Network×Network目次

スポンサードリンク

Fortigate パケットキャプチャ

Fortigateで久しぶりのパケットキャプチャやってみた。

■Fortigateパケットキャプチャ設定方法
ネットワーク>パケットキャプチャ>新規作成
Update000110.JPG

インターフェースを選択
細損する最大パケット数を指定

以下必要なものをチェック
フィルタを有効化
IPv6パケットを含む
IPパケット以外も含む

選択後、OK
Update000111.JPG

すると作成した内容でキャプチャルールが作成されます。
作成後は停止された状態です。
Update000112.JPG

横の黒い三角ボタンを押すとパケットキャプチャが
開始されます。
Update000113.JPG

ダウンロードは下記ボタンを押します。
すると.pcapファイルが作成されるのでWinsharkなどで
ファイルを読み込みましょう。
Update000114.JPG

ここでキャプチャできる内容については注意が必要です。

・ASIC(NP)学習しているトラフィックはCPU処理
されないためパケットキャプチャすることができない


キャプチャするときは処理をASICからCPUへと変更
する必要がありますが、機器に負荷がかかります。
実施するときはトラフィックを限定して行った方が
よさそうですね。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

F5 BIG-IP Auto Last Hop

F5のBIG-IPには非常に便利な「Auto Last Hop」という
機能がデフォルト有効となっています。

この機能が有効となっている場合ルーティングテーブルに
関係なく受信パケットを送ってきた機器に返します。
これは送信元機器のMACアドレス情報を記録しているため
可能となります。

L3ではなくL2のテーブルで振分けを実施している
イメージですかね。非常に便利な反面問題も起きやすいです。
だってルーティングテーブルの通り動作してくれない
とか問題起きても解決しづらいですよね。。

◆機器リプレース時
F5から別のロードバランサーへリプレースするとき
 →Auto Last Hop機能を利用していたのに別のロードバランサー
 へ入れ替えてAuto Last Hopに相当する機能がないとき

◆上位機器で冗長構成
F5が接続している上位機種がHSRPやVRRPなどで冗長化をしているとき
 →ActiveからStandbyへ切り替わりが発生するときに通信が
 できなくなってしまう恐れがある
 →冗長化の技術では仮想MACアドレスを利用するが、仮想MACを
 利用するのは受信の場合だけが多いため
 →送信時は仮想MACアドレスではなく、送信機器の物理MACアドレス
 を利用して送信している場合

逆に便利なのは上位機種がActive/Active構成の時ですかね。
送信と受信の戻りが必ず一致するので便利です。

設定はグローバル適用とバーチャルサーバー単位で設定する
方法があります。

◆グローバル設定
System>Configuration>Local Traffic>General
Properties>Auto Last Hop>Enabled

◆バーチャルサーバー設定
Local Traffic>Virtual Servers>バーチャルサーバー選択
Properties>Configuration[Advanced]>Auto Last Hop
Default:グローバル設定を引継ぐ
Enabled:このバーチャルサーバーで有効
Disabled:このバーチャルサーバーで無効

デフォルト有効となる設定ですが必要なければ
無効とすることをお勧めします。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | F5 | このブログの読者になる | 更新情報をチェックする

Fortigate UTM 試験方法

FortigateでUTM機能を有効にして以下の脅威試験を
行うときどうすればいいかわからなかったりします。

1.SSLインスペクション
2.アンチウィルス
3.侵入検知(IPS)
4.アプリケーションコントロール
5.WEBフィルタ
6.サンドボックス

こうして書きだしてみるとFortigateって1台で
結構いろいろできてしまいますね。
負荷や性能はどこまで精度が高いのかわからないけど・・

ってことでFortigateのUTM設定を実施したあと
試験をする必要があると思うのでやり方などを
書いてくれているサイトをメモっておきます。

※UTM試験を行うときは隔離された環境でやりましょう。
※自己責任でお願いします。

FortigateのUTM機能を試験するサイトまとめ

■試験方法
サイト
◆hirota.noの技術ブログ〜 It's all over the network.
【Fortigate】SSLインスペクション(certificate-inspection)設定と動作確認 FortiOS6.2.4

