006/05 発表。これは、ひ ょっとかすると、ネットワ−ク・セル用にぴったりの製品かも知れない。天井に設置する 訳にはいかんか。別にいかんこともないか。机の上に普通に置いて、オフィスのそのフロ ア−位は電波は届くという。フォ−ティネットジャパン(株)の社内で使っているとのこと。 無線LAN搭載モデルは Networld+Interop 2007 Tokyo で出展しているのを見た。 1次 代理店は全部あたってみた、どこも扱ってなかった。ということは日本では入手はできな い。SI業者は無線LANの装置は、別に Ciscoなどのちゃんとしたメ−カのを使うこと を推奨しているということか。それとも無線LANは手離れが悪いので扱わないのか。 FortiWiFi-60B は無線LAN搭載モデル、20万円ちょいで発売。2007年11月号の 雑誌にでていた。無線LANの安全性を高めたモデルIEEEE802.11/a/b/g。FortiGate-60B に無線LAN機能を加えた製品。前のモデルは暗号化の方式が弱いのが入っていた。 検疫ネットワ−ク対応モデル FortiGate-224B。2007/01 発表。 10/100 Mbps 24ポ−ト、 1Gbps 2ポ−ト。ウィルスチェックソフトの動作やパタ−ンファイルのバ−ジョンなどを 調べる。別VLANにいったん隔離する。レイヤ3スイッチ。ポ−トベ−スの検疫でセキ ュリティ・ポリシ−を実行できる。 悩んだ、FortiGate-50B には DHCP サ−バのメニュ−が見当たらない。Operation Modeを Transparent にしていると DHCP サ−バは使えなくて、メニュ−に出て来ない。NAT にし ないと出て来ない。これ1台で部門用の DHCP サ−バにして、無線アクセスポイントにし てセルネットワ−ク用の装置にもってこいと思ったのだが。 * 装置のセキュリティ FortiOS 3.0 では Winny の通信をブロック(遮断)、 またはレ−ト制限(帯域制御)をかけ ることができる。Peer-to-Peer 通信、Winny、Skype とか。 パソコンに Winny が入って いても、外へアクセスする際に FortiGate がブロック、止めることになっている。 レ−ト制限の意味は通信量を制限する、通信できないようにするのではない。Skype のレ −ト制限は分かる、どんどん使われたんでは帯域をくわれてしまう。しかしWinny のレ− ト制限はよく分からない、使わせるかさせないか白か黒しかないと思うのだが。 ボットは Webフィルタの [セキュリティ上危険 ]カテゴリのサブカテゴリの [ウィルス感 染する] or [スパイウェア感染する] どちらかで補足される。アクセスは全面的に禁止す る。警告を発するのではない。それにボットはウィルスやスパイウェアとして AntiVirus 機能でも補足される、しかしボットは亜種がすごく多いのですり抜ける場合が多い。 * いろいろ使い方 管理用IPアドレスを変更する。[System]->[Config]->[Operation] {Operation Mode}は Transparent。{Management IP/Netmask} [ 192.168.1.1/255.255.255.0 ] がデフォルト。 スパムとWebフィルタリングをやる場合は、ファイアウォ−ルでこの管理用IPアドレ スを UDP/TCP 53 番を通す、ウィルスと IPS は TCP 443 番を通すようにする。 管理用IPアドレスには、デフォルトでは透過モ−ド( Transparent ) でもLAN側から でないとアクセスできない。FortiGate をWANとLANを反対につないでも FortiGate 以下のパソコンには何も問題ない。ちゃんと POP3 でのspamチェックはしていたし。 システム->ネットワ−ク の wan1 インタ−フェ−スは最初、PING にチェックがあっただ け、このため外から画面にアクセスできなかった。システム->ネットワ−ク の internal インタ−フェ−スは最初、HTTPS HTTP PING にチェックがあった。TELNETにはチェックは なかった。TELNET をチェックすると内から装置に telnet できるようになる。 POP3サ−バへのアクセスでアカウントがおかしいと小さな画面が出ることがあった。装置 をネットワ−クから抜いて、メ−ルの送受信をした際に一度なった。こうなったら慌てず に、しばらく時間をおいてからメ−ルの送受信をクリックしてみること。 帯域制御はトラフィック管理のメニュ−でやる。internal->wan、wan->internal の Edit で [FireWall]->[Policy] のメニュ−で、{Traffic Shaping} を〆するとメニュ−が出て 来る。Guaranteed Bandwidth, Maximum Bandwidth, Traffic Priority。 表示言語を変更する:[システム]->[管理者]->[Settings] の言語 [日本語 ▽] ここで英 語とか韓国語とか選択する。?のヘルプは英語でしか出て来ない。画面のタイムアウトは 5分ですぐ切れる。タイムアウト時間を変えるには同じくこの画面でできる。 * ログについて FortiGate はログはデフォルトでは取らないようになっている。各セキュリティ対策のメ ニュ−で対策実施するようにして、実際ログを取るかどうかはまた別なメニュ−で指定す る。ログの処理は3通りある。一括管理する FortiAnalyzer に送る。 この装置のメモリ に入れる、これだとすぐにログを見ることができる。Syslog で他のマシンに吐き出す。 [FireWall]->[Protection Profile] で作成した {Test1} の Edit アイコンをクリックす る。[IPS] をクリックすると {IPS Signature} と {IPS Anomary} のチェック項目がでて くる。Crtical, High, Medium, Low, Information がある。Crtical なログを取るよとい う意味で 〆Crtical、〆Information にチェックを入れてみた。 [FireWall]->[Protection Profile] で作成した {Test1} の Edit アイコンをクリックす る。[Logging] をクリックすると各セキュリティ対策のログを取るかどうか指定する画面 が出て来る。ここで例えば [FireWall]->[Protection Profile]->[Logging] の {IPS} の {Log Intrusion} に〆を入れると、はじめてIPSのログが取られる。 [Log&Report]->[Log Access]->[Memory] で {Log Type} はデフォルトで [Event Log ▽] になっている。▽をクリックするとメニュ−がでてくる "Attack Log", "AntiVirus Log", "Web Filtering Log", "AntiSpam Log", "IM/P2P Log", "VoIP Log"。 "Attack Log" が {IPS} のログ、"AntiSpam Log" が {Spam Filtering} のログである。 [Log&Report]->[Log Config]->[Log Setting]で〆{Memory}、{Minimum severity level:} [Information ▽] がデフォルト。これで Information 以上のログが装置のメモリに取ら れる。Information 以上というのはつまり、出た全部のログを対象にするということ。 [Log Access]->[Memory] 装置のメモリに蓄えられたログが見れる。 種類別にログを見る。 {Log Type} には Event, Attack, AntiVirus, Web Filter, AntiSpam, IM/P2P, VoIPがあ る。[Report Access]->[Memory] これで色付きのグラフが出てくる。 * 装置の状態の表示 [System]->[Status] Firmware Version Fortigate-50B 3.00, build0480,070330 [update]。 ファ−ムウェア をアップデ−トするには、http://www.ctcsp-support.jp/fortigate/index.html からフ ァ−ムウェアをパソコンにいったんダウンロ−ドする。そして [update] でそのファイル を指示して入れる。このサイトは一般の人もお知らせとドキュメントをダウンロ−ドがで きる。ファ−ムウェアの所は装置を購入したユ−ザだけパスワ−ドで入ることができる。 装置の時刻がどうも変だった。これではログを取る意味がないので、ちゃんと時刻を合わ せることにする。とりあえずメニュ−を日本語モ−ドにして[システム]->[ステ−タス]-> [システム時間] で、タイムゾ−ンは (GMT+9:00)Osaka,Sapporo,Tokyo,Seoul に。そして 時刻設定するかNTPサ−バと同期を取るかする。この時刻設定のメニュ−の (リフレッ シュ) をクリックすると、このメニュ−に表示されている時刻が現在のになる。 画面右下の方に Attack Log がでている。AV 0 viruses caught、IPS 0 attacks blocked、 Spam 0 spams detected、Web 0 URLs blocked。久々に装置を稼働させて半日、 IPSの 侵入防御機能をオンにしたつもりなのだが、全然ひっかからない。インタ−ネットに接続 する場所で DefensePro があるので、そもそも不正アクセスはそこで止められているのだ。 DefensePro でも防御できないボットが侵入して来てないかそれを見たい訳なのだが。 * ライセンスの有効期限が過ぎた状態 FortiGate は透過的に設置した。ファイアウォ−ルの機能は問題なく働いている状態。 [システム]->[ステ−タス] の "ライセンス情報" のところ -------------------------------------------------------------------- | サポ−ト契約 Valid FortiOS 3.000 (期限 2008-10-3) | 日付は適当 |------------------------------------------------------------------| こんな感じ。 | FortiGuardサブスクリプション | |------------------------------------------------------------------| | アンチウィルス ライセンスなし [Subscribe] × |黄 | AVバ−ジョン 6.671 (Update 2005-09-12) [更新] | |==================================================================| | IPS 有効期限切れ [更新] × |黄 | IPSバ−ジョン 2.575 (Update 2007-11-02) [更新] | |==================================================================| | ウェブフィルタ 有効期限切れ [更新] × |黄 |==================================================================| | アンチスパム 有効期限切れ [更新] × |黄 |==================================================================| | Analysis Services Unreachable × |灰 |------------------------------------------------------------------| | バ−チャルドメイン | | VDOMs Allowed 10 | -------------------------------------------------------------------- * 参考 「FortiGate 導入ガイド UTM製品の導入を考える人のために」オ−ム社 2007/08 発行。 > 2,625円税込み。2007年5月の展示会で本が出ると聞いていた、出てました。 (2) FortiGate の導入と設定のイロハ `27/12〜 * 手元にきたのでぼちぼち触ってみる 先ずは付属品は。ネットワ−ケケ−ブル1本。ファ−ムウェアのアップ用で片方9ピンの コネクタ、片方 RJ-45ジャックのケ−ブル1本。CD-ROM1枚、電気用品安全法に関する注 意事項、内容は10行程度の注意書き、本当にそれだけが入っていた。紙のマニュアルは なし、CD-ROMにも入ってなかった。マニュアルはインタ−ネットから各自、取ってね見て ねということ。購入したSI業者が用意したサイトがあって、そこにファ−ムウェアやド キュメントがある。Version 3.0 ドキュメントダウンロ−ド。"INSTALL GUIDE" はプリン トしなくていい、1枚入っている紙 "QuickStart Guide" に初期設定については書いてあ る、ファ−ムウェアのアップや RS-232C による CLI アクセスについて。 日本語 "Administration Guide" PDF 485ペ−ジ 9,086KB(8.87MB) 英語 "INSTALL GUIDE" FortiGate-50A/50B など用 PDF 74ペ−ジ 3,341KB(3.26MB) ここも参照のこと http://docs.forticare.com/jp.html 日本語の管理者ガイド 工場出荷状態の設定は 192.168.x.yy(一応黒塗にする)になっている。 手元のパソコンを 192.168.x.1 とでもして https://192.168.x.yy とアクセスする。ブラウザの画面が出た ら、装置にアクセスするために、社内ネットワ−ク設置のIPアドレスを振る。そして透 過モ−ドで設置してみた。装置のポ−トの LAN-1 または LAN-2 に自分のパソコンをつな ぐ。WAN1には社内のネットワ−クにつながるそこら辺のハブにつなぐ。LAN-1 と LAN-2に つなぐと、これはただのハブに接続したのと同じことで透過モ−ドではない。何もUTM としての働きはしないことになる。 設定のため FortiGate にアクセスするには、LAN 側にパソコンをつなぐこと、WAN側ではアクセスできない。 [System]->[Status] 何も設定してない時の状態 -------------------------------------------------------------- |□System Information | | |------------------------------------------------------------- |□License Information |------------------------------------------------------------- |Support Contact Unreachable [Configure] |FortiGuard Subscriptions | AntiVirus Unreachable [Configure] | AV Definitions 6.6xx(Updated 2006-09-21) [Update] × |------------------------------------------------------------- | Intrusion Protection Unreachable [Configure] | IPS Definitions 2.3xx(Updated 2006-12-19) [Update] × |------------------------------------------------------------- | Web Filtering Unreachable [Configure] × |------------------------------------------------------------- | AntiSpam Unreachable [Configure] × |------------------------------------------------------------- | Analysis Service Unreachable × |------------------------------------------------------------- | | 何か登録をしないといけないみたいだ。 いや自動的に FortiGate のセンタ−を見に行く ようになっているのでないか。行こうとしたけども、到達できなかったということでない か。自分とこのファイアウォ−ルが止めたか。サブスクリプションは IPS、Web、AS をと りあえず2年分を購入した。最初の1年分もサブスクリプションはついてないので、購入。 IPS は侵入防御機能、Web はWebフィルタリング、AS はアンチ・スパム機能である。 * FortiGate の侵入防御機能は `28/03 [System]->[Maintenance]->[FortiGuard Center] の ▽IPS Options をクリックし〆を入 れ (Apply) をクリックする。 これで攻撃情報のデ−タをセンタ−から取得すようになる。 この画面を久々に見た時の状態。パタ−ンファイルが古い。パタ−ンファイルを新しくし ようと[Update]をクリックした、Update File:[ ][参照] と出た、これではだめだった。 ▽AntiVirus and IPS Downloads の (Update Now) クリックしたら"Update in Progress" と出た。5分待っても変化がないので、改めて [FortiGuard Center]メニュ−を出したら "IPS Definitions 2.575(Updated 2008-12-11 via Manual Update) [Update]"と、最新デ −タ(パタ−ンファイル)を取ってきていた。 Intrusion Protection Valid License (Expires 2009-xx-yy) 〆○緑 IPS Definitions 2.484(Updated 2008-03-27 via Manual Update) [Update] [Firewall]->[Protection Profile] の "Test1" を選択する。▽IPS をクリックして、と りあえず全部に〆を入れた。Critical, High, Medium, Low, Information。[Log Config] ->[Log Setting] 〆Memory、{Minimum severity level:[Information ▽]}。[Event Log] 〆Enable、System activity event にも〆とりあえずチェック。これで何が出てくるか。 * FortiGate のボットのブロック `28/03 [ファイアウォ−ル]->[プロテクションプロファイル] ▽FortiGuardウェブフィルタリン グで、カテゴリという表になっているところで、▽セキュリティ上危険のウィルス感染す る、スパイウェア感染するを ●ブロック にチェックする。ログをとるなら 〆ログ をチ ェックする。先ずは許可にしてみてログだけ取ってみるか。 ●ブロック ということは警 告はなくてアクセスを禁止する。これでボットをブロックすることになるらしい。一応ボ ットが潜んでいるサイトを事前に調べていてそのデ−タを使用するとのことだ。▽ウェブ フィルタリングでは、ウェブレジュ−ムダウンロ−ドブロックにチェックが入っていた。 * URLフィルタを試してみる `28/03 朝日新聞のサイトを見れなくしてみる。[Webフィルタ]->[URLフィルタ] で新規作成を クリック。名前を "朝日新聞"。