16-5. A-Gate SSL-VPN と次候補 (1) A-Gate についていろいろ * デジタルIDの日付の有効期限が切れたら パソコンの日付を1年後にしてみた。装置の日付はそのまま。パソコンからVPNソフト を起動して、最初のロッグイン画面は出た。パスワ−ドを入力してランダムパスワ−ド入 力画面が出る前に、下のアラ−ム画面が出た。[Yes] を押したら、ランダムパスワ−ド入 力画面が出て、そのままアクセスできた。装置の日付を1年後にしても同じだった。運用 的には有効期限が切れもそのままでいいのでないか。デジタルIDを作り直して個々のパ ソコンにどうたらこうたらやるのはめんどくさい。ユ−ザの手数が1つ増えるだけで機能 的には何ら問題ない。まあ1年経ってから読者、それぞれ考えるということにしておこう。 その後1年過ぎてほかっていた。特に誰も気付きもしないみたい。2番目の表示の内容が 違っていた。信用するために選んでない会社によって証明書が発行されたとあった。ここ ではマウスで [Yes] を押して先へ進むこと。 ------------------------------------------------------------- |Security Alert |------------------------------------------------------------ | There is a problem with the site's security certificate. | | The security certificate is not within its validity period. <- ここ。 | | To proceed and trust the certificate press YES. | To install the certificate press view Certificate and | follow the instructions. | To stop press No. | | [ Yes ] [ No ] [ View Certificate ] ------------------------------------------------------------- * A-Gate のログについて ・ロ−カル 200イベントまでログを取って順次消えていく。 ・Syslog 受け付けるホスト名またはIPアドレスとログレベルを指定。 ・Netlog 指定 TCPポ−トに提供。A-Gate の LAN ポ−トからのアクセスのみ受ける。 ・Smtplog メ−ルにしてログを送る。メ−ルサ−バを指定すること。 添付の CD-ROM にフリ−ウェアの "Kiwi Syslog Daemon" が入っている、らしい。どこか に CD-ROM 行ってしまった。箱に入れたまま倉庫に?。 ともかく Windows 用の syslogd デ−モンである。http://www.kiwisyslog.com/からダウンロ−ドして、簡単にインスト− ルできた。ロ−カルログで info にすると何をゲットしたか、xxx.gif まで細かく出てく る。info 以外だとほとんど何も出て来なかった。[View Local Log] でロ−カルログを見 ることができる。Syslog は local0 および local1 の facility を利用する。 ユ−ザか らのアクセスは local1 に出力するとマニュアルには書いてあった。この Kiwi というソ フト、ログのロ−テ−ションはできないみたい。残りディスク容量は見てログをとるのを 止めるとかはできる。適当に手作業で古いログを消去するしかないか。 * A-Gate のクライアントの設定について 社内のパソコンで A-Gate の設定をする際、ブラウザのプロキシ設定を一時的に外して作 業すること。社内のパソコンはどれもプロキシサ−バを利用、DNSは外部用のを指定し ている、とする。Windows パソコンは、この状態では hostsファイルを見ずにDNSを見 ようとする。そのため最初の A-Gate の設定のため、https://ag60.nix.co.jj/ にアクセ スしようとしてもIPアドレスが分からず、Bad Gateway, DNS lookup error とつながら ない。NetCahe で何とかできないかとやってみたができなかった。根本的な解決には内部 用のDNSを設けるしかないだろう。管理者が社内のパソコンから A-Gate の設定をする 場合も同様である。外からダイアルアップ接続するには、パソコンの設定などは社内で設 定しているままでいい。IEのブラウザのプロキシ設定はダイアルアップでは無視される。 * VPNソフトのインスト−ルについて Windows 2000 の IE 6.0.x では https://ag60.nix.co.jj/ にアクセスして、ロッグイン すると、画面の右上に "Install Central VPN Client" と "Bookmark this page" と出て くる。しかし Windows 98 の IE 5.50.x では、"Install Central VPN Client" のとこが 出てこなかった。Windows 98 の Netscape でもそこは出てこなかった。 出ないので直接 https://ag60.nix.co.jj/.vpn とやってインスト−ル画面を出してみた。[Install] をク リックして進めていったら、このプラットフォ−ムには適当でないと跳ねられてしまった。 Windows 2000 に Netscape 7.1 を入れてみたら、"Install Central VPN Client" は出た。 A-Gate のVPNクライアント用ソフトは、Windows 2000 と XP 用である。Linux では使 えない。2007年初めに出てきた Windows Vista でももちろん使えない。 * A-Gate をテストする際 先ず C:\WINNT\system32\drivers\etc\hosts での記述 "202.241.128.4 ag60.nix.co.jj" は、IPアドレスはDMZ上の実IPアドレスでも構わないということ。社内のパソコン から A-Gate にアクセスして、A-Gate経由で社内のサ−バなどにアクセスすることができ る。このテストではパソコンから直接サ−バにアクセスしているのか、A-Gate経由でアク セスしているのか、見てくれ分からないのが問題である。そのためこのパソコンでパケッ トを見るのにフリ−ソフトの windump を使ってみる。 > windump -i 2 -n src パソコン のIPアドレス。これでパソコンと A-Gate 間でパケットが行き来していればOKである。 どうもパソコンでは社内サ−バに先に直接アクセスしてしまうと、後で A-Gate にアクセ スしても A-Gate 経由にならないようである。 * A-Gate の設定もろもろ ・管理用ホストからしか A-Gate に root ロッグインできないようにする [Administration]->[Root Account]->[Restricted Root Access] で Enableにチェックし て、"Add Trusted Address:" 画面でホスト名またはIPアドレスをいれて [Apply] をク リックする。まだこの時点では設定はセ−ブされてはいない。 左画面に [Save Changes] と [Cancel Chaneges] がでる。[Cancel Chaneges] をやると元に戻る。 Address Netmask -------------------------------- 192.168.1.9 255.255.255.254 << これでただ1つのホストを指定する。 Netmask は画面からプルダウンして選ぶようになっている、ただ1つのホストを指定する のは 255.255.255.255 だと思うが、これはない。 クラスCということで 255.255.255.0 にすると 192.168.1.1〜254 が有効になってしまう。ここでの NetmaskはIPアドレスの 範囲指定を意味している。 ・Syslog のログを管理用ホストに送る A-Gate で Syslog を管理用ホスト 192.168.1.9 に送るように設定する。社内のファイル 共有サ−バへアクセスした際、どんなファイルにアクセスしたかまでログをとるにはレベ ルを info にすること。FireWall-1 では A-Gate と管理用ホスト間で 524/UDP を通すよ うにする。 この間のパケットは観測したところ 202.241.128.4:514 -> 192.168.1.9:514 となった。管理用ホストは Windows 2000。A-Gate からのシスログを受ける syslog デ− モンはフリ−ソフトの "Wiki Syslog Daemon" にした。因み管理用ホストから A-Gate に アクセスし設定する、それに外から A-Gate に接続して内部ホストにアクセスするパケッ トも 202.241.128.4 -> 192.168.1.x というようになっていた。 ・SSL-VPN らしくブラウザ利用のみで社内WWWにアクセスする [Anywhere]->[Anywhere Web Server] アクセスできるWWW "192.168.1.8" を指定する。 [Group Policy]->[HTTPS Default Policy] ●Deny デフォルトは皆禁止にしておく。 ->[HTTPS ACLs] Group Name Group Type No.Rules ---------------------------------- ippan Defined 1 ippan をクリックして Rule Type Match Type Match String ------------------------------------- allow Compare 192.168.1.8 [Portal]->[Links] で "URL: 192.168.1.8"、"Text: こんにちは" などと適当に記述する。 これで https://ag60.nix.co.jj/ にアクセスしロッグインすると、 極シンプルなポ−タ ル画面が出てくる。"こんにちは" と出ているので、 ここをクリックすると 192.168.1.8 のイントラにアクセスできる。"こんにちは" の表示は [Portal]->[Links] で記述してい ても、[HTTPS ACLs] で 192.168.1.8 にアクセス許可してないと出てこない。 ・VPNソフトは Java の実行環境がいるか VPNソフトは Windows 2000 と XP 用である。Linux では使えない。このVPNソフト を使うには Java の実行環境がいる?。何や最初ごそごそしている時に java のサイトに 取りに行って、"Java Plug-in 1.4.2 06" をインスト−ルして実行しますかと聞いてきた。 それで "Java 2 Runtime Environment, SE v.1.4.2_06" がインスト−ルされた。 * A-Gate の故障からお役ご免まで 本装置は2005年春に設置した。ハ−ドディスクは搭載してないので、先ず壊れること はないだろうと思っていた。それが2008年7月半ば、空冷ファンの辺りから異常な音 がし出した。保守はオンサイト契約をしていたが、タイミングの悪いことに製造元の都合 で2007年末には契約は終了になっていた。スポット対応を打診したが製品もパ−ツも まるでなく無理との回答が返ってきた。ファンメ−カのミネベアに電話越しで異音を聞い てもらった。ファンではなく電源ユニットだろうと言われた。 次の SSL-VPN 装置を手配 して、様子を見ていたら音はしなくなったのでそのまま使い続けた。2011年5月にと うとう電源ユニットが故障したが相当物と交換で延命できた。2013年10月、ユ−ザ 認証が全部失敗していて、ごそごそしてたら直った。その10日前にも自分の居ない時に 装置の電源ランプ、インタ−フェ−スのランプが消えていたことがあった。その後何とか 次の SSL-VPN 装置に Windows XP の利用者には乗り換えてもらい、役目を終えた。 (2) A-Gate とネットワ−クカメラ `27/02 * ネットワ−クカメラのテスト ネットワ−クカメラを海外のブランチにも設置して、簡易的なミ−ティングができるよう にしたい。会議と言うよりも、単に物などの確認程度での使用だが。LinkProof が不評で IIJ 側の回線を遊ばせているので、カメラの実験に使ってみた。これでインタ−ネット経 由でのカメラ利用の、実際に即した環境を作ることができる。さて実験はこれでいいが実 際に、海外の駐在所なりにカメラをこのように設置するのは、かなりやっかいである。現 地には1人とか数人いるだけ、パソコンは1台で DSL接続しているような状況である。先 ずは現地のプロバイダに相談すること。家庭に何台かパソコンがあって、皆インタ−ネッ トが使える。そしてカメラで外からペットの様子が見える。内容的にはそんな程度のこと である。現地の人数が増えてきたら次は IPsecで接続するとか。更にもっと増えてきたら よい子の話で国内で実施している KDDI の IP-VPN 網に入れるとか。いろいろ方法はある。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \_________________________________/ :TCP 日本 :IIJ 海外のつもり :↓下り多し ↑上り少なし :カメラ専用に使用 : : --------- --------- |Router1| 仮想IP 仮想IP |Router2| Yamaha RTX1000 --------- ■ A-Gate P1 ○ --------- |.1 |202.241.128.4 |.27 |.25 ------*----*---------------------- -------------*----*-- 192.168.50.24/29 | WAN|.26 |.2 SSL-VPN -----------NAT変換 ------------ □ A-Gate カメラ |NetScreen| A-Gateクラ |FireWall-1|.2 |192.168.2.3 P1 ○ ----------- □ PC2 イアント | hostG |---------------- B |.14 LAN|.12 |.13 ------------ カメラ DMZ -------------*------------ 192.168.1.0 PC1 □ |.2 丸型◎ P5 |.11 | |.5 A パソコン PC2 にて -----------*---------------------- A-Gate Central VPN クリック 192.168.1.0 http://192.168.1.5 でP5へ パソコン PC1 にて http://192.168.50.27 でP1へ http://192.168.50.27 でP1へ http://192.168.1.5 でP5へ or http://192.168.1.14でP1へ << SNC-P5 カメラ >> << SNC-P1 カメラ >> IPアドレス:192.168.1.5 IPアドレス:192.168.1.14 ゲ−トウェイ:192.168.1.2 ゲ−トウェイ:192.168.1.12 * A-Gate SSL-VPN の性質 セグメントAとBのネットワ−クIPアドレスが同じであることに注目されたい。パソコ ンやサ−バなどのIPアドレスがかち合わなければ、構わないのである。海外とかのブラ ンチのネットワ−ク接続の状況を知らんでいると、プライベ−トIPを似たようなのを付 ける可能性は十分ある。もし同じIPアドレス、ここでは海外の所に日本の内部ネットワ −クのIPアドレス 192.168.1.0 が付けられてしまったら、 ホストのIPアドレスがか ち合わないようにすれば、A-Gate に関係するトラブルが起きることを回避できる。 パソコン PC2 は SSL-VPN 機能がオンになると、DMZに存在するかのようになる。分か り易くセグメントAにあると思ってもいいだろう。一つ問題があることが分かった。 PC2 で A-Gate のポ−タル画面から、カメラ P5 に http://192.168.1.5 アクセスができなか った。ActiveX がどうも影響しているようだった。A-Gate は ActiveX に対応するとは書 いてない。他の SSL-VPN 装置は ActiveX 対応と書いてあるのもある。ActiveX って一体 なんなんだ。"A-Gate Central VPN" ではカメラにアクセスできるので、まあいいが。 * NetScreen なしでテストする場合 モデムへ 海外側の方、NetScreen は設置せずにバリアセ --------------------|----- グメントだけでテストするというのもある。ル | LAN1 LAN2 |LAN3| −タの RTX1000に、パソコンやカメラを直接接 |1□2□3□4□ □ □ | RTX1000 続するのである。LAN1 の1,2,3,4 は 1 の定義 --|----------------------- により 192.168.50.24/29 ネットワ−クになっ ―――――――― ている。あえてここで NetScreenをかましたの ------------------|------- は、実際のネットワ−ク接続にできるだけ近く | LAN□ □ □WAN | NetScreen したかったからである。実際には5万円程度の --------------------------- ル−タでこのようなネットワ−ク構成をとる。 * 手を動かすので反応チェック 海外側のパソコンから日本側のカメラを見ると遅かった。PC2 からカメラP5へアクセスす ると映像が出るのが遅い。30秒ぐらい経たないと反応してこなかった。反対のPC1 から カメラ P1 へのアクセスはそこそこで、手をゆっくり動かして何とか追従してきた。カメ ラの設定がどこか違っているのか。それとも、そもそも丸型のカメラとぺちゃっとしたカ メラは性能が違うのか。あるいは ADSL の上がり/下りの速度の差が出ているのか。はた また SSL-VPN 装置や NetScreen が何か影響しているのか。双方、パソコンから相手ル− タなどに ping を打った。両方ともだいたい 70 から 110 ms ぐらいだった。カメラの設 定で [Easy mode] を "低画質/標準/高画質" と変えても、そうは変わらなかった カメラが使用するパケットは HTTP。PC2からカメラP5へのトラフィックは、日本 -> 海外 への HTTP パケットがほとんど。日本側から見れば "上がり" のパケットである。ADSLは "下り" が速くて "上がり" は遅い。 通常では社内からはホ−ムペ−ジを見ているのがほ とんどで、"下り" のパケットがほとんどである。"上がり" 方向は外にメ−ルを大量に送 っているとか。FTP はほとんど使われていないから関係ないし。どうも A-Gate をかまし たから遅くなる、そんなことはないようである。NetScreen も関係ないと思う。カメラを 見る時によって映像が出て来る時間が異なる。ある時は30秒ぐらいかかるのが、1秒ぐ らいの時もある。どうも日本側の内部のネットワ−クの混み具合のようである。 * ネットワ−クカメラの実戦配備 勘違いしていた。カメラの消費する帯域は 300 Kbps ぐらいと思っていた。カメラ P1 で 160 KBytes と以前調べた際に記録していた。ご丁寧にも 160KBytes(1280Kbps) と自分で 書いているではないか。つまり1メガビ−ピ−エスだ。こりゃ帯域を減らすよう調整しな ければならない。それで、この実験ネットワ−クで、いろいろカメラのパラメ−タを変え てやってみた。カメラの利用速度は "*** 10 fps で 384 kbs でどうか ***"。 MPEG4、フレ−ムレ−ト 10 fps、ビットレ−ト 384 kbs。自動レ−ト制御オフ。これでそ こそこ見える。512 kbps にするとかなりスム−ズに見える。カメラは SNC-P1タイプでい い。改めてソニ−のネットワ−クカメラを調べたけど、新しい製品は出てなかった。球形 の SNC-P5 はお勧めしない。カメラの目が動くのはプライバシ−が侵害されるような気が する。目を動かすのは結構難しいし。カメラを手に取ると、勝手に目は動くみたいだし。 海外側のカメラは、ここでの例では仮想IPアドレスで設置しているが、実IPアドレス で外に設置するのがいいのでないか。ここでの例では 192.168.50.24 に直接、 設置する のである。カメラにセキュリティホ−ルがもしあると、カメラを踏台にして海外側の内部 ネットワ−クが攻撃される可能性がある。その場合は A-Gate 経由で本社の内部ネットワ −クも危険に晒されるのだが。カメラ自体のセキュリティはパスワ−ドによる。 映像の遅延がかなりばらつきがある。敏感に他のトラフィックに影響されるみたいである。 これではちょっといかんですな−。LinkProof を使って、カメラの HTTP パケットはもう 1本の回線、今遊んでいる IIJ 側を通すようにする。