21-4. インタ−ネット接続周りの刷新 (1) 3つのセキュリティ装置の刷新 -------------------------------------------------------------------------------- SSL-VPN の FirePass のマイナ−バ−ジョンアップ、侵入防御装置 DefensePro 置き換え。 -------------------------------------------------------------------------------- * FirePass のファ−ムウェアをアップする前に `2b/09 今一度動作を確認してみる。FirePass と ROUD に電源を入れてテストしてみる。 テスト というか、先に設定したのがちゃんと使えるかということ。ともかく何かきっかけがない と、なかなか重い腰をあげることができない。いかん、扱いを忘れてしまった。自分の書 いたのを読み返して、まあ2時間程でできたのだが。自分のアカウントで ROUD にユ−ザ 認証してもらい FirePass と連携して、社内のメ−ルサ−バなどにアクセスできた。 予備のインタ−ネット回線の方にパソコンをつなげて。動作を確認したらすぐにロ−カル エリア接続を無効にして。昨今、ほんのわずかな時間でも攻撃してくると考えた方がいい。 こうした一時的なテストにもUTMをかました方がいいだろう。予備回線の方はそうは使 わないのだが、一発UTMをかましておくか。FortiGate-50B がなんとなく転がっている ので、お役に立たせてあげようでないか。ファイアウォ−ルとIPS機能をオンにするか。 動作確認でどうもおかしい。SSL-VPN アクセスの挙動が変だった。手元の Windows XP で やってみたら、うまくいかなかった。コネクションが完了するまでメニュ−が出てこない。 なんてこった。何かパソコンの資産管理ソフトみたいなものが邪魔しているのか。いや違 った。Windows 2000 でもやってみたら同じようなことで使えなかった。FirePass がおか しいのでないかと思い、リセットボタンを押したら、一応使えるようになった。 昨日 Windows 2000 で試してよくて、今日 Windows XP で試してだめだったので、てっき り Windows XP では何か別なパケットをファイアウォ−ルで通すようにしないといけない のかと思ったのだ。やっぱり装置の調子がおかしいようだ。SI業者にいって直してもら おう。調子が悪いというのはどこをみればいいのか。パソコンの端末認証のアプライアン ス ROUD の方はおかしくない。FirePass だけである。ともかくログを見てみよう。 保守契約に入っている業者のサポ−トセンタ−とやりとりして、いろいろ指示されたログ FirePass から取りメ−ルで送った。全部で5MBぐらいになった。その中には装置の設定状 態も入っていたのだが。ログからは装置が止まった原因は分からなかったという。来社し てもらうまで、だんだんおかしいのがひどくなった。ぼろな単車みたいになって、何度も キックしないと始動しないことになった。リセットボタンを押したり電源入れ直したりと。 * FirePass のファ−ムウェアについて 気付いた時にメモしておいたこと。FirePass バ−ジョン 7.0発表、2010/07/22、Windows 7(x64対応)、Mac OS X、Linux(x64対応)。 iPhone などモバイルデバイスにも利用できる。 FirePass VE(Virtual Edition) もリリ−ス、VMware ESX/ESXi で動作。バ−ジョン 6.02 は Windows Vista に対応する。バ−ジョン 6.1 は Windows 7 に対応している。 本当は 購入したSI業者さんから、バ−ジョンアップのやり方なんか、案内出すべきだよね。 http://www.f5networks.co.jp/sitemap/ の "ASKF5 KNOWLEDGE BASE" の"SOL10053:FireP ass support for Microsoft Windows 7" を見ると、バ−ジョン 6.0.3 以前は Windows 7 をサポ−トしてない。Windows 7 の32ビットと64ビット版で、何やら対応うんぬんと 書いている。Windows 7 には Internet Explorer 8(IE8) が載っている。Windows 7 の一 般向けは2009年10月22日にリリ−スされて、すぐに対応しましたとか。 https://support.f5.com/kb/en-us/products/firepass.html からファ−ムウェアをダウ ンロ−ドする。ここにはアカウントを登録してからログインすること。 "FIREPASS/VE の Release Notes"の所。Current Feature Release は FirePass Controller version 7.0.0。 Current Maintenance Release は FirePass Controller version 6.1.0、ここの"Release Note:FirePass Controller version 6.1.0、Updated Date:06/21/2010"、20ペ−ジ位。 [DOWNLOADS]のメニュ−に入り、ファ−ムウェアのバ−ジョン 6.x の一番新しい [6.1.0] を選択した。HotFix が10個以上あって、一番下に {Release} というのがあり、これを クリックした。画面が変わってリリ−スノ−ト1KB、FP-6.10-20091009.tar.gz.enc 228MB がある。ダウンロ−ドには FTP, HTTP, HTTPS を選ぶことができる。FTP が推奨。 228MB をダウンロ−ドするのに10分ぐらいかかった、転送率 350KB/秒 とかだった。 英文のドキュメントとファ−ムウェアを取ってきて、パソコンにほうりこんでおいた。ド キュメントはめぼしいところをプリントした。しばらくしてパソコンに作ったFirePassの フォルダを見たらでかいファイルがあった。拡張子が ASTEC Eyes enc となっていて、こ のパソコンに以前入れた ASTEC Eyes を何者かが起動してできたログファイルかと思った。 FP-6[1].10-20091009.tar.gz.enc 233,517KB ASTEC Eyes enc、2011/07/15 17:51。 * FirePass のバックアップとリストア 現在の装置の設定状態を全部取る。[デバイス管理]->[メンテナンス]->[バックアップ/リ ストア] 画面に入り {現在の設定のバックアップを作成} をクリック。パソコンにセ−ブ される。 例えばこんなファイルができる backup-bip092091s-URM-6_02-20111xxx.zip の 圧縮ファイル、3,881 KB。ファ−ムウェアをアップして、もしおかしくなったらこれで元 の設定状態に戻すことができる。これは有難い機能である。他にはこんな機能、知らんぞ。 これさえとっておけば、装置が故障したりおかしくなった場合、保守契約に基づいて交換 してくれるということになった際に役立つ。取ったファイルをサポ−トに送ってそれを向 こうで代替装置に入れた上、持ってきてハイ交換で済ますことが可能になる。ただし管理 者のパスワ−ドだけリセットされてしまうので、それだけ入れ直すことになる。実際そん な感じだった。しかし代替装置を持ってきてもらうようになるまで1週間以上かかったが。 ファ−ムウェアはマイナ−バ−ジョンのアップであれば、設定しているパラメ−タがそも そも無くなっているとか、変わるとかいう事態はまず起こらない。Version 6.1 を 6.2に するとかいう場合のこと。それが Version 7.0 にするとかいうと、 注意しなければなら ないというのがSI業者のエンジニアの弁である。装置を交換しにやってきたエンジニア に、ファ−ムウェアをアップしておかしくなれへんか、それだけ教えてと教えてもらった。 * FirePass のファ−ムウェアのアップ Web管理画面に入り [デバイス管理]->[メンテナンス]->[ロ−カルアップデ−ト] のメ ニュ−で操作。ファイルは結構大きいので、パソコンから装置にダウンロ−ドしてくるの にちょっと時間がかかった。4、5分か。次のインスト−ルは1、2分かかった。そして 再起動中になった。すぐにテストを社内の手元の自分のパソコンでやってみた。次にその パソコンを予備のインタ−ネット回線につないで確認してみた。特に問題はなかった。 ---------------------------------------------------- | ロ−カルアップデ−ト | ファ−ムウェアのファイル |--------------------------------------------------| は、enc という拡張子のた | ダウンロ−ド中: ======= | めパソコンで "ASTEC Eyes | インスト−ル中: | enc"と表示されてしまうこ | 再起動中: | とに注意。Windows 7 で動 | | 作確認できた、ROUD連携も。 ---------------------------------------------------- ---------------------------------------------------- | https://xxx.xxx.xxx.xxx/nix | 手元のパソコンの Windows |--------------------------------------------------| 2000 Professinal のIE6で | サマリ− ネットワ−クアクセス セットアップ | 確認。新しいファ−ムウェ |--------------------------------------------------| アでの Active-X をブラウ | □VPN-Access 終了[×] | ザにダウンロ−ドしている |--------------------------------------------------| 模様。インスト−ル中です | 状況:ネットワ−クアクセス接続が確立されました | で30秒位かかった。次に | | VPN-Access 状況:ロ−ド中 | | で30秒位だった。 ---------------------------------------------------- * DefensePro の本格稼働はやはり多難 SI業者さんにお任せで設置設定をしてもらおうと思ったが甘かった。半年以上たっても まるで動かない。やっぱり自分で装置の動作を確認して設定しないことには、だめという ことでした。安全性に関わることは他人任せではダメ!。それでともかくラックから外し て装置を手元に持ってくる。それでしっかりテストしてみること。 IWSS で機能を確認す るのに紹介されているサイト、悪いデモサイトにアクセスしてみて装置の反応を見るか。 パケット生成ツ−ルの hping2、http://www.hping.org/。TCP,UDP,IPパケットを送る。ソ −スポ−ト、デスティネ−ションのポ−ト、パケットのサイズ。なんでも設定できる。不 正パケットも作って送ってみて、IPSを通して挙動を確認してみるとか。それで検知し たパケットを通すようにするやり方を探ってみる。これは止められて困る通って欲しいパ ケットが誤検知された場合の対処方法として、せめて知っておかないけないことである。 * 侵入防御装置の働きや挙動を知るには 手元にたくさんあるパンフレットを改めてみていた。そしたら東陽テクニカの攻撃トラフ ィックジェネレ−タ−のスレット・イ−エックスというのと通信プロトコルの脆弱性を検 証するロバストネステスト Codenomicon Test Tool、こちらはソフトウェアのようである。 初めのが侵入防御装置の働きを知るのに使えそうである。 ThreatEx はアプライアンス製 品で、もらっていたのは1枚だけのパンフレットだった。もらった際に書き込んだ日付は 2007/06 だった。製品概要をそのまま紹介しておく。http://www.toyo.co.jp/spirent/。 "ThreatEx はインタ−ネット上に存在している悪意のある攻撃(アタック)を生成させるこ とが可能な攻撃トラフィックジェネレ−タ−です。約1000種類にものぼる攻撃トラフィッ クパタ−ン [Threat] のデ−タベ−スをもっており、簡単にアタックを生成させることが できます。さらに従来のソフトウェア製品では困難であった高負荷な攻撃も実現可能です。 これらの機能を使用することにより、IDP/IPS(不正侵入検知防御) などの機能・性能の検 証が可能になります"。パンフレットはもらっただけで値段とかは聞いてなかった。 (2) 侵入防御装置の稼働と運用の事 `2a/10 * 侵入防御装置もやっぱりです `2a/03 ラックマウントキットは1万8千円、えらい高いぞ。ただのちょっとした金具ではないか。 500円でもいいぐらいだ。大体にしてラックマウント用の金具は高いぞ。アライドのハ ブなんか安い機種なら本体よりも高いのでないか。それでさっそく DefensePro-202 に金 具を取り付けてラックにネジ止めしました。しかしそのネジは入ってませんでした。何か 別なコンピュ−タかネットワ−ク装置用かであったネジで止めました。前面のランプがま ぶしいです。何じゃこれは。あんまり光っているので、細長いダンボ−ルを折って光ると ころに被しました。やっぱりバカチョンで設置してもらってという訳にはいかない。仕方 ないのでSI業者がやっていった設定を全部、書き出すことにしました。ちゃちゃっと手 描きで画面を写しました。自分の手を動かすことで少しずつ頭に入っていくのです。 本体に同梱の付属品は Power Cord 1本、Console Cable 1本、Cross Cable2本、 それ に CD Manual 1個入っていた。 ネットワ−クケ−ブルが入っていた袋に貼ってあったシ −ルには CAT.5E FTP CABLE CROSSED, RJ45 8P8C PLUG*2,2M と書かれていた、 先端が赤 の保護カ−バ−が付いている。因み自分はこれまで赤色はクロスケ−ブルとしている。 保守契約には機器故障の際の保守、それに最新のソフトウェアのダウンロ−ドと技術情報 の提供をする CertainlySupport サ−ビスを含む。毎週それに緊急時のアタックフィルタ 更新は Security Update サ−ビス。それぞれ費用を毎年、支払うこと。APSolute Insite はライセンスは最初に払ったらその後の保守費(約45万円)は不要と、この時認識した、 [ ネットワ−ク接続の様子 ] 外 : |G2 管理用PCのブラウザ -------------------- -------□------- で http://1.1.1.1 ア | | 新DefensePro | クセスする。これで新 |G2 基本は透過的 -------□----□- DefenseProの設定に監 -------□------- に設置するの |G3 |G1 視を行なう。 | 新DefensePro | で G2,G3には | ――― -------□------- IPアドレス ------------ | ケ−ブルAを外すとG1 |G3 はなし。 | FireWall | | の 1.1.1.1 への ping NAT| ------------ A| は応答しなくなる。G1, ------------ G1は管理用の | | G2,G3 ポ−トは装置で | FireWall | ポ−トで例え ---------------- | は左から並んでいる。 ------------ ば1.1.1.1 と |ハブ |―― 内 | する。 | |-------▲1.1.1.2 管理用PC -------------------- ---------------- APSolute Insite 直感的に分かりにくいネットワ−ク構成になる。1.1.1.2 管理用PCはハブにつながない 絵の方が分かり易い。あるいはハブに管理用PCは繋がっていて DefensePro の G1 部だ け管理装置として分離された物があると思った方が、より理解し易いかもしれない。 * Windows パコンから DefensePro を操作する --------------------------------------------------- | http://1.1.1.1 IE ブラウザにてアクセス。 |-------------------------------------------------- Windows 2000 の IE 6 で | radware DefensePro with IPS,BMW,DoS and B-DoS も操作できた。 |-------------------------------------------------- | ○Status OK 正常稼働なら○は緑色。 |-------------------------------------------------- | ----------------- | File <--- |Software Update| | Device |Support | --------------------- | Router |Configuration >| <-- |Send to Device | | DefensePro |Software List | |Receive from Device| ---------- | Services ----------------- |Logifile >| <-- |Show | | Security --------------------- |Clear | | BMW |Download| | Classes ---------- | ACL 本体のライセンスのアップデ−トはブラウザからでもできる。 | Performance APSolute Insite との違いはグラフがでない位じゃないか。 | Help ---------------------- [File]->[Configuration]->[Receive from Device] クリック ------------------------------ | Download Configuration File | | □ Include Private Keys 〆入れて [Set]を押すと、パソコンに設定がセ− | ブされる。xxx.txt ファイルとして。何となく逆 | [Set] の動きをするのでないかと思ってしまうが。 ------------------------------ □Include Private Keys に〆せずにやってみた。[Set]を押すと、パソコンに設定が セ−ブされた。DeviceConfigurationFile2013-09-06-xxxx と日付が続く。 拡張子は 付かなかった。中身はただのテキストファイルだった。`2e/05 [File]->[Support] [Set] を押すと、パソコンに情報がセ−ブされる。 ------------------------------ xxx.tar ファイルとして。装置に何か問題が起き | Download Tech Support Info File たら、この情報をサポ−トに送ることになる。 | | Download Support File (this may take a while) | | [Set] ------------------------------ [ アイコンの APSolute Insite から操作 ] Windows XP Professional のこと。 ------------------------------------------------------------------------------- | APSolute Insite-C:/Program Files/Configware Insite/userFiles/Untitled.rdw |------------------------------------------------------------------------------ | File Device View APSolute OS Options Go Tools Help << メニュ−A。 |------------------------------------------------------------------------------ | __________ | | DPの絵 | --------------------------------- << メニュ−B。 | ---------- |Setup | | 1.1.1.1 |Connect | | |Reboot | ----------------------- | |APSolute OS >| <-- |Classes | | |Session Table | |Security | | |Management Applications >| |BWManagement | | |Site Alerts | |Access Control & BWM | | |Configuration File | |Black & White Lists | | |Managed Devices 灰色 | |MPLS RD Table | | |Download Technical Support File| ----------------------- | |Macro >| | |Panel View | メニュ−AとBの違いは。Aの方 | |Lock Position | が項目は多い。APSolute OS でも | |Unlock Position 灰色 | 倍位ある。多分メニュ−Aは複数 | |Delete | 台のラドウェア社の製品をこの画 | --------------------------------- 面で操作できるというということ |________________________________________________ で、メニュ−が多いのだと思う。 | ----------------------------------- | Configuration | Statistics | Security Reporting | ----------------------------------------------------------- * 手元のテストで誤検知発生 誤検知でも何でもいいからパケットが止められるという状況が1つでもあれば、それを手 掛かりに装置の仕組みを探ることができる。何か起きないかと思っていたら、あるサイト へのアクセスが止められた。これで DefensePro の設定を追ってみた。1日いろいろ触っ てみて DefensePro がパケットを止める仕組みが少し分かってきた。そのあるサイトをク リックすると Insite の [Security Reporting] の [Dashboard] に1つ攻撃名が出た。 Dashboard のレ−ダ−チャ−トは、APSolute Insite を起動した時点では何も出てこない。 赤のレ−ダ−が回っているだけである。画面右側の Top Sources、Top Targets などの円 も最初は何もでてない。何か攻撃があってDashboard のレ−ダ−チャ−トに攻撃名が出る までに30秒位かかる。Display [ Real Time ▼] 1時間、2時間、3時間と選択できる。 [Real Time▼] 表示で Dashboard に出た攻撃名が消えるまでの時間は5分位である。 ブラウザでもそのログが見える。 [DefensePro]->[Reporting]->[Security Log]->[Show] で Attack Name HTTP-Reply-MozSidebar-CE-DF。 Attack Index の番号をクリックすると 詳しい情報が出てくる、Radware ID 9248、Risk low など一杯。[Connect & Protect] 画 面の [Attack Table] で Attack ID [ 9248 ] と入れて [Get Attack] をクリックすると 詳細な情報が出て来る。{Avtive Mode} か {Tracking Type} が通過の可否の設定かも。 〆Enable Attack となっているのを、〆を外したらそのサイトは通った。 [Connect & Protect] 画面の [Exclude Addresses Table]での設定でも通すことができる、 のでないか。最初何も記載はない。メニュ−をクリックして [Add]でル−ルを追加する画 面に入る。Attack ID と Source Address と Destination Address を入れる。Attack ID は今回は 9248 である。そして [Connect & Protect] の [Update Policies] をクリック するとル−ルは有効になる。誤検知が起きた際に、とりあえず先ずは通すやり方だと思う。 [Connect & Protect] 画面での [Network Protections] の [Intrusion Prevention]には {Signature Protection} で1つプロファイルを作成、{Stateful Inspection}で1つ作成、 {Anti Scanning} で1つSI業者のエンジニアさんは作った。{Signature Protection}の は Rule で {Risk: Info} としていた。[Denial of Service] の所では{Behavioral DoS} と {SYN Protection} でそれぞれプロファイルが1つずつ作られていた。 個々の検知ル−ルがあってレベルが設定されている。全体としてどのレベルで検知するか という話がある。誤検知した場合、全体の検知レベルを下げるか、個々の検知ル−ルの方 でレベルを下げる。あるいはそのル−ルを含めないようにする。{Signature Protection} で作成したプロファイル自体をなくすというのもある。個々の検知ル−ルではパケットを 止める、ログだけ残すという設定もできるはずである。 * Signature Protection のこと {Signature Protection}の設定で攻撃の危険度を表わす指標で Risk というのがある。そ の危険度のレベルが Hight>Medium>Low>Info とある。あまり危険はないというのが info なら、こりゃ危険だぞというのが High ということ。{Signature Protection}の Rule で {Risk: Info}とすれば全部対象となる。{Risk: Medium}なら、危険度が Hight と Medium に指定されたル−ルが合致する。指標は Risk 以外にも選べるが、Riskでいいのでないか。 {Signature Protection}設定画面のこと。Profile Name:[Kiken]、左画面でル−ルの選択 を Rule--Risk Info として作成。 右の画面で Categories の [Risk ▽]をクリックする と High(732),Info(674),Low(317),Mediumu(656)が表示される。できたのは Kiken(2379) と表示される。732+674+317+656=2379。Risk で Info を選ぶと、 その上も全部適用され るためである。異なるカテゴリは AND で、同じカテゴリでは OR でル−ルが適用される。 * ログはどうなっているのか システムログは他の装置にログを送るということで、これはやらない。装置ログはどこで みるか。ブラウザでは [Service]->[Event Log]。 今装置をリブ−トしたとして、それは 一番最後にでていた。 "07-10-2011 10:42:02 Security Platform 1 DP4.2 .... is up!"。 Insite では上のメニュ−の [Options]->[Traps and Events] で {View ◎ Events} で表 示されるログの最後に出ていた、パソコンにこのログをセ−ブするメニュ−が見える。 ブラウザの方で [Services]->[Event Log]を見た。一番古いのが0番で、ちなみにこれは DefensePro を2011年2月頃設置した時のログである。 装置を停止してもログは残っ ている。一番新しいのが画面を [more] でめくっていって394番。392 が 150: 0000続 く。そこはかとなく DefensePro が止まった際の状況のログではないかと思う。このログ はよく見たら Insite の [Options]->[Traps and Events] {View◎Events} と同じである。 パケットのログはどうなっているか。不正なパケットを検知した場合に残すログのことだ が。 Insite 上のメニュ−の [Configuration] の [Options]->[Preference]->[Security Reporting]、〆Traps Automatic Record、Security Log Max Table Size [1,000,000 ▽]、 このサイズは 20,40,60,80,100 万の中から選ぶ。横には [Clear Security Log]というの があり、[Security Reporting]->[Logs] で見えるログが無くなるのか、要確認である。 Insite の [Security Reporting]->[Logs] の {Attacks Over Time} で出てくるログのこ と。{History} で Period を[All] にすれば、これまで蓄えられた全部のログが出てくる。 ちょっと時間がかかったりする。数ヶ月実際にファイアウォ−ルのWAN側に設置してロ グを取ったのが1万3千ペ−ジぐらい。手元に装置を持ってきて、パソコン1台だけ対象 にして1日に1ペ−ジ位は増えるようだ。上の 100万がその値なら、どれだけ取れるの?。 [Connect & Protect] 画面の [Security Settings]->[Reporting] のメニュ−もログに関 する設定のようである。{Reporting Parameters} 〆Traps Sending、〆Logging は必要ら しい。Security Syslog Sending はシスログ転送で内ではいらない。 E-mail Sending は メ−ルで知らせる話で不要。Security Terminal Echoは端末にログを出すという、どうか ないらんか。Traps Risk:[info▽]。{Packet Reporting} は 〆Start Packet Reporting。 windump でどれぐらいパケットが流れているか見てみるか。>windump -n src 1.1.1.1 で。 