26-2. 引続きインタ−ネット接続モデル (1) FortiGate とDNSサ−バの関連で `2h/01/E ( intgate.txt 付録から ) * 検討環境 Internet □DNS1 インタ−ネット接続モデル{j} のプ : |.3 ロキシ機能、DNS機能それにポリ ---------------- 202.241.128.x シ−ル−ティングとの絡みが解けた。 | ProxyA これでモデル{J} のプランができた。 □ FireWall□--- □ □host8 FortiGate の DNSパケットは内部で |.2 |.2 | |.8 ちょっとややこしい事になっていた ----------- ------------------- 192.168.1.0 そこのところ執拗に動作をチェック 1.1.1.0 | | し、SI業者の技術者からもアドバ .1| |.6 NAT イスをもらった。DNSサ−バだけ ----------- FG80Cはv5.2.8 は専用のアプライアンスを別途設置 |wan1 wan2|--------DNSc でテスト,lan1 することにした。自前で名前解決が | FG80C | vdom1 | は internal1。 できるようにDNSのル−トファイ | root | ProxyB| ルを有する装置が必要だからである。 NetAD3 ------------------- PC1 FortiGate はル−トファイルがない、 □DNSc |lan1 |lan6 △ どこか参照させてくれるDNSサ− |.4 |.2 |.3 |.9 バがあれば、それを利用させてもら --------------------------------- 192.168.9.0 らう手も無きにしも有らずだが。 ポリシ−ル−ティングで HTTP と DNS のパケットを、wan2 側に誘導できないかのテスト をやってみた。あるいは全パケットを wan2 へ誘導できないか。 wan1 側はネットワ−ク ケ−ブルも繋げていない、1.1.1.2 は wan1 側の仮りのゲ−トウェイである。 root->[スタティックル−ト] 宛先IP/マスク 0.0.0.0/0.0.0.0, デバイス wan1、 ゲ−ト ウェイ 1.1.1.2, Administrative Distance 10, 高度な設定 プライオリティ 0。 root->[ポリシ−ル−ト] 入力インタ−フェ−ス lan1, 送信元 0.0.0.0/0.0.0.0、宛先も 0.0.0.0/0.0.0.0, 出力インタ−フェ−ス wan2, ゲ−トウェイ 192.168.1.2。など例えば。 root から ping 192.168.1.2 OK、202.241.128.3 NG。 vdom1 から ping 192.168.1.2 OK、202.241.128.3 OK。 PC1 のブラウザでプロキシ指定 192.168.9.3 で、 例えば http://202.241.128.3/ OK で IPアドレスならインタ−ネットのサイトにアクセスできる。 http://www.yahoo.co.jp/ NG で画面には "504 DNS look up falied" と出た。 ポリシ−ル−トで全部のパケットを wan2 へ誘導する設定をしても、VDOM root に入って ping を外に打とうとしてもダメだった。PC1 から ProxyB へアクセス、ProxyB では DNS パケットは出さずに、FortiGate 本体に入って DNS 検索をするようなのだ。 しかも、このDNS パケットは VDOM root から出ていない。root の lan1 から出ていれば wan2 へ誘導できるのだが。# diag sniffer packet で見たのだが。どうも ping の ICMP パケットもそうだが、マネジメントVDOM という所から出るものらしい。 [ 解決プランは ] root->[スタティックル−ト] に wan2 経路を追加してみた。 宛先 0.0.0.0/0.0.0.0, ゲ −トウェイ 192.168.1.2, wan2。 そしたら PC1 のブラウザでプロキシ指定でできた。ポ リシ−ル−ト関係なし、vdom1->[システム]->[ネットワ−ク]->[DNSサ−バ] も関係なし。 本番ファイアウォ−ルは通常のパケットはデフォルトル−トで wan1 に、こちらには回線 冗長化装置の LinkProof をかましている。wan2 にはポリシ−ル−ト設定 HTTP,HTTPS を、 さらに wan2 回線業者用意のDNSサ−バへ UDP/53 パケットが行くようにしている。 FortiGate のプロキシを利用するとDNSパケットがマネジメント VDOM の制御で、ポリ シ−ル−ティングの制御ができない。 つまり wan2 側に、wan2 回線業者用意のDNSサ −バへ UDP/53 パケットを行くようにできない。wan1 側にしか行けないのである。 しかし wan1 側は LinkProof があるので、wan1 の2つの回線が同時にダウンしない限り 問題ない。特にポリシ−ル−ティングで wan2 側にDNSパケットを誘導できなくても構 わない。LinkProof がないなら FortiGate で経路制御のロ−ドバランスとか検討しよう。 * FortiGate のDNS指定はどうするか vdom1->[システム]->[ネットワ−ク]->[DNSサ−バ] は設定し "再帰検索" にする。 これ でプロキシサ−バはDNSキャッシュを見ることになる。PC1 のブラウザから ProxyB へ、 vdom1 のDNSキャッシュサ−バ、そして FortiGate 本体で指定のDNSサ−バへ G->[ネットワ−ク]->[DNS] は本番ファイアウォ−ルでは "FortiGuardサ−バを利用"にし ている。FortiSandbox のDNSも "FortiGuardサ−バを利用"にしている。これらのIP アドレスは 208.91.112.53 と .52 である。特に問題ない。FortiGate 本体のDNS指定。 G->[ネットワ−ク]->[DNS] は本番ファイアウォ−ルでは "FortiGuardサ−バを利用"でラ イセンスは認識されている。"詳細" 指定で "プライマリDNSサ−バ 202.241.128.3"、"セ カンダリDNSサ−バ 0.0.0.0" にしてもライセンスは認識される。 テスト環境の 80C では、G->[ネットワ−ク]->[DNS] "詳細" 指定で "プライマリDNSサ− バ 192.168.9.4" としよう。NetAttest D3(NetAD3)をDNSキャッシュサ−バで設置する。 セカンダリはどこでもいいか。本番ファイアウォ−ルもこの構成に準じるものとする。 G->[ネットワ−ク]->[DNS] は vdom1 のプロキシが外のサイトのURLの名前解決に利用 されるのが大きい。192.168.9.4 というLAN設置の DNSc でいいだろう。DMZに設置 してそのIPにアクセス、DMZに出したのをWANで仮想IP設置、必要ないと思う。 DMZの Mail-Relay がDNSを参照する。今は Sun のマシンでDNSとsendmail デ− モンが動いていて、sendmail がこのDNSを利用している。Sun をやめて FortiMail に した際、DNS参照先をどこにするかだが、LAN設置の NetAD3 でいいのでないか。 今の Sun のマシンのメモリは 2GB。NetAD3 はシステム情報 total 2050000,used 828000, Swap 0 0 0。2050000/1024=2001.95MB で約2GB弱、メモリ使用率は約 40%。Sun はデスク トップ、NetAD3 は手の平に乗る。NetAD3 はとても小さいが能力は十分あると思われる。 FortiGate でDNS設定ができる所。G->[ネットワ−ク]->[DNS] が先ず1つ。 それにこ こでは vdom1->[システム]->[ネットワ−ク]->[DNSサ−バ] も作った。これらはDNSの ル−トファイル情報は持ってない。どこかのDNSサ−バを指定利用することになる。 DNSのアプライアンス NetAttest D3 は汎用的なDNSサ−バなので、DNSのル−ト ファイル情報を持っている。ここに設置するのはDNSコンテンツサ−バでなく、キャッ シュサ−バである。NetAttest D3 が他のDNSサ−バからアクセスされることはない。 NetAttest D3 をDNSキャッシュサ−バで設置する所はDMZにするかな。 仮想IPで WANには出さない。LANでもDMZ上どちらでも構わない。セキュリティ的にはどち らでも同じはずなので。LANは社内ネットワ−クでIPが空きがない所もあるだろう。 NetAttest D3 をDMZに設置、 WAN上に仮想IPで出すのは外の業者にDNSサ−バ の維持管理をやってもらうにはいい。社内サ−バにURLでアクセスするのを追加したい とか。大した作業ではないが素人さんにはできない、社内に人材がいなければお願いする。 * セキュリティチェックの Webフィルタは セキュリティチェックの Webフィルタ は vdom1 でやることにする。発信元IPアドレス が分かるようにしたいので。root で Webフィルタ をかけると、プロキシサ−バ経由のブ ラウザアクセスだとプロキシサ−バのIPアドレスが発信元になってしまう。 G->[設定]->[FortiGuard] の {WebフィルタリングとEmailフィルタリングオプション} で、 Port Selection で ◎Use Default Port(53)、○Use Alternate Port(8888) (FortiGuard services are reachable via port 53.) がある。UDP/8888 指定もできるということ。 PC1 のブラウザから外のサイトへアクセスは、プロキシサ−バがそのURLの名前解決に FortiGate 本体のDNS指定したIPアドレスへ問い合わせる。その後のパケットの中身 のIPアドレスを Webフィルタ がチェックするという流れになる。 Webフィルタ がチェックに使うDNSサ−バがある。Fortinet社が用意したWebレピュ テ−ション用でDNSの仕組みを使って何らかの数値、評価値を返すものと思われる。多 分負荷はほとんどかからない。トレンドマイクロ社の IWSS も同じような仕組みである。 