24-2. リモ−トアクセス環境の再検討 `2c〜`2e (1) リモ−トアクセス環境の検討 `2c〜`2e * 概要 SSL-VPN 装置は Windows XP 時代はとても安定していた。使うメリットは十分あった。し かし Windows 7 やスマ−トデバイスでは昨今、とても安定しているとは言い難い。 事実 社内でも FirePass と Windows 7 との相性はかなり悪く、動作が安定しない。 設定がで きたりできなかったりするとか。これに Active Directory( AD ) が絡んできたらどうな る。大学のサポ−トの状況を見ても、なかなか苦慮しているのが伺える。SSL-VPN にもう 優位性はないと言っていい。他の手段を真剣に考えるべき時が来たと言っていいだろう。 何年か前から Windows OSの DirectAccess というのがある。OpenFlow 技術を利用した アクセスの方法もでてきた。OpenFlow のは「日経コミュニケ−ション」2014/01, P.60〜 61 に記事が出ていた。NTTコムがオ−バ−レイを活用したVPN、 既存ネット上に即 座に閉域網を構築、 新型のVPNサ−ビス Arcstar Universal One Virtual を開始する (UNO Virtual)、2014年3月、 インタ−ネットVPNを置き換える。これを用いれば SSL-VPN アクセスをやめてしまうことができるのでないか。 Aventail を導入するのに検討した当時、オフィスの中でも SSL-VPN を使うというのがア メリカのオフィスでのトレンドだと、そう営業さんが話していた。 そのため Aventailで は同時アクセスを増やしたモデルを加えたという。以前 FirePass 導入の際に同じプラン を考えた。しかしライセンス代が馬鹿にならないので止めた。このプランは国内で実施す るとか、したという話は聞くことはなかった。SSL-VPN の不安定性から、もうこのプラン を考える必要はないだろう。ひょっとすると IE に依存しないタイプならまだいいかも。 * 稼働 SSL-VPN 装置のおさらい 現役で稼働している SSL-VPN 装置の設定のおさらいをしてみよう。 どうやってパソコン を登録していたか。 これまでの SSL-VPN 装置ではクライアントの証明書は発行してなか った。CA証明書は作った。住所、会社名、部署名などを英語表記で入れて、プライベ− トのCA証明書を作成した。有効期限をできるだけ延ばすようにかなり後の日付にした。 自分のパソコンのログオンのアカウントを SSL-VPN 装置に登録する。これで SSL-VPN 装 置を介しても、そのままアカウントは有効で、そのままパスワ−ド入れる画面が出ること なく、社内のファイル共有にアクセスができる。FirePass で Windows 7 パソコンを使っ た場合にこれができた。Windows XP ではできなかった。 SSL-VPN 装置に登録してあるユ−ザのアカウント数とマシン数は。ときたま装置の様子を みて、一時期にどれだけ同時アクセスしているか調べてみた。3つ位だった。多くても5 つか6つ。FirePass はユ−ザ認証を端末認証装置がやっている。 この装置は保守切れに なっている。端末認証装置が壊れたら SSL-VPN 装置だけで認証するようにしておく。 * いろいろ思いついたメモ スマ−トデバイスのブラウザには証明書、ActiveX は入るのか。証明書は入る。 ActiveX は入らないのでないか、代わりにアプリを入れるということ。FortiGate の SSL-VPN機能 では、どうも証明書の扱いがよく分からない。 パソコンで AD を見るようにしていると、SSL-VPN 経由でファイル共有なんかアクセスで きるのか。AD はホストを見るのかユ−ザを見るのか。今の SSL-VPN 装置の FirePass で ファイル共有にアクセスできているのか、改めて確認しておきたい。 FortiGate の SSL-VPN 機能のポ−トフォワ−ディングを用いて、SMTP と POP3 を通すこ とができるかもう一度きっちりテストしてみる。しかし情報がまるでない。先ずはファイ アウォ−ルとしてのポ−トフォワ−ディングをやれるかどうか確認するのが順序か。 RDP して好きなように社内リソ−スにアクセスさせる。この場合は厳密なユ−ザ認証が必 要と考える。端末認証も加えてできれば望ましい。この際のユ−ザ認証は別なデバイスに OTP が来るように。ハ−ドウェアト−クンでの OTP またはメ−ルによる OTP となる。 RDP ではなく、アクセスできるサ−バを限定する。トンネル接続またはメニュ−による場 合。どちらも SMD側のソフトを使うことには変わりない。リスクとしては一緒と考えてい いかと思う。いやでもトンネルの方がメニュ−よりもリスクは高いような気がするのだが。 トンネル接続は今の SSL-VPN でのやり方では、厳密な端末認証をやっている。 どうもそ こまでやっているところは、ほとんど無い模様。ホストチェッカ−で済ませているようで ある。しかし小生の考えでは、ホストチェッカ−だけで認証するのは危険だと思うけど。 指紋認証もしくは OTP を実施すべきだ。指紋認証は SMD では対応する物がない。OTP し かない。FortiOS 5.x では SMDのアプリとしてト−クンがサポ−トされる。別デバイスの OTP ではないので、やや安全性は劣るが。FortiOS 5.x はまだ国内では配布されていない。 他に装置を導入せずに、できる認証はないか。まあ、とりあえずMACアドレス認証でも いい。安全性うんぬんはおいといて、先ずは確認はこれからだ。SSL-VPN 装置のホストチ ェッカ−にある、特定ファイルの存在のチェックでもいいかと思う。 スマ−トデバイスから普通にパソコンに RDP 接続しても、 メ−ルソフトなど操作はとて もやりにくい。だったらスマ−トデバイスに用意されているメ−ルソフトなんかを使う方 がやりやすい。メ−ルストアにWebメ−ル機能があれば、それもいいかも知れない。 社内では OTP はやりたくないな。やりたくないというより、やれないかも知れない。 い や社外で OTP やったら、社内でも OTP をやることになる。ユ−ザによってどういう認証 や制限をかけるかが決まってくるため。 タブレットで SSL-VPN クライアントのアプリを使い分けるか。 ネットワ−ク接続は無線 LANで DHCP はいいとして。外出はこのアプリ、社内にいるときはこのアプリと。外出 はDMZのUTMの SSL-VPN にアクセス、社内では上記のUTMの SSL-VPN にアクセス。 ノ−トパソコンで無線LANのアクセスポイントを検知している。これを一度どうなって いるかよく見ること。無線AP装置のデフォルトの長たらしいIDが検知される。家庭向 けの無線APだろう。最大5つぐらい検知されたが全部 2.4 GHz だった。 SSL-VPN の方式で。利用柔軟性は RDP > トンネル > メニュ−。RDP はなんでもできるの で危険性は一番高い、プロトコルの制限はできない、社内のパソコンになってしまう。ト ンネルとメニュ−は通すプロトコルは決めるので、危険性は同じ程度なのではないか。 OTP のワンタイムURLに実例が身近であった。"Email Security Conference 2012"を申 し込んだら、受講票を印刷するURLがメ−ルに記載されていた。有効期間は7日になっ ていた。メ−ルでの OTP より即時性があっていいかも知れない。 Office 365のメ−ルの様子を見る機会があった。メ−ルサ−バはクラウド上、アメリカに あると言ったか。モバイルでインタ−ネット接続していて、メ−ル送受信は十秒ぐらいの ものか。これならメ−ルによる OTP がアジアでもグロ−バルで利用できるかも知れない。 * 改めて外出時のネットワ−ク接続 無料 Wi-Fi スポット。危険だと思う多分。ただより高い物はない。 Aventail でのMACアドレス認証は Wi-Fi 接続時のみ有効とか。 携帯電話回線(3G回線)では、MACアドレス認証は使えない、何で。 LTE と言うのが一番速いサ−ビス。3Gの次の高速通信が LTE。 3G、第3世代移動通信システム、3Gモデムでダイヤルアップ接続。 3G回線と Wi-Fi。モバイル WiMAX と WiMAX は別物。紛らわしい。 機内モ−ドって何かな。スマ−トフォンでお馴染みの機能らしいけど。 * かつての SSL-VPN 装置の資料 [ 設置の形態は ] 2ポ−トを利用する絵が自分の記憶にあった。 `2e/11/S書き直し 2005年当時に導入した SSL-VPN 装置 SureWare A-Gate の資料を改めて見てみた。1 枚のパンフレットと設定ガイドに、A-Gateのネットワ−クインタ−フェ−スを2つ利用す る説明が載っていた。パンフレットには設置例が3つ出ていた。CASE 1 "大学様学生向け Webリモ−トアクセスシステム" でLANに設置、CASE 2 "中堅企業様リモ−トアクセ スシステム" でDMZに設置、CASE3 "大手企業様海外拠点リモ−トアクセスシステム"で 2ポ−ト構成だった。2ポ−ト利用というのは柔軟なシステム設計ができるとも書かれて いた、しかし何故そうなのか分からない。設定ガイドは当時のSI業者手製で、2ポ−ト のネットワ−ク設定について具体的に1ペ−ジの図と1ペ−ジの説明が載っていた。 2ポ− DMZ LAN | SSL-VPN A-Gateパンフレットの図に ト利用 | SSL-VPN に設置 |―■ は SSL-VPN の LAN側 には |――■ サ−バ ------ | FireWallの配置はなかった。 | | □ ------|Fire|------| LAN側アクセスは何でも OK。 ------ | | WAN ------ LAN |―□サ−バ ------|Fire|--------- | LANに設置は FortiGate WAN ------ LAN |―□ で今回テストした形である。 [ OTP の利用 ] これって FortiGate の OTP 内臓機能の走りか。 VASCO 社のワンタイムパスワ−ド用の RADIUS サ−バが SSL-VPN装置に含まれている。そ れを使えば VASCO 社の OTP のト−クンを買えばすぐに OTPでのユ−ザ認証ができる。知 らなかったけど VASCO社のワンタイムパスワ−ドと言うのは、かなりメジャ−なものらし い。`2c/09入手の NetAttest EPS の紹介資料で、 二要素認証でより強固な本人認証の下 りでワンタイムパスワ−ドの VASCO 社が利用できるとあった。全世界で 8000万個の実績、 ハ−ドウェアト−クンは買い替え不要で7年使用可、それにソフトウェアの iOS/Android 用ト−クンと Windows 用ト−クンあり。 [ メ−ルの利用 ] こんなことが出来ていたとは気付かなかった。 パソコンから SSL-VPNにトンネルを張る以外にメ−ルサ−バへのアクセスの方法は。外か らパソコンを SSL-VPNアクセス。メ−ルのプロトコルを暗号化する。社内のメ−ルサ−バ である Mail-Store がメ−ルの暗号化をしてなくても、やれるということ。メ−ルソフト (メ−ラともいう) を SSL 対応のを使う。