21-7. 安い早い安心は都合が良過ぎ `2c/01〜 (1) ITは牛丼屋とは行かない * 問題又はトラブルの起き方 トラブルは単発で起こるばかりでなく、経験的に幾つか重なって起こる事の方が多い。同 時期に起こってしまう事がしばしばある。何かやろうとする際、これぐらいは大丈夫だろ うと確認をしなかった事はたいがいはまる。タイミングよくレアなトラブルが起こる。 即座に対応しなければいけないこともある。しかし慌てて対応して原因の痕跡を消してし まってはいけない。またトラブルは繰り返すことになる。長期的な対策も合わせて検討し なければならない。それができていっぱしのエンジニアである。 トラブルは実はそんな難しいことで起こっているのではない。むしろ人的な要因で複雑に し、困難にしていることが往々にしてある。誰それさんがこう言ったから、この装置は問 題ないとみていいだろうとか。起きている現象を曇りのない目で見よう、観察しよう。 * 一見無いように見える問題 業者は往々にして強引に設定してしまう。その場限りのやっつけ仕事でできましたと帰っ てしまう。不完全な設定のままシステムが稼働することになる。潜在的に問題はある状態 であり、セキュリティの穴があいたままの可能性も十分考えられる。危険な状態である。 問題がないというのが、本当に問題がないとは直ちに言えない。問題がないんじゃなくて、 そこの人にはそもそも技術力がない、あるいは技術力不足で分からないということもある。 そこの人というのは作業をやってもらったSI業者、それに自分達自身である。 やっつけ仕事の設定で、そんなんでしばらく動いていると、少しずつ問題が発覚してくる。 果てその時、業者はやってきて直してくれるのか。はなはだ疑問だ。直す能力がそもそも 欠如している可能性だってある。もし直してくれても、それもまたやっつけ仕事という。 * 問題解決のための一口メモ 問題解決のためなら成り振り構うな。立っているなら親でもつかえ。 別な業者にも話をしろ相談しろ。お互いそれが情報の共有になるのだ。 しかしギブ&テイクが原則。くれくれはいずれ相手にされなくなる。 客観的に冷静に、外野に惑わされるな。声の大きさにひるむでない。 因果応報、原因があって結果がある。仏教の根本原理はITでも一緒。 あらゆる可能性を排除しないこと。往々にして排除したのが原因になる。 SI業者の言葉のちゃんと設定されているはずですは、参考程度に聞け。 業者の根拠のない大丈夫という話は直ちに信用しないこと。全て確認せよ。 往々にしてマイクロソフトのOSやIEが原因になっている場合がある。 肝心の元祖牛丼屋、出てくるのが遅い、味はライバルに追い付かれ割高。 * 問題解決のための能書き 難しいということとややこしいというのは別物。大学院の時、3つ年上の助手の教官によ く言われた。ややこしいのはただ面倒なだけで手順をきちんと追えば解決できる話だ。 分からないことを分からないということ。SI業者のエンジニアなんかに下手に難しいと 言われると、思わず引き下がってしまう。なかなか手をつけられないことになってしまう。 SI業者のエンジニアから回答を引き出す。これも技術。ナレッジエンジニアリングとい う。こちらからノウハウを一部提供して、その上で相手から知っていることを聞き出す。 できる人間を掴えておけ。小生には10年以上、懇意にしているSI業者のエンジニアが いる。一緒にインタ−ネット接続周りをやってきた社外協力者といってもいい人物だ。 * ネットワ−クのテスト環境 普段使いのデスクトップの他にノ−トパソコンがある。UTMの FortiGateや侵入防御装 置、それにHP仮想サ−バの VMware の設定などで使っている。ネットワ−クのテストを する際にはこの2台であっちゃこっちゃしている。ノ−トが XP でデスクトップは 2000。 Windows XP Professional の画面で [画面のプロパティ]->[デザイン]の{ウィンドウとボ タン} で "Windows XP スタイル" がデフォルトになっているのを、[Windows クラシック スタイル ▼] にした方が安定すると懇意にしているエンジニアに教えてもらった。 FortiGate は 80C をテスト用で。サ−バにずっと昔に買った Cobalt Qube3 2台、 数年 前に買った OpenBlockS 1台。 ネットワ−ク装置は予備のレイヤ3スイッチ Cisco 3750、 Cisco 2960。アライドのスイッチも SNMP 対応やミラ−対応のが数台あり。 ハブはスイッチではなく、ただのハブもある。パケットをキャプチャして流れを見る時に 必要。古いのを捨てずに幾つか置いてある。RS-232C のケ−ブルとコネクタもいろいろ置 いている。よく使うのは Cisco の黒色のペラペラした RS-232C ケ−ブル。 パソコンに入れてあるソフトは FFFTP、TeraTerm Pro、Lhaz、秀丸エディタ、windump な ど。SSL-VPN 装置のクライアント用ソフトは確認でたま−に使う。以前入れたソフトでは ASTEC Eyes、動くかや。ウィルスチェックと資産管理のソフトはパソコン屋が入れた。 * よその牛丼屋も見てみよう 牛肉の量が少ないとか、味が落ちたとか。同じ店だけでああだこうだ言っていても始まら ない。他の牛丼屋の状況も見てみることが、時として必要だ。同様なことがネットワ−ク が遅い、メ−ルがちっとも来ない。そんなことにも当てはまる。愛知県下にある某超大手 企業の話。メ−ルは送信して相手に届くまで15分位かかる。社内間なのか、外からその 会社へのメ−ルなのか。そこまでは言ってなかったが。前に噂は耳にしていたが本当だっ た。とあるSI会社の事例紹介でその会社の人がぽろっと話していた。よそさんに比べて 社内のITは結構遅れていると。えらく風通しのいい会社だな。 日本一コスト意識が高い会社のはずだが。まあその会社がそんなこと言っていたら、日本 全国のあまたある会社はどうなるの。インタ−ネットへのアクセスも相当遅いらしい。建 物の設備も修理や部品交換で極力済ませるようで、出入りの業者の目からみてもボロボロ。 すっきりやり変えた方が安いのでないかとか。そんなことでネットワ−クの配線にサ−バ や各種装置もすごい事になっているらしい。破綻寸前で持ちこたえているようにしか見え ないという。内情は分からんもんです。だからと言って、自社はこんなもんでいいやとは 短絡思考は起こさないこと。文句を言うだけの輩には、参考事例として話すのはいいよ。 * 時々プロキシサ−バが問題に プロキシサ−バではDNSの参照先を自社のDMZに設置のDNSサ−バのマシンのIP アドレスにずっとしている。一時プロバイダのDNSサ−バにしたことがある。アカマイ を利用しているサイトへのアクセスができず、DNSの参照先を変更して見れるようにし たという経緯があった。ある時期、一部のパソコンで外のサイトへのアクセスがやたら遅 くなる現象が起きた。2ヶ月ぐらい原因が分からなかった。プロバイダのDNSサ−バの 名前解決のレスポンスがとても悪くなっていると分かった。プロキシサ−バのマシンに入 って nslookup コマンドで応答を見た。トラブルの対策はもぐら叩きみたいである。 社内でもある部署でしかこの現象は起きてなかった。IEのバ−ジョンが関係していたの かも知れない。ちょうどファイアウォ−ルを置き換えるのとタイミングが重なり、置き換 えでもトラブっていたので、原因の特定にすごく手間どった。悪い時には悪いことが重な るものでスイッチングハブのタグVLANのIDの整合性が問題だった。FireWall-1から FortiGate に変える際にハブ周りもいじってそれがトラブルの元になった。どのパソコン からでも遅いなら、まだ原因を調べるのがやり易かったのだが。そんなこともあって、プ ロキシサ−バのDNS参照先のIPアドレスをいじるのは慎重になってしまう。 * セキュリティ意識のなさ 猿の目の前にバナナをおいて、お昼になるまで食べてはいけませんという。もし食べてし まったらモラルがとても低い、おばかなお猿さんとレッテルをはる。そしてお昼のバナナ は何日か抜きだ。何をとろいことを言っている。どっちが馬鹿なのか、猿か人か。そもそ もバナナは昼ご飯になってから、その時に出せばいいのだ。目の前にあれば、猿に限らず 人間でもつい手をだしてしまうぞ。ただし盲導犬は先ず食べない。すごく訓練されている。 その忍耐のさまは人間以上だ。昔、あるパ−ティがあって立食出いろいろ食べ物があった。 盲導犬がその会場にも連れて来られていた。食べ物を上げようとするご婦人がいたが、盲 導犬は匂いこそかいだものの口をあけなかった。盲導犬はえさの時間は決まっていて、勝 手な解釈で可愛そうだとか気なしに食べ物をほらほらなどと、やってはいけない。 (2) ネットワ−ク装置系その1 * あらゆる可能性を排除しない事 スイッチングハブでパケットがル−プを作っていないか。どこか末端のところで知らずに 誰か適当にケ−ブルを差してしまって知らん顔をしていないか。そんなことでネットワ− クがとても挙動不審になる。どうやったらル−プになっているのが分かるか。ある島だけ 全く通信できなくなることが多いはずである。ル−プを作る場合というのは2通りあるの でないか。ネットワ−ク経路のレベルでが1つ、レイヤ3レベルでということ。もう1つ はレイヤ2レベルでのスイッチだけでの単なる回路。これはアライドのスイッチでル−プ 検知機能があってル−プを止めるというレベル。 Switch>show cdp nei Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID Switch Gig 1/0/1 172 R S I WS-C3750G-Gig 1/0/2 Switch Gig 1/0/2 152 R S I WS-C3750G-Gig 1/0/1 ポ−ト1と2は別VLANで、ポ−ト1は例えば 192.168.1.0、ポ−ト2は 192.168.2.0 セグメント。