その Webフィルタ が見るDNSサ−バは、(global)#diag test application dnsproxy 3 で 208.91.112.220 と 80.85.69.54が出る。(global)#show system fortiguard とやると set webfilter-sdns-server-ip "208.91.112.220" と出るので、多分こっちを見る。 vdom1 で Webフィルタ をかける所は2つある?。[ポリシ−&オブジェクト]->[ポリシ−] ->[IPv4] の "lan6-lan6, all all ALL 〆ACCEPT NAT無効"。[ポリシ−]->[Explicitプロ キシ] の "web proxy-lan6, all all 〆ACCEPT"、こっちでやればいいみたい。違いは?。 [ポリシ−]->[Explicitプロキシ] の "web proxy-lan6, all all 〆ACCEPT" ではセキュ リティチェックとして AV(ウィルスチェック)、Webフィルタ、アプリケ−ションコントロ −ルをやることにする。AV は更に FortiSandbox と連携させるようにする。 これまでのプロキシサ−バ ProxyA は。IWSSでWebレピュテ−ションをやっている。社 内のパソコンはブラウザでプロキシを ProxyA 指定している。ProxyA は実設置の ProxyB をフォワ−ド指定してはどうか。多段構成のプロキシサ−バになり、よりセキュアになる。 * DNSアプライアンス NetAD3 の設置は Soliton サイトの {サポ−ト} に入ってみる。 2017/01/18 付けが一番新しい内容である。 中には NetAttest D3 V4.2 アップデ−トパック10 (V4.2.10) ドキュメントとして、リリ −スノ−ト、スタ−トアップガイド、システム管理ペ−ジリファレンスマニュアルがある。 物がきてソリトンのサイトのアカウントでロッグインしてマニュアルをざっと見た。その 日の内に2時間もかからず動作確認できた。DNSのル−トを見て名前解決した。ネット で調べてもまるでこの製品の情報は出てこないので、大丈夫かやと1時間ぐらい思った。 ポ−トは幾つかあって1番がサ−ビス用、2番が管理用でネットワ−クアドレスを分ける こととあるが、中の設定でサ−ビス用を管理用のアクセスにできた。分けるとなるとやや こしいことになる。物をDMZに設置し足をLANにも出すというような構成になる。 サ−バ−状態で[起動]。サ−バ−設定、ゾ−ン、ル−トサ−バ−設定などなど特にいじら ず。DNS問い合わせ制御で再帰検索をするように。 これで装置内で何がしかDNSサ−バ が動いたはず。DNSのキャッシュうんぬんは、問い合わせ制御設定でやれるのだろう。 システム管理のシステムツ−ルのメニュ−に nslookup がある、名前に www.heno.con と か、ドメインネ−ムサ−バ−に 127.0.0.1 と入れる。 これでIPアドレスが出てくれば 名前解決したということ。一発で出ました。他に ping, dig, traceroute などもある。 テスト環境の 80C の G->[ネットワ−ク]->[DNS] は "詳細" 指定で "プライマリDNSサ− バ 202.241.128.3" になっているのを 192.168.9.4 にして。 PC1 ブラウザでプロキシを 192.168.9.4 に。ヤフ−なんかの画面がでた。NetAD3 はル−トを見るのを確認できた。 テスト環境の 80C の G->[ネットワ−ク]->[DNS] で "プライマリDNSサ−バ 192.168.1.2、 セカンダリDNSサ−バ 192.168.9.4" に。192.168.1.2ではDNSは動いてなくて、セカン ダリを見に行くかの確認。これも速やかに PC1 からブラウザプロキシでアクセスできた。 現状で NetAD3 のDNSサ−バの設定がどうなっているか、パソコンから nslookup やっ て見てみよう。できれば dig コマンドも使ってDNSサ−バの応答もみてみたい。 それ にメ−ルサ−バがDNSサ−バを見るのはどうか、SPF レコ−ドとかはどうなるのか。 DNSの SPF レコ−ドについては "17-1.迷惑メ−ルの状況と対策方法,(5)メ−ルの送信 ドメイン認証の設定"。自社のDNS権威の正引ファイルに [nix.co.jj. IN TXT "v=spf1 +IP4:202.241.128.3 ~all"] と記載がある。相手が自社からのメ−ルをこれで確認する。 DNSキャッシュサ−バに自社ドメインの nix.co.jj に SPF レコ−ドを書く必要はない。 社内サ−バを何がしか名前でアクセスしたいなら、そのドメインを作りAレコ−ドを書く。 ということで NetAD3 の基本的な設定は {サ−バ−設定} はいじらなくても構わない。 システム設定のホストのところ。これは /etc/hosts 相当。192.168.1.8 host8 とか記載。 システム管理のシステムツ−ルの ping でタ−ゲット[host8] で反応する。PC1 のネット ワ−ク設定でDNS指定を 192.168.9.4、PC1 のDOS窓で >ping host8 は反応しない。 システム設定のホスト続き。システムツ−ルの nslookup で名前 [host8]、ドメインネ− ムサ−バ−[192.168.9.4] 反応あり "Name:host8、Address 1:192.168.1.8 host8"。これ ができれば PC1ブラウザからプロキシ経由で http://host8 ができそうな気がするがダメ。 システム管理のシステムツ−ルの dig は名前にURL名、 ドメインネ−ムサ−バ−には どこかDNSサ−バのIPを入れる、[127.0.0.1 ] だと自身のつまり NetAD3 というこ とである。[ ] 空の場合も動作を見たら自身を指定したということ、ログにも出てた。 [システム管理]の[再起動/停止/初期化] で {再起動} する場合、"最新の状態がCFに保存 されていません。保存しますか?" が出たら [OK]して保存すること。設定をセ−ブするメ ニュ−は無いかと思っていたが、画面左上の3つあるアイコンみたいなのの真ん中がそう。 インタ−ネットに既にあるゾ−ンを NetAD3 に作った場合。 例えば iij.ad.jp を定義し ただけ、www.iij.ad.jp は作成してなくても、 パソコンなど >ping www.iij.ad.jp は名 前解決しなくなる。NetAD3 を見て終わってしまうらしく、他のDNSは見に行かない。 NetAD3 で iij.ad.jp ゾ−ンを削除したらすぐに有効になると思う。でもパソコンで直ぐ に >ping www.iij.ad.jp が反応するかといえばしない。 パソコン内部にネガティブキャ ッシュの情報が出来てしまうのでないか。パソコンを再起動したら反応しサイトが出た。 [ 追加検討 ] `2h/03/s NetAD3 のゾ−ンの作成で http://host8 というアクセスができた。ゾ−ン名[host8]、マ スタ−名[host8]、自動追加するAレコ−ドのIPアドレス は host8 のを。 画面でゾ−ン の情報を表示した。特に host8. とピリオドは付けなくても、付いたのが定義されていた。 所有者名 | タイプ | TTL | レコ−ドデ−タ ---------|--------|-----|---------------------------------- host8. | NS | 0 | host8. host8. | SOA | 0 | host8.ikken@nix.co.jj. 2 300 50.. host8. | A | 0 | 192.168.1.8 [ 追加検討 ] `2h/05/e MX レコ−ドを作ってみた。先ずはメ−ルサ−バの A レコ−ドを先に作らないといけない。 仮に手元のパソコン PC1 をメ−ルサ−バとみなして。所有者名 pc1.nix.co.jj、タイプA、 IPアドレス 192.168.9.9。次に MXレコ−ドを作る。所有者名は空欄でいい "nix.co.jj." となった。タイプMX、優先順位 0、メ−ルサ−バ−名 pc1.nix.co.jj、自動追加うんうん は無視。"所有者名" というのが分かりにくい、そもそも設定項目になくてもいいぞ。 * 複数のDNSキャッシュサ−バの働き FG80C | DNSc2でゾ−ン名 ppp.con, ----------- DNSc1 aaa.nnn.con DNSc2 マスタ−名 netd.ppp.con, |DNS指定.4|---------bbb.ppp.con --------bbb.ppp.con Aレコ−ドを bbb.ppp.con |管理VDOM | vdom1 | |NetAD3| 192.168.9.7 として作成。 |VDOM:root|プロキシ| Svr1 Svr2 | | -------------------- □ □ -------- △PC1 プロキシIP 192.168.9.3 指定。 |.2 lan6|.3 |.7 |.8 |.4 |.9 ---------------------------------------------------- 192.168.9.0 vdom1 の [DNSサ−バ] で lan6 上で DNSサ−ビスを"再帰検索"。DNSデ−タベ−スを作成、 DNSゾ−ン dns_test1、ドメイン名 nnn.con、DNSエントリ(A) aaa.nnn.con->192.168.9.7。 DNSゾ−ン dns_test2、ドメイン名 ppp.con、DNSエントリ(A) bbb.ppp.con->192.168.9.8。 NetAD3 [ドメインネ−ムサ−ビス]の[ゾ−ン]で{追加}。ゾ−ン名[ppp.con]、マスタ−名 [netd.ppp.con] と記入すると "自動追加するAレコ−ドのIPアドレス" という項目が出て くる、NetAd3 本体の 192.168.9.4 を記入すること。マスタ−名にゾ−ン名があると出る。 PC1 のブラウザで http://bbb.ppp.con/ は Svr2 にアクセスする。 ブラウザのプロキシ 指定が 192.168.9.3 で、ここのDNSサ−バ DNSc1 を見て名前解決し Svr2 に。 DNSc1 の bbb.ppp.con エントリを消すと DNSc2 を見に行って名前解決し Svr1 にアクセスする。 ↑ bbb.ppp.con エントリを消すのではなく、DNSゾ−ン dns_test2 自体を消したのでなかっ たか。