それをやる前に LinkProof のファ −ムウェアのアップをやって、おかしな挙動がないか確認しないといけない。微妙な挙動 だけにこの確認はやっかいである。確か Windows Update だったか。 * ネットワ−クカメラのトラブル カメラP5 のとこに P1 と置き換えた。どうも挙動がおかしくなった。カメラP5 にアクセ スしようとすると時間切れみたいになり、下のエラ−のメニュ−画面が出てくる。A-Gate が P5 のMACアドレスでも覚えてしまったのか。こんなんが出たら、パソコンを再起動 しても、NetScreen の電源を入れ直しても同じエラ−が出て来る。こういう時は食事に行 くなり、お茶にするなりした方がいい。しばらくすれば、多分30分ぐらいで元に戻って できるようになる。もう一つ、カメラの設定値を変えようとして認証画面が出てくる際に もおかしくなった。アカウントを受け付けないような挙動になる。パスワ−ドがどこがで 変えられてしまったのかと思った。これもしばらく待つこと。 ---------------------------------------------------- | General error: Error code: 0x2000000e. | パソコンは Windows 2000 |(×) To continue press OK,to restart press CANCEL.| | | | [ OK ][キャンセル] | ---------------------------------------------------- * NetScreen の設定 *** できるだけシンプルに *** Network -> [Policy] -> [Incoming] ------------------------------------------------------------------------ | http://192.168.1.12 |----------------------------------------------------------------------- | __________ __________ _______ _________ | / Incoming \_/ Outgoing \_/ ToDMZ \_/ FromDMZ \_____________________________ | |  ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ | | | ----------------------------------------------------------------------- | | | |ID| Source | Destination |Service|NAT|Action|Option|Configure| | | | |--|-----------|------------------|-------|---|------|------|---------| | | | | 1|Outside Any|MIP(192.168.50.27)| HTTP |N/A| 〆 | | Edit/.. | | | | ----------------------------------------------------------------------- | | | | |  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ Network -> [Policy] -> [Outgoing] ------------------------------------------------------------------------ | __________ __________ _______ _________ | / Incoming \_/ Outgoing \_/ ToDMZ \_/ FromDMZ \_____________________ | | ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ | | | --------------------------------------------------------------- | | | |ID| Source |Destination|Service|NAT|Action|Option|Configure| | | | |--|----------|-----------|-------|---|------|------|---------| | | | | 1|Inside Any|Outside Any| ANY | 〆| 〆 | | Edit/.. | | | | --------------------------------------------------------------- | System -> [Interface] _________ ___________ _____ / Trusted \_/ Untrusted \_/ DMZ \__________________ |  ̄ ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ | ----------------------------------------------------------------------------- | | Name | IP | Netmask| Gateway | Managed IP |BW|Mode|Link|Configure| | |-------|------------|--------|---------|------------|--|----|----|---------| | | trust |192.168.1.12|255.255 | 0.0.0.0 |192.168.1.12| 0| NAT| Up | Edit/.. | | | | | .255.0| | | | | | | | ----------------------------------------------------------------------------- _________ ___________ _____ / Trusted \_/ Untrusted \_/ DMZ \__________________ | ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ | ----------------------------------------------------------------------------- | | Name | IP | Netmask | Gateway |Managed IP|BW|Link| Configure | | |-------|----------|-----------|----------|----------|--|----|--------------| | |untrust|192.168.50|255.255.255|192.168.50| 0.0.0.0 | 0| Up | |Mapped IP| | | | .26| .248| .25| | | |Edit|---------| | | | | | | | | | |DynamicIP| | ----------------------------------------------------------------------------- Mapped IP の設定は Mapped IP: 192.168.50.27, Host IP: 192.168.1.14。 Netmask: 255.255.255.255 として1個だけのホストであることを明示する。 * おまけ 海外駐在の男がノ−トPCを持って、1週間程日本に帰ってきた。パソコンはWindows XP の英語OS搭載。故障などの対応を考慮してパソコンは現地で購入したとのこと。これに A-Gate のソフトをインスト−ルして、セグメントAにパソコンをつなぎ、A-Gate 経由で IEの6でカメラにアクセスした。そしたら映像が出ずに、画面左上の方に "□ ActiveX control install" というようなのが出てきた。チェックしたら ActiveX がインスト−ル されてすぐに映像が出てきた。 Windows XP は小生、あまり触ったことがないので、でき る若手にやってもらったのだが。IEでどこか見ようとすると DSL何たらと画面がでてき て、xDSL 接続しようとする。どうもそういう風に設定しているようだ。 小生がちょっと パソコンを教えた人のところで、しばらくぶりにお邪魔したら Windows XP で ADSL 回線 にしていた。やはりその時もそんな感じで ADSL にアクセスしていた。 (3) 次の SSL-VPN 装置導入の検討 `27/04〜 -------------------------------------------------------------------------------- FirePass にするか BlueCoat にするか。気持ちとしては BlueCoat に傾いている。キャッ シュサ−バ、WAFS、SSL-VPN 装置はできれば同じメ−カの製品で取り揃えたいのだが。 -------------------------------------------------------------------------------- * A-Gate の次は何にする A-Gate の使用状況はどうか。ややアクセスが遅いということ以外、 皆さん機嫌よく使っ ているみたいである。A-Gate AG-50,60,600 は2005年9月末に販売終了、2007年 末で保守も終了した。A-Gate の AEP 社がどこぞの企業を買収して、新しい SSL-VPN製品 SGA を出したことにより、これまでの製品から買い替えキャンペ−ンをやっていた。しか し SGA は CAPTCHA 機能なし、クライアントPC特定機能なしで、前の製品に較べセキュ リティ的に劣ると判断し買い替えしなかった。SSL-VPN 装置を次は何にするか、検討を始 めないといけない。ハ−ドディスクを内臓してないので、にわかに壊れることはないと思 う。保守は切れるが、動く内はずっと使っても問題はない。特に急いで新しい製品を買う 必要はない。選択の決め手は A-Gate と同等の認証ができるかどうかである。これから買 う製品は Windows Vista にも対応している事も必要だと思う。