ポ−ト1と2の先にスイッチが1つありそこに2つともケ−ブルが繋がって いると、このような表示がでてくる。ル−プが起きている。スイッチが Cisco製品で1つ で正常に繋がっているのなら、このコマンドで出てくるのは1つだけのはずである。 nei は neighbor の略。 Switch>show cdp nei detail とやると繋がっているスイッチの詳し い情報が出てくるが、ル−プになっていることは分かるのか、スイッチに付けられたIP アドレスとかソフトウェアのバ−ジョンなどが出てくる。 手元の Cisoc のレイヤ3スイッチでテストしたら、 コマンドを叩けばル−プの状態にな ればすぐにこの表示が出てくる。#no cdp run をやってなければ、装置に telnet アクセ スすれば Native VLAN mismatch というのがでてきたはずである。いつこんなル−プがで きてしまったのか、それが分かると有難いのだが、そこまでは無理か。ネットワ−ク構成 図を出すソフトはどうか。何ぞ1つきちっと使ってみないといけない。いつから止まらず に動いていたかは分かる。Switch>show versionで "Switch uptime is 31 weeks, 6 days, 35 minutes" などとでてくる。31週は動き続けていることが分かる。 * 仮想マシン REHL での経路設定 # route del default デフォルトル−トを消す。 # route add default gw 192.168.1.2 dev eth0 デフォルトル−トを設定する。 # route add -net 192.168.2.0 netmask 255.255.255.0 dev eth0 静的経路を追加する。 3番目のは静的経路を追加する設定と思っていたがどうも違うような気がする。ゲ−トウ ェイ Gateway の指定をしてない訳で、それで静的経路が設定できるはずがない。 静的経 路の操作は #system-config-network コマンド叩いて画面でやった方がよさそうである。 # netstat -rn Destination Gateway Genmask Flags MSS Window irtt lface 192.168.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 << 定義してな 0.0.0.0 192.168.1.2 0.0.0.0 UG 0 0 0 0 eth0 いのに勝手 に出てくる。 # route del -net 192.168.0.0 netmask 255.255.0.0 dev eth0 << # route del -net 169.254.0.0 netmask 255.255.0.0 dev eth0 << 静的経路を消去する。 インタ−フェ−スを操作するコマンド #system-config-network でGUI画面を出し、デ フォルトル−トを消して、別なIPアドレスを記述して [停止] し [起動] をクリックし た。#traceroute でパケットを見たら、前のデフォルトル−トのIPアドレスに先ず行っ ていた。おかしいので、仮想マシンを [再起動] したらデフォルトル−トは変わっていた。 いや、数日してやってみたら[再起動]しなくてもデフォルトル−トは変わった。3時の休 憩が終わった瞬間に、この仮想マシンでデフォルトル−トを変更し、スタティックル−ト を追加した。経路の記述を画面で作っておいて、[停止] [起動] をやった。この間ものの 10秒だった。169.254.0.0 という静的経路はほかっておいても害はなさそうだ。かつて INDY でも勝手に幾つか静的経路があった。その時もずっとほかっていたのだった。 しか しすっきりさせるために、勝手に出てきたスタティックル−トは消去することにする。 * ネットワ−ク装置の全二重/半二重 アライドの CentreCOM FS917M と GS908XL を用いて確認してみた。 パソコンの RS-232C ポ−トと FS917M の CONSOLE PORT を Cisco のペラペラ黒ケ−ブルでつないだ。 これで ログインして設定して状態を見た。RS-232C のパラメ−タは 9600 8-N-1、HyperTerminal にて。申し訳ないですが、これまでネットワ−クで全二重/半二重というのは、あまり気 にしなかった。アライドのハブの点灯する色も赤はよろしくないなという程度だった。 すでに動いている Cobalt Qube3 を FS917M の1番ポ−トにつないだ。 100 Mbps の半二 重で接続されていると出た。Qube3を再起動したら全二重 full duplex になった。FS917M のポ−トの上の左右に小さなランプがある。どちらも緑色で点灯していたら速度も出て通 信しているということになる。装置前面左側にある MODE ボタンで、ポ−トのところの小 さなランプが速度(SPEED)を示すか全/半二重(DUPLEX)かを示すかセレクトする。 次に GS908XL をもってきて FS917M とつないでみた。こちらのテストでは Qube3 は関係 なし。GS908XL は全ポ−ト 10/100/1000BASE-T である。GS908XL を FS917M の 17R ポ− トとつないだら、Actual speed/duplex は 1000 Mbps, ful duplex とでた。GS908XLには 前面にディップスイッチやリンク状態を一括して示すランプがある。ディップスイッチは 購入したままでいいだろう。ランプは要は緑色がついていればOKと思っていい。 Manager > show vlan VLAN Int ---------------------------------- Name ............... default Identifier ......... 1 Status ............. Static Protected Ports .... None Untagged Ports ..... All Tagged Ports ....... None Trunk Ports ........ None Mirror Port ........ None IP Interface ....... None ---------------------------------- Manager > show switch port Switch Port Information ---------------------------------- Port .................... 1 << 1〜16ポ−トは10/100BASE-T、 Description ............. - 17Rポ−トは 1000BASE-T ま Status .................. Enabled で対応する。 Link State .............. Up Uptime .................. 00:00:14 Port Media Type ......... Ethernet CSMA/CD Port Type ............... 10/100BASE-T Configured speed/duplex .. Autonegotiate Actual speed/duplex ..... 100 Mbps, half duplex << ここに注意。ちゃんと full MDI Configuration ....... Automatic (MDIX) duplex になっていないとネ | ットワ−クの速度がでない。 Port Priority ........... 0 以下ポ−ト番号2から16まで続く Port .................... 17 | Port Priority ........... 0 SFP vendor name ......... - 17番ポ−トが光ファイバの SFPになっていると SFP part number .......... - 出ている。装置前面の右端に17R と 17 と印字さ SFP vendor SN ........... - されているのが17番ポ−ト。 SFP date code ........... - 17番ポ−トはイ−サネットと光ファイバのポ−トどちらか1つが使える。デフォルトで は光ファイバになっているが、イ−サネットのポ−トにケ−ブルを差し込んだら、イ−サ ネットが使えることになる。光ファイバの方のポ−トは、これはただの穴で SFPのスロッ トである。この穴に SFP モジュ−ルを差し込んで、SFP ケ−ブルをつなぐ。 あるいはケ −ブルが付いて一体化した SFPモジュ−ルというのもある。アライドのカタログには一体 化したのは載ってなかった。よく見ればあったかも知れないが、光ファイバ関係の部品や ケ−ブルに端子はたくさん載っているので、よく分からないといった方が正解である。 (3) ネットワ−ク装置系その2 * Cisco スイッチの switchport mode access のテスト 実際にネットワ−ク装置を配して実験してみた。結構動作は微妙である。先にCisco のス イッチを2台、L3 と L2 1台ずつで動作をみた、 これは switchport mode access であ ろうがなかろうが、VLAN の番号が同じだろうが、違っていようが通信できた。 下の図の L2 は例えば Cisco 2960-S でただのVLANを3つ切っている。WAN,DMZ,LANセグメント を想定している。