【Fortigate】UTM(侵入防止)の設定と動作確認 FortiOS6.2.4
【Fortigate】アプリケーションコントロールの設定と動作確認 FortiOS6.2.4

◆プログラマでありたい
必ずスパムと判定されるメールと、ウィルスの作り方


◆NWスペシャリストのたまご
eicar以外のテストマルウェア


動画
◆FGshop
AntiVirus(アンチウィルス)のテスト方法

IPS(不正侵入検知防御)のテスト方法


■UTM機能・設定方法
◆C&S ENGINEER VOICE
FortiGate Cloud Sandbox機能 設定手順


◆matsublog
【FortiGate】アンチウイルス機能の設定を完全に理解する

【FortiGate】Webフィルタ機能の基本的な設定を理解する

◆NWW BLOG
FortiGateのUTM機能について

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

SASE(サッシー/サシー)とは

SASE(サッシー/サシー)とは
最近よく耳にすることが増えてきました、SASE(サッシー)。

元AKB指原莉乃さんのことではありません。
Secure Access Service Edgeの略です。
2019年8月Gartner社が新しいネットワークセキュリティの考え方として発表してから、
各ベンダーがSASEの考え方を取り入れた新しい製品というかサービスを販売しています。

読み方はSASEと書いてサッシー、サシー、サァシィーと色々
あるみたい。どれが正解なのかようわからん。無難なところではサシーかな。

どのようなものかと言うと「ネットワーク」+「セキュリティ」の機能を合わせて
クラウド上で提供してしまおうというコンセプトのものです。
ではなぜクラウドでこのような統合製品が必要になってくるのでしょうか。

SASEが必要になってきた理由としてテレワークの普及でアクセス元の多様化が進んでいる
というのがあげられます。また接続先としてクラウドの利用が普及しているのも大きいです。

今までの直接の接続先はデータセンターや社内システムがほとんどだったため
そこでネットワーク機器を準備してセキュリティ、アクセスやユーザーの管理などを
行うことが可能でした。しかしクラウドが登場し、さらにはローカルブレイクアウトという
方法で直接家からクラウドに接続するなど管理が難しい状況になってきています。
これらの問題を解決する手段としてSASE(サッシー)が声高に叫ばれるようになってきました。

図1
現行環境
Update000015.JPG

図2
テレワーク環境
Update000018.JPG

図3
SASE(サッシー)を活用したテレワーク環境導入例
Update000019.JPG

最後の図3に関してはなんとなくネットワーク環境が
一元管理されているように見えますね。

■SASE導入メリット
1.セキュリティ向上
 →アクセス元のロケーションが関係なくなる
 →一元管理でき、ログなどが記録できる
2.複雑さとコスト削減
 →ユーザー増減やトラフィックが増してもクラウド環境なので柔軟に対応ができる
 →機器を追加することなくサービス提供ができる
3.運用管理の改善
 →一元管理できる
 →ログなど記録が残せる

クラウド化が進み、テレワーク環境が必要となり、どこからでも接続できる環境だと
セキュリティも担保しなければならないこの時代には必須となるかもしれないですね。
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐-‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
Gartner社の図参照 「The Future of Network Security Is in the Cloud」
Update000020.JPG

[ネットワーク機能]
・SD-WAN(Software-Defined WAN:ソフトウェア定義のWAN)
・WAN Optimization(WAN最適化)
・CDN(コンテンツ配信ネットワーク)
etc

[セキュリティ機能]
・Cloud SWG(Secure Web Gateway:WEB通信の可視化、アクセス制御) 
・CASB(Cloud Access Security Broker:クラウドの利用状況の可視化、操作制御)
・ZTNA(ゼロトラストネットワークアクセス)
・SDP(Software Defined Perimeter:ソフトウェア定義の境界) 
・Threat Detection(脅威検知:異常行動やマルウェア検知など)
etc
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐-‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | 知識 | このブログの読者になる | 更新情報をチェックする