A-Gate は IE7 とWindows Vista には対応してない。Windows 2000 と XP の対応までである。 * A-Gate もう一度調べてみた 住商情報システム(株)は AEP Networks 社と代理点契約を満了と言うことで、製品の取扱 いを終了した。`27/10調べてみたが、扱っているところは住商情報しかなかった。 AG-50 などの次に出た A-Gate SGA/NSP シリ−ズは引き続き保守は継続、しかしこれも販売終了 した `28/04 確認。このシリ−ズにはハ−ドディスクがある。クライアント用のセキュリ ティには、セキュアデスクトップ機能、キャッシュクリ−ナ−機能、ホストインテグリテ ィ機能(順次対応予定)。セキュアデスクトップ機能はキャッシュの全消去。ホストインテ グリティ機能はパソコンのウィルスチェック・ソフトのインスト−ルやOSバ−ジョンな どをチェックする。TUNNEL機能 Active-X ベ−ス、PPP over SSL。OpenSSL や公的機関で 発行されたクライアント電子証明書対応。自己署名サ−バ証明書発行機能。登録ユ−ザ数 は制限なし、ただし同時ユ−ザ数はある。Sun JDK/JRE 1.4 以上必要。Windows Terminal Server, Telnet, X-Window, Citrix Metaframe 対応。 A-Gate SGA/NSPは Windows 2000/XP 対応。SGA-25 同時25ユ−ザ、134万円。SGA-50 同時 50ユ−ザ、187万円。NSP 同時250ユ−ザ、344万円。これら `25/09/01 出荷開始。住商情 報システム(株) からのアナウンス `26/02/13、新ファ−ムウェア Ver.5.2.2 の提供開始、 CMID(クライアント端末特定機能)搭載、`26/02/15 出荷分より提供。CMID はA-Gate が提 供する Javaアプレットにより、MACアドレス、CPUクロック数、メモリ−サイズ、ハ− ドディスク容量、Windows OSのバ−ジョンなどを組み合わせて認証する。このクライア ント端末特定機能って、AG-60 と同等なものだったのだろうか。日本のベンチャ−企業が 特許を取得していて、同じ機能は使えないはずらしい?、定かではないが。 `28/04、SGA を丸紅情報システム(株)が扱っているのを知ったhttp://www.marubeni-svs.com/sec/aep/。 "AEP Networks 製品標準価格表 2007年10月18日現在"、数ペ−ジしかない。幾つかの項目 に別れて価格がでていた。もう1社、ベンチャ−で扱っている会社があった。 * FirePass はどうか FirePass 1200シリ−ズと 4100シリ−ズ がある。 1200シリ−ズは1Uで 428Wx44Hx360D、 10/100Mbps 2ポ−ト。4100シリ−ズは2Uで445Wx89Hx622D、10/100/1000Mbps 4ポ−ト。 同時接続数は一度期にアクセスできる最大の接続数である、FirePass 1210 は25同時接 続で26番目のアクセスはできないということ。1200シリ−ズの最大同時接続数は100 で、ライセンスを購入すれば25以上100までできる訳である。装置の中身はシリ−ズ で同じ、ライセンス数が異なるのみである。冗長化するための専用装置がある、Failover Controller といって、1200シリ−ズ用と 4100シリ−ズ用がある。 Failover Controller 装置は 4100シリ−ズをアクティブに 1200シリ−ズをスタンバイというのはダメ、同じシ リ−ズであること。Load Balancer がなくても、専用装置でフェ−ルオ−バ構成が採れる。 4100 は SSLアクセラレ−タを搭載、1200 は搭載不可。Windows Vista 対応、IE7 対応。 安全性は検疫機能、プロテクテッド・ワ−クスペ−スで情報漏洩防止、IPパケットのイ ンタ−ネットへの制限、バ−チャルキ−ボ−ドでキ−ロガ−に対処できパスワ−ド入力が 安全。"ネットワ−クアクセス" はそのままメ−ルソフトや FTPソフトが使える。"ポ−タ ルアクセス" はブラウザさえあればOKで、メ−ルサ−バやファイルサ−バへのアクセス は HTML 化して表示してくれる。"ネットワ−クアクセス"は一番利用が多い形態で、トラ ブルもほとんどない。開始は Active-X コントロ−ルが起動して SSL-VPNのトンネルが確 立する。Active-X は Administrator 権限でなくて Power User で、あらかじめインスト −ルしておくこともできるし、その都度ダウンロ−ドして来ても使うことができる。と説 明を聞いたと思うが、要確認。 あらかじめパソコンにインスト−ルしておく VPN Client。 スタティックトンネル、ダイナミック App トンネルというのもある。これも要確認。 * Juniper はどうか Juniper の Secure Access シリ−ズ。Juniper SA という。v5.4R `27/02出荷。Neoteris Secure Access が前の製品。同時接続ユ−ザ数 25〜100 SA 2000、1U。SSL 処理はソフ トウェア。値段がよく分からない。探したらアライドテレシスのサイトもしくはパソコン ショップに置いてあった総合カタログに詳しく出ていた。SA 2000 用で、ベ−シック48 万円、同時25ユ−ザ85万円、Advanced オプション57万円、SAM/NC オプション57 万円。Advanced はよい子では必要。SAM/NC もないと困る、普通に Outlookなどソフトを 使いたいとなるとこのオプションも必要である。 それで SA 2000 の計は247万円にな る。SA 4000 はどうだ、1U、同時接続ユ−ザ数 50〜1000、SSL処理はソフトウェアだが、 オプションでハ−ドウェアにできる。基本133、100ユ−ザ 285、SAM/NC 76、Advanced 95、SSLアクラレ−ション 28。計617万円。SA 2000/4000 は i-mode 対応。 Advanced オプションはSVW( Secure Virtual Workspace )仮想デスクトップを提供、認証 UIの完全カスタマイズ、シングルサインオンなどの機能。SVW は一時的にシンクライア ント化する機能で、保存、印刷、外部媒体の使用など強制的に禁止にできる。社内端末に おける情報漏洩対策にも活用できる。SVW 利用はパソコンに専用アプリケ−ションを入れ る必要がある。利用方法は3種類、標準のリバ−スプロキシ方式はコアウェブアクセスと いってブラウザの中で利用する。SAM( Secure Application Manager ) はポ−トフォワ− ディング方式。NC( Network Connect )は SSL トンネリング方式。Outlook などソフトを 使うには NC でいいみたい。ホストチェッカ−機能あり。ユ−ザ認証は各種あり。携帯電 話によるコ−ルバック認証の SecureCall、ワンタイムパスワ−ド認証のWisePoint、LDAP または Active Directory, RSA Secure ID, デジタルID, SecureMatrix, RegistGate。 * BlueCoat RA シリ−ズはどうか これが SSL-VPN装置だとはなかなか気付きにくい。他の製品とはちょっと違うみたい。特 許出願中の Connector テクノロジ−により次世代の SSL VPN を実現とうたう。FirePass との比較資料をみると、なかなかいいのでないか。パソコンにはクライアント用のソフト はいらない、どういうこと?。パソコンの Registry の変更もない。アドミン権限がなく てもインスト−ルできて使える。クライアント用のソフトがいらないのだったら、インス ト−ルもへちまも関係ないのでないか。単一モ−ドで利用できる。 FirePass だと3つの アクセスモ−ドがある、A-Gate でも幾つかのモ−ドがあった。 VPNクライアント・ソ フトウェアは使用しない。BlueCoat Connector の機能は情報利用の制御で、 印刷や保存 などの禁止、画面プリント&キャプチャ−の禁止である。マルウェア対策、情報盗難対策、 情報漏洩対策はマルウェアプロテクション機能。スパイウェアのブロック。アプリケ−シ ョンブラックリスト、特定アプリケ−ションのブロック。どういうこと?。 ホストチェック機能はカスタマイズできて、特定ファイルの存在、プロセスの状態などを チェックすることができる。ホストインテグリティ・チェックという。ブラウザのキャッ シュ、一時ファイル、Cookie 情報を暗号化し、 SSL-VPN セッション終了時に全てセッシ ョン情報を抹消する。ロッグイン前とその後でキ−ロガ−を検出して防御する。ユ−ザ認 証は Active Directory, LDAP/LDAPS, RADIUS, RSA SecurID, TACACS+。 RA510 と RA810 のモデルがある、1Uサイズ。`26/08 発売になっている。 RA510-A ハ−ドウェアの価格 が約81万円、RA810-A が約162万円、これらは BlueCoat のホ−ムペ−ジに出ていた。 ライセンス料金は出てない、販社に問い合わせされたしとのこと。営業マンに聞いたとこ ろ他メ−カの製品よりも安いと言っていた。パソコンは Windows 2000/XP対応、Internet Explorer 6( ActiveX または Java対応 )。製品名が紛らわしく腹になかなか入らない。 * UNIVERGE SecureBranch はどうか `28/02 NEC製、http://www.nec.co.jp/sbranch/。ユ−ザ認証の仕組みが特殊である。 メ−ル を利用した認証方式。Ethernet over SSL というプロトコルを使用している、SSL-VPN や IPSec より軽いという。レイヤ2のイ−サネット・フレ−ムを SSLでカプセル化したもの と説明している。発売から2年で納入実績が約30台。NECは SSL-VPN の SAFEBORDER というアプライアンス製品もあるが、今は SecureBranchを推しているとのこと。 「日経 コミュニケ−ション」2007/12/01, P.80〜81 の記事によれば、 インタ−ネット接続を含 めて、社内外のあらゆる情報のやりとりを必ず SecureBranch を経由させることでセキュ リティを高める仕組みと説明している。 SecureBranch はDMZにでなく内部ネットワ− クに設置する。 