もう一度テストやって確認しておくこと。へ−こんなことができるんだと感心した のだったが、再度テストしたら DNSc2は見に行かなかった。ドメイン情報は1つDNSサ −バを見てなければそれで終わり、他のDNSサ−バを見に行くことはない。 FortiGate は VDOM でプロキシサ−バを作り、同じ VDOM 内にDNSサ−バも作ることができる。こ のDNSサ−バに独自にドメイン情報を作ることができ、そしてこのDNSサ−バを再帰 検索にすると、 作ったドメイン情報以外は FortiGate 本体のDNS指定先を見に行くと いう動きになる。FortiGate はDNSを見るのが複雑になっているので、一般的なDNS の仕組みとは異なる動きをするのかと最初は思ったが同じということだった。`2h/03/s PC1 ブラウザで http://www.asahi.com/ とやると先ず DNSc1 を見て、次に DNSc2を見て 合致するのがなく、NetAD3 はインタ−ネットのル−トファイルに名前解決に行く。 イン タ−ネット上のサイトの名前解決なら DNSc1, DNSc2 でDNSのゾ−ンを作る必要はない。 NetAD3 の [システム設定] の [ネットワ−ク設定] の "参照するDNSサ−バ−1" と 2 で 2つ書ける。それに [ドメインネ−ムサ−ビス] の [上位DNSサ−バ−設定]は1つ書ける。 ル−トファイルを見る前にDNSサ−バを指定する?、空のままでも特に問題ないけど。 PC1 で http://www.tcp-ip.or.jj/ アクセス。vdom1 の[DNSサ−バ]、NetAD3 のゾ−ンも 作成なし。(global)#diag test application dnsproxy 7、vfid=2, name=www.tcp-ip.or. jj, category=255, ttl=300:67:1567 157.14.xxx.yyy (ttl=300)。キャッシュしてる。 * DNSル−トサ−バへの問い合わせは NetAD3 のゾ−ン作成なし、参照DNSサ−バとか設定なし。PC1 のネットワ−ク設定で DNS を 192.168.9.4、DOS窓で >nslookup, >www.iij.ad.jj やって 権限のない回答: でIP を返してきた、キャッシュされているということ。最初はル−トファイルを見にいくはず、 最初のDNSの問い合わせにキャッシュ情報を見るというのはおかしい、どうなっている のか。NetAD3 も PC1 も再起動を数回やってもしキャッシュがあれば、クリアされるよう にやってみたが変わらなかった。PC1 は Windows 7 Professional、 そのDOSコマンド の nslookup。もう1台のパソコンに dig コマンドをインスト−ルしているので、念のた めそっちでもやってみるか。いやいや NetAD3 の [システム管理] で dig が使えるぞ。 NetAD3 の dig でネ−ムサ−バ [127.0.0.1 ] にする。これはこの装置のDNSサ−バを 見る、つまりはDNSのル−トファイルを見るということ。検索の名前 [www.iij.con]を 入れて [実行] すると結果が下に出てくる。";; flags: qr rd ra; QUERY: ..."、ANSWER SECTION に "www.iij.con. 300 IN A xxx"、Query Time: 59 msec とか。 続けて [実行] をやると値の 300 がどんどん減っていく。Query Time: 0 msec になる。300 が 0になっ たところで [実行] をやると改めて Query Time: 46 msec とかになる。つまり NetAD3の DNSサ−バに www.iij.con のIPアドレスがキャシュされていたということである。 NetAD3 の dig で検索の名前 [www.tcp-ip.or.jj ]、ネ−ムサ−バにはこのDNS権威サ −バのIPアドレスを入れて [実行]。";; flags: qr aa rd ra; ..." と出た。先のとの 違いは aa があること、 Authorative Answer の略でDNS権威サ−バが答えたというこ と。実験の結果、どうやらル−トファイルのDNSサ−バへのアクセスはキャッシュ情報 を返す。ANSWER SECTION は "www.tcp-ip.or.jj. 300 IN A xxx"、 Query time: 15 msec。 [実行] その後何度かやった、300 の値は変わらず。 15 msec もほぼこの前後の値を返し てきた。注 rd: Recursion Desired, ra: Recursion Available, qr: Query/Response。 ル−トファイルのDNSサ−バへのアクセスはキャッシュ情報を返す、というのは正確で はないと思う。DNS権威サ−バが管理しているURL名とIPアドレス情報をDNS権 威サ−バに直接問い合わせた場合、flags に aa が出てくる。それ以外では aa は出ない と解釈すべきだろう。試しに NetAD3 のゾ−ンに tcp-ip.or.jj を作って、Aレコ−ドを www.tcp-ip.or.jj を登録してみた。これで dig コマンドで名前[www.tcp-ip.or.jj]、ネ −ムサ−バは[ ] 空で自身を指定。flags には aa が出て Query time: 0 msec になった。 つまりこれを使えば、よくアクセスする外部サイトを登録すればDNS応答は即になる。 NetAD3 の dig をやって少し疑問。自身のDNSサ−バ指定ということで [127.0.0.1]と [192.168.9.4] で、[127.0.0.1] の方が応答に時間がかる気がする。 ANSWER SECTION の TTL が 300 の www.iij.con 等で5分待って dig を何度かやってのことだが。 日を置い てやってみた、多分これは気のせい。DNS指定を自身と今の自社DNSサ−バでの比較 をやってみた。自社DNSサ−バはメ−ルリレ−と兼ねていてかなりの負荷がかかってい る。そのため NetAD3 自身指定の方が応答は速いはず。それが計測していくと自身指定の 方が遅い場合が多い?。これも日を置いたら違った、20 msec 前後で早かった。なかなか。 (2) FortiGate のプロキシサ−バの設定 * 本番機でのプロキシサ−バのこと `2g/12/M 以下には FortiGate でプロキシサ−バを VDOM で利用する設定を書いた。絵には VDOMの SSL-VPN 機能の利用もある。これらの設定を組み合わせていけば、つまり "インタ−ネッ ト接続モデル {j}" となる。パソコン台数500から千未満ぐらいの規模のイントラネッ トで使えるモデルである。金銭的にまだ投資できるというのであればサンドボックス装置 FortiSandbox も設置するといい、選択はこの規模なら 1000D しかないだろう。 MS はMail-Store、MR はMail-Relay で両方 FortiMail である。MR の方はモデル 400Eで どうか。外向けのメ−ルサ−バでスパムチェックなど出来ることをやってもいい。 vdom1 の ProxyB で、vdom1 内でセキュリティチェックするか root でやるか考えた、社内のど こからのアクセスか分かるのがいいだろうと vdom1 内でチェックするようにした。 root でチェックすると外へのパケットは全部 ProxyB のIPアドレスからになってしまう。 DNS1 DNS2 "よい子のイントラネット"が辿り着いた □ □ Amazon インタ−ネット接続モデルの最終形。 | | EC2 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ DNS1次2次サ−バは Amazon EC2 に \___________________/ 移行したとした絵。これらプロバイダに ↑ : 面倒みてもら。DMZにDNSキャッシ |暗号化 : ュサ−バ NetAD3 を設置する。 ↓SMTP : DNSc MR : 入手モデルのポ−トは RJ-45 の口が9番 ◇ ◇ ■R から16番ある。1 番から8 番は光ファイ .7|.3|仮想IP |.1 バである。port13 を LAN に、port14を ------------------------------------------ DMZ と定義した。WAN1,WAN2 もそれぞれ。 | .2|NAT ProxyB は 8080ポ−トでテスト用でプロ ----------------------- キシサ−バを稼働させる。WAN1経由でA | vdom2 | WAN1(11) | 回線を通す。本番にして負荷が大きくか DNSc MR |SSL-VPN| | かる場合FortiGate を別に購入設置する。 □ □ --------| FortiGate |-------- .7| |.1 (14)|.8 |(10) root | vdom1 | root で LAN->WAN1 ル−ルの最初に192. -------------------|DMZ | DNSc | 168.1.9 からのパケットを全部許可して、 192.168.2.0 .2| LAN | ProxyB| ここではセキュリティのチェックはしな ----------------------- い。ProxyB の vdom1 内でチェックする。 |(9) |(13) □MS □ProxyA | | インタ−ネット回線の信頼性を上げるに |.1 |.5 |.2 |.9 はこのプランに加え、もう1本回線を引 ------------------------------------------ きポリシ−ル−ティングをやるとか、回 192.168.1.0 線冗長化装置をかますとかする。 root->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] LAN->WAN1 に1つル−ル作成。"all all ALL 〆ACCEPT NAT有効"。ここではセキュリ ティチェックはしない。vdom1->...->[Explicitプロキシ] で実施する。 vdom1->[システム]->[ネットワ−ク]->[インタ−フェ−ス] 名前 port13(VDOM LAN)、IP/ネットマスク 192.168.1.9/255.255.255.0、タイプ物理、 バ−チャルドメイン vdom1、〆Explicit Webプロキシを有効。 