26-7. インタ−ネットはもはや限界かも (1) オンプレミスのメ−ル環境続行 -------------------------------------------------------------------------------- メ−ルのテスト環境は "26-3.FortiMailでメ−ル暗号化の検討,(5)メ−ルサ−バ間の暗号 化のテスト" xmodel3.txt を参照のこと。MS' は壊れかけた Cobalt Qube3、 よくぞ今ま で持ち応えてくれた。大いに役立った。MR'は予備の FortiMail で、これもよく役立った。 -------------------------------------------------------------------------------- * FortiMail でテストメ−ルを出してみた MR' [ログとレポ−ト]->[アラ−トメ−ル]->{設定} FortiMail のテストメ−ルを出 ------------------------------------------ す機能で MS' にメ−ルした。 | 新規 削除 テスト |----------------------------- PC1 MS'←― MR' | □ アラ−トメ−ルアカウント △ □qub3 □fm2 |----------------------------- |.6 |.7 |.8 | □ ikken@nix.co.jj -------------------------- {カテゴリ} 次の項目にチェックが入っていた。 重大イベント、ディスクフル、HAイベン ト、メ−ルア−カイブのクオ−タを超過しました、FortiGuardライセンス有効期限。 [モニタリング]->[ログ]->{ヒストリ} にこのログは出てこなかった。{イベント} には出 てきたが件名とかはここには出てない。 MR' から MS' の ikken@nix.co.jj にメ−ルが行くか確認してみた。上のメニュ−で送信 先のメ−ルアドレスを記入して、[テスト] をクリックでメ−ルは行きました。 # cat /var/spool/mail/ikken MS' の Qube3 に入って届いたメ−ルを見た。 From MAILER-DAEMON Thu Jun 1 15:43:51 2017 ________ fm2.nix.co.jj のIP Return-Path: ↓ をQube3の /etc/hosts Received: from fm2.nix.co.jj (fm2.nix.co.jj [192.168.1.8]) から調べている。 by qub3.nix.co.jj (8.10.2/8.10.2) with ESMTP id v516hoC22937 for ; Thu, 1 Jun 2017 15:43:51 +0900 Received: (from [127.0.0.1]) by fm2.nix.co.jj id v5172ear017451-v5172ear017451 for ikken@nix.co.jj; Thu, 1 Jun 2017 16:02:40 +0900 Date: Thu, 01 Jun 2017 16:02:40 +0900 Subject: Alert Mail Test From: postmaster@nix.co.jj To: ikken@nix.co.jj Message-ID: <20170601160240.v51G2eRm016683@nix.co.jj> MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="--boundary.14963005602020157583" ----boundary.14963005602020157583 Content-Type: text/plain; charset=utf-8 Message body: 1st Line 2nd Line (2017-06-01 16:02:40) ----boundary.14963005602020157583 Content-Type: text/html; charset=utf-8 
Message body:
    1st Line
    2nd Line
    (2017-06-01 16:02:40)
----boundary.14963005602020157583-- * PC1 から MS' にメ−ルを送ってみた PC1 の Outlook 設定はアカウント ikken、メ−ルアドレス ikken@nix.co.jj、 メ−ルサ −バ 192.168.1.7。自身宛に送った。下記のログには PC1 はホスト名 rootPC、IPアド レスは 192.168.1.6 と出ている。MS' の Qube3 に入って届いたメ−ルを見た。 # cat /var/spool/mail/ikken From ikken@nix.co.jj Fri Jun 2 08:33:49 2017 Return-Path: Received: from rootPC ([192.168.1.6]) by qub3.nix.co.jj (8.10.2/8.10.2) with ESMTP id v51NXnC10273 for ; Fri, 2 Jun 2017 08:33:49 +0900 From: "IKKEN" To: Subject: htest1 Date: Fri, 2 Jun 2017 08:52:54 +0900 Message-ID: <002a01d2db32$2fbc6810$8f353830$@nix.co.jj> MIME-Version: 1.0 Content-Type: text/plain; charset="us-ascii" Content-Transfer-Encoding: 7bit X-Mailer: Microsoft Outlook 14.0 Thread-Index: AdLbMiVQdLOGr1xJT9CQxmGxoMo2Bg== PC1 ―→ MS' MR' Content-Language: ja △ □ □ |.6 |.7 |.8 Htest1 8:53 -------------------------- * PC1 から MR' にメ−ルを送ってみた−その1 PC1 の Outlook 設定はアカウント ikken、メ−ルアドレス ikken@nix.co.jj、 メ−ルサ −バ 192.168.1.8。PC1 から出した自身宛へのメ−ルは MR' に行って MS'に行った。MS' の Qube3 にログインして届いたメ−ルを見た。ちゃんとメ−ルは行っていた。 # cat /var/spool/mail/ikken From ikken@nix.co.jj Fri Jun 2 09:25:43 2017 Return-Path: Received: from fm2.nix.co.jj (fm2.nix.co.jj [192.168.1.8]) by qub3.nix.co.jj (8.10.2/8.10.2) with ESMTP id v520PhC12927 for ; Fri, 2 Jun 2017 09:25:43 +0900 Received: from rootPC ([192.168.1.6]) by fm2.nix.co.jj with ESMTP id v520icU2017881-v520icU3017881 for ; Fri, 2 Jun 2017 09:44:38 +0900 From: "IKKEN" To: Subject: htest2 Date: Fri, 2 Jun 2017 09:44:48 +0900 Message-ID: <002b01d2db39$703620a0$50a261e0$@nix.co.jj> MIME-Version: 1.0 Content-Type: text/plain; charset="us-ascii" ________ Content-Transfer-Encoding: 7bit | | X-Mailer: Microsoft Outlook 14.0 | ↓ Thread-Index: AdLbOWzkSXVUrdb5R0aGHJ4U9p5Iaw== PC1 MS'←― MR' Content-Language: ja △ □ □ |.6 |.7 |.8 Htest2 9:45 -------------------------- * PC1 から MR' にメ−ルを送ってみた−その2 PC1 の Outlook 設定はアカウント user1、メ−ルアドレス user1@tcp.or.jj、 メ−ルサ −バ 192.168.1.8。メ−ルを送るテストなので Outlook のアカウントは関係ない、 いじ らなくても構わない。このテストは外部から送られたメ−ルがメ−ルリレ−を介してメ− ルストアに届くかの確認である。user1@tcp.or.jj は自分が入っているプロバイダの物と いうこと。本当のメ−ルアドレスは jj ではなくて jp とかちゃんとしたもの。メ−ルの 発信元のメ−ルアドレスは如何ようにでもなるという話でもある。そのお陰でテストでき た。FortiMail のメ−ルリレ−の設定に今一つ自信が持てなかったがこれでよさそうであ る。