POP3 995、SMTPS 25、IMAPS 993 番。 SSL-VPN の基本はブラウザさえあれば暗号化通信ができるというもの。ブラウザの SSL暗号化通信 機能である。だからメ−ルソフトに SSL が実装されていれば、 ブラウザ同様に暗号化通 信ができてもおかしくはないということ。このことも今まで気付かなった事だ。 POP/SMTP/IMAP POP/SMTP/IMAP パソコンのメ−ルソフトでメ− PC over SSL --------- Mail- ルサ−バのIPアドレス指定を ○--------------->|SSL-VPN|-------------->□Store SSL-VPNにすること。SSL-VPNで --------- はメ−ルのユ−ザ認証はしない。 -------------------------------- << Outlook の詳細設定 >> |全般|サ−バ−|接続 | 詳細設定 | |-------------------- ------------------------------ | サ−バ−のポ−ト番号 | | 送信メ−ル(SMTP): [25 ] | | □このサ−バ−はセキュリティで保護された接続(SSL)が必要 | | 受信メ−ル(POP3): [110 ] | | □このサ−バ−はセキュリティで保護された接続(SSL)が必要 | * 参考 「スマ−トフォンネットワ−クセキュリティ実装ガイドβ版」 公開、2012/07/18、日本ス > マ−トフォンセキュリティ協会(JSSEC)。企業向け。MDMは他のガイドライン参照のこと。 Wi-Fi環境ではWPA2 と EAP-TLSを推奨。スマ−トフォンだけでなく従来利用のPCも含 めるべき。http://www.jssec.org/dl/NetworkSecurityGuideB1.pdf、995KB、43ペ−ジ。 「MDM導入運用検討ガイド」 平成24年6月12日公開、30ペ−ジ、〜スマ−トフォンの適切な > セキュリティ管理のために〜"。http://www.jssec.org/をよく見たらレポ−トが幾つか あり。技術部会のデバイスワ−キンググル−プの MDMタスクフォ−スが作成。ここでは MDM は移動する端末をリモ−トから一元管理するシステムの総称、と定義している。 「日経コミュニケ−ション」2012/10, "特集:「モバイル導入率7割時代」スマ−トフォン > 活用の実像"。P.21 の記事によれば会社で採用タブレットは iPad が 65.4%、 Android が17.9%。スマ−トフォンは iPhone と Android 半々。課題は通信費の高さ、月に5千 円から1万円はいる。それだけのコストメリットがあるのかということ。 「日経コミュニケ−ション」2013/01, P.68〜71,"ネットワ−クトラブルへの対応/!\ 今回 > のテ−マ 無線LAN設計"。電波干渉を調べるフリ−ソフトinSSIDer。干渉源はデザリ ングを有効にしているスマ−トフォン。モバイルWi-Fi ル−タ、オフィス内ではスマ− トフォンのデザリング機能を有効にしない方がいい。5GHz帯は2.4 に比べ障害物に弱い。 総務省のスマ−トデバイスの無線LANの危険性の指摘と、安全に利用するためのガイド > ライン。平成24年11月2日に出した。"一般利用者が安心して無線LANを利用するため に"。http://www.soumu.go.jp/main_content/000183224.pdf 3つの最低限の情報セキ ュリティ対策を掲げる。1)SSL でやり取りすること。2)公共の場ではファイル共有機能 は解除すること。3)適切な暗号化方式を取ること。ファイル共有はアプリで可とする。 (2) リモ−トアクセス環境の設計 * SSL-VPN のテスト環境 テストするための環境はどうするか。FortiGate でテストしてみたのと同じでいいか。実 際にDMZに置かずに、自分のいるネットワ−クに設置すれば。なんだったら FortiGate を透過モ−ドで設置、ファイアウォ−ルの代わりにしてみる。SSL-VPN から社内のサ−バ へのアクセスを想定し、そのパケットを FortiGate で通すようにする。 ファイ 宛先をここに限定 HTTPS ル共有 Aventail <---------------------- PC □ □ ------- △ .9| .3| WAN| |LAN |.1 ----------------------------| UTM |------------------- 192.168.1.0 NAT用.4 | .2 |透過型で設置 ------- * 利用環境の構築の目星 トンネルモ−ド以外のリバ−スプロキシモ−ドやポ−トフォワ−ディングモ−ドではいろ いろ問題が起きると、2つのSI業者のエンジニアと営業からそんなことを聞いた。ポ− タルサイトからリンクが辿れないことがあるとか、IPアドレスの変換の事でもうまくい かないことがあるとか。SSL-VPN の技術はNATのかたまりだから、有り得る話である。 セキュリティ対策ソフトが入っているかで接続許可うんぬんをいうのはどんなものか。あ まり必要ないというか意味がないような気がする。SI業者さんもそんなことを話してい た。FortiGate にはデフォルトでこの機能は入っている、そのメニュ−のところを見ると これらのセキュリティ対策ソフトがたくさん列挙されているのが見える。 ユ−ザ認証にクライアント用のデジタルIDは使わない。 IEEE802.1x もデジタルIDを 使うのでこれもやらない。パソコンやスマ−トデバイスのログオンする前、後のユ−ザ認 証?は、安定性がどうか。あまりログオン時点のことはいじりたくない。2014年6月 頃の雰囲気、SSL-VPN の認証はクライアント用のデジタルIDが標準みたいな感じ。 主に Aventail でスマ−トデバイス用に運用する。 ユ−ザ認証はメ−ルでの OTP とする。 スマ−トデバイスがどんどん新しいのが出てくる。 Aventail で利用できない事態に備え て FortiGate も使えるようにしておく。これもメ−ルでOTPだが、ハ−ドウェアト−クン も用意しておく。ハ−ドウェアト−クンは無くす可能性があるので、あまり推奨はしない。 Aventail では RDP とトンネルができるようにする。これまでの SSL-VPN より RDP がで きる分だけ便利になるよと。しかし認証はより厳しくする、OTP のメ−ルを使いますよと いう。Aventail のメ−ルの OTP 認証の有効時間は5分だから、国外でも使えるのでない か。でも5分も OTP のメ−ルが返ってくるのを待てるかという問題もある。 社内でもスマ−トデバイスの SSL-VPN クライアントを使う。 外でのと同じメニュ−を用 意する。アクセスできるのも一緒にする。内外で操作性を統一してできることを同じにす る。この方が分かりやすいだろう。 FortiGate の SSL-VPN では、FortiAP 無線APから DMZの FortiGate へトンネルを張る。Aventail へのアクセスも含められるのでないか。 Windows OSのノ−トパソコンは、SSL-VPN のこれまでのメニュ−でしかアクセスできな い。Aventail では簡易端末認証でよしとする。 パソコン内にある特定ファイルの存在で チェックする。ウィルスチェックソフトなどはチェックに利用しないこととする。どうも 表現が瞹昧だ、自分で書いておいて言うのも変な話だが。 スマ−トデバイスから社内リソ−スにアクセスは。どこからでも SSL-VPN経由でのアクセ スとし、アクセスの際の用意したメニュ−しか利用できないようにする。社内での利用は UTMの FortiGate を社内の無線LANでもかまして安全性を考慮してみる。2014 年の INTEROP で FortiGate の無線LAN機能が大大的に宣伝されていた。 無線LANの全面的な設置は大学や一部の大手企業など先進ユ−ザでの利用であり、一般 企業での普及はまだこれからである。2011年頃のこと。それが2013〜4年にかけ て急激に一般企業にも無線LANが入り出した。状況はがらりと変わった。2014年の INTEROP では無線LANの管理用ソフトが幾つもの会社から出ていた。 * 無線AP利用の紳士協定 社内には多分いくつかの無線LANのAPがどこの企業でもきっとあるだろう。その無線 APにも SD はつなぐことができる。SDはそのまま企業内のネットにはいってきてしまう。 UTMをかました無線APを設置しても、あたまかくして尻隠さずになってしまう。これ は仕方ないぞ。SDは外に出たらどこかの無線APなり3G回線でインタ−ネット接続しな いといけないのだから。利用できる無線APを制限するなんてことはできようはずはない。 それゆえ社内においては、SDはこれこれの無線APを使ってネとお願いするしかない。ま あ指定無線APでないと社内サ−バにはアクセスできないようには、何らかの設定ができ るかも知れない。というか無線APの SSID を知らせなけばいいだけのことか。接続中ま たは接続可能な無線ネットワ−クの一覧が表示される。ユ−ザは接続したい無線APを選 んで SSID を入力すればいい。 無線LANの設置は。無線LANのメ−カはどこにするか。設置業者の得手不得手。得意 なのをやってもらうことになるだろう。企業向け製品。メ−ルかシスコか。トンネルがで きること。外では スマ−トデバイスは 回線を使うのか無線を使うのか。社内では無線を 使う。無線LANの設置について。シスコならコントロ−ラ1台で200万円という訳だ。 その後、実際に導入して、そんなに高くはなかった。SSID 16個のだが、案外安かった。 * 例えば一つのプラン スマ−トデバイスそれにパソコンをデバイスとも呼ぶことにする。SSL-VPN 専用装置を主 に利用する。UTMの SSL-VPN機能は緊急の場合の利用にする。SSL-VPN 専用装置はオン サイト保守にする。SSL-VPN 専用装置が何らかの異常や故障により使えない事態になった 際に、FortiGate を使えるようにしておく。何らかの異常にはインタ−ネット回線の問題 なんかもある、中国ではグレ−トファイアウォ−ルでの検閲とかある。 SSL-VPN 専用装置 Aventail ・トンネルモ−ドでの利用はホストチェッカ−機能の端末認証。 ・RDP での利用は端末認証+メ−ルによる OTP。 ・BCPでの利用はメ−ルによる OTP だけとする。 Android も iOS も Windows も SSL-VPN のトンネルモ−ド。 端末認証はハ−ドディスク番号と特定ファイルの存在チェック。 UTMのVPN機能 FortiGate ・接続方式には SSL-VPN と IPSec VPN がある。 ・トンネルモ−ド、RDP での利用共、メ−ルによる OTP。 ・メ−ルによる OTP はハ−ドウェアト−クンにする場合あり。 Android は FortiClient 最新アプリでトンネルモ−ド対応。 iOS は IPSec VPN でのトンネルモ−ド対応。 Windows パソコンはホストチェッカ−機能が少し使える。 SSL-VPN 専用装置のグル−プ分けは ・グル−プA --- トンネルモ−ド利用者。 ・グル−プB --- 遠隔操作用 RDP 利用者。 ・グル−プC --- BCP利用者。ブラウザさえあればできる。 ・グル−プD --- ITテスト用。 ・来客者用用 --- 検討に含めること。 Android は FortiClient 最新アプリでトンネルモ−ド。iOS は IPSec VPN でのトンネル モ−ド。1台の FortiGate で2つの種類のトンネルモ−ドを張ることになる。 それぞれ 一時的なIPアドレスをデバイスに付けることになる。SSL-VPN で1つのレンジのIPア ドレス、IPSec VPN でもう1つのレンジのIPアドレスとなる、はず。大丈夫かや。 Android も iOS もデバイスは、社外でも社内でも同じ接続手順をとる。 アクセスできる 社内サ−バも同じ物とする。 DMZに置いた SSL-VPN 装置のバリアセグメント側の仮想 IPアドレスに社内外からアクセスする。社内においては無線LANのAPをDMZ上に おいた無線LANコントロ−ラの間でVPN暗号化網を張る。 およそ FortiGate で SSL-VPN でも FortiAP で無線LANでもできてしまう。FortiGate には無線LANコントロ−ラの機能もある。1台の FortiGateで無線LANコントロ−ラ と SSL-VPNアクセスができるという話。一石二鳥でしかも安上がり。FortiAP は機能的に はシスコやアルバなどと遜色はないかと思われる。ただ実績が無いというだけである。 無線LANは詰めていくと、全社的な設置ということになってくる。WANやLANをや ってくれている業者に任せる領域の話になる。そこが得意とする無線LANのメ−カを採 用すればいいと思う。無線LANのAPとコントロ−ラでトンネルを張ることができれば それで構わない。ということで内では Cisco の無線LANを導入とあいなった。 FortiGate の SSL-VPN は悩ましいところである。 これで今後3年ないし5年使っていけ るのか。メインの SSL-VPN 装置としてやって行けるのか。 多分それなりの割り切りがで きる所なら採用して構わない。どうしても実績ということを重要視するならば、やはり選 択にはリスクがあると思う。小規模オフィスでの利用する事で工夫するのが望ましい。 * 認証アプライアンスの利用は NetAttest なかなかよさそうだ。表記は NetAttest か Net'Attest か。 2006年のパ ンフレットには Net'Attest と書かれてあります。ソリトンが扱う Net'Attest EPS。 電 子証明書(端末認証) とワンタイムパスワ−ド(ユ−ザ認証) を併用できる。ソリトンは通 称で(株)ソリトンシステムズが正式名称。一応 NetAttest と今後表記することにする。 NetAttest EPS > ワンタイムパスワ−ド、ハ−ドウェアト−クン。VASCO 社の製品。認証ネットワ−ク。 802.1X 対応のスイッチでダイナミックVLAN。 NetAttest EPS ap > スマ−トフォン専用オプションで MDM 的な機能がある。 NetAttest CA > EPS と連携させることで、より高度で運用が楽な認証システム。プライベ−トCA可能。 NetAttest Security Filter > アクセス制御から検疫まで手軽に始めることができる。認証検疫ネットワ−クにアクセ ス制御ゲ−トウェイ。 * もう1つ認証アプライアンス RADIUS と DHCPの装置、Account@Adapter オ−ルインワン認証アプライアンス。SCSK 扱い。様々な認証スイッチ、無線LANに対応。アラクサラAXシリ−ズ、 ジェニパ−MAG シリ−ズ等に対応。Web認証/MAC認証/802.1x認証向けの RADIUS サ−バ機能。CA サ−バ機能プライベ−トCA発行機能(クライアント証明書発行、外部証明書インポ−ト)。 1,000ライセンス + DHCPオプション + センドバック保守 で約173万円。 RADIUS GUARD がクライアント用のデジタルIDの発行にはよさそう。 200ライセンス で ハ−ドウェア+初年度サポ−ト 69万円。Web認証、MAC認証、IEEE802.1x認証。 Active Directory と連携で検疫も実行。ゲストID発行し、Web認証。 パンフレット では1Uの装置のように見えるが、2台を平行につないだ物でHA構成になっている。こ の手の製品では珍しく国産。Account@Adapter と物は一緒だと `2e/08/e に気付いた。 * SSL-VPN によるユニバ−サル・アクセス 外からだけでなく内からも SSL-VPN 接続するということは、 それだけ接続する数が多く なるということ。FortiGate 以外の装置では、同時接続数のしばりがある。ライセンス料 金も、同時接続数に応じて高くなる。これまでの SSL-VPN 装置で、 どれぐらい一時期に 接続して来ているか、ざっと調べてみること。感触としては10もないようには思う。同 時接続数を幾つのにしているかも調べること。 Aventail はとりあえず同時接続数は25、 これが最低なのだが。50にした方がいいと思う。ネットに出ている価格表で幾らになる のか。SRA EX6000 Aventail 同時25ユ−ザライセンス 66万円、同時50は160万 円。保守も初年度から必要で25ユ−ザは 33.6、50は 50.3。このプライス無茶苦茶!。 * これまで検討して来たまとめをやる `2c/10 iOS や Android のデバイスのことは2012年の2月から3月に検討してみた。 その時 点での SSL-VPN装置の対応状況を調べた。あれから半年たって、また状況は変わってきて いる。FirePass の後継機種 Edge Gateway を押すSI業者も現われた。そこそこ iOS と Andorid 両デバイスに対応してきている。Juniper 社の SSL-VPN 製品は Android ヘの対 応にややムラがあるとまだ耳にする。Cisco の ASA は今もって iOS のみ対応である。某 SI業者は社内のゲ−トウェイに FirePass を使ってきたのだが、Cisco の製品に変えた という。 そのSI業者は Android はビジネス用途には向いてないとみなしているようで ある。いろいろ雑誌など見るに、ビジネス用途には iOS を選ぶ傾向が強いようである。 * 取引先サ−バへのアクセスの考慮 `2e/07/07 ふとヤバイんじゃないかと頭をよぎった 取引先の社内ネットワ−クにサ−バがある。そのサ−バを顧客である会社が利用するとい う話。取引先のサ−バを利用するのに、 自社のパソコンに SSL-VPN のクライアント用ソ フトをインスト−ルして設定する。そういうケ−スがある。Cisco の AnyConnect ソフト をパソコンに入れて使っている人が社内にいる。どうもアクセスできない、ファイアウォ −ルが何か影響してないだろうかと相談があった。もし自社の SSL-VPN装置に、この同じ Cisco の AnyConnect を設置しようとしたら、どうなるか。AnyConnectソフトを1つパソ コンに入れて、2ヵ所の SSL-VPN 装置を使うということになる。SSL-VPN装置をそんな風 に使うことができるのか。多分できないと思う。ちょっと困ることになる。 [ 模式図 ] PC にはA社製 SSL-VPN 装置のクライアント 用ソフトを2つ入れるとか、多分それはでき A社製 A社製 きない。SSL-VPN は2つか3つの利用モ−ド Server SSL-VPN PC SSL-VPN Server があるので1つのPCにモ−ドを変えて設定す □ ■ △ ■ □ るとか。1つのソフトを起動した後にレルム | | | | | と SSL-VPN装置のIPアドレスにするとか。 ------------------------------------- (3) SSL-VPN 装置の交替そして移行 `2c/01 -------------------------------------------------------------------------------- 候補にしてもいい SSL-VPN装置が昨今はどんなのがあるか。これまでの社内設置の装置は。 -------------------------------------------------------------------------------- * SSL-VPN の Aventail はどうか 2週間借りてちゃちゃっとテストしてみるか。いや借りるまでもない、見積りを取るとす るか。HA構成でどうか。本体百万円位。300万円あれば構築費用入れてできるのでな いか。HA構成にすると予備機という訳でないのでテストができない。例えばスマ−トデ バイスでできなかった事が、新しいファ−ムウェアでできるようになったとアナウンスが あれば、直ちに装置のファ−ムウェアをアップロ−ドしたいところだが。どうしたって慎 重になってしまう。FortiGate でも SMDの利用を取り敢えずできるようにしておいて、も しアップしておかしくなった場合のバックアップにするとしようでないか。これなら、そ こそこファ−ムウェアのアップをやれないこともない。 ・SonicWALL Mobile Connect -- iOS 4.2 以上の iPhone, iPad, iPod touch 用。 UDID によるデバイス認証で端末を区別できる。 ・Aventail Connect for Android -- ポ−トマッピングにより TCP ベ−スの通信 が可能。HTTP,HTTPS,SMTP,SSH,Telnet,RDP など。 ・Mobile ActiveSync サポ−ト -- iOS, Android 端末からの ActiveSync をサポ −トする。Exchange サ−バなどとメ−ル、カレンダ−などの同期ができる。 [ SRA EX-6000, Aventail E-Class SRA シリ−ズ ] 本体の保守契約は初年度分から必要。それにユ−ザライセンスも初年度から必要とのこと。 HA構成の場合は2台分のユ−ザライセンスがそのままいるということではない。ロ−ド バランサ−としても構成できる、8台まで、ユ−ザライセンスは1台ごとにいる。 Advanced EPC オプションライセンス。 アンチウィルスプログラム、アンチスパイウェア プログラム、パ−ソナルファイアウォ−ルでバ−ジョンやパタ−ンファイルや最新に更新 されているかをチェック。ただの EPC ではこの3つはない。SRA EX7000 には標準実装。 筐体寸法は 幅43.18 x 奥行き42.52 x 高さ 4.44(cm)。1Uラックマウントタイプ。出力 電源 185W、定格出力100W。120V(6A)/240(3A) VAC 自動切り換え。canon-its.jpサイトに て調べ。今時のアプライアンスにしては奥行きがある。電源入れて30秒ぐらいはファン の音が結構ブワ−とする。その後はそんなに気になるほどの音はしない。 * Aventail の購入のライセンスからの検討 HA構成で2台たばねて動かす。実利用の設定とテストの設定をもうける。 FirePass で は一応そういうようにした。確かグル−プで分けたと思う。