{New URL Filter} という入力画面が出てくる。URL のと こに www.asahi.com と記入する。http:/www.asahi.com/ と書いても www.asahi.com と なる。Type [Simple▽], Action [Block▽], Enable〆。[ファイアウォ−ル]->[プロテク ションプロファイル] の "Test1" で、▽ウェブフィルタリングをクリック。ウェブURLフ ィルタの HTTP に〆、オプションで[朝日新聞]を選択。(OK)をクリックしてOKだ。そし て、朝日新聞に実際アクセスしてみると、ブラウザに "The URL you requested has been blocked. URL=www.asahi.com/" と出て止められてしまう。 * ファ−ムウェアのアップをしてみる `29/05/26 聞いたところでは、バ−ジョン4.0 のOSがでた。いろいろ機能が追加されて いる。`29/03/03 アメリカのフォ−ティネット社が FortiOS 4.0 を発表した、 日本では `29/04/22 に発表された。WAFS 機能が追加されWAN最適化ができるようになった。SSL トラフィックインスペクション。情報漏洩防止(DLP)。アプリケ−ション制御など。 買っ たところのサイトでファ−ムウェアのダウンロ−ドができる。2009年5月に見たとこ ろバ−ジョンは3までのしかなかった。7月になってもバ−ジョン4は見当たらない。ど うなっているの。WAFS 機能は興味がある。それに WAFSはキャッシュが必要なわけで、一 番下位のモデルの FortiGate-50B なんかで WAFS が機能するのか。確認要である。CTCSP は `2a/06/08 にバ−ジョン4である FortiOS v4.0 MR1 パッチビルド3 をリリ−スした。 * 設定のセ−ブとロ−ド [システム]->[メンテナンス]->[バックアップと復元] のメニュ−で行なう。 セ−ブ先は ハ−ドディスクのみ選択できた。USBメモリは認識しなかった。灰色のまま。装置をリ ブ−トしても変わらなかった。専用のUSBメモリの FortiUSB がいるみたい。ハ−ドデ ィスクにはすんなりセ−ブはできた。 ファイル名のデフォルトは fgt_system.conf にな っていて、セ−ブ先は一応 D:\FortiGate\ としてみた。ファイル名は任意に付けられる。 [バックアップと復元] の Restore をやる。Filename D:\FortiGate\fgt_system.conf を 選び ( Restore ) をクリックする。一見何もしてないように見える。RS-232Cでも接続し てコンソ−ル画面を出しておいた。数十秒して画面で reboot が始まり、1分ぐらい起動 プロセスが背後で走り 画面には "System is started" が出て止まっているように見える。 そしてやおら login: が出てきた。これでコンフィグをセ−ブしたファイル設定になった。 この画面の下のメニュ−に、USBメモリの制御ファイルは fgt_system.conf がデフォ ルト、USBメモリに入るのはファ−ムウェアで、image.out がデフォルトで読み込んで くる。これらのファイルは装置の restart 時に読み込んでくる。ということはFortiGate を次のファイアウォ−ルとして設定しておいておき、さらにテスト環境でいろいろ検証し たいとすれば、test.conf とか別なファイル名でセ−ブすることになる。 `2h/11/E 追記。USBメモリは FortiGate の設定のバックアップを取ったり、USB自 動インスト−ルというのに用いる。ログを保存するのには用いられない。 * CLI コマンドの幾つか RS-232C 接続でコンソ−ルに入っての作業 execute ping, backup, cfg, reboot, telnet などたくさんのコマンドがある。設定のセ−ブとロ−ドをやったり、透過モ−ドにしたり NATモ−ドにしたりすると、IPアドレスで装置にアクセスできなくなる可能性が大き い。そうなった場合に元に戻せるように、CLI コマンドを使えるように勉強しておいた方 が身の為である。RS-232C の設定は9600bps, 8bit, stop1, Non-Parity, フロ−制御なし。 # execute ping 192.168.1.2 # execute cfg 設定ファイルのセ−ブとロ−ドはこれみたい。 reload reboot to reload the configs save save configs # execute backup 似たようなコマンドでこっちは何ができるか。 config config ipsuserdefsig backup user defined signature to tftp server memory memory (3) FortiGate でインタ−ネットVPN `28/07 * 現実的な要望は海外拠点 海外拠点とのネットワ−クのこと。DMZにUTMの FortiGateを置いて、アメリカや韓 国にも FortiGate を置きインタ−ネットVPNを張ることを考えた。 しかし本当はおか しい話じゃないのか。ファイアウォ−ルの IPSec VPN 機能で、 海外など拠点のUTMと インタ−ネットVPN接続すべきだろう。 かつて FireWall-1 の IPSec VPN を試した際、 無茶苦茶めんどうだったのがいけないのだが。昨今はちっとは簡単にできるようになった のか。FortiGate は Juniper などと IPSec VPN をやったレポ−トがサイトにあった。今 のファイアウォ−ル FireWall-1 を今後も使うとすれば、上記のことは難しいと思う。実 際的な FireWall-1 での IPSec の設定はやれそうにない。FortiGateならひょっとしてや れるかも知れないという気がする。つまりDMZに FortiGateを置くのではなく、ファイ アウォ−ルとして FortiGate を設置し、そこで IPSec VPN を張る。しかしこの意味はも う一度考えてみたい。手放しで安全性はOKという気はしないからである。`29/12 * インタ−ネットVPN接続 支社はパブリックIPアドレスを8個とか取得する。内部ネットワ−クにそのパブリック IPアドレスを使う場合。NAT 変換してプライベ−トIPアドレスを使う場合。 支社はパブリックIPアドレスは動的IPを毎回割り当ててもらう。ル−タの外側がパブ リックIPとなる、内部ネットワ−クは NAT 変換でプライベ−トIPアドレスを使う。 △PC1 △PC2 VPN装置の VPN3,VPN1,VPN2 とVPN-Client PublicIP | PrivateIP | は IPSecによるインタ−ネットVPNを使用。 ------------ ------------- | | VPN1,VPN2 は FortiGate、ADSLル−タとして ■VPN1 NAT■VPN2 VPN-Client も利用可。VPN-Client はFortiGateのソフト。 | | △PC3 □Modem □Modem : PC3は VPN3の DHCPサ−バにより PC3'に位置 :ADSLとかFTTH: : することになる。リモ−トアクセス型VPN。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \_______________/ PC1,PC2 パソコンはVPNの設定は何もなし。 : PC3 は VPN3 で XAUTH ユ−ザ認証をする。 : Router□ ■VPN3' VPN2 と VPN3 では双方でNATトラバ−サルの | | 設定をする。 ---------------------------- | ■VPN3 △PC3' VPN1,VPN2,PC3 はファイアウォ−ル、IPS、 | | | ウィルスチェックをやっておきたい。 FireWall□----------------- | □ROUD IPSec は IKE通信に UDP/500を使う。TCP/50 | | も使う。NAT トラバ−サルを使用する場合は ---------------------------- 違ってくるらしい、後は実際に設定してみて。 IPSec はクライアントである端末の認証はできるが、ユ−ザを認証する機能はない。そこ で出てきたのが XAUTH( Extended Authentication ) という IKEプロトコルの拡張機能で ある。でも所詮ユ−ザ名とパスワ−ドである。支社の人数がそんなに多くなければ、本社 のVPN装置に直接それらの人のアカウントを登録してもいい。 RADIUS サ−バを立てる までもないが、RADIUS サ−バがあればログを残すなど管理面では有効になるが。 * サイト間型インタ−ネットVPN IKEメインモ−ド/アグレッシブモ−ドというのはだいぶ前からある。これは IPSec での 暗号化で暗号化するための鍵を交換するやり方、相手を特定するやり方である。メインモ −ドは相手が固定IPアドレスの場合に行なうことができる認証である。これは支社のネ ットワ−クでパブリックIPアドレスを取得している場合に利用できる。アグレッシブモ −ドは相手が固定IPアドレスでない場合。固定IPアドレスでない装置の方から識別に いく、つまり支社から本社側に相手の名前で識別する。この際の装置の認証情報は暗号化 されないので、安全性は劣ることになる。しかし IKEの事前共有鍵は最低使うので、一定 の安全性は確保されると考えていい。事前共有鍵は当事者だけが知っている呪文である。 IPSec パケットは NAT や NATP を越えるのが難しい。 ---> NATトラバ−サル機能があれば越えることができる。 IKE 暗号化鍵交換のアグレッシブモ−ドとは。 ---> 支社が固定パブリックIPでない場合、支社から本社の装置に鍵交換にいく。 支社が固定のパブリックIPアドレスを取得してない、内部ネットワ−クはプライベ−ト IPアドレスで外にはIPアドレス変換の NAT や NAPT で出ていく。 