MS' の Qube3 に入って届いたメ−ルを見た。ちゃんとメ−ルは行った。 メ−ルアドレス user1@tcp.or.jj から ikken@nix.co.jj 宛。 PC1 の Outlook から MR' に行って MS' の Qube3 に行った。 # cat /var/spool/mail/ikken From user1@tcp.or.jj Fri Jun 2 09:38:05 2017 Return-Path: Received: from fm2.nix.co.jj (fm2.nix.co.jj [192.168.1.8]) by qub3.nix.co.jj (8.10.2/8.10.2) with ESMTP id v520c5C13610 for ; Fri, 2 Jun 2017 09:38:05 +0900 Received: from rootPC ([192.168.1.6]) by fm2.nix.co.jj with ESMTP id v520v0wa017899-v520v0wb017899 for ; Fri, 2 Jun 2017 09:57:00 +0900 From: "USER1" To: Subject: htest4 | [ ダメ押しの確認テスト ] 下記のログは PC2 の Outlook 設定はアカウント katou、メ−ルアドレス katou@nnn.con、 メ−ルサ−バ 192.168.1.8 にしたものである。メ−ルを送るテストなので Outlook のア カウントは関係ないが。または PC1 の Outlook でこのように設定してもいい。 -------------------------------------------------------------------------------- ログタイプ 時間 分類 処理 From To 件名 ... メッセ−ジ -------------------------------------------------------------------------------- ヒストリ 09:54:03 NotSpam Accept katou@nnn.con ikken@nix.co.jj イベント 09:54:03 from=, size=386,...,msgid, proto=ESMATP,daemon=SMTP_MTA,relay=[192.168.1.10] イベント 09:54:04 to=, delay=xxx,xdelay=yyy,mailer=esmtp,pri=zz, relay=[192.168.1.7][192.168.1.7], dsn=5.6.0, stat=Data format error(Reason:501 5.1.8...Domain of sender address katou@nnn.con does not exit) イベント 09:54:04 DSN:to ;reason: Data format error; sessionid:xx イベント 09:54:04 to=, delay=xxx,xdelay=yyy,mailer=esmtp,pri=zzzz, relay=pc2.nnn.con. [192.168.1.10], dsn=4.0.0, stat=Deffred: Connection refused by pc2.nnn.con. イベント 10:09:05 to=... すぐ上と同じログが出てた。 イベント 10:24:04 to=... すぐ上と同じログが出てた。 * PC1 から MR' にメ−ルを送ってみた−その3 PC1 の Outlook 設定はメ−ルアドレス user1@tcp.or.jj、指定メ−ルサ−バ192.168.1.8。 MR' からは MS にメ−ルを送るようにした。 MS は本番で稼働しているメ−ルストアであ りIPアドレスは 192.168.1.1 である。MS では直接IPアドレスでメ−ルを受けるよう である。MR' のホスト名などは関係しないようである、結構これは重要なことである。も う1つこのテストで重要なことが分かった。MR' と MS の間は STARTTLS 暗号化になって いるということ。 どちらも FortiMail でデフォルトで STARTTLS 暗号化対応になってい て、こうなった。もしメ−ルリレ−とメ−ルストアの間でフォレンジック装置を置いてい て流れるメ−ルを全部、取得保存していたりすると後で困ることになるのかも知れない。 メ−ルアドレス user1@tcp.or.jj から ikken@nix.co.jj 宛。 PC1 の Outlook から MR' に行って MS の本番機に行った。 MR' [メ−ル設定]->[ドメイン]->{ドメイン} ------------------------------------ |ドメイン:[nix.co.jj ] _____192.168.1.7 だったのを変更。 |リレ−タイプ: [ホスト ▽] ↓ | SMTPサ−バ−: [192.168.1.1 ] ポ−ト:[25 ] SMTPSを使用□ | 代替SMTPサ−バ−: [ ] ポ−ト:[25 ] SMTPSを使用□ -------------------------------------------------------------------------------- ログタイプ 時間 分類 処理 From To 件名 ... メッセ−ジ -------------------------------------------------------------------------------- ヒストリ 13:45:16 NotSpam Accept user1@tcp.or.jj ikken@nix.co.jj イベント 13:45:16 from=, size=390, class=0, nrcpts=1, msgid, proto=ESMTP, daemon=SMTP_MTA, relay=[192.168.1.1] イベント 13:45:16 STARTTLS=client, relay=nix.co.jj., version=TLSv1.2, verify=OK, cipher=ECDHE-RSA-xxx256-SHA, bits=256/256 イベント 13:45:16 to=, delay=xxx, xdelay=yyy, mailer=esmtp, pri =xxx, relay=[192.168.1.1][192.168.1.1], dsn=2.0.0, stat=Sent(x xxxx Message accepted for delivery) (2) 続オンプレミスのメ−ル環境続行 `2h/05/e -------------------------------------------------------------------------------- ここでの章ではいきなりメ−ルのテストの細かな様子を書き始め、一体どういうことと思 われた方も多いだろう。イントラネット構築法は、このように実際にテストをして動作を 検証して機能を確認した上でシステムを積み上げていった。その本領を最後にも発揮させ てみたということである。地道なアプロ−チこそが結局、一番重要であるという証である。 -------------------------------------------------------------------------------- * FortiMail のメ−ルキュ−について プロバイダの自分のメ−ルアドレスに暗号化して送るテストをやって、うまく行かずメ− ルが FortiMail のメ−ルキュ−に溜まる現象が見られた。[モニタリング]->[メ−ルキュ −]->{メ−ルキュ−} にである。正常にメ−ル配信されている時は、ここを見ても何もな い。メ−ルがここにある時に、このメ−ルをファイルとしてセ−ブすることができる。セ −ブしたメ−ルのファイルはリストアで戻すことができる。メ−ルリレ−として設置した FortiMail を置き換えする場合、タイミングによってはメ−ルキュ−にメ−ルが残留して しまうことがある。これでこの残留メ−ルを取り出して、 置き換えした FortiMail に入 れ込めばメ−ルが無くなるということはなくなる。一つ懸念事項がクリアできた。 [メンテナンス]->[システム]->{メ−ルキュ−} ----------------------------------------- | メ−ルキュ−メンテナンス | | キュ−のバックアップ キュ−のリストア << D:\Users\ikken\Downloads\mqueue.dat。 | -------------------------------------- この時 [モニタリング]->[メ−ルキュ−]->{メ−ルキュ−} にメ−ルが何通かあった。1 分位したらメ−ルは無くなっていた。それからメ−ルキュ−のリストアをやった。 {メ− ルキュ−} には無かった。すぐに処理されたようで Outlook に来ていた。 同じメ−ルが 来た事で、メ−ルのバックアップとリストアの動作が確認できたことになる。 * FortiMail でこんなテストをやった 下記のように2つ SMTP サ−バ−のIPアドレスを書いてみた。最初のメ−ルサ−バには メ−ルは来たが、2番目の方には来なかった。