22-5. 社内ネットワ−クの無線LAN `2c/12 (1) 今時の社内用無線LANについて * 無線LANのセキュリティ IEEE802.1X 認証は EAP 認証と IEEE802.1X アクセス制御の組み合わせ。 IEEE802.1X は スイッチングハブのポ−ト単位のアクセス制御の仕様。 EAP は認証方式で MD5/LEAP/TLS/TTLS などをサポ−トする。PEAP はIDとパスワ−ドで の認証。TLS はデジタルIDでの認証、サ−バにクライアントを認証する。 IEEE802.1X か IEEE802.1x。こういう細かいことが気になるのでして、杉下右京氏じゃな いですけど。IEEE802.1X のユ−ザ認証は EAP( Extensible Authentication Protocol )。 EAP はデ−タリンク層で動作するのでIPアドレスが装置に割り振られていなくても、通 信できる、やりとりできるということ。RADIUS プロトコルはIPレベルで動作する。 ユ−ザ認証は2つのモ−ドがある。Enterprise Mode 管理モ−ド IEEE802.1X で EAP対応。 Pre-Shared Key(PSK) は家庭や小さな事務所で、事前共有鍵で認証できれば十分でないか。 IEEE802.1X/EAP は無線LANなどで認証するには、 パソコンにサプリカントというソフ トがいる、インスト−ルすること。これは認証用のクライアントソフトである。 安い無線LANで、指定したIPアドレスにしかアクセスできないようにできると、友人 が入っている Java の研究会で、そう言っていた人がいると、友人から聞いた。`2c/10 * 無線LANの規格とか色々 WiMAX とモバイルWiMAX は別者。モバイルWiMAX は次世代のブロ−ドバンド無線、社内で の無線LANとは違うぞ。WiMAX とか Wi-Fi とか紛らわしい。 SSID は何となく番号でないといけないような気がするのだが。 文字列でもなんでもいい。 SSID( Service Set Identifier )。無線LANの機器がお互い識別するためのID。 IEEE802.11n の製品は2005年頃登場。IEEE802.1x と EAP の記事は2005年の雑誌 に出て来ている。無線LANの規格はごちゃまぜになっていて頗る分かりにくいです。 IEEE802.11n というのは何。MIMO( Multiple Input Multiple Output )という機能が入っ た。複数のアンテナがあって電波を合成する。これで安定した通信ができるようにした。 無線LANの周波数帯の 2.4GHz と 5 GHz かは規格で分かる。IEEE802.11a は 5.2〜5.7 GHz。IEEE802.11g と IEEE802.11b は 2.4GHz。周波数が異なるので混在可能。 2.4 GHz 帯は使えるチャネルは実質使えるのは3個しかない。5 GHz 帯はもう少し多いが。 チャネルの領域は3つ位重なっている。隣接するチャネルは山の裾の辺りが重なっている。 略語。TLS( Transport Layer Security )。TTLS( Tunneled TLS )。TKIP( Temporary Key Integrity Protocol )。WPA( Wi-Fi Protected Access )。 * BUFFALO の無線LAN製品 WZR シリ−ズの製品。製品サイトには似た様な製品が20個位ある。 ある1つの WZR の 様子を記載。http://192.168.1.x とかでアクセス。 BUFFALO 製品には AOSS 設定といっ てほとんど自動で無線LANの設定をやってくれる機能がある。干渉しないチャネルを自 動で見つけてくれる。そのため特にチャネルの事を気にするとかなく、自動設定のお任せ でいい。設定で必要なのは SSID の名前だけか、いやブリッジモ−ドとル−タモ−ドの選 択、固定IPアドレスを付けるか DHCP サ−バで取得するか、ANY 接続の許可うんぬん。 {TOP} 画面の {無線情報}を見ると IEEE802.11n/a (Auto / 44ch )、SSID musen-nix、認 証方式 WPA-PSK、暗号化 AES。 もう1つ IEEE802.11n/g/b (Auto / 1ch )、後のは一緒。 {無線設定} では"WPS機能 〆使用する"。WPS( WiFi Protected Setup)。MACアドレス で無線接続を禁止するというメニュ−はない。QoS のメニュ−があって、そこでIPアド レスやMACアドレスなどで優先付けはできる。デフォルトゲ−トウェイとDNSサ−バ を指定する項目もあるにはあるが、必須の設定ではなさそうだ。 バッファロ−のサイトに書いてあったこと。仕様の無線LANインタ−フェ−ス部の記載。 周波数範囲(チャンネル)。IEEE802.11a:5.2〜5.7GHz(36/40/44/48/52/56/60/64/100/104/ 108/112/116/120/124/128/132/136/140 ch)。IEEE802.11g/IEEE802.11b:2.4GHz(1〜13ch)。 バッファロ−の無線LANの設定画面を見ると、WPA-PSK-TKIP とか WPA-PSK_AES とかあ った。AOSS機能は無線LAN装置の50センチ以内にパソコンなどを持ってくれば自動的 に設定する。家庭でパソコンを無線LAN接続するのに、これでばかちょんで設定できる。 * いろいろ動向とか業者の話 ヤマハ新製品発表&LAN見える化セミナ−、2012/12。 2013年春に製品を出荷予定。 無線LANアクセスポイント。無線LANコントロ−ラはファイアウォ−ル製品がやると のこと。無線APはトンネル接続機能はあるかと尋ねた、ないとの返答だった。 Aruba の製品では Aruba AP-105 屋内無線LANアクセスポイント。無線コントロ−ラは Aruba 3200XM Mobility Controller 本体価格百万円弱。 見積りにライセンスの項目が6 つもあって値引き前80万円弱、アクセスポイントは32台までサポ−ト。 シスコ、メル−、アルバなど企業向けの無線LANのメ−カがある。最近では、だいたい 幾つかのSI業者さんのお勧めはアルバである。 ARUBA networks のことは以前調べて書 いたのでここでは省略する。セキュア無線LANシステム Aruba と言う。 企業向けはほぼMACフィルタリングとVLANはサポ−トしている。無線LANのコン トロ−ラもあり無線LANのAPを集中管理もできる。 Active Directory とも連携がで きるようになっている模様。改めてAPとは、無線LANのアクセスポイントのこと。 Cisco など老舗の無線LANでなく Fortinet の無線LANを使うメリットは。それを言 う前に、先ずは Cisco でできることは Fortinet でも遜色なくできるのか。 バッファロ −は家庭向けと企業向けを出している、企業向けにはソフトの無線コントロ−ラもある。 メル−はシングルチャネルのことをシングルチャネルデプロイメントといっている。ひょ っとして最初にシングルチャネルを提唱したのはメル−か。メル−はワ−クショップとハ ンズオントレ−ニングを無料でやっている、東京本社で。名古屋でもやってくれんかな。 シングルチャネル技術に対応している企業向け無線LANはエクストリコムとメル−だけ でないか。エクストリコムを実際に設定したエンジニアによれば、シングルチャネルはエ クストリコムが先に出した。家庭向けの無線LANにはシングルチャネルはないとのこと。 例えば REGZA Tablet AT570。IEEE802.11b/g/n 準拠(Wi-Fi準拠, WPA/WPA2対応, WEP対応, AES対応, TKIP対応)。2.4GHz帯無線LANで使用できるチャネルは 1-13ch。IEEE802.11n 準拠のモ−ドで通信するにはセキュリティをWPA(AES)/WPA2(AES) に設定する必要あり。 * 無線LANメ−カのキャッチフレ−ズ [ シスコ ] 「Cisco 製品総合カタログ−中小規模ネットワ−ク 1-4月版2011」抜粋。"シスコのワ イヤレスLAN製品を選ぶメリット。認証サ−バいらずで強固なセキュリティを実現。鉄 壁のセキュリティ。デフォルト設定で SSID をブロ−ドキャストしないなど、企業利用を 想定して設計しており、個人向け市場に軸足を置いた製品とは設計思想が違います"。 次 にスマ−トフォンに対応したワイヤレスLAN構築のポイントの話。 Cisco AnyConnect for iOS、SSL-VPN 用クライアントのアプリ。 Cisco Aironet ではVLANによるセグメンテ −ションと QoS(優先制御) の組み合わせで最適化を計る。Cisco AnyConnect クライアン トは Always-ON 機能で社外ではインタ−ネット直接通信を禁止、イントラネット経由で。 [ バッファロ− ] 旧会社名はメルコ。BN-ADT は49,800円。 バッファロ−社の法人様向け管理者機搭載アクセスポイント。インテリジェントWAPM-xxx とスマ−ト ASPS-xxx の2種類あり。2万円から4万円位。サイトを見たら、法人様向け 無線LAN導入の最新動向・ノウハウを解説。"もはや企業に導入しない理由はない スマ −トフォン時代の無線LAN構築"。小さな字でA4半分で1ペ−ジの8ペ−ジあり。 法 人向けのAPは一括管理ができるという話。認証のことは掲載されてない。企業向けの製 品は管理ソフトの BN-ADT が利用できる。1台のAPで複数の SSID をもつことができる、 これで無線のVLANができる。MACアドレスをベ−スに接続できる端末を限定できる。 [ エクストリコム ] Extricom 2008年のパンフレットで シングルチャネルが売り、複数のAPで1つのチャネルを共有する技術。APをどこにお いてもいい。シンプル。無線の干渉を事前にチェックするとかなし。複数のAPを1つの 仮想APにみせかけることができる。AP間の移動ロ−ミングでも再認証やIPアドレス の再配布がいらない。無線のチャネルや 802.1a/b/g で分けて使うことができる。1つは マルチメディア、1つは音声とか、ゲスト用とか。APと Extricom スイッチの間は独自 プロトコルで通信で盗聴は不可能。アライドテリシスがパ−トナ−製品で扱っていて、ネ ットで無線LANスイッチ EXSW-1600 は249.6万円、一番安い EXSW-400G でも約64万円。 [ フォ−ティネット ] FortiGate-60C 以上には無線LANコントロ−ラ機能がある、サポ−トされているOSは FortiOS 4.0 MR3 以降。既存の FortiGate で WLAN コントロ−ルができる。 無線APの FortiAP を扱っている業者は実は少ない。図研ネットウェイブ(株)とソフトバンク(株)ぐ らいしかないのでないか。4〜5年前、無線LANのAP機能もある FortiGateを買いた いと思ったが、どこも扱ってなくて買えなかった。○○商会の ForiAP の説明が分かり易 い、FortiGate と連携し不正利用、不正端末、不正AP、不正アクセスに対しセキュア無 線LAN環境を実現。無線LAN端末から ForiAP ヘの通信は FortiGate を経由する。 [ メル− ] Meru Networks http://www.merunetworks.co.jp/ シングルチャネルデプロイメントは同一ネットワ−ク内での干渉を押える技術。1チャネ ルで無線を構築可能にする機能。バ−チャルポ−トはシングルチャネルデプロイメントを 発展させたメル−独自の技術で、複数APを仮想的に1台のAPに見せる。ユ−ザはAP 間を移動しても通信は切断されない。小中規模企業向けコントロ−ラ MC1500 はサポ−ト AP数30。管理ツ−ルSA200 はコントロ−ラのサポ−ト数10。AP単独では利用できない。 GRE は MC1500 英文の仕様に出ていた。Wired/Switching IEEE802.1Q VLAN tagging, GRE Tunneling and IEEE802.1DSPanning Tree Protocol。Captive Portal Web認証でアクセス の制御ができる。MACフィルタリング、VLANコントロ−ルをサポ−ト。 [ アルバネットワ−クス ] コントロ−ル・システムは ArubaOS と Airwave、いわゆるソフト。 モビリティ・コント ロ−ラは Aruba 6000/3000/650/620、いわゆる無線LANコントロ−ラ。無線LANのア クセスポイントは2種類。通常の無線APはキャンパスAPとリモ−トAP。アルバ・イ ンスタントというのが新製品で一部のコントロ−ラ機能を含む、IAP92/93 と IAP105あり。 従来の AP-92/93, AP-105 のソフトウェアに付加している。有線スイッチという新製品も 出している S3500、無線と有線の統合がこれからは必要であると提唱。無線のアクセスコ ントロ−ル技術を有線ネットワ−クに適用するというアプロ−チ。S3500 は有線ポ−トに おいて IEEE802.1x など認証。IEEE802.1ae MACSec ready。改めて `2c/09 調べた。 * 無線LAN参考 「日経コミュニケ−ション」2012.11, P.46〜49, "現場に学ぶネットワ−ク作り 三井物産 > 無線LANインフラを "クラウド型導入"資産をもたず月々の支払いで利用"。KDDI の閉域網中のクラウド上に無線LANコントロ−ラ、無線APなども月額レンタル。米 ラッカスワイヤレス の ZoneFlex 7363 を採用。 「Software Design」2005/04, P.131〜177, "第2特集:ネットワ−ク完全無線化計画"。傍 > 聴と盗聴は違う。傍聴は罪に問われない。勝手に流れて来るのを見るのは問題ない。お 勧め設定は WPA-PSK で TKIP、暗号鍵のパスフレ−ズは21文字以上、ANY 接続禁止。気 休めにビ−コンにSSIDを含めない、電波強度を下げる、MACアドレスで制限する。 「Software Design」2010/02, P.51〜74, "第2特集:ここが危ない! ここが使える!無線 > LANの正しい使い方"。Windowsでつかえる無線LANツ−ル、inSSIDerは無線LAN のスキャナ、安全対策が不十分な無線APを検出する。 Vistumbler は SSID や電波強 度なんかの無線APの情報を見ることができる。 「Software Design」2010/10, P.91〜110,"第3集:お外で快適! モバイル無線LAN活用 > 術"。モバイルル−タは NAPT を利用。パブリックIPがWAN側に1つ。 無償の公衆 無線LAN、メルコ主幹のFREESPOT他。有償のNTT東西フレッツ・スポット、NTT ドコモの Mzone、NTTコミュのホットスポット、他 livedoor Wiress、UQ Wi-FIなど 「Software Design」2012/01, P.61〜85, "第2特集:便利で快適! ワイヤレスオフィスの > 作り方"。Android は端末ごとに挙動が違う。 APが10台以上はコントロ−ラを追加 した方が飯。無線LANがセキュアでないと思われたのは昔の話、今日適切に設定すれ ば有線LANよりもセキュア。ライブドアのケ−ススタディ、SSL 利用の社内アクセス。 「日経コミュニケ−ション」2012/07,P.8〜27, "特集:あらゆる通信を飲み込む無線LAN > の新常識25"。見出しを幾つか。無線LANは社会の新しいインフラに。 携帯各社の 無線LANエリアが10万規模に、1つ例で auスマ−トフォン向けサ−ビスの KDDI の au-Wi-Fi SPOT。無線LANもクラウドで導入、1ユ−ザ−数百円、IEEE802.1X。 「日経コミュニケ−ション」2012/09, P.64〜71,"ソリュ−ションクロ−ズアップ BYOD(個 > 人所有端末活用)"。P.71 に気になる記事あり、"社内ではパソコンなどは無線LAN経 由で接続する。パソコンは Windowsのグル−プポリシ−を活用し、接続先をリモ−トデ スクトップサ−バに限定する"。 「Software Design」2005/04号 の記事。この当時 WPA2 はない。ビ−コンに SSID を含め > ないようにする。ANY 接続を禁止する。WPA-PSK( WPA Pre-Shared Key ) で TKIP がお 勧め。暗号化鍵のパスフレ−ズは21文字以上。TKIP の他に AES が選択できれば AES の方がいい。WPA でも21文字以上でないとWEP よりも弱い、2003年11月に脆弱性指摘。 「NETWORK MAGAZINE」2002/01, P.149〜171, "特集3:家庭向けとは違うノウハウを伝授! > 会社で使う無線LAN"。 これまで無線LANには関わらないようにしていたので、こ の記事を見たのは初めてかも。10年前の雑誌だが捨てずにとっておいた。166〜169ペ −ジの記事は実際に無線APを配置するのに、今でも変わらず役立つ記事である。 * 2012年末の思いは如何に FortiGate の無線LANのことを秋口からやっていた。およそテストしてだいたい動きが 確認とれたところで他事をやっていた。SSL-VPN 装置の購入申請書を書いていた。スマ− トデバイス、社内の無線LANのネットワ−ク、それにスマ−トデバイス対応の SSL-VPN 装置は関係しあっている。同時にバランスよく導入の検討を進めて行かなければならない。 あちら立てればこちらが立たずで、FortiGate の無線LANの事はしばらく手つかずにな ってしまっていた。半分なにやってたか忘れてしまった。無線LANのAPとコントロ− ラの間でトンネルができることを確認できて、安心したということもある。 トンネル接続がスマ−トデバイスを社内で使う場合の社内ネットワ−ク構築での一番のポ イントとなる。無線LANの SSID とVLANでもセキュアな社内ネットワ−クができる ようで、一応このテストもやってみたいとは考えている。まだそのVLANでのイメ−ジ がよくできないでいるのだが、まあ普通のレイヤ3スイッチやタグVLAN対応スイッチ では、大した事はできないのでないかと思っている。実際、試してみないとはっきりした ことは言えないので来年早々からテストしてみるつもりである。タグVLANの動作はア ライドのスイッチで基本的な確認をしたまでである。 スマ−トデバイスを扱う無線LANを含めたイントラネットのネットワ−ク設計、これは SI業者に提案させて設置してもらうことで、自前でごそごそテストしたり検討したりし なくてもいいのでないか。そんな声が聞こえてきそうである。Fortinet社の営業さんとも 話していたのだが、SI業者の技術力の低下が懸念されるという。残念ながら小生も同意 見で金させ出せば、ちゃんとやってくれる、できるSI業者はほとんど無いと言ってよい。 ならばどうすればいいかというと、一緒に汗をかくしかない。全部お任せでなく、こちら 顧客側も一緒に検討して構築していく、それしかないだろう。 (2) スマ−トデバイスでの無線LAN * 背景 これまで建屋内の無線LANは取り組みをしてこなかった。全体のネットワ−クからすれ ば無線LANはどこか片隅での話でしかないという印象を漠然と抱いていた。しかしタブ レットやスマ−トフォンが出てきて、社内では無線LANをほぼ使うしかない状況が生じ、 どこの組織でも改めて取り組みが必要になってきた。