1.1.1.1:2088 -> 1.1.1.2:2088 が4つか5つ出て、1.1.1.1:161 -> 1.1.1.2:4677 が1 つ出る。そんな感じ。数秒あいて常時パケットが出ているという感じだ。パソコンは1台 だけだが、ともかくそんなに DefensePro からパケットがばんばん出ているという感じで はない。ノ−トパソコンで >windump -i 2 とやってインタ−フェ−スを2番にはしない。 ログをどういうように取ったらいいか。どうも何でも取るようにしていると、取り過ぎる ようで Windows でのソフトの動きが鈍くなる?。ログのレベルは、ログの種類は。 これ は設置に来たSI業者のエンジニアさんに、指針なりを出してもらわないと困るばい。パ ケットログを取ること自体がネットワ−クに負荷をかけてはならない。いや、多分シスロ グを他のマシンに転送するのをしなければ、あまり気にすることはないかも知れない。 * 当たり障りのない話のこと リブ−トしている間はパケットは通過するのか。装置の G2,G3ポ−トのランプは消えて通 信できなくなった。ping も何も通らない。APSoulte Insite の画面の DefensePro装置の 絵も×になった。1分ぐらいして装置のリブ−トが成功しましたという小さな画面がでて きて DefensePro の絵の×もなくなった。この時点でパケットは通るようになった。リブ −トは DefensePro の絵の [Reboot] メニュ−。リブ−トする前に [Connect & Protect] 画面を出していたら消えている、絵の [APSolute OS]->[Security] をクリックして出す。 AttackDB が更新されているのはどこで確認できるか。 毎日深夜に取りに行くようにSI 業者のエンジニアが設定したと言っていたが。ブラウザ上部に出ているメニュ−で確認で きる。 [APSolute OS]->[Security Updates]->[Upload Attacks File] でその画面が出て 来る。現在の "Attacks DB Version" が "0009.0115.00" とか見える。 画面の [Browse] をクリックすると、パソコンにこれまでダウンロ−ドしてきたファイルが表示される。こ こで手動で新しい AttackDB にアップもできる。AttackDB はシグネチャともいう。 さてこれからどうする。実際にまた装置を配備して、不正パケットと検知したパケットは 止めずにログだけ取ってみるか。誤検知は主に社内から外部ヘのパケットで起こったのが 問題になる。社内のパソコンなどそのIPアドレスから、どういうソフトやサ−ビスを使 っているのか確認する。そして DefensePro でパケットを止めるようにして、確かに誤検 知しているというのを確認する。そして、そのパケットを通すように危険度を下げるなり するという手順。根性があれば既に取ったログはあるので、それを見て行くのもありか。 実際の運用までのこと。先ずはシグネチャの適用のポリシ−の作成が肝心である。ちゃん と理解せずに作ると、同じル−ルを何度もチェックすることになり、いたずらに負荷を増 やすことになりかねない。稼働させて運用を始めたら誤検知したパケットを通すこと。こ れには幾つかのやり方がある。このことは設置のSI業者から説明を受けておきたい話だ が実のところ業者の技術者もよく分かっていなかったりする。ここら辺りの話は侵入防御 装置の運転には非常に重要な事である。`2c/02 さて稼働はどうするか。DefensePro-202 にいろいろやらせるのはよした方がいい。 明確 な指針はないようなのだがあまり期待しない方がいいだろう。負荷をできるだけ減らした 設定で運用する方が、途中でいきなりパケットを通さないとか不安定さを少しでもなくす ことができるだろう。ということで BDoS のチェックはやらない。ステ−トフルインスペ クションもやらない、ファイアウォ−ルでやるので不要と判断。 AntiScanning は記載は したが有効にはせず。ログは Risk info で取り、止めるのは Risk high 判断で行なう。 * 誤検知発生によるノウハウの獲得 侵入防御装置の運用ノウハウのポイントは、パケットの誤検知により表示が止められてし まうサイト、あるいはメ−ルもあるかも知れない。これらをいかに対処するかである。そ のためには先ずはパケットが止められる状況を知ることである。それが再現性があれば侵 入防御装置の設定で、どこで止められているか分かるし、どうすればそのパケットを通す ことができるか試考錯誤しながらトライすることができる。小生ある大手新聞社サイトを 見るのが常になっていて、パケットが止められるサイトを偶然見つけることができた。 Windows 2000 の IE 6 で。プロキシ−バを仮想マシンの IWSS指定した場合、ある大手新 聞社サイトにアクセスできないというのが起きた。再現性はある。DNSがおかしいとい うのには関係しない。http://www.newspaperasahi.con/ でブラウザでは、"ペ−ジを表示 できません、サ−バ−が見つからないか、DNSエラ−です" と出てきた。DOS窓にて >ping www.newspaperasahi.con は反応あり、Pinging a1403.akamai.net [xx.xx.xx.xxx] with 32 bytes of data: Reply from ...。このサイトはアカマイを使っていると分かる。 * 手元のテストで誤検知発生の補足 DefensePro で止められたある新聞サイトのパケット。 これは Windows 2000 で IE 6 で IWSS をプロキシ指定した場合に起きた。NetCache でも起きた。ひょっとしてIWSSでパケ ットが何か手が加えられた結果 DefensePro で検知することになったのかも。つまり複合 的に誤検知が起こった可能性がある。IWSSでその新聞サイトはチェックせず、そのままス ル−させるように指定してみた。URLを除外するメニュ−で、www.newspaper.con それ に akamai.net も記述してみたが変化なかった。どうやら DefensePro 単独の問題らしい。 ある新聞サイトを止めたパケットは、Attack Name HTTP-Reply-MozSidebar-CE-DF のル− ルで止められた。これは {Signature Protection} で作ったプロファイルに入っていたル −ルである。このプロファイルを一時的に [Intrusion Prevention] から外してみた。そ したら通るようになったことを確認した。もう1つやったのは、プロファイルを適当に別 の名前で作って、その Ruleで {Risk: Medium} にしてみた。これも通った。 [Connect & Protect] 画面を見ていて、Exclude というメニュ−でも誤検知が起きたのを、 とりあえず通せるのでないかと思い、やってみたらできた。英文マニュアルを見るものの、 誤検知のパケットを通すのに、どこを読んだらいいか分からない。直感で DefensePro の Insite 画面を触っている。 Attack ID [9248] での画面の Attributes で Risk--Low が 選択されているのを右に移動(無しに)しようとしたらデフォルトなので動かせないと出た。 HTTP-Reply-MozSidebar-CE-DF の Action Mode:dest-rest。他のログを見ていてパソコン で FFFTPで Apollo からファイルをダウンロ−ドしているのがでていた。パケットは止め られてはいない。FTP-XM-Easy-DOS, Action Mode:forward。 Attack Configuration を見 ると、Tracking Type [Drop All] とかは同じである。HTTP-Reply の画面で Action Mode を dest-rest から forward にし [Update Policies] やった。新聞サイトは出て来た。 (3) メ−ルストア用サ−バの刷新 -------------------------------------------------------------------------------- 仮想マシンで Mail-Store はもう用意はしてある。メ−ルの送受信も確認した。後やるべ きことは、現行のメ−ルストアから移行するための検討とその確認である。早くやろまい。 -------------------------------------------------------------------------------- * ユ−ザのアカウント移行 メ−ルストアのアカウントの移行。RHELはユ−ザのアカウントを500番から作っていく。 これは困る。アカウントを登録したらユ−ザIDは実際、501番から付いていった。ど こかに何番から付けるという指示をする所があるのでないか。メ−ルのユ−ザ・アカウン トとかちあってしまう。/etc/passwd と /etc/group のIDをマシンで一致させておかな いけない。試しに仮想マシンで作った IMSS で、まずユ−ザIDを稼働中のメ−ルストア の Solaris 9 と同じにし、IMSS を起動し直してみる。確認しようとして数ヶ月放置して いた。しばらく仮想サ−バは触っていなかった。侵入防御装置、UTM、WANのことな どやっていて、仮想サ−バの感覚がなくなっていた。 `2b/11/M いかんいかんと、重い腰 を上げて試してみた。vi で書き換えてみたけど結果だめだった。 アカウント制御の画面 にはユ−ザIDを変更するメニュ−は見当たらないし。 今一つ確認してみよう。OSはユ−ザIDの番号を見ているのか文字を見ているのかとい うこと。2つのマシンで userid が同じ文字の例えば katou なら、 番号が違っていても それで一致しているとするのでないのか。rcp なんかでメ−ルがあるディレクトリをコピ −するのも、ユ−ザIDの文字が渡るのでないのか。であれば番号は気にしなくても済む という話になるのだが。これまでも何度もやったことのなのだが、どうだったかや?。実 際に2つのマシンで試してみた。下記の左が現行のメ−ルストアの Sun Solaris 9、右が 今度のメ−ルストアの REHL 仮想マシン。ファイルを転送コピ−してユ−ザIDとグル− プIDがどうなるかということ。