IPアドレスを逆にしても最初に書いた方 にメ−ルは行った。多分、最初に書いたメ−ルサ−バが止まっていたりしたら2番目に行 くという動作をするのだろう。これを利用すればメ−ルサ−バの冗長化をやれる。 [メ−ル設定]->[ドメイン]->{ドメイン} ----------------------------------------------------------------- |ドメイン:[nix.co.jj ] |リレ−タイプ: [ホスト ▽] | SMTPサ−バ−: [192.168.1.7 ] ポ−ト:[25 ] SMTPSを使用□ | 代替SMTPサ−バ−: [192.168.1.1 ] ポ−ト:[25 ] SMTPSを使用□ # cat /var/spool/mail/ikken From user1@tcp.or.jj Fri Jun 2 14:09:16 2017 Return-Path: Received: from fm2.nix.co.jj (fm2.nix.co.jj [192.168.1.8]) by qub3.nix.co.jj (8.10.2/8.10.2) with ESMTP id v5259GC27684 for ; Fri, 2 Jun 2017 14:09:16 +0900 Received: from rootPC ([192.168.1.6]) by fm2.nix.co.jj with ESMTP id v525SCcq018120-v525SCcr018120 for ; Fri, 2 Jun 2017 14:28:12 +0900 From: "USER1" To: Subject: htest8 | [ メ−ルシステム案 ] □MR 上記の設定で MR は MS1 と MS2 にメ−ルを送ることがで |仮想IP きる。MS1 が止まっていたら MS2 に送るという動作で。 ----------------------- □MR | 外部からのメ−ルは MS1 か MS2 に届くということ。PCの | ------- メ−ルソフトでは両方からメ−ルを取得するようにする。 --------------| | PC □MS1 □MS2 ------- △ しかし PC のメ−ルソフトで送信は1ヶ所しか指定できな | | | | い、とりあえずは MS1 を指定する。 -------------------------- * この期に及んでメ−ル送信トラブル メ−ルサ−バのトラブル?。メ−ルが外部に行かないところがあった。社内のユ−ザの何 人にも "件名 Warning: could not send message for past 4 hours"というメ−ルが行っ ている。メ−ルリレ−から出たものだ。大量の迷惑メ−ルが来ている?。エラ−メ−ルが メ−ルリレ−のメ−ルキュ−に溜まって、メ−ルの処理を妨げているのか。見たら数千の ファイルがメ−ルキュ−にあった。DNSで何らかのトラブルが起きているのか。幾つか の要因が重なっていた。非常に分かりにくいものだったが何とか解決することができた。 [ メ−ルストアの FortiMail に出たログでは ] ヒストリ History, Not Spam, Accept, To ikken@nix.co.jj, 件名 Warning: could not send message for past 4 hours イベント メッセ−ジ from=<>, daemon=SMTP_MTA, relay=[192.168.2.1] イベント 日付 2017-06-13 14:27:33 メッセ−ジ timeout waiting for input from [192.168.2.1] during 続く アクション NONE server cmd read レベル notice [ メ−ルリレ−の Sun のマシンでのログでは ] # cd /var/spool/mqueue # grep reject * qfv5D2fgSY014808:MDeferred: 451 4.7.1 : Recipient address rejected: Temporary failure, try again later 以下の2つのファイルは4時間毎にメ−ル送信しようとしてダメでした、そして3日間再 送を繰り返して諦める。そのための制御ファイルが qfv5Exxx のようである。元のメ−ル 本文はここにはない。何回再送をトライしたかどこかに記入されているのだろう。 # cat dfv5E1amSY007695 空のファイル。 # cat qfv5E1amSY007695 "MDeferred: 接続が時間切れです。with mail.xjapan.con." 等。 社内から外部へメ−ルを送ることができないと10人位が言ってきた。異なるドメイン名 のメ−ルアドレスだったがMXレコ−ドを調べたら、 ほとんど皆同じ mwbgw1.ocn.ne.jp と mwbgw2.ocn.ne.jp だった。NTTのOCNのメ−ルサ−ビス。相手とのメ−ルサ−バ のやりとりがうまく行ってないらしい。メ−ルの設定を見直したら sendmail.cfを古いの を使ってしまったことが分かった。まっとうなのにしたらメ−ルキュ−から出て行った。 メ−ルリレ−のマシンが故障して分かった事。DNSサ−バが動いてなくてもメ−ル送信 はできた、受信はできなかったけど。 慌ててマシンを置き換え sendmail.cf を古いのを 使ってしまった。access ファイルは hash でない時のだった、 /var/log/syslog にはエ ラ−が出ていた。それでもメ−ルは機能していた。核戦争が起きても網の目に張り巡らし たネットワ−クで通信が遮断されないように設計されたインタ−ネットの思想を垣間見た。 * またメ−ルが送れないと言って来た DNSの逆引きチェックが関係した。自社のメ−ルリレ−から相手メ−ルサ−バにアクセ ス。メ−ルリレ−のIPアドレスは 202.241.128.3 で、 相手メ−ルサ−バはこれからホ スト名を調べる。それが見つからなくてエラ−になった。アマゾンに移行したDNSサ− バで何故かメ−ルリレ−のマシンの情報がきちんと記述されてなかった。nix.co.jj.zone では "hostA IN A 202.241.128.3" でIPアドレスが違っていた。そしてエラ−の直接の 原因となった "128.241.202.in-addr.arpa.zone" では "3 IN PTR hostA.nix.co.jj." エ ントリが無かった。外部から当社へメ−ルを送る際は当社のMXレコ−ドを調べて、そこ に送るようにする。MXレコ−ドは mail.nix.co.jj で基本 202.241.128.3 である。 /var/spool/mqueue/qfv5LAgH9m026168 ---------------------------------- |V6 sendmail.cf を変えてこれで一件落着かと思いきや、1週 |T1498041737 間ほどして同じ人達がまた同じ宛先に送れないと言ってき |K1498079230 た。正直もう手の打ちようが無いと思った。不具合の根本 |N3 的な原因はDNS設定にあったわけだが、1週間ぐらいの |P1000962 間にメ−ルサ−バの仕様が変更になるものだろうか。 |I0/6/18048 |MDeferred: 450 4.7.1 Access denied. IP name lookup failed [202.241.128.3] |Fwbs |$_hostB [192.168.1.1] このトラブル発生から分かったことは、メ−ルサ−バがど |$rESMTP れぐらい逆引きチェックをしているかということ。ほとん |$shostB.nix.co.jj どやられてないという事が判明した。メ−ルを送るだけな |${daemon_flags} ならメ−ルリレ−はどこにあっても構わないという事。こ |${if_addr}192.168.2.1 れはメ−ルリレ−の置き換え時に利用することができる。 |S |MDeferred: 450 4.7.1 Access denied. IP name lookup failed [202.241.128.3] |rRFC822; henomohe@xjapan.co.jj |RPFD: |H?P?Return-Path: |H??Received: from hostB.nix.co.jj (hostB [192.168.1.1]) | by hostA.nix.co.jj (8.12.10+Sun/8.14.1) with ESMTP id v5LAgH9m026168 | for ; Wed, 21 Jun 2017 19:42:17 +0900 (JST) | | * メ−ルリレ−移行のやり方について □MR メ−ルリレ−を移行する準備でクロ−ンで"User unknown" |仮想IP なメ−ルを毎日消去しておく。当日置き換え直前には手動 ----------------------- でも消去コマンドを叩く。更にスクリプトの fuyouで目視 □MR | 外へ でメ−ル本文を見て削除する。ここまでして尚、残ったメ |.1 ------- ↑ −ルを処理する。これまでのメ−ルリレ−をDMZでも社 ----------| | 内ネットにでも一時的に置く。