Aruba Networks 読み方

Hewlett Packard Enterprise(HPE)が買収した会社が
Aruba Networks(アルバネットワークス)となります。

主に無線ネットワーク機器を取り扱ってる会社で
HPEの狙いとしてはネットワーク製品の強化をはかった
というところでしょうか。

それにしてもこのAruba読み方が絶妙に難しいです。
よくAruba(アルーバ)と横棒を含めた読み方をする人がいます。
おれもその一人です。

けど社名はアルバネットワークスと読みます。
そうなると「アルバ」って発音が正解なのでしょうね。
問題は英語発音だと「アルーバ」になるところです。
結局アルバってのは日本人が発音したときの読み方
なので日本でしか通用しなそうです。

これからは「アルバ」「アルーバ」両方正解にしませんか。
海外ではアルバネットワークスといっても通じません。
アルーバネットワークスと発音しましょう。
日本ではアルーバじゃなくて社名がアルバなんだから
発音もアルバとあげ足を取ってくる人がいるかもしれませんが
そこは大目に見てください。


TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | HP | このブログの読者になる | 更新情報をチェックする

FaaSとは

FaaSとは

読み方は「ファース」「エフアース」
FaaS(Function as a Service)

FaaSとはサーバーレスで処理を定義、作成、実行して
利用するクラウドの利用形態の1つです。
そう今まではサーバー上に構築していたサービスを
サーバーなし、ミドルウェアなしで構築することができます。
プログラムを実行する基盤は準備しなくてもいいのです。
そうなると管理や運用も必要なくなります。

AWSではLambda(ラムダ)というサービスがFaaSに該当します。
プログラムしたことをAWS基盤のLambdaが実行してくれます。

◆注意点
・1つの処理実行時間は15分まで(15分以上の処理は実行できない)
・同一リージョンでは1,000処理まで
・他のサーバーレスアプリケーションを組み合わせて利用したときは
そちらの制限も考慮が必要となる。
例えばLambda+API Gatewayの組み合わせではAPI Gatewayの29秒で
タイムアウトという仕様も考慮が必要となる。
・プログラミング言語(Java、Ruby、Python、Node.js、.NET、Go)
・調査時はCloudWatchにログ出力が必要。
・Lambda単体のプログラム実行は出来ないのできっかけとなる
トリガーが必要。CloudWatchのログで何かしらのイベントが発生したら
起動など。

◆メリット
スモールスタート、開発の
サーバーの保守運用がいらない
使用した分だけ課金

今回はFaaSの中でも使い勝手のいいLambdaについて
説明しましたがこれから益々利用が進みそうなサービスですね。


IaaS / PaaS / SaaS 読み方は
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | 知識 | このブログの読者になる | 更新情報をチェックする

Fortigate 接続方法

新しく購入したFortigateに接続する際は
GUI接続するかコンソール接続するか。

慣れているとなんてことはないのですが
初めて接続する場合どうやるかわからないのです。

なのにみんな当たり前かのようにじゃ
こういうテストしようかという。
もっとやさしくしてください!

てことでGUIではじめてFortigateに接続する方法
を記載していきます。

1.PCのIPアドレスを192.168.1.0/24
これはFortigateのInternalのデフォルトIPが192.168.1.99/24のため
PCのIPは0のところを99以外に設定

2.PCとFortigateのInternalポートをLANで接続

3.コマンドプロンプトを起動して
PING 192.168.1.99

4.WEBブラウザをPCで起動して
https://192.168.1.99/
と入力すると通信できていればログイン画面が表示されます

このあとFortigateの初期設定を行っていきますが、
PINGがとばなかったりWEBブラウザで接続できない場合は
コンソールで接続してFortigate本体のIPアドレスを
確認しましょう。

デフォルトと言いながらも中古で購入すると別のIPアドレスが
振られていたりします。会社でも試験で使用して初期化せずに
放置していたりします。みんな次に使用する人に優しくないです。