両マシンの /etc/passwd, /etc/group で、 下記の名前 はユ−ザ名またはグル−プ名、番号はユ−ザIDまたはグル−プIDである。 (katou : 10) --> (katou : 20) ではIDは katou となる。 (satou : 30) --> (mutou : 30) ではIDは mutou となる。 [ 問題の IMSS の実行 UID ] IMSS の UID はソフトをインスト−ルする際 # cd /opt/trend/imss/script に勝手に付いた。これは /etc/login.defsの # ./imssstop.sh << 停止する。 "UID_MIN 500" を見てのことだと思う。この 値を変えて再度インスト−ルすれば変えるこ とはできるのだろうが、めんどうな話である。 /etc/passwd ----------------------------------- |imss:x:504:502::/etc/imss:/bin/sh << vi で 504 を 100 にしてみた。 # ./imssstart.sh << 起動する。 ダメでした。こんなことでOKになる方がき database directory exist! ょう日怖いことだ。できないことを由とする。 Database server is not running. Starting... su: warning: cannot change directory to /etc/imss: 許可がありません | [ IMSS の UID を避けよう ] 現行メ−ルストア /etc/passwd ファイルの中身。 UID は無理に新旧のマシンで合わす -------------------------------------------- ことはない。新しいマシンでも同じ |itomo:x:101:101::/usr/people/itomo:/bin/sh アカウントがあれば、ファイルの整 |ksato:x:102:101::/usr/people/ksato:/bin/sh 合性は取れることになる。 Tuika こういうファイルを作りREHLで実行する。 /etc/passwd ファイルで追加された -------------------------------------------- のを見ると、シェルは/bin/bash に |#/bin/sh デフォルトでなっていた。別にこれ |useradd -u 101 -g 100 itomo -d /home/itomo でもいい。ホ−ムディレクトリも変 |useradd -u 102 -g 100 ksato -d /home/ksato わっても構わない。使うのはメ−ル | | 転送の .forward ファイルだけだか |useradd -u 503 ... から。でもシェルにホ−ムは旧と合 |useradd -u 505 ... わせた方がひょっとして無難かも。 # passwd itomo パスワ−ドを手入力で入れる。 そういえば Mail-Store を、Sun の Changing password for user itomo. SS5(SunOS4.x)からV210(Solaris 9) New UNIX password: henomohe に移行した時も、パスワ−ドを全員 Retype New UNIX password: henomohe のをこうやってキ−ボ−ド入力した。 passwd: all authentication tokens updated successfully. * メ−ルボックスのコピ− ユ−ザのメ−ルボックスそれにホ−ムディレクトリを今のマシンからコピ−する。パ−ミ ッションとユ−ザIDとグル−プIDを維持して、ネットワ−ク越しにファイル転送する。 wget, scp コマンドでもディレトリごとコピ−できる。このコマンドの使い方を調べるこ と。Solaris 9 には入っているのか。 RHEL には /usr/kerberos/bin/rsh、/usr/bin/scp、 /usr/bin/wget に入っている。以下は rsh は REHL 側から操作している。最初 SOLA側か らの操作をやったのだが、テ−プ書き込みエラ−です、となりできなかった。 /usr/people/xxx /home/xxx /.rhosts /var/mail/xxx /var/spool/mail/xxx -------- □ ---> □ |+ SOLA|.1 .9|REHL --------------------------- 192.168.1.0 REHL# cd /var/spool/mail 溜めているメ−ルをこれで全部移す。 REHL# rsh 192.168.1.1 'cd /var/mail; tar cf - .' | tar xvf - REHL# chgrp mail * コピ−した全ファイルの GID を mail に変える。 REHL# cd /home ユ−ザのホ−ムディレクトリを移す。 REHL# rsh 192.168.1.1 'cd /usr/people; tar cf - .' | tar xvf - REHL# chgrp users * GID:100 の users にする。もう少し調整がいるかも。 [ 両マシンの様子 ] REHL# ls -l /var/spool/mail ※ /var/mail からのリンクになっている。 -rw------- 1 itomo mail ... /var/spool/mail/itomo ↑ ↑ UID:101 GID:12 SOLA# ls -l /var/mail/itomo -rw------- 1 itomo user ... /var/mail/itomo REHL では GID:101 は stapdev ↑ ↑ という聞いたことないのになっ UID:101 GID:101 (これは自分が作った) ていた。 * IPアドレスの付け替え IPアドレスの付け替え Mail-Store にて。ホスト名は同じのままとする。VMwareのクロ −ン作成メニュ−で Mail-Store の仮想マシンをちゃちゃっと作る。IPアドレスをIMSS 本番機に変えるには # system-config-network で、 先ずマシンのIPアドレスを変える。 InterScan VirusWall ソフト内で使っている PostgreSQL 内部でも、IPアドレスを管理 しているので、こちらも変える。 [ InterScan7.1 の起動と停止 ] IMSS # cd /opt/trend/imss/script # ./imssstart.sh << PostgreSQL も中で起動。 database directory exist! # ./imssstop.sh << PostgreSQL も止まる。 Central Controller stopped. # ./dbctl.sh stop << PostgreSQL だけ止める。 postmaster stopped * しぶとく信頼性をアップする検討 Mail-Store を予備機にするのに、 本番機のメ−ルボックスを予備機にコピ−をするとい うのは止めるか。本番機も予備機もそのままのIPアドレスで稼働させる。社内全部のパ ソコンのメ−ルソフトで SMTP,POP3 の設定を予備機のIPアドレスにする。 以上の変更 で社内間のメ−ル、外へのメ−ルの発信はできるが、外から来るメ−ルを受けることがで きない。それもできるようにするには Mail-Relay の設定で、 Mail-Store へのメ−ル配 送先のIPアドレスを予備機の方に手で変更する。Mail-Relayの故障の備えには、予備機 を用意しDNSに2つの Mail-Relay のMXレコ−ドを記述する。これで Mail-Store と Mail-Relay 共に2重化できる。もう1つの2重化はクラスタリングソフトを使うこと。 メ−ルソフトは設定で SMTP と POP3 サ−バのIPアドレスを書いているが、ドメイン名 のように記述してみる。Outlook で試してみた。 C:\WINNT\system32\drivers\etc\hosts に "192.168.1.1 smtp.nix.co.jj" と書いた。ちゃんとメ−ル送ったぞ。ん−、これがで きてもいかんか。社内で Active Directory とか資産管理ソフトが動いているのなら、そ れでこれらのIPアドレスを変更できないか。メ−ルソフトの中で、ユ−ザのメ−ルアド レスを知るのに、Active Directory を見ることはできるが。 メ−ルサ−バのIPアドレ スは Active Directory を見るという設定がないとできない。Outlook はなかった。他の メ−ルソフトはどうか、Outlook Express とかマイクロソフト以外のとかは。 [ クラスタリングソフトの利用 ] OSC2011 OpenSourceConference2011 Nagoya 2011/08/20。名古屋の国際センタ−ビルにて 開催、4階の展示ブ−スと上下の階にてセミナ−開催。 展示ブ−スで Pacemaker という オ−プンソ−スのクラスタリングソフトウェアの説明を聞いた。Linux-HA Japan Project によるソフト Pacemaker, Heatbeat, DRBD を使用した Linux-HA 環境。DRBD はボリュ− ムの筐体間レプリケ−ション、何のこっちゃ。Heatbeat はHAクラスタを実現するLinux ソフト、結構前からあるがかなり気合いを入れないと使えないという印象があった。 Pacemaker は Heatbeat 2.1.4 の後継バ−ジョンとして開発された。開発コミュニティは clusterlabs、Linux-HA、OpenAIS。http://linux-ha.sourceforge.jp/。 故障検知はアプ リケ−ションで稼働系、待機系。ノ−ドにディスクは共有、内臓。ネットワ−クは経路サ −ビス単位。これも共有ディスクを複数の仮想OSで利用する形態。ハ−ドディスクが壊 れる可能性が高くてサ−バを冗長化したい訳で、そのハ−ドディスクを共有することに意 味があるのか。とりあえず冗長化したマシンのテストをやるのにはいい。 社内用メ−ルサ−バでのこと。メ−ルアカウントの /etc/passwd や /etc/groupファイル を Pacemaker で予備のマシンに安全にコピ−するのに使いたい。これらのファイルをrcp や rsync とかのコマンドでなく、 安全に予備マシンにコピ−するだけに用いるというの はどうだろうか。/etc/passwd ファイルがコピ−の最中に何かトラブルが起きてファイル が壊れるとか無くなるとかなったら、とんでもなく困るでしょとも話してみた。展示ブ− スの人に尋ねてみた。十分使えますと言って、できるような雰囲気だった。 (4) メ−ルリレ−用サ−バの刷新 * 今のDNSがおかしいかも どうも自社のDNSサ−バが最近おかしいのでないか。この1月の間に2件、アクセスで きないサイトがあった、1日か2日したらすんなりとアクセスできるようにはなったのだ が。ファイアウォ−ルが何か影響を及ぼしているのか、古い侵入防御装置が影響を及ぼし ているのか。もう何だか運用していくのは限界だ。小生もういい加減に疲れたぞ。こうや って思いの丈を書いて、ふっぷんというかとりあえず吐き出す。そしてとりあえず何とか 解決させないことには。おかしいと気付いたのは2011年の6月位だったか。 DNSの設定は合っているのか。IPv6 対応させてないのがいけない?。 DNSのル−ト ファイルは IPv4 のアドレスしか載ってないのがいけないのか?。 OpenBlockS の named の設定を参考に見てみるか。プロバイダのエンジニアにも大丈夫ですかねと見てもらえな いか。そういう相談には、指導料を10万円位ださないけないところだが。DNSサ−バ からはログがずっと出ている、/var/adm/messages に。これは致命的な問題ではなさそう だが、しかし一度詳しく調べてみないことには。何か起きているんじゃないか不安です。 「ASCII.technologies」 2010/06, P.170〜173,"インタ−ネットの基本を理解する! 正し く学ぶDNS 第12回 小さいようで大きな問題「レイムデレ−ゲ−ション」。JPRS の人が書いている。2011/06の P.132〜135 には "インタ−ネットの基本を理解する! 正 しく学ぶDNS 最終回:権威DNSサ−バ−の引っ越し2009年7月に開始した連載で 24回目。DNSの検索で問題がある場合は 512オクテットを超えるDNSパケットをち ゃんと扱えているか確認のこと。第3回、13回、17回で触れられている。 ping を打って akamai何たらと返ってきたら、アカマイのサ−ビスをそのサイトは利用し ているということ。意外にも身近な取引先業者が使っていたりして、すでに身の回りでも 一般的になっていたことが分かった。 パソコンのDOS窓から ping www.vmware.com を 打つと Pinging e751.b.akamaiedge.net [23.2.131.51] with 32 bytes of data: と出た。 ping www.vmware.co.jp はPinging www.vmware.co.jp [165.193.233.120] with 32 bytes of data:。いずれも Request timed out. が出て、ping に応答しないようになっていた。 本棚に並んでいる「Software Design」の背をみていたら "Akamai"の文字が見えた。何じ ゃこれはと手にとった。2011年9月早々。この号は全然見てなかった。アクセスがべ らぼうに多いサイトの分散サ−ビスをやる会社か。雑誌をぱらぱらと見て CDN( Contents Delivery Network )かと思ったら、やはりそうだった。それにしてもアカマイとはおかし な名前だ。インタ−ネットの黎明期、九州にベッコウアメというプロバイダがあった。今 もあるのか分からないが。ともかくCDN ていうのは、かなり前から有ったことが分かった。 * REHL 仮想マシンでの設定 とりあえず仮想マシンの Mail-Relay ではDNSサ−バなし、メ−ルはDNSは見ないよ うにして。2つの仮想マシン Mail-Relay から Mail-Store へメ−ルが行くかテストしよ う。その逆のテストもやってみよう。DNSサ−バを動かすうんぬんを考えなくていいの で気分的に楽だ。仮想マシンでDNSサ−バを動かすと、へたするとプロバイダの2次の DNSサ−バに情報を送り込まないか心配だ。昨今のDNSの実装は複雑怪奇になってき ている。DNSが何をやっているのか、今すぐにはぱっと思い浮かばない。 メ−ルを送る相手先がDNSの逆引きをしなければ、勝手に立てたDNSサ−バでも用は 成すはず。Mail-Relay ホストを仮想マシンで新しいのを作りたいのだが、 メ−ルを外に 出したり受け取ったりの動作確認をどうすればできるか。ひょっとして相手メ−ルサ−バ がDNSの逆引きをしなければ、メ−ルを外に出すことはできるのでないか。外のWWW サイトにもアクセスできるはずだ。以前やったことで、"17-7. メ−ルシステムの見直し" の "[付録] 新 Mail-Relay の事前動作確認" も参考になるかと思う。 # rpm -qa | grep sendmail ※ sendmail.cf は Mail-Store の仮想マシンの方で作る。 sendmail-8.13.8-8.el5 付録を参照のこと。ここでは一応本番機としての設定。 # hostname /etc/nsswitch.conf /etc/host.conf /etc/resolv.conf hostA ------------------ ----------------- --------------------- |hosts: files dns |order hosts,bind |nameserver 127.0.0.1 /etc/hosts ------------------------------------------------ |127.0.0.1 localhost.localdomain localhost |#::1 localhost6.localdomain6 localhost6 << これはいらんのでないか?。 |192.168.1.1 hostA hostA.nix.co.jj loghost host.conf もいるのかな?。 mailertable と access ファイルの記述も現行マシンに同じく。 * 現行 Mail-Relay の設定状態の確認 << Sun Solaris 9 >> /etc/hosts /etc/resolv.conf ------------------------------------------------- --------------------- |192.168.2.1 hostA hostA. mail.nix.co.jj loghost |domain nix.co.jj |192.168.1.1 hostB |nameserver 127.0.0.1 /etc/nsswitch.conf /etc/mail/mailertable /etc/nodename ------------------ ------------------------------ ------------- |hosts: files dns |nix.co.jj esmtp:[192.168.1.1] |hostA /etc/mail/access # /usr/sbin/makemap hash access < access -------------------------- # /usr/sbin/makemap hash mailertable < mailertable |Connect:192.168.1.1 RELAY |To:nix.co.jj RELAY Mail-Relay で ping hostB やると 192.168.1.1 を返す。 |nix.co.jj RELAY ping hostA.nix.co.jj とやると 202.241.128.2 を返す。 ログのhostA.nix.co.jj はDNSの制御ファイルに記載。 ikken に送ると送り返すようにしている、その一連のログ。 /var/log/syslog ... 10:05:35 to=, relay=atom1.tcp.ad.jj. [157.14.7.11], stat ... 10:05:35 from=, relay=hostA.nix.co.jj [202.241.128.2] ... 10:05:38 from=, relay=meru3.tcp.ad.jj [157.14.19.33] ... 10:05:38 to=, relay=[192.168.1.1] [192.168.1.1], stat=Sent * 2つの仮想マシンでメ−ルのやり取りの確認 PC△ □仮想 □仮想 DNSの稼働なし PCから外にメ−ルを出せば | .101|Mail-Store .102|Mail-Relay 仮想 Mail-Relay に溜まる。 --------------------------------------- 192.168.1.0 [ Mail-Relay ] /etc/nsswitch.conf /etc/host.conf REHLの sendmail はデフォルトでDNSを ------------------ -------------- 見るようになっている。ここではDNSを |hosts: files |order hosts 見ないように service.switch をいじった。 /etc/mail/service.switch /etc/mail/sendmail.cf ------------------------ --------------------------------------------- |hosts files |O ServiceSwitchFile=/etc/mail/service.switch /etc/mail/access /etc/mail/mailertable ----------------------------- -------------------------------- |Connect: 192.168.1.101 RELAY |nix.co.jj esmtp:[192.168.1.101] |To: nix.co.jj RELAY |nix.co.jj RELAY [ Mail-Store ] /usr/lib/mail/cf/sendmail-tx --------------------------------------------- |define(`SMART_HOST', `smtp:[192.168.1.102]') * Mail-Relay の sendmail.mc ファイル Mail-Relay 仮想マシンにはパッケ−ジ sendmail-cf-8.13.8-8.el5 は入れない。 入れれ ば /usr/share/sendmail-cf ディレクトリができて、 xxx.mc ファイルから xxx.cf を作 ることはできる。Mail-Store 仮想マシンの方で、Mail-Relay 用の sendmail.cfファイル を作る。できたのを Mail-Relay 仮想マシンにコピ−して /etc/sendmail.cf とする。と りあえず、この sendmail.mc ファイルは参考ということで。 # cd /etc/mail # m4 MailRelay.mc > MailRelay.cf # cat MailRelay.mc include(`/usr/share/sendmail-cf/m4/cf.m4')dnl << この1行を既存のに追加した。 VERSIONID(`setup for linux')dnl << ここと次の記述を linux にした。 OSTYPE(`linux')dnl << DwhostA Dmnix.co.jj DOMAIN(generic)dnl undefine(`UUCP_RELAY')dnl undefine(`BITNET_RELAY')dnl FEATURE(`nouucp',`reject')dnl define(`MAIL_SETTING_DIR',`/etc/mail')dnl define(`confPRIVACY_FLAGS',`goaway,restrictmailq')dnl define(`confOPERATORS',`.:@!^/[]+')dnl define(`confDOMAIN_NAME', `$w.$m') dnl define(`always_add_domain') dnl MASQUERADE_AS(`nix.co.jj')dnl MASQUERADE_DOMAIN(`nix.co.jj')dnl FEATURE(`masquerade_entire_domain')dnl FEATURE(`nocanonify',`canonify_hosts')dnl FEATURE(`accept_unresolvable_domains')dnl FEATURE(`accept_unqualified_senders')dnl define(`confMAX_HEADERS_LENGTH',`32768')dnl define(`confMIME_FORMAT_ERRORS',`False')dnl define(`confMAX_MESSAGE_SIZE',`104857600')dnl define(`confMAX_RCPTS_PER_MESSAGE',`100')dnl define(`confDOUBLE_BOUNCE_ADDRESS',`')dnl define(`DATABASE_MAP_TYPE',`hash')dnl define(`confTO_IDENT',`0s')dnl define(`confMIN_QUEUE_AGE',`15m')dnl define(`confTO_QUEUEWARN',`4h')dnl define(`confTO_QUEUERETURN',`3d')dnl << 再送を繰り返すのは3日間。最初は`5d' define(`confTO_COMMAND',`10m')dnl で5日間だった。いつの頃からか5日間 define(`confTO_DATABLOCK',`10m')dnl では長過ぎるということで3日間に変え define(`confSMTP_LOGIN_MSG',`nix')dnl たのだった。しかし頭の中では5日間が FEATURE(`no_default_msa')dnl インプットされてしまっていて、ところ FEATURE(`access_db')dnl どころメ−ルは5日間を再送を繰り返す FEATURE(`mailertable')dnl と書いたところがあった。 2017年7月末 MAILER(`local')dnl にそのことに気付き、調べて分かったと MAILER(`smtp')dnl ころは3日間と書き直した。 (5) これからのイントラネット運用 `2b/09〜 * ネットワ−クの今後 インタ−ネット接続周りの装置やマシンを1つのラックにまとめるとしよう。装置などを ラックにはめ込んでいく絵を描いてみた。 レイヤ3スイッチは Cisco 3750を買ってから だいぶ経つ、まだ保守契約は終了してないが。これもそろそろ買い替えるとするか。今度 はギガビットイ−サネット対応の製品にしよう。メ−カは Cisco でいいだろう。Ciscoは 最近大きなリストラを実施したりして、かつての勢いはないのだが、それはそれとしよう。 仮想サ−バ、仮想マシンの利用拡大により OpenFlow なるネットワ−ク装置、それとも規 格?がでてきた。レイヤ3スイッチよりも柔軟なネットワ−クをつくることができるとの 記事を見る。パケットのヘッダ−の12種類の情報によってパケットを処理することがで きるらしい。レイヤ7スイッチよりも区分が細かくできるということか。ここ数年、レイ ヤ7スイッチと言うキ−ワ−ドは雑誌やネットでもとんと見かけないが。 SI業者にパケットをキャプチャしてもらってネットワ−クの簡易健康診断をしてもらっ たはずなんだが、あまり期待できるものでなかった。tcpdump なんかでパケットが流れて いるのを見ると、変なアドレスであるとか、同じIPアドレスから頻繁にパケットが出て いるとかある。こういうのは見る人が見れば、どういうことかパッと分かるのだ。やはり ネットワ−ク診断の話は東洋テクニカに持って行かないとだめか。 中堅企業以上の会社ではノ−ツを使っている割合は、まだ半分ぐらいはあるような感触だ。 一度、皆で使い始めたツ−ルはおいそれと変えることができない見本みたいな話。遅くて 使いづらいのだが、仕方なくしぶしぶと。内もグル−プウェアの検討委員会なるものがで きてノ−ツを導入するという見解を世話人がまとめたのだが、それ以上には話が進まなか ったので導入は未遂に終わった。導入しなかったのは結果的に良かったと思う。 昼休みに朝日新聞のサイトを見ようとすると "ペ−ジを表示できません" とブラウザに出 てしまうことがままある。昼休みは社内の人が好きなようにインタ−ネットのサイトを見 ている可能性が高い。特に制限は設けてないので。それにインタ−ネット全体でもこうし た時間帯は利用がとても多いのでないか。ともかく常にインタ−ネット接続がちゃんとで きているか、小生は朝日新聞のサイトを標準原器的に常に表示して見ている。 スマ−トフォンとタブレットはどうする?。これら利用は、もう避けて通れないところに 来ているのでないか。夜のニュ−スでアメリカの学校での iPad の利用実態が紹介されて いた。小学校でも大学でも、全員に配布して授業で利用している。そもそもノ−トパソコ ンでも持ち出し禁止にしているのは日本位かも知れない。知り合いのアメリカ人に禁止? と聞いてみたら不可解そうな顔で、ノ−トPCは持ち出して使う物だろうと答えるという。 * メ−ルとDNSのサ−バの今後 メ−ルストア、どうして行ったらいいか検討しておく。今のマシンが機嫌よく動いている 間は使い続けることとしよう。一時不安定な時もあったが、マシンをいったん起動し直し たらそれ以降、全然問題なくなった。メモリにゴミがたまっていたか。いや予備機を本番 機にする際、IPアドレス変更が問題だったようだ。社内の仮想マシンか、クラウドへ移 行する手順書を書いてそれで終わりにするとしよう。小生の役目はここまでである。 でもメ−ルストアのマシンは社内にないといけないと思う。社内のユ−ザ同士のメ−ルで さえ、いったん外へ出ていくというようなことは、いつになっても望ましいことではない ような気がする。メ−ルストアではメ−ルの配送処理だけ行なうものとする。メ−ルリレ −機能、つまりMXレコ−ドのメ−ルサ−バはクラウドを利用でいい。社内にサ−バなん かを設置して自前で運用する形態のことを、最近ではオンプレミスという。 メ−ルリレ−ではDNSの1次ネ−ムサ−バを担っている。それに外向けのメ−ルサ−バ。 DNSがデジタルIDで証明するのが当り前になってきた段階で、もう自前での運用はや めにする。DNSSEC のこと。メ−ルもこのDNSのデジタルIDを用いて、 自身のメ−ル を証明できるようにするのが当り前になってきつつある時点で、外向けのメ−ルサ−バの 運用はやめである。おしまいだ。そこまでである。 結局、自社内において運用するのはファイウォ−ル、IPS、メ−ルストア。それに主ネ ットワ−ク装置のレイヤ3スイッチも。SSL-VPN 装置とメ−ルリレ−は自前では持たない ようにする。メ−ルリレ−はDNSのMXレコ−ドとなるマシン、外のサ−ビスを利用す るのがいいのでないか。ウィルスチェックにSPAMチェックもやってもらって。できれ ばメ−ルストアは社内にあっても、SI業者にお守りを委託するようにしたい。 それでメ−ルリレ−はどこのを利用させてもらうか。TCPさんはメニュ−にはないがや りますと。やはり確実なところではIIJか、Gmail はどうもという気がする。「日経コ ミュニケ−ションズ」2011/08, P.64〜73,"ソリュ−ションクロ−ズアップ メ−ルシステ ム刷新"。 この記事ではIIJとエス・アンド・アイとシ−ティシ−・エスピ−と富士ソ フトの提案あり、しかしメ−ルのデ−タの移行は自分でやってくれとある。 多分 Gmail でもメ−ル環境を移行するには、 SI業者の手助けと言うかお願いすること になるかと思う。 既存のメ−ルストア内に溜まっている各人のメ−ルを Gmail にコピ− する。移行するのにかかる時間も問題である。その間、メ−ルが使えなくなる可能性があ る。ともかくメ−ルの移行作業は実際にはとても厄介なものになるはずである。かなりの 作業費が予想できる、数百万円の見積りは簡単に出てくるだろう。 メ−ルとDNSはクラウドサ−ビスへ移行することを前提にしているのだが、それで万々 歳になるのか。クラウドのサ−ビスではなかなかログを開示してくれないという話を聞い た。