しかしただ無線のアクセスポイント を設置すればいいという話ではない。スマ−トデバイスの社内での無線LANの使用はノ −トパソコンなどの無線LAN以上に安全性に神経を使わなければならないと思う。 そもそも何で無線LANは危険と思うのか。有線LANは社内にいれば、好きなようにつ なぐことができる。適当なIPアドレスのパソコンなんかをつながれたら、ネットワ−ク が不安定になる。一応ケ−ブルをたどれば変なデバイスが付いていることは分かる。無線 LANは社外、会社の敷地の外からでもつなぐことができる。どこにつながれたのか分か りにくい。この点はリスクが高いといえる。しかし無線LANは通信は何がしか暗号化さ れているので、その点はプレ−ンでパケットが流れる有線LANより安全と言える。 ノ−トパソコンを社内の無線LANにつなぐ話とスマ−トデバイスを社内の無線LANに つなぐのでは違うのでないか。スマ−トデバイスは素性がよく分からない、どこで何を拾 ってくるか分からない危険が一杯の代物と認識すべきでないのか。例えて言うならばネコ、 ネコは家と外を自由に出入りする。座敷犬とはわけが違う。どこまでぶらぶら出かけてい るのか、落ちているの物を食べているのか、そこらに寝転がって菌を拾っているのか。ま るで分からない。スマ−トデバイスはそんな感じではないのか。 * Android タブレットでの様子は バッファロ−の家庭向けの無線APでのこと。タブレットをしばらくほかっておいて、や ったら無線APにつながらない。おかしいと思って、こっちから ping 打っても応答がな い。タブレット側の Wi-Fi の設定状態がどうもおかしいのでないか。仕方ないのでWi-Fi の設定を一からやり直した。固定IPアドレス、デフォルトゲ−トウェイ、DNSサ−バ のIPアドレスなどを入れ直したということである。こんなことでは困るバイ `2c/07/18。 その後 FortiAPが来たので、それでもやってみたところ、やはりどうも不安定である。バ ッファロ−製の無線LAN装置が特に悪いということではないようである。 [設定]->[システム]->[タブレット情報] [システム情報] 製品名 xxx シリアル番号xxx UDID xxx OEM文字列 xxx ほか {Android バ−ジョン} 4.0.3 [設定]->[無線とネットワ−ク] [Wi-Fi] [Bluetooth] [デ−タ使用] [その他] [設定]->[無線とネットワ−ク]->{その他} [機内モ−ド □] [VPN] [Wi-Fi Direct □] [設定]->[無線とネットワ−ク]->[Wi-Fi] fortiap1 << ネットワ−クSSID。ここに接続している。 ---------------------------------- 接続状況 接続済み 電波強度 非常に強い リンク速度 65Mbps セキュリティ WPA/WPA2 PSK IPアドレス 192.168.1.93 パスワ−ド [ ] << SSID の PIN 番号ということ。ここまで は表示されているだけ。 〆詳細オプションを表示 プロキシのホスト名 192.168.1.5 << ブラウザのプロキシサ−バの指定はここ プロキシのポ−ト 80 でやる。 IP設定 静的 IPアドレス 192.168.1.93 ゲ−トウェイ 192.168.1.9 << CTのFortiGate-80C にネットワ−ク全体 ネットワ−クプレ 24 の経路設定をすれば 192.168.1.91 でも。 フィックス長 DNS 1 202.241.128.3 DNS 2 ---------------------------------- ※L3 のレイヤ3スイッチがネットワ−ク キャンセル | 保存 全体の静的経路の情報をもたせている。 □Router □仮想IPアドレス CT: 無線LANコントロ−ラ | |.3 FortiGate-80C ----------*------------- 202.241.128.0 .2| AP: 無線LANアクセポイント ------- □MR,DNS1次 | FortiAP-220B |Fire |.2 |.1 ------- | |---------- 192.168.2.0 | L3 |---- CT AP SMD タブレット ------- □MS ◇Proxy ------- ■ ◆〜〜〜▲ .2| |.1 |.5 |.9 |.91 |.92 |.93 ----------*--------------------------------------------------------- 192.168.1.0 Wi-Fi の設定状態のメニュ−のところで、[切断]をクリックしたら無線LANの接続が無 効になるではなくて、Wi-Fi の設定自体がなくなってしまった。でも完全に設定が消えた と言うのではないようで、タブレットの電源を入れ直したら、設定の際に名前を付けたの は出て来た。でも設定内容は無かった。どうなっているの?。 自前で買った Android スマ−トフォン Xperia の本、Wi-Fi の設定ところ。 手元のタブ レットとはメニュ−が違っている。設定画面も違っている。カ−ネルは一緒だけど、その 上のGUIとかはそれぞれのメ−カが作るということなのか。自分でも1つスマ−トフォ ンを買ってみようかと思い Xperia のハンドブックみたいなのを買っておいたのである。 タブレット Android の無線LAN。どうも不安定。 電波のマ−クがそもそも出て来なく なることがある。無線APの電源を入れ直してOKとなることも、無線LANの SSID の 設定をいったんクリアしてまた設定し直すとか。しばらくほかっていて無線接続しようと すると一発ではたいがいダメ。いきなり SSID 設定をやり直すのでなく、様子をみよう。 無線APをステルスモ−ドにすると、タブレットは勝手に SSID を拾ってこなくなる。タ ブレットにあらかじめ SSID を入力しておかないと、パスフレ−ズも。Android のタブレ ットのデバイスでは SSID を設定、入れるところで DHCP でIPアドレスを拾ってくるか、 あらかじめ固定IPアドレスを付けるか決める。SSID とIPアドレスが同じ設定場所。 * タブレットは固定IPアドレスか動的IPアドレスか 外に持ち出しても使う。ホテルの部屋でインタ−ネット接続する。外の Wi-Fiスポットで 使う。そうなると DHCP 接続である。社内でも DHCP という方がユ−ザにとっては分かり 易いだろう。ノ−トパソコンではこれまで社内では固定IPアドレスを振っている。外に 出た際にスクリプトをクリックして DHCP 接続するようにしてはいるのだが。 MAP はブリッジモ−ドとル−タモ−ドがあるはず。ブリッジモ−ドは同じセグメントとい うこと。無線LANでル−タモ−ドは使わない方がいいと思う。ネットワ−クがややこし くなる。SMD のIPアドレスは固定IPアドレスか DHCP サ−バによる動的IPアドレス かは、外出した際ホテルでの接続とかは DHCP な訳で DHCP でいいと思う。 MAP MAP(Musen Access Point) <------ ------◇〜〜△SMD SMD(Smart Device) <有線LAN> SSL-VPN | <無線LAN> -------TSP ----- ----------------| UTM |-------|HUB|---◇〜〜△SMD 社内ネット (LAN)-------(WAN) ----- MAP * タブレットに固定IPアドレスを振るメリットは UTM で NAT にする場合で、複数 UTM を設置する場合のことで。MAP はブリッジモ−ドと いうことで。どこの UTM の MAP 設置側でも同じネットワ−クIPアドレスにすれば、そ して SMD に固定IPアドレスを付けるならば、 SMD を社内のどこに持って行ってもその ままつなげられることになる。その意味なら SMD は DHCP でIPをもらっても同じだが。 MAP◇〜〜△D.9 UTM で NAT はせず MAP でル− -------- A NAT------- D | タモ−ドにするというのもあり。 | |--------| UTM |------------ C | L3 | ------- ◇〜〜△D.9 しかしそもそもこんなネットワ ----| | B NAT------- D | −クは許されるのだろうか。幾 | |--------| UTM |------------ ら NATするかと言って、同じネ -------- (WAN)-------(LAN) ットワ−クIPを振るのは。 (3) 社内でのセキュアな無線LAN環境 * 情報収集 図研ネットウェイブ(株)のサイト見てみた。2012/09/s。"FortiGate モバイルソリュ−シ ョンまるわかりセミナ−" というのを毎月やっている。開催場所はフォ−ティネットジャ パン(株)のオフィスで。この会社、スマ−トデバイスセキュリティソリュ−ションと銘打 ってかなり取り組んでいる。東京と大阪にオフィスがある。図研ネットウェイブ、元々電 子回路の設計CADを開発販売している会社の図研から出たと思われる会社で、図研は新 幹線の新横浜駅にビルがある、今でもあるのか。学生の時、入社説明会に行きました。 雑誌で先ずは無線LANの記事をあたってみた。セキュアな無線LAN環境を社内ネット ワ−クに構築するには、ただ無線LANのアクセスポイントを設置すれば済むということ ではない。無線LANのコントロ−ラも試してみたい。アクセスポイントとコントロ−ラ でどう働くのか見てみないといけない。さらに認証VLANとか検疫ネットワ−クについ ても関係しそうである。ということは有線のネットワ−クでの機能も包含する形で、無線 LANネットワ−クを考えなければならないということである。 * 社内での無線LAN設置のパタ−ン MAP: Musen Access Point、無線AP。 TSP: Transparent、透過モ−ド。 [1] MLC: Musen LAN Controller。 サ−バ MAP SMD タブレットから社内に好きなようにアクセス □ □ ◇〜〜○ 可。何も考えず無線APを設置すると。無線 | | | APはブリッジモ−ドにて、タブレットは無 -------------------------- 線APと同じセグメントにあるということ。 [2] サ−バ MAP SMD UTMをかましてフィルタリングする。ウィ □ ◇〜〜○ ルスチェックやIPSを働かせてもいい。ネ |TSP-------- | ットワ−ク毎にUTMをかまさないといけな --------|UTM|---------- いので費用もかかるし、設定の手間もかかる。 WAN--------LAN [3] MLC MAP SMD 無線LANコントロ−ラもいれてみた。無線 □ ◆ ◇〜〜○ APが1台ではコントロ−ラを設置する意味 |TSP-------- | | はないかも。一応パタ−ンを1つずつ追って --------|UTM|-------------- いくため、基本となる構成なので書いておく。 -------- [4] MAP SMD FortiGate だと無線LANコントロ−ラ機能 □ MLC含む ◇〜〜○ が入っている。UTMとMLC は1台で済ます |TSP-------- | ことができる。FortiGate の機種は 60C以上。 --------|FortiG|-------------- この動作を先ずは確認してみることが肝心。 -------- [5] ◆MLC ネットワ−クごとに無線APがある様子。安 | 全を確保するためそれぞれにUTMを設ける。 --------------------- MAP SMD 無線LANコントロ−ラは1台で別なネット | ◇〜〜○ ワ−クにある。MLC は周波数や電波強度を管 ----- TSP-------- | 理するだけである。アプライアンスでなくて □ | |-----|UTM|------- ソフトウェアでも構わない。バッファロ−の | |L3 | -------- ◇〜〜○ 49,800円+税のソフトとかでも。MLC を管理 --------| | TSP-------- | のためだけに使うのなら、アルバの無線AP | |-----|UTM|------- で一部管理機能があるモデルにする手もある。 ----- -------- [6] MLC◆〓〓 トン こうすれば一括してセキュリティをかけるこ TSP-------- | ‖ネル とが可能になる。絵では1つの無線APと無 ---------|UTM|----- ‖ 線LANコントロ−ラの間でトンネルを張っ | -------- MAP◇〜〜○ ている。もう1台の無線APも一緒。トンネ ----- | SMD ルでなくても、無線LANでつながった SMD □ | |-------------------- なり PC なりが MLCにしかアクセスできない | |L3 | MAP◇〜〜○ ようにできればいい。家庭用の無線APでト --------| | | PC ンネルではないが、指定したマシンにしかア | |-------------------- クセスできない機能があるらしいと聞いた。 ----- [7] MLC含む トン FortiGate なら無線LANコントロ−ラの機 TSP--------〓〓〓〓 ネル 能が入っているので、UTM機能と共に1台 ---------|FortiG|----- ‖ でまかなうことができる。SMD にDHCPでIP | -------- MAP◇〜〜○ アドレスを振るのはこの場合、ちょっと問題。 ----- | FortiAP は DHCP サ−バ機能はない、ブリッ □ | |-------------------- ジとして動作する。FortiGate は透過型モ− | |L3 | ◇〜〜○ ドの時、DHCPサ−バ機能は働かない。この構 --------| | | 成では FortiGate をNATモ−ドで動かせない | |-------------------- ことはないが、ネットワ−クは複雑になる。 ----- * 無線APとコントロ−ラ間のトンネル 2007/06/15 入手の Aruba Mobility Controller とアクセスポイント製品のパンフ。物持 ちがいいので捨てずにおいていた。GREというのがそれらしい、以下抜粋で。"アルバAP が標準の IPSec や GRE(Generic Routing Encapsulation)トンネルを使用して任意のIP ネットワ−クを超えてアルバモビリティ・コントロ−ラ−へ 802.11 トラフィックを転送 するので、無線APおよび無線ユ−ザのために配線クロ−ゼット内のスイッチに、新しい VLANやIPサブネットを作成する必要はありません。ユ−ザロ−ルや SSID によって 802.11 トラフィックをセグメント化するため、 集中管理を行うモビリティ・コントロ− ラ−の内部にのみ無線VLANを作成する必要があります"。 Cisco のパンフレットは GRE の文字はないが、らしいのがあった。 2009年10月版 のシスコユニファイドワイヤレスネットワ−クのパンフレットにらしいのが。 H_REAP と いうハイブリッドリモ−トアクセスポイント。本社に1台ワイヤレスLANコントロ−ラ Cisco 5500をおいて、各支店のAPを集中管理する絵あり。現時点の様子をネットから抜 粋。Cisco 5500シリ−ズWireless Controller のデ−タシ−トから包括的なエンドツ−エ ンドセキュリティリモ−トのWAN/LAN リンク全体におけるアクセスポイントとコントロ− ラ間のフルラインレ−トの暗号化を保証、Control and Provisoning of Wireless Access Point(CAPWAP) 準拠の DTLS 暗号化を提供する。Cisco 5500 他に 2500 と 2100 など。 FortiAP-220B のパンフレット http://www.fortinet.co.jp/doc/FA220BDS.pdfに描かれて いる導入例の図にピンクの太線がある、無線トラフィックはシンAPから FortiGateセキ ュリティコントロ−ラへとトンネリングする、これでセキュリティの強化と容易な管理を 実現する。ただしこのパンフレットにはプロトコルの名前は書かれてない。 「FortiGate バ−ジョン3.0 MR4 管理ガイド」"表32: FortiGate 定義済みサ−ビス" に GRE 出てまし た。そのまま抜粋 "Generic Routing Encapsulation。GREパケット内のプロトコルのパケ ットをカプセル化することによって、任意のネットワ−クプロトコルを他の任意のネット ワ−クプロトコルを介して転送できるようにするプロトコル"。 [ GRE を他でも探してみた ] と言うことは特殊なプロトコルという訳でなく、一般的なものかも知れない。手元にある アライドテレシスのハブでもスペックを見てみるか。FS917M の仕様を見た。GREは見当た らない。 でも IEEE802.1認証、認証方式(MD5/TLS/TTLS/PEAP)、MACべ−ス認証、Web認証、 Tri-Auth、ダイナミックVLAN、マルチプルダイナミックVLAN、ポ−トセキュリティ。 GRE を自サイトで検索したら1つヒットした。"3-7. VPNと広域ネットワ−ク,(2)VPNソ フト&装置" に '99/08 発売の CentreCOM AR720。IPSec, L2TP, GRE 対応。あった!。 無線APはブリッジモ−ドにル−ティングモ−ドがだいたいあるから、ル−タとしての働 きがある訳だ。さすがにスイッチングハブにはル−タ機能はないから、GRE なんて機能は ないのでないか。L3スイッチの Cisco 3750 にはきっとあるぞ。いやいや FortiGate本 体のスペックにも GRE、書いてあるかもしれん。Cisco について2009年8月版カタロ グにてを調べてみた。Cisco Catalyst 6500 はスペックの "トンネリングプロトコル" の ところにハ−ドウェアGRE サポ−ト。4500,4948 ソフトウェア処理 GRE。とあった。 (4) FortiGate とその無線APの連携 `2c/09〜 * エンジニアの直感でセキュア無線LANできそう -------------------------------------------------------------------------------- なぜ今 FortiAP なのか?、「フォ−ティネット最新情報 2011.6.7」から。 FortiAP-22B セキュア・アクアセスポイントで、不正アクセスポイントの検知それに PCIコンプライア アンス対応(PCI-DSS)、UTM と連動した無線LANインフラのセキュリティ強化の文字が。 -------------------------------------------------------------------------------- 無線LANのデバイスからのパケットをVLANで検疫ネットワ−クに誘導する。その間 はパケットを通過させるだけ。検疫ネットワ−クでUTMをおいて、一括してフィルタリ ングやウィルスチェックをやる。2012年8月29日、インタ−ロップで立ち寄ったブ −スの会社の人が来社して話している時に、こういうことができそうだと分かった。無線 LANを置く所全部にUTMを置くのでなく、1つのUTMで済ますことができる。 fortinet のサイトにあった FortiAP-220B の説明、FA220BDS.pdf。 