vdom1->[システム]->[ネットワ−ク]->[Explicitプロキシ] これはキャッシュ機能はなし。 Explicit Webプロキシを有効 〆HTTP/HTTPS、Listenするインタ−フェ−スport13/!\、 HTTPポ−ト 8080。デフォルトのファイアウォ−ルポリシ−のアクション 許可。 vdom1->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] に1つル−ル、 {port13(VDOM LAN) - port13(VDOM LAN)} "all all HTTPS,HTTPS 〆ACCEPT NAT無効"。 Implicit "all all ALL (/)DENY"、これは自動的にできていた。 vdom1->[ポリシ−&オブジェクト]->[ポリシ−]->[Explicitプロキシ] に1つル−ル、 {web proxy-port13(VDOM LAN)} "all all 〆ACCEPT AV Webフィルタ アプリケ−ショ コントロ−ル"。 vdom1->[ポリシ−&オブジェクト]->[ポリシ−]->[プロキシオプション] 設定なし。 ※プロトコルマッピングは HTTP だけに〆しては。HTTP 以外は関係ないのでないか。 vdom1->[ル−タ]->[スタティック]->[スタティックル−ト] IP/ネットマスク 0.0.0.0/0.0.0.0、ゲ−トウェイ 192.168.1.2、デバイス port13。 ※vdom1->[システム]->[ネットワ−ク]->[Explicitプロキシ] の "デフォルトのファイア ウォ−ルポリシ−のアクション 拒否" だと、どういう事になるのか。一度確認する事。 ここからは `2h/02/s に記述。FortiGate 本体内のDNS指定のパケットの振る舞いとプ ロキシ機能との関係などを調べて、DNSサ−バをどう扱えばいいか検討していた。よう やく目処が立った。簡単にまとめると ProxyB のDNSは、FortiGate 本体で指定したの を見る、G->[ネットワ−ク]->[DNS] である。 外のDNSサ−バのIPアドレスを記入す ると、ここから出るDNSパケットはデフォルトル−ト指定したインタ−フェ−スから外 へいく、ここでは WAN1 から。ポリシ−ル−ティングの制御下にはない。G->[ネットワ− ク]->[DNS] に最初に指定するのは 192.168.2.7 のDNSアプライアンスの NetAD3 であ る。DNSアプライアンスは上の絵ではWANに仮想IPアドレスで出しているが、検討 して必要ないと分かったので仮想設置はしないものとする。 G->[ネットワ−ク]->[DNS] で2番目に指定するのは、Amazon EC2 に作った自社ドメイン のDNS1次サ−バのIPアドレスとする。プロバイダなどどこか他所のDNSサ−バを 使わせてもらい指定するのでなく、これが本道であろう。もし最初に指定したDNSアプ ライアンスがダウンしたら、次に指定したDNSサ−バを直ちにみにいく。このことはテ スト環境で切り替わりの動作確認をした、ほとんど分からない、待たせるようなことはな い。ということで NetAD3 は2台によるHA構成が採れるが、そこまでの必要性はないと 言っていいだろう。故障しても修理や交換まで2番目に指定したDNSサ−バで間にあう。 2番目のDNSサ−バのレスポンスを調べる、プロバイダなど利用可能なのも調べておこ う。http://www.cman.jp/network/ {DNSチェック} の dig コマンドで Query Time を。 http://host8 ができました。FortiGate の vdom1 のDNSサ−バに、ドメイン名 host8 で作る。エントリを タイプ(A)でホスト名 host8. で最後にピリオドを付けることが味噌、 そして host8 のIPアドレス 192.168.1.8 を記入。 世の中 www を付けないでホ−ムペ −ジにアクセスできるサイトがある。http://www.nix.co.jj のところ http://nix.co.jj で表示すると言うの。ドメイン名は階層構造を採らないとダメだから http://nix は無理 だろうとずっと思っていた。しかしドメインの階層構造のトップのル−トというのもある 訳だから、ひょっとして出来るかもと FortiGateで試しに作ったらできてしまった。定義 するところで跳ねれられると思ったが。ブラウザから http://host8 とアクセスできてし まった。すぐに NetAD3 でもやってみたら、定義できてアクセスができた。`2h/03/s * FortiOS v5.2.8 で気付いたこと [グロ−バル]->[設定]->[フィ−チャ−] で {Local Inポリシ−} は、下の [Local In]に 対応。{Explicitプロキシ} は [Explicitプロキシ] に対応。 [バ−チャルドメイン]->[root]->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] の所に は [Explicitプロキシ],[Local In],[プロキシ オプション],[SSLインスペクション]あり。 (3) FortiGate のパフォ−マンスその1 ( netnet.txt 付録から ) * FortiGate でトラフィックの表示 `2h/02/m FortiGate v5.2.10 の root->[システム]->[FortiView]->[送信元] -------------------------------------------------------------------------------- |[〇][Add Filter]| |[直近][5分][1時間]24時間][☆]| |------------------------------------------------------------------------------| | 縦軸はセ [水色]Sessions Allowed |X| | ッション 時系列のグラフ [赤色]Sessions Blocked | | |------------------------------------------------------------------------------| | 送信元 デバイス Source Interface 脅威スコア セッション バイト(送受信) | |------------------------------------------------------------------------------| | 192.168.1.5 portX(LAN) 2926〓=== 81090=== 1.34GB〓=== | | | だ−っと出てくる | [FortiView]->[送信元] は"脅威スコア(ブロック/許可)"、"セッション(ブロック/許可)"。 [送信元] の他に [宛先] と [すべてのセッション] も時系列のグラフが出て来る。[アプ リケ−ション]は "設定上の依存関係が合致しません"とメッセ−ジが出てグラフは出ない。 [送信元] のほとんどはプロキシサ−バからのになっている。 脅威スコアの〓はブロック されたのを示している。 この中身は [FortiView]->[脅威] のグラフに出ているのでない か。カテゴリに Malicious Website、脅威レベルに High とかログが出ている FortiGate v5.2.8 の FortiGate-80C では、時系列のグラフが出てない。ここら辺りいろ いろ触ってみたけどグラフを出すメニュ−が見当たらない。 v5.2.8 ではそもそもグラフ は出ないのだろうか。v5.2.10 の方が [FortiView] 内のメニュ−が多く出ているし。 時系列のグラフで 192.168.1.5 のある日の様子。直近で セッション3446/バイト28.42MB、 5分間で 1832/54.59MB、1時間で 82760/1.6GB、24時間で 899871/16.41GB。さあこれをど う読み解くか。5分は3秒毎、1時間は1分毎、24時間は12分毎のグラフが出ている。 5分で3秒毎、1時間で60秒毎だから 60/3=20。5分の時の値を20倍すればいいので ないか。55MBx20=1100GB=1.1GB で凡そ合っている。 直近というのは1秒毎の値なのかな。 28.42MB/sec として Mbps に直したら (28.24*1024*1024*8bit)/1000/1000=238.40Mbps。 プロキシサ−バの IWSS のトラフィック状況と照らし合わせてみる。帯域幅は30秒毎の グラフが出ていて、トラフィックが山の頂きで 700 KB/秒、同時接続数が120から150位を 推移。ん−、これはまたどう見ればいいのか。漠然とグラフを見ているだけではダメだ。 700KB/sec=(700*1024*8bit)/1000/1000=5.73Mbps ということ。 直近の値 238.40Mbps と 算出したが毎秒では速過ぎる。 出ていく回線は 300Mbps ベストエフォ−トで実際は数十 Mbps 位のもの。因み FortiGate のヘルプには計測時間のことは書かれてなかった。 この回線のトラフィックデ−タを入手したことがある。MRTGでのグラフで5分平均ので自 社に入って来るトラフィックが最大 7M Bits/sec。30分平均のグラフには5分間の最大 も出ている、5分以内にあった入る瞬間のピ−ク値だと思う、10M Bits/sec とか。 * FortiGate でメモリ使用の状況 `2h/02/m FortiGate-310B はこれまで入手した資料の中に一箇所だけ 1GB システムメモリと書かれ てあった。モデルのスペックシ−トにはメモリの事はどこにも書かれていない。調べたら FortiGate の CLIコマンドでメモリの状況を出すことができる。 以下は 80C でコマンド を叩いた場合である。51348KB は 51248/1024=50MB。80C の画面でシステムリソ−スには メモリ使用量:39% と出ていた、これは used/total の値で一致する。 本番稼働中の 800Dでも出してみた、MemTotal:8151234 KB、MemFree: 2291234 KB でメモ リ使用量:71%。8151234 KB は8151234/1024=7960MB=約8 GB と分かった。