L2' は例えば Cisco 2950 でほぼ出荷状態のまま、いろいろテストした 後で初期化しておいておいた物とか。△は PC でパソコン、◇は WWW としたが Qube3 で も何でもいい、ping が通ってブラウザアクセスができれば。 vlan2 は同じセグメントで ある、例えば 192.168.1.0。 L2 の vlan2 が 192.168.1.0、vlan3 は 192.168.2.0 とい うようなこと。vlan2 の VLAN-ID は例えば 10 というように、L2 と L3 で同じにした。 [ 間のスイッチも Cisco 製 ] S: switchport mode access O: PC から WWW へ ping 通った。 N: no switchport mode accesss X: PC から WWW へ ping 通らず。 ◇WWW ◇WWW ◇WWW vlan3 vlan2 | | | ----------|-- -------------- -------------- L2 | |S□ S□ | | |S□ S□ | | |S□ S□ | ------|------ ------|------ ------|------ | | | ------|------ O ------|------ O ------|------ X L2' | □ □ □-|---△ | □ □ □ |---△ | □ □ □ |---△ --|---------- --|---------- --|---------- | | | --|---------- --|---------- --|---------- L3 | □S □S | | □N □S | | □N □N | ------|------ ------|------ ------|------ vlan2 | | | PC△O △X △X ◇WWW ◇WWW ◇WWW vlan3 vlan2 | | | ----------|-- -------------- -------------- L2 | |N□ N□ | | |N□ N□ | | |N□ N□ | ------|------ ------|------ ------|------ | | | ------|------ X ------|------ X ------|------ X L2' | □ □ □-|---△ | □ □ □ |---△ | □ □ □ |---△ --|---------- --|---------- --|---------- | | | --|---------- --|---------- --|---------- L3 | □S □S | | □N □S | | □N □N | ------|------ ------|------ ------|------ | | | △X △O △O [ 途中のスイッチは Allied ] ◇WWW ◇WWW ◇WWW vlan3 vlan2 | | | ----------|-- -------------- -------------- L2 | |S□ S□ | | |N□ N□ | | |S□ S□ | ------|------ ------|------ ------|------ | | | ------|------ O ------|------ O ------|------ O AL | □ □ □-|---△ | □ □ □ |---△ | □ □ □ |---△ --|---------- --|---------- --|---------- | | | --|---------- --|---------- --|---------- L3 | □S □S | | □S □S | | □S □N | ------|------ ------|------ ------|------ | | | △O △O △O ◇WWW ◇WWW 通信がおかしくて、SI業者さんが vlan3 vlan2 | | 最終的に対応した事は Cisco の L3 ----------|-- -------------- と L2 で同一セグメントになるポ− L2 | |S□ N□ | | |N□ N□ | トの VLAN ID を同じにした。L2 へ ------|------ ------|------ 行く L3 のポ−ト、それに L2 の全 | | ポ−トは switchport mode accesss ------|------ O ------|------ X にしていた。一応、参考まで。 AL | □ □ □-|---△ | □ □ □ |---△ --|---------- --|---------- L2 の N 表記、no switchport mode | | accesss は、つまりアクセスポ−ト --|---------- --|---------- のままと言うことではないのか。 L3 | □S □N | | □N □N | ------|------ ------|------ L3 の N 表記、no switchport mode | | accesss はル−テッドポ−トという △O △O ことだろう。トランクポ−トでなく。 いかん、すぐに何をテストして確認したか、結果はどうだったか。書かなかったので分か らなくなった。ただのVLAN如きでポ−トの設定が関係するというのがおかしい。1つ のハブが論理的に複数のハブに別れるということでいかんのか。思い出すより、もう一度 確認テストした方が手っとり早いかも。L2 と L3 の N 表記のこと、一応上のように書い てみたものの、これらの実験の結果と一致しない。やはり扱いが設定が違うのかなあ。や やこしいバイ。もうこれ以上、追及するのはやめる。もしこうしたネットワ−クになりそ うだったら、シスコ製のレイヤ3スイッチやレイヤ2スイッチが複数かむ、出入りのSI 業者さんに、こういうことがあるみたいだけど、大丈夫ですかねと各自尋ねること。 * Cisco スイッチのこともう少し Cisco のスイッチングハブとレイヤ3スイッチについて自分自身まだあやふやなところが ある。ちゃんとクリアにしておきたい。"switchport mode access"設定のことだが。どう も明示的にトランクポ−トと指定しない限り、トランクポ−トにはならないようだ。 トランクポ−トにするとVLANタグをイ−サネットフレ−ムに付加する。VLANタグ とは VLAN ID。トランクポ−トは他のスイッチからのイ−サネットフレ−ムのVLANタ グ情報を受け入れる。アクセスポ−トはVLANタグ情報を付与せず、取り除く。 "switchport mode access"はアクセスポ−トであることを明示する。アクセスポ−トは1 つのVLANのパケットを通すポ−トであるということ。と、どこかに書かれていたのだ がどうも説明が適切でない。トランクポ−トではないということでもある。 "no switchport mode access" をやるとアクセスポ−トでなくす。つまりトランクポ−ト になるということか?。デフォルトでは "switchport mode access" という設定情報はで てこない。ということはデフォルトはトランクポ−トということか。ではないぞ。 2950 ではデフォルトでは "switchport mode access" とも "switchport mode trunk" と も表示されない。#conf t, #int f 0/24, #switchport mode access, #end とやると設定 が出てくる。また #no switchport mode access をやると、何も表示されなくなる。 2950 ではトランクポ−トにするために "switchport mode trunk" というコマンドがある。 ということはデフォルトがトランクポ−トという事は、ないのでないか。コマンドに一貫 性がない。トランクポ−トは複数のVLANのパケットを通すポ−トであるということ。 2950 はデフォルトでは VLAN 1 がデフォルトで全部のポ−トが入っている。 そんでもっ て全ポ−トはアクセスポ−トなの、トランクポ−トなの、それとも別なのがあるの?。い ろいろネットとか調べた、どうもデフォルトはアクセスポ−トということらしい。 3750 などレイヤ3スイッチでは、 ポ−トにはル−テッドポ−トとスイッチポ−トがある。 ル−テッドポ−トがデフォルトで?、経路制御の対象。スイッチポ−トはポ−トをレイヤ 2ポ−トして利用する、スイッチポ−トにするコマンドはただの "switchport"。 ただのVLANを WAN,DMZ,LAN 用に切るだけでも VLAN ID がパケットに書かれる。タグ VLAN利用ではないのだが、VLANタグ情報は同じように付くようである。ゆえ明示 的にアクセスポ−トと指定し、VLAN ID が他に行かないようにした方がいいのでないか。 2950 の出荷状態にて #show interface trunk とやった、何も表示されない。トランクが 確立されていなければ何も表示されないということ。 3550 はデフォルトはトランキング モ−ド dynamic auto、相手スイッチが DTP をサポ−トしているとトランクモ−ドになる。 メモ、DTP( Dynamic Trunking Protocol )、紛らわしいのがVTP( VLAN Trunk Protocol )。 # show vtp status、2950 の出荷状態でやっても何やら表示してきた。ポ−トのインタ− フェ−スの状態をみるのは #show interface status、VLAN ID や速度が表示される。 * Native VLAN mismatch ワ−ニング Switch#conf t Switch(config)#vlan 10 Switch(config-vlan)#int vlan 10 Switch(config-if)#ip address 192.168.1.1 255.255.255.0 Switch(config-if)#int gi 1/0/2 Switch(config-if)#switchport access vlan 10 Switch(config-if)#switchport mode access 3750 の Port 2 とVLANの設定をしてない 2950 の Port 5を、ネットワ−クケ−ブル で繋ぐと "Native VLAN mismatch ...." というのが1分毎に出て来る。2950 につないだ パソコンには他からは一応アクセスはできる。次は 3750 に Apollo を RS-232C接続して 見ている状況。2950 に RS-232C 接続しても同じようにでてくる。 Google で検索したら トランクポ−トの設定がおかしいと、あるサイトに出ていたがよくは分からない。どうも 2950 でもVLANを 3750 につなぐポ−トのVLANに合わせて、VLAN の番号を設定し た方がいいようである。 以下の #no cdp run でワ−ニングを出さないようにはできるが、 いわば痛み止めみたいなことで、あまりお勧めではないらしい。CDP はデフォルトで有効 になっているが、#show run ではその表示はない。 #no cdp run をやると #show run で 下の方に "no cdp run" と出てくる。 Switch# 00:36:57: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/2, changed state to up 00:36:58: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/2, changed state to up 00:37:00: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on Gigabi tEthernet1/0/2 (10), with Switch FastEthernet0/5 (1). 00:38:00: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on Gigabi tEthernet1/0/2 (10), with Switch FastEthernet0/5 (1). Switch#conf t Switch(config)#int gi 1/0/2 Switch(config-if)#no switchport mode access << これをやると出なくなるが、3750 と2950の接続性が失われてしまう。 Switch#conf t Switch(config)#no cdp run << これやったらワ−ニングが出なく Switch#show cdp neighbors なった。#show cdp nei でもよし。 % CDP is not enabled Switch(config)#cdp run << mismatchがまた出て来る。1分位 Switch#show cdp neighbors << Gig 1/0/2 の所はでてこなかった。 Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID Switch Gig 1/0/2 163 S I WS-C2950T-Fas 0/5 * 装置のシステム診断 何も装置を交換するまでもなく、コマンドで診断できればいい。 #show post であるとか #show tech で、何かワ−ニングが出無ければそれでとりあえずは問題なし、 構わないと かそういう判断をしたいのである。しかしそう簡単ではないようす。単純にはポ−トに1 つずつパソコンをつなぐなどして、ポ−トに異常がないか調べてみる。 [ Cisco Catalyst 3750 ] 3750 を RS-232C でつないでパソコンなどから見ている。#boot すると、だ−とログがで てきて以下の POST: のところも出てくる。 装置の簡易的なチェック・シ−ケンスのよう である。"Status Passed" が出るのはテストにパスしたということ、問題なしと判断して よい。ハ−ドウェア障害などをチェックするため、装置の詳細情報を表示するコマンドは #show tech-support または #show tech である。 しかしこれはSI業者のカスタマ−・ エンジニアぐらいでは内容は分からないようである。シスコ社にログを送って専門の人に 診てもらう、そういうもののようである。#show tech やると、 かなりへたら長いログが 出てくる。初めに各ポ−トの詳しい状態が続いて、全体の状態がいろいろ出て来るようで ある。下記の #show post では装置の状態を判定をするには、簡便過ぎる気がするし。 Switch#show post << Switch>show post では効かない。 Stored system POST messages: Switch 1 << 1番?とは冗長化構成で最初の頃 -------- テストした名残か。 出てくる表 示は左のこれだけである。 POST: CPU MIC register Tests : Begin POST: CPU MIC register Tests : End, Status Passed POST: PortASIC Memory Tests : Begin POST: PortASIC Memory Tests : End, Status Passed POST: CPU MIC PortASIC interface Loopback Tests : Begin POST: CPU MIC PortASIC interface Loopback Tests : End, Status Passed POST: PortASIC RingLoopback Tests : Begin POST: PortASIC RingLoopback Tests : End, Status Passed POST: PortASIC CAM Subsystem Tests : Begin POST: PortASIC CAM Subsystem Tests : End, Status Passed POST: PortASIC Stack Port Loopback Tests : Begin POST: PortASIC Stack Port Loopback Tests : End, Status Passed POST: PortASIC Port Loopback Tests : Begin POST: PortASIC Port Loopback Tests : End, Status Passed Switch# [ Cisco Catalyst 2950 ] Cisco 2950 で #show post やってみたら "Passed" とだけでた。 この 2950 は数年前に あるポ−トが反応しなくて、そこにはもう他のハブやパソコンはつながないようにしてい た。今回 2950 を取り外して外周りだけちょっと掃除した。そのポ−トにはセロテ−プを 張っていた。そこにハブをつないで適当なサ−バ Qube3 とかをその先につないだ。 3750 から ping が飛びました。おかしかったポ−トは直ったということか。もしおかしいまま だったら #show post で、どんな表示が出たのか見たかった。 #show ? 一杯使えるコマンドが出てくる。 | post Power On Self Test results | (4) UTMならびにIPS系は * IPS の方も見直してみよう いかん、UTM の方をやっていたら IPS の方、触り方を忘れてしまった。 いつからかレ− ダ−チャ−トに何もでなくなった。No Events と画面下の方に出てそれで終わり。今一度 APSoute Insite 画面をちゃんと出ださないかん。 それで何も誤検知してないか確認しな いといけない。それぞれがディ−プなのでしばらく間があくと駄目だ。ここらが一人で面 倒みる限界かも知れない。いや、でもやる気になって半日で思い出して設定をいじってみ た。ログが出てないのは、そもそも検知がされてないからだった。1日の検知が3つとか 4つしかない。これでは Real Time で表示されるわけがない。これは新IPSでのこと。旧 IPS を見たら、レ−ダ−チャ−トに結構でていました。ほとんどの不正とおぼしきパケッ トは旧IPS で検知されていたということである。旧IPS はほとんどほかりぱなしだったの だがちゃんと機能してた訳である。旧IPS は DoS、SYN Floods、Antiウィルスのチェック なしで稼働。Antiウィルスはメ−ルもWebも多分 FTPもだが、古いパタ−ンファイルで よければ、枯れたウィルスのチェックをするのであれば、やってもいいかなという事。 * UTM のファ−ムウェアのアップ UTM でファ−ムウェアのアップが途中で中断したら、まずいという話。とあるSI業者の エンジニアさんがいうには、やばいですよと。遠隔で装置に入って、国際 IP-VPN でアジ アのとある国に設置したUTM に、普通に画面操作してファ−ムウェアをアップしたのだが。 もちろん手元の UTMで何度もファ−ムウェアをアップして、大丈夫そうだと確信をもって のことだが。ともかく目くら蛇におじず、でやってみた。それを話したら、いやいや危な いですよとのこと。