FortiGate 200B-POE との絵がでている。信頼できるセキュリティ機能で、共有キ−やエンタ−プライズクラス の 802.1x ユ−ザ認証機能を備えた WPA/WPA2。 エア−モニタリング専用の2個目の電波 により不正なAPから保護。そして一番問題とするのはトンネリングである。どうもこの トンネリング機能でセキュアな無線LAN環境が構築できそうだと分かったのである。 ということで FortiAP-220B 1つ購入することに、ロ−ミングのテストもやりたけば2つ いるだろうが先ずは1個だけ。無線LANコントロ−ラは手元の FortiGate-80Cで。本番 用が必要になったらその時は FortiGate-60C を改めて買うとしよう。これまで Cisco や Aruba でコントロ−ラを含めたテストをやってみたかったが、費用の関係でできなかった。 これでようやくテストができる。メ−カの1つを試せば他メ−カの感触も分かるだろう。 * FortiGate によるセキュア無線LAN環境の構築 FortiGate-80C の画面を改めてみたらワイヤレスコントロ−ラというのがあった。それに メニュ−の [システム]->[ネットワ−ク]->[インタ−フェ−ス] のところで、インタ−フ ェ−スの "dmz"、"internal"、"wan1"、"wan2" には {□FortiAP接続専用インタ−フェ− スに設定} という項目がある。多分これが無線LANのアクセスポイントとのトンネルを 張る場所のことだと思う。{□FortiAP接続...} に〆を入れると {FortiAPに割り当てるIP アドレス範囲指定[0.0.0.0]-[0.0.0.0]} というのが出てきた。 [システム ] | {SSID}の画面では DHCP ServerでIPアドレスの配 [ユ−ザ ] 布を行なう。デフォルトゲ−トウェイを指定できる。 [ワイヤレスコントロ−ラ] SSID 内トラフィックブロック、どういうことかは?。 |---- ワイヤレスネットワ−ク 無線LANの事前共有キ−など各種設定。 | |--- SSID | |--- Rougue AP 設定 {Rougue AP 設定}の画面ではは不正AP検知、不正 | APオンワイヤ検知の2つがでている。 |---- 管理アクセスポイント | |--- 管理FortiAP {カスタムAPプロファイル}の{新規作成}をクリック | |--- カスタムAPプロファイル したら FA220BDS.pdf に似た画面がでてきた。ここ | では {プラットフォ−ムの機種を選択}、{帯域を選 |---- モニタ 択}、{使用可能な周波数を選択}、{バ−チャルAP |--- クライアントモニタ を選択} などのメニュ−がある。 「管理ガイド FortiGate バ−ジョン 3.0 MR4」で、GRE プロトコルについては、プロトコ ル欄は空白、ポ−トは47。FortiGate の設定画面でファイアウォ−ルのサ−ビスの初期設 定に GRE IP/47 というのがある。 管理ガイドによれば [システム]->[ル−タ]->[ダイナ ミックル−ティング]->[RIP] の {インタ−フェ−ス} のところ、"仮想IPSec または GRE インタ−フェ−スである可能性があります" と記述がある。しかし [RIP]のインタ−フェ −スの設定メニュ−のところには GRE は選択にない。`2c/09/m のこと、Fortinet社のエ ンニジアに聞いたら、 FortiAP をおくと FortiGate とは自動でトンネルが張られること になる。GRE というプロトコルではなく、設定が何か難しいとかいう話ではないらしい。 * FortiGate の最新状況を調査したメモ書き `2c/09/m FortiGate-60C がサポ−トする FortiAP 無線APは4台まで。 ロ−ミングの確認のため には無線APは2台あった方がテストにはいい。FortiWiFi のモデルが日本で発売になる らしい、ようやく日本国内で無線の認可が降りたらしい。 Android の FortiClient の最新版は SSL-VPN でトンネリングができる。Google Play に はあるが日本ではまだダウンロ−ドできない。アメリカでは既に正式リリ−スされている。 アメリカ支社の人にダウンロ−ドしてもらって、ファイルで送ってもらうとかすれば。 iOS では以前から IPSec が使えた。IPSecは不安定なのでは思っていたが、十分こなれて いるもよう。Fortinet のエンジニアの弁。設定は簡単との話。 IPSec ができればこれで トンネルを張ることができる。Fortinet が2009年12月11日作成した手順書が入手できる。 これまででも Android は L2TP/IPsec を使えばトンネリングができたが、 あまりいいも のではないみたい。SSL-VPN が使えるのなら SSL-VPNの方がいいだろうという話。つまり 最新の状況は Android は SSL-VPN で、iOS は IPSec でトンネルが張れるということ。 FortiAP で通信を SSID で分けることができる。タブレットは FortiGateへのトンネル接 続でアクセスできるところを制限する。ノ−トパソコンはそのままで、どこでもアクセス できるようにするとか。VLANを使うとか仮想APとかでなくて SSID でできるらしい。 DMZの SSL-VPN から社内のパソコンに RDP する。台数が多いとこのル−ルでは間に合 わなくなる。それで内部ネットには一括で Any指定してしまう。これはよくある話だそう だ。FortiGate の 5.0 なら RDP アクセスする際にユ−ザ認証させることができるみたい。 FortiAP はブリッジモ−ドのみ。無線のアンテナが立っているだけとイメ−ジするといい。 FortiAP には DHCP サ−バ機能はない。FortiGate 本体と SSL-VPN メニュ−の所の DHCP サ−バは同じか。FortiGate 本体の DHCP サ−バは透過モ−ドでは有効ではない。 * 無線LANコントロ−ラを用いたセキュアで利便性の高い構成 `2c/09/M __________________________ / \〜〜○SMD1 PC はノ−トパソコン。外で使うPC1 \__________________________/〜〜△PC1 は SMD1 と同様。内で使う PC2はト | ンネルは通さないようにする。これ | SSL-VPN までのように好きなようにどこでも | □ アクセスできる。このためにはSMD2 | A .8|仮想IPアドレス と PC2 のアクセスは無線AP(MAP) ------------------------------- でSSIDで分ける。SSID毎のVLAN | を作ることになるのでないか。 | SSL-VPN MLC --------- □ ◆〓〓 トン このテストでは無線LANのAPと | | .8| .9| ‖ネル 無線LANのコントロ−ラ(MLC) は | Fire |------------- ‖ Fortinet社の製品を用いた。トンネ | | B ‖ ルを張るということでは、シスコで s1 s2 --------- ‖ もアルバの無線LAN装置でも構わ □ □ | MAP◇〜〜○SMD2 ない。しかしこの後 SSL-VPN とMLC | | | C |〜〜△PC2 を1台でまかなう FortiGateでのテ --------------------------------------- ストが控えている。 トンネルを張ることが設定のポイントになる。タブレットのIPアドレスはどういうよう になるのか。 タブレットは何やDMZの MLC 辺りに在ると思えばいいと想像するのだが。 タブレットは途中にはアクセスできず、 MAP から MLC へのトンネルを行くことができる のみ。SMD1 は SSL-VPN 装置に A.8 でアクセスする、 バリアセグメントの仮想IPアド レスへである。SMD2 は SMD1 を社内に持ってきた状況で、 同じく A.8 の SSL-VPN 装置 にアクセスするようにする。 それには MLC も仮想IPアドレスを付けてバリアセグメン トに仮想的に設置しなければならないかも知れない。SMD1,SMD2 とも DHCP サ−バでIP アドレスは振られるものとする。こうすることによってタブレットなどのスマ−トデバイ スでは、ネットワ−ク接続も SSL-VPN アクセスも同じ操作でできることとなる。 SSL-VPN では Any->s1 は許可するためにル−ル記述。 Any->s2 はル−ル記述せずにアク セスできず。つまりこれでフィタリングをしていることになる。これらのル−ルでウィル スチェックとかIPSをかけるとかなる。Fire でも DMZ->s1 許可、DMZ->s2 ル−ル記述 せずにアクセスできず。Fire ホストも実は今、本書では FortiGate になっている。 * SSL-VPN 装置が複数台ある場合の構成はいかに `2c/09/M SSL2 SSL1 MLC MAP SSL2 SSL1'(SSL1&MLC) MAP □ □ ◆〓〓〓〓◇〜〜○ □ ■〓〓〓〓◇〜〜○ DMZ |.7 |.8 |.9 | |.7 |.9 | -------------------------- ------ ----------------------- ------ SSL-VPN 装置が2台とか複数ある場合の SSL1 は FortiGate なら MLCと一緒にで 一般的な構成。DMZ上にこれらはある。 きる。SSL2 は FirePass とかのSSL-VPN。 