そしてファ−ムウェアをアッ プしてうまくデバイスが動作しない場合、元に戻すことが直ぐにできるものか確認してお きたい。ライセンスはHA構成と言うことで2台目は少し安くなる?。その後、コ−ルド スタンバイではライセンスはまるっと2台分いると判明。オンサイト保守だと、またまた お金がかかる。HA構成のオンサイト保守は金がかかり過ぎる。だめだ。 HAはやらずに1台本番稼働、もう1台は予備にする。ユ−ザなどの登録を2台目にも同 じのをやらないといけない。面倒だが。 AD 連携させて本体ではユ−ザ登録の情報は持た ないようにできれば、構わないが。OTP のメ−ルアドレスは AD で登録してできるのだろ うか。デバイスがうまくつながらないと言ったことには、もう1台は手元に予備でおいて おく方がいいと思う。ライセンスはこの場合どうなる、2台分いるということになるのか。 まずは費用のことから確かめるとするか。確かめたのが上の話です。 HA構成で設置して稼働させるか、2台購入して1台本稼働で1台は予備機にするか。ス マ−トデバイスの日進月歩は非常に早い。HA構成の場合、ファ−ムウェアをアップして 不安定になった際、元のファ−ムウェアそれに設定状態に戻せるか。簡単にできるように なっているのが望ましい。何となく1台は予備機にして、手元で納得がいくようにテスト できる環境にする方がいいと思う。 丸紅情報システムズのサイトに SonicWALL 製品想定 価格表というのが出ているのを見つけた。これに値段がちゃんと載っている。 同時25ユ−ザライセンスが一番下である。5ユ−ザとか少ないのがないか。だったらそ の少ないのを予備機の方にして手元でテストできる環境を整えるのに使う、という手もあ ったのに。スマ−トデバイスはやはり不安定要素が強いと思う。HA構成は十分安定して いるシステムで、それをより安定なものにするために使う。べきだろう。安定していない システムに対しては、手元でテスト確認ができるように予備を持つこと。そしていざとな ったら、予備機を本番機にして運用を継続できるようにすること。 * これまでの SSL-VPN 装置の FirePass 前に Windows 7 に対応すべくファ−ムウェアをアップした。 しかしその後、パソコンの 設定やアクセスで不安定な感じになった。Windows 7 のパッチが一つ悪さしたみたいであ る。FirePass はまだしばらく動かさなくてはいけない。 ファ−ムウェア、パッチはどう なっているか。OSの対応状況は、ブラウザの対応状況は。F5社サイトのサポ−トの所 を改めて見てみた。FirePass の情報が英語で出ている。バ−ジョンは 6.1 と 7.0があっ て、一般の人もそのままダウンロ−ドできる、パッチが10個ぐらいずつ出ていた。 大学の情報基盤センタ−の様子をみてみた。学内のサ−ビス利用のためにリモ−トアクセ ス環境をたいがい整備している。SSL-VPN装置を設置しているケ−スが多く、FirePass が 多い感じ。以下、金沢大学のことである。Cisco ASA による VPNGW( Cisco AnyConnect )、 FirePass による VPN、BIG-IP APM による VPN で3系統あり。FirePass が Windows 8と Mac OS10.8 に対応した 2013/03/06。FirePass は Windows など最新OS、最新ブラウザ には対応してない、Cisco の方を利用してくれとアナウンスされている。 大学の様子で FirePass は25年2月26日障害で停止、3月7日に復旧。この間にバ− ジョンアップしたとある。また利用に関しての注意で、 FirePass である日突然接続でき なくなったなど不具合が発生したら、一旦すべてのアドオンを削除し再インスト−ルして ください。ウェブブラウザ版とアプリケ−ション版がある。IE8 で接続できなくなったら、 アドオンを削除しインスト−ルし直したらできる場合がある。ウィルス対策ソフトがある 場合は、一旦機能を無効にしてみる。とこんな注意書きがありました。 参考、F5社からのメ−ルより、件名:F5の最大級イベント「F5 AGILITY Tokyo 2013」開 催迫る!---- F5 ニュ−スレタ−[1月] これは東京のホテルで開催。下のセミナ−はF5 のオフィスで開催。F5 リモ−トアクセス・ソリュ−ション・セミナ− 2013年2月26日 〜SSL VPNの最新情報と技術動向を詳しく解説〜、BYODの実現のために 〜よりセキュアで、 より柔軟なリモ−トアクセス環境の構築〜、15:40-16:10 BIG-IP ARMリモ−トアクセス・ ソリュ−ションのデモ。一応ニュ−スもワッチしているがF5社の SSL-VPN はどうかな。 Windows 7, IE9 での不具合。アクセスすると F5 Networks の FirePass のログイン画面 が出てそこから進まない。IE が何か変に覚えてしまったのでないか。IE に入っているF5 Networks の ActiveX を無効にしたら現象を再現できた。[ツ−ル]->[閲覧の履歴の削除] で Cookie だけ消す。[アドオンの管理] で F5 Networks の4つの ActiveXを消す。一つ 一つの作業で IE を閉じて開いてとした方がいいだろう。 IE はその場で設定変更が反映 されない場合があるみたい。ActiveX は削除でなく無効、有効にしても直る場合もあった。 * SSL-VPN 装置の各メ−カの様子 [ Cisco ASA ] フルには Cisco ASA 5500 VPNゲ−トウェイ。iPhone,iPad にも完全対応!、iOSのみに対 応する。Cisco AnyConnect for iOS、SSL-VPN 用クライアントのアプリ。ネットで見ると いろんな所が導入している。ひょっとすると一番、導入事例が多いのでないか。 [ FirePass ] 最新のスマ−トデバイスの対応状況は。iOS に Android 両方に対応できているのか。 両 方ともフルトンネルにまだ対応してない。 FirePass の設置をやってもらったSI業者に 改めて聞いたら、後継機種を勧めるのではなく Juniper の名前を挙げてきた。 [ Juniper ] MAG シリ−ズ Junos Pulse ゲ−トウェイ。MAG 2600 は小型の物。Android,iOS 用のアプ リ Junos Pulse 使用でトンネル接続ができる。Network Connect。Android の動作実績は 問い合わせしてくれと。MAG2600 は SA700 の後継機種。RDP は別ラインセンスである。 [ Aventail ] 実はかなり老舗の SSL-VPN。Aventail は1997年に世界で初めて SSL-VPN 製品を発売 したパイオニアとのこと、「UNIX MAGAZINE」2005/07, P.20〜22, "SSL-VPN 技術の動向" に Aventail ASAP 8.5 の記事がある。2009年1月末に出荷開始、なんだったか。 * SSL-VPN 装置 Juniper MAG では `2e/08 頃に情報を入手し記述を修正 MAG2600 最大同時接続ユ−ザ数 100、こんな弁当箱ぐらいのもので、これだけのユ−ザ数 をサポ−トする。AD での認証と装置でのロ−カル認証ができる、 クライアントのソフト で切り分けがいる。設定に "レルム" というのがある、多分 Aventail と似たようなこと だと思う。HA構成は FortiGate と同じような感じでできる。Active-Passive 冗長構成 に先ずは対応。Active-Active 構成はロ−ドバランサ−装置をかませばできる。富士通の サイトをみたら 2012年11月2日に新規取扱い開始 Juniper Networks MAG シリ−ズ。 デバイスの何らかの情報でデバイスを認証する。MACアドレスでいいか。Windows, iOS, Android 全部でMACアドレス認証できるかと思っていた。もらった説明資料にもそのよ うに書かれていたと思う。実際に購入検討を始めたところMACアドレス認証は Windows だけだった。Windows 8.1 は大丈夫なのか、心配になる。きちんとこれも確認しないとい けない。デバイス固有の番号での認証は Windows,iOS,Android どれも対応してない。 実 質、クライアント用デジタルIDかただのユ−ザ認証しかできないではないか。`2e/08/m デジタルIDは使いたくない、ただのユ−ザ認証もだめ。結局のところできる認証はどう なのか。MACアドレス認証は装置にどんどん登録していく。登録した中に該当のデバイ スがあるかどうかを判断するのみ。ユ−ザ登録とは関係しない。MACアドレスの認証は Windows 7 は対応する。 Windows 8.1 は Juniper の最新バ−ジョンで対応した。iOS と Android はMACアドレス認証はできない。ユ−ザのアカウントでの認証は AD をみてで きる、更にMACアドレスがともかく装置に登録されているかみることもできる。 MAG は3つの接続方式がある。Network Connect(NC)、Secure Application Manager(SAM)、 Core Access。NC はフルトンネル、外からアクセスのパソコンには社内用のIPアドレス が割り振られる、仮想インタ−フェ−ス。SAM はパソコンに専用ソフトを入れて使う。専 用ソフトはWeb利用、メ−ル利用、ファイル共有とか別々にある。Core Access は装置 がリバ−スプロキシとして動作する、パソコンにブラウザさえあればOKという。 NC は 社内へのサ−バへのアクセスはIPアドレスでの指定になる、ポ−ト制御はできない。 * FortiOS 5.x の SSL-VPN 機能は FortiAP-220B 無線AP1つ購入。FortiToken-200 OTPト−クン 5つセットのを1つ購入。 2つセットのが `2c/06 時点ではあったのだが5つセットが最小になった。`2c/09 FortiGate の SSL-VPN機能でスマ−トデバイスも大方やれるのでないかと2012年6月 から8月位にかけて検討した。その後 SSL-VPN 機能は改良されて来ている。 ハ−ドウェアト−クンはできるだけやりたくない。メ−ルで OTPを飛ばすことをまずやる。 ハ−ドウェアト−クンはインタ−ネット上のサイトに登録がいる。ちょっと扱いが面倒か。 FortiClient Connect はパソコンで常駐するぞ。モニタ画面の右下にアイコンがいつも出 ている。アップデ−トが失敗したともしょっちゅう出るし。 クラウド型シングルサインオンサ−ビス "ベリサイン GATE powered by CLOMO" なるもの を FortiGate と組み合わせて利用すると、クラウドサ−ビスでも安全認証ができる。 [ FortiGate 用タブレットの設定 ] Android 用アプリは2012年10月に出たのがフル・トンネルできるようになった。こ れでいい。iOS には IPSec VPN がいいとのエンジニアのお勧めである。 十分安定してい るとの話。どちらも一時的なIPアドレスを FortiGate から割り振る。 SSL-VPN アクセ スする専用のマシンが仮想的に FortiGate 内にできる、そんな感じと思えばいいのかも。 [ Android 用 FortiClient アプリ ] 最新版をとある所から入手した。とりあえずUSBキ−に入れてくれた。これをタブレッ トに入れるのだがどうやってやるのか。現在出ているいろんなメモリデバイスを使いこな すことになった。一応その検討をしたのが付録。しかし1週間もたたないうちに Android Market に出ていた。更新日は 2012/09/17 になっていた。IPSec と SSL-VPN でトンネル ができると英文の説明が載っていた。 [ Windows 用 FortiClient ソフト ] `2c/10/03 パソコンを起動したら、こんなんがでてきた。クリックしたらすぐアップした。 ------------------------------------------------------------------------ | ソフトウェア アップグレ−ド | |----------------------------------------------------------------------| | 新しいバ−ジョンの FortiClient (ver: 4.3.5) がダウンロ−ドされました | | FortiClient をアップグレ−ドしますか? | | | | はい、すぐにアップグレ−ドしてください << クリック。 | | いいえ、また再度聞かないでください | | 今はアップグレ−ドしないが、後ほど再通知してください | ------------------------------------------------------------------------ 画面下の小さなアイコン FortiClient から直ぐに吹き出しがでた。 ---------------------------------------------------- | A new version of FortiClient is being installed | | on your system. | | You will be notified again when installation | | has finished. | ---------------------------------------------------- * Android Market を経由せずに apk ファイルをデバイスにインスト−ルする方法 Android のタブレットにて。デバイスの [設定]->[アプリケ−ション]->[開発元不明のア プリ] にチェックし、次のいずれかのやり方で。1) Android SDK を使用する。2)Dropbox アプリ。ファイルを共有、同期ができるオンラインストレ−ジサ−ビス。2GB まで無料で つかえる。3) パソコンとデバイスをUSBケ−ブルでつなぐ。 マウントしてこの間でコ ピ−する。パソコンのソフトからコピ−する操作をする。 タブレットの仕様は Android、メモリ 1GB オンボ−ド、補助記憶装置 内臓フラッシュメ モリ 32GB、インタ−フェ−ス USB2.0(micro-AB)x1 USB1.1/2.0 対応。 市販の USB ケ−ブル(USB2.0 準拠 micro-A, micro-B 5ピンタイプ)。ブリッジメディア スロットの仕様、microSDメモリカ−ド 2GB、microSDHC、microSDXC 対応。 BUFFALO RMSD-BS08GSA 8GB、microSDHCメモリカ−ド+SDHC変換アダプタ、 特売してたの で620円。BUFFALO のは1個も篭になかった。 同じ 8GB のIOデ−タのは一杯あった。 IOデ−タの篭に1個だけ BUFFALO のが混じっていた。それを買った。 何年か前に買ったマクセルの USBマルチリ−ダライタ UA20-MLT は、SDメモリカ−ドは最 大 512MBまでの対応だった。これでは対応容量が少な過ぎて今時に大容量のSDは読み書き できない。店員さんに相談して勧められたのが、サンワサプライの USB2.0 マルチカ−ド リ−ダ ADR-ML1W、microSDHCカ−ド 16GB(Class 6) 対応、900円位。 * それで Aventail のHA構成はどうするの 2台によるHA構成はえらく高くなることが分かって、費用面から止めた。1台導入する ことにした。2013年の節分の頃。1日、エンジニアがやってきて設定してくれたのだ が、当日になって実はというようなことが幾つかあったりして、どうにもすんなり稼働と いう風には進められなかった。レルムという聞き慣れない用語も、 この SSL-VPN 装置の 設定を理解するのに邪魔をした。SSL-VPN 装置の設定はそんなに難しいことをやる訳でな い。 FortiGate の SSL-VPN 機能なんか結構難しいこともあったが、完全自前で設定でき た。どうも Aventail に関しては相性が悪いと言うか、必要な情報が入手できにくいとい うか。悪い時には悪いことが重なるものでプライベ−トでもいろいろ起こってしまい。ず るずる月日が経って、一発ここは仕切り直しと行こうでないかと思っている。`2e/07/E (4) スマ−トデバイスに施す安全対策 `2c/07 -------------------------------------------------------------------------------- とりあえず1つどれか市販製品を見てみようでないか。Interop でいろいろ見て聞いてパ ンフレットをもらって来ているが、1つ決めて詳しく検討してみることにしようか。 -------------------------------------------------------------------------------- * 考え方と運用ポリシ−をどうするか どこかへ行ってしまった場合に何とかできればいいのでないか。デ−タをリモ−トで消す。 どこにあるか場所まで分からなくてもいい。RDP アクセスの利用で、デバイスにデ−タを 残さないようにしていれば、デ−タを消す必要はそもそもない。 BYOD のデバイスはそもそも仕事ではNGとか。NGでいいぞ。ここは日本だ。 スマ−ト デバイスの出始めならともかく、個人で買ったものをわざわざ仕事で使いたいという輩は もうそんなにはいないと思うぞ。 NECの Android タブレットは企業向けにセキュアな機能がビルトインされている。 こ れでどれだけできるか試してみようよ。 これでそこそこ MDM の必要なことはできるので ないか。NEC Mobile Security Pro が入っている?、Android と iOS 対応。 自社の例で、既に利用されているノ−トパソコンだが、外出時の持ち出しをどうしている か。特にリモ−トロック/ワイプなんてのはやってない。 そんなソフトはそもそもないと 思うし?。あるいはスマ−トデバイスが出てきて、出来るようなのがあるとか。 スマ−トデバイスには MDM ソフトは入れないでおいて、 その代わり社内にアクセスする 際にセキュリティ対策をする案はどうか。UTMをかましてパケットフィルタリング、ウ ィルスチェック、IPSをやる。社内でも SSL-VPN 接続にするというのも。 社内でもSSL-VPN 接続にする。改めて SSL-VPN 接続の安全性はいかに。 SSL-VPN 接続し ている以上、他の変なアクセスはできないとか。社内へのサ−バにアクセスするIPアド レスとポ−トしか開けてない、いや解放しても安全であるとか。 SSL-VPN 接続で RDP する場合。 スマ−トデバイスに操作したファイルのキャッシュが残 るとか。RDP でなくトンネルの場合はどうなるのか、トンネルは端末側にファイルをそも そもダウンロ−ドできてしまう。 MDM は対象とするスマ−トデバイスの数は数十台というところか。 そのために MDM のサ −バを設置し運用するのはもったいない。デバイス単体で動作が完結するのであればいい が。クラウドのサ−ビスを利用するのがいいと思うがどうか。 今後 Android が主流になるのか iOS に転ぶのか、流動的だ。両方に対応できるよう考え ておかないといけないと思う。トレンドマイクロかマカフィ−か。それ以外でこれまで聞 いたことない会社の製品をすぐに使うかといえば、そういう訳にはいかない?。 iPad はそもそもかなり安全と言われる。 システムがクロ−ズされているので手の出しよ うがないと言うことらしい。改めてどう安全が調べてみたい。 というか Macintosh の流 れを汲むOSのため、特殊なソフトウェアというのが安全性に寄与しているのだろう。 その前にもっと基本的な確認を。スマ−トデバイスのユ−ザの種類はどうなっているのか。 管理者とか一般ユ−ザとかあるのか、これまで触ったのではあった。一般ユ−ザはIPア ドレスを変えることができないとか。そもそも設定が見えないとか。 タブレット、スマ−トフォンの一括購入。現実問題、大きな方針を会社全体あるいはその 部署で打ち出さなければ数十台の一括購入はないだろう。そうなると Android あり、iOS あり、Windows 8 あり。OSのバ−ジョンもばらばらになってしまうだろう。 * MDM はどうか、らしいものとか パソコンならソフトウェア、スマ−トデバイスならアプリがどんなのが入っているか一覧 を出すとか。資産管理ソフトと似た機能が1つ。それにデバイスを無くした場合に、遠隔 操作でロックをかける、デ−タを消す、居場所を表示する。 スマ−トデバイスにアプリを入れて何でも有効にしていると、すぐにバッテリ−の電池が 無くなってしまうとのこと。Android のスマ−トフォンを持っていて、ウィルスチェック だけにしてるという人の話とか。MDM のアプリも同様だろう。 Lifetouch のパスワ−ドロック、これは普通にある機能か。ロ−カルワイプは、設定した 回数パスワ−ドを間違えたら内臓デ−タと SDメモリカ−ド領域のデ−タを消去する。 SD メモリカ−ドのデ−タの暗号化。 Lifetouch 専用の McAfee Mobile Security という市販ソフトでは、リモ−トロック、リ モ−トデ−タ消去ができる。`2e/02にサイトを見た。国内大手キャリア2社が採用。マカ フィ−ストアで1年3台、定価2,980円(税込)。ダウンロ−ドの無料トライアル版あり。 ELECOM や BUFFALO のカタログを見るとスマホを便利に使おうとか。いろいろ小物が出て いる。個人用のもので企業でも使えるものがあるのでないか。便利グッヅという奴。他に ソフトウェアの便利なアプリもたくさん出ている。スマホの雑誌を見ないといけないか。 「日経コミュニケ−ション」2012/08, P.57〜63, "Solution Survey MDMサ−ビス 端末 管理の基本機能はほぼ横並び 通知手段や付加機能にも注目"。いろいろ聞くところをまと めると SaaS型の MDM は月3百円が相場とか言われるようである。 「Software Design」2013/03, P.100〜104, "全業務をクラウド化してISMS認証を取得、サ −バ−ワ−クスの取り組みとは?。MDM は Windows/Mac OS X/iOS/Android に対応するサ イバネット社のを利用。 * Trend Micro Mobility Security 特に MDM とうたっている風ではないが、機能面は MDM そのものである。`2c/08/24 入手 のパンフレットによれば、アドバンスのタイプが "セキュリティ対策+モバイルデバイス 管理(リモ−トロック/消去など)"。100ユ−ザ 658,000円。最低購入は5ライセンスか ら。サ−バがいろいろいるみたいだ。○○商会もかなり大きく扱っている。 インタ−ネットで利用する Android を管理する場合。 DMZ上の TMMS ポリシ−サ−バ。 イントラネットに TMMS マスタ−サ−バ、内部で SQL Server を利用。iOS 端末の場合は もっとややこしい構成になる模様。デジタルIDの管理もはいってくるらしい。本当かや。 ちょっとこんなんはやれないな。`2c/02/17 入手の 7.1 のご紹介資料で。 またサ−バを設置しないといけない。クラウドサ−ビスが利用できないか。トレンドのを ようく見たら10分でこれって使えるのかしゃんと思った。設定設置をがんばってやって もやれるのは Android 用だけで、iOS はできそうにない。そうなるとだめじゃん。 * KDDIの新規サ−ビスの動向 KDDIからのメ−ル、KDDIネットワ−クeye から。2012/09/18付け。件名:iPhone 5 を 9月21日より発売/法人契約で iPhone を導入する企業が続々と!事例をご紹介!、長 い件名のメ−ルだ。内容は"KDDI は iPhone 5 を9月21日より発売します。同時に、次 世代高速通信規格 LTE(Long Term Evolution) による「4G LTE」サ−ビスの提供を開始し ます"。このメ−ルから辿ると以下のようなサ−ビスが有ることが分かった。 Cdma Packet Access(CPA) Remote Connect for au SmartDevice(RCA) KDDI 3LM Security KDDI SmartDevice Safety Manager (iPhoneに対応したMDMサ−ビス) KDDI Flex Remote Access とはどう違うのか。 iPhone 5 を扱うKDDIとソフトバンク が最大 75Mbps の LTE サ−ビスを開始。 KDDIのモバイル接続とスマ−トデバイスの サ−ビスについて、ワッチしていくこと。他、IIJに大塚商会も注目すること。 * KASPERSKYはどうかな KASPERSKYは1つ買うと Android,Windows,Mac の3つで使える。 ただ単にカス ペルスキ−のソフトが手に入ったから、やってみようかというだけ。吟味して選んだとか いう訳ではない。先ずは自宅のパソコンに入れてみるか。問題はこれまで動いているトレ ンドマイクロのデ−モンをきれいに止めることができるか。乗り換えの手順みたいなのが もしあれば読んでみたい。トレンドマイクロのもセミナ−に出て抽選で当たりもらった。 「日経NETWORK」2013.01,"編集部が選ぶ注目ニュ−ス" から。2012年11月20日、カ スペルスキ− モバイル セキュリティfor Android MP5 をリリ−ス。スマ−トフォン版の Wi-Fi 対応タブレット版。従来から端末ロック、デ−タ消去などに加えて遠隔撮影。アル バネットワ−クスは2012年12月3日出荷開始。BYOD に向く検疫ネットワ−ク製品の新バ− ジョン Aruba ClearPass Ver.6.0。 * ユ−ザ認証サ−ビス関係のこと HP社の認証システムは。HP社からのメ−ルで 2013/04/18 に来たので、なに気なく見 たら、認証方法に関する記事が "HP IceWall SSO モバイルソリュ−ション"。HP IceWall SSO Authenticator はユ−ザID/パスワ−ドに加えワンタイムパスワ−ド(OTP) による多 要素認証を実現する。別途ハ−ドウェアト−クンは不要。参考価格 IceWallサ−バ−1台 120万円、認証サ−バ−用ライセンス 100ユ−ザ− 30万円から。結構かかりそう。 「日経コミュニケ−ションズ」2013/02, P.64〜65, "Monthly Report [Android Watch] Go ogleアカウントの「乗っ取り」急増 安全性向上へ2段階認証の利用を"。Android 端末で も利用される。従来のID+パスワ−ドの認証に加えてワンタイムパスワ−ド、2段階認 証の仕組みを提供。ワンタイムパスワ−ドの認証コ−ドはインタ−ネットでない通信手段 で通知される、電話回線や3G/4G回線で。なんかかなりやっかいみたい。 NECの認証サ−ビス。スマ−トデバイスを利用する際に高度なセキュリティを実現する、 法人向けクラウド認証サ−ビス NEC Cloud Authentication でグル−プウェア機能をオ− ルインワンで提供するクラウドサ−ビス Microsoft Office365 との連携機能の販売を開 始を発表。2013/12/09。NECのID活用基盤ソフトウェアNC7000-3A をベ−スにソフト ウェア証明書を用いた二要素認証。AD 連携できる。 * その他 FortiGate の無線LANのセミナ−で。図研ネットウェイブ社によるセミナ−。 2013年3 月22日 15:00〜17:00、参加費:無料にて、定員:15名、東京(六本木)、"FortiGate モバ イルソリュ−ション まるわかり セミナ−、UTM FortiGate、 無線環境をセキュアに提供 する FortiAP を中心に、VeriSignの MDM などのデモを交え詳しくご紹介いたします"。 LifeTouch のパンフレット入手`2d/02/06。Android 搭載タブレット LifeTouch L ビジネ ス向けモデル。パンフレットの日付をみたら 2012年10月現在とあった。 前に調べた時と どこか変わったか。ほとんど変わってないように見えるが。他社も業務用タブレットを出 しているらしい、しかし感触としては業務用はNECしかないような気がするのだが。 (5) 選択肢が広がるリモ−トアクセス `2e/03〜 * 最新ネットワ−ク技術のSDN NTTコミュニケ−ションズの "Arcster Universal One モバイル" というサ−ビスを使 えば、SSL-VPN装置は不要にできる。 今後リモ−トアクセスの手段に大きな一石を投じる ものだと思う。USBタイプのモバイル通信端末が支給される。この装置の固有の番号な りIDが認識に使われているもよう。インタ−ネットを経由せずにモバイルキャリア網と VPNを直接につなぐ閉域接続となる。タブレットとスマ−トフォンにもそんな外付けの 通信装置を付ける訳?。オプションでユ−ザ認証の強化ができる。MCOP認証、ソフトウェ アによるワンタイムパスワ−ド、携帯電話の画面に表示される。固定IPアドレスを1つ 付けるみたいだぞ。国際ロ−ミングも料金はかかりそうだができる。問題は既存のWAN サ−ビスの会社を変えないといけない?、リモ−トアクセスだけの部分が導入できる?。 * 以前よりあるWANのサ−ビス インタ−ネットは使わずにNTTPCコミュニケ−ションズの閉域網を使う Master'sONE セキュアモバイル定額通信サ−ビス。"20-5. シンプルにネットワ−クを, (1)全社ネット ワ−ク環境の検討" に記述した。IIJも同じような感じでリモ−トアクセスができるサ −ビスがあった。IIJのモバイルも同じようなことでなかったか。インタ−ネットのゲ −トウェイのところに中継機器がいったのでなかったか。NTTコミュニケ−ションズの サ−ビスって、よくみたら前からあるぞ。SDNうんぬんという前からある。SDNの技 術でやっているのか。改めて調べてみた、NTTコミは以前から Arcstar Universal One というWANサ−ビスをやっていて、2014年3月にSDN技術を使った新しいVPN サ−ビス Arcstar Universal One Virtual( UNO Virtual )を開始したということ。 * MobileIron が何かよさそう INTEROP 2014 での説明とか、その少し前から気になり始めていたのが MobileIron。専用 装置を2台、DMZに設置するとのこと。Sentry インテリジェントゲ−トウェイ、VSPポ リシ−管理エンジン。Sentry の仕組みは SSL-VPN らしい、他のメ−カの SSL-VPN装置で もいいらしい?。VSP はクライアント用のデジタルIDの発行管理をする。展示ブ−スで のデモでは、クライアント用のデジタルIDが簡単にデバイスに入ることを強調していた。 EDM でなく EMM と言っている、Enterprise Mobility Management。 その後SI業者に聞 いたところ Windows は対応してなくて、ともかく高いという話だった。 デジタルIDが 簡単に扱えるのなら検討してもいいかなと思っていたが、よろしくなかった。 * DirectAccess は使えそうか DirectAccess のことは2013年7月ぐらいに日経の雑誌で知った。 実例が出てきてい る訳で、SSL-VPN 装置はもうなくてもいい?。Windows 2012 Server になってだいぶ使わ れるようになったらしい。 Windows OSの機能な訳で不安定な SSL-VPN の代わりに期待 したいところである。利用には Windows サ−バをDMZに置くこと。 ライセンスのSA がいる。Windows 7 や 8 では Enterprise ライセンスがいる。 あるSI業者は何も安全 対策を追加せずに利用している。これには少々驚いたけど。インタ−ネットのネットワ− クにつなぐと、ログオンする前の時点で、直ちに社内ネットワ−クはつながっているとい う。幾つかのSI業者に当たってみたが、利用しているという話は聞かれなかった。 * ActiveSync とやらはどうか ActiveSync は Microsoftが開発したモバイル端末用のデ−タ同期の仕組みである。HTTPS で一定の時間間隔でサ−バにアクセスにいく。ボットのC&Cみたいな仕組みと思えばい いのでないか。サ−バ側ではその人用の荷物を窓口にだしておいて、見にきて荷物があれ ばもっていってもらう。それがメ−ルであったり、ディスクの消去指示のリモ−トワイプ だったりする。ActiveSync は Exchangeサ−バ用のアクセスソフトとして最初開発された。 その後 Office 365 にも対応した。ActiveSync のクライアントソフトは Windows XPとか 7には入ってない。Windows 8.1 には入っているし、iOS や Android のメ−ルのアプリに 機能が入っている。ActiveSync にはリモ−トワイプなど簡易 MDM 機能が入っている。 * Office 365 アクセス専用サ−ビス クラウドのサ−ビスを利用し始めると、これまでのように単純に SSL-VPN経由で社内にア クセスしてネで済まなくなってくる。例えば外出先から直接 Office 365 へアクセスでき ればということになる。認証がそれなりにきちんとできるかが問題である。グル−プウェ アの Exchage と Notes 用に Good というサ−ビスがあって、外から社内のこれらサ−バ にアクセスするサ−ビスがあった。