25-5. クラウドへ行くもの尚残るもの `2f/05〜 (1) DNS1次サ−バをクラウドへ * プランの概要は インタ−ネットの3つの重要な構成要素はDNSとメ−ルとWebである。DNSサ−バ を社内の設置からクラウドへ移行させることにする、Amazon EC2 に。 移行の時期は回線 冗長化装置の LinkProof を設置してからにする。 LinkProof の使用はDNSの設定と密 接に関係している。LinkProof を使用するにはDNSのコンテンツサ−バの記述と併せて 設定する。これらの設定が落ち着いてからプロバイダAにDNSの維持管理を任せるよう にしたい。プロバイダAが Amazon EC2 を契約し、それを使わせてもらうことに。`2f/11 にざくっと費用を出してもらった。DNSサ−バの維持を含めて月2万円程度だった プロバイダが設けたDNSキャッシュサ−バはどうやって利用するのか。今は好意で設け られていると解釈すべきでないのか。社内のパソコンなどからは社内に設置のDNSキャ ッシュサ−バを見るべきだろう。 パソコンのネットワ−ク設定のDNS指定には Active Directory を見るようになっている、たいがいどこの会社等の組織ではそうだと思う。パ ソコンのログオンで見るだけか。ブラウザから外へのWebアクセスはたいがいプロキシ サ−バを介して、プロキシサ−バのマシンが参照するDNSを見る。 Active Directory にDNSの仕組みが入っていると言うこと、このこと瞹昧だった。 社 内用DNSサ−バとして利用されることが多いと言われる。Windows パソコンのログオン のユ−ザ認証に Active Directory を使うには、どうしてもパソコンのネットワ−ク設定 でDNSを Active Directory が動いている Windows Server のIPアドレスを指定記載 しないといけない。しかし Windows Server のOS中にDNSのプログラムそのものも入 っていると思うのだが。Linux などにある BIND の named とか、何なのだろう。`2f/08。 これまでのDNSコンテンツサ−バはこれで Amazon EC2 に移行。ずっとあったDNSコ ンテンツサ−バの位置にDNSキャッシュサ−バを置くことにする。FortiGate をプロキ シサ−バにして見るDNSサ−バは、DNSコンテンツサ−バにする。このDNSコンテ ンツサ−バはこれまでの named 設定のままで構わないはずである。 DNSの2次サ−バ がどこの1次サ−バを見て内容を反映させるかである。1次サ−バ自体は何も指定はない。 LinkProof でDMZ側を回線冗長化すればDNSキャッシュサ−バの利用の停止はない。 * プロバイダの支援を得て変更 DNSサ−バを Amazon EC2 へ `2f/05〜 社内にはDNSキャッシュサ−バを作る。 OpenBlockS でDNSサ−バを作るのはどうか。 DNSキャッシュ専用のサ−バだが、どうやって作ればいいか。有効性はいかに。DNS キャッシュサ−バは基本的には社内LANに設置する、DMZではない。このソフトは何 を使ったらいいのか。BIND 仕様の named ではどうもよろしくないみたいだし。 DNSコンテンツのサ−バはやはり BIND でないといけないらしい。脆弱性が結構みつか る。パッチを当てて行った方が望ましい。普段の運用はプロバイダにやってもらうことに しよう。パッチを当てるとかいう作業。プロバイダ自身は常にやっているという、もう1 つ作業するサ−バが増えるということである。1つやるも2つやるのも一緒である。 プロバイダは Amazon EC2 は直接契約していて、クレジットカ−ドで払っているとのこと。 これが元々の支払い方法になる。いろいろなSI業者などが Amazon の代理店になってい る。どういうように費用がなるのか聞いてみないといけない。元は使った分だけの課金だ が定額になるとか、手数料はどうなるか、監視サ−ビスとかのオプション料金とか。 DNSコンテンツ−バを Amazon EC2 を利用するのは、問題ないと考えてよさそうである。 2ヶ月ぐらいプロバイダが Amazon EC2 を利用していて問題ないとの話。JPNIC に登録し たDNSサ−バは内では3つある。これらには見る順番はない、ランダムに均等に見に来 ることになる、このことはプロバイダのエンジニアともそうだねと話して確認した。 7月の終わりの暑い日にプロバイダに出向いた。 Amazon EC2 でのDNSサ−バの稼働は 全然問題無いとの事。それで Amazon EC2 の契約はどうしているか聞いたら直接だという、 支払いはクレジットカ−ドで。Amazon の代理店のことは知らなかったみたい。 代理店と 利用契約してDNSサ−バの設定や運用は内でやるというのも構わないとの話だった。 どこぞの代理店で Amazon EC2 を契約してみるか。多分定額で契約できるのでないか。サ −バは汎用の Linux OSやら Amazon の Linux OSなんかが選べたみたい。ともかく一 度触ってみたい。調べたら代理店が一杯できていた、大方のSI業者がなっていた。支払 いをドル建てのところを日本円でやれる、何らかの監視サ−ビスなどをやってくれる。 LinkProof をかます場合にDNSサ−バをクラウド利用することで注意すべきことがある のか。LinkProof が参照するDNSサ−バはクラウドのコンテンツサ−バか社内のキャッ シュサ−バか。DNSを変更した場合すぐに LinkProof に反映させるには、 反映させた いならばコンテンツサ−バを見るということになる。 * 変更するまでのメンテナンス プロバイダに相談に行った前日、BIND の脆弱性のアナウンスがあった。 朝日新聞とヤフ −のサイトはいつも見ているので、どちらかで見たのだと思う。プロバイダの事務所にて この話になり、早速対応したという。この件に関しては対応しておいた方がいいですよと 言われた。DNSサ−バをクラウドのサ−バを利用するようになれば、パッチあての作業 なんかも依頼することができる。依頼というかずっと面倒みてもらえるようにできる。 IPAのアナウンスは"DNSサ−バ BIND の脆弱性対策について(CVE-2015-5477)"、2015年 07月31日掲載。概要は "DNSサ−バのBIND に、遠隔からの攻撃によって異常終了し、サ− ビス不能(DoS) 状態となる脆弱性が存在します。日本国内において本脆弱性を悪用した攻 撃を確認したとの情報があるため、至急、DNS サ−バ管理者はアップデ−トを適用して下 さい"。影響を受けるのは BIND 9.1.0〜9.8.x、9.9.0〜9.9.7-P1、9.10.0〜9.10.2-P2。 IPAのサイトからのリンクで JPRS のアナウンスは、緊急 BIND 9.x の脆弱性(DNSサ− ビスの停止)について − フルリゾルバ−(キャッシュDNSサ−バ)/権威DNS サ−バの双方 が対象、バ−ジョンアップを強く推奨 −。 JPRSからも BIND 9.x の脆弱性について メ−ルがきていた。差出人:JPRS、送信日時:2015/08/03、件名:FROM JPRS [vol.700-2015/08/03-]。どうやら対応しておいた方がよさそうである。 2016/03号の「日経NETWORK」P.19 の記事、DNS通信を使って指令を受け取る新 ウィルス。社内に入ったボットがC&Cサ−バと通信し、用意したDNSサ−バからの応 答パケットとして指令を受け取る。IPレピュテ−ションなんかはDNSパケットを利用 している。ブラックリストに乗っているかどうか知らせるのに、DNSパケットの内容の 一部か大幅に正規なDNS応答内容とは違えているのでないかと思っていた。 これは厄介だ。世界中のDNSコンテンツサ−バが悪用される可能性があるということだ。 タ−ゲットの会社などの社内ネットワ−クに入ったボットが、ドメイン名の問い合わせを するだけで、悪意のあるプログラムがダウンロ−ドされる。DNSのパケットの中身をチ ェックするようなセキュリティ装置でなければ検知ができない。でもこれまでのファイア ウォ−ルでも RFC に準拠したパケットの通信内容かどうかはチェックしていると思うが。 * Amazon EC2 の代理店と操作について 最初に AWS の代理店を知ったのは(株)サ−バ−ワ−クスか。手元に AWS の資料はこの会 社のA3の紙一枚しかない。これまでいかに AWS に馴染みがなかったか、 関心がなかっ た訳では無いがよく分からなかった。新しいことは何でもだが脳味噌が受け入れてくれな いのだ。見えていても認識できていない。サ−バ−ワ−クスのホ−ムペ−ジを見たら AWS に特化したクラウドインテグレ−タ−と書かれてあった。 それでこうした日本の代理店の Amazon に関するサ−ビスは。どんなのがあって料金はど んなものか。そういえば IIJ もクラウドサ−ビスやっているな、 半分その存在を忘れて いた。Amazon EC2 の基本操作と機能は。本が出ている。 最後のお勉強と思って自前で購 入して読んで設定してみるか。契約して実際に触ることができるか今のところ分からない ので、机上演習をやれるだけやってみることにする。 1枚のパンフレットがあって、AWS 課金代行は利用料金の10%を手数料。運用支援が月 額3万円、導入コンサルが1万円からとか。最短1日でサ−バ構築ですぐにテスト環境が できる、1台3万円から。(株)サ−バ−ワ−クスのパンフレットも改めて見たら、課金代 行なんか同じようことだった。3万円までは代行手数料は3千円。