外部へのメ−ルはそのまま □MS ------- □旧MR 直接が外部へ。社内へのメ−ルは MS へ送る。旧MRのホス |.1 MS|へ← |.99 ト名はそのまま。旧MR が Sun マシンなら /etc/hosts の -------------------------- "192.168.2.1 hostA ..." を "192.168.1.99 hostA .."に。 (3) FortiGate の負荷分散と FortiMail * 先ずはメモしていく テスト環境としてファイアウォ−ルに FortiGate-100D を使ってみるか。メ−ルリレ−相 当は適当なマシンでいい。まだ Cobalt Qube3 もあるし。仮想IPアドレスがちゃんとで きるかというのが設定の要になるのでないか。 ファイアウォ−ルは FortiGate-80C でも 構わないぞ、ちょっとファ−ムウェアは古いかも知れないが。 メ−ルリレ−の FortiMail を本番設置までまだ間はある。 手元でテストする時間はある。 やってみよう。どうやって、何をテストして何を確認すればいいのかが問題だ。それを考 えよう。FortiMail 2台を FortiGateでロ−ドバランシングしようとする場合にも関係し てくるはず。あるいは FortiMail 2台をHA構成にする場合も関係してくるはず。 しかし気持ちとしてはこれ以上、システムを複雑にしたくはない。多分 FortiMailのHA 構成、FortiGate のロ−ドバランサ機能だけをみれば、そんなに複雑な設定をする訳でな いと思うが。とりあえず参考 "24-5. ネットワ−ク構築は雲の彼方に,(4)ロ−ドバランサ 装置の設置は,* Mail-Relay のHA構成の検討" kumono.txt。 SI業者の技術者からどのような構成になるか少し教えてもらった。なかなか分かりにく い。HAでもロ−ドバランスでもメ−ルリレ−に溜まるメ−ルもちゃんと処理したければ、 共有のNASを設置すること。Active - Active でも設定可能。メ−ルの同期をとること も可能。FortiMail のコンフィグレ−ションも同期可能とか。いろいろできそう。 2017年7月7日、東京で開催される Fortinet の大規模プライベ−トセミナ−。ここ でその技術者と会って、もう少し話を聞くことにした。その前に勉強しておかないとと思 い2日前から調べた。サ−バのロ−ドバランスの場合の設定に関して、1つ目ぼしい資料 がインタ−ネットに見つかり、絵をフリ−ハンドで描いてみたら10分で分かった。 要はロ−ドバランスとはNAT、つまりIPアドレス変換によるマシンの対応付けである。 仮想マシンを複数の実物マシンに紐付けして、どう実物マシンを利用するか、幾つか選択 できるということである。複数の実物マシンを皆使う、これだとパフォ−マンスが実物台 数分になる。あるいは1台をメインで稼働させ、2台目をスタンバイにしておくとか。 実際のところ FortiGate のロ−ドバランサ機能は、 利用の実績はそんなに多くはないよ うである。多分F5社など昔からロ−ドバランサ製品を出しているメ−カがあり、そっち を使う場合がほとんどでないのか。FortiGate の下位機種をロ−ドバランサ専用で使って みるという手は十分考えられる。格安にサ−バの負荷分散が実現できるのだから。 SI業者の技術者が言うには FortiMail のHA構成は今回できないとか。 同じモデルで 同じバ−ジョンのファ−ムウェアでないといけない。 200D と 400E ではダメということ である。「FortiGate 完全攻略」のHAの記述にもそう書かれてあった。保守契約は別に 関係ないらしい。HAには1台はオンサイト、もう1台はセンドバックでも構わない。 * ロ−ドバランスの設定メニュ− FortiGate v5.2.10 にて該当メニュ−を見た。 root->[ポリシ−オブジェクト]->[ロ−ド バランス] の所3個のメニュ−で {新規作成} をクリックしてメニュ−画面を出してみた。 以下は何も設定してない状態です。インタ−ネットを検索したら、FortiGate のあの著名 なサイトにちょうどの記事が出ていた。たぶん参考にできるかと思う。 [バ−チャルサ−バ] -------------------------------------------------------- | バ−チャルサ−バの作成 |------------------------------------------------------- |名前 [ ] |タイプ [HTTP ▽] << 9つの内1つを選択できる。 |インタ−フェ−ス [wan1 ▽] << Any の他に各インタ−フェ−ス。 |バ−チャルサ−バIP [0.0.0.0 ] |バ−チャルサ−バポ−ト [80 ] |ロ−ドバランス方式 [Source IP Hash ▽] << たいがいこれでいいのでは。 |パ−システンス [なし ▽] |HTTP多重化 □ 1TCPコネクションうんぬん | □クライアントIPを保存 |SSLオフロ−ディング [クライアント <-> FortiGate ▽] |証明書 [ ▽] |ヘルスチェック 選択可 選択済み | -------------- -------------- | | TCPモニタ | -> | TCPモニタ | | | HTTPモニタ | <- | HTTPモニタ | | | Pingモニタ | | Pingモニタ | [リアルサ−バ] [ヘルスチェック] --------------------------------------- ----------------------------------- | リアルサ−バの作成 | ヘルスチェックモニタの追加 |-------------------------------------- |---------------------------------- |バ−チャルサ−バ [ ▽] |名前 [ ] |IPアドレス [0.0.0.0 ] |タイプ ◎TCP ○HTTP ○PING |ポ−ト [0 ] |ポ−ト [0 ](0-65535) |ウェイト [1 ] |間隔 [10 ](秒) |最大コネクション数 [0 ] |タイムアウト [2 ](秒) |HTTP Host [ ] |リトライ [3 ] |モ−ド [アクティブ ▽] << スタンバイ、無効がある。 "ロ−ドバランス方式"は Source IP Hash, Round Robin, Weighted, First Alive, Least RTT, Least Session, HTTP Host から選択する。どういうものか分からない。ラドウェア 社のロ−ドバランサの AppDirector の導入説明書が手元にある。 2009年末に入手し た。これに負荷分散機能の Algorithm の一覧が載っていた。 Cyclic, Fewest Number of Users, Least Amount of Traffic, Hashing が導入実績が多いと書かれていた。アルゴリ ズムには NT-1 or NT-2, Private-1 or Private-2, Weighted Cyclic, Response Time と いうのもあり、説明書には続いてこれらアルゴリズムの簡単な説明も書かれてあった。 * FortiGate のロ−ドバランサ設定の基本は多分こう [バ−チャルサ−バ] 実物設置■ ■Web --------------------------------- B |.2 |.3 |名前 [Btest ] -------------------------- |タイプ [HTTP ] |.1 ↑ ↑ PC からA.2 |インタ−フェ−ス [port1 ] --------- | _| へHTTPアク |バ−チャルサ−バIP [A.2 ] | port2 | | | セス。実際 |バ−チャルサ−バポ−ト [80 ] | | 仮想 には B.2か |パ−システンス [なし ] | port1 | 設置 PC B.3 へ。 --------- □ △ [リアルサ−バ] A |.1 |.2 |.3 ------------------------------- -------------------------- |バ−チャルサ−バ [Btest ] ? |IPアドレス [B.2 ] << B.3 の ポリシ−で入力インタ−フェ−ス port1、 |ポ−ト [80 ] も作成。 送信元アドレス all。出力インタ−フェ |モ−ド [アクティブ] −ス port2、宛先アドレス Btest 指定。 * FortiGate のロ−ドバランサ機能でメ−ルリレ−を メ−ルリレ−の MR1 は [ロ−ドバランス]->[リアルサ−バ] の "モ−ド[アクティブ▽]"、 MR2 は "モ−ド[スタンバイ▽]" としよう。共有NASは使用しないことにする。単純に MR1 がダウンしたら MR2 が役割を担う。この組み合わせでは MR1 が復旧したら、自動的 に MR1 がまた役割を担うという。 MR1 がダウンした時点でメ−ルキュ−に溜まっていた メ−ルは復旧した時点で送られることになる。これは動作が分かり易いと思う。 ◇50.28 ----------- 主‖ |副回線 仮想IP |LinkProof| .9‖ |50.26 hostA'□ ----------- ----------- ◇50.28 |.3 | |LinkProof| 仮想IP ------------------------------------ ----------- □hostA' 仮想設置 |.2 実物設置 ‖.9 |.3 hostA □ --------- ■MR1 ■MR2 ====================== 202.241.128.0 .1| .2| |.9 |.1 |.2 ‖.2 □hostA -----------| hostG |---------------- -------.2 |.1 DMZ| | 192.168.3.0 |hostG|----------- 192.168.2.0 hostB □ --------- Active Standby ------- □hostB .1| |.2 |.2 |.1 ------------------------------------ ---------------------- 192.168.1.0 nix.co.jj.zone LinkProof内のDNSサ−バでは mail.nix.co.jj -------------------------------- は 202.241.128.3 と xxx.xxx.50.28 に対応付け | IN MX 10 mail.nix.co.jj. られている。主回線に問題なければ、主回線側プ |mail IN NS linkp1 ロバイダの 202.241.128.3 を返す。 主回線がダ |mail IN NS linkp2 ウンしたりすると xxx.xxx.50.28 を返す。 この |linkp1 IN A 202.241.128.9 ように LinkProofをかますとMXレコ−ドの実際 |linkp2 IN A xxx.xxx.50.26 のIPアドレスが状況によって変わるのである。 外部からはメ−ルリレ−の 202.241.128.3 へアクセスする。 メ−ルストアからメ−ルリ レ−へは 202.241.128.3 アクセスする。実際には 192.168.2.1 へのアクセスとなる。 192.168.2.1 のマシンは仮想設置で実際にはない。192.168.2.1 へのアクセスは実物設置 の 192.168.3.1 と .2 へのアクセスになる。ここら辺りは絵を描いてみること。 メ−ルリレ−はロ−ドバランス機能でDMZに仮想的に 192.168.2.1 で置いた。 さらに バ−チャルIP機能でもって 192.168.2.1 を 202.241.128.3 に対応付けた。 メ−ルリレ−の実物マシンは 192.168.3.0 上に置いた。 ホスト名は MR1 と MR2 とした。 ロ−ドバランス機能で MR1 はアクティブ、MR2 はスタンバイとした。 ロ−ドバランス機能でもって MR1 と MR2 の仮想設置を hostA とした。 hostA のIPア ドレス 192.168.2.1 と MR1 と MR2 の 192.168.3.1 と 192.168.3.2 を対応付けた。 (4) 続々オンプレミスのメ−ル環境続行 * メ−ルリレ−の FortiMail の候補と仕様 FortiMail-200D ユ−ザ−数 400名未満 1x1TB ※200D と 400Eはサイズと重 メ−ルトランザクション数 76K 量は同じ。消費電力(平均) FortiGuardアンチスパム 68K 200D は 59W、400Eは 103W。 FortiGuardアンチスパム+アンチウィルス 58K FortiAnalyzer-100C は48W。 FortiMail-400C ユ−ザ−数1,000名未満 2x1TB RAID ソフトウェア:0,1 メ−ルトランザクション数 150K FortiGuardアンチスパム 140K FortiGuardアンチスパム+アンチウィルス 120K FortiMail-200E 200D の後継機種 ※以下100KBのメッセ メ−ルル−ティング(メッセ−ジ/時) 80,000 −ジ キュ−イング アンチスパム+アンチウィルス性能(メッセ−ジ/時) 61,000 なしの場合。 FortiMail-400E 400C の後継機種 メ−ルル−ティング(メッセ−ジ/時) 157,000 アンチスパム+アンチウィルス性能(メッセ−ジ/時) 126,000 モデルは信頼性をみて 400E が望ましい。ディスクはミラ−リングになっている。ちょう ど長年使ってきた Cobalt Qube3 がハ−ドディスク2本の内1本が壊れた。もう1台あっ てそのハ−ドディスクを抜いて差し込んでみようか。実際にミラ−リングで故障が復旧す る様子を見ることが出来るかも。メ−ルの処理性能的には 200E でも問題ないと思われる。 [ メ−ルリレ−で流れているメ−ル数の目安 ] # cd /var/log;ls -l 以前 syslog からこれを出したことがあった。 ... 21262968 5月23日 09:02 syslog 参考 commun6.txt を。 syslog.0 は5月12日 ... 38168788 5月19日 03:08 syslog.0 03時から 5月19日03時までの1週間である。 # find syslog.0 -exec grep from {} \; | wc -l やって 46502 とか出た。 * メ−ルリレ−に溜まったゴミメ−ルの処置 メ−ルリレ−を置き換える際にメ−ルキュ−に残ってしまったメ−ルをどうするかという 問題がある。先ずはできるだけ少なくする。全部ゴミメ−ルならほかっておくことができ るが、そうとも言い切れないところが困った話である。メ−ルリレ−機が故障する前のこ と、ずっとメ−ルキュ−のメ−ルをクロ−ンで整理して来た。ほとんどトラブルも無くこ のマシンは動いていた、うまいこと調整が出来ていたのだと思う。 "17-6.メ−ルサ−バの能力について、(4)メ−ルサ−バ運用管理スクリプト、*メ−ルキュ −の自動ごみ掃除" commun6.txt を参照。 Sun のマシンにクロ−ン設定 mqueue_souji_1、 mqueue_souji_2 にてメ−ルを整理していた。故障して置き換えたメ−ルリレ−の Sun の 予備機にもこれを設定した。/var/spool/cron/crontabs/root ファイルへ記載したら直ぐ に有効になるはず。# crontab -l でエントリが入ったことを見ることができる。 /var/spool/cron/crontabs/root ---------------------------------------- | | |0 5 * * * /usr/local/bin/mqueue_souji_1 毎朝5時に4日以上経ったメ−ルを消去。 |0 6 * * * /usr/local/bin/mqueue_souji_2 毎朝6時に"User unknown"メ−ルを消去。 毎日千近くの "User unknown" なメ−ルが /var/spool/mqueue/ に溜まっている。しかし "User unknown" なメ−ルがクロ−ンで消えてないみたい。 スクリプトが実行されていな いのかな。手動でスクリプト mqueue_souji_2 を叩けばその場で一気に消えるのだが。ど うなっているのか。 mqueue_souji_2 の記述の次の行にブランクが入っていたのが影響し たようである。このことも昔、自身で問題点として気付いてメモ書きを残していた。 翌日メ−ルキュ−を見たら、ちゃんと働いたようで数百ぐらいになっていた。メ−ルリレ −のマシンを交換して落ち着いて、メ−ルキュ−に2千位毎日溜まっていた。スクリプト を叩くと、さっきなんか11個になった。# ls -l | wc -l でみて。メ−ルキュ−に千ぐ らいあると sendmail のプロセスは20程度できていることもある。メ−ルキュ−を減ら して数百ぐらいだとプロセス数は8個とかになった。これで正常な状態になった。 さらに残ったメ−ルはスクリプトの fuyou で、 メ−ルのファイルの頭から50行表示し て目で確認して不要そうなら消す。これをメ−ルリレ−を置き換える当日にやる。ゴミメ −ルでなかったらメ−ル数が数十なら何とかできる。数百もあると手作業では大変である。 これまでのメ−ルリレ−機を社内ネットワ−クに置いて、 少し設定を変えれば外部へ(相 手先メ−ルサ−バ)も、社内へ(メ−ルストア)もメ−ルは行くはずである。 ゴミメ−ルを消してメ−ルリレ−機を Sun から FortiMail へ置き換える。Sun のマシン は社内ネットワ−クに設置する。 うまくいけば Sun 内のメ−ルキュ−に残ったまともな メ−ルで外部宛は外へ、社内宛はメ−ルストアに送られる。メ−ルキュ−を吐き出すには "17-6.メ−ルサ−バの能力について, (4)メ−ルサ−バ運用管理スクリプト" commun6.txt。 # /usr/lib/sendmail -q -C/etc/mail/sendmail.cf & で直ぐに吐き出すことができる。 * メ−ルリレ−とDNSと回線冗長化装置は DNS1□ DNS2□ Amazon EC2 名前解決の正引き、逆引き、どうなっているか改 X.1| X.2| クラウド利用 めて設定を確認する。LinkProof も確認すること。