NETWORK×NETWORK

2024年はHPEが本気を出してきたわ。
アルバネットワークスに続いて大物のジュニパーネットワークスを買収。
これでFortinetとかにも手を出したら凄いんだけどな。

HPEがジュニパーネットワークスを買収、ネットワーク製品を補完
impress BUSINESS MEDIA参照
ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ
　米ヒューレット・パッカード・エンタープライズ
（Hewlett Packard Enterprise：HPE）が
米ジュニパー・ネットワークス（Juniper Networks）を
約140億ドル（1株あたり40ドル）で買収する。
2024年末から2025年初頭に取引を完了する予定。

　買収により、HPEのネットワーク事業規模は2倍になる。
取引完了後1年間で、非米国会計基準（non-GAAP）の
EPS（1株あたり利益）と自由に使える純現金収支の増加を、
また、完了後36カ月以内に年間4億5000万ドルの
コスト削減効果を見込む。

　買収の結果、HPEの製品ラインアップは、純現金収支が
大きく見込める高成長・高収益事業に偏重するという。
同社のネットワーク事業は2023会計年度時点で総売上高の
約18%だが、買収により総売上高の約31%、総営業利益の
56%以上を占めるようになる。これにより、AIやクラウドと
いった高成長分野への追加投資が可能になるとしている。

　HPEは、ネットワーク事業において無線LAN製品を
中心とする「HPE Aruba」やデータセンター向けスイッチ
などを提供している。一方のジュニパーは、
スイッチ/ルーターなどのハードウェアと、AIなどを
活用してネットワーク運用を簡素化する
ソフトウェア・サービス群を提供している。

　「HPEとジュニパーの製品ラインアップは補完的であり、
これらを組み合わせることで、エッジからクラウドまで、
中小企業から大企業まで、幅広い領域をカバーする」と
両社は表明している。また、AIの活用により、これら
ネットワークのエンドユーザー体験と
システム運用体験を高めるとしている。

　HPEとジュニパーの統合により、ジュニパーの顧客である
ユーザー企業、通信事業者、クラウド事業者に対して、
より包括的な製品やサービスを提供可能になるとしている。
また、HPEはデータセンター、ネットワーク、ファイアウォール、
ルーターなど隣接する大規模セグメントに参入する。

　買収後のネットワーク事業の強みとして両社は、製品が
AIネイティブである点を挙げる。例えば、「HPE GreenLake」
などのハイブリッドクラウドを介して提供するAIサービスの
基盤に、AIネイティブなネットワーク製品を活用する。
AIを活用してテレメトリを収集、分析、行動することで、
ユーザー企業のエンドユーザー体験とネットワーク運用を
効率化する。

　「ジュニパーの買収でカバー可能な市場が広がる。
AIネイティブとクラウドネイティブの世界の架け橋となる」（HPE）
「ジュニパーはAIの活用に長年注力してきた業績があり、
エンドユーザー体験を高め、運用を簡素化してきた。
今回HPEに加わることで、次の段階への移行が加速する」
（ジュニパー）
ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ*ｰ

昔はよくジュニパー製品のお世話になったからな。
HPEはネットワークの雄になろうとしているな。
Cisco、Fortinet、F5、HPEと選択肢が増えるのはいいことだ。

スパニングツリーのpathcost methodがバージョンにより変更

Catalyst9000やNEXUSのOSバージョンにより
spanning-tree(STP)のpathcost methodが変更となりました。

IOS XE 17.3.Xまではpathcost method 「short」
IOS XE 17.6.Xからはpathcost method 「long」

◆pathcost method 確認コマンド
Cisco(config)#show spanning-tree pathcost method
Spanning tree default pathcost method used is short

◆pathcost method 設定コマンド
Cisco(config)#spanning-tree pathcost method ＜long | short＞

◆short及びlongのコスト値
pathcost method & cost
帯域幅　short　long
100Mbps　19　200,000
1Gbps　4　20,000
10Gbps　2　2,000
40Gbps　1　500
100Gbps　1　200

