22-4. ユビキタス・ネットワ−ク検討 `2c/06〜 (1) ユニバ−サル・アクセスの再考 * ユニバ−サル・アクセス 1) 既存設置の SSL-VPN 装置の次の機種を考えること。 2) BCP対策の対応。自宅PCのブラウザさえあればできること。 3) RDP 利用。シンクライアント、仮想デスクトップ、DaaS。 社内にユ−ザ毎のパソコンの設置かサ−バで一括してのパソコンか。社内にサ−バを置く かクラウドサ−ビスを利用するかの違い。自分のパソコンまたはサ−バ内のパソコンにリ モ−ト接続し、ノ−トPCでもタブレットでもスマ−トフォンでも利用する。BCPでは 家のパソコンなどのブラウザでそのままでできること、ActiveX を入れるとかはやらずに。 メ−ルはその人の携帯に転送する。Mail-Store でWebメ−ルができれば望ましい。 社内での無線LAN環境をこの際きちんと考える。スマ−トデバイスを社内にあってもイ ンタ−ネット経由、SSL-VPN を通して接続するというのは、いささかどうかと思う。しか し内部ネットに無線LAN接続するなら、SSIDとパスワ−ドの2つでしか保護されていな い。いかにも安易である。何かもう少し安全に接続するやり方はないか。FortiGate の無 線LAN機能がある機種をうまく使うことができないか。 FortiGate では役不足の場合、 他のUTMなり専用の SSL-VPN 装置を購入しなければい けない。FortiGate は Android、iOS はトンネルモ−ドはまだできない。これでだめとい うならトンネルモ−ドが現時点でできる SSL-VPN 装置を選ぶしかない。OTPがビルトイン しているのとなると Aventail しか実質ないと思う。あるいはいっそホストチェッカ−機 能がスマ−トデバイスでもできれば、それで良しとお茶を濁すかだ。 IPSec VPN でもスマ−トデバイスと接続するのをやってみるか。FortiClient ではなくス マ−トデバイス標準の IPSec VPN ソフトか Cisco の IPSec VPN ソフトでだ。IPSec VPN はやっぱり不安定で使い物にならないとか、評判を調査しないと。かつてはソフトが有償 で、ライセンス代がかかったのも、敬遠された1つの理由だったようである。 IPSec VPN はトンネルモ−ド接続なので、単に接続ということに関しては不足はない。 FortiGate なり Aventail なりで OTP でユ−ザ認証をしようという場合。OTPのメ−ルを 受けることができない人には使わせないとか、ポリシ−を設けるか。Gmailを OTP にとり あえず使うとか。RSA SecureID は1分毎に番号は変わる。 10秒ずつ表示が減っていく 横棒が6つある。この1分毎により、FortiGate の OTP機能も1分というのは妥当な話か ということになる。1分は短いんじゃないかと思っていたので。因み Aventail は5分。 * SSL-VPN 製品の様子 `2c/07/m 昨今 SSL-VPN の専用機というのはどうも流行らない感じがする。 UTMの1機能として とって変わってきているということらしい。 2012年の Interopでも SSL-VPN 専用装 置の展示はまるで無かった。 FirePass の様にいろいろ機能があっても使いこなせなくて は何にもならない。UTMの簡易 SSL-VPNでも使いこなせればその方がいいかも知れない。 現在 SSL-VPN 製品はどんなのがあるか。ネットに出ていた NetAttest EPS のテストが参 考になる。ネットワ−ク認証アプライアンス製品。動作検証した記事あり。F5社からは BIG-IP 6900 がテスト機として。 Android のデバイスにはNECの LifeTouch が使われ ていた。LifeTouch には FortiGate の SSL-VPN のクライアント用ソフトが入っている。 FirePass から Aventail に置き換えが増えていると、Aventail の総代理店の営業さんが 話していた。多分それは有りえるなと思った。FirePassを扱っている業者さんが、どうも 消極的になっているようだ。それにF5社の製品体系は分かりにくい。CheckPoint社の方 が先に分かりにくい体系になった。名称と機能を理解するのにすごくエネルギ−がいる。 Juniper の MAG シリ−ズ。MAG 2600 は同時接続ユ−ザ数 10〜100。○○商会のパンフレ ットには社内のファイルサ−バ、グル−プウェア、メ−ルサ−バにアクセスしている絵が ある。同時10ユ−ザ、4年の保守が入って約百万円。別な資料によれば Android, iOS 用 のアプリ Junos Pulse 使用でトンネル接続ができる。MAG2600 は SA700 の後継機種。 「N+I NETWORK Guide」2003/09号に SSL-VPN 導入の特集記事がある。掲載されている製品 は NEOTERIS ACCESS1000、Aventail EX-1500、SAFEBORDER AP100、Array SP-C、SWANStor SUITE、Alteon SSL Accelerator、BIG-IP。Aventail社は2007年7月に SonicWALL 社 に買収されている。アルテオン社はラドウェア社に買収されている。 Cisco ASA 5500 シリ−ズ。IPSec は VPN Client または AnyConnect ソフトで、SSL-VPN は AnyConnect ソフトで。CTCはこの SSL-VPN 装置を最近は推しているようだ。 この 製品もUTMのジャンルか、ファイアウォ−ル、IPS、IPSec VPN、SSL VPN 機能搭載。別 な資料によれば Android, iOS 用アプリ AnyConnect でトンネル接続ができている。 SonicWALL 社には自社の昔からの SonicWALL と 買収した Aventail の製品ラインナップ がある。Aventail SRA EX6000 SSLトンネル接続、Webポ−トフォワ−ディング、 Webリバ −スプロキシ、Connect アクセス。最大同時250ユ−ザ。HA構成とれる。100ユ−ザ位な ら同時アクセスは25位で。26番目からは繋がらないということではない。OTP サポ−ト。 * FirePass でスマ−トデバイス `2c/07/M FirePass は2012年10月頃に販売終了にするとか `2c/06 の Interop 展示会のブ− スで聞いた。F5社のホ−ムペ−ジ「FirePass 販売終了に関するFAQ」にはFirePass 7.x では2015年10月までは開発がある。どうもソフトウェアの開発はこれで終わりという訳で はないようだ。FirePass 7 販売終了までに、APM/EDGE v11 で足らない機能はできるだけ 埋めると書かれてある。FirePass はまだ2〜3年は使うことができるかも知れない。 FirePass 7.0 を 2010/07 発表。仮想アプライアンス製品 FirePass Virtual Edition を 追加した、同時10ユ−ザのラボ版は16万円から、同時接続数 100は 144万円。VMware ESX/ESXi 4.0 以上で動作、クラスタリングをサポ−ト、vMotion対応。アプライアンス製 品に較べて十分の1の価格。業界最高のエンドポイントセキュリティでMACアドレス、CPU 情報、HDD ID 情報で端末認証する。マザ−ボ−ト、BIOS などの情報も使う。 それでは FirePass 7.x は、今現在どんなスマ−トデバイスの対応状況になっているのか。 iOS 用アプリは F5 BIG-IP Edge Client、バ−ジョン 1.0.4、無料。iPhone、iPod touch、 iPad 互換 iOS 4.2 以降対応、アプリ更新 2012/07/11。F5 BIG-IP APM、F5 BIG-IP Edge Gateway、FirePass で使える。以上は SSL-VPN トンネルで利用できる。 Webのみ対応 するのが F5 BIG-IP Edge Portal。以上 F5_secure-iphone-access.pdf を参考。 Google play を検索した。Android 用アプリは F5 BIG-IP Edge Client、F5 BIG-IP Edge Portal、Rooted F5 BIG-IP Edge Client、Samsung F5 BIG-IP Edge Client がある。全部 無料。F5 BIG-IP Edge Client は Android 4.x 汎用のみたい。Samsungは言わずと知れた 韓国のメ−カ、Rooted も会社か製品の名前のことでないか。 F5 BIG-IP Edge Portal 以 外、簡単な説明には Full Layer3 network access と書かれてある。 参考資料「FirePass Controller and BIG-IP Edge Portal App for Android」24ペ−ジ、 February 8,2011 発行。http://support.f5.com/。Webにしか対応してない。スクリ− ンショットには http://intranet、http://sharepoint2007 というBookmarks がでている。 