使った分だけ支払うと いう従量課金。ドル建てでの課金+10%を日本円で支払う。銀行の自動引き落としとか。 どこのSI業者の AWS のパンフレットにもたいがい出てないことで、 パケットのダウン ロ−ドに対しても課金されるという。AWS から社内へのパケットだ。DNSサ−バの利用 では、ダウンロ−ドのパケットはほとんど発生しないはずである。AWS をデ−タベ−スサ −バとして利用すると、社内のパソコンからSQL問い合わせして結果が来る際に、それ が課金されることになる。いきなり高額な請求が来て驚くという話である。 * Amazon EC2 の利用の覚悟みたいな話 LinkProof の導入当初はいろいろ動作確認をするのでDNSの設定をいろいろいじるだろ う。しかし安定してきたらDNSの制御ファイル、レコ−ドの記載、なんかは変化はほど んどなくなる。そうなって来たらパソコンなどで問い合わせした結果をキャッシュしてお く時間を、長目にして行けばいい。今ぱっとどれぐらいの期間と言えないが、感触として 数日でもいいのでないか。そうすれば Amazon EC2 に設置したとするDNS1次サ−バだ けど、Amazon に何か問題が起きてDNSサ−バにアクセスできなくなっても、 数日間は 問題ないと言うことにできる。DNSサ−バはかなりシビアなサ−ビスの様に思うが、よ くよく考えたらそうでも無いかも知れない。クラウドサ−ビスで使うにはちょうどいいぐ らいかも知れない。DNS2次サ−バはプロバイダが既に利用している Amazon EC2 にあ るのだが、自社分の Amazon EC2 とは別なサ−バと考えていいだろう。 * 参考 「Software Design」2015/04。P.37 に Google のDNSサ−バのIPアドレスが 8.8.8.8 ですとある、インタ−ネットの回線トラブルを疑って問い合わせしたら、外の有効なIP アドレスの1つとして教えてくれたことがある。P.71〜100,"第2特集 [最新]DNSの教 科書"、何年もDNSの設定を解説した記事は雑誌に出てなかった。 "第3章 BINDとNSD/ Unbound によるDNSサ−バの構築" に named.conf の詳しい説明がある。貴重な記事で す。フルリゾルバ−と権威DNSサ−バを分けましょうという内容になっている。 「日経NETWORK」2014/04, P.28〜47, "クラウドのネットワ−クを知る 特集1はじ > めての Amazon 探検"。CPUの数とかメモリの量とか Linux でも幾つか種類がある。 「Software Design」 2015/04, P.46〜50, "第1特集 AWS上に構築されたシステムのト > ラブルに遭ったときに"。 「日経コンピュ−タ」2013/10/31, P.34, "残していいのは認証、DNS"。 DNSはレス > ポンスが大事なので外にはおけないということ、DHCPサ−バも。もう一度読むこと。 (2) 社内ネットワ−クの維持と課題 `2f/12〜 * ネットワ−クの面倒はこれだけある インタ−ネット回線 回線冗長化装置 国内のイルカのショ−をやっている施設のサイトが攻撃を受け DDoS 対策装置 ている、捕鯨反対のついでにイルカもそじょうにあげられてし スクラビング まった、アノニマスが関係しているらしいという話。`2f/11 セキュリティ対策 侵入防御(IPS) マルウェアのメ−ル経由、Web経由での侵入の阻止。侵入さ C&C通信防御 れてしまった後の対策でC&C通信防御も必要。サンドボック サンドボックス ス装置は高価なのが難。特に FireEye 製品は一式7千万円?。 社内ネットワ−ク WANも含む レイヤ3スイッチはまだこれからもいる。SDNはまだまだか 拠点と部門用UTM な。FortiGate 重要部門に設置し FortiSandbox と連携させ情 無線LAN 報漏洩対策を、主ファイアウォ−ルに先立ってやるか。 メ−ルシステム マルウェア対策 いずれメ−ルはクラウドのサ−ビスを利用するのが方向性、と スパム対策 りあえずは現状維持で。FortiMail と FortiSandbox で、今や ウィルス対策 れるセキュリティ対策はやった。 ユ−ザ認証と装置認証 認証システム デジタル証明書はそれだけでは2要素認証にならない?。IC Active Directory カ−ドやUSBト−クンに入れてこそ2要素認証。何かを知っ MACアドレス認証 ているのがデジタル証明書、何かを持っているのがICカ−ド。 クラウドサ−ビスの利用 Amazon EC2 AWSをどんどん利用するか。先ずはDNSの1次サ−バをや ファイル交換箱 る。プロバイダに手ほどきを受けながら。ファイル交換はお好 メ−ルをクラウドに きなように。メ−ルはどうするかな、Office 365 にするかな。 パソコンとスマ−トデバイス シンクライアント シンクライアントを簡単に導入できるハイパ−コンバ−ジドア Windows OS プライアンスは。デスクトップ仮想化基盤、VDI 簡単導入パッ iOS と Android ケ−ジ、Nutanix 50 ユ−ザ想定。キャンペ−ン価格 1137万円。 ネットワ−クの監視 一瞥できるソフトは ノ−スといったか。世界地図上でパケットが日本にやってくる MRTG の再度の設置 のを表示しているサイト。`2g/03/03 とある展示会で地図が出 FortiAnalyzer 活用 ていて聞いた。社内ネットワ−クのパケットの様子が出れば。 リモ−トアクセス SSL-VPN装置は問題 IPSec VPN、SSL-VPNは面倒。携帯電話会社の内線サ−ビスを利 在宅勤務はこれから 用、FMCと言う?。自宅でも外でも内線扱いで、ネットワ− 複数の手段の用意 ク的に閉じている。ファイアウォ−ルも不要。検討の価値あり。 インシデント対応 アクシデントとインシデント。同じような意味だがIT的には CSIRT なるもの 何がしかの事故やトラブルはインシデントと言う。社内でいろ 絵に描いた餅 いろ対策チ−ムや責任者を設けるという話は、まあそうですと。 時刻同期のNTPサ−バ 2つの装置で同じNTPサ−ビスを指定し、両者共10分遅れ 社内サ−バや装置 ていた。かつて無料だったNTPサ−ビスが有償に変わったり NTPサ−ビス している。ntp.nict.jp、ntp.nasa.gov は多分まだ使えるはず。 * 大量パケット攻撃の元からの対応 スクラビングセンタ−なる物あり。インタ−ネットの大きな中継地点で、自社のネットワ −ク宛の悪質なパケットを止めるサ−ビスを行なう所のこと。最初に名前を知ったのはア カマイのスクラビングセンタ−、世界に5ヶ所。ここで DDoS 攻撃のパケットなど悪質な なトラフィックを除去、スクラビングする。東京にもスクラビングセンタ−がある。アカ マイはインタ−ネットの中の高速道路、道を整備するだけでなくセキュリティ性も確保す る。WAFにSOC。アカマイ・テクノロジ−ズ合同会社。初めてスクラビングなる言葉 を聞いた。そんな仕組みがインタ−ネットに出来ていたとは驚きだ。 スクラビングなる用語。英語辞書で調べてはいないが多分、かき落とすということだろう。 おかしなパケットが入って来るのを他のところに流す。そこでまとまなパケットだけを元 のネットワ−クに返すという。スクラビングはクラウドのサ−ビスだけでなく、社内ネッ トワ−クでもやる装置があるみたいである。でも社内ネットワ−クに大量のパケットが来 た場合には、社内にスクラビング装置を設置していてもだめである。 ラドウェアの DDoS のハンドブックに、スクラビングの説明が出ていた `2f/12/05。ラドウェア社もスクラビ ングセンタ−を設置していると聞いた。あんまり宣伝してないけど。 ラドウェア社は DefensePro で DDoS 攻撃を防御すると売っているし。かつスクラビング センタ−で DDoS 対策も行なうということ。こりゃ万全な体制だ。それで今の内のインタ −ネット接続でも利用できるのかな。利用できるプロバイダが限定されるとかないのかな。 ラドウェアの営業さんから聞いてはいた。`2g/03/s 改めて調べた。クラウド型 DDoS攻撃 対策 DefensePipe を開始、2015.03.06 に発表していた。大量トラフィックを世界7ヵ所 に設置したセンタ−で検知、企業に設置した DefensePro で検知、インタ−ネットの経路 を変えることで対策。料金は Economy で月額 50万円より。カアマイはもっと高いらしい。 F5社にもスクラビングサ−ビスあり。ブラウザにブックマ−クしていたのを改めてみた、 https://f5.com/jp/solutions/topics/ddos-servi..。"DDoS攻撃からサ−ビスを守るため に DDoS攻撃の相談はF5にお任せください"、`2f/09/07 最初見た。下記のツ−ルでリアル タイムの攻撃状況を確認できるという。Google社 Digital Attack Map、Norse社IPViking。 F5のクラウドベ−スの DDoS スクラビングサ−ビス。このコンテンツの下の方をみたら漫 画があったぞ、DDoS対策のカギは多層防御にあり!。DDoS攻撃は4つの種類に分類される とF5は考えている、ボリュ−ム/演算処理を消費/非対向処理型/脆弱性を突くの4つ。 * DDoS 攻撃に対し社内でやれること "DDoS攻撃=大量パケット攻撃"、といつの間にかそう思い込んでいた。イコ−ルではない。 DDoS は Distributed Denial of Service で分散型サ−ビス不能攻撃を言う。