これめちゃくちゃ注意が必要ですね。
現行環境に機器を新規導入してスパツリ構成が
変わったりしたら通信に影響でたりするかもしれません。

最近よく見かけるサイトで「Qiita」というサイトが
あります。読み方は「キータ」である。

Qiita(キータ)はエンジニアの技術や知識を
記録したり、共有するためのサービスとなります。

◆以下Qiitaのヘルプ参照
---------------------------------------------------------
Qiitaのサービス名の由来

2011年の秋、Qiitaはプログラマ向けの
Q&Aサービスとしてリリースしました。
サービス名を決めるにあたり、Q&Aサービスだから
Qから始まってAで終わる名前にしようということ
で考えた結果、いくつかの候補の中から
Qiitaというサービス名が生まれました。

リリース後に試行錯誤を重ね、現在はQ&Aサービス
ではなくプログラミングに関する情報を共有する
サービスへと変化してきましたが、現在も同じ
名前を使い続けています。
---------------------------------------------------------

IT業界では本当に色々な読み方があるので大変です。
間違って読んでしまおうものなら技術力すら
疑われかねません。

FortiClientをダウンロードする際はフォーティ社のサイトから
ダウンロードしましょう。

Product Downloads and Free Trials

FortiClient
・ZTNA Edition
・EPP/APT Edition
・FortiClient EMS
・ForitClient VPN only

VPNの接続クライアントとして利用するだけなら
無料で使える「FortiClient VPN only」で十分ですね。
とりあえず「Download VPN for Windows」版をダウンロードしてみます。

FortiClientVPNOnlineInstaller.exeをクリックしてインストール開始
ダウンロードに結構時間がかかります。


「Yes, I have read and accept the 」にチェックを入れて「Next」。


「Install」をクリック。


「Finish」をクリック。


デスクトップのアイコンFortiClientVPNをクリックして起動。
起動後、「VPN設定」をクリック。


新規に接続するVPNの設定情報を入力していきます。


これで対抗のFortigateが正常に設定されていれば
「接続」をクリックしてVPN接続ができます。


今回はさらに以下2点を設定できるようにしていきます。
・パスワードの保存
・自動接続

そのためにはWindowsPC側でレジストリを登録する必要があります。
「regedit」コマンドでレジストリを起動します。
この時点で意味が理解できない人はやめておきましょう。
レジストリエディタを起動したら以下確認します。
HKEY_CURRENT_USER\SOFTWARE\Fortinet\FortiClient
\Sslvpn\Tunnels\「作成したトンネル接続名」
以下二つの項目がないことを確認
・show_remember_password
・show_autoconnect


コマンドプロンプトを起動してレジストリ設定を追加していきます。
まずはパスワードの自動保存から。
◆FortiClientにパスワード自動保存チェックボックス追加
reg add HKEY_CURRENT_USER\SOFTWARE\Fortinet\FortiClient\Sslvpn\
Tunnels\test /v show_remember_password /t REG_DWORD /d 1 /f

◆FortiClientに自動接続チェックボックス追加
reg add HKEY_CURRENT_USER\SOFTWARE\Fortinet\FortiClient\Sslvpn\
Tunnels\test /v show_autoconnect /t REG_DWORD /d 1 /f

先ほどのレジストリエディタのパスを再度確認します。
HKEY_CURRENT_USER\SOFTWARE\Fortinet\FortiClient
\Sslvpn\Tunnels\「作成したトンネル接続名」
・show_remember_password
・show_autoconnect
が追加されたことが確認できます。


再度FortiClientを起動すると「パスワード保存」「自動接続」
のチェックボックスが新たに表示されることが確認できます。


ユーザー/パスワードを入力して「パスワードを保存」にチェックを入れ
接続すると次回からはパスワードも保存された状態となります。


「自動接続」にチェックを入れると以下の警告が表示されます。
有償版じゃないとこちらの機能は利用できないようです。

続きを読む

グローバルIPアドレスとプライベートIPアドレスの違い。

◆グローバルIPアドレス
インターネットを利用するときに一意に機器に
割り振るIPアドレス。プロバイダと契約したときに
払い出されるアドレスで勝手に個人で利用することはできない。
固定契約をしない限りはプロバイダ側が一定のサイクルで
グローバルIPアドレスを変更している。
現在の自分のグローバルIPアドレスを調べる方法もあります。