「FirePass Controller and BIG-IP Edge Client for Android v.2.0.1」 24ペ−ジには May,15,2012 発行には Full SSL-VPN Tunnel ができると書かれてある。 * FirePass の後継機でスマ−トデバイス FirePass の後継機が F5 BIG-IP Edge Gateway という製品のようだ。 F5社のサイトを 改めて見てみる。資料は1つ入手したのがある、ネットにでていたのだが。"プレス情報" の "プレスリリ−ス" 2012.3.16 F5ネットワ−クス、セキュアなモバイルデバイス管理 (MDM)ソリュ−ションを拡充。他社のセキュリティ製品と組み合わせて MDM を実現する。 BIG-IP APM と BIG-IP Edge Gateway で利用可。※APM( Access Policy Manager ) "プレスリリ−ス" 2012.2.23 F5ネットワ−クス、BIG-IP Access Policy Manager 1600 の提供を開始、リモ−トアクセス・ソリュ−ションを拡充。10 から 1000ユ−ザまで対応。 10 は標準同時接続数、1000は最大同時接続数。1600 の 10 ユ−ザモデルは 119万円+税。 追加 10 ユ−ザライセンスが 10万円。iOS 対応、業界で初めて Android 4.0 に対応。 BIG-IP APM 1600 はアプライアンスでスタンドアロン版。仮想版があるぞな、BIG-IP APM Virtual Edition で3種類ある、ただし1つはテスト環境検証用で実際の利用はできない、 要確認。サポ−トするハイパ−バイザ−は VMware ESX、ESXiなど。v10.2.2 では VMware ESX 4.0/4.1 とか、v11 では VMware ESX 4.0/4.1/5.0。 FirePass はそれだけで FirePass と呼ぶ。ARP の方は BIG-IP を前につけて BIG APM と 呼ぶようだ。BIG APM はそもそもは認証と管理をするソフトウェアなり装置なのではない か。BIG APM 1600 は SSL-VPN 機能も入れた装置なのではないか。相変わらず製品の種類 の違いを理解するのだけでも大変だ。 FirePass は SSL-VPN 機能のみ、BIG-IP Edge Gateway は SSL-VPN機能を含んでいろいろ、 ゲ−トウェイで必要とされる複数の機能を有する。WAN最適化とかトラフィック管理と か。FirePass 7.0 は CAPTCHAR 対応。ハ−ドウェアエンドポイント検査は FirePassには 前からあるぞ、BIG-IP Edge Gateway にはまだ無いが直に対応していく模様。 * リモ−トアクセスのいろいろ 以前調べたこと。"20-5.シンプルにネットワ−クを、[付録]社内アクセスへの外部サ−ビ ス"。`29/08〜10 頃調べも参照されたし。 [ AnyClutch Remote ] ASPタイプ 各種Windows OS、iPhone、Android、iPad に対応したリモ−トアクセスのクラウドサ− ビス。まだこなれていない、これらデバイスのネット接続とユ−ザ認証をクラウドでやっ てくれる。社内のパソコンにエ−ジェントのソフトを入れる。インタ−ネット上のサ−ビ スサ−バに外の端末から、社内のパソコンから HTTPS接続する。きびきび動くらしい。高 速アクセスで最近評判。月額利用料は 1,200円。韓国のベンチャ−企業 RSUPPORT社 が開 発。国内ではGMCホ−ルディンング(株)が `2c/02、ASPサ−ビス提供開始。`2c/05ぐら いSI会社のC社の営業さんに AnyClutch のことを聞いた。 [ CACHATTO XE と ME ] ASPタイプ 法人向けリモ−トアクセスサ−ビス。SI業者さんでは導入するのが流行みたい。○○商 会にT社にS社。ある時期から AnyClutch と混同していた。 S社技術営業の人は自分で 設定して、すこぶる繁雑だったとか。とてもやお客さんとこに売り込みに行く気にはなれ ない。開発・販売元は(株)いいじゃんネットで、つまり国産ってことか。CACHATTOサ−バ を会社に設置して社内のサ−バにアクセス、CACHATTOサ−バからASPサ−バにポ−リン グでのアクセス。各種デバイスで OTP 対応。初年度は1ユ−ザ月額千円ちょい、 2年目 以降はその半分で。グル−プウェアとの連携が売りのよう。http://www.cachatto.jp/。 [ MagicConnect Mobile ] ASPタイプ 元はパソコン用のサ−ビスだった。スマ−トデバイスでも使える "マジックコネクト・モ バイル" というクラウドサ−ビスを2012年2月27日に開始した。5月14日からは iPhone にも対応し日本以外でもサ−ビス提供地域を拡大した。Android、iPad、iPhoneに 専用のビュ−アのソフトをインスト−ルする。会社の自分のパソコンにもクライアントソ フトを入れる。社内のパソコンからインタ−ネット上のASPサ−バに HTTP か HTTPSで ポ−リングするのでないか。デバイスの固有情報とに電子証明書で認証、画面転送型。1 アカウントから契約可。初期費用 10,500円、年12,600円 税込。NTTアイティ(株)。 [ 2X ApplicationServer ] プライベ−トクラウド マルタ島が本社、開発拠点の 2X Software社。デスクトップ仮想化(仮想PC方式)とアプ リケ−ション仮想化(サ−バベ−ス方式)のソフト。名古屋で7月12日にアプリケ−ショ ンサ−バの仮想化で、iPad画面一杯にメ−ルソフトが出て使い易そうなデモを見た。iPad でも SSL-VPN のトンネルなり RDP 接続ができれば、果たしてそれでよしか。結構使い勝 手は悪いと思っていたところだった。低価格シンクライアントシステムで2007年8月 日本市場に参入。タブレットに無料アプリ 2X Client というのを入れたが、 この会社の だった。SSL-VPN なしで社内にアクセスできるみたい。国内でもかなり導入実績がある。 [ キャリアなどの閉域網 ] インタ−ネット経由のサ−ビスも多々 実質WANなど既に利用しているキャリアからの提案での導入になると思われる。NTT やKDDIなどが出している。携帯の電話網、キャリアのIP-VPN網を利用して閉じたネッ トワ−ク環境の中で社内にアクセスする。NTT Communications なら BizデスクトップPro、 NTT PC Communicationsのセキュアアクセス for iPad(通称)。内の場合WANはKDDI なので導入するなら KDDI 3LM Security でいいんじゃないの。 最近KDDIから来てい るメ−ルから。"中小企業&SOHOのお客さま KDDIまとめてオフィス 中小企業だか ら活きるスマホ+クラウド これなら悩まない!! スマ−トバリュ−for Businness"。 [ RemoteView ] ASPタイプ これも追加、某SI業者の営業さんからこれも聞いていた。混乱していた。AnyClutch の 姉妹品と改めて聞いた。スマ−トデバイスやパソコンから、会社や自宅のパソコンを遠隔 操作できる。丸紅情報システム(株)に14日間の無料評価版あり。ASPサ−ビス。自宅 のパソコンなどにエ−ジェントソフトを入れておく。Webブラウザを介して遠隔操作が できる。レスポンスが早いというのがひとつ売り。端末側、スマ−トデバイス側でいろい ろソフトが使い易くしているというのも売り。それなりのアプリが有るのかも、要確認。 (2) ユビキタス・アクセスでの検討 -------------------------------------------------------------------------------- ユニバ−サル・アクセスもユビキタス・アクセスもほとんど一緒の意味。外にいても社内 にいても同じような操作で、社内サ−バにアクセスできるようにするには。 -------------------------------------------------------------------------------- * 社内でも SSL-VPN 経由にする これはかつてユニバ−サルアクセスということで考えたことである。スマ−トデバイスは どこにいても同じネットワ−ク接続ができるよう。社内にいようが外出していようが。ネ ットワ−ク接続の何か切り替えスクリプトを叩けとか、そういうのはやらなくてもいいよ うにしたい。接続してやれることも同じにしたい。ユ−ザにはできるだけ同じ操作感で使 えるようにしたい。そうなると社内でも DHCP サ−バか。多分、スマ−トデバイスを外で 使う場合は、接続は例えばホテルではネットワ−クケ−ブルだろう、IPアドレスはDHCP サ−バだろう。街中の無線LANスポットの接続は許すのか、無料と有料があるがこれは また考えよう。社内で無線LAN接続の対象は、これまでのノ−トパソコンもある。ノ− トパソコンは社内では固定IPアドレスを振っている。昨今でてきた Ultrabookはどうす るか、まだそもそも1台も社内には無いが、ノ−トパソコンに準じるとしようか。 * 小規模ネットワ−クでのプラン ( システムは小から考える ) 小規模と言っても100人位のオフィスまで範疇に入れてもいいかと思う。5人から10 人位が営業などで外周りしているとしよう。 