多分この場合、基 本的には IKEアグレッシブモ−ドで暗号化鍵の交換はできるのだが、肝心の通信パケット は IPSec で NAT や NAPT を越えることができない。これを越えることができるようにし たのが NATトラバ−サル機能である。最初、装置に NATトラバ−サル機能があれば、支社 側ネットワ−クには固定IPアドレスがいらないと理解したが、そうではなさそうである。 NATトラバ−サル機能がいつからサポ−トされたか、 2003年に実装されている機器が あった。IKEアグレッシブモ−ドはもう少し以前からあるようである。 Fg : Fix Public IP Address 固定パブリックIP ---- Private IP Fp : Fix Private IP Address 固定プライベ−トIP ==== Public IP Dg : Dynamic Public IP Address 動的パブリックIP [1] VPN装置 NATなし, IKEメインモ−ド ---- ---- △ △ Fp| |Fg Fg| |Fg | | パブリックIPが複数ある場 ------------* *=================* *============ 合。支社のパソコンには、パ 本社 |A | VPN装置|B | 支社 ブリックIPアドレスを振る。 ---- ---- [2] NATトラバ−サル NAT, NATトラバ−サル/IKEメインモ−ド ---- ---- Fp| |Fg Fg| |Fp 装置B はADSLル−タ機能あり。 ------------* *=================* *------------ パブリックIPは1個のみ取 本社 |A | |B | 支社 得。装置B のWAN側に使用。 ---- ---- [3] NATトラバ−サル NAT NATトラバ−サル/IKEアグレッシブモ−ド 装置Bの ---- ------ ---- 名前記載 Fp| |Fg Fg|ADSL|Fp | | パブリックIPは取ってない。 ------------* *=================*Rout*----| |----- NATトラバ−サル機能でIPSec 本社 |A | |er | |B | 支社 パケットを NAT越えをさせる。 ---- ------ ---- [4] NATトラバ−サル NAT, NATトラバ−サル/IKEアグレッシブモ−ド 装置Bの ---- ---- 名前記載 Fp| |Fg Dg| |Fp [3] をADSLル−タ機能を持つ ------------* *=================* *------------ VPN装置で1つにまとめる。 本社 |A | |B | 支社 例えばUTMの FortiGate。 ---- ---- NATトラバ−サルは NAT 越えの問題を解決する1つである。内部ネットワ−クにあるパソ コン1台だけならブロ−ドバンドル−タのパススル−機能でも解決できる。VPNパスス ル−とか IPSec パススル−とかカタログには書かれている。 ※NAPT( Network Address Port Translation )、IPマスカレ−ドとも言う。 * IPSec VPN のテストができないか `28/10 もう1台 FortiGate があると対向の IPSec VPN ができるのだが。 代わりに IPSec のフ リ−ソフトは何かないのか。IPSecのサ−バ側ソフト Linux FreeS/WAN が調べたら目に付 いた。一口に IPSecといっても、暗号化通信するのに IPSecスタックというソフトが、暗 号化鍵を交換するのに IKE鍵交換ソフトが必要である。しかし、これら使うのはかなりめ んどくさそうである。しかも NATトラバ−サル機能はないみたいである。よってフリ−ソ フトを調べるのはここまでとする。FortiGate の会社に知り合いが、この夏頃入ったので 1台貸してと頼んでみるか。会社の予備の ADSL回線と自宅の ADSL回線でテストしてみる。 会社の回線は固定IPアドレス、自宅のは動的IPアドレス、で接続確認をする。もう1 台 FortiGate を用意するのでなくても、IPSec機能があるネットワ−ク装置なら基本的に は何でもいけるはずである。RTX1000 でも NetScreen でも、設定は大変だろうけど。 | IPSecスタック | IKE鍵交換ソフト ------|------------------|------------------- FreeS/WAN は Free で Secure な Linux | FreeS/WAN(KLIPS) | FreeS/WAN内(PLUTO) WAN、http://www.freeswan.org/。 BSD系 | KAME | racoon 他にも幾つかある。IPSecスタックの FreeS/WAN(KLIPS) は Linux カ−ネルにパッチを当 てて、カ−ネルの再構築が必要。Debian の sarge に内臓されている IPSecスタックもあ る。IKE鍵交換は OpenBSD 由来の isakmpd、WIDE Porject の racoon2 というのもあった。 * 2台対向でテストしてみる? `2a/11 先に購入した FortiGate-50B と、もう1台 FortiGate-80C を購入して、2台対向でテス トしてみたいと考えていた。テスト用で買う購入手続きがそこはかとなく止まってしまっ た。物を入手できない。そうこうする内に状況が変わった。購入しようと申請書を書いた のは2010年の初め、そして物が実際に来たのは9月である。その間にインタ−ネット VPNを張るつもりだった中国において、暗号化規制が強化されたのである。ともかく中 国当局が監視できないような暗号化は中国内でも許可できないということになった。それ でそう慌てて IPSec VPN のテストする必要がなくなった。中国とのWANは IP-VPNを選 択するしかない。バ−テラの回線を利用するなどすれば、ネットワ−クの遅延が 200msec ぐらいになる。インタ−ネットVPNでは 500 msec とかそういうオ−ダ−だろう。いっ たん速いのを味わってしまっては、安いからと言って遅いのに戻すことはできない。 * 参考 「FortiGate 導入ガイド」フォ−ティネットジャパン監修、オ−ム社/開発局 2,500円+税。 > 平成19年8月発行。一通り書かれている。入門手引き書として。FortiClient の記事 も簡潔に書かれてあった。1ペ−ジか2ペ−ジだけだが。 http://docs.forticare.com/jp.html 日本語の管理者ガイドがある。FortiClient の日本 > 語のはない。http://www.fortinet.co.jp/ にもドキュメントがたくさんあった。 更に http://docs.forticare.com/ に英文の FortiClient Technical Documentation あり。 http://www.fortinet.co.jp/ 2009/05 に改めて見てみたらドキュメントが充実していた。 > 無料で取れる、テクニカルドキュメント "FortiGate - Juniper SSG IPSec-VPN 設定手 順例"。会員登録がいる、フォ−ティネット具楽部という。 (4) FortiGate のネットワ−ク設定 `28/05〜 * NAT モ−ドのテスト 先に透過モ−ドで装置を設置した。透過モ−ドでは DHCP サ−バのメニュ−は出てこない。 DHCP サ−バの機能を試してみたい。それで NAT モ−ドにしてみたいのだが、ネットワ− クをVLANにしないといけないのか。 ごちゃごちゃ触っていたら FortiGate 自体にア クセスできなくなってしまった、一瞬 DHCP のメニュ−が出て来たのだが。もうどうしよ うもないので工場出荷状態に戻すことにした。リセットボタンなんかないので RS-232Cで 接続してみる。RS-232C ケ−ブルは Catalyst 2950のペラペラした奴を使っみることにし た。Windows 2000 のハイパ−タ−ミナルで 9600bps, 8bit, stop1, Non-Parity, フロ− 制御なし。これですぐにつながった。 # get system interface でIPアドレスがどんな ようになっているか出て来る。[ internal ] とか [ wan1 ] とか 0.0.0.0 になっていた。 工場出荷状態に戻すコマンドは次、これで装置を初期化できる。 # execute factoryreset しばらくすると login: が出て来る。 # get system interface == [ internal ] name: internal mode: static ip: 192.168.1.99 255.255.255.0 status: up ... == [ wan2 ] name: wan2 mode: static ip: 0.0.0.0 0.0.0.0.0 status: up ... == [ wan1 ] name: wan1 mode: static ip: 192.168.100.99 255.255.255.0 status: up ... これでパソコンを 192.168.1.10 位にして、ブラウザで https://192.168.1.99 にアクセ スしたら、メニュ−に [System]->[DHCP] があった。 [System]->[Config]->[Operation] は Mode [NAT] になっていた。 ・[System]->[Network]->[Interface] の {internal} の {Edit} をクリック。 Addressing mode が Manual で [192.168.1.99/255.255.255.0] ・[System]->[Network]->[Interface] の {wan1} の {Edit} をクリック。 Addressing mode が Manual で [192.168.100.99/255.255.255.0] 同じサブネットにしようとすると警告が出て変わらなかった。