大量パケッ トでなくて少ないパケットでも、サ−バなんかでサ−ビスが出来なくするネットワ−クの 攻撃というのがあるのである。F5社の4つの DDoS 攻撃の種類とか、ラドウェアの小冊 子の説明を何度か読んでみたが内容の理解は難しい。F5社の説明ではボリュ−ム攻撃は レイヤ3〜4、またはレイヤ7が攻撃対象のフラッドベ−ス攻撃。SYNフラッドや ICMPフ ラッド、TCPフラッド、UDPフラッド/DNSフラッド。Flood と書いてフラッドと呼ぶ。 DDoS 攻撃はボットをタ−ゲットの組織内に送り込むよりはるかに簡単にできる。 標的型 攻撃は手間がかかる。相手が信じ込む様なメ−ルの文面を考えないけないわけで。その点 DDoS 攻撃は適当なツ−ルを使うことができる。 あるいは既にボット感染させたボットネ ットを金を払えば利用してすぐにでもできる。DDoS攻撃しておいてインタ−ネットを麻痺 させて、やおらこれ以上攻撃を受けたくなければ金を出せとできる。手っ取り早い。これ からどんどんこの種の攻撃が増えてくるだろう。ラドウェアの営業さんがそう話してくれ ました。`2f/11/s。これもランサムウェアという攻撃の種類に入るそうだ。 大量パケット攻撃でないタイプの DDoS 攻撃なら DefensePro で防御できる。DefensePro は当初は侵入防御装置(IPS)として売っていたが、いつの頃からか DDoS 攻撃対策用と して売っている。もはやIPSとして積極的には売ってない、 DefensePro は LinkProof とファイアウォ−ルの間にかます。1 Gbps のモデル DP-106 で電源1つ 650万円。 電源 2つのは 720万円。定価ベ−ス。設定費と初年度保守は別。 DefensePro IPS & Behavior Protection Models モデル 206,506,1006,2006 が同じ筐体で1Uサイズ。モデル 206 は 200 Mbps で 270万円。回線冗長化装置で複数回線の利用を考慮するなら 1Gbps モデルか。 先ずは設置した LinkProof を使おうではないか。 主回線を通るWebアクセスとか異常 に遅いとか繋がらない事態が起きたら、手動で主回線のケ−ブルを抜いて副回線を通すよ うにすればいい。とてもシンプルで手っ取り早い対策である。これを自動でやらせようと なると大変だ。他にはファイアウォ−ルの FortiGate でもやれることはないか。DoS攻撃 に対処する設定があったはず。LinkProof にもメニュ−に SYNフラッドとか有るのを見た。 A10ネットワ−クス社の DDoS 対策製品はどうか。[A10 DDoS] で検索したら、でかでか出 てきた `2g/03/s。次世代型の DDoS 防御専用アプライアンス Thunder TPS なる製品。 * オンプレミスのメ−ルシステム Sun の縦置きのマシン。これは Mail-Store の設定にしてある。 Mail-Relay の設定もで きるようにはしたが、主設定は Mail-Store 用である。この Sun のマシンは Mail-Relay の設定を主にすることにする。Mail-Store の設定は FortiMail の予備機、 モデル 200D にする。 本番 FortiMail のメ−ルユ−ザの認証は Active Directory をみるようにして いる。Sun のマシンでは AD はみないので、そもそも今の Mail-Store の予備にはならな い。2015年11月半ば、 ふと FortiMail の予備機のポリシ−をどうすればいいか閃 いた。まあ単純なことだが、それでもずっと考えていたことなのだから。 本番機が故障した場合にどうするかということ。数時間で直るのであれば待ってもらうの がいいと思う。でも数時間では直ることはないだろう。予備機のIPアドレスを本番機の に変えて稼働させる。メ−リングリストは予備機にはやらないでおくことにする。本番機 が復旧した際、予備機は予備機の元のIPアドレスに戻す。パソコンのメ−ルソフトでこ のIPアドレスを POP3 サ−バとすれば、その間に来たユ−ザが取得しなかったメ−ルを 取ることができる。メ−ルを外部に送るので予備機に溜まるかも知れないが、そこまでは 考慮しなくてもいい。メ−ルストアに行ったメ−ルは直ぐにメ−ルリレ−に渡される。 予備機に溜まったメ−ルを管理者が見ることができればいいのだが。ユ−ザ毎にログイン してでないと見れないようだが。FortiMail のファ−ムウェアが変わって一覧で見られる ようになったりしてないか。Sun のマシンならディレクトリを見るだけで容易にメ−ルの 溜まった状況が分かるのだが。何とかならんかな。ユ−ザに溜まっているメ−ルがあるか も知れないから、メ−ルソフトの設定を一時的に変更して確認してねというのは、ちょっ と酷かも知れない。FortiMail のファ−ムウェアを `2g/02 に最新にアップしたが、ユ− ザ毎の保存メ−ル量を一覧できるというのはなかった。 FortiMail の 200D の状態を改めて見てた、メ−ルボックスディスク: Capacity: 743 GB, Used: 176 MB (0.02%)。予備機のディスク容量はたいしてものでないと思っていた。それ でどれだけとも見てなかったが、改めて値をみたら結構あるではないか。基本、メ−ルス トアにはメ−ルは溜めないという運用の取り決めでずっとやってきた。IMAP4 に変えよう と考えたこともあったが POP3 のままで結局来ている。たぶん予備機でもそのまま本番機 として使えるのでないか。メ−リングリストの記載を予備機でもやっておかないといけな いというのはあるが。一度本番機の設定をセ−ブし、それを予備機にロ−ドしてみるか。 * ネットワ−ク監視は未だに課題 インタ−ネットからでなく社内ネットワ−クの中でも大量パケットが発生して、ネットワ −クが麻痺してしまうことがある。どこから大量のパケットが出ているのか、調べる手だ てが今のところない。何らかの装置を適当なところにかます。一昔前だったら Snifferと いう装置を目星を付けた所にかましてパケットの様子を見ただろう。 昨今なら PaloAlto をかましたらどうか。どこにかますというか、レイヤ3スイッチが主ネットワ−ク装置な わけで、ここを大方のパケットは通る。レイヤ3スイッチでミラ−ポ−トを設定して、全 部のポ−トを出入りするパケットを PaloAlto に送ればいいのでないか。 そうだとすれば FortiGate と連携する FortiAnalyzer で、パケットの解析というかグラ フなどを見るという手もある。FortiGate を使う方が手っ取り早いか。いやでも手元のは FortiGate-80C でそんなにたくさんのパケットが来ては捌けないぞ。しかしネットワ−ク で ping が通らないぐらいの大量パケットは、そもそも相当な処理性能がある FortiGate モデルでないとだめでないのか。ここらはネットワ−ク・エンジニアというか実践を積ん できた人でないと、どうすればいいか提案はできそうにない。SI業者に相談か。どこが 相談できるかな。幸い自分には懇意にしている Fortinet 社の技術者がいる。 社内のネットワ−ク図がいる。主ネットワ−ク装置のレイヤ3スイッチから末端のスイッ チングハブまでの物理的な構成図である。論理的なネットワ−ク構成図では駄目だ。図面 をにらめっこしてどうすればいいか考える。レイヤ3スイッチ配下のハブはタグVLAN なのでレイヤ3スイッチの折り返しになる。末端のハブはかつてはアライドテレシスやコ レガといったただのスイッチングハブでインテリジェンス性はない代物だった。L3のリ プレ−スの際にL2もほとんどを、タグVLANやル−プ検知ができる物にしたのだった。 このハブ以下でル−プを検知し、該当ポ−トを閉じることができればいいのだ。 ル−プ防止のL2スイッチをL3配下に設置はしているものの、実際はその機能は使って ない。例えば Apresia AECS モデルではフラッディング制御機能、 Flooding Control ル −プ発生時の対策、ブロ−ドキャスト流量によりポ−ト閉鎖。それより新幹線の運行セン タ−のような、LACのセキュリティ監視センタ−のような、社内のネットワ−ク監視セ ンタ−みたいなのがいる。大きなモニタ画面にWANも含めたネットワ−ク全体の絵が出 ていて、どれだけのパケットが流れているか、どこで渋滞が起きているか、どこのハブが 故障したか。一瞥できるソフトはないか。SI業者に相談しても適当な提案が出ない。 * ユ−ザ認証はずっとのテ−マ 「日経NETWORK」2015/09, P.12, "企業向け Windows 10 が登場 セキュリティや更 新機能を強化 パスワ−ドなしの認証を可能に"。マイクロソフトは Windows 10 を最後の メジャ−バ−ジョンアップ、Microsoft Passport PKIでパスワ−ドに代わる認証を。ユ− ザ認証後 Microsoft Passport が公開鍵と秘密鍵を生成、AD 利用では ADに公開鍵が入り、 秘密鍵はパソコン内臓の TPM(Trusted Platform Module) に保管される。TPM 保管の秘密 鍵は取り出せないようになっているので、利用パソコンを固定できる。PIN コ−ド、虹彩 や顔認証。AD のクラウドサ−ビスが Azure Active Directory。 Windows 10 が無償配布になった。顔認証をするのをテレビでやっていた。 写真では認証 してくれなかった。カメラで顔の奥行きなども計っているから。1年間は無償アップデ− トできるという。