テストするには新しく FortiGate を買うな ら FortiGate-60Cでいいのでないか、これには無線LANコントロ−ラ機能も入っている、 FortiGate-50B にはない。無線LANアクセスポイントの FortiAP-220B は1台あればい いだろう。オフィスが広くて複数、無線LANアクセスポイントを設置する場合を想定し て、ロ−ミングのテストもやってみたいところだが、それはまたにしよう。SMD からは社 内へは FortiGate の SSL-VPN で入る。外からはインタ−ネット経由で、これは大丈夫で きると思う。オフィスでは無線LAN経由の SSL-VPNで入るようにするのだが、意味があ るか有効なのか。所詮同じセグメントにある訳で安全性を確保できるのか少々疑問がある。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄\―◆〜〜▲SMD(1) 無線LANまたは3G回線 \_______/ | SMD はタブレットまたはスマ−トフォンを。 | 192.168.1.0 無線LANアクセスポイントはへたら長い .1| Public IP Address ので無線APともいうことにする。 NAT-------- | UTM |無線LANコントロ−ラ -------- FortiAP-220B SMD(2) | □Mail □File □Web △PC ◆〜〜〜〜〜▲ UTM の DHCP サ−バ機能 .1| |.2 |.3 |.4 |.5 |.6 で同じセグメントである --------------------------------------------- 192.168.0.11が割り当て 192.168.0.0 られる。 FortiGate のWAN側インタ−フェ−スにはパブリックIPアドレスが付いているとする。 取得パブリックIPアドレスは1つだけとする。192.168.0.0 ネットワ−クで 1〜10は固 定IPアドレスとし、11〜20 は動的IPアドレスと例えばしよう。 動的IPアドレスは FortiGate の DHCP サ−バから割り当てる。 外ではホテルなどの無線LANからで DHCP サ−バで割り当てられる。DHCPサ−バで設定されるデフォルトゲ−トウェイは、内外とも 192.168.1.1 とする。SMD の認証は FortiGate の SSL-VPN 機能のメ−ルによる OTPとす る。OTP のメ−ルは携帯電話など別デバイスに送るとする。これらでどういう連携ができ るか。どもかくFortiGate と連携するという、FortiAP-220B無線LANアクセスポイント がないことには始まらない。なかなか扱うSI業者がなくて買うだけでも四苦八苦です。 無線APは安い機種でもブリッジモ−ドとル−タモ−ドがある。上記はブリッジモ−ドで FortiAP を設定したとする。UTM の SSL-VPN では外からは社内の Fileサ−バにはアクセ スできないようにしたとする。 社内にある SMD(2) では SSL-VPN と言っても同じセグメ ントにあるのだから、 SMD(2) から File サ−バへはそのままアクセスできてしまうはず。 やや、これは無線APをル−タモ−ドで設置してもできてしまうのは一緒のことか。やれ ればうれしことは SMD(2) からは 192.168.1.1 のみへアクセスできる、 社内のサ−バヘ は直接アクセスできない。そんなことが FortiGate と FortiAP で連携してできないかと 思うのだが。認証VLANとかの記事をみていると、指定したVLANに誘導する話がで ている。そんなことができなければ FortiAP と .5 の間にもう1台 UTM をかますかだ。 -------------------------------------------------------------------------------- いやいや単純な話で FortiAP の経路を 192.168.1.1 への静的ル−トにすればいいだけだ。 経路設定と言えばネットワ−ク経路ばかり設定してきたので、ホストの経路を忘れていた。 何日か経ってそんな訳に行かないのでないかと思い直した。[付録]で動作確認をしてみる。 -------------------------------------------------------------------------------- * タブレットでのアクセス先の切り分け 上の小規模ネットワ−クでのプランでは SMD から SSL-VPN アクセス先は、内外で同じで 192.168.1.1 である。もしこれがうまく行かず、 社内にも SSL-VPN 装置を置くというこ とになった場合、その社内設置の SSL-VPNにもアクセスするアプリのアイコンなり、1つ のアプリの中でのメニュ−が必要になってくる。実際どういうことができそうか、それを 検討してみた。一応、社外向けも社内向けの SSL-VPN も FortiGate を想定している。か つてユニバ−サルアクセスと言うことで、内外で SSL-VPN接続を使えば、どこからでも暗 号化されてセキュアなネットワ−ク環境が作れると考えた。しかし当時は専用の SSL-VPN 装置しかなく、社内でも使うとなると相当なアクセス数を裁くスペックが必要になる。装 置も高価なものになり、導入は現実ではなかった。それを全パソコンでなく、無線LAN 経由の SMD を対象にすれば、10万円程度の FortiGate でやれるということである。 ・SSL-VPN クライアントでアカウントを複数作って対応する アカウントを複数作ることができる。下記の [ Add Proxy VPN ]をクリックすると、新し いアカウントを作るとメニュ−には出てくる。実際にはアカウントというより、アクセス 先ごとのメニュ−を作ることができる。これで外からと内からとでメニュ−を別けること が可能になる。Android 端末における切り分けはこれでできる。 ------------------------------ | ◆FortiClient Lite |----------------------------- | Click a VPN to Connect \ |----------------------------- [ Add Proxy VPN ] をクリックし | □ Setuzoku2 て、もう1つアカウントを作って | 0.0.0.0 みた。最初に作ったのはこれ。 |----------------------------- | □ Setuzoku ----------------------------- | 192.168.1.9 | Proxy Account | |----------------------------- | Enter the new account name| | Click |[ ]| | [ Add Proxy VPN ] <---- |[ OK ] [ Cancel ]| ------------------------------ ----------------------------- ・タブレットのアプリでこんなアクセス画面を用意できるか -------------------------- できない。SSL-VPN のメニュ−で社内サ−バをそれぞれ |外からファイル共有を利用| 指定する。アプリでどこにアクセスするか、SSL-VPN 接 |------------------------| 続するかIPアドレスを入れる。接続して SSL-VPN装置 |社内でファイル共有を利用| からアクセスのメニュ−を取ってくる。 -------------------------- ・タブレットのアプリで毎度IPアドレスを入れればできる 社内にいる時、社外にいる時でアプリの SSL-VPN接続先のIPアドレスを変える。しかし これは面倒な話である。Android のアプリではできた、iOS でもできた?。 ・社内と社外でそれ用のIPアドレスを書いたアプリを用意 1つダウンロ−ドしてアプリの名前を変えて、もう1つダウンロ−ドできれば。残念なが ら Android でも iOS でも基本、アプリの名前を変えることはできない。しかし iOSでは 脱獄(Jail Break)、Android では root 化という、正規でないやり方であればアプリの名 前を変えられないことはない。iOS では脱獄系のアプリという言い方をするらしいが、イ ンタ−ネットで検索したらすぐに Icon Renamer というアプリが見つかった。しかしiPad の画面で App Store で、この名前のアプリを検索しても出てこなかった。 正規に登録さ れたアプリでないから出ないのだ。Android では root 化は一時的にデバイスの制約を緩 めて、アプリを入れ込むようなやり方のようである。 (3) UTM の SSL-VPN 疑似配備の検討 `2c/08/E -------------------------------------------------------------------------------- スマ−トデバイス用に UTM を SSL-VPN リバ−スプロキシ方式で設置。スマ−トデバイス は UTM の SSL-VPN でトンネルモ−ドをサポ−トしてない。Windows パソコンはできるが。 -------------------------------------------------------------------------------- * ロ−カルで念のために確認テスト ---------------------------------------------------------------------------- | 送信元 宛先 スケジュ−ル サ−ビス アクション ステ−タス NAT | |--------------------------------------------------------------------------| | ▽internal -> internal | | all Qube3 > > SSL-VPN 〆 × | ---------------------------------------------------------------------------- ※ Qube3 オブジェクトは サブネット/IP範囲指定[192.168.1.8/255.255.255.255]、Any。 テストではできたが、実際にこんな設定が効くのか。1直線に置いての確認を念のためや ってみた。PC のブラウザから FortiGate の SSL-VPN に接続して、SSL-VPNクライアント のメニュ−から Qube3 のWebサ−バにアクセスはできた。 Bookmarks に用意したのか {Connection Tool} から。しかしなぜか本番稼働中のイントラサ−バにはアクセスできな い。ファイル共有にもアクセスできない。一体どういうこと。ファイル共有は FortiGate が出してきたログイン画面が先ず出てきて、アカウントを入れたらブラウザ IE が出てき て、そこでイントラのアクセスと同様に "Internet Explorer はこのペ−ジは表示できま せん" と出た。一体どういうこと?。ここがクリアできなければUTM をDMZ上において も装置は使えない。分かれば単純なこと、ル−ルで Qube3 しか通してないでないですか。 SSL-VPN △PC ------> ■UTM □Qube3 □Intra □File UTMの INTERNALインタ−フェ |.7 |.9 |.8 |.10 |.11 −スにケ−ブルを差したのみ。 ----------------------------------------------- WAN1,WAN2 には差してない。 ----------------------------------------------- |https://192.168.1.9:10443/sslvpn/portal.html |---------------------------------------------- | Welcome to SSL VPN Service |---------------------------------------------- | Bookmarks | | --------------------------- | |Webペ−ジからのメッセ−ジ| | Connection Tool |-------------------------| | タイプ: [Ping ▽] | /!\ 192.168.1.8 は | | ホスト: [192.168.1.8 ] |  ̄ ̄ ̄ 到達可能です | | [接続] | [ OK ] | ----------------------------- --------------------------- {Connection Tool} で タイプ:[HTTP/HTTPS ▽]、ホスト:[192.168.1.8] はちゃんと出た。 ホスト:[192.168.1.10] にしたらブラウザで "Internet Explorer はこのペ−ジは表示で きません" と出てだめだった。 https://192.168.1.9:10443/proxy/http/192.168.1.10/。 詳細情報をクリックすると、インタ−ネット接続が切断された、他にDNSがらみの問題 ではないかと出ていた。{Connection Tool} でホスト:[192.168.1.10] にして Ping やっ たら "192.168.1.10 は許可がないため到達不可能です" と。FortiGate本体からの経路設 定は合っているのか、CLIコンソ−ルから ping を打った。# execute ping 192.168.1.10 は通った。どこかでDNSの逆引きチェックをやっている?。とかいろいろ悩みました。 * ロ−カルで念のために確認テストの続き ----------------------------------------------- | https://192.168.1.9:10443/sslvpn/portal.html |---------------------------------------------- | Welcome to SSL VPN Service |---------------------------------------------- | Bookmarks | Intra Web アクセス http://192.168.1.10/ これらは SSL-VPN | File Share 先の設定 file://192.168.1.11/temporary/ 経由で表示される。 | File Share2 を参考に file://192.168.1.11/sekkeiyou/ {Intra Web} をクリックするとイントラのWebサ−バにアクセスし、イントラのポ−タ ル画面がでてくる。その中のメニュ−に <ファイル共有> がある。<ファイル共有>をクリ ックすると {File Share},{File Share2} 相当にアクセスするメニュ−があるという寸法 である。{File Share} は元々パスワ−ドなしで見ることができる。 {File Share2} はパ スワ−ドで保護されている。パソコンにログオンする際のアカウントで {File Share2}デ ィレクトリに入ることができるようになっている。 ここでは PC パソコンのログオン、ファイル共有サ−バへのアクセスはユ−ザのアカウン トの確認で Active Directory を見るようになっている。{File Share}をクリックすると、 別にブラウザが開いてログイン画面になっている。アカウントを入れず [ログイン] をク リックすると、そのままディレクトリに入ることができ、ファイル共有の内容がずらっと でてくる。{File Share2} は所定(自分)のアカウントを入れても拒否された。 FortiGate の SSL-VPN 設定においてユ−ザのアカウントはロ−カルで持っているからと思われる。 -------------------------------------------------------------- | https://192.168.1.9:10443/prxoy/http/192.168.1.10/file.html |------------------------------------------------------------- | イントラのファイル共有サ−バのメニュ− これら SSL-VPN経由でなくそのまま | アクセスして表示される。テスト環 | [一時保管用] [設計部門用] [総務部門用] 境では一直線にサ−バ類があるので、 アクセスできてしまう。注意したい。 ------------------------------------------- | http://192.168.1.10/file.html [一時保管用]は普通の状態ではマウ |------------------------------------------ スカ−ソルを合わせると、IE8 だと | イントラのファイル共有サ−バのメニュ− file://192.168.1.11/temporary/と | 表示される。Mozilla Firefox では | [一時保管用] [設計部門用] [総務部門用] file:///temporary/ と表示される。 [ 問題は2つ ] *** ここらが FortiGate での SSL-VPN の限界か *** 1) Bookmarks の {File Share} file://192.168.1.11/temporary/ こうなっている設定で、 クリックするとブラウザが別に出てきてURLは次のようになった。 https://192.168.1.9:10443/remote/network/login?protocol=smb&rootpath=/ 192.168.1.11/temp/&pname=192.168.1.11/temp 別途新たに別なブラウザを出して、 上のURLを入れればアクセスできそうな気がす るができない。URLを入れてリタ−ンすると、IE ではブラウザを閉じようとするメ ッセ−ジが出てきたし、Mozillaでは https://192.168.10.11:10443/remote/login 画 面になってしまった。ブラウザで最初に開けたアクセス内でないとだめみたい。 2) Bookmarks の {Intra Web} からイントラ画面を出す。その中のイントラのファイル共 有サ−バのメニュ−をクリックし、[一時保管用] をクリックすると一応出てくる。 しかしこれはテスト環境で、直接 file://192.168.1.11/temporary/ にアクセス しているだけの話。パソコンで windump によりパケットの流れを見て分かった。 [一時保管用] をクリックして SSL-VPN で出すには、URLを https://192.168.1.9: 10443/remote/... というように書いてみる。これでできれば、イントラのホ−ムペ− ジを SSL-VPN 用に書き換えたのを用意する。これでできなければ Bookmarks に{File Share3} とか部門など個別に用意しなければならない。ちょっと難儀な話である。 * Google アクセス問題 インタ−ネットの代表的なサイトへアクセスができないということで、象徴的にこのよう に読んでみた。テスト用のサ−バでのサンプルのデ−タにアクセスしている分には問題な さそう、もうこれで使えると思った。しかし実践に即したテストをここではやってみたら、 いろいろ問題が発覚してきた。イントラのポ−タルサイトからの社内の他のサ−バへのリ ンクを認識してくれない。http://192.168.1.x/xxx/xxx.jsp とか xxx/login.jsp?xxx と かいうサイトだが。Google や Yahoo へのリンクもだめだった。アクセスができない。ど うやら SSL-VPN でもプロキシモ−ドでのできることの制約にぶつかった。 やはりトンネ ルモ−ドもしくはリモ−トアクセス(RDP) でしか使い物にならないのか。 ---------------------------------------------------------------------------- | 送信元 宛先 スケジュ−ル サ−ビス アクション ステ−タス NAT | |--------------------------------------------------------------------------| | ▽internal -> internal | | all File-Share > > SSL-VPN 〆 × | | all Proxy > > SSL-VPN 〆 × | 1) | all Google1 > > SSL-VPN 〆 × | 2) ---------------------------------------------------------------------------- ブラウ SSL-VPN Google Yahoo ザのIE△PC ---------> ■UTM □MS □Proxy □Intra □File ☆ ★ |.7 ------ |.9 |.1 |.3 |.10 |.11 | | -----------|UTM0|-----------------------------------------‖---------------- LAN------WAN 社内 192.168.1.0 インタ−ネット UTM0 は透過型で設置、LAN から WAN へは UTM 192.168.1.9 の 10443/TCP へのみ通信可。 上記 Google1 は UTM でファイアウォ−ルのオブジェクトを作成。1)のル−ルで社内のプ ロキシサ−バへは SSL-VPN で通すようにしたい。しかしこれで何ができる、 何もできな いぞ。PC のブラウザの IE で、プロキシ設定を 192.168.1.3 にする?、意味ないことだ。 IE はあくまでも UTM へのアクセスをするのみで、1) のル−ルは何の関係もない。PC の ブラウザから Google サイトへアクセスするには、あくまでも 2) のル−ルを設けないこ とにはできない。Yahoo を見たければそれ用のル−ル、例えば次は 3) を作っていくとか、 そんな話になる。そもそも社内に SSL-VPN 装置を設けようというのがいけないのか。 * いやいやこれでどうだ イントラのポ−タルサイトからの社内の他のサ−バへのリンクを認識してくれない上記の 問題。http://192.168.1.x/xxx/xxx.jsp とか http://192.168.1.x/xxx/login.jsp?xxxと かいう。下記のようにポリシ−をル−ル 3) だけの、 宛先を all にしたらできるように なった。外の Google や Yahoo サイトへもアクセスできた。この UTM はDMZ上の置く ことを想定している、UTM では何でもOKにしておいて、 ファイアウォ−ルで UTM から 社内サ−バそれぞれに許可するル−ルを記述する、そういうことになるか。これまで設置 してきた SSL-VPN 装置では SSL-VPN で社内に通すパケットを指定してきた、メ−ルサ− バやファイル共有サ−バへの方向への通信でである。それをここではやらずに全部通す設 定にする訳で、果たしてセキュリティ的に大丈夫なのか、まっとうな設定といえるのか。 ---------------------------------------------------------------------------- | 送信元 宛先 スケジュ−ル サ−ビス アクション ステ−タス NAT | |--------------------------------------------------------------------------| | ▽internal -> internal | | | これまでのル−ルは無効にした □ | | all Google1 > > SSL-VPN □ × | 2) | all all > > SSL-VPN 〆 × | 3) ---------------------------------------------------------------------------- 上記の設定でインタ−ネットのサイトにドメイン名でアクセスしたい場合。DNSの設定 は [システム]->[ネットワ−ク]->[DNS]で自社などのDNSサ−バのIPアドレスを指定 する。[VPN]->[SSL]->[設定] の詳細のところの {DNSサ−バ #1[ ]} など空欄でよし。 [VPN]->[SSL]->[ポ−タル] メニュ− このようにメニュ−を作成した。Android では全 --------------------------------- 部表示してできた。iPad では{ポ−トフォワ−ド | [OK][Cancel][Apply][Settings] POP3}、{ポ−トフォワ−ドSMTP}、{MyPCのRDP}の |-------------------------------- メニュ−は表示自体がでてこなかった。できない。 | Welcome to SSL VPN Service | [ウィジットの追加 ▽] {ポ−トフォワ−ドPOP3} はタイプ[ポ−トフォワ | ------------------------------- −ド]、ロケ−ション[192.168.1.1]、リモ−トポ | |ブックマ−ク −ト[110]、リスニングポ−ト[110]。 {ポ−トフ | |------------------------------ ォワ−ドSMTP} は2つのポ−ト番号は[25]。上記 | |ポ−トフォワ−ドPOP3 MSが社内用メ−ルサ−バのMail-Store。メ−ルの | |ポ−トフォワ−ドSMTP アプリは K-9という、操作は直感的ではない。と | |[追加] [編集] もかくBCGの斑点みたいなのを押して、メ−ル | ------------------------------- の操作メニュ−をだしてみること。 | ------------------------------- | |Bookmarks {Intra-Web} の設定、タイプ[HTTP/HTTPS]、ロケ | |------------------------------ −ション[192.168.1.10]。ポ−タルサイト、この | |Intra-Web 中に勤怠管理とかグル−プウェアの社内のサイト | |File-Share へのリンクあり。これもできるようになった。し | |MyPCのRDP かしなおファイル共有サイトへはアクセスができ | |[追加] [編集] ない。それで直接にファイル共有へアクセするた | ------------------------------- め File-Share を設ける、タイプ[SMB/CIFS]、ロ |-------------------------------- ケ−ション[192.168.1.11] である。 SSL-VPN RDP Tablet からPCへ SSL-VPNでRDP。{MyPCのRDP} の Android▲ ------> ■UTM --->△PC 設定、タイプ[RDP]、ロケ−ション[192.168.1.7]、 Tablet|.6 |.9 |.7 スクリ−ン幅とスクリ−ン高さはデフォルト1024, --------------------------------- 768。ログオンユ−ザとパスワ−ドはこの PCでの。 タブレットのアプリの {FortiClient Lite} で、メニュ− {MyPCのRDP}をクリックすると、 別途インスト−ルしておいた RDP のクライアント用アプリ "2X Client" が起動してくる。 "2X Client" は事前に何か設定しておくことはない。 {FortiClient Lite} から引き数が 渡されて起動するようである。それで RDPアクセスできれば全然問題ないのか。イントラ のポ−タルからファイル共有にアクセスができない。誰でも入れる [一時保管用] にも入 れない、反応がない。"2X Client" は単独での RDPクライアントソフトとしても使えるの で、SSL-VPN 関係なくRDP アクセスしてみるか。即やって確認してみました。だめ、アク セスできない。"2X Client" RDP のソフトに問題があるのか、ファイル共有の HTML から のリンクの書き方が悪さしているのか。やってみなくちゃ分からない、大科学実験!。 ----------------------------------------------------------------- |Opennig bookmark | | Configure "2X Client" with server "localhost" on port 3389 | |---------------------------------------------------------------| | [ Open ] | << クリック。 ----------------------------------------------------------------- ↓ ----------------------------------------------------------------- |[2X] 2X Client 追加 オプション バ−ジョン情報 | |---------------------------------------------------------------| |localhost | << クリック。 ↓ ジェスチャ−の設定とか言う黒ぽい画面が出てくる。変化がないので思わず [閉じる] を 押したくなるが、少し待っていると稼働している PC の Windows画面がそのままの状態で 出てくる。RDP 画面の右上の方に [マウス キ−ボ−ド その他] というのがでている。そ の他をクリックして [切断] を押すと RDP 画面が消えて {2X Client} の画面に戻る。 (4) UTM の SSL-VPN 実戦配備の検討 `2c/08/e * とりあえずここに これまでUTMである FortiGateのそれぞれの機能を個別に確認してきた。そのまとめと して1つ例をあげて設定してみる。FortiGate の SSL-VPN機能のトンネルモ−ド方式はス マ−トデバイスは対応してない。まずはDMZ上に UTM2 をおいて、そこで SSL-VPNの機 能が働くようにして、それを FireWall で外から UTM2 に SSL-VPNアクセスできるように する。内部ネットワ−クからは UTM2 の設定ができるようにし、かつ SSL-VPNアクセスも、 テストや動作確認のためできるようにする。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\―□〜〜▲Android Apri \_______________________/ FortiClient Lite : 〜〜▲iOS Apri(iPad) : 仮想IPアドレス □ ◇ ◇ ◆UTM2' | .3| .7| .8| 192.168.2.7 の ---------------------------------------------- 202.241.128.x SSL-VPN は既存 | 設置の物とする。 | □Mail- □SSL- ■UTM2 (UTM1) .2| .1|Relay .7|VPN .8| FireWall(UTM1) FireWall □---------------------------------- 192.168.2.0 はFortiGate で .2|.2 310B。ファ−ム PC△ | □Mail- □Intra □File- ウェアはスマ− .20| | .1|Store .8|-Web .9|Share トデバイスに対 ---------------------------------------------- 192.168.1.0 応してないもの。 [ UTM の基本設定を幾つかやっておく ] ・[システム]->[ダッシュボ−ド]->[Dashboard] オペレ−ションモ−ド[NAT ▽] でよし。 {FortiClient Software} のところあり、Unlicensed となっているが関係ない模様。 ・[システム]->[ネットワ−ク]->[インタ−フェ−ス] アグレッシングモ−ド ◎マニュアル、IP/ネットマスク[192.168.2.8/255.255.255.0 ]。 ・[ル−タ]->[スタティック]->[スタティックル−ト] ゲ−トウェイ[192.168.2.2] にし て、宛先IP/ネットマスク [0.0.0.0/0.0.0.0 ]、デバイス [internal ▽]。 [ UTM を SSL-VPN リバ−スプロキシ方式で設置 ] ---------------------------------------------------------------------------- | 送信元 宛先 スケジュ−ル サ−ビス アクション ステ−タス NAT | |--------------------------------------------------------------------------| | ▽internal -> internal | | all Intra-Web > > SSL-VPN 〆 × | | all File-Share > > SSL-VPN 〆 × | | all Mail-Store > > SSL-VPN 〆 × | ---------------------------------------------------------------------------- * UTM をDMZ上におく FireWall のル−ルづけ ・UTM2_DMZ [ファイアウォ−ル]->[アドレス] 192.168.2.8、インタ−フェ−スAny。 ・UTM2_BAR [ファイアウォ−ル]->[アドレス] 202.241.128.8、インタ−フェ−スAny。 ・UTM2_VIR [ファイアウォ−ル]->[バ−チャルIP] Externalインタ−フェ−スport1(wan)、 スタティックNAT、外部IPアドレス 202.241.128.8、マップ先IPアドレス 192.168.2.8。 [ファイアウォ−ル]->[ポリシ−]->[ポリシ−] ---------------------------------------------------------------------------- | 送信元 宛先 スケジュ−ル サ−ビス アクション ステ−タス NAT | |--------------------------------------------------------------------------| | ▽wan -> dmz | | all UTM2_VIR always HTTPS ACCEPT 〆 | 1) | ▽internal -> dmz | | all UTM2_DMZ always HTTPS ACCEPT 〆 | 2) | ▽internal -> wan | | all UTM2_BAR always HTTPS ACCEPT 〆 〆 | 3) | | | ▽dmz -> internal | | UTM2_DMZ PC always RDP ACCEPT 〆 | | UTM2_DMZ Mail-Store always SMTP POP3 ACCEPT 〆 | | UTM2_DMZ Intra-Web always HTTP ACCEPT 〆 | | UTM2_DMZ File-Share always SMB など ACCEPT 〆 | ---------------------------------------------------------------------------- 1) 外からバリアセグメントの UTM2_BAR、202.241.128.8 へのアクセスを通す。パソコン をWAN側にあるとして、 IPアドレスをバリアセグメントのを付けてテストする場 合、UTM2 で定義した仮想IPアドレスは避けること。認識されない。 2) 内部ネットワ−クからDMZの UTM2_DMZ、192.168.2.8 へアクセスを通す。UTM2の管 理者としての設定に利用する。 内部ネットワ−クではなく管理者用のパソコンからの みのアクセスに限定することがセキュリティ確保上、望ましい。 3) 内部ネットワ−クからバリアセグメントの UTM2_BAR、202.241.128.8 へのアクセスを 通す。パソコンやスマ−トデバイスを、 SSL-VPN のクライアントの登録や動作の確認 などに利用する。クライアントの SSL-VPN 設定にはこれもできた方が便利。 * Android タブレットのアプリ FortiClient Lite ------------------------- |@FortiClient Lite |------------------------ | VPN Bookmarks \ |------------------------ | [rdp ] RDP Access rdp 用にアプリ "2X Client" を入れる。 RDP をやるには | [web ] Intra Web telnet もできるようにしておくこと。telnet 用アプリの | [smb ] File Share ConnectBot をダウンロ−ドして入れておく。 | [smtp ] SMTP Server smtp,pop3 用にアプリ "K-9 Mail" を入れる。どっちかで | [pop3 ] POP3 Server 入れておけばいい。1ヶで所しかそもそも入らないが。 * ポ−トフォワ−ディングで SMTP,POP3 を通す ------------------------------------------ FortiGateの[VPN]->[SSL]->[ポ−タル] |Bookmarks にて設定する。 |----------------------------------------- |名前: [SMTP Server ] SMTP 用にポ−ト25でエントリを作った |タイプ: [ポ−トフォワ−ド ▽] 様子。POP3 用にもポ−ト110 でエント |ロケ−ション: [192.168.1.1 ] リを作ること。 |リモ−トポ−ト: [25 ] |リスニングポ−ト: [25 ] Android タブレットのアプリ "K-9 Mail"の設定は。SMTPサ−バ:127.0.0.1、ポ−ト:2025、 このサ−バは認証が必要はなし。POP3サ−バ:127.0.0.1、ポ−ト:2110、認証タイプPLAIN。 Mail-Store でのユ−ザのメ−ルアカウント ikken を、このソフトの受信設定で行なう。 * クライアントからの SSL-VPN 接続と確認 パソコンのソフト {FortiClient Connect} を起動し画面で、リモ−トGW [ 192.168.1.9] ユ−ザ名とパスワ−ド入れた。ステ−タス98 にて接続OK。これでは分からないか。 ブラウザから https://192.168.1.9:10443/ にアクセス。ログイン後 {Bookmarks}の画面 メニュ−が出てくる。この確認は Windows パソコンでもスマ−トデバイスでもできる。 (5) スマ−トデバイスの安全対策の検討 * リモ−トアクセスの安全対策 Windows XP パソコンまたは Windows XP Embedded シンクライアントの例えば 2533tでの ことになるが。パソコンまたは 2533t から RDP で社内のパソコンにアクセスする。その パソコンで作業をする。Active Directory の配下で、パソコンの操作ログの取得、 メ− ルの送受信の中身も保存記録される。一番パソコンの管理が簡単で、一貫性のある統一的 な管理ができるのでないか。パソコン他スマ−トデバイスでも RDP接続すれば同様である。 ファイアウォ−ルでDMZの FortiGate から社内のパソコンへの RDP アクセスを許可す ること。ユ−ザ各自のパソコン1つ1つにル−ルを設けるか、どばっと穴をあけるか。前 にこのこと検討して何らかの結論を出していたと思うのだが。どばっと穴ということには ならないな、DMZの FortiGate から社内の任意に対して RDP を許可するのみだ。さら にファイアウォ−ルで RDP を通す際にユ−ザ認証ができればより強力になるのだが。 OTP のハ−ドウェアのト−クンはあまり扱いたくない。金がかかるからというより管理で だ。USBキ−みたいなもので、これは無くすぞ。きっとしょっちゅう紛失しましたとい う話が起きる。紛失届けに再発行の書類とか、そんなんを手続きとしてやらないけないハ メになる。メ−ルのワンタイムパスワ−ドはどうか。メ−ルの場合、同じデバイスに届く と全然安全でなくなる。個人持ちの携帯電話に OTP のメ−ルを送るようにしないと。 会社の中での無線LANの事も考えないといけない。社内にいる時は WiFi の無線LAN 接続でスマ−トデバイスを使うことになる。その方が速いし。デバイスをUSBポ−トで 直接パソコンとつないでファイルを iPad なんかに転送するというでのはいかにも。つま りこれまでの社内のネットワ−クに加えて、 WiFi の無線LAN用のネットワ−クが必要 になる。一度無線LANの安全な接続を検討してみないと。 iPhone 利用の BIG-IP Edge Gateway と OTP 連携のパンフレット。 DMZに BIG-IP と SECUREMATRIX GSBサ−バを設置、LANに SECUREMATRIX 認証サ−バを設置する。iPhone、 Android の API も提供可能、2012年対応予定。かなり構築費用はかかるのでないか。100 ユ−ザ OTP 登録でざくっと 300万円てところか。冗長構成は採ることができのか。 昨今 ユ−ザにアクセスできませんとはいえない。現実、小中企業での導入は無理だと思う。 接続の方法は。大きくは SSL-VPN、IPSec VPN、PPTP/L2TP。SSL-VPN はリバ−スプロキシ 方式のブラウザさえあれば通信可能、トンネルモ−ド方式の ActiveX コントロ−ル/Java Applet/専用ソフト、それにポ−トフォワ−ディング方式というのもある。 SSL-VPN はレ イヤ7で接続、IPSec VPN はレイヤ3で接続する。SSL-VPN のトンネルモ−ドはレイヤ3 なのではないか。これらのこと今一度理解しておくこと。 * スマ−トデバイスの安全対策 安全面での管理をどうするか、落としたとか盗まれたとか。重要なデ−タがそのまま入っ ていたりしたら困る。どんなアプリが入っているかとかの管理的なことはいい。日経の雑 誌では MDM( Mobile Device Management )をどうするかという記事が目立つ。展示会やセ ミナ−で入手した MDMのソフトやクラウドサ−ビスのパンフレットが幾つかある。ざっと AirWatch、KDDI も採用の OPTiM、Soliton DME、VECTANT SDM、Quality Soft。 NECの Android タブレット LifeTouch は安全対策が充実。FortiClient 搭載。McAfee Mobile Security 評価版あり。Android 搭載クラウドコミュニケ−タ− LifeTouch B。ビ ジネス向けモデル、セキュリティパックモデルとかあり。それでどれを買えばいいのか?。 統合セキュリティ対策ソリュ−ション NEC Mobile Securtiy Pro は Android と iOSタブ レットのクラウド経由の MDM ができるらしいが、LifeTouch に付加して利用するのかな。 iOS は結構、安全対策が充実している。Android はまるでない、それ用のアプリを入れな いことには。Android のアプリをインスト−ルする場合は、必ずユ−ザの同意を得るよう になっている、パ−ミッションを要求する。パ−ミッションを要求するって変ないい方だ な。無料アプリはどこかへ年中通信していて、それで結構、電気を消費している。電池が すぐなくなるとのこと。ユ−ザが知らん間にデバイスがいろいろ位置情報とか送っている。 一応IT部門でスマ−トデバイスを管理するということにして、アプリもあらかじめイン スト−ルする。それを営業マンなどに配布して利用してもらう。各人がアプリを入れたり はできないようにする。物理的にできないようにできるのか確認。入れないでねと各人の モラルに期待するようなことは止める。それなら個体識別情報が幾つものアプリに散逸し て、結果 "名寄せ" みたいなことはできない。これならそこそこセキュアか。 ではあらかじめスマ−トデバイスに入れておくアプリは。仕事でどんなアプリが必ずいる のか、あると便利なのか。これを選ぶというのは結構めんどくさい話になるな。分担して これは誰か別な人にやってもらえないか。Word や Excel のビュ−ワのアプリはあるとい いかも、OfficeSuite というのは Xperia に入っている。ビジネスに便利なアプリで目に 止まったのが LogMeIn、会社の自分のパソコンを遠隔操作する、3,500円。 Android のプログラムを1つ書いて、どういうようにデバイスの情報を取得できるのか確 認してみようか。簡単なアプリでできるみたい。Android IDは何も許可なしで取得できる。 IMEI は READ_PHONE_STATE の許可でとれる、他にも電話番号やMACアドレスなど幾つかも。 個人持ちの iPhone 幾つか、7月に入ってきた iPad の iOS で [設定]->[一般]->[情報] を見た。iPhone では IMEI、ICCID、MEID などが出ていた、iPad では全然出なかった。 * SSL-VPN 製品の1つの仕様を見てみる リモ−トアクセスソリュ−ション Juniper NetWorks MAG シリ−ズ。販売会社の製品紹介 の PDF にて。カタログの日付け 2012.06。MAG シリ−ズは SAシリ−ズの後継機種である。 SAM( Secure Application Manager ), SVW( Secure Virtual Desktop )。 | Windows Apple Android ●は IVE OS Ver7.2以 | PC iOS 2.x,3.x 4.0以降 降を前提。 -----------------------|---------------------------------- リバ−スプロキシ(Core) | ○ ○ ○ ○ ホストチェッカ−はウ ポ−トフォワ−ド(SAM) | ○ ― ― ― ィルス対策、指定ファ SSLトンネリング (NC) | ○ ○ ― ● イル設置、 MACアドレ ホストチェッカ− | ○ ● ― ● ス登録。 キャッシュクリ−ナ− | ○ ― ― ― 仮想デスクトップ(SVW) | ○ ― ― ― NC(Network Connect) * SSL-VPN のワンタイムパスワ−ド認証 ・FortiGate はメ−ル、SMS、ハ−ドウェアト−クンで1分間有効。 ・FortiGate はスマ−トデバイス用のソフトウェアト−クンもあり。 ・Aventail それにUTMの SonicWALL にもメ−ルのみ標準装備。 ・この他 FirePass などは他社製 OTP 製品を用意し連携して使用。 個人持ちの携帯電話やスマ−トデバイスに、OTP のメ−ルを送るというのは嫌がる人もい るかも知れない。同意をもらえない人にはスマ−トデバイスは支給しない、使わせないポ リシ−にするとか。あるいは FortiGate ならばト−クンか SMS を利用する手もまだある。 それもうまく行かない場合は別途 OTP製品を導入するしかない。製品としては昔からある ハ−ドウェアト−クンの RSA SecurID。マトリックス認証も OTPの一種と言える、製品は SECUREMATRIX などがある。SECUREMATRIX は2つのサ−バが必要で300万円はかかりそ う。RSA SecurID でも設置費用は同じく数百万円のオ−ダ−だろう。 中国では SMS( Short Message Service ) がよく使われているとか。中国に日本からメ− ルと SMS が1分で行くか、ちょっとどうかなと思う。 他のアジアの国、ベトナムやイン ドに進出する日系企業が増えている。SMS は携帯電話の番号にメ−ルを送るという。中国 ではプロバイダがメ−ルサ−ビスをそもそもやってないとのこと。 それで SMS や Gmail をビジネスで利用しているらしい。メ−ルサ−バを設置してメ−ルのユ−ザを管理してと いうのは手間も費用もかかる。日本ではプロバイダがメ−ルサ−ビスするのは当り前なん だが。SMS はすぐにメ−ルを送信する。チャットみたいな使われ方もするみたいだ。 FortiGate-80C で OTP の SMS の設定をやるだけやってみた。まるでどうなるか分からな かったのだが。携帯電話の番号を入れたけど、それだけでは設定は受け入れられなかった。 電話会社のところが何も入らない、選択するようになっているが何も出てこない。実際の OTP を想定して iPhone に OTP のメ−ルを飛ばしてみた。10秒ぐらいで届いた。 国内 なら何とか1分の OTP 有効時間はクリアできそうである。 さて外国にいてメ−ルが1分 以内に行くのだろうか、実際には30秒以内ぐらいには届かないとだめだろう。 メ−ルに依存した認証システムということ。DMZに設置した FortiGateからリアルタイ ムで携帯電話やスマ−トフォンにメ−ルが行かな使えないという話。外にメ−ルが出てい くのに15分位かかるとか、上司などによるメ−ルの検閲がある会社では利用はできない。 それにメ−ルが手持ちのデバイスにすぐに届くかということ。auの iPhone は 2012年3月 13日以前は15分毎にメ−ルを取りに行くようになっていた。メ−ルを使ったOTP はすで にある、(株)アイディ−エスの MITS OTP、DMZに OTP用のサ−バを設置して使う。 * FortiToken Mobile の Android 用アプリ `2c/07/E タブレットのアプリを調べていて FortiToken Mobile というのも目についた。画面にOTP が表示されるものらしい。iPhone iPad 用アプリは最初見た時が更新 2012/05/02 で、し ばらくして見たら更新 2012/07/13になっていた。Android 用アプリは 2012/07/12更新に なっていた。どちらも FortiOS 5.0 Beta 5 またはそれ以上。 多分 FortiGate のファ− ムウェアの 5.0 に新しくできた機能ではないか。でも 5.x はまだ国内では入手はできな い。SI業者によるサポ−トサイトのダウンロ−ドには 4.x までしかない。 参考資料が1つある。"23 Feburary 2012 http://docs.fortinet.com/auth/FortiToken-M obile-User-Guide-10.pdf"。これをざっと読んで手続きを想像してみた。メ−ルでアクテ ィベ−ションコ−ドと有効期限を示したのを送ってくる。有効期限が過ぎたらもう一度手 続きをやる。一番最初にアプリを起動したら4桁のPINコ−ドを決めて入力する。PINコ− ドを入れると60秒毎に変わるワンタイムパスワ−ドを発生して表示する。クリップボ− ドにコピ−して、OTP を入れる画面にペ−ストする。 -------------------------------------- --------------------------------------- | FortiToken Mobile |[リソ−ス] でそれ用のリソ−スグル− プで [IPグル−プフィルタ] の {グル−プパケットフィルタ} で設定。新たな社内サ− バのIPアドレスとポ−ト番号など記入してサ−ビスを作成するだけである。エッセンス だけ取り出せばこれだけなのだが、全体の設定状態を書き出したら数十ペ−ジにもなる。 * 参考 「docomo XPERIA acro S0-02C 完全活用マニュアル」 > 2011年8月22日発行。ソシム(株)発行。1,200円+税。Android スマ−トフォン。P.204, 205 に SMS(Short Message Service) の使い方あり、2011/07 から他社へも送信可に。 「日経コミュニケ−ション」2012/02, P.86〜89, > "Inside Android Security [第5回]企業用途に必須のMDM"。 KDDI がサ−ビスしている KDDI 3LM Security 「日経コミュニケ−ション」2012/03, P.27〜28, > "[特集]スマホ、ビッグデ−タで揺れるプライバシ−保護"。個体識別情報の一部は勝手 にデ−タを取得できてしまう。この情報をキ−に個人情報を "名寄せ" ができてしまう。 ------------------------------------------------------------------------------------ [ 付録 ] ネットワ−クの幾つかの疑問 `2c/09 ● ホスト経路の改めての疑問? * パタ−ン1 ※ DG:デフォルトゲ−トウェイ。 ▲PC1 △PC2 Apollo で DG 無しにして PC1 ヘのホスト経路を設定。 |.3 |.4 ------------------ B $ /etc/route delete net 0.0.0.0 A.2 1 |.1 $ /etc/route add host B.3 A.2 1 --------- |routed | PC1, PC2 の DG は B.1 に向いている。 |なし | Apollo --------- △ ● Apollo から A.3 には ping 通る、同じセグメントだ |.2 |.3 |.4 から通信できて当然。PC1 へは通る。PC2 は通らない。 --------------------------- A * パタ−ン2 ▲PC1 △PC2 これも上と一緒のこと。セグメントB ヘは、間にセグ |.3 |.4 メントC が入っている。 ------------------ B |.1 Apollo で DG 無しにして PC1 ヘのホスト経路を設定。 --------- |routed | Apollo から PC2 と PC4 へは ping通らない。一応確 --------- △PC4 認のテストをしようと思ったが、やるまでもないか。 |.2 |.3 ---------------- C ここで何を調べようとしているか。Apolloは無線AP |.1 で PC1 は無線コントロ−ラとする。 無線APは無線 --------- コントロ−ラとだけ通信するよう制限をかけたい訳で |routed | Apollo ある。無線APにつながるタブレットが、他のホスト PC3△ --------- ● と勝手に通信できないようにしたいのである。無線コ |.3 |.2 |.4 ントロ−ラをブリッジモ−ドで設置していれば、その -------------------------- A セグメントのホスト PC3 には通信できてしまう。 ● こんなネットワ−クはあり? ------ ----- △PC 1つのパソコンに固定IPアドレスを振る。これ | | A |UTM| D |.2 を社内のどこに持って行ってもいいようにする案。 | |------* |----------- UTM の NATで代表IPアドレスで社内にアクセス | | NAT| |.1 する。PC のMACアドレスが UTM で覚えられて、 C | L3 | ----- PC を移動させた際におかしなことになるかも。 -----| | | | ----- △PC ----- ◇〜〜△PC D.8 無線LANでブリ | | B |UTM| D |.2 |UTM| D |.2 ッジ接続の場合も。 | |------* |----------- --* |--------- | | NAT| |.1 | |.1 L3 か UTM のDHCP サ−バから ------ ----- ----- PC のIPアドレスを割り振る。