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \_______________/ "23-5.メ−ルストアをアプライアンスへ,(1)現行 :光A:光C メ−ルサ−バ周りの様子" forti2.txt。 主: :副 □R □R "25-4.回線冗長化装置を再び呼び出す,(4)LinkPr .1‖ |50.25 oof 本番機の設定と運用" linkprf.txt。 ‖ | .9‖ |50.26 [LinkProof]->[DNS Configuration]->[Name to L ----------- ◇50.28 ocal IP]の設定 "Host Name" は mail.nix.co.jj、 |LinkProof| 仮想IP "Local IP Address" は 202.241.128.3。 ----------- □hostA' ‖.9 |.3 [LinkProof]->[Smart NAT]->[Static NAT Table] ==================== 202.241.128.0 202.241.128.3 を xxx.xxx.50.28 に結び付ける。 ‖.2 □hostA Mail-Relay -------.2 |.1 DNSサ−バをクラウドに出して業者などに面倒 |hostG|----------- 192.168.2.0 をみてもらう場合でも、設定を確認できるように ------- □hostB Mail-Store しておきたい。社内のパソコンのDOS窓等から |.2 |.1 >nslookup して >server X.1、>ls -d nix.co.jj ---------------------- 192.168.1.0 とやって linkp1 IN A なんかも出るようにする。 [ DNSサ−バの設定 ] DNS1 nix.co.jj.zone 128.241.202.in-addr.arpa.zone -------------------------------- -------------------------------------------- |@ IN SOA ns0.nix.co.jj. |@ IN SOA ns0.nix.co.jj. ikken.xxx. {...} | IN NS ns0.nix.co.jj. | IN NS ns0.nix.co.jj. | IN NS ns1.provider.jj |3 IN PTR hostA.nix.co.jj. | IN MX 10 mail.nix.co.jj. |2 IN PTR hostG.nix.co.jj. | IN TXT "v=spf1 +IP4:.. |9 IN PTR linkp1.nix.co.jj. |ns0 IN A X.1 |;mail IN A 202.241.128.3 linkp2.nix.co.jj の逆引きは副回線のプロバイダ |hostG IN A 202.241.128.2 があらかじめ設定している。何らかの応答を返す。 |hostA IN A 202.241.128.3 | named.conf |www IN CNAME Aamazon EC2 へ ----------------------------- |mail IN NS linkp1 |options { |mail IN NS linkp2 | empty-zones-enable no; |linkp1 IN A 202.241.128.9 |view "NAKA" |linkp2 IN A xxx.xxx.50.26 |zone "nix.co.jj" { [ Mail-Store の設定 ] [メ−ル設定]->[設定]->{メ−ルサ−バ−設定} "26-3.FortiMailメ−ル暗号化の検討, ----------------------------------------- (1)Outlook で暗号化メ−ルのテスト, |---△ロ−カルホスト -------------------- *FortiMail 本番機のメ−ルストアの || ホスト名: [hostB ] 設定状態" xmodel3.txt を参照して。 || ロ−カルドメイン: [nix.co.jj ] || SMTPサ−バ−ポ−ト番号: [25 ] | |---△送信メ−ル ------------------------------------- || 〆リレ−ホストへ配送: [relay ▽] [新規][編集] || □ESMTPを無効 ↑クリック | [メ−ル設定]->[設定]->{リレ−ホストリスト} 画面で。リスト名:[relay ]、 ホスト名/IP:[192.168.2.1 ]、ポ−ト:[25 ]、SMTPS使用 □、□ 認証要求 設定ナシ。 [ 新 Mail-Relay の設定 ] [メ−ル設定]->[設定]->{メ−ルサ−バ−設定} ----------------------------------------- |---△ロ−カルホスト -------------------- || ホスト名: [hostA ] || ロ−カルドメイン: [nix.co.jj ] || SMTPサ−バ−ポ−ト番号: [25 ] [メ−ル設定]->[ドメイン]->{ドメイン} ------------------------------------------------------------------------- |ドメイン名: [nix.co.jj ] 灰色 |リレ−タイプ:[ホスト ▽] | SMTPサ−バ−: [192.168.1.1 ] ポ−ト:[25 ]SMTPSを使用 □ | 代替SMTPサ−バ−:[ ] ポ−ト:[25 ]SMTPSを使用 □ [ポリシ−]->[ポリシ−]->{ポリシ−} の "IPポリシ−" -------------------------------------------------------------------------------- |有効 ポリシ−ID 送信元 宛先 セッション アンチスパム アンチウィ... |------------------------------------------------------------------------------- |〆 1 0.0.0.0/0 0.0.0.0/0 Inboud_Session |□ 2 ::/0 ::/0 Inboud_Session -------------------------------------------------------------------------------- [ポリシ−]->[ポリシ−]->{ポリシ−} の "受信者ポリシ−" -------------------------------------------------------------------------------- |有効 ポリシ−ID 方向 送信者パタ−ン 受信者パタ−ン ドメイン名 アンチスパム等 |------------------------------------------------------------------------------- |〆 1 受信 *@* *@nix.co.jj nix.co.jj -------------------------------------------------------------------------------- [ 旧 Mail-Relay の設定 ] "23-5.メ−ルストアをアプライアンスへ" forti2.txt から。 /etc/hosts /etc/resolv.conf /etc/nodename ---------------------------------------- ---------------------- ------------- |192.168.2.1 hostA hostA. mail.nix.co.jj |domain nix.co.jj |hostA |192.168.1.1 hostB |#nameserver 127.0.0.1 |192.168.1.2 kkk |nameserver X.1 /etc/mail/access /etc/mail/mailertable /etc/nsswitch.conf --------------------------- ------------------------------ ------------------ |Connect: 192.168.1.1 RELAY |nix.co.jj esmtp:[192.168.1.1] |hosts: files dns |To: nix.co.jj RELAY |nix.co.jj RELAY xxx.mc /etc/mail/sendmail.cf マシンのホスト名がメ−ルサ−バがやりとりする際に ---------------------------- 必要で重要である。これまでのメ−ルリレ−のマシン |DwhostA ホスト名に関 の # hostname で付けてあるのが重要。 sendmail.cf |Dmnix.co.jj 係する所のみ でこれを取得している。 * FortiMail のメ−ルリレ−として設定検討 FortiMail を新しく購入してメ−ルリレ−にする準備をしないといけない。