失敗したら単純にこれまでのファ−ムウェアで動くだけと思ったのだ が違うらしい。USBキ−に設定を含めたファ−ムウェアを入れておき、現地においてお くとか。普段はUSBキ−を外しておき、いざとなればつないでUSBキ−から起動する ようにするとか。慎重さが求められる。もうちょっと調べてみないといけない。まあでも この UTMは業者さんがコンフィグも取っていて、現地の会社とも連携が取れているような のでお任せしていてもいいか。ということでこれ以上は検討しないということで終了。 * UTM の性能を調べるには UTM のセッション数等をみる。コマンド入力画面にて # get system performance status を叩く。叩くとその時点での状態がすぐ返えってくる。業務中は数千ぐらい。ある日の3 時の休憩、2時ちょい前に 7000 位だったのがだんだん増えて15時5分には 12000位に、 10分の休憩が終わるまで 10000 台をキ−プしていた。15時15分位にみたら 5000位 になっていた。1つのヤフ−の画面でも複数のセッションが張られているという。キャッ シュが効けばその中の幾つかのセッションは無くなる訳で、キャッシュの効果がこのコマ ンドで分かるかも知れない。でも、ぱっと Squid なら Squid のソフトで値が分かるとい いのだが。以下は FortiGate-80C を手元でつないで電源入れた直後の状態。ただ LAN ポ −トにネットワ−クケ−ブルをつないだだけ。WAN ポ−トの先にはケ−ブルも何もはつな いでない。# get system performance status を叩いてみた。 Average sessions の値を 見ること、1分間辺りの平均のセッション数ということである。 CPU states: 5 % user 0% system 0% nice 99% idle Memory states: 45 % used Average network usage: 16 kbps in 1 minute, ... Average sessions: 18 sessions in 1 minute, ... * とても分かりにくいトラブルの一例 ファイアウォ−ルを UTMにしてから、IEブラウザで「ペ−ジを表示できません」という のが、あちこちで出ている。自分とこでは何故かでないのだが。出る人は必ずあるサイト にアクセスしている最中に出るという。取引先の注文などの入力画面で出た時は最初から やり直し、画面をだして値を入れたり選択したり。これではIT担当者に文句の一つも言 いたくはなる。ヤフ−の画面でも出てくるという。結構ヤフ−をポ−タルにしている輩が 多いのである。ヤフ−で出るのではIEでリロ−ドすれば、まあ済む話だが、ブラウザの 戻るを押すと1つ前でなく2、3個前に戻る時があるという。これも困った話である。ト ラブル発生してSI業者も、1ヶ月間原因が分からなかった。結局自前で解決した。 UTM でパケットにデ−タを追加記入している、イサ−ネットフレ−ムのヘッダ−部のオプショ ンフィ−ルドに何か書き込んでいるのでないかという推測を元に IPS をいじったのだ。 新IPS の [Attack Configuration] で3つ変更した。HTTP に関係するところを2つと。 HTTP-Reply-MozSidebar-CE-DF を 〆[Enable Attack] の〆外した。 HTTP-Reply-ActiveX-MS-XML-P は Action Mode [Reset Destination]を[Report Only] に。 Anomaly-TCP-SYN-FIN も Action Mode [Reset Destination] を [Report Only] に。 [Connect & Protect] 画面の [Update Policies] をクリックした。 HTTP-Reply-MozSidebar-CE-DF はとある新聞社のサイトに、 ProxyALP を介してアクセス すると必ずひっかかった奴。ProxySVRでは大丈夫だったので、チェックするようにしてい たというのか、デフォルトのままにしていた。これがまたどこかのサイトで引っかかった のだろう。これはチェック外しても問題ないと思う。 HTTP-Reply-ActiveX-MS-XML-P は どうかな。変な ActiveX のダウンロ−ドを止めるのだろう。 Anomaly-TCP-SYN-FIN の方 が心配である。UTM 設置の業者でなく、IPS を設置してくれた業者のエンジニアにも見解 を聞いてみた。これら UTM と IPS の相性みたいなことがないか尋ねた。1週間ほどして メ−ルの返事がきて、一般的にはファイアウォ−ルがパケットのヘッダ−部に何か書くと いうことはないと。もしあってもデフォルトでは書き込むことはないはずとの回答だった。 よく知れたUTM、FortiGate だから何か情報が上がっているかと思ったが無かった。 どうも上の3つの変更では変わらなかった、直らなかった。翌日、旧の IPS もみた。UTM のWAN側に新IPS、その上に旧IPSがある。久しぶりに新IPS のレ−ダ−チャ−ト見たら、 怪しいのが5〜6個表示されていた。真ん中辺りに "HTTP invaild request" というのが あって、このログが非常にたくさん出ていた。この中のIPアドレスをブラウザで見たら ヤフ−のもあった。{Stateful Inspection}の中で HTTP, DNS, SMTP にチェックが入って いたのを外した。結果全部はずして何もチェックしない。{Stateful Inspection} 自体チ ェックしないとしてもいいのだが。{Stateful Inspection} は UTM でやるので、 2つの IPS ではやる必要はない。下記のログはぴたっと止んだ "HTTP invalid request"。 それ からまた次の日、必ず出ると言う人に聞いたら、これから作業してみますといい、そのあ と電話で知らせてきた。大丈夫でませんよと。やや、これで問題解決したかも。 旧IPSにて [Security Reports]->[Attack Logs] の [High Risk] Risk Attack Time Attack Name Radware Attack ID Action 続く -------------------------------------------------------------------------------- 〓茶 29/02/2012-08:36:23 HTTP invalid request 260 source-dest-reset Category Protocol Source Address Source Port Destination Address 続く ---------------------------------------------------------------------- Anomalies TCP 202.241.128.1 40953 203.216.251.233 ← Yahoo Destination Port Packet Count Packet Bandwidth Status ------------------------------------------------------------ 80 1 2 occur < 260番の説明 > 画面右上の {Attack ID} をクリックして。 -------------------------------------------------------------------------------- | Attack Description | |------------------------------------------------------------------------------| | Radware ID [ 260 ] | |------------------------------------------------------------------------------| | Name: HTTP invalid request | | | | This alert signifies that a non-conformant HTTP request was sent by client. | | The device ensures the following conditions do not occur:- Data was not | | received after the initial TCP connection is established.-The first data | | packet of the session is not a request.-The request in the first data packet | | of the session is invalid. | | [Show] [Close] | -------------------------------------------------------------------------------- おかしい時点で、新IPS で検知されたパケット上位の上から挙げてみる。L4 port zeroが forward で UDP とTCP あり、NetBIOS-SMB-NULL-NTLMSSP-B forward、L4 invaild header が forward で TCP、HTTP-Reply-MozSidebar-CE-DF が dest-reset で TCP、 Anomaly-TC P-SYN-FIN が dest-reset で TCP、MS-Reply-ActiveX-MS-XML-P が dest-reset で TCPで、 Web-Crawlers-Generic-Bots、FTP-XM-Easy-DOS。