コ−ルバック接続で SecureBranch の方からパソコンに HTTPS で接続し にいく。証明書交換方式で端末認証を行なう。 先ずは SecureBranch に利用するパソコンを登録する、その際にIDが振られる。パソコ ンのMACアドレスも含めてクライアント用のデジタルIDが作成されて、パソコンのブ ラウザに入ておく。パソコンには AccessManager という専用ソフトを入れておく。 外出 の際はこのソフトから SecureBranch にメ−ルを送る、SecureBranch が POP3でメ−ルを 社内メ−ルサ−バに取りに行き、装置の方からパソコンに接続しに行く。だいたい30秒 以内で接続するという。このメ−ルアドレスは1つで装置に対してのである、メ−ルの内 容でどのパソコンからか判断する。ホテルなどから使う場合は、中継サ−バが必要とのこ と、NAT越えの問題か?。中継サ−バはアプライアンス(1U,140万円)を買うかASP のグロ−バルコネクションサ−ビスというのを利用する。AccessManager はファイアウォ −ル機能が入っていて、外にいる時でもインタ−ネットへは SecureBranch を必ず通す。 * その他のメ−カはどうか SonicWALL の製品 > かなり後発。前に SSL-VPN 装置を買った時期には無かった。SSL-VPN 2000、548,000円。 無制限ライセンス。100ユ−ザ程度の利用。別売りの NetExtenderをインスト−ルす ると、Active-X コントロ−ルで全て TCP/IP プロトコルが、SSL-VPNで利用できるよう になる。ファイアウォ−ルの SonicWALL で、あまりいい印象は正直もっていない。 Citrix Access Gateway > ホストチェック機能はファイルはフルパス、作成日、チェックサム(オプション)、プロ セス、ファイル、レジストリの規則。これらの組み合わせでチェックする。パススル− 認証、Windows のログオン情報を装置に転送してそのまま利用できる。なぜ Citrix が SSL-VPN 装置を手がけるのか。Citrix のシン・クライアントと相性がいいとか?。 NeoAccel SSL VPN-Plus > TCBテクノロジ−(株)、http://www.tcbtech.co.jp/。 パフォ−マンスがいいとのこ と、アプライアンスではなくソフトウェアである。50同時ユ−ザアクセス約120万 円。「Software Design」2007/06,P.80〜,"特集VPN徹底攻略 OpenVPN によるVPN ネットワ−ク構築のサ−バ編。「Software Design」2005/05,P.60 にも紹介あり。 Cisco VPN3000 シリ−ズ > `27/08 に発売 IPSec, PPTP, L2TP に準拠したVPN専用機。IPSec でのやり方はいい らしい。でも SSL-VPN はちょっとどうかなというのがあるらしい。 最初から SSL-VPN 機能は入っていたのか。とりあえず SSL-VPN 装置としては、 よい子では外すことにし ておく。Cisco のホ−ムペ−ジに本製品は生産/販売を終了とかいてあった `28/04。 その他アプライアンス > アレイ・ネットワ−クス社の Array SPX、処理性能が優れているとのこと。テクマトリ ックス社扱いの Aventail EX シリ−ズ、1997年に世界で初めて SSL-VPN 製品を発 売したパイオニアとのこと、「UNIX MAGAZINE」`25/07, P.20〜22, "SSL-VPN 技術の動 向" に Aventail ASAP 8.5 の記事あり。ノキア社の中・大規模向け Nokia 60s, 100s。 * 参考 「NETWORK MAGAZINE」2005/11, P.130〜135, "主要5社製品の特徴とポイントを紹介! > SSL-VPN 機器徹底対決"。 アベンテイル EX-1500、FirePass 4110、NetScreen SA 4000、 Connectra 2000 など紹介。機能に大きな差がない SSL-VPN アプライアンス。FirePass については「NETWORK MAGAZINE」2004/04 にも記事が載っていた。 http://www.juniper.net/jp/jp/ Juniper 社のホ−ムペ−ジ。 > 何か変な動きをするホ−ムペ−ジだ。とても見にくい。セミナ−の案内なし。代理店に 販売は任せているのか。買収の経緯、Neoteris 社の SSL-VPN製品を NetScreen 社が買 収した。さらに NetScreen 社自体を Juniper Networks 社が買収した。 (4) 次の SSL-VPN 装置は何にしたか `28/01 * とりあえずどれか一つを選んでみる 2006年、2007年の雑誌で SSL-VPN 装置を特集した記事がない。 いかん、候補を 絞り切れない。さてどれにするか。BlueCoat、FirePass、Juniper の3っつの中から選べ ばいいと思うが。貸し出しで2週間ばかりテストしても、テストの取りつきぐらいしか機 能確認できない。`28/01 エンド、SecureBranch の記事をみたら、ずばり自分の考えてい る使い方が出ていた。外出してノ−トパソコンを使っている時でも、インタ−ネットにア クセスするのは、会社においた SSL-VPN 装置を経由させるという話である。 実際に話を 聞いてみた、使うパソコンから SSL-VPN 装置にメ−ルを送り、 SSL-VPN の方からパソコ ンに接続に行くという特異な仕組みになっていた。メ−ルのリアルタイムの配送があって こそ成り立つ仕組みであって、昨今の迷惑メ−ル対策のアプライアンスなどを導入したら そんな即時性はどうなるか分からない。あまり面白い仕組みとはいえない。 とりあえず FirePass を買ってみるか。FirePass はちょっとばかり高い。Juniperも値段 は似たようなものか。BlueCoat は安いと聞いた。FirePass と Juniperは仕様はほとんど 同じようにみえる。どちらを選んでも遜色ないような気がする。SI業者が扱いの多いの は FirePass みたいである。Juniper を扱っていたところも、今年からは FirePass に力 を入れると話していた。 しかし FirePass も Juniper も何遍資料を見ても頭に入らない。 幾つもモ−ドがあるのが分かりにくくしている。しかし A-Gate でも確か3通りモ−ドが あるのだが。その点 BlueCoat は1つしかモ−ドがなくて、何となく分かりやすい。価格 がネットに出てないのが難点だ、安いと言っても実際なんぼなのか。それに SSL-VPNでは ほとんど名前が挙がらないのはいささか。 A-Gate のように保守が早々に打ち切られては 困るし。無難なとこではやはり FirePass か、懇意にしているSI業者でも使っているし。 一番下位のモデル FirePass 1205を選ぶことにする。標準同時接続数10、約153万円。 DMZに置く A-Gate の代わりとしての設置と、社内ネットに置くユニバ−サル・アクセ スとしての設置。この2つの検討をこれで行なってみる。選定条件は A-Gate と同等な安 全性を確保すること、外から内へアクセスするという危険性を伴う接続であって、単純な パスワ−ド認証で済まされるはずもない。ROUD/RegistGate によるパソコンの個体認証が 可能な SSL-VPN ということでは FirePass と Juniper であり、BlueCoatは対応してない。 この検討の過程でつい2008年3月、ソフトイ−サ(株)の "PacketiX Desktop VPN" ソ フトが浮かび上がって来た。SSL-VPN を利用した外から内部のパソコンに安全にリモ−ト アクセスする手段である。どうやらここら辺りの組み合わせで外部でのセキュアなネット ワ−ク環境が構築できそうである。しかし実際試してみないとまだまだよく分からない。 それで先ずは現行 SSL-VPN装置が保守が昨年末に切れている、壊れたら替えがない、だか ら速やかに代替機を用意すること。FirePass 1205 を買ってその用意をする。その次にユ ニバ−サル・アクセスの検討をする。できれば両方満足できればいいが、そうでなけばま た考えなければならない。 他のメ−カの SSL-VPN を改めて購入し検討することにしよう。 今後のネットワ−クを占う重要なポイントである。慎重に事は進めないと。多少の無駄が 生じてもここは仕方ない。詳細な検討は "19-5. ユニバ−サル・アクセスの設計" で行な う。もし FirePass でいいとなれば 1205 はライセンス数を上げて25同時ユ−ザにしよ う。ユニバ−サル用にはモデル 4110 を新たに購入する、調べた価格は615万円。2つ の SSL-VPN装置は、これからの文書ファイルアクセスの要となるものだ、予備機も必要だ ろう。かなりの投資になる。社内のコンセンスもある。にわかには進まない。 * SSL-VPN 製品の比較 あまりこんなように表を作って、あれができないこれができると比較検討することはない のだが、選択する決め手がないので、とりあえず表を作ってみることにした。BlueCoatの 製品はプロキシ/キャッシュサ−バも SSL-VPN装置も、同じメ−カ製の物の方が相性がい いかも知れないという期待から候補に残した。 `28/04 半ば説明を聞くチャンスがあった。 BlueCoat の SSL-VPN は、パソコンには毎回、装置からソフトをダウンロ−ドしてくるよ うになっている。パソコンにあらかじめソフトをイント−ルしておくというのはできない。 ホストインテグリティチェック機能、これは A-Gate のチェックに似てはいるが、装置に はパソコンの固有情報を蓄えてはいない、登録なんかしない。装置からこれこれこういう のはパソコンにファイルがあるかとか、バ−ジョンだとか問い合わせる。つまり問い合わ せに合致したものであれば、OKとなる仕組みである。A-Gate、RegitGate、ROUD のパソ コンの端末認証とはやはりセキュリティ強度が違うと思う。 | FirePass | Juniper | BlueCoat --------------|-----------|-----------|--------------- Windows 2000 | ○ | ○ | ○ Windows XP | ○ | ○ | ○ Windows Vista | ○ | ○ | × 方式 | 3つ | 3つ | 1つ << 設置場所はDMZ。 Host Checker | ○ | ○ | ○ Client ID | ○ | ○ | ? << クライアント用デジ RegistGate | ○ | ○ | × タルID。 --------------|-----------|-----------|--------------- 値段 同時10 | 153(1205) | | 値段 同時25 | 219(1210) | 247(2000) | 81+?(RA510-A) 値段 同時50 | 296(1220) | | 81+?(RA510-A) 値段 同時100 | 615(4110) | 617(4000) | 162+?(RA810-A) FirePass のオプション。モバイルアクセス Mobile Adapter、PDAや携帯電話の画面で 見てメ−ルやWeb操作ができる、4100は搭載。1200はオプションで65万円。メ−ルの 本文を自動整形して小さな画面でも見やすくする。これができるのは FirePass だけか。 FirePass のオプション。レガシ−ホストは telnet や VT100 や SSHの操作をWebブラ ウザでできるようにする、65万円。別にコマンドのままで telnet でも使える訳で、特 に必要とは思えない。こんなのをオプションにするなよ。 FirePass の認証連携ソリュ−ション。たくさんの認証方法が採れる。 今まで知らなかっ た個体認証の製品もあった。ワンタイムパスワ−ド6種類、デジタル証明書5種類、デバ イス特定認証3種類、二要素認証1つ、生体認証2つ。 デバイス特定認証の RegistGate ソフトかこれをアプライアンスにした ROUD。 BlueCoat の製品はハ−ドウェアの価格だけが社のホ−ムペ−ジにでている。Google でど こかに値段が出てないか見たけど、全然なかった。RA510-A で同時25の値段が製品発表で 140万円からと出ていたのみである、 ホストチェッカ−はクライアントの起動プロセス、ファイルの有無、レジトリの内容でア クセスを許可、拒否ができる。そのパソコンにファイアウォ−ルのソフトが入っているか、 ウィルスチェックソフトのパタ−ンファイルが最新になっているか、パソコンの状態をチ ェックする。安全な状態にあると判断されたら SSL-VPN 接続を許す。 BlueCoat 社の SSL-VPN は BlueCoat RA という。 パ−ミオ・テクノロ−ジ社の技術を買 収した。この会社はアメリカNECの人がスピンアウトして作った。 BlueCoat 社の製品 は他に、URLフィルタの BlueCoat WebFilter、WANアクセラレ−タ MACH5 がある。 BlueCoat の SSL-VPN にはリモ−トアクセス向けの Windows用ソフト RA Connector があ る。パソコンにセキュリティパッチが当たっているか、ウィルスチェックソフトのバ−ジ ョンが幾つだとか調べる。これによりパソコンの SSL-VPN 接続を制限する。 FirePass のデスクトップアクセス。外から社内のパソコンにアクセスできる。A-Gate で もできたのでないか、でも Windows XP だけだったような、試したことない。この機能は 例えば Symantec の pcAnywhere と同じようなことができる、そう思っているのだが。 FirePass の同時接続数は資料では標準同時接続数と書いてある。 紛らわしい表現で、こ れは一度期にアクセスできるパソコンの最大の接続数である、FirePass 1210 は25標準 同時接続で、26番目のアクセスはできない。他の装置はどういう扱いなのか。 * その他いろいろ SSL-VPN のユ−ザ認証は、ペンティオ(株)の PKIを使った事例が多いようだ。でもかなり 費用はかかる模様。社内ユ−ザ全員に適用するとデジタルIDの費用だけで300万円以 上かかってしまう。ワンタイムパスワ−ドも使うところが多いようだ。どうもただのパス ワ−ドで使っているところも多いみたいな気がする。ワンタイムと半々ぐらいかも。 SSL-VPN 装置がパソコンのブラウザ用に、クライアント用デジタルIDを発行するのはど のメ−カの製品でも同じこと。この発行がきちんとコントロ−ルできれば、いいのでない か。いや、クライアント用デジタルIDがないのもある、サ−バのデジタルIDだけ使う。 インタ−ネットカフェのパソコンでも使えてしまう。それはまずい。 普段つきあいのあるSI業者さんが扱っているかどうか。いろんな装置をいろんな会社か らバラバラに買ったんではいかん。会社の購買、資材調達部門としては少しでも安いとこ ろから買いたい、それが仕事なのだが、我々としては自社のシステムを理解してくれて適 切な製品を勧めてくれるSI業者が必要なのである。 "Security Solution 2007"、`27/10/24〜26 にも行ってきました。展示はこじんまりして いた。SSL-VPN製品を見にいったのだが、結局 Juniper のが置いてあるだけだった。他の 製品は見当たらなかった。セミナ−を聞きに行った方がよかったかも。これまで展示会で はセミナ−は聞いたことがない。セミナ−は別な場所でやるので、移動するのがもう大変。 * いっそ外のサ−ビスを使うか KDDI IP-VPN にも SSL-VPNのメニュ−があるが、料金はかなり高い。利用している会社な どは殆どないとか、業者もあまり勧めていない模様。 `24/07 に Juniper で SSL-VPN GW サ−ビスを開始、25同時ユ−ザ接続が月額30万円と足周り15万円と固定パスワ−ド 500円xID数。ワンタイムパスワ−ドの利用メニュ−もある。インタ−ネットは通るので、 設置運用の手間は省けるが安全性は変わりない。閉域ネットワ−クの網上にアクセス・ポ イントがあってネットワ−ク的に安全かと思ったが違った。 パワ−ドコムは2004年4月から新しい広域イ−サネットのサ−ビスを始める。MAC アドレスをネットワ−クの網の入り口のMACアドレスでラッピングする。EoE(Ethernet over Ethernet )という。信頼性も専用線なみにアップしたという。 2003年11月か らは SSL-VPN サ−ビスも始めた。同時50人アクセスの Access 1010 は、保守含むレン タルで月約20万円。パワ−ドコムは KDDI に買収されて、このサ−ビスはどうなった?。 NTTコミュニケ−ションズの SSL-VPN サ−ビス、Secure Smart Access、2003/11 開始。 NTTコムの iDC での冗長化インタ−ネット接続サ−ビス、Secure Smart Gateway の利 用が前提。初期10万円。月料金はID数による、100個のIDだと1個当たり 1,200 円。オプションでト−クン型/乱数表型・ワンタイムパスワ−ド、ソフトタイプ/USB キ−タイプ・クライアント証明書。http://www.secure-smart-gateway.com/。 AT&Tグロ−バル・サ−ビス(AT&T GNS)の SSL-VPNマネ−ジド・サ−ビス。2005/01/31 発表。Aventail SA-1000 で最低ユ−ザ数の250の場合、初期約127万円。月約29万円 から、WWWとファイルサ−バにアクセスできる。メ−ルソフトを使うとかはオプション で、これも含めると月70万円位になる。装置はファイアウォ−ルと並列におく、しかも 冗長化構成がデフォルトで2台おく。それに RADIUS か LDAP 認証サ−バを用意すること。 * 参考 "F5ネットワ−クス FirePass シュリュ−ションセミナ−"、東京 `26/10/11。内部統制 を達成するセキュアなアクセスとは、〜リモ−トでもLANでも共通のユニバ−サル・ア クセスを実現〜。行ってはいないが、ユニバ−サル・アクセスという文字が目に止まった。 NET&COM 2007 専門セミナ−, "あなたのPCを一時的にシンクライアント化!? SSL-VPN を使った新・情報漏えい対策手法"。 ジュニパ−ネットワ−クスとマクニカネットワ−ク スによるセミナ−。`27/10 に手元に一杯あるカタログを見ていて。 (5) SSL-VPN 装置 FirePass の設置 `28/08〜 * 新旧の SSL-VPN 装置 いきなりこれまでの SSL-VPN装置 A-Gate の利用はやめない。緩やかな移行ができるよう に考える。営業さんなどが使っているノ−トパソコンに A-Gate の設定を行なった。でき れば新しい SSL-VPN装置を使う方がより便利だよということで誘導していきたい。ともか く A-Gate は保守が切れてしまっていて、 壊れたら代えがないので SSL-VPN 利用してい るパソコンに、代えの SSL-VPN装置の設定もしておく。いつでも切り替えることができる ようにする。そのため先ずは代えの装置を設置することが第一義である。作業はSI業者 さんにやってもらうことにする。細かな検討をするのはその後でよい。急ぐ時は急ぐ。そ れで結局、購入したのは FirePass 1205 でなく 1210 にした。基本的には今のSSL-VPN装 置の置き換え機だから、最初からそれなりの同時アクセス数を確保しておかなければなら ない。単なる置き換え機としてはテストするまでもなく、十分に利用に耐えると判断した。 同時アクセス数の少ない安いモデルを先ず選んで、テストして確認した上で同時アクセス 数を上げる。そんなことはめんどうだし、そこまで慎重になる必要はないと思った。 それで FirePass 1210 を設置した感想は。何となくもたついた感じがする。 すすっと接 続しない。パソコンの個体認証は A-Gate はそもそも装置内部でやってしまう、1台でで きる。FirePass は ROUD と連携してできる。片や1台で、片や2台が関わる。 ここら辺 りで利用開始時の様子が違ってくる。使い勝手が悪いとなれば、強いて新たな SSL-VPN装 置である FirePass を使うことはない。パソコンだけ ROUD に登録しておいて、いつでも FirePass を使える状態にしておけばいい。 やれることは A-Gate も FirePass も同じ事 である。FirePass は A-Gateと操作感をできるだけ似たようにしたいとSI業者に伝えた。 作業当日 A-Gate の様子を見せて、すぐに飲み込んでくれた。最初クライアント用のソフ トを使うやり方を設定していたようだが、ActiveX を使うやり方の方がいいだろうと設定 してくれた。ROUD も ActiveX が必要だったので、設定としてはそれがいいかなというこ とである。ROUD の方もエンジニアに同じ日に来てもらった。FirePass のエンジニアさん は ROUD 連携するのはこれが初めてのことだったが、すんなりできた。 A-Gate は保守は終了してしまったが特にまだ問題なく動く雰囲気である。A-Gate は画像 文字の CAPTCHA 認証がある。