買ったら最新 のファ−ムウェアが載ってくるはず。事前にそのファ−ムウェアでの設定メニュ−を調べ ておかないと。多分、基本的な設定ヶ所はほとんど変わらないと思うが、一応チェックし ておく。ウィルス、スパム、サンドボックスのメニュ−で変わった所がないか見ないと。 メ−ルリレ−でメ−ルがエラ−になった場合の処置はどうなるのか。1時間毎に再送を繰 り返し、4時間毎に送信者に報告。3日間再送を続けて諦める。sendmail.cf をこんなよ うに作って運用してきた。しかしきょうび、3日経ってダメでしたとエラ−メ−ルを返し てもらっても困るぞ。もうその場でダメならダメでしたとする方がいいのでないか。 不要メ−ルを削除する設定をしないと。[メ−ル設定]->[設定]->{メ−ルサ−バ−設定}の "メ−ルキュ−" の設定の値、"送信メ−ル" の "▼配送失敗時の制御" のところの設定と か。"User unknown" なメ−ルの処理はどうなるのか。メ−ルリレ−として設定すればSun のマシンだろうが FortiMail でも一緒。定期的に消去する設定メニュ−があるはずだ。 予想としてまず問題なく置き換えることができるだろうと思う。 一応 FortiMail 2台利 用の検討もしてみるが、多分1台でいくと思う。メ−ルリレ−の予備機で稼働している今 のマシンもまだこれからもしばらく使えるだろうし。構成の分かりやすさを優先すること にする。LinkProof と FortiGate のIPアドレス変換もあわさる。それが解けるかだ。 セッションのチェックは [ポリシ−]->[ポリシ−]->{ポリシ−} の で ポリ シ−ID 1 番 が 送信元 0.0.0.0/0、宛先 0.0.0.0/0、セッション Inbound_Session とあ らかじめ有るので、これをそのまま使えばいいのでないか。セッションのチェックはメ− ルリレ−で有効に働くものである。メ−ルストアの FortiMail では利用はしてない。 ひょっとするとDMZにおいて仮想IPアドレスをバリアセグメントのを付けてやれば世 界中のクラッカ−から怪しいメ−ルが来るかも。 それで FortiMail のセッションのチェ ックができるかも知れない。かつてそんなことを想定してテストしたことがあった。確か ファイアウォ−ルを別に設置してログを見たのだが、ちっともアクセスがなかった。 [プロファイル]->[セッション]->{セッション} に Inbound_Session、Outbound_Session、 session_basic_predefined がある、1つ下に書いてみた。FortiMail-200D (5.3.8 GA)に て。ざっと見てこのまま適用するのはちょっとチェックが厳しいのでないか。そんな気が する。同じ所から大量のメ−ルを制限する、そんなチェックをするだけでいいと思うが。 -------------------------------------------------------------------------------- | セッションプロファイル |プロファイル名: [Inbound_Session ] 灰色 | | ▽コネクション設定 上から 1200,0,0,2,0 | ▽送信者評価 〆送信者評価を有効 | ▽エンドポイント評価 □エンドポイント評価を有効 | ▽送信者検証 SPFチェック:[無効 ▽]、〆DKIMチェックを有効、〆ドメイン | ▽セッション設定 〆完全な構文チェック キ−チェックを有効 | ▽認証されないセッションの設定 〆送信者ドメインをチェック | ▽SMTPリミット 上から 3,10,500,10240,32,10,20 | ▽エラ−の処理 上から 0,0,0,3 | ▽ヘッダ−操作 □受信ヘッダ−削除、□ヘッダ−削除 | ▽リスト 〆ナシ 続きは26-5.(5)を。 (5) インタ−ネットはもはや限界でも * それでメ−ルリレ−の移行は 2017年6月13日入手の「Fortinet ランサムウェア対策ガイド」 Version 3.0 緊急 増補版。各装置の設定のことも少し載っている。各装置のファ−ムウェアのバ−ジョンが 6ペ−ジに書かれてある。FortiOS 5.4.1、FortiSandbox 2.2.1, 2.3.0、FortiClient 5. 4.1、FortiMail 5.3.3。これらのバ−ジョンで多分、問題なく稼働すると考えていいだろ う。これを参考にファ−ムウェアのバ−ジョンアップを行なう。 メ−ルストアの FortiMail は 5.3.1 のところ 5.3.8 にする。FortiMail-200D を 5.3.8 にしてみたが特に問題はない。メニュ−もそう変わったところは無い。ファイアウォ−ル の FortiGate は現状のままにする、新しい FortiOS 5.4.x はHA等で少し問題があるら しい。2017年7月初めSI業者の技術者からそんな話を聞いた。FortiGate を 5.4.x に上げると FortiAnalyzer のバ−ジョンと合わなくなくなり、こちらが使えなくなるし。 FortiMail のメ−ルストアの設定の見直しは、やれるところがあればこの際、調整しよう。 メ−ルのスパムチェックとかウィルスチェックとかいろいろチェック項目がある。まれに すり抜けるのがあるが、チェックの適用順序とか問題ないか。どうもすり抜けたのは我々 人間ならば一目見ておかしいと気付く代物。今のパタ−ンマッチングでも十分検知できる のでないか。或いはパタ−ンマッチングを少し工夫するだけで対応できるような気がする。 * セミナ−で聞いた IoT の事 セキュリティ関係専門セミナ−「Security Days」2017/02/23 にて。インタ−ネットによ る攻撃は一様にもはや100%安全性を確保することは困難な状況になっていると言って いた。半年か1年前位から一部でそう言われることがあったが、はっきりとしてきた。家 電製品等あらゆる物にコンピュ−タが搭載されネットワ−クで繋がるようになった。 IoT が爆発的に普及して攻撃側がいっきに増えたことが大きな要因と言っていた。 IoT の実態はコンピュ−タのOSには Linux、ネットワ−クは IPv6 採用がほとんどとの こと。Linux は危険を含んだバグが潜んでいて、そのままを搭載してしまっている。 IoT 機器ではバグフィックスが出たからといって、普通はパッチを当てる術がない、用意して ない。Linux、Windows OS もそうだが危険性があるのは十分知られていた事のはずである。 しかし IoT 機器開発者はそれに関知しなかった。何で、どうして、理解できない。 セミナ−では電球までも IoT が搭載され、 攻撃により乗っ取られ勝手に制御されてしま った事例。アメリカの水力の発電所施設が乗っ取られ、完全に破壊された写真が紹介され たりした。社内のネットワ−クとは別に、いわゆる隔離した状況なら安全というのもそう ではなくなっているとも話していた。機器搭載の WiFi 経由での接続はあるが、それ以外 にもあるという。エアギャップネットワ−クだったか。安全な場所はもはや無い。 * IoT がかなり危険という話 IoTデバイスを狙った Mirai というマルウェア。 ボットネットを形成し史上最大の DDoS 攻撃を引き起こした。IoT には家庭用ル−タ、Webカメラ、防犯カメラ、DVRなどこ れまでにもある製品も対象である。 インタ−ネットにつながる物は何でもが IoT だから そうなるが、自分の思っていたのとは違った。冷蔵庫やテレビなんかはスマ−ト家電と言 われ前から IoT 候補になっていると思うが、もう実際に載っているのだろうか。`2g/11 ひょっとして危ないかもと最近思っている IoT のこと。パソコンから 6to4 という IPv6 パケットが出ている。IoT は Linux で IPv6 を使っているのがほとんど。 ファイウォ− ルのフィルタリングのル−ルで IPv6 は特に意識してない。ひょっとして社内のパソコン がボット感染し、IPv6トンネリングがインタ−ネットのどこかと張られ、抜け道が作られ ていないか。IPv6 はこれまでずっと関係ないと思っていたが、そうでは無くなっていた。 IPv6 を扱う方式は幾つもあるようだし勉強しないと。IPv6 はそもそもは安全なネットワ −クを構築するために設計された。しかしそれが全く活かされずに、大量のネットワ−ク 接続した機器を生むことになった。 IPv4 ではIPアドレスに限界があるが IPv6 はほぼ 無尽蔵。 自社製品に IoT を載せることを検討する際には Linux でも Windows 埋め込み 型OSでも安全ではないことを、しっかりと念頭に置くべきである。 * これで最後になるのかも知れない `2g/12/M 2016年末の思いということで。いつも年末に差し掛かった時、その年を振り返り思い を綴るのが常になっていた。もうやれない、限界を感じながら今年も何とか乗り切ったと いう思いである。UTMの置き換えとセキュリティ機能のフル利用。UTMメ−カの優秀 なエンジニアの親身になったバックアップがあったればこそ成し遂げることができた。そ の人がいなかったら物を購入して進めようという決断は出来なかっただろう。 今、日本のネットワ−クの危険性はピ−クに達していると言っていい。ランサムウェアの 被害が秋頃から急カ−ブで上昇している。大企業も中堅企業も官公庁も対処できない。