結構安い料金設定で運用している会社が多く、そんな個別のことには対応する時間は ないということか。ともかくトラブルが起きた場合、何が悪いのか、どこが悪いのか問題 を特定することが難しくなるらしい。メ−ルのログも追えなくなるかも知れない。 クラウドを実際に利用した時の話がぼちぼち出るようになってきた。案外、仮想マシンが 安定してないというブログの記事なんかを目にする。Gmail のように99.9%の稼働率 でどうやって利用して行ったらいいのかとか。ある程度の割り切りが必要だとか。何でも そうだがいいこと尽く目ではない。10月に開催された幕張でのクラウドEXPO、セキ ュリティなどの展示会、行きそびれた。春も行かなかったし。行くべきだった。`2b/10 念のため仮想マシンで Mail-Store と Mail-Relay を作っておくことにする。Sun の今の マシンが壊れたら代わりがない。クラウドの利用まで持っていくには、それなりの時間が かかる。できればクラウドというより機器などを全体的に包括的にめんどうみてもらうよ うにしたい。そこまで範囲を広げると1年ががかりになる。費用は月に百万円でもきかな いかも知れない。サ−ビス利用への移行は立ち消えてしまう可能性は大きい。 * メ−ルの脅威の昨今 2011/08/31 にきたメ−ルで。Email Security Conference 2011 運営事務局から。今年で 7回目。昨年まで有料だったのを無料に。東京と大阪で開催。大阪は10月21日に開催。 Fortinet の発表あり。仮想化、クラウド時代のメ−ルシステムとは!? 〜メ−ルに関す る悩みを1台で解決〜。発表者の名前をみると中国の人か。FortiMail アプライアンスサ −バを利用してのメ−ルシステムの紹介。行きたかったが、ちょっと遠慮してしまった。 Email Security Conference は去年までは東京のみで、確か入場料が2万円ぐらいだった か。そこそこ権威のある展示会とセミナ−だった。そこで Fortinet 社のメ−ルアプライ アンスを紹介するとは。Fortinet 社の懇意にしている営業さんが言うには、FortiMail買 って下さい、すでに何社にも十分使ってもらっている。そうなのと聞き流していたのだが、 Fortinet 社がこのコンファレンスに出ると言うので、見直さないかんかと思い始めた。 迷惑メ−ルのタイプが変わって来ているのでないか。数打ちゃ当たる的なことから標的を 決めてメ−ルを送る。メ−ルのレピュテ−ションにも、迷惑メ−ルのパタ−ンにも合致し ないので、すり抜けて中に入ってきてしまう。2011年6月頃だったかの新聞に、迷惑 メ−ルのタイプが変わってきたと出ていた。標的型メ−ル攻撃という。あからさまなバイ アグラとかでなく、取引先を完全に装ったメ−ルとかがやって来るのである。 * サイバ−攻撃の対処 `2b/10 トレンドマイクロ社のサイバ−攻撃への緊急セミナ−。マスコミで大きく話題になってい る○○重工の問題発覚を受けて。2011年10月福岡、大阪、名古屋で開催。目新らし い攻撃ではなく、以前からあったものと説明。標的型攻撃は以前はスピア型攻撃と呼ばれ ていた。ともかくタ−ゲットを決めてピンポイントで攻撃してくる。最もらしい業務メ− ルを装って送って来る。添付ファイルをクリックするとマルウェアに感染して、情報を抜 き取られていく。トレンドの対処法としては入り口だけでなく出口も監視しよう。 トレンドマイクロ社のセミナ−資料は"持続型標的型攻撃(APT)ヘの対策"。APT( Advanced Persisitent Threat )。Googleで "APT 標的型攻撃" を検索したら "サイバ−産業スパイ の実態、高度で長期的な標的型攻撃 日本版APT( Advanced Persisitent Threat ) の被害 調査、株式会社ラック、公開日:2011年3月23日"が、真っ先に出てきた。PDFの添付ファイ ルの割合が59%。僅かな改変で検知できなくなる。IPSやUTMの有効性はほとんど ない。オレオレメ−ルみたいなもの。だまされないようにサイバ−演習を実施すること。 ○○重工でも APT でもメ−ルの添付ファイルから侵入されている。これは PDF ファイル を表示する Adobe Reader の脆弱性で侵入を許すのが大半のようである。昔から非常に脆 弱性が多いフリ−ソフトで、一度パッチを当てるなりバ−ジョンアップすれば済むという 代物ではない。改めてちょっと調べたらそんな話だった。これはもはや人災と言っていい のでないか。たかがファイルのビュワ−ではないか。 Adobe Acrobat Reader はバ−ジョ ン5までの呼び名。それ以降は Adobe Reader といい、現在のバ−ジョンは10。 トレンドマイクロ社の対処では。サ−バとパソコンに48時間以内に仮想パッチを当てる、 アプライアンスを社内に設置し、パソコンなんかにもソフトを入れておく、自動的に必要 なパッチが当たる。挙動不審なパケットをリアルタイムで監視するサ−ビスを提供、内部 から外部へのパケットを特に監視。Webレピュテ−ションも最終的に取った情報を送る 場所の検知とブロックということで効果がある。セミナ−の話では完全に侵入を防ぐ手だ てはないが、できるだけ早く検知をすれば被害を小さい内に食い止めることができると。 * 参考 http://japan.internet.com/このサイトもワッチしておくこと。日本でのインタ−ネット を始めさまざまな関連情報がでている。 以前は http://japan.zdnet.com/ も見ていたが。 昔からあるJANGO というメ−リングリストもワッチしておくこと。インタ−ネットに関す るトラブルやトピックスを流している。確か JPNICからメ−リングリストが来ていたがい つの間にか来なくなった。APT を調べていて、先日知ったラック社のメルマガはどうか。 ------------------------------------------------------------------------------------ [ 付録 ] 侵入防御装置への要望 Demand for DefensePro equipment. * Visit to Japan Welcome My name is Ikken Nice to meet you. I had developed CAD in the old days. I have network management in this company since 1995. Mr.Henomohe, The relationship of about 20 years with him. I was introduced to LinkProof in 2004 throuh Mr.Henomohe. For the dupication of the Internet line, LinkProof play a major role. There is no selection only this is the network that has especially DMZ. It is a device which is very good, but the setting is very difficult. It is necessary to in-depth understanding of DNS server. DefensePro device is also a very good. I was tested on a sample that false postitives site of Asahi newspaper. Since I take care of the various device, I fogot the settings for DefensePro. I take care MailServer,FireWall,Internet access,WAN line,UTM so on. --- These texts using Google Translate --- Thank you * 有るといい物 年に1回の定期点検。 The periodic inspection once a year. 侵入検知のサンプル。 Sample of Intrusion detection. 安いのがあるといい。 It is good that there is low price product. 誤検知の場合の対処。 Manual of treat at fail detection occured. * 簡単な説明を [ 年に1回の定期点検 ] SI業者に保守のメニュ−として整備して欲しい。社内のネットワ−ク管理者はいろいろ やることがあり、特定の装置だけ面倒みていれば済むというものでない。たまにその装置 を触ることになり、設定をその時には忘れてしまっている。装置がちゃんと稼働している かを先ずチェックしてもらう。更に新たな脅威に対するシグネチャの適用などしてもらう。 どこの業者に聞いてもなかった。一応 DefensePro-202 購入時の業者に特別にやってもら うよう話した。しかし購入から本稼働まで1年かかり、その間にうやむやになった。 [ 侵入検知のサンプル ] たまたま朝日新聞のサイトにプロキシを経由すると、検知されるというのがあって、装置 の動作をいろいろ調べて理解することができた。ウィルスチェックのソフトでも、たいが いダミ−のウィスルがあったりする。 DefensePro-202 導入時、SI業者のエンジニアに こういうサンプルなどがないか尋ねたがなかった、知らないと言っていた。 [ 安いのがあるといい ] FortiGate のように20万円以下で買えるの機種があるといい。先ずは試しに買って使っ てみることができる。それからハイクラスのを本格導入するという流れにできる。高いの を導入した後も、手元で自由に触ることができる装置があるといい。動作検証や本番稼働 機をいきなり触らず、あらかじめ動作を確かめたい。PaloAlto も安い機種を出している。 [ 誤検知の場合の対処 ] 簡単なマニュアルを用意して欲しい。普段の運用で一番困るのは、社内のユ−ザから外の サ−ビスにアクセスできないということ。正常なアクセスができるはずが、誤検知でパケ ットが止められてしまう。せめてこの場合のパケットを通すマニュアルを作ってもらいた い。誤検知が理由で侵入防御装置の運用を断念する事も多々あるかと思う。