それが Office 365 が出てきて対応した。Goodでは専 用サ−バが社内に設置が必要。ペンタゴンも利用されている。Office 365、Exchage は認 証はユ−ザのアカウントだけである。SSL-VPN 装置には ActiveSync 機能がたいがいあり、 Office 365、Exchage のリバ−スプロキシとして働く。認証のクッションの役目をする。 * サ−バ経由型または P-to-P(P2P) 型サ−ビス 社内の自分のパソコンを起動しソフトを稼働させておいて、クラウド上のサ−ビスにアク セス。このプロトコルは HTTP か HTTPS で、 ファイアウォ−ルに穴をあけなくてもいい。 そしてノ−トパソコンやスマ−トデバイスでもソフトを稼働させ、外からクラウド上のサ −ビスにアクセス。お互いにクラウドのサ−バにアクセスして、そこでトンネルを張るの である。社内にクラウドのサ−ビスと中継する専用サ−バを設置するのもある。Web会 議もこの仕組みが多い、"ADOBE CONNECT" とかいろいろ。BCP対策で CACHATTO という サ−ビスが出入りのSI業者が導入していた、社内のWebやメ−ルなど特定サ−バへの アクセスである。社内のパソコンへのRDPアクセスに 2XSoftware 社とかもある。 * SSL-VPN 装置にある自動接続の機能 Juniper MAG の仕様を見るとVPNオンデマンド接続というのが書かれている。説明を読 むと、Juniper MAG のOSである Junos Puls はVPNオンデマンドをサポ−トしていて、 定義されたドメインにアクセスする際の、証明書を介したシ−ムレスなVPN接続を可能 にする。手動で操作することなく自動的にVPN接続ができる。ユ−ザID、パスワ−ド を入れることなく社内にアクセスができる。その気で他のメ−カの SSL-VPN装置のカタロ グを見ると、Aventail でも似たようなことが書かれてあった。Windows Server に入れる ソフトがあって、Windows Server 同士で必要に応じてVPN接続するというのだ。 普通 は SSL-VPN は人が操作して利用するのだが、コンピュ−タ同士でも利用できるらしい?。 * クラウドの SSL-VPN サ−ビス クラウド上の SSL-VPN装置を使うのはいいのだが、社内ネットワ−クに入らないといけな い訳で、そこで何らかの装置をDMZにおいてとなると、クラウドであるメリットが薄れ てしまう。○○商会のサ−ビスはその形だと思う。`2g/06/s、ソリトン社のサイトを見て たら Soliton Secure Desktop という製品があった。オンプレミス型とクラウド型あって クラウド型では電子証明書はソリトン社が用意。証明機関CAはソリトンが提供。1ユ− ザ月額1,000円。10ユ−ザ単位で追加できる。 社内には自分のパソコンが必要でサ−バ 経由型で、自分のパソコンには Streamer Agent ソフトをインスト−ルしておく。クラウ ドの SSL-VPN サ−ビスなりリモ−トアクセスのサ−ビスはどうしてもこの形態だろう。 ------------------------------------------------------------------------------------ [ 付録 ] SSL-VPN 装置 Aventail のHA構成の検討 * Aventail のHA構成を FortiGate で検討 `2c/09/s SI業者によれば Aventail のHA構成はパケットが入るDMZと、出ていくDMZのセ グメントが必要とのこと。HA構成にするために、そんな厄介なネットワ−クになるのか。 俄に信じ難い話だ、本当かや。手元の FortiGate-80CでDMZをもう1つ作って感じを掴 む。FortiGate-80C にはWANポ−トは2つ WAN1 と WAN2 が、DMZポ−トは1つある。 FortiGate-310B はDMZのインタ−フェ−スは容易に複数設けることができる。310B で は特にDMZ、WAN、LAN用と物理ポ−トがあるのではない。好きなように割り当て ることができる。310B は本稼働しているわけで、その前に手元の FortiGate-80C なんか でテストをやりたい。FortiGate-80C でどうにかやれないか。 FortiGate-80C のWANとDMZポ−トの役目を入れ替えればできるかも。 Fortinet 社 の営業さんにちょっと聞いたら、できると聞いたことがあるよとのこと。それだけ聞き出 せれば十分、多分やれると踏んだ。 じっと FortiGate-80C のインタ−フェ−スのメニュ −の所をみて、VLANかあと思った。その線でトライしたら半日で動作を確認できた。 [ FortiGate-80C の設定のセ−ブとロ−ド ] 以前やったのとメニュ−がちょっと変わっていた。改めてやってみた。ファ−ムウェアは v4.0,build0535,120511 (MR3 Patch 7)。[システム]->[ダッシュボ−ド]->[Dashboard]の {システムステ−タス} 画面で"システムコンフィグレ−ション 最後のバックアップ: Tue Sep 4 15:34:00 2012、[バックアップ] [リストア] [版数]"。[版数] は何かハテナ。 [バックアップ] をクリックすると "◎ロ−カルPC ○FortiManager ○USBディスク" が出 てくる、[バックアップ][キャンセル] メニュ−で [バックアップ]クリック。フォルダの 指定とかはなく、勝手に D:\My Documents\ダウンロ−ド\ に入った。 ファイル名検索し て分かった。FGT80C3910xxxxxx_20120904.conf、150 KB、ONFファイル、更新日時の表示。 --------------------------------------------------- セ−ブした設定ファイルを戻す | 次のファイルを開こうとしています | には [リストア] で、フォルダ | #FGT80Cxxxxxx_20120904.conf | をD:\My Documents\ダウンロ− | ファイルの種類: conf File | ド\ 選ぶと FGT80Cxxxxxx_2012 | ファイルの場所: http://192.168.10.11 | 0904.conf というファイルが表 | このファイルをどのように処理するか選んでください| 示される。これまでセ−ブした | ○プログラムで開く | のが列挙される。リストアを実 | ◎ファイルを保存する | 行すると1分位通信が途絶える。 | [ OK ][キャンセル] | ブラウザを再表示してみること。 --------------------------------------------------- 2013年9月なかば、現在の状態をセ−ブしておこうと思い、またはまった。メニュ− がなかなか分からなくなってしまい、2時間ぐらいロスした。 勝手に D:\My Documents\ ダウンロ−ド に入ったと以前に書いたが違うみたい。 最後にセ−ブしたフォルダを覚え ていて出てくるみたい。 Aventail を触っていて Aventail の状態をセ−ブした際のがで てきた。もう1つの話。透過モ−ドで無線LANの設定をしてあった、全部LANポ−ト につながれていた。ユ−ザ認証をやってみようとした。 wan1 ポ−トを社内ネットにつな いで、internal から wan1 のパケットでユ−ザ認証をやってみようとした 。それがそも そも外へパケットが出ていかない。装置を再起動したらスカスカ通った。これが分かるま で1日かかった。上位ハブにアライドの安いハブなのでMACアドレスのつけかえなんか がうまくできていなかったのかも知れない。ここの件どういうことだったかうる覚えだ!。 [ とりあえず何かやってみた ] FortiGate-80C にはWANは2つ wan1 と wan2 がある。DMZは dmzの1つだけである。 [システム]->[ネットワ−ク]->[インタ−フェ−ス] の {新規インタ−フェ−ス}でひょっ としてやれるのか。設定できるとしたらここしかないと思う。 [システム]->[ネットワ−ク]->[インタ−フェ−ス]、インタ−フェ−スの名前 "dmz"には、 メニュ−に {□ワンア−ムSnifferを有効} が余分にある。"internal" と "wan1","wan2" にはない。他のメニュ−は一緒である。 [システム]->[ネットワ−ク]->[インタ−フェ−ス] の {新規作成} をクリック。 ------------------------------------------------------- | 新規インタ−フェ−ス | |-----------------------------------------------------| | インタ−フェ−ス名 [ ] | タイプ [VLAN ▽] << ル−プバックインタ−フェ−ス、ソフトウェア | インタ−フェ−ス [dmz ▽] << dmz,internal,wan1,wan2。 スイッチ。 | VLAN ID [ ] | ---------------------------------------------------| | アグレッシングモ−ド ◎マニュアル ○DHCP ○PPPoE | | IP/ネットマスク: [0.0.0.0/0.0.0.0 ] | | | | | □セカンダリIPアドレス | | | | 管理ステ−タス ○アップ(↑) ◎ダウン(↓) | | [ OK ] [キャンセル] [適用] | ------------------------------------------------------- 既存の "internal" と "wan1"、"wan2" と "dmz" の設定画面には VLANの項目はない。し かし {新規作成} で VLAN ID を入れよと出ているからには、 既存のインタ−フェ−スに は何がしか VLAN ID が付いているのでないか。いやカラム設定で VLAN ID を表示するよ うにしても空白のままである、多分付けることはできないのだろう。 ともかく既存の "dmz" に適当なIPアドレス 192.168.2.1 を振ってDMZセグメントを 作ろう。そしてもう1つDMZを {新規作成} で作ってみよう、VLAN ID も適当に付けて みよう。もう1つはインタ−フェ−ス名[dmz2] と名前を付けた、インタ−フェ−ス[dmz]、 タイプ[VLAN]、VLAN ID[11]、IP/ネットマスク[192.168.3.1/255.255.255.0]。 --------- □Qube3 VLAN ID[] PCのデフォルトゲ−トウェイは 192.168.1.1。 | |.1 |.2 192.168.2.0 PC から 192.168.2.2 へは通ることを確認し | dmz*---------------------- てある。ひょっとして同じネットワ−クケ− | |.1 |.2 192.168.3.0 ブル上にセグメントの異なるIPアドレスを PC△ ----*---- □ VLAN ID[11] マシンに付けることができたりするかも知れ | .1 |internal ない。