あとは微々たるものが10個ばかり。カ ウントは L4 port zero が164、NetBIOS-SMB-NULL-NTLMSSP-B が 89、L4 invaild header が 84、Web-Crawlers-Generic-Bots が 14、それ以下は 4 とか 3 とか 2というような按 配。16番目に DNS not vaild Query drop というのがあるが、これはちょっと気になる。 しかしよくよく見たら1ヶ月以上前のログが大半で、対策して気付いてからも出ているロ グは1日に L4 port zero が数個、Anomaly-TCP-SYN-FIN が5から10個、forward でだ が。さて Anomaly-TCP-SYN-FIN は止めるように戻したいのだが、大丈夫かや。 * UTM のカ−ネルでの制御 UTM はSI業者の説明によれば、ほぼ馬鹿ちょんで設置できるということだった。しかし 内部のパラメ−タはとんでもなくたくさんあり、SI業者の製品情報のデ−タベ−スを見 ると、結構不具合があって、パラメ−タをいじってくれと書かれている。インタ−ネット でも、何か目ぼしいのがないか探してみた。 "FortiGate CLI Version 3.0 MR5" 約8メガの PDF ファイル。"tcp-option" の記述あり。 デフォルトは enable になっている。説明は "Enable SACK,timestamp and MSS TCP opti ons. For normal operation tcp-option should be enabled. Disable for performace testing or in rare cases where it impairs performace."。 この "tcp-option" というオプションを無効にすれば、TCP パケットのヘッダ−のオプシ ョン部に変なデ−タが付加されなくなって、IPS での誤検知がなくなるのでないか。 CLI 画面で # config system global, # set tcp-option disable, # end とやること。 現状 はデフォルト enable になっているはずで、有効ですとは # show ではでてこない。 # set tcp-option disable とやって無効にすると、# show コマンドやってすぐの表示の ところで設定がでてきた。# show と単にやると、 とんでもなく長い設定情報が出てくる るので、確認するのは大変だなと心配だったのだが。 念のため画面メニュ−の [再起動] をかけた。ちゃんと設定が保存になっているか確認した。 # show #config-version=FGT80Cxxxx:opmode=0:vdom=0 #config_file_ver=27xxx #buildno=03xx #global_vdom=1 config system global set admintimeout 55 set hostname "FGT80Cxxxxx" set language japanese << # set tcp-option disable とコマンド叩いた set timezone 60 ら、この下にset tcp-option disable が出た。 set wireless-controller disable end config system accprofile | * 付加デ−タの UTM のハテナ テストで UTMを透過型で手元に設置していろいろ触ってきた。モデルが違っても機能は同 じのはずである。 どうしてこの UTM を通してインタ−ネットのサイトにアクセスして挙 動がおかしくならなかったのか。自分が気付かなかっただけなのか。ちょっとおかしく思 う。UTM を通過する際に透過型の設置であろうと、イサ−ネットのフレ−ムにデ−タを付 加しているはず、IPS でこのパケットは止められていたはずである。この UTMを介してイ ンタ−ネットアクセスするのは、自分一人だけだから、また特に止められるサイトにもア クセスしてなかったとか。旧IPS のポ−トを使って、改めて確認できないか。IPS の2段 構成、こうすることにより枯れた攻撃なのか新しい攻撃なのか、おおよそ分かることにな る。ほとんどが不正パケットは旧IPS で検知されていた。新IPS では1日に5個とか10 個位しかない。そんなことで 新IPS では Real Time ではログはでて来ない、レ−ダ−チ ャ−トにも何も映らない。最初、新IPS がちゃんと動いてないのでないかと思った。 IPS は2つのポ−トでパケットを通過させているだけだから、図Bのような事ができるよ うな気がするのだが。いやできんか。b から b' へ行きインタ−ネットに行ったパケット は b' に戻ってこないことにはいけないのでないか。 でも IPS は出ていくパケットだけ、 入ってくるパケットだけ、両方チェックする指定ができる。ステ−トフル・インスペクシ ョンのチェックをするようにしていると、パケットの出と入りは問題になる。ステ−トフ ル・インスペクションはやらないのであれば、いいかも知れない。 基本的には IPS では a-a' と b-b' は異なるセグメントを対象にするのだと思うが、 そうでなくても構わない はずである。多分問題ない。一見ル−プを作るような気がするが、IPS は透明で存在して ないと一緒だし、2つのUTMでNATするなら、 その NAT のIPアドレスの PC が2台ハブ の下にあるということになる、下図のCを参照。 UTM で NAT をしなければ透過型の設置 ならば、ハブの下に PC1, PC2 があるということになる、下図のDを参照のこと。 | | | | ------- ------------ ------------ ------------ |ハブ | | ハブ | | ハブ | | ハブ | ------- ------------ ------------ ------------ a'| a'| |b' | | | | ------- ------------ | | | | |旧IPS| |旧IPS | | | | | ------- ------------ | | | | a| a| |b | | | | ------- ------- |____ | |____ | |____ |新IPS| |新IPS| | | | | | ------- ------- | | | | | |NAT | NAT| |10.1 |10.2 | | -------- -------- -------- -------- -------- | | |UTM310| |UTM310| |UTM80C| |UTM310| |UTM80C| | | -------- -------- -------- -------- -------- | | |本稼働 | |テスト |10.1 |10.2 PC△中 PC1△ PC2△設置 PC1相当 PC2相当 △PC1 △PC2 [ 図A ] [ 図B ] [ 図C ] [ 図D ] UTM がパケットのヘッダ−に何か書き込んでいないかという話。メ−カにも問い合わせて みた。10年以上、懇意にしている人がそこにいるのだ。1週間程して電話してきたのに よれば、そいうことはないとのこと。ウィルスチェックなどさせる場合には、そういうこ とはあるが、ファイアウォ−ルだけの利用ではないと言い切った。これはもうそれが真実 だろう。ということは、ブラウザのIEで、ある特定のバ−ジョンなりパッチなりで生じ る現象と考えるのが妥当であろう。HTTP パケットのヘッダ−に UTM がデ−タを付加する のではなくて、ブラウザが付加し、それを旧IPS が "HTTP invaild request" ととして認 識しパケットを止めていた。そして、そうならば当社以外でも起きているはずだが IPSで ある DefensePro は、どちらかと言うとプロバイダなどデ−タセンタ−での利用が多いら しく、我々のようなユ−ザレベルにはあまり導入されていないようである。そのため事例 も出てないというのが真相ではないか。事故の顛末でした(川端康成著)。`2c/04/e (5) インタ−ネット系のご都合 * どんどん気付いた事をメモ 「ペ−ジを表示できません」 はIEブラウザからでている。正直これだけ表示されても何 ともできない。まるで原因は分からない。ただ単にインタ−ネットの回線が混んでいるの かコンテンツがおかしいのか。分かるのは例えば「[i]ペ−ジが見つかりません」という の、"HTTP 404 - ファイル未検出 Internet Explorer"。単にコンテンツがないだけ。 対処は IE6 の場合 [ツ−ル]->[インタ−ネットオプション] の[インタ−ネット一時ファ イル]->[ファイルの削除] で。□すべてのオフラインコンテンツを削除する には 〆入れ ず、削除してみた。ついでにIEのアドレスのプルダウンがすぐに出るようになった。前 は全然でてこない時がしばしばあった。Windows 2000 Professional で IE6 でした。 Windows 2000 で [Squid キャッシュ] で検索して、SourceForge.JP の "Squid の更新パ タ−ンでインタ−ネットアクセスを高速化する" を表示していて。「ペ−ジでエラ−が発 生しました」または「実行しましたが、ペ−ジでエラ−が発生しました」がよくでてきた。 まだ社内では Windows 2000 のパソコンは結構ある。でもそろそろ暇をやる潮時だろう。 Windows 2000 より Windows XP の方がスム−ズに表示される。Windows 2000 は途中で固 まってしまうことがしばしばある。回線が混む昼休み mixi なんか画面の応答が切れてし まう。Facebook は何とかログインできるが。XP では mixi でも遅くても表示はしてくる。 IEブラウザのバ−ジョンの違いも、遅いとか警告画面がでる問題になる。 * メ−ル系のトラブルの事も 迷惑メ−ルがまたぼちぼち来だしているぞ。'2c/02 末頃からか。"遅くなりました" とか、 "すいませんでした" とか。かつてよくあったお友達メ−ルだ。SNSばやりで友達、 友 達とそこかしこで言っているもんで、それに倣ってお友達メ−ルの復活か。困ったもんだ。 誤検知が明らかに起きている `2c/04/m のこと。InterScan VirusWall のメ−ル隔離領域 を見たらぼちぼちある。1年位メ−ルが届かないという苦情もなく過ぎてきたが、そろそ ろ Mail-Store の InterScan 調整がまた必要になってきた。しかし InterScan を調整す るといっても、検知レベルはすでに低にしてある。レベルを値で指定するかだ。 苦情が出だして土日をはさんで3日後、InterScan で対策を打った。 "初期設定のスパム メ−ル対策ル−ル > スパムメ−ル"、"◎ 指定 検出のしきい値: [8.0 ](3.0-10.0)" に した。値は 高−4.5、中−5、低−7だからレベルを1段階下げたということ。前日の1日 に隔離されたメ−ルは約4千通。値を変えてからおよそ10分毎に隔離領域をチェックし た。朝から夕方までみていて、ドコモの携帯からのメ−ルが2、3通止められていた。こ れなら合格点をあげようではないか。メ−ル系のトラブルでは、迷惑メ−ルの誤検知が問 題である、ウィルス入りメ−ルはそう問題になることは無くなっている。 でもまだ見ると、誤検知されるメ−ルがある。レベルを 9.0にしてみた。自分宛のメ−ル で隔離されたのを見て誤検知はまるでなし。検知を甘くしたことにより、すり抜けてきた メ−ルも以前と変わらずほとんどなし。そのことからレベルを最高の 10.0 にいっそして みた。何年か前にも同様のことが起きた。ごく短いメ−ルとパソコンのメ−ル転送ソフト を通ったメ−ルが隔離された。2週間位続いたのだったか、5月の連休前にピタっと誤検 知しなくなりほっとした事があった。多分今回もそういうことで一時的な InterScanの不 具合だと思う。直るまでこまめに隔離領域のメ−ルを目視でチェックしていかないと。 * ブラウザの表示がおかしい 会社でも個人でも Windowsパソコンでは、たいがいIEを使っている人が多いのでないか。 IEで表示がおかしい場合、ネットワ−ク装置なんかがおかしいのでないかと直ちに疑う 前に、別なブラウザのソフトでもやってみること。ヤフ−のサイトをアクセスして表示す るのが、やたら遅いとか途中で何かワ−ニングが出て来るとか。自分の自宅で起きた最近 の例では Facebook の "ペ−ジ" を作っていて、いいねボタンを付けようとしてIEでは コ−ドがどうやっても出てこなかった、 それで Mozilla だったかでやったら出てきたと いうのがあった。ファイアウォ−ルの置き換えでトラブったのだが、ブラウザの表示が遅 いという人のところで、別なブラウザで試してみればよかった。そこんとこまるで気づか なかった。周囲からやんや言われて、すっかり冷静さを失っていた。 * DNS絡みのトラブルかも Amazon S3 を使っているブログサイトでのこと。画面は出てくるのだが全部でた所で、こ んな表示がでて「ペ−ジを表示できません。サ−バ−が見つからないか、DNSエラ−で す」とメッセ−ジが出る。Amazon Simple Storage Service(Amazon S3)サイト。サイトの IPアドレスは、複雑なDNSの設定になっているみたいだ。Amazon S3 の日本語サイト は http://aws.amazone.com/jp/s3/、FAQや料金表がある。開発者用リソ−スに入門ガ イド、ドキュメントなどがある。何を開発するのかな。Amazon S3 はインタ−ネット用の ストレ−ジサ−ビスである。知らんところで結構普及しているみたいだ。 ------------------------------------------------------------------ |Microsoft Internet Explorer | |----------------------------------------------------------------| | (×) インタ−ネットサイト http://www.xxx.com/blog/tag/mobile/ | | を開けません。操作は中断しました | | [ OK ] | ------------------------------------------------------------------ 旧IPS の {Stateful Inspection} の HTTP, DNS, SMTP にチェックが入っていたのを外し てからか、DNSで何かおかしいのがたまにあったのが、なくなった。インタ−ネットの サイトにこのパソコンでは行けて、別のパソコンでは行けないとか意味不明な事が起きて いた。アカマイのサ−ビスを利用しているサイト?、Amazon S3 を利用しているサイト?、 DNSのラウンドロビンが関係している?。旧IPS の {Stateful Inspection} の HTTPに 関係するのは、"HTTP invalid request" というログで止められていた。ならば DNS に関 係するのは "DNS invalid request" で出て来るのか、そんなログは見当たらなかったが。 * プロキシサ−バでの事 ファイアウォ−ルを UTMにしてから、IEブラウザで「ペ−ジを表示できません」という のが出てくる問題で。プロキシサ−バが悪さしてないか、当初だいぶ疑った。それでやれ ることをやってみたという話。IWSS の設定をいろいろ変えてみた。 結果プロキシサ−バ あるなしでも、そもそも挙動は変わらなかった。IWSSでやれることは限られている。一応 右往左往して次のような設定にした。今回のトラブルには関係ないと、ほぼ言い切れると は思うが、しばらくこのままの状態で IWSS を稼働させておくことにする。IWSSのメニュ −で [HTTP]->[HTTP検索]->[ポリシ−] の [Webレピュテ−ションル−ル] は、〆{このポ リシ−でWebレピュテ−ションル−ルを使用する}。{感度レベル}◎中。`2c/04/b ・{ファ−ミング検索を含める}、{フィッシング検索含める}、〆を外した。 ・{アプレット/ActiveX対策ポリシ−}、〆は外れてた。(そもそもデフォルト?) ・{URLの信頼を有効にする}、〆を外した。 ・{Webレピュテ−ション除外リスト}、部分一致 *yahoo* を記載した。 {URLの信頼は}、ActiveX のチェックやウィルスのチェックをしないで済ませるサイト を挙げるということ。だから {アプレット/ActiveX対策ポリシ−} の〆を外したら、そも そも関係なくなるのでないか。「ペ−ジを表示できません」というのがヤフ−のサイトで よく起きていたので、{Webレピュテ−ション除外リスト} に *yahoo* を書いたという こと。1週間ほどして、プロキシを通すとログインはできるが印刷しようとすると、止め られるというサイトがあるとのこと。そのサイト www.jp.nix.com/proc/prinnt/heno.pdf とでもしようか。{Webレピュテ−ション除外リスト} に部分一致 *nix* を追加した。 * またこんなんがでたぞ `2c/04/m http://itpro.nikkeibp.co.jp/NNW/index.html の [詳しい目次] をクリックすると、 ブ ラウザが別に開いて下記の画面がでてくる。Windows 2000 の IE6 にて起こった。 ------------------------------------------------------------------ |Microsoft Internet Explorer | |----------------------------------------------------------------| | (×) インタ−ネットサイト http://ec.nikkeibp.co.jp/item/backno | | /NN0144.htmlを開けません。操作は中断しました | | [ OK ] | ------------------------------------------------------------------ これから [OK] をクリックすると "ペ−ジを表示できません" とブラウザにでた。よく見 たらブラウザの上の所に、"サ−バ−が見つかりません - Microsoft Internet Explorer" とでてた。しかし Windows XP で同じコンテンツにアクセスしたら問題なく表示したけど。 Windows 2000 でも XP でもIEはプロキシ指定なしにて使用してのこと。 * F5社にあるドキュメント `2c/04/m BIG-IP Access Policy Manager 製品概要 3,055KB を表示しようとクリックするが、だめ。 読み込み途中でエラ−の通知画面がでてくる。Windows XP でも 2000 でも出た。 これで はドキュメントが見ることができない。自宅のパソコンでもやってみるか。新旧の IPSで 止められているパケットはないか見たが、何もなかった。37ペ−ジあり。 --------------------------------------------------------- | Adobe Reader | |-------------------------------------------------------| | (i) この文書へのアクセス中にネットワ−クエラ−が発生 | | しました。文書を閉じるか、再度読み込みますか? | | [ 閉じる ] [再読み込み] | --------------------------------------------------------- こっちのドキュメントはダウンロ−ドできた。"Configuration Guide for BIG-IP Access Policy Manager version 10.2"。ということは PDFがおかしいのか、向こうのサ−バの問 題なのか。http://support.f5.com/.../Configuration_Guide_for_BIG-IP_Access_Policy _Manager.pdf、546ペ−ジ。3,331KB でフォルダにできた。 この日、家にかえって自宅のパソコン Windows XP でも、このサイトのドキュメントを開 こうとやってみた、同様の症状が出た。"ネットワ−クエラ−が発生"何てのが出たら、な んやネットワ−クがおかしいのかと思うがや(名古屋弁)。これは PDFファイルが壊れてい るんだぞ。何でもネットワ−クがおかしいとか遅いとか言うなよ。 * メ−ル系のトラブルもう1つ `2c/05 メ−ルストアのマシンのディスプレイにずっと出ているログがある。いつから出ているの か、1年とはきかない。数年は出ているだろう。 sendmail から出てくるワ−ニングでず っと気になっている、mail.alert の "Dropped invalid comments from header address"。 この警告はIPAから2003年3月4日にアナウンスされている。Sendmailにおける深 刻なセキュリティ脆弱性について、8.12.8にアップグレ−ドすることが推奨されるとある。 http://www.ipa.go.jp/security/ciadr/20030303sendmail.html 改めて記述を読んでみた。 『攻撃者が攻略に成功した場合、sendmailのログにはなにも痕跡が残らない可能性があり ます。パッチ適用済みの sendmail に対してこの脆弱性をつく攻撃がされた場合、以下の ようなログが残る場合がありますDropped invalid comments from header address』。 メ−ルのヘッダ−を細工した攻撃メ−ルの可能性あり。これってメ−ルストアだけでワ− ニングが出ている?。メ−ルリレ−では出てない。ずっとこのログを出さないようにした いと思っていた。sendmail.cf の設定で出さないようにできないか、調べてはいたのだが らしい設定が見当たらなかった。いやいや一応、攻撃名のだが、このログが出てくるとい うことは sendmail は対策が取られているということ。そう解釈すればいいことが改めて アナウンスを読んで理解した。ということはログがディスプレイ、端末に出てこないよう にすればいいだけのこと。 /etc/syslog.conf の mail.debug のところの @loghost を消 すか、他にこのログ以外にログはまるで出てないので、いっそ mail.debug をコメントに してしまうかである。コメントにしていいと思うぞ。 メ−ルリレ−のマシンのディスプレイにも、たまに出てくるログがある。何か vi で操作 している時にでもログが出てくると、テキストの編集がおかしくなってしまう?。たまの ログでも出て欲しくないな。出てくるのは sendmail mail.alert で Fixed MIME Content -Disapositon header field (possible attack)。調べたら、SCSK のホ−ムペ−ジ、株式 会社CSK Winテクノロジで [FAQID:486]次のエラ−が出力されます,"Fixed MIMEうんぬん"、 説明は、多発する場合はアタックの可能性あり、散発では単に不正なMIMEヘッダのメ−ル が送られてきただけ。警告のログはでるが動作は問題なし。とこんなことが書かれていた。 ということなので、このワ−ニングも問題なしということで。 因みに CSK は大きなSI 会社だった、住商情報システムと2011年かに一緒になった。 MS & MR /etc/syslog.conf /usr/sbin/syslogd -t でデ−モン稼働 --------------------------------------------------------- |mail.debug ifdef(`LOGHOST', /var/log/syslog, @loghost) メ−ルの送受信のログ はこれではないよな?。 MR /etc/hosts hostname は hostA そうだとしたら端末に ---------------------------------------------------- 一杯、送受信のログが |192.168.2.1 hostA hostA. mail.nix.co.jj loghost 表示されるはずだから。 MS /etc/hosts hostname は hostB ---------------------------------------------------- |192.168.1.1 hostB hostB. hostB.nix.co.jj loghost MS# grep Drop /var/log/syslog.7 だ−と出てくる、ずっと出てくる。 Apr 9 09:00:19 hostB sendmail[16012]: [ID 601427 mail.alert] q3900I64017015: Dropped invalid comments from header address ------------------------------------------------------------------------------------ [ 付録 ] メ−ル系のトラブル更にもう1つ `2d/04 もうかれこれ10年ぐらい、たまに見ているブログの記事 2013年04月04日 にこんなんが 載っていた。外部の特定のメ−ルサ−バからのメ−ルが届かない、自社のメ−ルサ−バで I/Oエラ−になって通信が遮断される、ファイアウォ−ルで MTU 値を上書きするようにな っているとおかしくなる。添付ファイルがあると送れないのは、これが原因だったかもと いうブログの筆者の記事だった。内でも同じようなことが起こったのだが、原因不明のま まである。それにしてもこの人、よくこんな事が分かるものだ。感心してしまう。 [システム]->[ネットワ−ク]->[インタ−フェ−ス] FortiGate の MTU 値の設定を ------------------------------------------------- するところ。 | インタ−フェ−スを編集 |------------------------------------------------ | インタ−フェ−ス名 internal | エイリアス [ ] | リンクステ−タス アップ | □ Explicit Web Proxyを有効 | □ デフォルトMTU値(1500)を上書き [1500 ](バイト) 灰色 | [システム]->[ダッシュボ−ド] の {CLIコンソ−ル} で # diagnose netlink interface list このコマンド叩いたら if=lo .. とか if=eth0 .. とか10位でてきた。例えばその1つはこんなの。 if=internal family=00 type=1 index=10 mtu=1500 link=0 master=0 ref=4 state=start present flags=up broadcast run promsic multicast ファイアウォ−ルの FortiGate-310B の設定は LAN,WAN,DMZ インタ−フェ−スで{デフォ ルトMTU値(1500)} を上書きにはチェックはなかった。 ということはファイアウォ−ルの MTU は関係ないということか。それとも ForiGate のコマンドで細かな設定があったけど、 それはどうか。メ−ルのログをみてみないと。MR で止められたのか MS でなのか。 ファイアウォ−ルでないとするとIPSか。DefenseProのレ−ダ−チャ−トには関連する 攻撃の様子は出てなかった。 いかん、そもそも RealTime でも History 2 Hours でもま るで何も検知されていない。これはおかしいぞ、IPS自体がちゃんと機能してない可能 性があるとみるべきだろう。 まあ攻撃の検知はいいとし。IPSで MTU を書き換えたりするか、しないと思う。 もし IPSでメ−ルを止めているとしたら、 今回の原因は MTU でなくてIPSの何かシグネ チャで止めているのか知れない。ともかく DefensePro の設定を確認し、正常にIPSと して稼働しているか確認することからやらないと。 FortiGate-60C を使ってのセミナ−の IPSec VPN の資料の最後の方に、wan1 の MTUの値 1500 を 1438オクテットに設定するのが出ている。ル−タを接続していたり、何らかの理 由でインタ−フェ−ス MTUをより小さな値にする必要がある場合にやってくれと書かれて あった。内は故あってインタ−ネットは IPSec VPN になっている、影響しているかも。