CAPTCHAのない FirePass ではどうしても認証強度は落ちる と言わざるを得ない。繋がってしまえば、できることは A-Gate も FirePass も同じ。よ って A-Gate をこのまま使い続けることにする。すぐさま FirePass に置き換えをすると なると、利用者へ変わるというお知らせ、教育もしないといけない。特に今 FirePass に 変えて利用者にはメリットはない、むしろもたついた操作感になり違和感を覚えることに なるだろう。一番の懸念はすぐ置き換えだと FirePass のいろいろな機能を試す時間がな くなってしまう。これはまずい。ユニバ−サル・アクセスのためのプロテクテッドワ−ク スペ−ス機能、リモ−ト・デスクトップ・アクセス機能、 ROUD の連携を使わずに指紋認 証を使う場合の設定とか。もし指紋認証の利用に違和感を覚えない雰囲気ができてくれば、 ここでの ROUD を外して社内での検疫ネットワ−クで使うことも検討できる。ネットワ− ク管理者は目の前のことだけでなく、様々なことを考えているのです。 * FirePass 1210 設定の事前準備 ROUD の説明資料には SSL-VPN と連携する場合は、外からアクセスする窓口は ROUD にな ると図示されている。ROUD に登録したパソコンでないと SSL-VPN が使えないという制限 を設けようとしているわけだから、確かにそういうことになる。 パソコンで SSL-VPN 操作するイメ−ジとしては先ずは SSL-VPN にアクセスして、そのア クセスしてきたパソコンが許可されたものかどうか、SSL-VPN から ROUD に尋ねに行くの が筋のような気がするのだが。そうではない。ROUD を利用する場合の仕様と納得すべし。 両装置とも事前にパラメ−タシ−トを埋める。これさえちゃんとしていれば、当日あまり 問題はないだろう。ROUDは教育も初期導入費用に含まれているが、分かる人なら5分で分 かる。そう何人も雁首そろえて教育ですと、プロジェクタ−でどうこうすることもない。 作業当日、基本的な設定を確認すること。イントラサ−バ、メ−ルサ−バ、ファイル共有 サ−バにアクセスできること。他にも幾つか社内サ−バが A-Gate に登録されていたがそ れはとりあえずパラメ−タシ−トには含めなかった。後で自分で追加してみる。 とりあえず実践配備ということで設定する。事前ヒアリングとかある。DMZに置くとい うことで。ファイアウォ−ルでパケットフィルタリングの設定もやって、もう1本の回線 の方を使って、外から SSL-VPN アクセスするのを確認してみる。 FirePass と ROUD で RADIUS のやりとりをする。暗号化鍵利用のため、 両者で同じおま じないのフレ−ズを設定する。DNSは両者とも見ない設定にした。必要なことはパソコ ンの hosts ファイルに記述する。syslog、NTP、SNMP、FTP などの設定もとりあえずなし。 ROUD の個体認証のための認証要素は推奨の HDD+CPU+拡張HDD にする。MACアドレスは 認証要素に含めないようにした。だいたい皆さんそうするとのこと。認証方法は標準の1 対1にした。注意点はハ−ドディスクを交換した際は ROUD への登録をし直すこと。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\インタ−ネット \______________________________/ : : ■ ◇ ◇ ◇ 仮想IP : | |.5 |.6 |.7 : ----------------------------------------- 202.241.128.x : | □A-Gate □FirePass □ROUD ■Router .2|.2 |.5 |.6 |.7 | FireWall-1□------------------------------ 192.168.2.0 △外からアクセスする △ |.2 □Mail- □Intra □ファイル パソコンで Windows | | |Store |Web |共有 2000用意。https:// ----------------------------------------- 192.168.1.0 roud.nix.co.jj/nix Windows XP .1 .8 .9 ROUD のテストするのも実際に実戦配備した状態でとなる。 外のパソコンからは SSL-VPN ではなく、最初には ROUD にアクセスする。そのため ROUD はDMZにおくしかなく、仮 想IPアドレスでもってパブリックIPアドレスを振っておかなければならない。そのた め FireWall-1 で FirePass と ROUD をホスト・オブジェクトして登録する。A-Gateと同 じく Mail-Store, Intra, ファイル共有に FirePass からアクセスできるようにル−ルを 設定する。FirePass と ROUDには社内からもアクセスできるようにル−ル設定をしておく。 社内のパソコンを社内に有る状態で ROUD に登録し、両方から ActiveXをダウンロ−ドす るためである。しかしたいがいの社内のパソコンはプロキシサ−バを通すようにしている ので、FireWall-1 にはオブジェクトとして作ってない。 作業するための、それぞれのセ グメントでの一時的なIPアドレスのオブジェクトを FireWall-1 に作るかである。 * FirePass 1210 設定の当日作業 実際の導入設定の様子である。デスクトップWindows 2000 1台とノ−トPC Windows XP 1台を用意した。Windows 2000 はパソコンのアカウントが分かり易いのでよかった。 XP の方は Active Directory のアカウント設定もしているので、自分にはまだ馴染みがなく 分かりにくい気がした。管理者での作業は Active Directory 参加でも問題なかった。 当日先ず FirePass 単体で動作確認をした。FirePassに利用ユ−ザをテスト的に一つ二つ 登録して社内リソ−スにアクセスできるかの確認である。一番基本の SSL-VPNアクセスで ある。これはすぐ終わった。次に用意したパソコンを ROUD に登録しアカウントも登録し てもらった。Windows 2000 と XP で ROUD + FirePass の動作確認をした。 各パソコンの設定は管理者権限で行なう。ROUDのみでユ−ザ登録とパソコンの登録はでき る、FirePass は関係しない。ROUD と FirePass は ActiveXを前あらかじめIEに入れる。 ActiveX をIEに入れるのは管理者権限が必要。パソコンのIEで操作はプロキシは無し にして行なうこと。パソコンのハ−ドウェア名、アカウントは大文字小文字を区別する。 利用パソコンには、例えば Windows 2000 では、 C:\WINNT\system32\drivers\etc\hosts ファイルに "202.241.128.6 fpas.nix.co.jj" と "202.241.128.7 roud.nix.co.jj" を記 述する。外からは https://roud.nix.co.jj/nix とアクセスする。SSL-VPN アクセス用の アイコンをパソコンの画面に出しておくと便利である。 いや便利というか hosts ファイルに、上記の2つを記述するのは必須である。 両方とも いる。https://202.241.128.7/nix とIPアドレスでアクセスしても、最終的にはブラウ ザでは https://fpas.nix.co.jj/my.activation.php3 にアクセスする。 ならば ROUD の URLの記述は hosts にはいらないように見えるが、記述が無いとアクセスできない。 管理者は ROUD の管理画面でユ−ザ登録をする。実際の利用のためパソコンのログオンの アカウントと同じのを記入する。しかし別にどんなのでも構わない。パソコンのIEから ROUD にアクセスして、パソコン端末認証の登録申請する際のログインで使われる。 ROUD ではパスワ−ドを同じにしてユ−ザを仮登録し、後からパスワ−ドを変えてもいい。 https://roud.nix.co.jj/nix にアクセスすると、 Web画面が出てサイズがころころ変 わる。これがもたついた感じがする原因である。まだあるか?。いっそWeb画面で何や らごそごそしているのを表示しないようにしたらどうか。まるで表示しないのではまずい か。一応パソコン画面の右下のタスクバ−に接続状態が出ているが、小さく分かりにくい。 FirePassの1番のポ−トにDMZのネットワ−クケ−ブルを繋ぐ。装置の電源を切るには。 [デバイス管理]->[メンテナンス]->[サ−ビス再起動]の{コントロ−ラのシャットダウン}。 ピ−ポ−ピ−という小さな音がする。これで筐体の電源スイッチを切る。ともかくいきな り電源を切らないこと。サ−ビスの再起動はソフトリセット、あまり使うことはないか。 SI業者による FirePass の設定が一応できたら、装置の設定状態をバックアップするや り方を先ず教えてもらいやっておく。これからしばらくの間、自分でいろいろ触って機能 を確認してみたい。設定が訳が分からなくなっては困る。 [デバイス管理]->[メンテナン ス]->[バックアップ/リストア] の {現在の設定のバックアップを作成} でセ−ブする。 FirePassでセッションが切れると、社内のファイル共有サ−バなどにアクセスして書いて いた Word の文章なんか消えてしまう。こまめにセ−ブするか、タイムアウト値を長くす る。[デバイス管理]->[セキュリティ]->[タイムアウト] の { 無通信と再認証のタイムア ウト }、{グロ−バル無通信タイムアウト [2 時間 ▽]} にした。初期値は20分だったか。 * "ネットワ−クアクセス" での設定の肝 [ネットワ−クアクセス]->[リソ−ス] のメニュ−で、"リソ−スグル−プ" は作ってある として [IPグル−プフィルタ−] で通したいパケットを列挙していく。 _____________________________________________________________________ | グル−プパケットフィルタ− | --------------------------------------------------------------------- ル−ル名 プロトコル ポ−ト アドレス/マスク アクション ロギング →MAIL TCP 25 192.168.1.1/32 許可 off →POP3 TCP 110 192.168.1.1/32 許可 off →WWW TCP 80 192.168.1.8/32 許可 off ×デフォルト 全て 0/0 停止 --------------------------------------------------------------------- →[新しいル−ルを追加] << クリックすると下のがでてくる。 