復号化して HTTPS or IPSec ---------- HTTPS or IPSec 暗号化して <---------- <--------------------- <--------- <------------------ <------------- HTTP,FTP ---------- HTTP,FTP SSL1' SSL2 ----------------------------- -------------- FortiClient □<---|---- Test ----- | | トンネル | |〜〜〜○ のSSL-VPNと |________________|無線LAN|―――――| 無線LAN | IPSec VPNで。 |Virus &| SSL-VPN|Controller|―――――|Access Point|〜〜〜△ |IPS | Filter | | | | ----------------------------- -------------- Test パケットのところは実際にテストしてみて確認すること。SSL1' の FortiGate の無 線LANコントロ−ラからスル−して SSL2 にパケットがいくのか。あるいはAny-> SSL2 のル−ルを作って、無線LANコントロ−ラを出た後、ウィルスチェックやIPSをかけ ることができるのか。こうやって絵を描いて眺めていたら、できそうな気がするな。 * 新製品のNews Fortinet 社の新製品のニュ−スを知らせるメ−ル。 差出人: フォ−ティネットジャパン [event_jp@fortinet.com]、【2012年12月12日号】 Zitomoタイムライン、フォ−ティネッ トニュ−ス 2012年12月12日号。12月4日に FortiGate の新オペレ−ティングシステム 「FortiOS 5.0」を発表。図研ネットウェイブ UTM と WiFi を統合したFortinet 社のセキ ュア無線 UTM「FortiWiFi」販売開始。シ−ティ−シ−・エスピ−株式会社が「FortiAP」 の取り扱いを開始しました。以上のメ−ル。ただし2012年9月には雑誌か何かで見て メモしていた、UTMに無線LANアクセスポイント機能を追加した FortiWiFi 品揃え。 (5) FortiGate と FortiAP の無線装置 * FortiAP のこと初めに ブツが届いた。取り付け金具は無し。説明書らしきものは QuickStart Guide 英文でA4 ぐらいの細長いのを3つ折にした一枚があっただけ。ボタンらしきものは何もなし。 USB ポ−トは将来の予約で、Console ポ−トは RS-232C、"ETH PoE -48V"がイ−サネット。 装置のランプのWiFi1 と WiFi2、緑色だと無線の用意OK、緑色の点滅は無線接続の状態。 電源を入れると DHCP サ−バからIPをもらおうとする、もらえなかったらデフォルトの 192.168.1.2 となる。IPアドレスを 192.168.1.2 以外にするやり方が書かれている。 [ IPアドレスを 192.168.1.2 以外にするやり方 ] FortiAP にデフォルトのIPアドレスに対し telnet で入って作業する。 |Router FortiGate FortiAP cfg -a AP_IADDR="192.168.1.11" □ □ ■ cfg -a AP_NETMASK="255.255.255.0" |.1 |.10 |.11 cfg -a IPGW="192.168.1.1" -------------------------------- cfg -a AC_IPADDR_1="192.168.1.10" 192.168.1.0 cfg -c . << ピリオドいるのか?。 物が来て眺めながら FortiGate の設定画面を1日見ていて、 だいたいどうすればいいか 分かった。FortiAP に電源を早速入れて、いろいろ触って見ようとしたが、待てよ。近々 に無線LAN装置のこと分かるエンジニアに会うことになっているので、それまで待つこ とにする。何がしか注意点とか一応、聞いてからにしよう。予想外のことが何かあるかも 知れない。初めて無線LANの装置をいじる訳で慎重に慎重に。 * FortiAP のことその2 FortiAP の電源を入れたら、それで電波も出し始めるのでないか。周波数とかどうなるの か。FortiAP 単体では周波数とかの設定はできないのでないか。FortiGate でやるのでな いか。先ずはトンネルができるか確認するのが先決。それが新しく設計するネットワ−ク 全ての要になってくる。 Fortinet 社のエンジニアさんから簡単にできるよと聞いている のだが。FortiGate のメニュ−で [カスタムAPプロファイル] のところに5つのエントリ がある。その中の "FAP 220B-default" で [編集] をクリックして様子をみた。 -------------------------------------------------------------------------- | Edit Custom AP Profile |------------------------------------------------------------------------- |名前 [ FAP 220B-default ] 灰色 |コメント [ ] 0/63 |機種 [ FAP220B/FAP221B ▽] |▼ 無線 1 |------------------------------------------------------------------------- |モ−ド ○無効 ◎アクセスポイント ○監視専用 |バックグラウンドスキャン ◎無効 ○有効 |無線資源自動配置 □ |タイプ [ 802.11na_5G ▽] << 他 802.11a, 802.11b, 802.11g, |ショ−トガ−ド間隔 □ 802.11ng_2.4G あり。 |20/40 MHz チャネル帯域 □ |チャネル 〆36 〆40 〆44 〆48 〆149 〆153 〆157 〆161 〆165 |送信出力 100 % |SSID 選択可なし 選択済なし | |▼ 無線 2 |------------------------------------------------------------------------- |モ−ド ○無効 ◎アクセスポイント ○監視専用 |バックグラウンドスキャン ◎無効 ○有効 |無線資源自動配置 □ |タイプ [ 802.11ng_2.4G ▽] << 他 802.11b と 802.11g あり。 |ショ−トガ−ド間隔 □ |チャネル 〆1 2 3 4 5 〆6 7 8 9 10 〆11 |送信出力 100 % |SSID 選択可なし 選択済なし |------------------------------------------------------------------------- | [ OK ] [ キャンセル ] -------------------------------------------------------------------------- * FortiAP のことその3 [ワイヤレスコントロ−ラ]->[ワイヤレスネットワ−ク]->[SSID]最初はエントリ何もなし。 -------------------------------------------------------------------------- | 新規SSID |------------------------------------------------------------------------- |インタ−フェ−ス名 [ ] |Status ◎Enabled ○Disabled |IP/ネットマスク [0.0.0.0/0.0.0.0 ] |管理アクセス □HTTPS □PING □HTTP | □SSH □SNMP □TELNET | Webプロキシ □ |Enable DHCP server 〆 | アドレス範囲 [0.0.0.0 ]-[0.0.0.0 ] | ネットマスク [0.0.0.0 ] | デフォルトゲ−トウェイ ◎インタ−フェ−スのIPと同じ ○指定 | DNSサ−バ ◎システムDNSと同じ ○指定 |無線設定 | SSID [fortinet ] | セキュリティ− [WPA/WPA2-パ−ソナル | 暗号化 ◎AES ○TKIP ○TKIP+AES | 事前共有キ− [ ▽] (8 - 63 文字) | SSID内トラフィックブロック □ | 最大クライアント □同時WiFiクライアント制限 |コメント [ ] 0/63 |------------------------------------------------------------------------- | [ OK ] [ キャンセル ] -------------------------------------------------------------------------- [システム]->[ネットワ−ク]->[インタ−フェ−ス] に、katou(SSID:fortinet) というの があった。 {SSID内トラフィックブロック □} これでひょっとしてトンネルになるのでないか。他ど こかメニュ−で "トンネル" らしきものはないし。いや "トンネル" には関係ない、テス トしてパケットを見て、デフォルトで "トンネル" モ−ドになっているのを確認した。 * FortiAP のことその4 FortiGate をトランスペアレントのモ−ドにしてみたら、以下のこれだけの項目になった。 [システム]->[ネットワ−ク] から DHCPサ−バの項目がなくなっていた。 -------------------------------------------------------------------------- | 新規SSID |------------------------------------------------------------------------- |インタ−フェ−ス名 [ ] |Status ◎Enabled ○Disabled |無線設定 | SSID [fortinet ] | セキュリティ− [WPA/WPA2-パ−ソナル ▽] << 他WPA/WPA2-エンタ | 暗号化 ◎AES ○TKIP ○TKIP+AES −プライズ とキャ | 事前共有キ− [ ▽] (8 - 63 文字) プティブポ−タル。 | SSID内トラフィックブロック □ | 最大クライアント □同時WiFiクライアント制限 |コメント [ ] 0/63 |------------------------------------------------------------------------- | [ OK ] [ キャンセル ] -------------------------------------------------------------------------- [システム]->[ダッシュボ−ド]->[Dashboard] の {システムステ−タス} のオペレ−ショ ンモ−ドを NAT から トランスペアレント にした。 IP/ネットマスク [192.168.1.0/255.255.255.0 ]というように、ネットマスクは All 255 でないことに注意。 装置のメインの DHCP サ−バの利用うんぬんは無線LANに反映される。トランスペアレ ントのモ−ドでは、DHCPサ−バは機能しない。FortiGate を触った初めの頃に気付いた事。 * FortiAP のことその5 無線LANのメニュ−で SSID の新規作成、DHCP サ−バの設定したら、[システム] の方 に反映されていた。以下の 2) のところ。SSID の インタ−フェ−ス名 [katou ] にして みた。[システム]->[ネットワ−ク]->[DHCPサ−バ−] で {新規作成} したのが 1)。2つ の DHCP サ−バができている。2) は無線LAN接続の際に使われるということ。 装置本 体では DHCP は設定せず、無線LAN部では DHCP 設定をする、ということができる。 [システム]->[ネットワ−ク]->[DHCPサ−バ−] (+)新規作成 ------------------------------------------------------------------------------ | □ インタ−フェ−ス モ−ド タイプ オプション 有効| |----------------------------------------------------------------------------| | □ internal サ−バ レギュラ− 192.168.1.11 - 192.168.1.20 〆|1) | □ katou(SSID:fortinet) サ−バ レギュラ− 192.168.1.21 - 192.168.1.30 〆|2) ------------------------------------------------------------------------------ FortiAP のIPアドレスを DHCP で設定するのであれば、1) の設定で行なうはず。 固定 IPアドレスを付けておくのであれば、1) の設定はいらない。 FortiAP に無線LAN接続するデバイスに DHCP で設定するのであれば、 2) の設定で行 なうはず。デバイスに固定IPアドレスを付けておくのであれば、2) の設定はいらない。 * FortiAP のことその6 [ワイヤレスコントロ−ラ]->[ワイヤレスネットワ−ク]->[SSID] -------------------------------------------------------------------------- | 新規SSID |------------------------------------------------------------------------- |インタ−フェ−ス名 [ musen1 ] |Status ◎Enabled ○Disabled |IP/ネットマスク [192.168.1.9/255.255.255.0 ] << これだとエラ−になっ | | た。別なセグメントの IPアドレスにしたら --------------------------------------------------------- 問題なかった。 | エラ− |------------------------------------------------------------------------- | IPアドレスがほかのものと同じサブネット内にあります | [ OK ] -------------------------------------------------------------------------- {IP/ネットマスク [192.168.2.9/255.255.255.0 ]} にしてみた。[システム]->[ネット ワ−ク]->[インタ−フェ−ス] に musen1(SSID:fortinet2) というのができていた。 * 無線LANのトンネル機能の確認 ◇SV2 □FortiGate UTM は透過モ−ドでもNATモ−ドどち | | ↑ らでもいい。UTM でパケットフィルタリ ----------------------- |トンネル ング "Allow LAN -> WAN Any" を設定し | ○× | 逆は全部 Deny。FortiAP からFortiGate WAN----- ↑| ↓ へはトンネル接続。このように設定する SV1 |UTM| |↓ FortiAP PC,TB と、PCとTB は SV1 にはアクセスできず、 ◇ LAN----- ■〜〜〜〜△ SV2 にはアクセスできる事になる。これ | | | | で無線LANのトンネルの確認ができる。 ----------------------------------- PC:ノ−トパソコン等、TB:タブレット等。 ‖等価 トンネル こちらは UTMは透過モ−ドで設置。PCと <------------------> TB から FortiAP に無線LAN接続する。 FortiGate FortiAP PC,TB FortiAP から FortiGateへはトンネル接 ◇SV2 □ SV1◇ ■〜〜〜△ 続。これにより PCとTB からSV1 へは通 | | ----- | | | 過させる、アクセスできないようにする。 --------------|UTM|--------------------- このようなネットワ−ク構成でテストし 1 2 -----3 4 5 6 た。UTM には FortiGate-50Bを配備した。 ‖物理的ネットワ−ク構成 FortiGate-80C FortiGate-50B パソコン6番は無線APの5番に接続し SV2 -------- -------- FortiAP PC,TB たら、そこからトンネルに入って出口は ◇----|□LAN | | □|----■〜〜〜△ 2番になる。他へは行くことはできない | | | | というのが所謂トンネルである。2番に | □|-----|□ □|----◇SV1 行ったら、同じセグメントのホストには | LAN| WAN| |LAN アクセスできる。4番の SV1にも行く事 -------- -------- ができる、それを止めるのが UTMである。 基本的なテストでは DHCP サ−バは使わない。PC,TB も固定IPアドレスを振る。UTM を NATモ−ドにすれば UTM の DHCP サ−バを使うことができる。ここではUTMは透過モ− ドで設置するのがやりやすい。実際のテストでも透過モ−ドでやった。因にPC,TB のデフ ォルトゲ−トウェイは2番の FortiGate-80C とする、 実際のテストではその先にあるレ イヤ3スイッチのIPアドレスを指定した。FortiAP はブリッジモ−ドの設定で動作して いるということになる。しかしタブレットは社内でも DHCP でIPアドレスを振りたいと 考えている。いかん混乱している。FortiGate-50B に DHCP サ−バを働かせることを期待 していた、違う違う DHCP サ−バは FortiGate-80C にやらせることである。FortiAP自体 は無線の電波を出すだけである、DHCPサ−バの機能もない。その電波も周波数などは無線 LANコントロ−ラである FortiGate-80C が指示を出す。そこのところよろしく。 * FortiGate-80C でのこと ところで Windows 7 の IE9 でのこと。[再起動]、[シャットダウン]メニュ−がおかしい。 何かコメントをいれる画面が出てくるのだが、左上隅に X とか出てこない。[ OK ] ボタ ンなんかもでてないので、どうしようもないぞ。Mozilla ではコメントをいれる画面もで て、ちゃんとシャットダウンの手続きができる。FortiGate-80C は筐体は小さいながらも、 ウ−ンと音をたてているので使わない時は止めておきたい。追記で稼働している2台の装 置 FortiGate-80C でのことで。ファ−ムウェアが v4.0,buid0656(MR3 Patch 12) の方は IE9.08 だと画面の表示がおかしい。 ポリシ−画面の項目が特に抜けた表示になっていた。 v4.0,buid0334(MR2 Patch 9) の方では IE9.08 でちゃんと表示していた。 ------------------------------------------------------------------------------------ [ 付録 ] FortiGate-80C の無線LANの設定について `2d/03/s * ちょっと慌てたけど FortiGate なしで FortiAPだけ設置、これで無線LANとして使えると思った。でも電波 さえ FortiAP から出てなかった。タブレットで無線の電波を検知しない。新しいSSL-VPN 装置の設置でSI業者が来てばたばたやっている時のこと。机の上にハブや FortiGateな ど置いていたのを片付けたのだ。 その際に FortiGate-80C も電源をぬいてよそへ移した。 そうか FortiAP は単体では動かないのだ。一応 FortiGate が無線LANの制御をするの は知ってはいたが。ついでに FortiGate-80C の設定もどうなっていたか忘れた。 FortiGate-80C を机の上に出してきて久しぶりに触ってみた。アクセスのIPアドレスも うる覚えになっていて、RS-232C で入った。# get system interface やった。 そしたら IPアドレスが出てこない。それで設定が全部クリアされ工場出荷状態になったのかと思 った。冷静になれば工場出荷状態になったら初期設定のIPアドレスが付いているはずで。 トランスペアレントのモ−ドにすると # get system interface ではインタ−フェ−スの IPアドレスはでは出てこないということ。そういうことだった。 以前、付けた管理用のIPアドレスのメモが見つかり、適当なLANポ−トから隣のパソ コンのブラウザからアクセスした。FortiAP もつないだら電波が出てタブレットからも無 線接続ができた。そしてFortiGate をネットワ−クから外したら無線APから電波が出な い。タブレットの無線LANの接続が切れる。この状態で FortiGateにネットワ−クケ− ブルを差した。5分位みてたけど接続は復帰しなかった。30分位ほかっていてタブレッ トを見たら接続していた、インタ−ネットにアクセスできた。 ※ともかく以下の設定が FortiGate での無線LAN環境のシンプルな設定だろうと思う。 * FortiGate の基本設定 ファ−ムウェアバ−ジョン v4.0,build0535,120511 (MR3 Patch 7) [システム]->[ダッシュボ−ド]->[Dashboard] --------------------------------------------------------- | モ−ド |-------------------------------------------------------- |オペレ−ションモ−ド [トランスペアレント ▽] |管理IP/ネットマスク [192.168.1.10/255.255.255.0 ] | | [ OK ] [ キャンセル ] [システム]->[ネットワ−ク]->[インタ−フェ−ス] 管理ス リンクス □ 名前 IP/ネットマスク アクセス テ−タス テ−タス タイプ Ref. ------------------------------------------------------------------------------ □ internal - HTTP,HTTPS,PING,FMG-アクセス ↑ ↑ 物理 4 □ musenA - HTTP,PING,TELNET ↑ WiFi 2 (SSID: Interface fortinetA) * ネットワ−クケ−ブルの配線図 < 192.168.1.0 セグメント > FortiGate-80C ハブ ○PC -------- -------------------- FortiAP -----------|--- |WiFi搭| | LAN | -------------- | | | |載のタ| | □ | | □ | | □ □ □ □ | |ブレッ| ------|------------- ----------|--- -----|--|------ |ト | | .10 .11 | | | -------- | -------------- | Android 4.x -------------------------------------------- FortiGate-80C に RS-232C で入って動作の確認、以下どちらも反応あり。 # execute ping 127.0.0.1 # execute ping 192.168.1.10 * 無線LANの設定の様子 [ワイヤレスコントロ−ラ]->[ワイヤレスネットワ−ク]->[SSID] ------------------------------------------------------------------- | SSID編集 |------------------------------------------------------------------ |インタ−フェ−ス名 [musenA ] |Status ◎Enabled ○Disabled |無線設定 | SSID [fortinetA ] | セキュリティ− [WPA/WPA2-パ−ソナル ▽] | 暗号化 ◎AES ○TKIP ○TKIP+AES | 事前共有キ− [●●..●● ▽] (8 - 63 文字) | SSID内トラフィックブロック □ | 最大クライアント □同時WiFiクライアント制限 |コメント [ ] 0/63 |------------------------------------------------------------------ | [ OK ] [ キャンセル ] ------------------------------------------------------------------- [ワイヤレスコントロ−ラ]->[管理アクセスポイント]->[管理FortiAP] □ 状態 状況 名前 端末 SSID チャネル ---------------------------------------------------- □ 〆緑 接続 WireA 2 fortinetA 無線 2:1 * ファイアウォ−ルのポリシ− [ポリシ−]->[ポリシ−]->[ポリシ−] に幾つかル−ルが設定されていた。どれが効いて いるか確かめるため、ACCEPT を DENY に順にして行った。 musenA(SSID:fortinetA) -> internal(1) だけ ACCEPT で無線できた。 FortiGate-80C ハブ ○PC こんな装置の接続にし -------------------- FortiAP -----------|--- ても特に問題なかった。 | LAN LAN | -------------- | | | FortiAP を FortiGate | □ □ | | □ | | □ □ □ □ | のLANポ−トにつな ------|---------|--- ----------|--- --------|------ いだのだが。ポリシ− | .10 | .11 | | の musen->internalと | ------------------ | いう記述が馴染めない -------------------------------------------- ので試してみたのだが。 その後の確認で内外のホ−ムペ−ジにはアクセスできたが、メ−ルサ−バとはやり取りで きなかった。マイクロソフト Access にもアクセスできなかった。関係しそうなところと いえば [ポリシ−] のル−ルしかなくて、 internal -> musenA も ACCEPT にしてみたら 通った。どうも腑に落ちない。多分、前にこのテストをしてた時はタブレットで動作をみ ていた。今回パソコンでやって普通に Outlookなんかのメ−ルソフトで気なしに、メ−ル の送受信をやろうとしたらできなかった。社内の Access で作ったのも利用できなかった。 そんなことで分かったことである。十分できると思ってもちゃんとテストすることが肝要。 * デフォルト設定とステルスモ−ドの設定 # show config wireless-controller vap config wireless-controller vap edit "musen1" set vdom "root" set ssid "fortinet1" set passphrase ENC xxxxx next end # config wireless-controller vap << これだけコマンドを入れて disable する。 (vap) # edit "musen1" (musen1) # set broadcast-ssid disable (musen1) # end end これで SSID をブロ−ドキャストしなくなった。HPのシンクライアントで電波の状況を 見た。画面右下のアイコン、ワイヤレスネットワ−ク接続で画面を出して。ネットワ−ク の一覧を最新の情報に更新、でわかる。 * 無線LANの設定で意味が分からない所 FortiAP の無線 SSID内トラフィックブロック カスタムAPプロファイル の バックグラウンドスキャン 無線資源自動配置 ショ−トガ−ド間隔 管理アクセスポイント -> 管理FortiAP -> APプロファイル 自動[変更] 管理FortiAP の表示は SSID -- fortinet1 チャネル -- 無線2:1 [変更]をクリックすると "自動" の下に "FAP220B-default" と出る。 "FAP220B-default" にしてみた。管理FortiAP の表示が SSID -- 無線1:N/A 無線2:N/A チャネル -- 無線1:36 無線2:1