メモリのスワッ プは Swap:0 0 0 でメモリが足らないという事はないと言える。 なぜ FortiGate のメモ リのことを調べているかと言うと、今のプロキシサ−バのメモリ状況も調べて、 800D に プロキシサ−バも担わせることができるかその見極めをしたいからである。 プロキシサ−バはHP社の仮想サ−バの仮想マシンで IWSS 3.1 を稼働。Linux でメモリ は 4096MB。IWSS 3.1 のインスト−ル要件はハ−ドウェア 2GB RAM、スワップ領域 8GBで 物理メモリの4倍が必要。IWSS の画面でメモリは 30% で平行線で変動はほとんど見られ ない。同時接続数が 500 とか言う昼頃でも変わらない。 ということは十分メモリは足り ていると考えていいだろう。4096MBx0.3=1229MB。((8GBx0.71)+1.23GB)/8=0.85。 800D の現在のメモリ使用に加えて、IWSS のメモリ使用量をそのまま加える。そうして算 出した 800D のメモリ使用率は 85% と出た。これで 800D のメモリのスワップが"0 0 0" ならば問題ないと言えるだろう。IWSSではメモリをあらかじめ確保する設定がされている のだと思う。多分実際のメモリ使用量は 30% 以下、 1229MB の半分とすれば 85% という 値は 77% になる。精度を上げるには下記の VMware と vmstat の情報も利用するといい。 80C# config global (global) # diag hardware sysinfo memory total: used: free: shared: buffers: cached: shm: Mem: 523620352 204512345 319123456 0 208123 91412345 85212345 Swap: 0 0 0 MemTotal: 511348 KB << 523620352/1024=511348、他の used や free などは参考まで。 MemFree: 316127 KB MemShared: 0 KB Buffers: 204 KB ※FortiGate-600D でも 800D でもメモリやCPUは同じと想定。 Cached: 89308 KB | FortiGate-80C のメモリ使用量は 39% ぐらい。 vdom1 にプロキシサ−バ機能を使えるよ うに設定してのこと。ひょっとして設定しただけでメモリを使うのでないか。プロキシ設 定に関するメニュ−で、一つずつ〆を外したり、ル−ルを消したりしてみた。本体は再起 動してメモリ使用量を見ていった。最初テストした際は設定をなくしていく毎にフリ−の メモリが増えていった。メモリ使用量は 41% から 37% になっていった。やはりと思った。 予想した通りだと思ったのは束の間。80C のLAN側に NetAttest とノ−トPC があって PC のブラウザには幾つか画面がでていた。 これらをネットから外してもう一度テストし た。何回もプロキシ設定有り無しにしてやってみたが、37 か 38% で変わりなかった。総 セッション数は 17 から 19 ぐらい。ひょっとして先にテストした時、総セッション数が もっと大きかったのかも、しかし有っても 100 位のはずだったと思う。よく分からない。 ポリシ−のル−ル数がメモリにどう影響するか一度調べてみたい。80C でル−ルを百位作 ってみるか。800D のスタンバイ機は "Memory states:40% used"、アクティブ機の様子は 低いと 63%、高いと 71% とか。 ル−ルを整理すれば3割ぐらい減らすことができるかも 知れない。そこそこメモリは空くと思う、感じで 5% ぐらい期待できるか。あてずっぽう ではいかんのでテスト機の FortiGate-80C で確認してみようかと思う。大変だけど。 * IWSS のメモリ使用と付随事項 `2h/02/m このプロキシサ−バの仮想マシンの様子を VMware vSphere Client で見てみた。 見方は よく分からない。ひょっとして分かる時が来るかも知れないので記した。[サマリ]ゲスト OS:Red Hat Enterprise Linux 5(32-bit)、メモリ:4096MB、メモリオ−バ−ヘッド:147MB。 消費されたホストメモリ:3935MB,アクティブなゲストメモリ:245MB。[リソ−ス割り当て] {ホストメモリ} 4096MB、消費3.84GB、オ−バヘッドの消費59MB。{ゲストメモリ} 4096MB、 プライベ−ト 3.79GB、未アクセス 220MB、有効 368.0 MB。 # vmstat 5 4 仮想マシンに telnet で入って。単位は KB procs -----------memory---------- ---swap-- -----io---- --system-- -----cpu------ r b swpd free buff cache si so bi bo in cs us sy id wa st 0 0 284 172212 326408 2175920 0 0 0 26 1 1 1 1 99 0 0 0 0 284 172212 326408 2175920 0 0 0 26 2072 971 1 1 97 0 0 1 0 284 171964 326408 2175920 0 0 0 25 1573 583 1 1 98 0 0 0 0 284 172088 326408 2175920 0 0 0 18 2023 891 2 1 97 0 0 プロキシサ−バが FortiGate で賄えるかの検討をしていて。現行の IWSSがどれだけメモ リやCPUを食っているか参考にしようと思った。問題なく動いてはいたがサポ−トが直 に終わってしまうことが分かった。とりあえず今の設定[HTTP]->[HTTP検索]->[ポリシ−] {検索ポリシ−} 〆Webレピュテ−ションを有効にする。このメニュ−の配下で[Webレピュ テ−ションル−ル]{感度レベル}◎中、{その他の機能} は〆なし。バ−ジョン IWSS 3.1。 3.1 は 2008-06-02 リリ−スされた。2017年3月31日に 3.1 Linux 版はサポ−トが終了に なる、6.5 Linux 版を利用してくれと 2016/6/15 にお知らせがあった。Linux用にはバ− ジョン 6.5、5.6、3.1 の系列があるが、6.5 だけになる。 6.5 の最新は InterScan Web Security Suite 6.5 Linux 版、2016/6/15 リリ−ス、RHEL 7 のみインスト−ルができる。 今の仮想サ−バの VMware には RHEL 5 が載っている、RHEL 7 を入れないといけない。 InterScan Web Security Virtual Appliance(IWSVA) 6.5 の最小、推奨システム要件とも メモリ 4GB である。これなら IWSVA は稼働中の VMware ESX 4.1.0 に入れることができ る。IWSVA のライセンスがあればだが無い。お試しでインスト−ルして動かすことはでき る。多分 IWSS 3.1 のままでも Webレピュテ−ション機能が働かなくなるだけでプロキシ サ−バとしては動くと思う。肝心なことなのでちょっと調べてみないといけない。 調べたところ、期日が過ぎてもパタ−ンファイルは提供されるようである。いつまでとい うのは不明らしいが。感触としては3ヶ月や半年ぐらいは IWSS 3.1 のままで、問題なく 使い続けることができると思われる。それにトレンドマイクロ社は製品のラインナップを 2017年2月15日に変更した。ライセンス体系が変わって IWSS で Virtual Appliance も含 まれるとか安価で使えるとかなった。ややこしくて1日見ただけではよく分からなかった。 (4) FortiGate のパフォ−マンスその2 ( netnet.txt 付録から ) * FortiGate-80C でのル−ルとチェックによるメモリ状況 `2h/02/M オブジェクトを a20 から a69 の50個を作成。 LAN->WAN でル−ルにも対応して50個、 シンプルに1個ずつ "a20 all ALL ACCEPT NAT有効" というように。設定したら毎回再起 動してライセンスが取得され落ち着いてからメモリ使用量を見た。記録としてはセッショ ン数も取った、かなり変動があって最低 7 ぐらい、最高 49 とかだった。 フィ−チャは AV,Web,Apri,IPS など ON。これらセキュリティチェックは単にチェックと 言うことにする。LAN 側にはパソコンとDNSアプライアンスをネットワ−ク接続してい るが、LAN->WAN のル−ルには含めていない。 WAN 側は社内ネットワ−クにそのまま繋げ てはいる。80C からライセンスとシグネチャの取得位しかアクセスはない状態のはず。 動作検証のためどんなテストをしたらいいか挙げてみる。ル−ルを作っただけでメモリは 消費するのか。ル−ルを作って有効にすると。 フィ−チャで AV,Web,Apri,IPS を1つず つ ON にして。チェックを全部のル−ルに AV,Web,Apri,IPS を1つずつかまして。 ル− ルをグル−プにしたらどうか、グル−プで一括の方がメモリは少なくて済むかもとか。 12個のル−ル a20〜a31 でチェックなし 38% 位。ル−ルを無効にしても38%。チェック AV で 48%。AV,Web で 49%。AV,Web,Apri で 55%。AV,Web,Apri,IPS で 56%。 12個ル−ルを1つのグル−プにまとめた。a20〜a31 はル−ル無効にして。 グル−プは チェックなしで 38,39% 位。AV,Web,Apri で 55%。AV,Web,Apri,IPS で 55,56%。 ル−ル a20 から a69 までル−ル有効、チェックは1つも無しで 37%。ル−ルを無効にし たら 38% になった。メニュ−を他に触っていたらその時点で 39% になった、再起動した ら 38% だった。設定を変更した後はメモリは数%高くなった。 ル−ル50個全部にチェ ックしようとしたが、12個でテストしたら値に変化があったのでそのままでやった。 ル−ルを全部消した、つまり LAN->WAN のところのル−ルは1個も無しにしたら 37%だっ た、再起動直後に一瞬 36% という値が出た。更にフィ−チャの AV,Web,Apri,IPS を OFF にしたら 37% だった。