ル−ル名 [FileShare ] << 最初は新しいル−ルと表示。 プロトコル [TCP ▽] << TCP,UDP,ICMP,ALL から選択。 ポ−ト [139 ] << 番号を記入するのみ。 アドレス/マスク [192.168.1.9/32 ] << 0/0 と最初出ている。 アクション [許可 ▽] << 停止他、幾つかある。 一致するものを全てログ □ ※ポ−トとアドレスには任意というのが [保存] 設定できないみたいだ。 そろそろ本格稼働に持って行こうということで、その後必要になったプロトコルを追加す ることにした。久しぶりに触ったらまるで分からん。そもそも FirePass のメニュ−体系 はすこぶる分かりにくい。ここのメニュ−で追加するというのを見つけるまでだいぶかか ったぞ。最初 FirePass を設置した時、どうもSI業者のエンジニアに小生が指示しなが らその場でル−ルを作ってもらったのでなかったか。自分がやった覚えがない。追加した のは80番ポ−トの他のWWWサ−バのIPアドレス、それにファイル共有は 139/TCPは ル−ル設定はしていたのだが、これだけでは Sambaサ−バへのアクセスができない場合が あって、それで幾つかパケットを通すように追加してみた。上記のネットマスクの値32は 特に書かなくてもIPアドレスは認識されているようである。`2b/10 * ファイアウォ−ルでファイル共有を通すには `2b/10 インタ−ネット越しに社内のファイル共有サ−バを使えるようにするというのは、これま で一応 SSL-VPN 経由でできるようにはしていた。FireWall-1で nbsession だけDMZの SSL-VPN 装置からファイル共有のマシンへ通過許可していた。 Windows XP Professional や Windows Vistaでは445 番ポ−トも許可しないといけないようである。 FireWall-1 に microsoft-dsというオブジェクトがあるので追加した。グル−プ化されたオブジェクトで CIFS と NBTというのもある。しかしどうもできたりできなかったりする現象が起きた。 手元でテストしている分にはよくて、外からはだめとか。Windows のブラウジングの仕組 みが影響しているのでないか。社内にあるパソコンではファイル共有のサ−バがないかブ ロ−ドキャストを送って存在を調べているはずである。その情報はパソコンのどこかにし ばらく保持されるのでないか。しかし一度も社内でファイル共有を使ったことのないパソ コンでは、ブラウジングした情報がパソコンに無いので、外からSSL-VPN 経由でアクセス ができないということでないのか。 インタ−ネット越しに Windows のブラウジングのパケットを通すべきではないと、 以前 からそう考えていた。そのため SSL-VPN でファイル共有がうまくできていなくても、 そ の方がかえって望ましいと放置していたきらいが無いではない。しかしよく考えてみたら 外のパソコンと SSL-VPN 装置の間は HTTPS パケットで、SSL-VPN 装置とファイル共有と の間が必要なパケットということである。HTTPS にカプセル化されたブラウジングのパケ ットが大量に流れるのかどうか、そこのところが肝心なのだがよくは分からない。 SSL-VPN 装置からファイル共有のマシンへ許可するパケットは。 FireWall-1 にはすでに nbsession 139/tcp,microsoft-ds 445/tcp を許可した。いろいろ聞くに nbname 137/udp, nbdatagram 138/udp も加えることが望ましいらしい。 この2つは Windows Me とか古い OSで使われていたという話で、本来もはや必要ないはずなのだが。 FireWall-1 のサポ −ト業者に問い合わせたら、Samba ユ−ザ会の記事を引き合いに出してきた。137 と 138 のパケットは双方向にパケットを通す必要があるとのことだった。 * FirePass についての情報収集 `29/02 F5ネットワ−クジャパン(株)の "F5トレ−ニングコ−ス" がある。東京にて開催。セ ミナ−か展示会でもらった1枚、iRules 1 - Day Training、1日コ−ス 95,550円(税込) http://www.f5networks.co.jp/training/。肝心の FirePass の教育は?。 3日間コ−ス が1つのみ FirePass v6 393,750円(税込)。サ−バ/クライアント SSL証明書の設定は3 日目にある。現在開催の予定はございませんと書いてあった。`29/09 見たら予定あった。 F5が主催しているオンラインコミュニティ "DevCentral" 日本語ペ−ジというのがある。 iRules のサンプルコ−ドやドキュメントが無償で入手できる。 2007年6月のF5の 新聞にて、日本語ペ−ジがオ−プンしたと書いてあった。 iRules はトラフィック管理製 品の能力をアップさせる?。F5製品を使用しているユ−ザのためのコミュニティもある。 "F5 Prime Members" という、http://www.f5networks.co.jp/f5pm/。News Letter もある。 ------------------------------------------------------------------------------------ [ 付録 ] パソコンの個体認証の製品にソフト * デバイス特定認証の製品 RegistGate --- 国産開発ソフト。(株)エヌ・エス・アイ。パソコン固有の情報を使う。 http:/www.nsi.cojp/、`24/01 発売。http://registgate.com/ 日本語サイトだった。 ROUD --- RegistGate ソフトを搭載したアプライアンス。 沖電気ネットワ−クインテグレ−ション(株)、SSL-VPN 装置の営業とサポ−トは東京。 Phoneix TrustConnector --- BIOS を利用した認証。http://www.phoneix.com/japan/ MACアドレス+アルファ のハッシュ値などを使ったパソコンの個体認証。 * RegistGate ソフトウェアは RegistGate は(株)エヌ・エス・アイが開発した国産ソフト。特許を取得している。 パソ コンのハ−ドディスク製造番号など幾つかのハ−ド固有情報を元にハッシュ関数でキ−を 生成する。これでパソコンを特定する。A-Gate の機能とほぼ同じ。RegistGate と連携す る SSL-VPN 製品はF5ネットワ−ク、Juniper、SonicWALL がある。 動作保証は Red Hat Enterprise Server である。 これは毎年約9万円、サブスクリプシ ョンという保守費用みたいなのがいる。セキュリティパッチをダウンロ−ドする、バ−ジ ョンアップする権利を買うということ。 無償の Red Hat Linux でも動かない訳ではなさ そう。2004年の1枚のパンフには Apache, Tomcat, PostgreSQL, J2EE, sshd が必要。 そういえば RegistGate の価格は、まるで調べていなかった。漠然とパソコン500台で 100万円と思っていただけだ。当たり、WAN用500ユ−ザライセンスで105万円、 税込みとインタ−ネットに出ていた。WAN+LAN対応100ユ−ザライセンスも10 5万円とでているのを見つけた。 * ROUD アプライアンスについて RegistGateソフトを搭載したアプライアンス。登録ユ−ザ数、標準500、最大3000。 1Uの ROUD3000 W500 500登録ユ−ザまで 190万円+税。クライアントは Windows 2000/XP, IE 5.5 or 6.0対応。音はそんなにしない。OSは Red Hat Enterprise Server で、不要ポ−トは閉じてあるなどセキュリティ対策が一応とられている。 保守はセンドバックと先出しセンドバックとオンサイトがある。初年度には、本体と保守 費用もいる。先出センドバックだと約200万円。設置の設計と設定費用もいる、50〜 60万円はいるだろう。次年度以降は保守費用が20万円強から45万円と Linuxの保守 料(サブスクリプション) が約9万円いる。 ROUD と RegistGate のソフトは同じか。ROUD はアプライアンスにした分、使い易いよう にGUIか何か追加しているのか、そういうことはないとのこと。 ROUD はUSBキ−に ユ−ザ情報などの設定をバックアップができる。USBキ−は製品に付属していて、運用 では本体に差し込んでおく。本体が壊れた場合にこれで復旧できる。 製品はLAN用の ROUD3000-L とWAN用の ROUD3000-W がある。ROUD3000-L はApresia など検疫ネットワ−クの認証スイッチと連携する。ROUD3000-W は FirePass などSSL-VPN 装置と連携する。製品の中身は一緒でライセンスを入れるかどうかだけ。ROUD3000-Lでは 検疫ということで、怪しいパソコンをそもそもネットワ−クにつながせない制御ができる。 ROUD3000-W はパソコンをネットワ−クにつなぐうんうんは関係なくて、 そのパソコンか ら ROUD3000-W と連携する装置を利用できるかどうかの制御をする。 ROUD3000-W と連携 する装置は、SSL-VPN 装置の FirePass, NetScreen-SA, それに Cisco の VPN3000である。 ROUD3000-L は認証スイッチングハブの OmniSwitch と Apresia である。 ROUD 2台で冗長化構成がとれる。仮想IPアドレスを使うことによる。 特に負荷分散装 置とかはいらない。Active - Standby 構成。 冗長化構成にするのだったら最初からした 方がいいとのこと。単体の ROUD とは設定が異なり、後からもう1台購入して冗長化する となると再設計となり、また費用がかかってしまう。 沖電気ネットワ−クインテグレ−ション(株)は ROUD のみ扱う。 RegistGate は扱わない。 RegistGate は(株)エヌ・エス・アイが扱う。ROUD を導入するところは、事前のパラメ− タシ−トを埋めることで、お任せで設置するのが多い模様。設置IPアドレスも事前に知 らせる。IPアドレスを変更したりするのは、また作業依頼することになる。