大 企業と官公庁は自社の取り決めに縛られファイアウォ−ルのル−ル1つさえいじるのに多 くの書類、ハンコを必要とする。形式的な書類上の対策以上のアクションができない。中 堅企業や中小企業は人材すらいない、或いはかろうじて格好になっているだけである。 この"イントラネット構築法"の中でも何度か知的社会の到来ということを書いた。今年は 人工知能元年となりAIが完全に実用レベルになった。コンピュ−タの超小型化が IoTと いうキ−ワ−ドで広まった年でもある。従来型の体力勝負、無償残業そんなことで戦える 時代ではない。少し先を見通しながら技術的かつ科学的なアプロ−チでもって戦う時代が 訪れた。企業に於いては経営層がそうした認識を持つことができるか、そこが問題である。 * 世界規模のランサムウェアが発生 6月21日の中日新聞のサイトでのニュ−ス。16時前に気付いた。ホンダがサイバ−攻 撃で工場が一時停止。ランサムウェアのワナクライに18日に感染し、19日は生産を停 止した。生産ラインの制御システムがやられた。21日にホンダが発表した。いつもは朝 日新聞のサイトを見ているが載ってない?、いや11時52分にでていた。国内で工場が 止まったニュ−スが流れたのはこれが初めてかも知れない。 ランサムウェア WannaCrypt に対するフォ−ティネットの対応状況のメ−ル、2017/05/15。 IPSシグネチャが2つ。MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution。 MS.SMB.Server.SMB1.WriteAndx.Trans2.Secondary.Code.Execution。 IPSシグネチャ名が 前者で Default Passアクション設定で一時配信。配信時標準設定 Block にしたのが後者。 [Pass] から [Block] にすることを奨める。 ランサムウェア Petya に対するフォ−ティネットの対応状況のメ−ル、2017/06/28。IPS シグネチャが2つ、IPSシグネチャ名 MS.Office.RTF.File.OLE.autolink.Code.Execution、 MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution。 Petya は身代金を払 わなかったらデバイスそのものを使用不能にするという。これらのランサムウェアについ て https://www.fortinet.co.jp/security_blog/ で非常に詳しく解説している。 * Fortinet 製品でセキュリティ対策 root->[セキュリティプロファイル]->[侵入防御] の設定は "IPSフィルタの編集" の画面 の "パタ−ンベ−スのシグネチャとフィルタ" をクリックして出た画面にて。センサ−タ イプ ◎フィルタベ−ス、フィルタオプション ◎ベ−シック。シグネチャ一覧の 426/733 に MS.SMB.Server.SMB1.xxx あり。重要度 Critical、タ−ゲット server、OS Windows、 デフォルト (/)すべてブロック。FortiOS は 5.2.10 にて。 [アンチウィルス] は インスペクションモ−ド ◎プロキシ、ウィルスを検知 ◎ブロック、 〆Send Files to FortiSandbox Ap..、〆Botnet C&Cサ−バ−への接続を検知 ◎ブロック、 HTTP 〆ウィルススキャンとブロック。[Webフィルタ]は インスペクションモ−ド ◎プロ キシ、〆FortiGuardカテゴリ、(/)セキュリティ上問題のあるサイト。[アプリケ−ション コントロ−ル] は カテゴリで (/)Botnet のみ、オプション は DNSと HTTPのところ(ON)。 WAN->DMZ で SMTP,HTTP,domain-UDP で IPS(all_default)を適用、メ−ル添付のランサム ウェアはこれで検知される?、されてないみたいだけど。DMZ->WAN へも IPS だけ適用と、 AV と IPS を適用あり。 LAN->WAN のル−ルほぼで AV、Webフィルタ、アプリケ−ション コントロ−ル(Apri) 適用。LAN->WAN2 はル−ル1つ "all all ALL AV Webフィルタ Apri、 AV は上記設定でサンドボックスのチェックあり。WAN2->DMZ はそもそも作ってない。 * FortiGate でプロキシサ−バまで FortiGate にプロキシに関するメニュ−に、コンテンツをキャッシュするというのは無い。 Squid 何かではいろいろキャッシュに関する設定項目があるのに。FortiGate のプロキシ 機能にはキャッシュ機能はない訳で、そうなるとIPアドレス変換(NAT)をやっている に過ぎないのでないか。ロ−ドバランサがつまりはNAT機能が基本であるのと同じよう な話になるのでないか。2017年7月20日の晩、寝床でそうふと思い、寝付かれなかった。 今のところプロキシサ−バは別なマシンで IWSS を動かして、プロキシとしてだけの機能 を使っている。このマシンも古くなってきたし、ライセンスも返上したい。ファイアウォ −ル本番機の 800D では、このマシンのIPアドレスから WAN2 を通るようにポリシ−ル −ティングを設定している。LAN->WAN2 は "all all ALL" で AV,Web,Apri チェックをし ている。これで 800D の CPU使用率は0、メモリ使用量は最大74%、落ち着くと65%とか。 これまでのプロキシサ−バのマシンを止めて FortiGate の vdom1 にプロキシサ−バを設 ける。処理能力的に一杯なのでないか、ず−っとそう懸念して来た。しかし既に今、同様 のセキュリティチェックはやっている。FortiGate のプロキシは ASIC でなく CPUで処理 するので負荷がかかると聞いた。しかし内部ではIPアドレス変換をやっているに過ぎな いとなれば、まだ処理能力はあるとみていいと思う。メモリ使用量が3%程度増える位かも。 * Fortinet 社の最新の製品と動向 7月7日の Fortinet セミナ−、Fortinet Security World 2017。アメリカからFortinet の上級エンジニアが来日して、同時通訳でスピ−チしていた。 最新の FortiOS には人工 知能の機能が搭載になっていると話していた。これですり抜けるマルウェアを人工知能で 捕捉できるようになるのか、期待したい。しかし機械学習を持ち出すまでないような気が するが。これまですり抜けたメ−ルは "請求書" うんぬんといった奴で一目瞭然だから。 Fortinetセミナ−で最近は、ファイアウォ−ルはインタ−ネット接続の所に設置するだけ でなく、社内ネットワ−クを分割してそれごとにファイアウォ−ルの設置が必要だと言っ ている。そこでは侵入防御機能やアプリケ−ション制御機能等も動かす。内部セクメンテ −ションファイアウォ−ル(ISFW)。更に"セキュリティ ファブリック" なるものを提唱し ている。Fortinet社の製品でセキュリティ情報を共有し、安全性を確保する仕組みである。 FortiSwitch という製品もあるぞ。上のセミナ−で初めて聞いた。"セキュリティ ファブ リック"の絵には FortiGate/Mail/Web と FortiSandbox と FortiClient の三角形が基本 のようである。 これに加えて FortiSwitch や FortiWiFi や FortiAnalyzer などがある。 高度な標的型攻撃、M2M攻撃にこれで備える第三世代のネットワ−クセキュリティとい う。FortiClient と無線LANの FortiWiFi も装備すれば、Fortinet 製フル導入となる。 * インタ−ネットも自分の頭も限界 `2h/07/M 検討は120%行ない、80%の余力をもって実施する。今回の検討は解けるだろうか正 直不安だった。NATのオンパレ−ドでファイアウォ−ル周りの設置設定では最も複雑で、 理解の限界を超えている気がした。しかし一つずつ攻めて行って、ロ−ドバランス構成の 基本を押えたところでパッと眼下が開けた。イントラネット構築において、最後の検討に ふさわしいものだった。それで採用するかの判断は、80%の余力と言うことにしよう。 新しい技術がどんどん出てくる。聞いたことのない用語が出てくる。それらを全てきちん と理解して使いこなすのは容易な事ではない。断片的な情報をインタ−ネットに拾う。懇 意にしているプロバイダやSI業者の技術者から有償無償で情報を得る。そして自身でテ ストしたりして現象を調べる。そうした中からまっとうそうな事を引き出し、まっとうな 事を見極める。そうした積み重ねからほぼ正しいと思われる解が導かれる事になるのだ。 v5.4.3 の FortiGate-100D を触ってみて。 Mozilla Firefox で、やっぱりもた−とした 画面で、メニュ−もかなり変更になっている。 「Fortinet ランサムウェア対策ガイド」 を参考に、更なるセキュリティ対策を 100D で試してみたいと思う。しかしちょっと独力 では難しいかも。 Fortinet 社の有償の新サ−ビス "FortiCare Advanced Service" の出 番かも。導入した Fortinet 製品全部の現状から診てもらい最適化を計るのである。