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate ログイン ポップアップ

Fortigateにログインしたとき結構ポップアップが表示されて
ビクッとなることがあります。

ポップアップを確認せずに連打してると大惨事になることもあります。
英語が苦手だからと言って確認せずにクリックするのは危険です。

まずログイン画面でユーザー名、パスワードを入力します。
ポップアップ01.JPG

このあとFortigateではログイン画面後にポップアップが
表示されることがあります。

◆表示されたポップアップその1
パスワード変更
このアカウントはデフォルトのパスワードを使用しています、
パスワードを変更することを強く推奨します。
ポップアップ03.JPG
「パスワードの変更」「後で」

この表示はadminでパスワードなしでログインした場合表在されます。
確かにセキュリティレベルが低いので警告も致し方なしですね。

◆表示されたポップアップその2
File System Check Recommended
The last reboot was triggered by a power disruption.The system is up
and runningk but the disk may have issues. It is strongly recommended
that you check file system consistency before proceeding.
ポップアップ02.png
「Reboot and check file system」「Remind me later」

前回Fortigate本体を正常にシャットダウンしていないと
このポップアップが表示される場合が多いようです。
ここでReboot and check file systemを選択してしまうと
しばらくの間、使用できなくなってしまいます。
本番環境では大惨事です。

Remind me laterを選択するとFortigateのトップページに
飛びます。Fortigateの電源を落とすときは必ずGUIから
シャットダウン
及びCLIからシャットダウンコマンド
使ってシャットダウンを実施するようにしましょう!
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate Maximum Values (上限値)

Fortigateのポリシーを最大何個まで設定できるか知っていますか?
以外と知らないですよね。普通に生きてるると知る必要ないですからね。

Fortigate100EやFortigate1000Dなどよく設定するのですが
どの項目が最大どれくらい設定可能なのかを気にしたことはありません。
それくらいFortigateは値段の割にスペックがいいのでしょうね。

それでも最大どれくらいまで設定できるのか調べる機会があったので
メモ代わりに記載しておきます。

◆Fortigate 上限値 確認方法1
Fortinet Document Libraryで確認
https://docs.fortinet.com/

トップページのFortiGateアイコンを選択>Select version:でバージョン選択>
Maximum Values>External

Maximum Values Table
Software Version 選択
Models 選択
GO

これで各設定項目の上限値を確認することができます。

◆Fortigate 上限値確認方法2
FortigateにCLIで接続してコマンド入力
#print tablesize

これでその機器の上限値がドバっと表示されます。

続きを読む
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate ライセンス切れ

ライセンス切れって恐ろしいですよね。
期限が切れる前にライセンスを購入して期限延長を
行わないと一気に使えなくなる製品も世の中にはあります。
お客様に納品して1年後使えなくなりました〜
ってシャレにならないですよね・・・

世の中自動更新のものが多いと思うのですが業務で
使用するようなライセンスは代理店から購入しないと
いけない場合が多いです。

契約自体はメーカーとお客様で行っているのでメーカーから
ライセンス更新メールが飛ぶと思うのですが、
導入ベンダーがこのライセンスの更新期限近づいてますけど
延長でいいですよねって声をかけて上げるのが親切だと思います。

って前置きはどうでもよくてFortigateではUTM利用時に
ライセンスを購入するのですが期限切れになったらすべて使用
できなくなってしまうのでしょうか。

・IPS及びアプリケーションコントロール
最新のデータベースに更新されなくなりますが、既存のデータベースを
利用して動作継続します。

・アンチウィルス機能
最新のデータベースに更新されなくなりますが、既存のデータベースを
利用して動作継続します。要はパターンファイルが古いまま動作可能。

・WEBフィルタリング機能
基本的には利用できるはずだが、
「レーティングエラー発生時にWebサイトを許可する」が無効設定に
なっているとWEBアクセスがすべてブロックされてしまいます。

まーいずれにせよ更新切れにならないように注意が必要と
いうことですね。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする