26-6. FortiGate 80C にはそろそろ暇を (1) FortiGate の二要素認証のこと ( fremote.txt の付録から ) * FortiGate の二要素認証のこと 以下`2g/08/e v5.2.8 ではユ−ザ定義の画面は、"二要素認証を有効" との所に〆すると ト−クン[ ] しかでてこない。ファ−ムウェアをアップする前には FortiToken、Email、SMS の3つが 出てきたのに。v5.2.8 ではコマンドでユ−ザ毎に Email を二要素認証にすると指示しな いといけない。前のように選択できるメニュ−画面にならないのか。ユ−ザ全員一括して 二要素認証ができるようなメニュ−画面にするコマンドというのは有りそうにない。 # config vdom (vdom)# edit vdom2 (vdom2)# config user local LDAPや RADIUS ではない。装置への登録です。 (local)# edit user1 (user1)# set email-to Email は画面で入れることができる、既に書 (user1)# set two-factor email き込んでいたなら、ここでは入れない。 (user1)# end (vdom2)# show user local vdom2 で作ったユ−ザの情報を全部表示する。 | 全体のポリシ−みたいなのは出てこない。 上記コマンドでユ−ザ user1 を二要素認証にしてみた。 vdom2->[ユ−ザ&デバイス]->[ユ−ザ]->[ユ−ザ定義] ------------------------------------------------------------------ | ユ−ザの編集 |----------------------------------------------------------------- |ユ−ザ名 [user1 ] | □無効 |◎パスワ−ド [●●●●● ] |○LDAPサ−バでユ−ザをマッチ [ ] | |コンタクト情報 |〆Emailアドレス [user1@nix.co.jj ] |□SMS | |〆二要素認証を有効 |○FortiToken ◎Emailベ−スの二要素認証 ○SMSベ−スの二要素認証 |〆このユ−ザをグル−プへ追加 [Group1 x](+) ------------------------------------------------------------------ |〆二要素認証を有効 |◎FortiToken ○Emailベ−スの二要素認証 ○SMSベ−スの二要素認証 | ト−クン [選択して追加 ▽] |〆このユ−ザを... ------------------------------------------------------------------ |〆二要素認証を有効 |◎FortiToken ○Emailベ−スの二要素認証 ○SMSベ−スの二要素認証 | ト−クン [FTK200xxx..xxx ▽] |〆このユ−ザを... ------------------------------------------------------------------ 他のところも見て戻ってきたらこんなことになっていた。 |〆二要素認証を有効 二要素認証の種類が出て来ない!。 | ト−クン [FTK200xxx..xxx ▽] ト−クンしか選ぶことができない。 |〆このユ−ザを... ------------------------------------------------------------------ (vdom2)# show user local コマンドでユ−ザのアカウント情報を見たら config user local set two-factor fortitoken に変わっていた。 edit "user1" いろいろ触っていると、コマンドレベルで設 set type password 定が変わってしまうということらしい。かな set two-factor fortitoken り分かりにくい挙動である。全くできの悪い set passwd-time xxx ソフトウェアと言うしかない。とても困る!。 set passwd ENC xxx FortiOS v5.2.7 ではそんなことなかった?。 next end "〆二要素認証を有効"で"◎Emailベ−スの二 要素認証" に最初していた。"○FortiToken" (vdom2)# config user local を選択したり、"□二要素認証を有効"と〆を (local)# edit user1 外したりすると、二要素認証は選択肢がト− (user1)# set two-factor ? クンしか無くなってしまう。また"◎Emailベ disable disable −スの二要素認証" に戻すには、コマンドで fortitoken FortiToken "set two-factor email" とやるしかない。 email Email authentication code. sms SMS authentication code. * FortiGate の FortiToken のこと [グロ−バル]->[設定]->[FortiGuard] の FortiTokenシ−ドサ−バ のところ、登録 到達 可能(0 Tokens登録済) 〆緑。 となっているので FortiToken を登録はできる状態にある ということだろう。vdom2 の FortiToken のところ、1つ登録しようとしているのだがス テ−タスはエラ−になってしまう。消して作り直してアクティベ−トを押したりいろいろ やってもだめだった。この時点で FortiToken が2個使えなくなった。 教えてもらったことに、このように使えなくなった FortiToken は Fortinet 社のサポ− トに言えば回復してくれるという。インタ−ネットで調べていたら回復させるコマンドの 操作らしき記事があった。 diag コマンドを叩いていた、記事に沿ってやってみたがダメ だった。ひょっとすると、使えなくなるのも軽度の場合とかあるのかも知れない。英文に チャンスは一度と書かれていた。ごちゃごちゃやっていると、それでダメになるのかも。 # config vdom 下記の英文は、ト−クンは既にアクティベ−トされている (vdom)# edit vdom2 ので種(seed) は返すことはできない、という意味だろう。 (vdom2)# diag fortitoken info FORTITOKEN DRIFT STATUS FTK200xxx..xxx 0 token already activated, and seed won`t be returned FTK200yyy..yyy 0 token already activated, and seed won`t be returned (vdom2)# show user fortitoken << これをやると seed が有るか無いか分かる。 vdom2->[ユ−ザ&デバイス]->[認証]->[FortiTokens] --------------------------------------------------------- | 新規 FortiToken | |-------------------------------------------------------| | タイプ ◎ハ−ドト−クン ○モバイルト−クン | | コメント [ ] 0/255 | | シリアル番号 [選択して追加 ▽] [ インポ−ト ] | << [インポ−ト] をク | [ OK ][キャンセル] | リックしたのが下。 --------------------------------------------------------- --------------------------------------------------------- | ト−クンのインポ−ト | ワンタイムパスワ−ド |-------------------------------------------------------| を生成する元になる種 | ○シリアル番号ファイル ◎シ−ドファイル | は CD-ROM でも提供で | | きるらしい。それなら | [参照] ファイルが選択されていません。 | その方がいいぞ。シリ | | アル番号ファイルはた | FortiTokenシ−ドファイル(.ftk)を提供してください。 | くさん FortiToken を | FortiToken はただちにインポ−トされます。 | 登録するのに一括して | [ OK ][キャンセル] | 多分やれるということ。 --------------------------------------------------------- 仕方ないので未使用の FortiToken を取り出して、 [FortiToken] 画面でシリアル番号を 記入した、ステ−タスは Pending になった。 そのままにして [ユ−ザ定義] 画面に行っ て二要素認証を有効にしたら、ト−クンを記入する画面で先のシリアル番号を選ぶことが できた、[ OK ] をクリックした。 [FortiToken] 画面に戻って見たら、ステ−タスは"割 り当て済み"、ユ−ザは該当ユ−ザ名の user1 が出ていた。FTK200zzz..zzz としようか。 さてこれで使えるかと思えばト−クンの番号を入れたら "Permission denied.(-455)" と 出てしまった。状況を整理すると FortiOS は v5.2.8、 vdom2 に SSL-VPN の設定をして、 vdom2 に FortiToken とユ−ザ登録したという。[ポリシ]->[IPv4] の ssl.vdom2 ル−ル の送信元のユ−ザなりグル−プの事も注意すること。先に動作確認したのは v5.2.7 だっ たのでないか。v5.2.8 では4年前の FortiToken は使えないのでないかという疑問も。 翌日駄目押しでもう一度 FortiToken を触ってみた、 ちゃんと SSL-VPN でユ−ザ認証で きた。user1 に FortiToken の FTK200zzz..zzz を紐付けしていた。この紐付けをやめて user2 に FTK200zzz..zzz を紐付けした。user2 でも OTP のユ−ザ認証ができた。vdom2 の中での操作にて。FortiToken は1人のユ−ザのみに紐付けできるということ。vdom2で の FortiToken の登録を消して vdom1 や root に登録し直せるのか、試すのは怖いです。 # config vdom 左のコマンドで user2 はメ−ルのOTPが利用 (vdom)# edit vdom2 できるようにした。メニュ−にはト−クンの (vdom2)# config user local 選択もできるが、これを選んでしまうとメ− (local)# edit user2 ルのOTP 選択メニュ−が出なくなってしまう。 (user2)# set email-to user2@nix.co.jj user1 はト−クンを利用できるようになって (user2)# set two-factor email いる。 user1 と user2 で認証の幾つかの方 (user2)# end 法の動作確認を各自、改めてやってみること。 * FortiGate のMACアドレス認証のこと 下記のように SSL-VPN アクセスの tunnel-access をコマンドで、MACアドレス認証を するようにしたら、vdom2 でのユ−ザ認証すべてが対象になる。パソコンのMACアドレ スをここに記載しないと拒否される。set mac-addr-list には複数続けてMACアドレス を記載できる。分かり易くと考えれば1つずつユ−ザ名ないし装置名と対応付けるのがい いのでないか。MACアドレス認証をするしないの制御も少し検討したら設定できた。 # config vdom vdom2 内の Group1 に user1,user2 (vdom)# edit vdom2 登録。tunnel-access に MAC1 登録。 (vdom2)# config vpn ssl web portal (portal) # edit tunnel-access --------- (tunnel-access) # set mac-addr-check enable | FG80C | MAC1 MAC2 (tunnel-access) # set mac-addr-action allow --------- □ □ (tunnel-access) # config mac-addr-check-rule | | | (mac-addr-check-rule) # edit pasokon1 --------------------------- new entry 'pasokon1' added user1 user3 (pasokon1) # set mac-addr-list 5x:9x:dx:dx:5x:1x user2 (pasokon1) # end ↑ (tunnel-access) # end MAC1とする editはユ−ザ名にして、その人用の (vdom2)# 複数のハ−ドを登録するのはどうか。 ユ−ザのグル−プを分けてMACアドレス認証するしないという設定ができないか。以下 のようにやったらできた。tunnel-access という内容の定義を tunnel-access2 という名 前で作って下記の様に設定した。vdom2->[ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] のル−ルで From が ssl.vdom2 のところの送信元が all, Group1 になっている、ここに user3 を追加した。ややこしいが頭を静めて論理的に追っていけば分かるだろう。 vdom2->[VPN]->[SSL]->[ポ−タル] ------------------------------------------------------------------------------ | SSL-VPNポ−タル編集 |----------------------------------------------------------------------------- | 名前 [tunnel-access2 ] | 〆トンネルモ−ド有効 | 〆スプリットトンネリングを有効 | ル−ティングアドレス [選択して追加 ▽] | 送信元IPプ−ル [SSLVPN_TUNNEL_ADDR1 X] << このままにしてみた。 | クライアントオプション □パスワ−ド保存 □オ−トコネクト □常にアップ | □Webモ−ド有効 (Keep Alive) | □ひとつのSSL-VPNコネクションに接続できるユ−ザ数を制限 ------------------------------------------------------------------------------ vdom2->[VPN]->[SSL]->[設定] -------------------------------------------------------- | SSL-VPN設定 |------------------------------------------------------- | | 認証ポ−タルマッピング | ----------------------------------------------------- | | (+) Create New | |---------------------------------------------------- | | ユ−ザ/グル−プ | ポ−タル | |-----------------------------------|---------------- | | Group1 | tunnel-access | |-----------------------------------|---------------- | | すべてのその他のユ−ザ/グル−プ | tunnel-access2 | ----------------------------------------------------- -------------------------------------------------------- * FortiToken の FortiGate 時刻同期の注意 `2g/09/S NTPで同期をとっているはずがどうもずれている。1日だったか5時間ぐらいだったか。 手動で内臓時計を合わせた。そしたら FortiToken が使えなくなってしまった。うかつだ った。少し考えれば予想できたことなのに。FortiGate と Fortinet 社のセンタ−と時計 があってなくても、その時にシ−ドを FortiGate はセンタ−から取ってくる。 その時刻 と乱数の元が情報として入っているのだろう。 だから FortiGate の時刻を変えた時点で 同期が取れなくなったのだ。これで3つ FortiToken がだめになった。 [グロ−バル]->[ダッシュボ−ド]->[ステ−タス] の{システム情報} 画面で時刻設定をや る。時刻の手動設定とNTPサ−バと同期での設定、ができる。ここ数年 FortiGate-80C は Firefox でやっていた。時刻設定の画面で何かしら変更すると"このペ−ジを表示する にはフォ−ムデ−タを再度送信する必要があります。うんぬんという横長の画面が出てき た。[再送信][キャンセル]"。これを無視しても[再送信]をクリックしても、 コマンドで 設定を見ると変わってなかった。試しにIE9で操作したら変わった!、どういうこと?。 # config global ◎NTPサ−バと同期 ◎FortiGuardサ−バを利用 は (global)# config system ntp 左の設定になった。NTPサ−バの名前がない。これ (ntp)# show でいいのかな。暗黙で設定されていることになるのか。 config system ntp 多分これではだめ、NTPサ−バが書かれてないので set ntpsync enable 同期が取れてなかったということだと思う。 set syncinterval 5 end # config global ◎NTPサ−バと同期 ◎指定する、 そしてサ−バの (global)# show system ntp 指定は [pool.ntp.org ] とした。[ntp.nict.jp ] を config system ntp 指定しても時刻は同期した。IE9で操作するかコマ set ntpsync enable ンドやるか。ちょっと注意が必要みたいである。同期 set type custom 間隔[5 ](1-1440 mins) ということ、デフォルトは60。 set syncinterval 5 config ntpserver edit 1 set server "pool.ntp.org" next end end (2) Webとアプリケ−ション制御のこと `2h/03/E〜04/s * アプリケ−ション制御の動作を確認 SNSを見るのも投稿するのもできないようにするとか、クラウドのファイル共有サ−ビ スでダウンロ−ドはいいがアップロ−ドは出来ないようにするとか。ブロックしたという ログが出るのを確認したいのだが、どこに出てくるのか。何年か前に mixi にアクセスす ると警告画面を出してブロックするのはやったことがある。FortiGate-80C を社内ネット ワ−クに wan1 をつなぎ、LAN側をテスト用ネットワ−クとしパソコンを置き、そこか らインタ−ネットのサイトにアクセスして動作確認をしてみた。いろいろやった結果とし て警告画面は出すことはできなかった。ブロックしたというログも出なかった。 Box は企業向け。クラウドストレ−ジにWebでアクセス、ファイルの保管/共有/管理が できる、WebDAV 対応、10GBまで無料。 FortiGate ではアプリケ−ションのカテゴリ Storage.Backup に Box、Box_File.Download、Box_File.Upload、Box_Loginが入っている。 Dropbox は個人向けということで無料は2GBまで、それ以上で有料もあり。カテゴリは Storage.Backup に Dropbox、Dropbox.Lan.Sync.Discovery.Protocol、Dropbox_File.Dow nload、Dropbox_File.Upload、Dropbox_Login が入っている。SNSの Facebook はカテ ゴリ Social.Media に Facebook、Facebook_Login など17あった。 Yahoo にアクセスした。 root->[システム]->[FortiView]->[送信元][アプリケ−ション] [宛先][すべてのセッション]。[送信元]はパソコンのIPアドレスが表示され、これをク リックすると {アプリケ−ション}に Yahoo.Services、DNS、HTTPS.BROWSER、Google.Ads が出ていた。[アプリケ−ション] の画面にも次のように出た。 これら1分もしない間に 消えた。これらは internal1 - wan1 ポリシ−の {ロギングオプション} は "セキュリテ ィイベント" でも "すべてのセッション" でも同じように出た。アプリケ−ションオ−バ −ライドで Facebook_Login はブロックはならず Facebook を指定したらブロックされた。 アプリケ−ション | カテゴリ ヤフ−はアプリケ−ションの名前は -----------------|------------------ Yahoo.Servicesであり、カテゴリは Yahoo.Services | General.Interest General.Interestに入っている。そ HTTPS.BROWSER | Web.Others して General.Interest は一括でモ DNS | Network.Service ニタになっている、オ−バ−ライド Google.Ads | General.Interest で Yahoo.Services のみ止める事に。 root->[セキュリティプロファイル]->[アプリケ−ションコントロ−ル] 80C は ------------------------------------------------------------------ v5.2.8 | アプリケ−ションセンサ−の編集 [IKKEN ▽] |----------------------------------------------------------------- | 名前 [IKKEN ] 〆許可 | カテゴリ 〒モニタ | (/)Botonet 〒General.Interest 〒Social.Media 〒Web.Others (/)ブロック | | 〇リセット | | アプリケ−ションオ−バ−ライド | ---------------------------------------------------------------- | | □Delete (+)シグネチャ追加 | |--------------------------------------------------------------- | | アプリケ−ションシグネチャ | カテゴリ | アクション | |----------------------------|------------------|--------------- | | Facebook | Social.Media | (/)ブロック | | Yahoo.Services | General.Interest | (/)ブロック | ---------------------------------------------------------------- これでヤフ−の画面はでなくなった。特にブラウザには何も警告らしい画面はでなかった。 [FortiView] のところにログは出てきたが、ブロックされたというのはログにもどこにも 記載がなかった。 root->[ログ&レポ−ト]->[トラフィックログ][イベントログ] にもら しいログは全然でてこなかった。 root->[ログ&レポ−ト]->[ログ設定]->[ログ設定] に は 〆メモリ 〆イベントロギング 〆すべて有効。 [脅威ウェイト] は"( ON )脅威ウェイ トをログ"。これ以外にログに関係するメニュ−はなさそうなのだが。 どうなっているの か。ひょっとすると FortiAnalyzer にログを送るようにすれば、何か出ているのかも。 * Webフィルタの動作を確認 root->[セキュリティプロファイル]->[Webフィルタ] ----------------------------------------------------------- | Webフィルタプロファイルの編集 |---------------------------------------------------------- |名前 [IKKEN ] |インスペクションモ−ド ◎プロキシ ○フロ−ベ−ス ○DNS |〆FortiGuardカテゴリ | ---------------------------------------------- | |[+]〆ロ−カルカテゴリ | |[+]〆違法性・犯罪性の高いサイト | |[+]〆アダルト/成人コンテンツ | |[-]〆帯域を消費しやすいサイト | | | | | | |-〆ファイル共有・ファイルストレ−ジ | | |-〆フリ−ウェア・ソフトウェアダウンロ−ド << www.vector.co.jp はここ。 | |[+]〆セキュリティ上問題のあるサイト | |[-]〆一般的な趣味・関心 | | | | | | |-〆ソ−シャル・ネットワ−キング << www.mixi.jp, www.facebook.com はここ。 | | | | | | |-〆ニュ−スとメディア << マウスを右クリックすると小さな画面が出てくる。 [許可][ブロック][モニタ][警告][認証]から選ぶ。 サイトがどのカテゴリに含まれているか調べる Fortinet 社のURL。 http://www.fortiguard.com/webfilter --------------------------------------------------------------------------- | FORTINET News/Research Services Threat Lookup Resources |-------------------------------------------------------------------------- | | ♀Web Filter Lookup | [www.asahi.com ] 〇 << クリック、Category:News and Media と出た。 [ ブロックの挙動 ] ブロックされた。 --------------------------------------------------------------------------- | http://www.asahi.com/ 画面A |-------------------------------------------------------------------------- | FortiGuard Web Filtering | |(X) Web Page Blocked! << 赤色。 | | You have tried to access a web page which is in | violation of your internet usage policy. | | URL: www.asahi.com/ | Category:ニュ−スとメディア | 以下 Client IP、Server IP、User name、Group name あり。 | | To have the rating of this web page re-evaluated please click here.  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ [ モニタの挙動 ] 普通に表示された。 ログはどこにでてくるのか?。 root->[ログ&レポ−ト]->[モニタ]->[ボリュ−ムモニタ] に Web Filter グラフにはでたけど。横棒のグラフだけで内容はなし。 [ 警告の挙動 ] サイト利用可能時間。 カテゴリの {一般的な趣味関心} 内の {ニュ−スとメディア} で、マウス右クリックして 出てくる小さなメニュ−画面の 警告 を選ぶと フィルタの編集 という画面がでて、ここ で "警告インタ−バル" を設定する。10秒などに短く設定してみると挙動が分かり易い。 --------------------------------------------------------------------------- | http://www.asahi.com/ |-------------------------------------------------------------------------- | FortiGuard Web Filtering | |(鍵) Web Page Blocked! << 青色。 | | You have tried to access a web page which is in | violation of your internet usage policy. | | URL: www.asahi.com/news/?iref=comtop_gnavi | Category:ニュ−スとメディア | 以下 Client IP、Server IP、User name、Group name あり。 | | To have the rating of this web page re-evaluated please click here. | | [ Proceed ] << これをクリックすれば、とりあえず見ることがで | [ Go Back ] きる。10秒間アクセスが有効になる。 [ 認証の挙動 ] 警告とログイン認証。 警告 の設定とユ−ザグル−プでのログイン認証ができる。 サイトにアクセスしようとす るとログイン画面がでてくる。 ------------------------------------------------------ | http://www.asahi.com/ |----------------------------------------------------- | FortiGuard Web Filtering | |(鍵) Web Filtering Block Override << 青色。 | | If you have been granted override creation ... | | ユ−ザ名: [ ] | パスワ−ド:[ ] | [継続] * 再びWebフィルタの動作を確認 "ソ−シャル・ネットワ−キング" をブロックにした。 www.mixi.jp は Category:Social Networking にある。 http://www.mixi.jp/ やると https://mixi.jp/ になってブロック されず、そのままアクセスできた。internal1 - wan1 で "セキュリティプロファイル"は "Webフィルタ" に "SSLインスペクション" を加えたらブロックした。 http://www.mixi.jp/ やると "セキュリティ証明書に問題があります" の画面が出て、サ イトの閲覧を続行する、その次の画面 https://mixi.jp/ でブロックしたとの画面が出た。 Facebook のサイトは http://www.facebook.com/ やると https://www.facebook.com/ に なって、こちらもブロックされた。 朝日新聞のサイトへのアクセスをブロック。 ログが root->[ログ&レポ−ト]->[セキュリ ティログ]->[Webフィルタ] に出ていた。日時 10:13:18、ユ−ザ 空欄、 送信元のIPア ドレス、アクション blocked、URL www.asahi.com/、カテゴリ説明 News and Media。 他 に出ていたログでは URL platform.twitter.com/、カテゴリ説明 Social Networking。 インスペクションモ−ドをプロキシからフロ−ベ−スに変更しようとしたら、小さな画面 が出た。"通知 Notice:フロ−ベ−スとDNSインスペクションモ−ドでは、 カテゴリの アクションとして警告と認証はサポ−トされません。これらのアクションが設定されたカ テゴリはブロックに変更されました。[ OK ]"。Aの画面が出た。 インスペクションモ−ドがフロ−ベ−スとDNSは、メニュ−は [許可][ブロック][モニ タ] が出てくる。インスペクションモ−ドをDNS、DNSアクション ○ブロック ◎リ ダイレクト にしたら、Web Page Blocked! が、 白色の画面のままで出てくるまで1分ぐ らいかかった、v5.2.8 で見た。v5.2.10 にしたら時間がややかかってサイトは出た。 メモ:単純に止めるのがWebフィルタ、警告画面が出る。見るのはいいが書込みはだめとか はアプリケ−ション制御でやるのかな、こっちでは警告画面が出ない?。組み合わせかな。 www.asahi.com は Webフィルタ にはある、アプリケ−ションコントロ−ル にはないみた い。Webフィルタ の 許可はログあり、ブロックはログなし、モニタはログあり、?。 (3) 再びアプリケ−ション制御のこと `2h/03/E〜04/s * 再びアプリケ−ション制御の動作を確認 << ヤフ−のサイトで >> IPv4 の internal1 - wan1 のセキュリティプロファイルのところ、 (ON)アプリケ−ショ ンコントロ−ル。ロギングオプションは (ON)許可トラフィックをログ ○セキュリティイ ベント ◎すべてのセッション。 ヤフ−にアクセスしてブロックしたという画面が下記の ように出た。先にテストしていた際には出なかった画面である。 ------------------------------------------------------------ | http://www.yahoo.co.jp/ |----------------------------------------------------------- | | Application Blocked! << 赤色。 | | You have attempted to use an application which is in | violation of your internet usage policy. | | Yahoo.Services | | Category:General.Interest | URL: http://www.yahoo.co.jp/ | 以下 Client IP、Server IP、User name、Group name などあり。 root->[ログ&レポ−ト]->[セキュリティログ]->[アプリケ−ションコントロ−ル] にログ が出て来ていた。ロギングオプション (ON)許可トラフィックをログ でセキュリティイベ ント でも すべてのセッション でもログが出た。1分ぐらいでログは消える。 root->[ログ&レポ−ト]->[ログ設定] で 〆メモリ。〆イベントロギング はチェック無し にしても [アプリケ−ションコントロ−ル] にログは出ていた。 root->[システム]->[FortiView]->[宛先] のログに www.yahoo.co.jp が出ていた。 それ に [アプリケ−ション] にも TCP/80 というログが出ていた。 * 再びアプリケ−ション制御の動作を確認 << Facebookのサイトで >> http://www.facebook.com/ やると https://www.facebook.com/ になる。アプリケ−ショ ン制御では警告画面が出ない。アクセスに時間がかかっているように思える。URLの所 で丸の矢印がぐるぐる回っている。ダメならダメとしないと分かりにくい。 root->[ログ&レポ−ト]->[セキュリティログ]->[アプリケ−ションコントロ−ル] にログ が出て来ていた。root->[システム]->[FortiView]->[アプリケ−ション][宛先] にもログ がでていた。->[アプリケ−ション]->[送信元] の [宛先] にもログが出ていた。 ヤフ−にアクセスしたらすぐに Application Blocked! と出て、その後で Facebook サイ トにアクセスしたら Application Blocked! と出た。しかしこの表示が出てからもURL の所で丸の矢印がぐるぐる回っていた、ちっとも回るのが止まる気配がない。 * ログの出方に関係するらしい設定 # config vdom (vdom) # edit root (root) # show log memory setting config log memory setting set status enable end (root) # show log memory filter << フィルタ−は warning がデフォルトで選 (root) # config log memory filter 択されていて、何も表示されない。 (filter) # set severity information (filter) # end (root) # (root) # show log memory filter << # set severity warning にまた設定した config log memory filter ら、# show log memory filter で何もで set severity information なくなった。 end (4) ファ−ムウェアのアップいろいろ * 何かおかしいのでファ−ムウェアをアップ FortiGate の Webフィルタ と アプリケ−ション制御 のテストをやっていて、 どうもお かしいのでファ−ムウェアをアップしてみた。幾つか利用できるファ−ムウェアのバ−ジ ョンがある。グロ−バルの [ダッシュボ−ド]->[ステ−タス] 画面の {ファ−ムウェアバ −ジョン}の所v5.2.8,build727(GA) [アップデ−ト] をクリックしての画面にて。 "利用可能なファ−ムウェア" で {Recommended} にて FortiOS v5.2.10,ビルド 742。 {利用できる一覧(12)}でリストの上から v5.6.0、v5.4.4、v5.4.3、v5.4.2、v5.4.1、 v5.2.10、v5.0.13、v5.0.12、v4.3.18、v4.3.16、v4.2.15、v4.1.0。 グロ−バルの[ダッシュボ−ド]->[ステ−タス] 画面の {ファ−ムウェアバ−ジョン}の所 v5.2.8,build727(GA) [アップデ−ト] をクリックしての画面。"利用可能なファ−ムウェ ア" で {Recommended} が FortiOS v5.2.10,ビルド 742。{利用できる一覧(12)}でリスト の上から v5.6.0、v5.4.4、v5.4.3、v5.4.2、v5.4.1、v5.2.10、v5.0.13、v5.0.12、v4.3 .18、v4.3.16、v4.2.15、v4.1.0。 推奨のを [アップグレ−ド] をクリックした。すぐに作業が始まった。"Updating System Firmware、Loading new system firmware..." 画面が出たままで10分しても終わらない。 やめて、SI業者のサポ−トサイトからパソコンにダウンロ−ドして、インスト−ルした。 一瞬で読み込んで reboot を始めた。数分でログインできるようになった。しかし今度は "Webフィルタリング" のライセンスが "(/)接続不可" になってしまっていた。 root->[ログ&レポ−ト] のところに [セキュリティログ] というのがない。このディレク トリ内に [Webフィルタ] と [アプリケ−ションコントロ−ル] ができて、 ここにログが できる。最初、テストしていた時は、これらのディレクトリがなかったので、ログがまる で出ないと自身書いていた。一体どうしたらこれらディレクトリが出てくるのか。 IPv4 の internal1 - wan1 のセキュリティプロファイルのところ、Webフィルタを ON に したら、"Webフィルタリング" が "〆ライセンスあり" になった。どうなっとるの、手順 が逆だぞ。アプリケ−ション制御はどうも使えそうにないな−。こうなったら更にファ− ムウェアをアップするか。でも 80C ではオ−バ−スペックで使い物にならなくなるし。 * FortiGate-80C ファ−ムウェアのアップデ−ト `2g/07/e 以下 fremote.txt から FortiOS v5.2.7,build718(GA) の FortiGate で VDOM を作成し SSL-VPN のテストもやっ ていた。 v5.2.8 が出ていて、最新のOSの状況をみていた方がいいだろうと上げること にした。G->[ダッシュボ−ド]->[ステ−タス] 画面にて。 利用可能なファ−ムウェア --------------------------------- | Recommended | 利用できる一覧 | | ----------------------------------------------------------------- | FortiOS v5.2.8,ビルド727 [リリ−スノ−トを表示] | Upgrade via:FortiGuardネットワ−ク | | Updating the firmware will cause the system to reboot. | [コンフィグをバックアップしてアップグレ−ド] [アップグレ−ド] ----------------------------↑-------------------------------------------------- FG80Cxxxx_xxx_xxx.conf ファイルを保存して、 インタ−ネット上からソフトウェアをダ ウンロ−ドしてきて装置に入れこんでリブ−トした。2分位でログイン画面がでてきた。 一つ気になることで G->[設定]->[FortiGuard] に "SSL-VPNパッケ−ジ情報" というのが あって "SSL-VPNパッケ−ジバ−ジョン 接続不可[アップデ−ト]" と書かれている。この ことは v5.2.7 の時と記載は変わってない。一体何なんだろう、FortiClient の SSL-VPN 機能と関係するのか。 G->[設定]->[フィ−チャ−] の "SSL-VPNパ−ソナルブックマ−ク 管理" と "SSL-VPNレルム" はオンにしてないが、これらと関係するのか。 FortiClient のソフトウェアは FortiGate からダウンロ−ドするようにする。G->[設定] ->[フィ−チャ−] で "エンドポイントコントロ−ル" を ( ON ) にしたら、 ダッシュボ −ド画面に FortiClient が出てきた、右のメニュ−の [Windows] をクリックしたら実行 モジュ−ルをダウンロ−ドする画面がでた。パソコンの自身のログオンしたフォルダのダ ウンロ−ドに FortiClientInstaller-Windows-Enterprise-5.4.1.exe 482KB が入った。 クリックすると英語の画面がでて、インスト−ルの Setup Wizard をやった。 [Full] か [VPN Only] か聞いてくるので [VPN Only] を選んだ。 どこかに登録のことを聞きに行っ たり、インタ−ネットにプログラムを取りに行ったり、なんかいろいろインスト−ルして いたように見えた。完了画面が出るまで3分ぐらいかかった。前にやった際にはすぐにイ ンスト−ルできたような気がするが。モニタに FortiClient のアイコンができていた。 FortiClient のアイコンをクリックして画面を出した。画面左に "コンプライアンス (X) 不参加"、"リモ−トアクセス VPN接続なし" と出ていた。前のバ−ジョンで右上に出てい た [Register Endpoint] というのはなかった。 多分コンプライアンスというのが該当す るメニュ−なのだろう。 FortiGate 本体に使用パソコンの FortiClient を登録するのに 使う。話を聞くに、登録して FortiClient を利用しているところはあまり無いらしい。 * FortiGate-80C ファ−ムウェアのアップ `2g/08/S 装置の中からファ−ムウェアをアップしてみる。利用できる一覧には FortiOS v5.4.1 が 最新であった、Upgrade via: FortiGuardネットワ−ク。 SCSKのサイトにはあったが もう1社のサイトにはなかった。FortiGuardネットワ−クのサイトは Fortinet 社自体の ファ−ムウェア配布場所ということ。すでにSCSKからダウンロ−ドしていたので、そ れでアップした。1分ぐらいでログイン画面がでた、なんと緑色のだ。全体に間延びした ような画面であまりよろしくない。 ブラウザは FortiGate-80C の画面を表示するのに乱 れがないということで Firefox をここ数年使っている。 FortiSandbox も FortiMail も 数ヶ月前にファ−ムウェアをアップした際、この緑色ぽい画面になってしまっている。 * FortiGate-80C ファ−ムウェアのダウングレ−ド `2g/08/e v5.2.8 にして更に v5.4.1 にアップした。しかしどうも具合がよろしくない。 どうやら まだ正式サポ−トしているSI業者はないようである。 一応ファ−ムウェアを Fortinet 製品のサポ−ト・サイトに載せているところもあるにはあるが。ということで今のところ 無難と思われる v5.2.8 に戻すことにした。 VDOM にしたのでメニュ−としては [グロ− バル] の [ダッシュボ−ド] の [ファ−ムウェア バ−ジョン] の所で、 [アップデ−ト] をクリック。 {利用可能なファ−ムウェア} の {利用できる一覧} の一番上に v5.2.8 が あった。それにした。何かおかしくなったような感じはあったが、とりあえずできた。 # config global config global vdom config vdom # config global (global)# config global (global)# execute ? 以下はリセットのメニュ−のみ表示。 | factoryreset Reset to factory default now. factoryreset2 初期化から VDOM の設定は除くと書かれている。 | (global)# execute factoryreset2 リセットしてリブ−トした。 # show 先に作った VDOM の root,dmz の設定はそのままだった。インタ−フェ −スで定義して作った "LAN1to4" は消えていた。 * FortiGate-80C はもう終わりか? 2016/08/30 ログインしたらこんな画面がでてきた。 Fortinet 社で FortiGate-80C の保 守はまだ終了しない。確かまだ何年かあったとこないだ見た。これは単にこの購入製品の 保守が切れますよという案内だ。これまで通りSI業者を通じて年間保守費用を払えば使 える。特にここで "FortiCare 契約追加" で何かする必要はない。あせったぜ−!。 -------------------------------------------------------------------------- | Attension |------------------------------------------------------------------------- | /!\Service Expiry Notification | Warning:The following services will expire soon or have already expired. | Expired security services disminish security functionality. | | Hardware Expire on 2016-09-30 | ファ−ムウェア Expire on 2016-09-30 | Enhanced Support Expire on 2016-09-30 | Anti-virus Definitions Expire on 2016-09-30 | Extended Anti-virus Definitions Expire on 2016-09-30 | Intrusion Detection Definitions Expire on 2016-09-30 | Extended Intrusion Detection Definitions Expire on 2016-09-30 | Intrusion Detection Engine Expire on 2016-09-30 | URLフィルタリング Expire on 2016-09-30 | Device Identification Definitions Expire on 2016-09-30 | | □以後のログインで通知しない | [Add Contract][Later] -------------------------------------------------------------------------- ↑ ----------------------------------------------- これクリックしたら | FortiCare 契約追加 |←左の画面がでてきた。 |---------------------------------------------| Contractは契約とい | Please enter the contract number | う意味である。 | 契約番号 [ ] | | [ OK ][キャンセル] | ----------------------------------------------- * メモその1 FortiGate-80C を FortiOS v5.4.1 にした。最新である。認証で FortiToken を使おうと するとコ−ドを入れたところで拒否されてしまう。この前のバ−ジョンでは全く問題なく 使えていたのに。FortiToken は4年ぐらい前に試しに買っておいたもの。`2g/08/M FortiGate-80C の FortiOS v5.4.1 はメモリもCPUもくう。メモリは80%ぐらい常時 なった。挙動がおかしくなることがある。画面も緑ぽく応答が鈍くよろしくない。テスト が頗るやりにくい。そんなことで FortiOS は v5.2.8 にダウングレ−ドした。`2g/08/E FortiGate-80C では新しいファ−ムウェアはメモリが不足で使えないことはないがダメだ。 ファイアウォ−ルで設置した FortiGate-800D のファ−ムウェアを、新しいのに変えてい かないといけないのだが。FortiGate-100D を新たに購入し動作検証をやってからにする。 ついでに FortiAnalyzer のことも。1つ以前に買った 100C、これはもう止めにするかな。 FortiGate などのファ−ムウェアのバ−ジョンが対応でなくなっている。ファイアウォ− ルで動かしている 800D をバ−ジョン上げ 5.4 代にしたら、利用できなくなるのだ。 * メモその2 FortiGate-80C は v5.4.1 にアップしたり、また v5.2.8 に戻したり。いろいろあって現 状は v5.2.10 になっていた。しばらくほかっていて、 見たらライセンス情報は全部で接 続不可になっていた。ファイアウォ−ルでライセンス情報のパケットが止められている?。 G->[ネットワ−ク]->[DNS] のDNSのIPアドレスがまずくなっていた。 自社のDMZ に設置したDNSサ−バのIPアドレスを記載していた。これをアマゾンに移してDMZ の named は止めたのだった。 社内に設置したDNSキャッシュサ−バのIPアドレスを 書いたら、サポ−ト契約が順々に緑色の〆に変わった。ダッシュボ−ドでざっと、詳しい のは G->[設定]->[FortiGuard] に出る。 [FortiGuard] 画面を見たら Webフィルタリング、Emailフィルタリング、メッセ−ジング サ−ビスが (x) 灰色のままになっていた。 [ Test Availability ] をクリックしたら数 十秒で Webフィルタリング と Emailフィルタリング は緑の〆に変わった。メッセ−ジン グサ−ビス というのは灰色のままで変わらなかった。 ▼WebフィルタリングとEmailフィルタリングオプション 〆Enable webfilter cache TTL:[3600 ] 〆Enable antispam cache TTL:[1800 ] Port Selection ◎ Use Default Port(53) [ Test Availability ] ○ Use Alternate Port(8888) ... URLのカテゴリレ−ティングを再評価するには ここをクリックしてください (5) FortiGate-100D で最新バ−ジョン `2h/05〜 -------------------------------------------------------------------------------- 暇をやるという言い方。これって普通に分かる言葉なのかな。そのバッグ、そろそろ暇を やったらどうぞね。長いこと使ってきて、ほつれや汚れがめだってきて、そろそろ新しい のに買い替えるたらどうか。そんな意味だけど。感謝の意味合いも含まれていると思う。 -------------------------------------------------------------------------------- * 100 シリ−ズとファ−ムウェアは 7月7日の東京での "Fortinet Security World 2017" セミナ−に FortiGate-100E が出 ていた。1ヶ月ぐらい待てば 100D でなくてこっちの機種が買えたかも。ファ−ムウェア の資料は「FortiOS 5.4 DATA SHEET」2016/11/17入手した、10ペ−ジ有りかなり詳しい。 FortiOS 5.4 のハンズオンセミナ−が各地で開かれている。FortiOS 5.6 の資料が出てい る、7月7日に日本市場に投入するとのアナウンスあり。FortiOS 5.6.1 は8月上旬より 提供開始の予定。FortiOS 5.6.0 は先行ユ−ザ−に提供中とのことである。 * 先ずは電源の投入からやってみる 80C より 100D の方が静かだったのでないか。それならもう置き換えるとしよう。ついで だから 80C のコンフィグレ−ションを 100D に入れてみよう。 実際にやったことがない ので、いい機会だ。100D は工場出荷時のままということ。 80C には VDOM の設定とかい ろいろやってある。100D の電源を入れてみた。 手元の机の上に少し離して置いているが まるで静かである。80C は机の下に箱の中に入れて音を少しでも減らそうとやっている。 付属していた資料も目を通してみるとするか。サポ−ト期間は弊社製品出荷月の翌日1日 から1年間。ソフトバンクコマ−ス&サ−ビス株式会社。ユ−ザ−登録は保守サ−ビスも 同時に購入したお客様は不要、代行すると書かれてある。英文の「QuickStart Guide」垢 抜けているぞ、後ろの方にはカラ−で他の製品紹介も載っていた。付属品には USB Cable、 Ethernet Cable、Console Cable 1本ずつあり。 最初のアクセスはWebで 192.168.1.99 で。RS-232C でもいいけど。Windows 7 パソコ ンと筐体の NGMT ポ−トをイサ−ネットケ−ブルをつないで。Mozilla Firefox でアクセ ス。[Network]->[Interfaces]でlan は 192.168.100.99 16ポ−ト、dmz は 10.10.10.1、 wan1 と wan2 は 0.0.0.0.0.0.0.0。 System Resources の CPU Usage はほぼ0、Memory Usage は13%。[Network]->[DNS] は 208.91.112.53 と 208.91.112.52 だった。 早速 80C でバックアップした制御ファイルを Restore してみた。[Dashboard] 画面のと ころで。"(!) Invalid configuration file or password required X" が表示されて出来 ない。80C でバックアップするのにパスワ−ドを入れる所はないし。いきなり問題遭遇だ。 多分もう少しファ−ムウェアをアップしておかないけない?。同じバ−ジョンのファ−ム ウェアでないとダメとか。しかし出来そうにないので以下、手作業で設定をやってみる。 -------------------------------------------------------------------------------- | https://192.168.1.99/... |------------------------------------------------------------------------------- |[]FortiGate 100D FGT100D3Gxxxx @ 3 ? [] admin |------------------------------------------------------------------------------- |Dashboard | System Information |FortiView | |Network | HA Status: Standalone [Configure] |System | Host Name: FGT100D3Gxxxx [Change] |Policy&Objects | Operation Mode: NAT |Security Profiles | Inspection Mode: Proxy-based [Change] |VPN | Firmware Version: v5.4.3,build111(GA) [Update] |User&Device | System Configuration: [Backup][Restore][Revisions] |WiFi&Switch Controller| Virtual Domain: Disabled [Enable] |Log&Report | |Monitor | License Information 先ずやったこと [System]->[Settings] 画面で idle timeout [5 ]Minutes(1-480) を 30 に、View Settings の Language [English ▽] を Japanese に。 * 80C の画面を見ながら 100D を設定 ファ−ムウェアのバ−ジョンの違いで FortiGate-100D は、FortiGate-80C とはだいぶ画 面の様子が異なる。80C では VDOM を使っているので [ダッシュボ−ド] 画面の "バ−チ ャルドメイン: 無効[有効]" で [有効] をクリックし、100D でも VDOM を有効にした。 --------------------------------------------- DGへ|.2 | https://192.168.1.99/... ------------------ 192.168.1.0 |-------------------------------------------- wan1|.6 |[]FortiGate 100D FGT100D3Gxxxx ----------- |-------------------------------------------- dmz| 100D |-------- |[グロ−バル ▼] << ほかに root が出る。 ------| root | vdom1 | |ダッシュボ−ド ------------------- |ネットワ−ク lan1|.2 .3|lan16 |システム << この中に VDOM あり。 ------------------------------ |ログ&レポ−ト 192.168.9.0 [グロ−バル]->[ネットワ−ク]->[インタ−フェ−ス] 画面で dmz から編集してみる。以 下 [グロ−バル] は省略することもあり。インタ−フェ−ス名 dmz、 タイプ 物理インタ −フェ−ス、バ−チャルドメイン root、ロ−ル [DMZ ▽]。 その他で Botnetサイトへ接 続するコネクションをスキャン [無効]|ブロック|モニタ]。"IP/ネットワ−クマスク" を 記述、192.168.8.0/255.255.255.0。dmz はとりあえず必要なかったけど、まあいいか。 wan1 の編集。インタ−フェ−ス名 wan1、タイプ 物理インタ−フェ−ス、 バ−チャルド メイン root、ロ−ル [WAN ▽]。予想帯域幅 というのあり。 アドレッシングモ−ド [マ ニュアル|[DHCP]|PPPoE] は "マニュアル" にしたら "IP/ネットワ−クマスク" メニュ− が出てきて記述 [192.168.1.6/255.255.255.0]。Botnetサイトへ接続するコネクションを スキャン [無効]|ブロック|モニタ]。 80C での インタ−フェ−ス名 internal1 相当の 100D での作り方がよく分からない。先 ず現状を書いておく。インタ−フェ−ス画面でハ−ドウェアスイッチ(1)、名前 lan、 メ ンバ ポ−ト1 から 16、"IP/ネットワ−クマスク 192.168.100.99 255.255.255.0"、タイ プ Hardware Switch(16)、アクセス PING,HTTPS,HTTP,FMG-Access,CAPWAP、バ−チャルド メイン root。以上は 100D の工場出荷時のままの設定である。 名前 lan をクリックし、物理インタ−フェ−スメンバが port1 から port16 まであるの を port1 を削除した。 [新規作成 ▽]→{インタ−フェ−ス} で "インタ−フェ−スの作 成" をする。インタ−フェ−ス名 [lan1 ]、タイプ [ハ−ドウェアスイッチ ▽]、バ−チ ャルドメイン root、物理インタ−フェ−スメンバ [port1 ]、ロ−ル [LAN ▽]、アドレ ッシングモ−ド [マニュアル]|DHCP|PPPoE] で "IP/ネットワ−クマスク" 記入。 ----------------------------------- | https://192.168.1.99/... 80C では internal5 に vdom2 を internal6 |---------------------------------- に vdom1 を定義している。とりあえずvdom2 |[]FortiGate 100D FGT100D3Gxxxx はなし、vdom1 は作ることにする。 |---------------------------------- |[root ▼] ここら辺りまでの設定で装置の負荷状態を見 |FortiView てみた。システムリソ−スの CPU使用率はほ |ネットワ−ク ぼ0、メモリ使量は14%だった。 |システム |ポリシ−&オブジェクト | | 静的経路と LAN->WAN のル−ルを設定する。root に入って作業。[ネットワ−ク]->[スタ ティックル−ト] で 宛先 [サブネット]緑、[インタ−ネットサ−ビス]灰色、[0.0.0.0/0 .0.0.0 ]、デバイス [wan1 ▽]、ゲ−トウェイ [192.168.1.2 ]。[ポリシ−&オブジェク ト]->[IPv4ポリシ−] には lan-wan1(1)、Implicit(2-2)があった。lan-wan1 は"all all always ALL 〆ACCEPT 〆有効"。Implicit は "all all always ALL (/)DENY" だった。 * プロキシとDNSがどうなっているか プロキシとDNSがどうなっているか確認してみたい。これまでいろいろテストしたり機 能を確認したりやってきて、頭が混乱してまった。今一度ここで整理してみる。というこ とでここでは SSL-VPN は取り上げない。それで vdom1 にプロキシ設定をすることにする。 そして port16 を vdom1 に対応付けることにする。 [グロ−バル]->[システム]->[VDOM] 画面の {+新規作成} をクリックし {新規バ−チャル ドメイン} で、バ−チャルドメイン [vdom1 ]、 インスペクションモ−ド [プロキシ](デ フォルト)。vdom1->[ネットワ−ク]->[スタティックル−ト] 画面の {+新規作成} をクリ ックし、宛先 [サブネット]、デバイス [lan16 ]、ゲ−トウェイ [192.168.9.2 ]。 [グロ−バル]->[ネットワ−ク]->[インタ−フェ−ス] にて下記のを作成する。 ちょっと 癖があるので注意。インタ−フェ−ス名 [lan16 ]、タイプ ハ−ドウェアスイッチ、バ− チャルドメイン [vdom1 ▽]、物理インタ−フェ−スメンバ [port16 X]、ロ−ル [LAN▽]、 アドレッシングモ−ド [マニュアル]、IP/ネットワ−クマスク [192.168.9.3/255.xxx.0] vdom1->[システム]->[フィ−チャ−選択] にて"Explicitプロキシ" をオンにした。vdom1 ->[ネットワ−ク] に [Explicitプロキシ] が出た。vdom1->[ポリシ−&オブジェクト] に [Explicitプロキシ ポリシ−] が出た。[Explicitプロキシ] は Listenするインタ−フェ −ス [lan16 ]、HTTPポ−ト [8080 ]、 デフォルトファイアウォ−ル... 拒否 を 許可に。 [Explicitプロキシ ポリシ−] で {+新規作成}。Explicitプロキシタイプ [Web]、有効に なっているインタ−フェ−ス lan16、出力インタ−フェ−ス [lan16 ▽]、 送信元アドレ スと宛先アドレスは共に all、アクション 〆ACCEPT。"web proxy - lanl6(1-1)" が出来 た。ここで各種 セキュリティプロファイル を適用できる、どうするんだったか。 --------------------------------- | https://192.168.1.99/... ============================================ |-------------------------------- インタ−フェ−ス名 [lan16]というのでは、ポ− |[root ▼] ト名と同じでよろしくない。インタ−フェ−ス名 | | [lan1] は port1 を使い、 [lan2] は port16 を |ポリシ−&オブジェクト 使うということにする。後でそのように変更する。 |セキュリティプロファイル ============================================ | アンチウィルス | Webフィルタ | DNSフィルタ << root->[システム]->[フィ−チャ−選択] にこれに | アプリケ−ションコントロ−ル 対応する {DNSフィルタ} というのがある。80C に | クラウドアクセス セキュリティ はなかった。FortiGuard Web フィルタリングの購 | インスペクション 読が必要と噴き出しにでてきた。 | FortiClientプロファイル | プロキシオプション << 80C の vdom1->[ポリシ−&オブジェクト]->[ポリ | SSL/SSHインスペクション シ−]->[プロキシオプション] default のと同じ。 | Webレ−ティングオ−バ− | Webプロファイルオ−バ−ライド * 引き続いて 100D を設定する検討を VDOM にプロキシサ−バを作った場合、装置に指定したDNSを見る。G->[ネットワ−ク] ->[DNS] ここにはデフォルトで 208.91.112.53 と 52 が書かれている。[root], [vdom1] の中にはDNS指定するところはない。FortiGate 内にはDNSサ−バは設けない。社内 ネットワ−クに設置したDNSキャッシュサ−バを FortiGate で指定する。 G->[システム]->[設定] 管理者設定 の 中央管理 "FortiCloud" になっていたのを"なし"。 G->[システム]->[フィ−チャ選択] 3つしか選択肢が出て来ない。 VDOM それぞれのとこ ろで選択する。root->[システム]->[フィ−チャ選択] {DNSデ−タベ−ス},{Explicitプロ キシ} は OFF になっていた、そのままとする。 vdom1 にて不要なメニュ−を出さないようにする。フィ−チャ−選択で以下をオフにした。 VPN、WiFiコントロ−ラ、WANリンクロ−ドバランス、トラフィックシェ−ピング、スイッ チコントロ−ラ、高度なル−ティング、DNSデ−タベ−ス。DNSデ−タベ−スは前のと変わ りなかった。スイッチコントロ−ラ は FortiSwitch の制御用。 root にて不要なメニュ−を出さないようにする。フィ−チャ−選択 で以下はデフォルト でオンになっていのをオフにした。VPN、WiFiコントロ−ラ、スイッチコントロ−ラ。 次 のはオンになっていたがどうしたらいいかな、トラフィックシェ−ピング、ポリシ−学習、 脅威ウェイトトラッキング。WANリンクロ−ドバランスはとりあえずオンのままにする。 root->[システム]->[フィ−チャ−選択] の {複数インタ−フェ−スポリシ−}。デフォル トはオフになっている。これをオンにしたらどうなる、何ができるようになるのか。 80C の方にはこれは無かった。root->[ポリシ−&オブジェクト]->[IPv4ポリシ−] 辺りの中身 が変わったのでないかと思うが、パット見、特に変わったところは無さそうである。 * こんな絵を描いて更なる検討を期待 vdom1->[ポリシ−&オブジェクト]->[Explicitプロキシ ポリシ−]作成 "web proxy-lan16, all all 〆ACCEPT セキュリティプロファイル選択"、ここでセキュリティチェックをして 社内のどのパソコンからのアクセスで問題があるか分かるようにする。rootでプロキシう んぬんは無し。vdom1->[ポリシ−&オブジェクト]->[IPv4ポリシ−] は作成せず。 DNS1□ DNS2□ □光B用DNS DNScはDNSキャッシュサ−バ、NetAttest D3で X.1| X.2| |使用せず? ル−トDNSファイルをみる。通常は光A 回線を / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ 通る。光A 側がダウンしたら回線2重化で光C回線 \_____________/ を通る。wan1 側を通ってインタ−ネットへ行く。 :光A:光C :光B : : : 社内のパソコンでのブラウザはプロキシサ−バを 主: :副 : 介し、FortiGate でポリシRにより wan2 側の光 □R □R : B回線を行く。 DNSパケットは wan1 側を通る、 ‖ | : 光A,C がダウンするとDNSが利用できなくなる。 ----------- : |回線2重化| : HTTP, FortiGate-80C v5.2.8で先に同様な検討をしたが、 ----------- R□ HTTPS 100D v5.4.3 でも結局できることは変わらないみ A ‖ B | ↑ たいである。ひょっとすると"WANリンクロ−ドバ ========= ----------- | ランス" でうまい制御ができるかも知れない。 wan1‖ |wan2 Policy| MR□ ----------- Routing| とりあえず光A,C がダウンした場合の手段として、 | | DNS C.9 | 手作業で C.9からのDNSパケットをポリシRで ------| DNS X.1 |------ Proxy wan2に誘導する設定をすること。ひょっとすると | Grobal |vdom1| サ−バ 自動でやる方法が有るかも知れない、期待したい。 DNSc ----------------- □ | | DNScはル−トDNSを見るのと、社内用DNSサ |.9 |.2 |.5 C −バとして社内PCから社内設置のサ−バにホス ------------------------------ ト名でアクセスできるようにするのに用いる。 * ここから社内ネットワ−クに繋いだ `2h/07/e〜 インタ−フェ−ス名 lan1 には port1 に加えて、 port2 を割り当てパソコンをつないだ。 80C のネットワ−クケ−ブルは外した。80C の wan1 につなげていたケ−ブルを 100D の wan1 につないだ。パソコンは 192.168.9.10 ぐらい適当なIPアドレスを付けた。 これ までは 100D の NGMT ポ−トとパソコンをつないで設定していた。vdom1 にプロキシの設 定もした、パソコンのブラウザでプロキシ指定して外部サイトも表示できた。設定は大丈 夫そうである。ところでまだライセンスをきちんとしてなかった。それで再起動してみた、 そしたらライセンス登録うんぬんの画面が出た。ここからはまってしまい、それは付録に。 お盆明け何とかセキュリティ関係のライセンスも、SI業者と交渉して有効になった。ラ イセンスの確認のため、作った VDOM もいったん消して [IPv4ポリシ−] にル−ルを1つ だけ lan-wan1 で "all all always ALL 〆ACCEPT 〆有効" にしていた。セキュリティプ ロファイルは1つも利用にチェックなし。CPU使用率0、メモリ使用量18%。このル −ルに対してアンチウィルス、フィルタ、アプリケ−ションコントロ−ルを利用にしたら メモリ使用量23%になった。そしてフィ−チャ−選択で侵入防御を有効にした、メモリ 使用量は変わらず。lan-wan1 ル−ルに侵入防御を入れた、メモリ使用量28%になった。 やはりル−ルにセキュリティを適用するようにしただけでメモリを食っている。このこと 重要。100D のLAN側にはノ−トパソコンが1台あるが蓋は閉じた状態。v5.4.3 を見て 新しい機能があった。[ポリシ−&オブジェクト] に [インタ−ネット サ−ビス デ−タベ −ス] と言うのが新しくできていた、画面の最初に Amazon-Web 他 Amazon 何とかが20 ぐらい。 [セキュリティプロファイル] に [クラウドアクセス セキュリティ インスペク ション] 画面には "CASIプロファイル編集"、 ここの General.Interest に Amazon あり。 [セキュリティプロファイル]->[アプリケ−ションコントロ−ル] これは以前からあるが、 画面のカテゴリの Cloud.IT に Amazon.AWS、Amazon.AWS_EC2、Amazon.AWS_S3 あり。 他気付いたこと。[システム] に [Cooperative Security Fabric] と言うのがあった、画 面には Cooperative Security Fabric(CSF)、HTTPサ−ビス、SMTPサ−ビス − FortiMail、 Sandboxインスペクション をそれぞれ適用するか。[システム]->[FortiGuard] 画面の"ア ンチウィルス"の所に AV定義、AVエンジン、Botnet IP、Botnetドメイン というのがあっ た。フィ−チャ−選択 に DNSフィルタ というのあり、多分Webレピュテ−ションと同 等の機能でないか、FortiGuard Webフィルタリングの購読が必要とある。ん?、フィ−チ ャ−選択 に ドメイン&IPレピュテ−ション というのもあるぞ。いろいろ増えているな−。 ------------------------------------------------------------------------------------ [ 付録 ] FortiOS 5.4.x 代で変わったところ `2h/07〜 * ポ−トの扱いがちょっと分かりにくい タイプがハ−ドウェアスイッチでインタ−フェ−ス名 lan は port3 から port15 を割り 当て、インタ−フェ−ス名 lan1 は port1 と port2 を割り当てた。 タイプが物理インタ−フェ−スで dmz,ha1,ha2,mgmt,wan1,wan2 が最初からあり。加えて インタ−フェ−ス名 port16 というのを作り port16 を割り当てた。間違い、後で訂正。 インタ−フェ−ス名 port16 を消すのに難儀した。これを消すのでなくインタ−フェ−ス 名 lan の所をクリックして、右の方に出てくる port16 を lan に加えることによる。 [ダッシュボ−ド] 画面の "バ−チャルドメイン: 有効[無効]" になっているのを [無効] をクリックした。メニュ−の一番上の [グロ−バル] に無くなり root もなくなった。 これでライセンスが有効になるかやってみたけど、有効期限切れのままで変わらなかった。 購入先のサポ−トにメ−ルで問い合わせた。バ−チャルドメインをまた有効にした。 インタ−フェ−ス名 port16 と名前を付けたのでは無かった。インタ−フェ−ス名 lanか ら port16 を抜いたら "物理" のところに port16 という名前で出てきていたのが正解。 {+新規作成} でインタ−フェ−ス名 Test1 と名前を付け、タイプ ハ−ドウェアスイッチ、 物理インタ−フェ−スメンバ port16 を画面選択。"物理" から port16 は消えた。 インタ−フェ−ス名 lan から port15 も抜いて。インタ−フェ−ス名 Test2、タイプ ソ フトウェアスイッチ、物理インタ−フェ−スメンバ port15 を選択。これもできた。 後から作成できてインタ−フェ−スとして使えるのはハ−ドウェアスイッチとソフトウェ アスイッチである。違いは何。多分ハ−ドウェアの方を普通は使えばいいのだと思う。 [グロ−バル]->[システム]->[VDOM] 画面の {+新規作成} でバ−チャルドメイン [vdom1]。 インタ−フェ−ス名 lan2 で vdom1、port16、ロ−ルLAN。テスト環境のIP192.168.9.3。 * インタ−フェ−ス名 port16 を消すのに 画面から消えないのでいろいろやった。ひょっとして"internal-switch-mode interface" の設定が関係しているのかもと、下記のように探したけどこの新しいファ−ムウェアので は無かった、無くなっていた。前は VDOM を作るのも、ポ−トを分けて使えるようにする のもコマンドでやった。v.5.4.3 ファ−ムウェアでは画面でやれるようになっていた。 グロ−バル でも root でも [ネットワ−ク]->[インタ−フェ−ス]->{+新規作成} で出た "インタ−フェ−スの作成" 画面にて。タイプ [VLAN ▼] の選択肢には 802.3adアグリゲ −ト、Redundantインタ−フェ−ス、Loopbackインタ−フェ−ス、 ハ−ドウェアスイッチ、 ソフトウェアスイッチ、WiFi SSID がある。前はこんなにたくさん無かったと思うけど。 # config system ? interface Configure Interfaces. physical-switch Configure physical switches. switch-interface Configure software switch interfaces. # config global (global) # show full-configuration | grep switch set switch-controller enable set type hard-switch config system physical-switch config system virtual-switch set physical-switch "sw0" * 100D のライセンスを有効にする顛末 --- お粗末な話でした、どなんするん 一応再起動した、そしたら登録うんぬんの画面が出てきた。 -------------------------------------------------------------------------------- | https://192.168.9.2/... |------------------------------------------------------------------------------- |[グロ−バル ▼]| /!\ Attension: Device Registration Incomplete |ダッシュボ−ド | | | We have detected that your registration is incomplete. | | To setup your FortiCare (Support) account,please select 続く | | □以後のログインで通知しない "Register Now". | | | | [ Register Now ][ Later ] とりあえず [ Later ] クリックしたら、ライセンス情報は "サポ−ト契約" 登録 〆登録 済み (Confidential) になった。他は 未登録 か 利用不可 になっている。もう一度、再 起動したら同じ文面 Attension がでてきた。ライセンス情報は 未登録 のが 有効期限切 れ に変わったのも出てきた。未登録 は モバイルマルウェア だけだった。翌日みたけど 変わりなかった。ダッシュボ−ドのライセンス情報で {更新方法} というのが出ていてク リックしたらビデオで説明しているサイトに行った。ライセンセンスの購入の仕方うんぬ ん。他にも 175 のビデオがある。https://video.fortinet.com/video/178/how-to-pu..。 しかし黙っていてもライセンスは有効になるはず?。翌日、タイムゾ−ンが違っているの に気付いた (GMT+9:00) Osaka,Sapporo,Tokyo,Seoul に変更した。すぐには変化なかった、 また様子をみる。これまで Fortinet 製品を幾つも買ってきたが2回に1回はライセンス の認識がすぐには出来なかった。 VDOM を先に作ったのがまずかったかと思い VDOM をな しにしてみたがダメだった。購入先のサポ−トにメ−ルで問い合わせた。気持ち悪いから 早く回答をくれ−、何とかしてくれ−。こんな事に時間を取られたくないぞ。サポ−トか ら2日経って返事のメ−ルが来たが、コンフィグレ−ションを送ってくれと。 グロ−バルの他に VDOM を作ったのなら root と作ったのも送れ。社内ネットワ−クには wan1 をつなげてある。この wan1 ポ−トに Firefox でアクセスした https://xxxxx/ と。 "安全な接続ではありません" と出たがいつもの画面ではない。詳細 をクリックしたら安 全なウェブサイトでのエラ−コ−ド "SEC_ERROR_UNKNOWN_ISSUER" の問題解決、self-sig ned.badssl.com は不正なセキュリティ証明書を使用しています。 自己署名をしているた めこの証明書は信頼されません。[例外を追加...] うんぬんと出てきた。 badssl なんて 怪しいぞ。1時間ぐらい見て説明だと分かった。いつものように例外を追加したのだった。 * 続こんな絵を描いて更なる検討を期待 `2h/11/M〜E FG-0 の FortiGate-800D はメモリの状況からすると、 プロキシサ−バも賄えるだけの余 力は持っていると思われる。しかし後々のことを考えWAFSもできるようこの際、設計 することにした。そのために別に FortiGate を設置し FG1、 これでプロキシとWAFS をやらせるようにした。セキュリティのチェックは FG-0 で行ない、1ヶ所でログを見て セキュリティの状況が分かるようにする。FG1 は FortiGate-201E でWAFSもできるよ うモデルを選びあらかじめWAFSサ−バの設定をしておく。多分WAFSの設定はきち んとしたものはできないかも知れない。 後で FortiGate を再起動したりしなくても済む ように基本的な設定ができれば由とする。稼働させながらテストをやれるようにしておく。 -------------------------------------------------------------------------------- FG1 内の DNSサ−バは DNSc と同じく社内用DNSサ−バの設定ができることが11月初 めに分かった。できないと思ってたので DNSc の NetAttest D3 を導入したのだが。ブラ ウザのプロキシ利用に関しては DNSc は不要となった。FG1 は内部の DNSサ−バを先ず見 て、該当するのが無ければ DNS指定 Y.1 を見る。もし Y.1 が止まっていたらX.1 を見る。 -------------------------------------------------------------------------------- 2msec 11msec 1msec 8msec << www.cman.jp サイトでDNSの応答速度を計った。 DNS1□ DNS2□ □ □光B用DNS X.1| X.2| |F.1 |Y.1 Y.1 は某国際電話会社の回線 wan2 からのみ利用 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ できるよう制限が掛かっている。F.1 は某国内大 \_____________/ 手プロバイダで wan1 でも wan2 からでも利用で :光A:光C :光B きる。 DNS1 と DNS2 は自社DNSサ−バの1次 : : : と2次サ−バである。 いずれも Aamazon EC2 に 主: :副 : ありプロバイダに管理してもらっている。2次は □R □R : 契約開始当初から、1次は有償で少し前依頼した。 ‖ | : ----------- : 社内のパソコンでのブラウザはプロキシサ−バを |回線2重化| : HTTP, 介し、FortiGate でポリシRにより wan2 側の光 ----------- R□ HTTPS B回線を行く。DNSパケットはwan1 側を通ると A ‖ B | ↑ 光A,C がダウンするとDNSの名前解決ができな ========= --------- | くなり、結果 wan2 経由のインタ−ネット・アク ‖ | ポリシR セスができなくなる。これを回避するためポリシ wan1‖ |wan2 Rに C.5 から Y.1 へは wan2 を通すようにする。 MR□ ------------- FG1 | |DNS X.1,F.1| ------------- できるだけ速いDNS応答にしたければ X.1を指 ------| | |DNS Y.1,X.1| 定する。8msec が 2msec になる。光A,Cが同時に | FG0 | |Proxyサ−バ| ダウンして回線冗長化装置が役立たない事は先ず DNSc ------------- |DNSサ−バ | 起きないだろう。FG1 を "DNS X.1,Y.1"の順番に □ | ------------- する。もし光A,C が同時にダウンした場合 X.1が .9| C .2| 192.168.1.0 |.5 が反応なければY.1 を見にいく。光A,C両方 DDoS ---------------------------------- 攻撃を受け回線が不安定になった場合はダメだが。 DNScはル−トDNSを見るのと、社内用DNSサ−バとして社内PCから社内設置のサ− バにホスト名でアクセスできるようにするのに用いる。ル−トDNSを見るのは、少しで も速い名前解決ができるように、DNSキャッシュサ−バとして出来るだけ近い所にある のが望ましいとずっと考えて来たからである。しかしインタ−ネット上にある利用できる DNSサ−バの応答を下記で調べたら 1msec から 11 msec で、全然問題ないのではない か。社内サ−バをホスト名でアクセスしたいという要件がなければ、 DNSc は無くても構 わないのでないかと最近になって考えを変えた。基本 DNSc はナシの方向にする。 DNSの応答時間は dig でも調べたが数百msec とかいろいろでてきた。 一度 dig で調 べると、それは指定したDNSサ−バにキャッシュされて数msec なんて値を返す。 どう にも混乱させられたのだが、www.cman.jp サイトでの値で判断していいのでないか。日を 置いて何回か計ったが、出てくる値は似たようなものだった。社内のパソコンや DNSc の NetAttest の dig で計ると、 社内ネットワ−クとインタ−ネット回線の混み具合も大き く影響するような気がする。変動が大きいのである。頭を冷やしていろいろ出たDNSの 応答速度の意味を考えた結果、以上のようなことになった。これでいいと思う!。 [ DNSのレスポンスの調査と検討 ] DNSの名前解決はブラウザ利用の速度に大きく影響する。適切にDNSサ−バを選んで 指定することが快適なインタ−ネット・ライフには必要である。そこで幾つか利用可能な DNSサ−バの応答速度を計ってみることにした。 http://www.cman.jp/network を使わ せてもらおう。[DNSチェック] をクリックし入り "ホスト名(FQDN) [mail.nix.co.jj ]"、 "DNSサ−バを指定する場合(任意) [208.91.112.53 ]" などと記入し [ dig実行 ] する。 Query time: 406 msec とか出てくる。208.91.112.53 は FortiGate のデフォルトの DNS 指定IPアドレスである。◎FortiGuardサ−バ利用 で 208.91.112.53 と 52 である。 X.1 のDNS応答は数msec、自社のDNSサ−バが Amazon EC2に専用で立っている。X.2 は11 msec、プロバイダのDNSサ−バの中に2次DNSサ−バがあって、 ここには他社 の2次DNSサ−バもあるのだろう。そのため応答時間がかかるのだと思われる。F.1 は 1 msec、流石国内随一のプロダバイダだけあって上手に調整されているのだろう。Y.1 は 8 msec、これも結構速い応答である。ならば社内に設置してあるDNSキャシュサ−バの NetAttest ではさぞかし速い値がでるのでないか。 パソコンから dig でDNS指定 C.9、 NetAttest 画面の [システム管理]->[システムツ−ル] の dig で 127.0.0.1 にして計る。 C:\Program Files\BIND9\bin\ に入り、>dig @192.168.1.9 mail.nix.co.jj。 NetAttest には nix.co.jj ゾ−ンのエントリをいろいろ記入した、でも mail.nix.co.jj は記入してなかった。>dig @192.168.1.9 mail.nix.co.jj をやると 0 msec とか 2 msec とか出た。NetAttest からル−トDNS行って Amazon EC2 にある自社DNSサ−バに見 に行っていると思われる。こんなに速いかなと思うけど。NetAttest 画面からやっても同 様。他のインタ−ネットのサイトはどうか。 >dig @192.168.1.9 www.asahi.com では 94 msec とか出た。続けてやると C.9 NetAttest にデ−タがキャッシュされたせいか 1msec とかになる。注意深くテストしないとキャッシュが効いて訳が分からなくなってしまう。 前にテストした際の記事"26-2.引続きインタ−ネット接続モデル,(1)FortiGate とDNS サ−バの関連で" を読み直して再度DNSの応答速度を調べてみることにしよう。どうも さっき計った様子では、NetAttest を指定したDNSの応答は遅いのでないかという印象 である。もしそうだとすると FortiGate などプロキシ利用でのDNS指定で、NetAttest を指定するのはよろしくない。利用DNSサ−バは利用者の近くである社内にあるのが望 ましいと考えていたが、キャッシュデ−タの利用に関してはいいが、名前解決をしにいく のはよろしくないということになる。ともかく頭を冷やしてからもう一度調べる!。 << ソリトン社製 NetAttest D3 >> IEダメ、Mozilla で。 http://C.9:2181/ 画面の [システム管理ペ−ジへ]。ル−トDNSがどうなっているか調 べたら B.ROOT-SERVERS.NET. が古かった。[ドメインネ−ムサ−ビス]->[ル−トサ−バ− 設定] この画面で現在の様子は分かる、[ドメインネ−ムサ−ビス]->[サ−バ−状態]画面 の [ル−トサ−バ−の更新] をクリックしたらその場で変更になった。一応、再起動した。 [システム管理]->[システムツ−ル] 画面の {dig} にて、下記のように実行。 ------------------------------------------------------------------------- | 名前 [www.asahi.com ] [A ▼] □+dnssec | ドメインネ−ムサ−バ− [127.0.0.1 ] | [ 実行 ] | | ----------------------------------------------------------------------- | | ; (1 sever found ) | | ;; global options: +cmd | | ;; Got answer: | | ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22118 | | ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 9, ADDITIONAL: 10 | | | | | ;; Query time: 500 msec << 別な日にやったら 157 msec とか。 | | | えらい時間がかかっている、何で?。ひょっとして社内ネットワ−クにインタ−ネット回 線を通るのに時間がかかっているのかも。それともこの NetAttest の出来が悪い、 中の プログラムがちゃんとチュ−ニングされていないとか。そんな疑念が浮かんで来て、なら ば同じ社内ネットワ−クにある他の dig ならどうかと思い、Cobalt Qube3 でも試してみ ることにした。ル−トDNSがふるいのがあって、それをきちんとしてやった方が良かっ たのだが、どうも傾向としては遅いのは変わりなかった。 特に NetAttest に問題がある ということではなさそうである。全くDNSは奥が深い切りがない。インタ−ネットに携 わる者はやはりDNSの挙動はきちんと理解しておかなければならない。必須科目である。 << Cobalt Qube3 にも dig あり >> http://C.?:444/ でアクセス。[ネットワ−クサ−ビス]->[DNS] 画面の DNSサ−バを有効 にする に〆した。[システム]->[TCP/IP] 画面の DNSサ−バ のところに 127.0.0.1 記入 した。これで ping で名前解決できるようになった。telnet で入って dig コマンドした。 ル−トDNSファイルは /etc/named/db.cache にある。"last update: Aug 22, 1997" で B,D,H,J,L が古かったがそのままにした。 /etc/resolv.conf $ ps -ef | grep named --------------------- root 18437 1 0 08:35 ? 00:00:00 named |nameserver 127.0.0.1 |search mydomain $ su - # which dig |domain mydomain Password: /usr/bin/dig # dig @127.0.0.1 www.iij.ad.jp ; <<>> DiG 8.2 <<>> @127.0.0.1 www.iij.ad.jp ; (1 server found) ;; res options: init recurs defnam dnsrch ;; got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 4 ;; QUERY SECTION: ;; www.iij.ad.jp, type = A, class = IN ;; ANSWER SECTION: www.iij.ad.jp. 5M IN A 202.232.2.164 << Qube3 のDNSサ−バには5分 間検索結果はキャッシュされる。 ;; AUTHORITY SECTION: iij.ad.jp. 1D IN NS dns1.iij.ad.jp. iij.ad.jp. 1D IN NS dns0.iij.ad.jp. | ;; Total query time: 44 msec ;; FROM: qube0.mydomain to SERVER: 127.0.0.1 ;; WHEN: Thu Nov 23 08:44:53 2017 ;; MSG SIZE sent: 31 rcvd: 173 # dig @127.0.0.1 www.tcp-ip.or.jp 見たい所だけ抜粋した ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3 ;; ANSWER SECTION: www.tcp-ip.or.jp. 5M IN A 157.14.19.224 ;; Total query time: 37 msec