例えば {wan1} のセグメン トのIPアドレスを 192.168.1.10 にするのである、これはできない。もしできればやり たっかたのは FortiGate を透過モ−ドで設置して、DHCP サ−バの機能も働かせたかった 訳である。既存のネットワ−クはできるだけそのままにしたい、いじりたくない。 * DHCP サ−バの設定 [System]->[DHCP] の {internal} の {Servers} をクリックとすると、"internal_dhcp_s erver"、Type "Regular"、Enable 〆 になっている。{Edit}をクリックすると下のメニュ −が出てくる。何も触れてない。IPアドレスの割当て範囲なんか自動でこうなっていた。 -------------------------------------------------------------- | Edit DHCP Server |------------------------------------------------------------- | Name [ 灰色のバック ] | Enable 〆 | Type ◎ Regular ○ IPSEC | IP Range [ 192.168.1.110 ] [ 192.168.1.210 ] これら自動でこうなってい | Network Mask [ 255.255.255.0 ] た。(Advanced..)をクリッ | Default Gateway [ 192.168.1.99 ] クしたら、DNS Server 1が | Domain [ ] 192.168.1.99となっていた。 | Lease Time ○ Unlimted | ◎ [ 7](days) [0](hours) [0](minutes) | (5 minutes -- 100 days) | (Advanced..) (DNS, WINS, Custom Options, Exclude Ranges.) |------------------------------------------------------------- | ( OK ) ( Cancel ) -------------------------------------------------------------- パソコンのネットワ−クの設定をIPアドレスを自動的に取得する、DNSサ−バのIP アドレスも自動的に取得するに変更してみた。PCの状態を >ipconfig /all で確認した。 でもブラウザでプロキシを使わないようにしても、外にアクセスできた。どういうこと?。 DHCP Enabled Yes、Autoconfiguration Enabled Yes、IP Address 192.168.1.110、 Subnet Mask 255.255.255.0、Defaut Gateway 192.168.1.99、 DHCP Server 192.168.1.99、DNS Servers 192.168.1.99、 Lease Obtained 2008年3月28日 16:50:11、Lease Expires 2008年4月4日 16:50:11。 * NAT モ−ドの設定確認 社内LANのハブへ [System]->[Config]->[Operation]の Operation Mode |192.168.2.1 を [NAT ▼] にして (Apply) をクリック。 -----|---------------------- |WAN1□ WAN2□ 1□ 2□ 3□ | [System]->[Network]->[Interface] internal を選択。 | |.1 LAN | ●Manual, IP/Netmask [192.168.1.1/255.255.255.0]。 ----------------|----------- | [System]->[Network]->[Interface] の wan1 を選択。 PC □ 192.168.1.2 ●Manual, IP/Netmask [192.168.2.1/255.255.255.0]。 ( Default Gateway 192.168.1.1 ) [Firewall]->[Policy] で ▽internal -> wan1(1)、▽wan1 -> internal(1) に〆、 それ ぞれの {Edit} をクリックして、〆 NAT にする。〆Protection Profile [ Test1 ▽]。 [Firewall]->[Protection Profile] の "Test1" を選択。Spam Filtering で IMAP, POP3, SMTP でチェックしてあったら外す。(OK) をクリックするとすぐに有効になる。 spamのチェックはどうもあまり芳ばしくない感じがするので、チェックしないようし て、侵入防御の機能を調べて行きたい。予備のメ−ルストアのマシンに新しい InterScan を入れてspamチェックのテストをやる。spamチェックやるのとやらないので比較 してみる。場合によってはspamと判定されたメ−ルを開いて見る。これは結構危険な 作業といえる。怪しげなメ−ルは見ただけでパソコンが感染することがある。万が一ボッ トなどに感染した場合、社内に広がらないようにまさにこの FortiGateで止める。メ−ル のテストをするにも細菌実験室のレベル3とか、そういう感じである。`28/11 * これはこのままでいいの? [System]->[Network]->[Options] の "Networking Options" の {DNS Settings}のところ。 ◎Use the following DNS sever addressesにチェックが入っていて、Primary DNS sever と Secondary DNS severにIPアドレスが最初から記載されていた。このIPアドレスは このままでいいのか?。FortiGate が働くのに、このIPアドレスでなければいけないの だろうか。Enable DNS forwardings from: は 〆internal になっていた。 こういうのは 多分、ほとんどのセキュリティ機器やネットワ−ク機器でそうなように、機器自体でログ を記録する際にIPアドレスでなくURLで記録する場合に、機器内部で名前解決するの に使用するのだと思う。だから特に気にする必要はない。 * 透過モ−ドでのファイアウォ−ル 外のパソコンから SSL-VPN 装置で社内のパソコンに RDP アクセスするテストをやってみ たい。FirePass は実ネットワ−クのDMZに設置する。RDP用のパソコンも社内の実ネッ トワ−クに置く。RDP 経由で利用できるリソ−スを Sun のマシンでの Apache+WebDAV と Cobalt Qube3 の Samba、この2つだけに制限にする。 他のサ−バにはアクセスできない ようにする、実運用のメ−ルサ−バやファイルサ−バには影響しないようにしたい。以下 のようにしたら、安全にテストができる。社内のパソコンに RDP アクセスしたら、 結局 なんでもやれてしまう。リモ−トアクセスのテストは慎重に行わなければならない。安全 性を確認して、社内の実メ−ルサ−バ MS だけにはアクセスできるようにしてみるか。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ FireWall で PC1 から SSL-VPN へ HTTPS \________________/ を許可する。より安全を期すにはSSL-VPN : : から PC2 へのみ RDP だけ許可する。 □ △PC1 | FS:File Server, MS:Mail-Storeは実稼働 ----------------- SSL-VPN のサ−バ。△は FortiGate など設定用の | MR□ ●FirePass パソコン、自分がいつも使用している。 | | | FireWall□----------------- RDP用 WebDAV Samba | 透過的 ▲PC2 □Sun □Qube3 テスト用ネ .2| .11----------- |.12 |.13 |.14 ットワ−ク ---------------------------|FortiGate|---------------------------- 192.168.1.0 | | | WAN-----------LAN FS□ MS□ △設定用 ---> WAN側からLAN側へ RDPのみ許可 <--- LAN側からWAN側へSMTPのみ許可 [システム]->[ネットワ−ク]->[インタ−フェ−ス] インタ−フェ−ス名 IP/ネットマスク アクセス ステ−タス -------------------------------------------------------------------------------- internal HTTPS,PING,HTTP,TELNET Downに変更する ◇ wan1 HTTPS,PING,TELNET Downに変更する ◇ wan2 PING Downに変更する ◇ FortiGate の設定は自分がいつも使用しているパソコン△で行なった。ハブを介してWAN1 にケ−ブルを繋いでいたのを、その場で LAN1番ポ−トに繋ぎ変えても、そのまま装置ホ −ムペ−ジにアクセスできた。それはこれまで触ってきた設定で、上のような状態になっ ていたから。両側から FortiGateの管理画面に入れた方が便利なのでこのままにしておく。 WAN1,LAN1,LAN2,LAN3 どこでもアクセスできた。WAN2 だけアクセスできなかった。 WAN2 に HTTP を追加してケ−ブルを WAN2 につないでみたが、反応はなかった。 [システム]->[設定]->[Operation] の {Mode} 設定 192.168.1.11はWAN、 LAN側というIPア Operation Mode [ Transparent ▼] ドレスではない。装置 Management IP/Netmask [ 192.168.1.11/255.255.255.0 ] の管理用IPである。 [システム]->[ネットワ−ク]->[ル−ティングテ−ブル]の{ゲ−トウェイ}は 192.168.1.2 [ファイアウォ−ル]->[ポリシ−] プロテクションプロファイルはここでは必要なし。 Status ID Source Destination Schedule Service Profile Action -------------------------------------------------------------------------------- ▼ internal -> wan1(2) 〆 3 all all always SMTP ACCEPT ◇□○△ 〆 1 all all always ANY DENY ◇□●△ -------------------------------------------------------------------------------- ▼ wan1 -> internal(1) 〆 2 all all always ANY ACCEPT ◇□○△ LAN側のパソコンからはWAN側のメ−ルサ−バにメ−ルの送信だけできるようにした。 internal -> wan1(2) の●アイコン "前にポリシ−を挿入" をクリックしてル−ルを追加 した。WAN側からLAN側へは RDPのみ通せばいいが、一応全部のパケットを許可する ようにした。実際に RDP のみだけ通すよう許可しての確認もしてみた。 ----------------------------------------------------- ファイアウォ−ルのル−ル | サ−ビスの編集 | は上から順に評価される。 |---------------------------------------------------| | サ−ビス [ RDP 2009/09/06 ] << サ−ビスに RDP がなかったので作った。 | プロトコル [ TCP/UDP ▼] << このままにする、他はICMPとIP のため。 | --------------------------------------------------| | |プロトコル 送信元ポ−ト 宛先ポ−ト | | | 下限値 上限値 下限値 上限値 | | | [TCP ▼] [1 ] [65535] [3389 ] [3389 ] | | --------------------------------------------------| ----------------------------------------------------- * FortiGate-80C のIPアドレスなど設定 `2g/01 # show system settings config system settings set opmode transparent set manageip 192.168.1.5/255.255.255.0 set per-ip-bandwidth enable end # show router static でデフォルトゲ−トウェイなど表示される。 # config system settings << 透過モ−ドにして管理用IPアドレスを付ける。 (settings) # set opmode transparent (settings) # set manageip 192.168.1.5/255.255.255.0 (settings) # end (5) FortiGate の迷惑メ−ル対策機能 `27/12〜 * キ−ワ−ドフィルタリング [AntiSpam]->[Banned Word] で禁止ワ−ドの文字列を登録して、メ−ルの件名や本文の中 に該当文字列があれば迷惑メ−ルと判断する。ワイルドカ−ドと正規表現の指定ができる。 [AntiSpam]->[Black/White List] では、{IP Address} と {E-mail Address} を登録する。 ただのキ−ワ−ド、IPアドレスでのフィルタリングである。最初の画面は(Create New) とメニュ−が出ているだけで何も登録されていない。[Banned Word] ここで弾きたい文字 列を書き綴る "リスト" を先ず作るように名前をいれる、List1 とか。そのリストに "歌 舞伎町" とか言葉を書き込む。登録キ−ワ−ドは "歌舞伎町" ただ1つだけにして、メ− ルの本文に "歌舞伎町" と書いて自分あてに送ってみた。物が来てすぐに最初に先ずこれ を試してみた。POP3 でメ−ルを取ってくる際、ちゃんとメ−ルの件名に"Spam へのもへ" などと、件名文字列の前に Spam と追記されていた。 [AntiSpam]->[Banned Word] ------------------------------------------------------- | Name | #Entries | Profiles | Comments | | |--------|----------|------------|-------------|------| | kotoba | 1 | Test1 | | □ | ------------------------------------------------------- [FireWall]->[Policy] -------------------------------------------------------------------------- | Status ID Source Destination Schedule Service Profile Action |------------------------------------------------------------------------- |▽internal -> wan1(1) | 〆 1 all all always ANY Test1 ACCEPT |------------------------------------------------------------------------- |▽wan1 -> internal(1) | 〆 2 all all always ANY Test1 ACCEPT [FireWall]->[Protection Profile] ------------------------------------------------------------------------------ |▽Spam Filtering | □IMAP 〆POP3 □SMTP Option | | | | [List-1 ▽] << |Banned word check □ 〆 □ Threshold: | [10 ] |Spam Action Tagged |Append to: ○S ○M ◎Subject ○MIME ○S ○M |Append with: [ ] [Spam ] [ ] [FireWall]->[Protection Profile] の POP3 に〆を入れて、 Banned word check に〆を 入れた。[System]->[Status] の AntiSpam は Unreachable だったはず。 * 迷惑メ−ル対策の機能 [System]->[Maintenance]->[ FortiGuard Center ] -------------------------------------------------------------------------------- | FortiGuard Distribution Network |------------------------------------------------------------------------------- |Support Contact |--------------- | Availability: Valid Contact FortiOS 3.000 (Expires 2009-xx-yy) 〆緑 |------------------------------------------------------------------------------- |FortiGuard Subscription Services |-------------------------------- | AntiVirus Not Registered [Subscribe] ×黄色 | AV Definitions 6.671 (Update 2006-xx-yy via Manual update) [Update] | ============================================================================ | Intrusion Protection Valid License (Expires 2009-xx-yy) 〆緑 | IPS Definitions 2.343 (Update 2006-xx-yy via Manual update) [Update] | ============================================================================ | Web Filtering Unreachable × | ============================================================================ | AntiSpam Unreachable × | ============================================================================ | Analysis Services Unreachable [Update] × |------------------------------------------------------------------------------- |> AntiVirus and IPS Downloads |> Web Filtering and AntiSpam Options |> Analysis Service Options |> IPS Options | ( Apply ) -------------------------------------------------------------------------------- |> AntiVirus and IPS Downloads |> Web Filtering and AntiSpam Options |□Enable Web Filter | □Enable Cache TTL:[ ] |□Enable AntiSpam | □Enable Cache TTL:[ ] |Port Selection |● Use Default Port(53) [ Test Availability ] 53番か8888番かどち |○ Use Alternate Port(8888) らかを指定すること。 |To have a URL's category rating re-evaluated, please click here. |> Analysis Service Options ----------------- |> IPS Options | ( Apply ) -------------------------------------------------------------------------------- FireWall-1 では FortiGate に振ったIPアドレスのオブジェクトを作り、TCP,UDP 53番 ポ−トを開けた。上記画面で 〆Enable Web Filter、〆Enable AntiSpam にチェックを入 れて [ Test Availability ] をやったら、両方共 Valid License (Expires 2009-xx-yy) 〆緑 になった。Enable Web Filter と Enable AntiSpam の指定はどうも挙動がおかしい。 バグだと思う。〆Enable AntiSpam だけにチェックを入れると、両方とも Valid License (Expires 2009-xx-yy)× になったり。 設定した後は装置を再起動するなりして、設定状 態を確認した方がいい。AntiVirus と Intrusion Protection も最初 Unreachableだった のが、Enable AntiSpam の設定をやっている間に、いつの間にか AntiVirus とIntrusion Protection は上記のような設定になっていた。 [FireWall]->[Protection Profile] ------------------------------------------------------------------------------ |>Anti-Virus |>Web Filtering |>FortiGuard Web Filtering |▽Spam Filtering | □IMAP 〆POP3 □SMTP Option |FortiGuard AntiSpam | IP address check □ 〆 □ | URL check □ 〆 □ | E-mail checksum check □ 〆 □ | Spam submission □ 〆 □ |IP address BWL check □ □ □ [--None--▽] |HELO DNS lookup □ |E-mail address BWL check □ 〆 □ [--None--▽] |Return e-mail DNS check □ 〆 □ | [List-1 ▽] |Banned word check □ 〆 □ Threshold: | [10 ] |Spam Action Tagged |Append to: ○S ○M ◎Subject ○MIME ○S ○M |Append with: [ ] [Spam ] [ ] | |>IPS | {IP address check} はフォ−ティネットの独自のブラックリスト DNSBL を使って、スパ ムIPアドレスを判定する。FortiGuard-Antispam server に問い合わせる。{URL check} もレピュテ−ションによる判定をするとは書いてない。 {URL check} はフォ−ティネット独自のブラックリストを使って、メ−ル本文に書いてあ る URL をチェックする。FortiGuard-Antispam server に問い合わせる。 これらのチェ ックで、どれでスパムと判定したかはログに出て来る。 {E-mail checksum check} はフォ−ティネット独自の判定するもの。 FortiGuard server にメ−ル本文のチェックサムを送って、ブッラクリストにあるか判定する。 {Spam submission} は画面の?をクリックすると英文の説明がある。画面を日本語モ−ド にすると {誤検知報告リンク追加} と表示される。メ−ル本文に、このメ−ルがspam でなければここをクリックして報告してネと出て来る。 {IP address BWL check} は [AntiSpam] のブラックリスト、 ホワイトリストで登録した IPアドレスをチェックする、SMTP でのみ有効。{E-mail address BWL check} は同じく メ−ルアドレスをチェックする。最初は何も登録されていない。 {Return e-mail DNS check} はチェックするのに時間がかかる。来たメ−ルの返りメ−ル アドレスのドメイン名をDNSで調べる。いい加減なドメイン名の場合、エラ−メ−ルと なって最終的に自社の管理者宛にくる。 どこか別なところでサ−ビスしているメ−ルサ−バのブラックリストを、FortiGate で利 用するという話。DNSBL( DNS Blackhole List ) と ORDBL( Open Relay Database List ) は SMTP でのみ有効。コマンドラインで設定する。POP3 では使えない。 "Administration Guide" の {アンチスパムの詳細設定} のところ。詳細設定は CLI でし か設定できない、Webではできない。config spamfilter mheader -- MIME ヘッダ−に 基づくフィルタリング。config spamfilter rbl -- DNSBL ORDBL によるフィルタリング。 * FortiGate-80C にて確認 `2a/12 Version 4 MR1 Patch 2 の装置だが、FortiGate-50B のVersion 3 と変わってないように 見えたので、ここに [システム]->[メンテナンス]->[FortiGuard] で分かったことを記す。 メ−ルとホ−ムペ−ジはレピュテ−ションのチェックができる。インタ−ネット上の評価 サイトである FortiGuard のどこかに毎度アクセスして、大丈夫かどうか評価してもらう。 {ウェブフィルタリングとEmailフィルタリングオプション} の "Enable ウェブフィルタ" と "Enable Emailフィルタ" キャッシュ時間は、レピュテ−ションのため外のサイトに問 い合わせしたのを、手元の FortiGate に溜めておく時間である。 その時間内は外の評価 サイトには問い合わせはしない。その間に悪いのに変わっても良しとなるという話!。 {ウェブフィルタリングとEmailフィルタリングオプション} の "Port Selection" のこと。 "Port Selection ●Use Alternate Port(8888)" に変えておいた方が無難。デフォルトは 53/TCP で、これだとインタ−ネット用のファイアウォ−ルは、 普通は通るようには設定 してないことが多い。53番はDNSのパケットで UDPを通常使うので。小生のとこでもパ ケットは止められていた、自分がファイアウォ−ルの設定をしたのだが。8888に変えたら "FortiGuard Subscription Services" の "Emailフィルタ 有効なライセンス" になった。 * FortiGate の迷惑メ−ル機能の結果 装置を透過モ−ドで自分のパソコンの前に設置して、メ−ルサ−バへの POP3 アクセスで spamメ−ルをチェックする実験。月曜日の朝、溜まっているメ−ルを POP3 で取って 来たところ。200個ぐらい溜まっていた。取ってくるのが遅いぞ。これまでと5倍ぐら い時間がかかっている気がする。時間を計ってみた。50個とるのに102秒、次の50 個とるのに105秒。扱っているSI業者さんに聞いてみた。FortiGate のspamチェ ックってこんなに遅いのって。そんなことはないとのこと。 ハブ間の 10/100 Base-T の 自動設定あたりがうまくいってないのでないかと言われたが、そんなことはない。ハブを 変えても時間は変わらなかった。時間はやっぱりかかる。50個のメ−ルを POP3 で取っ てくるのに 164秒かかった。1個約2秒はかかる。1人でもこれだけの時間がかかるのに 20人ぐらいで使ったらどうなるのか。大丈夫かや、不安である。 自分のパソコンで確認して、他の人のパソコンでも確認しようと装置をもっていった。1 ヶ月位の間に2人やってもらった。最初の人は自分よりもspamと判断されるのが多い なと思った。その人に件名を忘れてメ−ルを送ったら、spamとはつかなかった。しば らくおいて次の人でやると、2週間ぐらいかな、大半がspamとなった。これは何かが おかしい。調べたら装置から外へのDNSのパケットがファイアウォ−ルで通っていなか った。自分のパソコンと他の人のパソコンはセグメントが違っていたのだ。FortiGate の 状態を見たら AntiSpam は Unreachable になっていた。 それにしてもspamのチェッ ク機能がダメならダメとしてもらわないと。だんだん誤検知するのが増えてきたんでは困 る。気を取り直して再度チェック。[Protection Profile]の POP3 の〆を1つずつ試して みたい。