企業や官公庁など組織では上げたという話はその後聞かないが。しかし Windows 10 に入った Microsoft Passport はいいかも知れない。 従来のデジタル証明書 の扱いの難しさがかなり解消されている感じである。 AD でデジタル証明書を発行するの もだ。クライアント用のデジタル証明書をパソコンのIEブラウザに入れる。これは取り 出すことができる。どうも秘密鍵が入っているデジタル証明書だと秘密鍵のパスワ−ドを 入れないといけないみたい、これはデジタル証明書の基本で確認しておくこと。 IIJ SmartKey、iPhone/Android 対応ワンタイムパスワ−ド管理アプリ、無料。 二要素認 証(二段階認証)に利用できる。6桁/8桁のワンタイムパスワ−ドを自動生成。 動作確認 済みWebサ−ビスは Amazon Web Services、IIJセキュアMXサ−ビス、Microsoftアカウ ント、Google アカウントなど。様々なWebサ−ビスに対応ということで標準規格 TOTP (RFC 6238)に準拠、Google認証システム(Google Authenticator)互換。Office365、Gmail に対応する。TOTP( Time based One-Time Password )。http://www.iij.ad.jp/smartkey/。 以上 2015/05 時点の IIJ のパンフレットから。 * これからは在宅勤務が当り前に いろんな勤務の形態がある。いろんな雇用の形態もある。毎日会社に出勤して8時間なり 束縛されて働く。そうした従来の働く形態が変わってきている。特に優秀な人材を自社に 囲い込むだけのサラリ−を出せない会社は、柔軟な雇用形態を取り入れることが必要であ る。それを実現させる一つのやり方が在宅勤務であり、実現手段としてはリモ−トアクセ スや携帯電話会社の内線サ−ビスがある。 リモ−トアクセスには IPSec VPN や SSL-VPN、 カチャットみたいな双方向アクセス、それにシンクライアントがある。SSL-VPN はどうも Windows 7 から不安定で問題が多い。どんなのが安定して使えるか、それが問題である。 在宅勤務のコンセプトを考えよう。例えばこんな前提を設けてはどうか。万が一、自宅の パソコンを盗まれた場合でもその人に責任を問わない。安心して仕事をしてもらえるよう にする。責任を問わなくても済むようにするには、作業内容がパソコンに残らないように する。シンクライアントでもできるし、SSL-VPN のセキュアデスクトップ機能なんかでも 実現できる。セキュアデスクトップは作業を終えて SSL-VPN接続を切ったら、パソコンの ハ−ドディスクとメモリには何も残らないようにする。 因に SSL-VPN の Aventail では Secure Virtual Desktop という、でも Windows 8, 8.1 ではサポ−トしてない。 多分、実際に実施する課題はリモ−トアクセス環境のIT的なことではなく、人事面と総 務面での事柄の方が問題になると思われる。どのような仕事をやってもらうのか、具体的 な仕事の依頼の仕方と成果物はどうするか、どこまでを仕事をしたとみなすのか。単純な 作業をやってもらう場合と会社にとって重要な機密事項にも触れるような仕事では、使う IT環境は違ってくるだろう。単純作業の場合、リモ−トアクセス環境などは使わずクラ ウドのファイル共有と通常のメ−ルだけで事足りるかも知れない。ともかくいろいろ課題 は出てくるだろう。試行錯誤しながらでも、先ずはやってみることが肝要かと思う。 例えば一つのモデル。仕事は自宅でも外でもやってもらって構わない。端末はノ−トパソ コンかタブレットを会社で用意し支給する。これにはウィルスチェックソフトや端末管理 のソフトを入れておく。タブレットなんかは今日薄いし軽い、自分用と会社用の2つ持ち 運んでもいいぞ。リモ−トアクセスは一応SSL-VPN とする、Windows 7 でも安定している ものは安定している。セキュアデスクトップを使いデ−タが残らないようにする。ユ−ザ 認証はOTPにしよう、自分の携帯かスマ−トフォンにメ−ルでOTPを飛ばす。OTP は個人用デジタルIDより管理が楽である。OTPは海外では受けられるか、それは問題。 * Windows 10 と Surface は Windows 10 パソコンのことをざっと調べた。 そもそもこのOSはパソコンなのかタブレ ットなのか。Microsoft が 2015/07/29 に発表。無償アップグレ−ドは 2016/07/29 まで。 iOS や Android と同じようにアプリがある。 インタ−ネットの Microsoftストアにある。 Windows 10 利用にはアカウントが2種類ある。Microsoftアカウントとロ−カルアカウン ト。操作画面にはデスクトップモ−ドとタブレットモ−ドがある。 Microsoftアカウント はアプリをインスト−ル、Windows の設定を同期できる。初めて聞くことで厄介そう。友 人が買った Windows 10 のスマ−トフォン、mix や Facebook の利用が同期してました。 あるアプリを検索して、出てきた画面の [無料] をクリック。そこで Microsoftアカウン トうんぬんとでてきた。インタ−ネットの Microsoftサイトにアカウントを作るというこ と。とりあえずメ−ルストアにテスト用にメ−ルアドレスを作った。アカウントを追加で 姓と名、メ−ルアドレス、パスワ−ド、日本を選択した。"最も関連の高いものを表示"画 面は〆をなし。別な画面では[このアプリにのみサインインする]クリック。生年月日も後 で聞いてきた。Microsoft から来たメ−ル本文から辿って "確認できました" までやった。 あるアプリとは SSL-VPN 装置のクライアント用のソフトで、Windows 10 の Surface 用。 (3) 安全性確保の課題はWeb利用 `2g/03 -------------------------------------------------------------------------------- FortiSandbox と FortiGate の連携をするまでの期間、IWSSでも標的型でないマルウェア ならば、かなりのセキュリティ対策がやれると思われる。3日程集中して IWSS について 調べたところそんな感触を得た。IWSS の機能を改めて認識し設定すれば有効に使える。 -------------------------------------------------------------------------------- * トレンドマイクロ社の最近の様子は 名古屋のホテルであった、とある○○商会の展示会にてトレンドマイクロの女性からいろ いろ聞いた `2g/03/s のこと。○○商会とタイアップして開発した製品があった。○○商 会でのみ販売するというセキュリティBOX Cloud Edge 100。 推奨のユ−ザ数は100 以下。機能一覧をそのまま記載。 侵入検知防御、P2P通信の制御、BOT通信検知、Webレピ ュテ−ション、URLフィルタリング、ウィルス対策、迷惑メ−ル対策。 おおよそ何でも出 来る。下記の Deep Discovery Inspector の廉価版という位置付けか。 Deep Discovery Inspector アプライアンスが年金機構の事件があってから、 よく売れて いるとのこと。サンドボックスの老舗のメ−カから人が移っているらしい。スル−プット 250 Mbps だったかのモデルは300万円位らしい。 静的検知、動的検知、振る舞い検知。 静的検知に脅威検知エンジン(ATSE)、動的検知にサンドボックスがある。振る舞い検知は 既知のC&Cサ−バへの通信を止める、他にも社内のパソコンの挙動不審を検知し止める。 Deep Discovery Advisor は IWSS や IMSS などと連携し、より詳細な解析を行なう。 会場でもらった87ペ−ジの総合カタログは日付けが 2014.4 だった。約2年前のカタロ グ。 InterScan Web Security Virtual Appliance、InterScan Web Security Suite Plus。 これら2つは機能は同じ。設置はフォワ−ドプロキシモ−ド、ICAPサ−バモ−ド、透過ブ リッジモ−ド がある。 インタ−ネット上のC&Cサ−バに通信を行うボットネット通信 を検知、アクセス遮断。高拡張性構成による大規模環境ヘの適用、L4スイッチと組み合 わせると書かれている。カタログには FRS とWebレピュテ−ションに○が付いていた。 トレンドマイクロのセキュリティブログ http://blog.trendmicro.co.jp/をチェックして。 投稿日:2016年2月19日 狙いは国内ネットバンキング、日本郵政をかたるマルウェアスパ ムが拡散。SPN の機能であるファイルレピュテ−ション(FRS) 技術は順次、製品に対応し ている。SPN は Smart Protection Network トレンドマイクロのクラウド型セキュリティ 技術基盤。SPN は2008年6月に発表されている。SPN はクラウド上にある脅威の評価 デ−タベ−ス。パソコンにシグネチャを入れていたんではどんどんサイズがでかくなる。 * トレンドマイクロ IWSS の稼働 InterScan Web Security はちゃんと動いているか。 社内から外へアクセスするのに危険 なサイトへは行けないようにしている。ログを見れば分かるのか。その前にログはちゃん と取れているか。プロキシサ−バのログでボットなどの侵入の有無が分かるのか。ちゃん とWebレピュテ−ションは機能しているのか。とりあえずプロキシサ−バとしては動い ているのだが。プロセスがどういうのが出ていたら正常稼働なのか。しばらく IWSS のこ とはご無沙汰してた。 IWSS 内で使っている PostgreSQL のデ−タベ−スの肥大化はしな いようになっていたはず。機嫌よく動いているものだと思っていたが、やや問題があった。 * 今後のプロキシサ−バについて プロキシサ−バは必ずしも社内にないといけないということはない。かつてインタ−ネッ トの初期のころ、回線が専用線の 128 Kbps とかISDNとかの時、少しでもWeb画面 が早く出て来るようにプロバイダはプロキシサ−バを用意したものである。社内設置のプ ロキシサ−バとクラウドのプロキシサ−バ。内プロキシと外プロキシとも呼ぶことにしよ う。プランとしては内プロキシは設置のままで外プロキシへ中継する、社内のパソコンで プロキシ設定してあるのを変えなくてもいい。内プロキシは無しにして外プロキシだけに する、プロキシ内でURL変換しているのがあったりして何か問題が起きるかも知れない。 1) 社内にこれからもプロキシサ−バを設置して使う トレンドマイクロの IWSS を今後も使う。仮想サ−バの仮想マシンは後、2年ぐらいで保 守切れになる。それまでの間使うということでどうか。ファイアウォ−ルで現在使用して いる FortiGate-310B のプロキシサ−バ機能はどうか。IPSとか付加的な機能は使わな いということで、Office 365 がなければまず大丈夫じゃないか。 2) プロキシサ−バを経由しない外へのアクセスもある これはファイアウォ−ルでセキュリティ対策をやるしかない。ということは FortiGateで もWebレピュテ−ションなりサンドボックス連携のC&C通信を止めることをやらない といけない。プロキシサ−バを介さず直接インタ−ネットにアクセスを許可しているパソ コンの見直しを一度やってみること。それにファイアウォ−ルのル−ルを整理すること。 3) クラウドのAWSでプロキシサ−バを作るのはどうか フリ−ソフトのプロキシキャッシュサ−バの Squid で Amazon EC2 に作る。 しかしクラ ウドを利用するのなら、やはりできるだけ手間はかけたくない。サ−ビスとして利用する ことにクラウドの利用は意味があると思う。もしこれを設置するにしても、内プロキシも しばらくは残して、外プロキシだけにする移行期間は設ける必要があるだろう。 4) クラウドのプロキシサ−バのサ−ビスを利用するのは クラウド型Webセキュリティサ−ビス Symantec Web Security.cloud。 Office 365 や Google Apps for Business に対応。 ○○商会の展示会で入手したA3のパンフレットに、 ずばり気にしてたことが書かれてあった。 Office 365 等のクラウド型アプリを使うこと によりWebトラフィックが増加しますうんぬんと。カタログの日付けは2014年記載。 * 検討メモ Office 365 ヘのアクセス先IPアドレスが頻繁に変わるという話。 プロキサ−バをクラ ウドに設置して、そのメンテナンスをSI業者がやっていて、毎週プロキシサ−バに pac スクリプトを書き換えているという。そんな話を聞いた。`2g/02頃 プロキシサ−バで Office 365 を扱うには。pac スクリプトでプロキシサ−バを通らない ようにする。プロキシサ−バ内でURL変換でIPアドレスを書く。Office 365 の HTTP パケットは、以下の記述で大量HTTPパケットと言うことにする。 大量HTTPパケットをさばくのに pacスクリプトは使わないことにしたい。社内のパソコン 全部のブラウザに pacスクリプトを入れないといけない。各自やってもらうのであればい いが、ここでは凡そそんな事は望めない。パソコンのヘルプ要員が走り回ることになる。 pac を使わないと大量HTTPパケットはプロキシサ−バを通ってしまう。本書では IWSS を 通るということ。その際に素通りさせる、IWSSのチェックもさせるか。そもそも素通りが できるのか、素通りが出来たとしてもそれなりに負荷がかかるのでないか。 レイヤ4スイッチでプロキシサ−バ宛の HTTPパケットを、 大量HTTPパケットとたただの HTTPパケットに分けることができないか。大量HTTPパケットはプロキシサ−バを通さない ようにする。レイヤ4スイッチはつまりロ−ドバランサ、Alteon や Netwiserという製品。 IWSS 経由しない HTTP パケットは、ファイアウォ−ル(FG)でサンドボックス(FS) のチェ ックをフルでやる。IWSS 経由するのは FG で SB のチェックはしないか、SB のチェック はするものの危険度の高いのだけチェックをする。こんなことができないか。 シマンテックのクラウド型Webセキュリティサ−ビス。これは外プロキシサ−バ。推奨 は内プロキシサ−バがあって多段プロキシサ−バ構成にすること。ん−、どうしてそれが 推奨なのか気になる。その内シマンテックの技術の人にその理由を尋ねてみよう。 * IWSS の最新ソフトウェアは トレンドマイクロの http://www.trendmicro.co.jp/ から辿るか、 IWSS についてのサイ ト http://www.go-tm.jp/iwsva/req というのもある。InterScan Web Security Suite の Linux 版はバ−ジョン 5.6 と 3.1 がある。新しいのは 5.6 である。 現在のバ−ジョン の 3.1 でも問題はないようである、 レポ−トを慎重に詳しく見ていけば社内のパソコン で怪しい動きをしているのが分かるかも知れない。 InterScan Web Security Suite 5.6 のこと。リリ−スが 2013-05-17 の iwss-linux-5.6 -1037.tgz、279MB。readme をざっと見た。IWSS 5.6 を利用するには新規にインスト−ル するか IWSS 3.1 の設定を移行するか。システム要件 Red Hat Enterprise Linux 6.x の 32 及び 64 bit。ハ−ドウェア仕様は 2.0GHzデュアルコアプロセッサ64ビット版x1、 ま たは同等品。2GB RAM、12GB のディスク容量。 * IWSS の今後の利用について IWSS の[概要]->[システムダッシュボ−ド] 帯域幅、同時接続数、CPU使用率、物理メ モリ使用率。CPU、メモリの使用状況は通常は 20〜30%位が適当。それに自分の感触で は昼休みの混んでいる状況でも 50% 前後位である。70%位になっていればリソ−ス不足に なっているとみなしてみる。上の記載は"22-6.キャッシュサ−バはそれなりに,(1)増加す るパケットとの戦い,プロキシサ−バのパフォ−マンス。以上を目安に負荷状況を調べる。 IWSS の最新バ−ジョンを入れたい。そのため今のHP仮想サ−バで Red Hat Enterprise Linux 6.x が入るのか。そこから確認しないといけない。ライセンスは買って毎年更新し ている。OSのソフトウェアは取ってこれるはずである。IWSSはウィルスチェックなど機 能は豊富である。これらの機能を使いこなせば、かなりのセキュリティ対策がやれる。標 的型攻撃で侵入するマルウェア以外の挙動は総て検知し止めることができるのでないか。 社内のパソコンからC&Cサ−バとの通信もすでに分かっているIPアドレスは止めるこ とができるはず。ファイアウォ−ルの FortiGateではサンドボックスでないと検知できな いのだけ対象にしたらどうか。全部をチェックするのでなく、危険度の高いのだけサンド ボックスに回すのである。サンドボックスと連携するのでファイアウォ−ルにかかる負荷 を少なくする。これにより現行の FortiGate のモデル 310B でも使えるのでないか。 (4) 社内ネットワ−クの監視体制を `2f/10〜 * 監視体制のプラン ファイアウォ−ルは FortiGate で今後も行こうととりあえず方針を固めたところ。 ネッ トワ−クの監視は FortiGate と連携して FortiAnalyzer でやることにする。できれば加 えて PaloAlto も使ったらどうか。MRTG も改めて見るようにした。PaloAlto は1台もな い、100万円ぐらいで買えそうである。 PaloAlto のパケットの見える化の機能を使っ て社内ネットワ−クの監視体制を作ってはどうか。レイヤ3スイッチを出入りするパケッ トをミラ−ポ−トで全部 PaloAlto に送るのである。 PaloAlto をファイアウォ−ルの直 下とレイヤ3スイッチの脇に設置しネットワ−クを流れるパケットを可視化するのはどう だろう。FortiAnalyzer のファ−ムウェアを新しいのにしよう。これもやってやれないこ とはない。パケットの様子はより見易くなっているという話を聞いている。 * FortiAnalyzer 設置メモ1 FortiAnalyzer ポ−ト1番をネットワ−ク接続。5〜6年前に試した時のファ−ムウェア での画面とだいぶ変わったのでないか。 FortiGate と FortiAnalyzer はバ−ジョンを合 わせておかないといけない。FortiGate は v5.0 で FortiAnalyzer は v5.2でも構わない。 -------------------------------------------------------------------------------- | https://192.168.1.x/fortimanager.htm?action=login |------------------------------------------------------------------------------- | FortiAnalyzer |デバイスマネ−ジャ|RTM Profiles|Log View|Reports|システム設定 |----------------- -------------------------------------------- | {Add Device} {Add Group} |------------------------------------------------------------------------------- | デバイスマネ−ジャ | Device Name |Logs| IP | Platform | Quota | All FortiGate(2) |----------------|----|-------------|---------------|------ | | FGT80C3458xxx |○黄| 0.0.0.0 | FortiGate-80C | | | NIX-FortiGate |●緑| 192.168.1.y | FortiGate-100D| ※RTM Profiles は Real-Time Monitor Profiles で、v5.0 Patch Release 3 でなくなっ た。代わりに新しい機能で Drill down を使ってくれということみたい。 ファ−ムウェアバ−ジョンv5.0、[Log View]->[Traffic Log] ここに一杯ログが出てくる。 [Log View]->[Event Log] 内に System,Router,VPN,User がある。 System だけログがで てきた。[Log View]->[UTM Security Log] 内に "Antivirus" ほか7個ある。"Intrusion Prevention" はログが出た、ほかは "No records found." と出た。 * FortiAnalyzer 設置メモ2 [システム設定]->[基本]->[証明書]->[ロ−カル証明書],[CA証明書]。 証明書はそれぞ れ2つ入っていた。 [システム設定]->[基本]->[ロ−カルログ] にはこんなログが出てい た、"Failed to connect fds server. host:forticlient.fortinet.net port:443"。 ファイアウォ−ルでパケットが止められているのだと思う。これは通さないといけないの だろうか。何をやろうとするパケットなのか。fds は FortiGuard Distribution Server。 [システム設定]->[管理]->[管理設定] 画面には "not defined" と皆なっていた。15の値 があるところ、たぶん画面のタイムアウトの時間だと思う。単位は分だと思う。すぐに画 面がログアウトしてしまうので 30 に変えてみた。ずばりそうだった。 どうしたらグラフがでてくるか。前にやったのを見たら、溜まった過去のログのグラフを だしていた、リアルタイムのグラフは出ない出せないみたい。画面のメニュ−はえらくシ ンプルだ。インタ−ネットで見たけど、まるで設定情報がない。 * FortiGate 側の設定 [ログ&レポ−ト]->[ログ環境設定]->[ログ設定] SNMP は関係ない。 ------------------------------------------------------- | ログ設定 |------------------------------------------------------ | ロギングとア−カイブ |------------------------------------------------------ | 〆ディスク << a) この2つはチェックを外した。 | 〆ロ−カルレポ−ト有効 << それなりの負荷がかかるらしい。 | | □ログを FortiAnalyzer/FortiManager へ送る | IPアドレス: [ ] [接続テスト] << FortiAnalyzer のIPアドレ | スを入れてテスト。ちゃんと | □FortiCloudへログを送る 認識できたか表示される。こ | アカウント: [ ] [接続テスト] の後で下の [適用] を押す。 | | 〆イベントロギング | 〆すべて有効 全部にチェックがあった | | GUIプリファレス |------------------------------------------------------ | 表示するログ [ディスク ▽] | 〆ホスト名を解決 (reverse DNS lookupを使用) << これら2つチェックを外した。 | 〆不明なアプリケ−ションを解決 (remote application databaseを使用) | | [ 適用 ] --------------------------------------------------------------------- 〆ログを FortiAnalyzer/FortiManager へ送る IPアドレス: [192.168.1.x ] [接続テスト] アップロ−ドオプション ◎ログをストア&アップロ−ド << a) のチェックを無しにしたらこのメニュ−は出 ○リアルタイム なくなった。 〆ログ送信を暗号化 << リアルタイムに〆、ログ送信を暗号化はなし。 ◎リアルタイム とやってすぐにログが FortiAnalyzer にやって来るかと思いきや来ない。 1時間ほどほかっていたら来ていた。[Log View]->[Traffic Log] をクリックしたらデ− タをロ−ドしていますと5秒か10秒位でて、デ−タがリストされてきた。パケットの発 信元と送信先のIPアドレスとポ−ト番号がでている。 パンフレットをみたら FortiMail、Fortiweb、FortiClient、Syslog 互換のすべてのデバ イスも対象と書かれてあった。レポ−トとかしかツ−ルの説明では、 "IT管理者は、リ アルタイムモニタ−でダッシュボ−ドスタイルのモニタ−を活用して帯域幅とアプリケ− ションの利用状況をこれまでにないレベルで詳細に把握できます"。 * FortiAnalyzer のグラフ FortiAnalyzer でグラフを出すのはどうするのか。グラフが出そうなところを見ても、適 合するログデ−タが指定期間内に存在しません、と出てくる。リポ−トがでてこない。い や1週間以上たってみたらレポ−トができてグラフもでていた。リアルタイムのグラフな んかはまだ出ない。"18-7.超小型マシンとUTMで監視" の記事も参考にされたい。 次は要確認、ログの中身まで FortiAnalyzer に送るのは極めて慎重にやること。 パケッ トの量が多いと、ネットワ−クがそれに食われてしまうかも知れない。記録を取るだけに するか 中身もとるか。メ−ルア−カイブの中身もとるというのはメ−ルの内容まで見れ る。ファイル転送でもそのものの内容を見ることができる。 [DLPア−カイブ] 中身まで取る、通常はこれは取らない。パケット量が多い。 [レポ−ト] どのようにレポ−トを出したいかレポ−トの名前を先ず作る事。 しかしまだこの装置の設定と見方がよく分からない。やはりそれなりにノウハウが必要で ある。FortiAnalyzer は新しいファ−ムウェアにアップすれば、これまでよりも見やすい グラフが出ると Fortinet 社の技術者に聞いた。FortiAnalyzer の v5.2 では FortiView という新機能が使えるとのこと。リアルタイムでパケットの様子が見れるのでないか。 http://kb.fortinet.com/ 画面に Fortinet社の製品ラインナップがあり、FortiAnalyzer の FortiAnalyzer v5.0 をクリックしたら20ほどリリ−スノ−トなどファイルがあった。 "FortiAnalyzer v5.0 Patch Release 3 Administration Guide" をみた、PDF で 175ペ− ジある。グラフをだすのは多分 Reports のくだり 135〜148 を見ればいいのでないか。 (5) 最後の取り組みはこれにて終了 -------------------------------------------------------------------------------- 社内設置のDNSサ−バは現状のままでもとりあえずは構わない。同じくプロキシキャッ シュサ−バについてはまだ余裕があることが分かった、ウィルスチェックをやらせてもい いだろう。クラウドにサ−バをもって行く場合の検討をしたと言うことでいいだろう。 -------------------------------------------------------------------------------- * DNSサ−バの今後の目星 DNS権威サ−バは Amazon EC2 に持っていく。DNSキャッシュサ−バは社内にいるだ ろう、どうしたって近い所に必要である。名前解決の応答時間は早い方がいい。DNSサ −バのアプライアンスの Infoblox は何年か前に調べた際には百万円から、装置の2重化 ができる。先ずはちゃちゃっとメ−ルリレ−の予備機を作ろう。Sun のマシンで。BINDの named でのDNSキャッシュサ−バをどう設定すればいいか。そのままでいいかも。 もう1つのアプライアンスが EasyBlocks DNS/DHCP/NTP/RADIUS/監視管理。単体機能型は 2015年9月に販売終了になっていた。後継機種は EasyBlocks IPv6 Enterprise/IPv6 多機能モデル。プラッとホ−ムのサイトで価格を見た DNS・DHCP・NTPは端末3,000台程度。 基本サ−ビス1年間付き 431,460円(税込)。センドバック。DNSキャッシュサ−バ、コ ンテンツサ−バとして使える。ラックに横に並べて2台置くことができる。 EasyBlocksを1台買ってみるか。特に他の機器と依存関係があるという代物ではない。社 内ネットワ−クに設置すればいい。DNSキャッシュサ−バとして。既存のDMZ上にあ るDNSサ−バと、名前解決の応答時間を比較してみればいい。実際の運用ではプロキシ サ−バのDNS参照先、Active Directory のDNS参照先を1つは EasyBlocksに変える ことになる。前に買った OpenBlockS はどうだったか、もう一度触ってみるとするか。 OpenBlockS は "21-6. ミニ・インタ−ネットでテスト" で詳しく検討した。 このときは DNS制御ファイルをいじった。 telnet で入って vi を使おうとしたら挙動がおかしく てできずに、FTP でいったん外に出して編集して戻した。 OpenBlockS の専用ソフトウェ ア "DNS" を入れた というのを自身かいている。どうも忘れてしまった。あまり使えそう にないという感じだったのでないか。Interop に行ってもう一度話を聞いてみたい。 DNSを利用したボット通信。東京エレクトロンデバイス(株)からのメ−ル、2016/02/17 受信分。【緊急開催】DNS利用の遠隔操作ウィルス対策セミナ−、〜DNSトンネリングを検 出・遮断できるソリュ−ション〜。これまでのセキュリティ対策では検知困難とされてい る。協力Infoblox(株)、この会社はDNSの専門家集団を擁しているという。 社内に設置す るDNSキャッシュサ−バにはこの脅威は関係ないと自分は思うが。 * プロキシサ−バの今後の目星 社内にプロキシサ−バは今後もいるかという議論。外に適当なプロキシサ−バが有れば無 くてもいい。ファイアウォ−ルで LAN->WAN に Any->外のプロキシサ−バのIPとル−ル を設ければ済むことである。社内のパソコンのブラウザのプロキシ指定を変えていき、あ る時期にプロキシサ−バは廃止する。社内のプロキシサ−バで細かなURLアクセス制御 をしているとかいうと無くすことはできない。そんな面倒でおぞましい運用は御免だが。 Office 365の導入には自社DNSの制御ファイルの変更がいる。"autodiscover outlook" で検索して出る記事が重要そうだ。Office 365 サ−ビスの中の Exchange Online を利用 するのに先ずアクセス先を自動で見つける方法?。Windows OSのホスト名の名前解決よ ろしく、幾つもの段階があるみたい。単に Office 365 のURLが頻繁に変わるので注意 という話ではなさそうである。IPアドレスでなくURLが変わるのだった、こりゃ問題。 ちょうどぴったりの参考「日経NETWORK」2016.04,"特集1:Office 365の疑問30"。 Office 365 の Exchange Online のこと。P.44の Office 365 でスケジュ−ル機能を利用 すると他の人の予定を見たりするのにセッションが張られる。これが大量パケットが発生 する原因。P.45 の Office 365 が使用するURLが突然変わる。P.45 の暗号化のことで POP3,IMAP4,SMTP を使うことができる、Outlook 以外のメ−ルソフトでも使える。 Office 365 を導入してしばらくは、 各ユ−ザでスケジュ−ル機能はそんなに利用はない のでないか。それなりにユ−ザで設定しないといけない訳で。そうだとすればそんなに大 量パケットはすぐには発生しないのでないか。とりあえずは現行のプロキシサ−バで持つ ような気がする。IWSS の稼働ステ−タスをみるとCPUは数%しか消費していない。 仮 想マシンなのでメモリを上げるとかチュ−ニングする余地はあるし。 プロキシ−サ−バ−で Squid を使用しているなら、 Squid の設定でパフォ−マンスを上 げることができる。その記事が「日経NETWORK」2016.04 のトラブル事例に出てい た。 トラブルからの脱出、今回の犯人 プロキシ−サ−バ−、Webアクセスが遅くなる、 セッション数の設定に原因 P.76〜81。1024 という値でピンと来たという話がのっていた。 しかし IWSS では Squid はどうだったか。一度試してみたことはあるが。 クラウドのプロキシサ−ビスでは Symantec 社のはどうか。 Symantec.cloud のパンフレ ットで、2012年国内クラウドセキュリティサ−ビス市場ベンダ−競合分析、売上額シ ェア。国内SaaS型メッセ−ジングキュリティソフトウェア市場、Webセキュリティ ソフトウェア市場、いずれもシェアNo.1。ビッグデ−タと人工知能でチェックするという SKEPTIC、特許を取得していて他社が追従できない。サ−ビスは探せば他にもあるだろう。 * プロキシサ−バの稼働の様子 IWSS の[概要]->[システムダッシュボ−ド] 帯域幅、同時接続数、CPU使用率、物理メ モリ使用率。グラフは秒単位で刻々と表示される。CPU使用率は数%、時に10%とか。 物理メモリ使用率は40%で変化なし。帯域幅と同時接続数は常に変化している。帯域幅 の単位はトラフィック/秒で HTTP の受信と送信が出ている。同時接続数は大体 100 以上 か。帯域幅は HTTP 受信で 100〜500 位の間、稀に 1000 とか。 ある平日の昼休みの様子のこと。IWSS の仮想マシンの負荷の様子をみた。# netstat -an で名前解決しないように n も付けて、ずっとこのコマンドを叩いた。 Active Internet connections (servers and established) の表示。プロキシサ−バのIPアドレスの任意 ポ−ト番号から外の 80,443 ポ−ト番号へのアクセス。プロキシサ−バのIPアドレスの 80 番から外の任意番号へのアクセスをみた。192.168.1.5 は IWSS マシンです。 # netstat -an | grep 192.168.1.5 | wc -l カウントしたら 1100 位が出た。 # netstat -an | grep ESTAB | wc -l で 259。 # netstat -an | grep TIME_WAIT | wc -l で 934。 11時半ぐらい。 12時を過ぎてぐらいからだんだんと多くなった。同時接続 170、カウント1900。12時 30分ぐらいで同時接続 300、カウント3800。CPUは最大10ぐらいで波、一瞬のピ− クが 30 とか 40 とか30分位の間で出た。昼飯を食べてインタ−ネットを見始めた輩が 増えていった。やはり休憩時間にインタ−ネット見ている人が多いことが分かった。この 間、特にヤフ−の画面が出てくるのが遅くなったとかは無かった。まだ余裕あるみたい。 * TrendMicro IWSS の運用見直し プロキシサ−バをこれからも社内に設置するならば、この IWSS でいいのでないか。最近 のことかな、数年前からかな、トレンドマイクロはかなりセキュリティ対策に力を注いで いる。サイトのブログやレポ−トなんかを改めて読んでみること。キ−マンのセキュリテ ィの書込みをみると、毎日のように大規模な情報漏洩が報告されている。ランサムウェア はアメリカの病院だったり発電所だったりで起きている。ひどい状況だ。 IWSS で出てくるグラフはカスタマイズできる。 一体どんなグラフを出してどのように見 て行けばいいのか。どうも同じ値を色々なグラフにしている感じがする。とりあえずは現 状というかデフォルトのグラフを見る。[レポ−ト]->[予約レポ−ト]の毎日、毎週、毎月 のレポ−トがある。 {最も違反の多いユ−ザ} のグラフで社内のあるIPアドレスが1位 でだんとつに多くて80%位。その下の方のグラフで {最もブロックの多いURL} がある。 その正体は https://mtalk.google.com (5228) であり90%以上ある。{最も違反の多い ユ−ザ} と {最もブロックの多いURL} で両者は対応しているとみていいだろう。 これは ブラウザの Google Chrome でオプションから個人のログインを辿り、[Googleアカウント を切断] をクリックすればなくなるらしい。Google Chrome と Google ト−クがよく分か らないが同期していると、そのセッションの通信が多くなるという話である。 {最もブロックの多いURLカテゴリ} の2番目で "Web Reputation - Very Low"というのが 少し出ていて、Webレピュテ−ションでの検知は僅か。{IntelliTunnelレポ−ト}という所 は何もなかった。これは IntelliTrap技術のことか、ボットウィルスやスパイウェア対策 を行なうということだが。[概要]->[概要レポ−ト]を見ると、いろいろ危険因子があって "不正Webアクセス" の "Webレピュテ−ション(URL)" がほぼ毎日数十でている。 InterScan はメ−ルのウィルス対策があって、おまけ?でWebコンテンツ内のウィルス 対策もやるようになった。さらにWebレピュテ−ションもやるようになった。Webの 方が IWSS と呼ばれ情報漏洩対策には重要な役目を担っている。今後はウィルス検索もや るようにしよう。2つあるファ−ムウェアのバ−ジョン系統の違いを調べ対処しよう。今 一度 http://esupport.trendmicro.co.jp/ja-jp/、.../corporate/ を見てみたい。 * その後に検討した事と分かった事 `2g/05/E UTMとしての FortiGateを最大限活用する事を考える。アプリケ−ション制御、IPS、 SSL-VPN に IPSec VPN。これらの機能はもう十分に使えると思う。IPSはボットの通信 を検知して止める。FortiAnalyzer も1台、処理速度とログ容量の大きいのを用意しよう。 プロキシサ−バは FortiGate の VDOM機能で仮想的にマシンを分けたのを使うのはどうか。 これまでのネットワ−ク構成のままにできる。分かり易い。Webフィルタ−、Webレ ピュ−テション的機能を利用。多分ネットワ−ク・ケ−ブルも本体のポ−トから出す。 これらの事はファイアウォ−ルで設置している FortiGate-310B の FortiSandbox との連 携のためリプレ−スを予定し、ついでにいろいろ盛り込んでみる。候補としては 500D で HA構成。導入の暁にはファ−ムウェアのアップは毎度やって行くようにしないと。 FortiGate の SSL-VPN は、ファイアウォ−ルなどと同じ筐体でいいのでないか。 認証は メ−ルでのOTP、それに FortiToken も後々利用できるようライセンスも一緒に買って おくことにしよう。モデル 500D であらかじめ無償で利用できるライセンス数は。 これまで使ってきた FortiGate-310B 2台はどうするか。追加ライセンスは最初から買っ てないので本体だけの保守料で。このモデルはかなりスル−プットが高い。レイヤ3スイ ッチ+ファイアウォ−ルとして使えると分かるエンジニアからアドバイスをもらった。 SSL-VPN の認証は。DMZにメ−ルサ−バを設置して適当なドメイン名でメ−ルサ−バを 稼働させる。nix.con でも何でもいい。SSL-VPN 装置からこのメ−ルサ−バにOTPのメ −ルを送る。外からはこのメ−ルを POP3 で取ってもらう。こんなこともできるはず。 FortiGateの SSL-VPN の認証にパソコンのMACアドレス、クライアント用デジタル証明 書を使うかどうか。証明書の発行管理は Active Directory よりもアプライアンスの利用 がいいのでないか、例えば NetAttest CA。MACアドレスは FortiGate 内の機能がある。 FortiGate にはDNSの機能もあるが、権威サ−バとしてはお勧めでない。別にアプライ アンスを用意しよう。ソリトンが開発した NetAttest D3 はどうか、国産らしい。ソリト ンは Infoblox というのも扱っているが高い。DNS と DHCP サ−バ、モデルは8つある。 メ−ルをクラウドサ−ビスに移行しない、オンプレミスでまだ行くとすれば。メ−ルリレ −のマシンをどうするか。いつまでも現状のままという訳には行かない。FortiMail の予 備機をあてがうか。DNSサ−バは上のアプライアンス NetAttest D3 でいいのでないか。 Fortinet の人に話を聞いた。FortiToken は物さえ買えば使える、FortiGate にはライセ ンスは不要。プロキシサ−バ機能はソフトウェアの処理。IPSやアプリケ−ション制御、 SSL-VPN 等は ASIC 処理する。IPを分けるのは VDOM の他に Secondary IP がある。 市販の導入 SSL-VPN 装置の様子。クライアント用ソフトがひどい。新しい Windows OS との相性がすこぶる悪い。インスト−ルさえできないことも。BIG-IP とか MAG でも似た ような事でないのか。もはや専用アプライアンスを購入する時代は終わったのでないか。 `2g/05 FortiGate の SSL-VPN と IPSec VPN 機能を試した。Windows 7 でも Windows 10 Surface でも問題なくインスト−ルできすんなり接続できた。昨年出たFortiGate の本を 見たら、SSL-VPN はもはやコモディティ化(日曜品化)した代物だと書かれてあった。 * 今後のDNSサ−バの設置プラン `2g/07/m 1. 先ず社内でDNSサ−バを持つのをやめクラウドサ−ビスに変える時 メ−ルリレ−のマシンはそのまま。DNSサ−バもとりあえずそのままとする。DNSは キャッシュサ−バとしてだけの機能になる、DNS1次とか2次とかではない。 2. 次に社内でメ−ルサ−バを持つのをやめクラウドサ−ビスに変える時 メ−ルリレ−のマシンはメ−ル機能はなしに、DNSはそのままとする。いずれDNSは アプライアンスに置き換えていく。メ−ルリレ−のマシンは保守切れで老朽化故。 うまくやれば全く権威DNSを変更したことが悟られないようにできるのでないか。メ− ルやブラウザのサ−ビスを止めることなく、スム−ズにDNS1次を移行させる、移行で きるプランができた、思いついた。メ−ルサ−ビスをオンプレミスからクラウドに移行す るまでのプランである。プロバイダで Amazon EC2 にDNS1次と2次を作る。JPNIC に 変更したとプロバイダが届け出しておしまい。その後、MXレコ−ドを変更してよし。 DMZのDNSサ−バは今後はDNSのキャッシュサ−バとして設置する。アプライアン スの NetAttest D3 を設置する。このDNSは LinkProof は関係しない。 外からは参照 されない、社内から参照するのみ。外部から社内の問い合わせは受け付けない。というこ とで named.conf など相当の制御ファイルは view はなくす、外向けの view エントリは なくす。2次ネ−ムサ−バの記述、MXレコ−ドの記述、LinkProof を使う記述もなくす。 DNSはアプライアンスでなく仮想マシンでやるという手もある。でも他に影響を受けな いように、単独のマシンでサ−ビスするのがいいような気がする。DNSキャッシュサ− バはDMZでなくどこにおいても構わないか?。いやDMZにあるサ−バや装置が名前解 決する際にはDMZ上にDNSサ−バがあるのが望ましい。社内LANにもしDNSキャ ッシュサ−バがあっては、DMZからLANへとDNSの問い合わせをする事になる。 社内からDMZのサ−バにドメイン名でアクセスしたいという場合。サ−バを追加したと かで。DMZに設置する NetAttest D3 の設定画面での操作でDNSのエントリを追加す る。DNSに詳しくない人でもこれぐらいの作業はやれるだろう。今までのところ社内に セグメントを追加した場合、DNS制御ファイルに逆引き応答のエントリを追加している。 社内のメ−ルソフトからの影響で、FortiMail に変えてもう逆引きはしてないと思う。 DMZ上の追加サ−バに外部からドメイン名でアクセスするには、DNS1次サ−バでエ ントリの追加作業がいる。これはプロバイダにやってもらうか。DNS制御ファイルをvi で編集するという作業。こうした作業までを含んで面倒みてもらうことにして、それなり の月額費用を払うとする。Amazon EWS 利用分とかも入れて。 パケットの量に応じて課金 されるのだが、そこも含めての月額利用料金を最初に取り決めすることにしよう。 もう1つDNSキャッシュサ−バを設ける。プロキシサ−バを FortiGate の VDOMで作成 するのだが、ここにだ。作った VDOM 仮想マシン内に設ける。問題は FortiGateで作った DNSキャッシュサ−バはル−トDNSを見にいくのか。ル−トDNSは時として変更さ れる。ル−トDNSでなくてインタ−ネット上のどこか代わりでも構わないが。DNSの 応答レスポンスが気懸がりである。社内のブラウザ利用のレスポンスに関わる問題だ!。 ↑ 手元の FortiGate-80C でテストしたところ、 どうも Fortinet 社独自のDNSサ−バを 見に行っているようだ。DNSの応答レスポンスについては引き続きテストしてみよう。 * DNSのアプライアンスのこと NetAttest D3 小規模モデル 190Wx44Hx144D 1.0Kg、45万円。 中大規模モデルは198 万円。Virtual Appliance もあり。DHCP、DNS サ−バのアプライアンス。IPアドレス払 い出し制限という機能あり。MACアドレスフィルタリングできる。HDD 搭載なしで安定 稼働するという。小規模モデルの D3-SX04-A のDNSの仕様は最大レコ−ド数 1,000 で 最大ゾ−ン数 200、DNSクエリ処理能力 約11,000クエリ−/秒。Virtual Appliance は VMware ESXi 5.5/6.0 対応。WebのGUIで簡単にDNSを運用できるという触れ込み。 "脆弱性対策などバ−ジョンアップが必要な場合でも短時間で作業を行え、 ネットワ−ク ヘの影響を最小にします。このためDNSに精通していない管理者でも簡単に運用するこ とができます"。(株)ソリトンシステムズのサイトに Linux での仮想アプライアンス用の 評価版がある NetAttest D3、NetAttest EPS、NetAttest CA。