オブジェクト a20 から a69 を消したら 37% だった。実は IPSは 途中から ON にした、そのためテストの最初に戻りつつ同じをテストした値を見た。 結論としては Web,IPS は消費メモリはそれぞれ 1% 程度。 AV が 10%、Apri が 6% 前後 消費している。ル−ルを作っただけでは有効、無効でもメモリはほとんど食わない。グル −プにしても変わらない。UTM内部でル−ルは展開され整理されるのだと思う。多分重 複するル−ルの内容も整理されるのだと思う。 * FortiGate-80C で 192.88.99.1 へのパケットを調べて `2h/03/m FortiGate-80C を自分のところにNATモ−ドでテスト用に設置。LAN側にパソコンを 1台おいていろいろ動作確認をやっていた。80C のファイアウォ−ルはLANからWAN へのル−ルにセキュリティのチェックをいろいろやるように設定していた。FortiGate の 画面で 192.88.99.1 なんていうパケットが出ていた、怪しい。それで調べてみた。 root->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] の "internal1 - wan1" ル−ルで "all all ALL ACCEPT NAT有効 AV Webフィルタ アプリ IPS ログすべて"、 ロギングオプ ションは許可トラフィックをログ、○セキュリティイベント ◎すべてのセッション。 AV Webフィルタ アプリ IPS いずれかで検知されているのでないか。 root->[システム]->[FortiView] のところでパケットの様子をみた。アプリケ−ションの IPv6.In.IP のパケットがでてきた。何かずっと出ているみたい。これが 192.88.99.1 の パケットのようである。何度かパソコンを起動し直してログオン画面がでたところで、そ のままにして 80C でパケットを見た。同じくこのパケットのログが出てきた。 宛先 Destination Interface アプリケ−ション セッション バイト ------------------------------------------------------------------------ 192.88.99.1 wan1 IPv6.In.IP 1 135B アプリケ−ション カテゴリ リスク セッション バイト ------------------------------------------------------------------------ IPv6.In.IP Network.Service ■■□□□ 1 135B [FortiView] のログは5分ぐらいで更新されるみたい。変化がなければログは5分ぐらい したら消える。最初、アプリケ−ションの IPv6.In.IP は不明とでていた。 192.88.99.1 というのは IPv6 に関するもので、 6to4 の IPv6 パケットのゲ−トウェイのIPアドレ ス。6to4 は明示的なトンネリング設定しなくても IPv4 上に IPv6 パケットを流す技術。 ノ−トパソコンのネットワ−ク設定は、ネットワ−クのアダプタ−のところ、 "ロ−カル エリア接続のプロパティ" の画面で 〆Fortinet NDIS6 Packet Filter Drive、 他もの皆 チェックが入っていた。これからこのパケットがでているのでないかと、チェックを外し たらログは一度は出てこなくなったが、後でまたやったらログはでてきた。 ログは IPv6.In.IP 他に"アプリケ−ション Microsoft.Portal、カテゴリ Collaboration、 リスク■■□□□" というのも出てきた。 root->[ポリシ−&オブジェクト]->[ポリシ−] ->[IPv4]の "internal1 - wan1"、"all all ALL ACCEPT NAT有効"、 ロギングオプション は許可トラフィックをログ、◎セキュリティイベントで、このログは出てこなかった。 "internal1 - wan1" の "all all ALL ACCEPT NAT有効 アプリ"、 ◎セキュリティイベン トでログはでてきた。危険であると検知されたということ。 IPv6.In.IP のパケットも同 じく危険ということで検知されていたということ。 ここら辺りの FortiGate の操作でロ グの出方と見方が分かるのでないか、危険なパケットであるとかないとかが。 パソコンには FortiClient のアイコンが出ている。他に Outlook、SoftEther VPN、Tera Term Pro などのアイコンも出ている。バックグランドでウィルスチェックソフト、 資産 管理ソフトが動いている。パソコンにロッグオンしなくても、すでにいろいろプログラム が動いていてパケットも種々出ているだろう。どんなのが出ているか把握しておきたい。 ひょっとして IPv6 パケットはいろんな機器で意識して IPv6 の設定してなくても出てい て、社内ネットワ−クに流れ出てしまっているのでないか。どうもそんな気がする。ファ イアウォ−ルで明示的に IPv6 パケットは止めるようにしないといけないかも。パソコン にボットが入り込んで活動、外部とパケットをやり取りしてないか分かるようにできれば。 社内のパソコンからDOSコマンドで >tracert 192.88.99.1 やってみた。社内を通って as6939.ix.jpix.ad.jp [210.171.224.40] の次 192.88.99.1 に辿り着いた。192.88.99.1 は世界中に同じIPアドレスがあって、大きなプロバイダごとにあるのでないか。インタ −ネット・イクスチェンジのことか、URL名の中に ix というのが見える。 パソコンの {デバイスマネ−ジャ−} の {ネットワ−クアダプタ−} のメニュ−の[表示] の中で [非表示のデバイスを表示] にすると "Microsoft 6to4 Adapter" というのが出て きた。これから IPv6.In.IP パケットが出ているのでないか。 IPv6 パケットを扱うので "Microsoft ISATAP Adapter" というのも3つあった。他パソコンにもこれら4つあった。 "ロ−カルエリア接続のプロパティ" の所の"□Fortinet NDIS6 Packet Filter Drive" と "□インタ−ネットプロトコルバ−ジョン 6(TCP/IPv6)"。この2つのチェックを外しても IPv6.In.IP のログは出た。 先に "□Fortinet NDIS6 Packet Filter Drive" これだけに し時は IPv6.In.IP のログは出なかったのだが、たまたまその時に出なかっただけかも。 ところで IPv6.In.IP のパケットの種類は。FortiView の画面のところで、項目のところ でマウスを右クリックでメニュ−の追加削除ができるので、宛先ポ−トを表示するように した。[FortiView]->[宛先] 画面の {セッション} の表示で "宛先ポ−ト" が出せる、パ ケットの種類は 0 だった。種類が 0 とは一体どういうことなのか。 2日ほど経って見たら 192.88.99.1 のパケットが出ない。 パソコンを起動し直したら出 てきた。root->[システム]->[FortiView]->[宛先] に名前解決してURL名と一緒に出て きた、宛先 6to4.ipv6.microsoft.com(192.88.99.1)、アプリケ−ション IPv6.In.IP。そ れでこの先ずは必要ないだろうパケットはどうやったら出さないようにできるのか。 * FortiGate-80C でグロ−バルリソ−スを変えてみて `2h/03/E FortiGate-80C をテスト設置でLAN側には何もなし。WAN側は社内ネットワ−クで自 分のパソコンから 80C の管理画面にアクセス。vdom1 にプロキシサ−バの設定した、 セ キュリティチェックは何もなし。vdom2 は半分 SSL-VPN の設定をした、 利用できる状態 にはしてない。[ダッシュボ−ド]->[ステ−タス] の {システムリソ−ス} の"メモリ使用 量" は 66%, 67%, 64% で、最低 64%、だいたい 67% だった。総セッション数 35 前後だ った。VDOM のグロ−バルリソ−ス値を変更して、再起動してメモリの状況をみた。 再起 動しないと変更したことは反映されないみたい。[VDOM]->[VDOM]->[グロ−バルリソ−ス] の値を変更、[VDOM]->[VDOM]->[VDOM] でメモリの値をみた。 root->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] の "internal1 - wan1" ル−ルで "all all ALL ACCEPT NAT有効 Webフィルタ アプリ IPS ログすべて"。 バ−チャルドメイン VDOM を作っただけでメモリを食うのでないかとの想定から、このよ うなテストをやってみた。しかしどうもおかしい。下記の 3) でほぼ最初の状態に戻して いるのにメモリは 55% で低いままである。本当なら 64% とかになるはずと思ったのだが。 どこかに書いたと思うが、このグロ−バルリソ−スというのは1つの FortiGate全体での 話である。VDOM の root, vdom1, vdom2 で配分できるというものではない。 多分、使わ ない機能ならそのグロ−バルリソ−ス値を小さくすれば、メモリ使用量は削減できると思 われる。グロ−バルリソ−スはその機能のためにあらかじめメモリを確保していると思う、 推測だが。3) で元のメモリ値にならなかったのは、ごみ整理をしたからなのかも。 1) グロ−バルリソ−スの値変更 リソ−ス 設定された デフォルト 現在の 最大値 の最大値 使用量 ------------------------------------------------------------ セッション 0 0 33 0 というのは無制 VPN IPsecフェ−ズ1トンネル 200 <-2 200 0 限ということ。 VPN IPsecフェ−ズ2トンネル 200 <-2 200 0 ファイアウォ−ルポリシ− 5000 <-50 5000 12 ファイアウォ−ルアドレス 5000 <-500 5000 153 メモリ root 57%, vdom1 2%, vdom2 2% 計61% root 55%, vdom1 3%, vdom2 3% 計61% root 61%, vdom1 0%, vdom2 0% 計61% 2) グロ−バルリソ−スの値変更を追加 ------------------------------------------------------------ ファイアウォ−ルアドレスグル−プ 2500 <-25 2500 0 コンカレントExplicitプロキシユ−ザ 1000 <-1 1000 0 メモリ root 52%, vdom1 2%, vdom2 1% 計55% root 58%, vdom1 2%, vdom2 1% 計61% 総セッション数 43 とか。 root 61%, vdom1 0%, vdom2 0% 計61% 3) グロ−バルリソ−スの2つの VPN IPsec の値以外は元に戻した メモリ root 51%, vdom1 2%, vdom2 1% 計55% 総セッション数 33 とか。 メモリ root 55%, vdom1 0%, vdom2 0% 計55% もう1回再起動してみた。 翌朝パソコンをLAN側に置いて、ブラウザはvdom2 に設定したプロキシ指定してヤフ− などにアクセスした。メモリの状態が変わった。vdom2 はほぼ 0% のままにて。root 36%, vdom1 25% 計61%。外のサイトを見るのをやめ1分後 root 52%, vdom1 9% 計61%。3分後 root 58%, vdom1 3% 計61% となった。それからブラウザを閉じたら root 59%, vdom1 3% 計62%。数分して root 62%, vdom1 0% 計62%。パソコンをシャットダウンしてしばらくし たら root 61%, vdom1 0% 計61%。 そして 80C を再起動して5分位した様子は root 52%, vdom1 2%, vdom2 2% 計56%。それから10分位してroot 56%, vdom1 0%, vdom2 0% 計56%。 これからどういうことが分かるか俄には分からないが、一応事実を書いておく。 (5) インタ−ネット接続モデルの構成 * 構成と説明それに課題 メ−ルサ−バは Mail-Store、Mail-Relay とも FortiMail を使用。FortiGate-800D では VDOM でプロキシサ−バと SSL-VPN 機能を利用。FortiGate の各種セキュリティ機能も適 宜利用することにする。これらの設定を組み合わせていけば、 "インタ−ネット接続モデ ル" となる。パソコン台数500から千位の規模のイントラネットで使えるモデルである。 よりセキュリティを高めるにはサンドボックス装置の FortiSandbox-1000D も設置する。 Mail-Relay は FortiMail-400E にして外向けのメ−ルサ−バである。暗号化 SMTPをやる、 STARTTLS にて。スパムチェックなどやってもいい、要検討。vdom1は新しいプロキシサ− バである。vdom1 内でセキュリティチェックするか root でやるか考えた、社内のどこか らのアクセスか分かるのがいいだろうと vdom1 内でチェックすることにした。root でチ ェックすると外へのパケットは全部 ProxyB のIPアドレスからになってしまう。 現時点での構成は Mail-Relay はまだ FortiMail になっていない、 かつてのEWSをま だ稼働させていてDNS権威サ−バも兼用している。vdom1 でプロキシサ−バ、vdom2 で SSL-VPN もテストはした段階にある。インタ−ネットへのアクセスには回線冗長化装置の LinkProof を設置している、FortiGate のポリシ−ル−ティング機能も使っている。図で は Mail-Relay を FortiMail にし、DNS権威サ−バはクラウド上に出している。 社内にはDNSキャッシュサ−バを今後は設けることにした。FortiGate にもDNSサ− バの機能はあるがDNSのル−トファイルを見ない。それでル−トファイルを見るDNS のアプライアンス NetAttest D3 を設置することにした。DMZに置くのがいいかLAN がいいか迷ったが、プロバイダのアドバイスなども参考にLANに設置することに決めた。 FortiGate-800D、Mail-Store、Mail-Relay のDNSは最初にこれを参照する。 FG800D の設定は。ファイアウォ−ルのル−ル数は約70。DMZ->WAN で AV。LAN->WAN1と LAN->WAN2 で AV,Web,Apri。 IPS は DMZ->WAN1、DMZ->LAN、LAN->DMZ でそれぞれ1箇所。 DoS はどこにも適用してない。AV は FortiSandbox と連携。 プロキシの設定はしたが利 用はしてない。これでメモリ使用量は 63〜71%、HAのスタンバイ機を見たら 40%だった。 CPU使用率はほぼ常に0。メモリ使用量は昼休みでもこの範囲内で大きな変動はない。 FG800D 1台で SSL-VPN とプロキシが賄えるのか。CPUとメモリの状態で判断すること になるだろう。 負荷オ−バ−となれば別に FortiGate をプロキシ専用とかして設置する。 従来のプロキシサ−バ IWSS の状況が参考になるかも。Linux でメモリ 4GB、使用は 30% で平行線。FG800D 搭載メモリは約7.7GB、使用量71%。 これらから計算してプロキシサ− バを稼働させてもメモリ使用量は約87%以下でないか。ちょっと厳しいか微妙な所だ。 DNS1 DNS2 光B用DNS DNS1次2次サ−バは Amazon EC2 を □ □ Amazon □ 利用する。ずっとDMZにDNS権威サ X.1| X.2| EC2 |Y.1 −バを置いていたが、クラウドに出すの / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ がこれからは望ましいだろう。 \___________________/ :光A:光C :光B FG800D のポ−トは RJ-45 の口が9番か ↑ 主回線: : : ら16番ある。1番から8番は光ファイ 暗号化| □R □R :HTTP バである。port13 を LAN にした。 DMZ, SMTP| | | :HTTPS WAN1,WAN2 もそれぞれ設定した。 ↓ ----------- :のみ |LinkProof| : ProxyB は VDOMに作ったプロキシサ−バ。 MR◇ ----------- □R ポリシ−ル−ティングで WAN2 経由する。 仮想IP|.3 .9| A B |.1 FG800D に負荷がかかる場合、FortiGate ----------------------- ----------- を別に購入し設置する。 | | .2| |.2 ProxyA はこれまでのプロキシサ−バで ----------------------- TrendMicro社の InterScanソフト(IWSS)。 | vdom2 |WAN1(11) WAN2|(12) Webレピュテ−ションをやる。 念のため MR |SSL-VPN| | しばらくIPを変えて置いておく。 □ --------| FG800D | .1| (14)|.8 |(10) root |-------- FG800D root のデフォルトル−トはWAN1 -------------------|DMZ | vdom1 | のIPアドレス。vdom1 は 192.168.1.2。 192.168.2.0 .2| LAN | ProxyB| DNScはDNSキャッシュサ−バのアプラ ----------------------- イアンス Soliton 社製 NetAttest D3。 DNSc MS AD ProxyA |(9) (13)| □ □ □ □ | | △PC MS: Mail-Store、FortiMail-2000B。 .9|.1| | |.244 |.2 .5| |.8 MR: Mail-Relay、FortiMail-400E。 -------------------------------------------- FortiSandbox 設置の場合はDMZに。 192.168.1.0 * プロキシとDNSの設定 root->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] LAN->WAN2 に1つル−ル作成。"all all ALL 〆ACCEPT NAT有効"。ここではセキュリ ティチェックはしない。vdom1->...->[Explicitプロキシ] で実施する。 vdom1->[システム]->[ネットワ−ク]->[インタ−フェ−ス] 名前 port13(VDOM LAN)、IP/ネットマスク 192.168.1.5/255.255.255.0、タイプ物理、 バ−チャルドメイン vdom1、〆Explicit Webプロキシを有効。 vdom1->[システム]->[ネットワ−ク]->[Explicitプロキシ] これはキャッシュ機能はなし。 Explicit Webプロキシを有効 〆HTTP/HTTPS、Listenするインタ−フェ−スport13、 HTTPポ−ト[80]。デフォルトのファイアウォ−ルポリシ−のアクション 許可。 vdom1->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] に1つル−ル作成。 {port13(VDOM LAN) - port13(VDOM LAN)} "all all HTTPS,HTTPS 〆ACCEPT NAT無効"。 Implicit "all all ALL (/)DENY"、これは自動的にできていた。 vdom1->[ポリシ−&オブジェクト]->[ポリシ−]->[Explicitプロキシ] に1つル−ル、 {web proxy-port13(VDOM LAN)} "all all 〆ACCEPT AV Webフィルタ アプリ"。 vdom1->[ポリシ−&オブジェクト]->[ポリシ−]->[プロキシオプション] 特に設定なし。 ※プロトコルマッピングは HTTP だけに〆しては。HTTP 以外は関係ないのでないか。 vdom1->[ル−タ]->[スタティック]->[スタティックル−ト] IP/ネットマスク 0.0.0.0/0.0.0.0、ゲ−トウェイ 192.168.1.2、デバイス port13。 G->[ネットワ−ク]->[DNS] 最初に 192.168.1.9 を指定、DNSc キャッシュサ−バ。 次に DNS1 を指定、Amzon EC2 に出したDNS権威サ−バ。 * とりあえずメモとする そろそろ Fortinet の設置製品、ファ−ムウェアのバ−ジョンアップを考えないと。少な くとも半年毎、できれば3ヶ月に一度ぐらいアップするのがセキュリティ上、望ましいだ ろう。新着のリリ−スノ−トや、SI業者のサポ−トサイトを見たりしてアップのタイミ ングを計らないと。FortiGate-80C を試しに新しいOS系列の FortiOS v5.4.1 にした際、 メモリもCPUも食うことが分かり画面もだいぶ変わっていた。80C の代わりのテスト用 で 100D を先ずは手に入れて、それで1ヶ月ほど様子を見てからにしようか。`2h/03/S FortiGate の VDOM で SSL-VPN 機能を設定するのはやった。root に設定するにはどうす るかと疑問は自身出したがそのままにしていた。どうなるかやってみることにしよう。し ばらく VDOM でプロキシサ−バを設定するのと、プロキシサ−バが利用するDNSのこと で細かな動作確認をやっていて時間をくった。DNSは結構ややこしい挙動だった。プロ キシサ−バは別に FortiGate を専用で設ける方がすっきりすると思った。それでSSL-VPN の方はすっかりご無沙汰して分からなくなった。復習も兼ねてまた触れてみる。`2h/03/E 外でパソコンで SSL-VPN やっている際、SSL-VPN装置で社内の許可したホスト以外、特に なにもしなければ Yahoo でもどこでもアクセスできる。 そのパソコンが社外と社内への アクセスの中継装置になっている訳で、やはり安全性は問題視すべきだと思う。 SSL-VPN 装置はDMZに設置するの。ファイアウォ−ルで WAN->DMZ へのポリシ−にIPSとかサ ンドボックス利用などセキュリティのチェックを適用すべきだろう。以前から分かってい た事で内はやってるけど、注意から漏れやすい気がしたので敢えて書いた。`2h/03/m 今後セキュリティ対策を強化するとすれば、インタ−ネットへのアクセスの監視が挙げら れるだろう。SNSを見るのはダメ、見るのはいいけど書込みはだめとか。Dropbox も同 様なことで。FortiGate のアプリケ−ションコントロ−ルで、そうしたことができるよう なのだが、実際やってみると挙動がおかしい。Facebook で試してみようとした。 先ずは アクセスそのものをブロックにしたが Blocked! の画面が出てこない、出る時もあるとか。 FortiGateのバ−ジョンは v5.2.8、これだとまだこなれてないのかも知れない。`2h/04/s DNS1次サ−バをアマゾンに移した。プロバイダに毎月幾らか払い面倒みてもらうよう 依頼して。これで1995年から触ってきたDNSから解放された。作業としては、プロ バイダの人がJPRSのサイトの画面を操作して、変更後のIPアドレスを入力したとい う。それで一瞬でインタ−ネットの他のDNSサ−バにも反映されたようだ。JPRSの 説明には1日程度反映に時間がかかると書かれているけど。すぐに nslookup でIIJの DNSサ−バを server 指定して、自社ドメイン名を叩いたら変わっていた。`2h/06/S DNSの移行で実際にやってみるまで気付かなかったことがあった。/etc/named.conf の view "NAKA" { match-clients {127.0.0.1;192.168.1.0/24;192.168.2.2;202.241.128.2; };、同じく allow-query と allow-recursion。 Mail-Relay は変更時点ではまだ Sun の マシンで sendmail と named が同居していた。 named は用済みでいいのだが、sendmail は相手先の名前解決にマシン自身の named を見ていた、127.0.0.1。移行先のDNSでは denied とログが出ていた、match-clients 等に X.1 を直ぐに追記してもらい解決をみた。 DNS移行に当たってプロバイダが修正してくれたこと。逆引きファイルの記述が一部で 重複していて正しく応答しない状態だったと。"21-5.続インタ−ネット接続周りの事,(3) やっぱり最後はDNSをいじる" の /etc/named.conf の view "NAKA" と view "SOTO"に 記述した zone "128.241.202.in-addr.arpa" と zone "0.0.127.in-addr.arpa" がそうで、 後者はコメントにしたとのこと。何がいけなかったのか今一つ分からない。ずっとこの記 述でDNSサ−バは稼働してきたし。localhost の逆引きの意味役割を調べ直してみるか。 ProxyA のこと。実はまだ現役で稼働させていて、 そろそろ ProxyB に切り替えないかん と思っていた矢先、突然おかしくなった。ブラウザでプロキシ指定でヤフ−のサイトでも 出てくるのにへたすれば30秒位かかるのだ。DNS1次をアマゾンに移して数日しての ことで、DNSが何か影響しているのか疑ったりしたが先ず関係ないと踏んだ。プロキシ サ−バのマシンに telnet で入って # df -k をやり、 ディスクが一杯になっていないか チェック、問題なし。nslookup やって www.iij.ad.jp とかすぐに応答したし。`2h/06/M ProxyA はHPの仮想マシン、 VMware vSphere Client でゲストマシンの様子を見たが特 に異常なし。/etc/resolv.conf の記述には問題なさそう、 実は変な文字コ−ドがあった ので記入し直した。指定DNSサ−バも問題はなさそう、混み合っていて応答に時間がか かるような感じはない。 /etc/resolv.conf で最初のDNSのIPアドレスを幾つか変え てみたが変化なし、変更は直ちに有効になります。IWSS のバ−ジョンが 3.1 で古いのが 悪さをしたのかも。# cd /etc/rc2.d; # ./S99IWSS restart 40秒位。これで直った。 このトラブルシュ−ティングで ProxyA の IWSS では HTTP のWebレピュテ−ションは やらないようにした。ProxyA のIPアドレスからの HTTP,HTTPS,DNS は FortiGate-800D のポリシ−ル−ティングにより WAN2 経由でインタ−ネットへ行く。DNS はプロバイダ光 B が用意しているDNSサ−バへということである。 LAN->WAN2 へは all all でウィル スチェック、Webフィルタ、Webアプリケ−ションを有効にしているので、 IWSS でWeb レピュテ−ションする必要はない。ProxyA はただのプロキシサ−バになっている。 ProxyA からはポリシ−ル−ティングで WAN2 経由で光B回線を通る。この回線なりル−タ にトラブルが起きていないか。 PC を直接 WAN2 経由にしてスカスカ行くかみれば分かる。 PC をポリシ−ル−ティング制御する。 プロトコル Any、インタ−フェ−ス port13(LAN)、 送信元 192.168.1.8/255.255.255.255、宛先0.0.0.0/0.0.0.0、アクション トラフィック を転送、出力インタ−フェ−ス port12(WAN2)、ゲ−トウェイアドレス B.1。PC の DNS指 定は Y.1。回線業者にもトラブル有無を聞いたが、回答前にこれで問題なしと分かった。 多分 ProxyB と SSL-VPN の稼働は FortiGate-800D 1台で賄える。ProxyA からは同じく WAN2 経由だし、それなりのセキュリティ・チェックを行なっているのだから。 MS と MR は FortiMail になる。 ウィルスチェック、スパムチェックなどは Mail-Store でやるこ とにする。 Mail-Relay ではセッション・チェックをやり確実におかしいのだけ弾くよう にする。この設定はSI業者の技術者と要相談。ともかく MS と MR 両方でメ−ルの誤検 知がないか日々チェックしたりはできない、実際の運用を考慮してのことである。 余力があれば SSL インスペクションをやってみる。暗号化の HTTPS 通信を復号化して内 容をチェックする。余力というのは FortiGate-800D の処理能力、それに自身の気力や技 術力がまだあるかということ。多分感触としては 800D ではオ−バ−スペック。もう1つ 上のモデルがお勧めだと Fortinet 社の技術者に聞いている。まあ 800D でも限定的に適 用するという用い方はありだろう。社内のあるセグメントは幹部用として、ここは HTTPS 暗号化パケットも中身をチェックし、危険因子は排除する姿勢は望ましいと言える。 * そしてこれからの運用は Fortinet 社の包括的なサ−ビスに期待したいところだが。Fortinet 社の新しいサ−ビス が昨年秋頃からできた FortiCare Advanced Service という。これでホ−ムドクタ−的な Fortinet 社製品の運用サ−ビスを受ける事ができるかも知れない。Fortinet 社主催によ る2017年5月末の名古屋であった勉強会でも紹介があった。何ヶ月か前にもこの名前 の資料はもらっていたがピンと来なかった。6月になって話を詳しく聞いたのだが、どう も毛色が異なる。Fortinet社はアドバイスはするが、実際の設定はユ−ザでやるなりSI 業者に頼むなりしてくれという。資料を読むとチケットとかポイントとか、なかなか難し いことが書かれている。案件により数ヶ月単位のサポ−トをしますという事らしい。 期待するのは最初にネットワ−ク構成を見てカルテを作ってもらうこと、そして毎月それ ぞれの装置の状況をチェックし、必要とあればバ−ジョンアップしたりパッチを当てたり する。ワナクライのような新しい脅威が巷で起きていれば、それへの対処も施してもらう。 これらの作業は来てもらってもいいし、遠隔でやれるならそれでもよしとする。導入装置 は Fortinet 社の製品ばかりではないだろう。回線冗長化装置とかロ−ドバランサ−とか 専用の侵入防御装置とかもあるかも知れない。そうなると Fortinet 社の技術者の他にも SI業者が噛んで包括的に面倒を診ていくという体制が求められる。かなりの高額な費用 がかかることを想定しなければならない。年間1千万円ではきかないだろう。