先ずはマニュアルを読んで、何をやっているのか知る必要がある。 * 続 FortiGate の迷惑メ−ル機能の結果 気を取り直してもう一度やってみた。ある朝のメ−ル、111通。差出人 Mail Delivery Subsystem 宛が80通。 残り31通の内、差出人がpostmaster@xxx が2通、FireWallマ シンからのディスク状況のお知らせ1通、普通のメ−ル1通。[1]{IP address check} の みチェックするようにしたら25通がスパム、[2]{URL check}のみで22通、[3]{E-mail checksum check}のみで11通、{Spam submission}のみで0、{IP address BWL check}の みで0、{E-mail address BWL check}のみ0、[4]{Return e-mail DNS check}のみで1通、 引っかかったのは FireWall からのメ−ルだった、このメ−ルは他では検知されなかった。 POP3 で取ってくる時間は、[1][2][3]で27通スパムで45秒、[1][2][3][4]で同じ数で 143秒かかった。[4] の処理が時間をくう。とりあえずこれらのメ−ルの中では、すり 抜けはなかった。誤検知は FireWall からのメ−ルの他は無かった。 {Return e-mail DNS check} チェックを外したまま、何日か運用した。朝70通ぐらいメ −ルが溜まっているのでも、スカスカスカ−と取ってきた。特に遅いというイメ−ジはな い。これなら使ってもらえそうである。誤検知は自分に来たメ−ルの中ではない。見落と しは1日に1つや2つはあるが。ところでどうやって上のテストをやったか。Mail-Store の /var/mail/ikken に溜まったメ−ルが朝ある。ikken.temp ぐらいに適当にコピ−して おいて、パソコンから POP3 で取ってくる。 次のテストでは ikken.temp を ikken にコ ピ−して、チェック項目を変えてやってみた訳である。迷惑メ−ルは95%は弾くとセミ ナ−の資料には書いてある。概ね妥当だろう。SMTPのspam対策はどんな事を加えてや っているのか、調べておきたい。FortiGate は実は2004年ぐらいに一度メモっていた ことがある。この時点ぐらいでは使うのに結構、どうも苦労させられたようである。 ------------------------------------------------------------------------------------ [ 付録 ] FortiGate のパソコン用ソフト FortiClient * とりあえず調べたこと FortiGate を複数拠点に設置して、装置間でVPNを張ることはできない?みたい。その 後できると判明。FortiGate にはパソコンのクライアント用ソフトがある、 FortiClient という。仕様はウイルスチェック、スパムチェック、VPN接続、パ−ソナルファイアウ ォ−ル、URLフィルタリングなどがある。FortiGate の装置をだいたいDMZ上におく。 そして FortiClient を営業所など拠点側のパソコンにインスト−ルする。 パソコンソフ トと装置の間でVPNをはる。VPNは IPSec, PPTP, SSL(SSL-VPNのこと)に対応すると ある。それで FortiClientって買うのか?。有償ソフトだった。装置を購入する際に知っ ていたら1つ位買うようにしたのだが。 1ユ−ザ 8,700円+税、5ユ−ザ 31,300円+税、 他もっと多いユ−ザのあり。Windows 2000/XP/2003 Sever に対応。Vista対応とは書かれ てはいないが、できる。FortiClient ソフトはお試しのダウンロ−ドができる。 * その後に確認したこと FortiGate のカタログを改めて見た。IPSec, SSL, PPTP, L2TP, NAT トラバ−サル, ASIC による高速なVPN接続。2008/07 に http://www.fortinet.co.jp/ を見たら、装置同士 でVPNを張っている図があった。FortiGate 同士で暗号化通信はできる。FortiGate と パソコン用のソフトでは暗号化通信はできるか。 "FortiClient Host Security Software -- Release Notes FortiClient v3.0 MR9 Patch Release 3 GA, July 3 2008"。15ペ− ジによればライセンスキ−を入れなくても、次の機能が有効である。 Personal Firewall、 IPSec VPN、 90日間無料で使えるウィルスチェックとWebフィルタリングとアンチス パム。ということでパ−ソナルファイアウォ−ルと IPSec VPNは無料で使えるということ が分かった。IPSec VPN がVPNクライアント、Vista にも対応していると書かれていた。 カタログには Windows 2000, Windows XP, Windows 2003 Server としかないが。 * FortiClient を実際に見た FortiClient をモバイル環境で見る機会があった。IBMのノ−トパソコンで指紋認証で ログインして、FortiClient の画面を見せてもらった。結構、処理は重い感じで、モバイ ルの接続がいつの間にか途切れていたりした。FortiClient はパソコン用の何でもござれ のセキュリティソフトだった。管理画面の左にウイルスチェックなど8個ぐらいのメニュ −が出ていて、その1つがVPNクライアントだった。実際見るまではVPNクライアン トのソフトで、VPN接続した後にウィルスチェックとか付加的にいろいろできるという ことかと思った。VPN配下の機能ではなく並列にVPN、ウイルスチェックとかあると いうことだった。インスト−ルはいろいろ注意しないといけないと見せてくれた人は話し ていた。FortiClient は Windows Vista でも設定して使えるが、 Vista のファイアウォ −ル機能はオフにしないとそもそもインスト−ルができないとのことだった。 * FortiClient のお試しダウンロ−ド FortiClient のソフトには3種類ある。Windows 2000/XP/2003 Server 用の FortiClient PC、FortiClient Mobile というのには Symbian OS 用とWindows CE 用がある。ダウンロ −ドは "FortiClient Host Security (PC and Mobile) Evaluation Download"の画面をと もかく出すこと。Web画面で名前や会社名など幾つか記入していった。英語での入力で。 "Project time fram (Days) [Unknown]" にしてみた。[Require]を押すと下のようにダウ ンロ−ドの画面が出てきた。またすぐに Fortinet, Inc から "Thank you from Fortinet - FortiClient Evaluation" というメ−ルがきた。Symbian OS とは携帯機器向けのOS。 ---------------------------------------------------------------------------- | DOWNLOAD CENTER | | Thank you for registering. | | FortiClient PC Host Security for Windows XP and Vista a| > FortiClient PC Enterprise Edition - for more than 5 users b| > FortiClient PC Enterprise Edition x64(64bit OS) - for more than 5 users c| (Release notes: FortiClient PC Host Security for Windows) | > FortiClient PC Consumer Edition - for 1 to 5 users | 注 Consumer Edition は家庭向けで VPN と中央管理機能はサポ−トされてない。 | | FortiClient PC Host Security for Symbian OS | | | | FortiClient PC Host Security for Windows Mobile | | a,b,c のとこクリックすると FTPサイトがでる。a の 35317KB のセットアップの ZIP 圧 縮ファイル、b の 34023KB の x64 版のZIP 圧縮ファイル。c の 210KBのリリ−スノ−ト。 35317KB って、35MBてこと、そんなにあるの、これ!。パソコンのどこに入ったのか と思えば、圧縮ファイル FortiClientSetup_3.0.541.zip が解凍されて、こんなところに C:\Documents and Settings\ikken\Local Settings\Temp\FortiClientSetup_3.0.541\ で きていた。 この中の FCRepackager_Readme.txt が唯一説明書らしきもの、英文で4ペ− ジ、どうもコマンドでオプションを設定するようなことが書かれているが。 * FortiClient テストするのはまた今度 先ずは同じセグメントで、一番シンプルなテスト。「FortiGate 導入ガイド」の "11-6-4 FortiClient 側の IPSec VPN トンネルの設定" にほんの少し記事がある。 DMZに FortiGate を設置、IIJ回線のル−タのハブポ−トにパソコンをつないで。ル− タのハブポ−トとはパブリックIPアドレス8個の内に接続するということ。 内部ネットワ−クに FortiGate を設置、IIJ回線のル−タのハブポ−トに適当なサ−バを 設置。IIJ 回線のル−タの IPSec 機能を使う。内部ネットのパソコンからアクセス。