Qube3を 192.168.3.2 にしてみた。ダ --------------------- 192.168.1.0 メ、そんな非論理的な事はできようなかった。 一日トライして、最後にVLAN対応のハブをかましたらどうかと思った。FortiGate の dmz ポ−トにVLAN対応のハブをつないで、VLANを切り分けるのである。そうすれ ばできるかも知れない。しかし 192.168.3.0 側はVLAN設定をしたが、192.168.2.0側 はVLANの設定は何もしてない、できない訳で、そんなことはできないと思うのだが。 [ できたところの様子をメモ ] 次の日、アライドテレシスのハブ GS908SS をキャビネットから取り出して、早速 VLANの 設定をやってみた。PC から ping を192.168.2.1 と 192.168.3.1 に飛ばすことが先ずで きた。FortiGate とハブでタグVLANを設定するイメ−ジである。VLANは1つはデフォ ルト、もう1つは VALN 番号 11。そんなように予想して設定したら直ぐにできた。 ◇Router □Qube3(DG:192.168.4.2) 1番ポ−トはタグVLAN指定で |.2 192.168.4.0 |.3 VLANの11番が属する。8番ポ -------------------------- Qube3(DG:192.168.2.1) −トはただのVLANでVLAN 名 |4.1 □ dmz2、VLAN IDは11番とする。 NAT---------dmz ------他 |.2 | |2.1 | |--------- 192.168.2.0 ------ | DMZ|------|[1] | | | | |3.1 | |--------- 192.168.3.0 ---|[1] | PC△ ---------dmz2 ------[8] |.2 | [8]|--- |.2 |1.1 □ ------ -------------------------- Qube3(DG:192.168.3.1) FortiGate の dmz2 の VLAN 192.168.1.0 ID も合わせて 11 番にした。 Manager > create vlan=dmz2 vid=11 << アライドテレシスのハブ GS908SS を設定。 Manager > add vlan=dmz2 port=8 Windows XP のハイパ−タ−ミナルを使い Manager > add vlan=11 port=1 frame=tagged RS-232C 接続して、これらだけ設定した。 [システム]->[ネットワ−ク]->[インタ−フェ−ス] ※255.. は 255.255.255.0。 (+)新規作成 ▼ -------------------------------------------------------------------------------- |□ 名前 IP/ネットマスク 管理ステ−タス リンクステ−タス VLAN ID タイプ |------------------------------------------------------------------------------- |□ dmz 192.168.2.1/255.. ↑ ↑ 物理 |□ dmz2 192.168.3.1/255.. ↑ 11 VLAN |□ internal 192.168.1.1/255.. ↑ ↑ 物理 |□ wan1 192.168.4.1/255.. ↑ ↓ 物理 [ポリシ−]->[ポリシ−]->[ポリシ−] -------------------------------------------------------------------------- |シ−ケンス番号 送信元 宛先 サ−ビス アクション ステ−タス NAT |------------------------------------------------------------------------- |▼ internal -> dmz(1) | 1 all all ANY 〆ACCEPT 〆 〆 |▼ internal -> dmz2(1) | 2 all all ANY 〆ACCEPT 〆 〆 * アライドテレシスのハブ GS908SS を設定 CentreCOM レイヤ−2 Light ギガビット インテリジェント・スイッチ。10/100/1000T対 応の GS908SS、8port、54,800+税。タグVLAN、マルチプルVLAN、QoS に対応。 Manager > create vlan=dmz2 vid=11 << 成功すると "Operation successful." と出る。 Manager > add vlan=dmz2 port=8 << ハブのどのポ−トをどの VLANに割り当てるか。 Manager > show vlan << 設定された様子を表示してみた。 VLAN information (VLAN mode: 802.1Q) ------------------------------- Name ............. default 1) この設定で変わった、> show vlan 参照。 Indentifier ...... 1 Manager > add vlan=11 port=1 frame=tagged Status ............ Static Operation successful. Untagged Ports .... 1-7 Tagged Ports ...... None 2) こちらの設定では特に変わった所はなし。 Trunk Ports ....... None Manager > add vlan=1 port=1 frame=tagged Mirror Port ....... None Port 1 already belongs to the VLAN 続く IP Interface ...... None specified. ------------------------------- Manager > show vlan Name ............. dmz2 Name ............. dmz2 Indentifier ...... 11 Indentifier ...... 11 Status ............ Static Status ............ Static Untagged Ports .... 8 Untagged Ports .... 8 Tagged Ports ...... None Tagged Ports ...... 1 << 1) でこうなった。 Trunk Ports ....... None Trunk Ports ....... None IP Interface ...... None IP Interface ...... None ------------------------------- [ VLAN の設定を消去する ] Manager > del vlan=11 port=1 << タグポ−トの定義を消してからでないと、更 Manager > del vlan=11 port=8 << に VLAN ポ−トの定義を消してからでないと、 Manager > des vlan=dmz2 << 定義した VLAN、dmz2 を消すことができない。 いったん VLAN の設定を上記で消して、VLAN IDの番号を FortiGate のDMZと異なるも のに付け替えてみた。だめだった。FortiGate と同じ VLAN の番号にしないといけない。 [ VLAN 設定のヘルプ ] Manager > help vlan バ−チャルLAN Help ADd Vlan port VLANにポ−トを追加 Help CReate Vlan VLANを作成 Help DELete Vlan port VLANからポ−トを削除 Help DEStroy Vlan Mode VLANを削除 Help SEt Vlan Mode VLANのモ−ドを変更 Help SEt Vlan Port VLAN所属ポ−トのタグ付き・タグなし設定を変更 Help SHow Vlan VLAN情報を表示 Help SHow Vlan Mode VLANのモ−ドを表示 * 2台でのHA構成についてようやく分かった `2e/11/m〜E SI業者のエンジニアのとんちんかんな説明でかなり混乱させられた。しつこく調べてい る内に Juniper MAG での話を見つけた。 ハンズオントレ−ニングに参加した人がブログ で書いていたことで講師の話として、 日本では Internal を DMZ に接続する1本足構成 が多いが、海外では External を DMZ に Internal を LAN に接続する2本足構成が多い。 2本足構成が柔軟な設計ができるという記事もどこかで見た。これら意味するところはし ばらく分からなかった。いろいろ他のSI業者に尋ねてみたりしたが、結局は自分で答え らしきものを見つけた。2本足構成が海外で採用されるケ−スが多いというのも何となく 分かった。ようやくどういうネットワ−クの設定をすればいいのか、イメ−ジが分かって きた。 今ならこの SSL-VPN 装置のHA構成のネットワ−クの設定は自前でやれると思う。 しかし安全性の見解までは出せないでいる。多分、大丈夫だろうとしか言えない。 柔軟な設計ができるということの意味は。1本はDMZにつなぐ、もう1本はLANにつ なぐ。普通の設置ではDMZからLANへのアクセスはUTMを通るため、パケットを通 すル−ルを設定しないといけない。DMZからLANへのアクセスはUTMを通らないの で、このル−ル設定がいらない。 社内の個々の人のパソコンに RDP アクセスをやるよう な場合は、それぞれのル−ルをUTMで追加していかないけないので面倒である。たぶん 柔軟な設計うんぬんはこのことだと思う。SSL-VPN 装置のLAN側の経路設定は、特に難 しいことではない、社内LANに設置のパソコン同様、デフォルトゲ−トウェイをレイヤ 3スイッチなどに向けるだけである。SSL-VPN 装置2台でのHA構成の場合でも仮想的に 付けるIPアドレス、DMZとLAN側があるが、それで設定していけばいい。 2本足構成の場合、危険性は無い訳ではない。外から SSL-VPN装置にコマンドレベルで入 られて、そこから社内に攻撃をしかけられたら。そんなことが可能かどうかということが ポイントなのだが、それは SSL-VPN装置を製造しているメ−カにでも聞いてみないと分か らない。SSL 3.0 の脆弱性とかは SSL-VPN装置でも事実ある、それでどうなのかという話 だが、それ以上のことは分からない。ともかくファイアウォ−ルを通らないので何でもで きてしまう。外からDMZ上の装置にアクセスして、たとえば管理者権限でログインされ、 コマンドを打てる画面に入ったとする。そして社内のサ−バなどに telnet したりできて しまうと非常に問題である。装置に侵入されても特にできことがなければそう問題ではな い。外からは管理画面にはアクセスできないように、そもそも制限をかけるが。