世界では
ICANN(Internet Corporation for Assigned Names and Numbers)
日本では
JPNIC(Japan Network Information Center)
が管理を行っている。

グローバルIPアドレスの範囲は以下に決まっている。

*クラスA
1.0.0.0〜9.255.255.255
11.0.0.0〜126.255.255.255

*クラスB
128.0.0.0〜172.15.255.255
172.32.0.0〜191.255.255.255

*クラスC
192.0.0.0〜192.167.255.255
192.169.0.0〜223.255.255.255

◆プライベートIPアドレス
ローカルで利用できるIPアドレス。
どこぞの会社と契約しなくても社内や家で自由に使える。
ただし社内や家でも同一のプライベートIPアドレスを
利用するとIPアドレスのバッティングが起きるので
各機器に一意のアドレスを割り振る必要がある。
またインターネットを利用する場合はプライベートIPアドレス
だけでは利用できないのでプロバイダと契約してグローバルIP
アドレスを付与してもらう必要がある。

プライベートIPアドレスの範囲は以下に決まっている。

*クラスA
10.0.0.0〜10.255.255.255

*クラスB
172.16.0.0〜172.31.255.255

*クラスC
192.168.0.0〜192.168.255.255

プライベートIPアドレスの機器がインターネット接続する
ためにはブロードバンドルーターなどがグローバルIPアドレスに
NAT変換することで通信が可能となります。

今回はFortigateのgrepコマンドについてのメモ。
FortigateでCLIからshow full-configurationを叩くと
結構膨大な量のログが画面上に流れることになる。

そこでポートwan1の情報を局所的に突然見たくなったとしよう。
ここで役に立つのがgrepコマンドである。
-------------------------------------------------------------------
Fortigate-test# show full-configuration | grep "wan1"
edit "wan1"
set interface "wan1"
set interface "wan1"
set interface "wan1"
set interface "wan1"
set interface "wan1"
set interface "wan1"
set interface "wan1"
set interface "wan1"
set dstintf "wan1"
set device "wan1"
set device "wan1"
set device "wan1"
set device "wan1"
set device "wan1"
set device "wan1"
set device "wan1"
Fortigate-test#
-------------------------------------------------------------------

けど局所的な"wan1"だけを表示しても正直意味がわかりませんね。
そこで役立つのがgrepのオプションとなります。
オプションを表示させるために一度わざと構文を間違えます。

-------------------------------------------------------------------
Fortigate-test# show full-configuration | grep "wan1" -z
grep: invalid option -- 'z'
Usage: grep [-invfcABC] PATTERN
Options:
-i Ignore case distinctions
-n Print line number with output lines
-v Select non-matching lines
-f Print fortinet config context
-c Only print count of matching lines
-A Print NUM lines of trailing context
-B Print NUM lines of leading context
-C Print NUM lines of output context
Fortigate-test#
-------------------------------------------------------------------

日本語に直すと以下のようになりますでしょうか。
-i 大文字小文字の区別をしない
-n 指定文字の行数を表示する
-v 指定文字以外を表示する
-f 指定文字を含む行と階層をすべて表示する
-c 指定文字を含む行数を表示する
-A 指定文字を含む下※何行を表示する　
-B 指定文字を含む上※何行を表示する
-C 指定文字を含む上下※何行を表示する
　　※何＝数字を指定

オプションを使ってコマンドを叩いてみましょう。
ここからは大文字小文字が含まれるget system statusをgrepしていきます。

◆ -i 大文字小文字の区別をしない
-------------------------------------------------------------------
Fortigate-test# get system status | grep bios

Fortigate-test# get system status | grep bios -i
BIOS version: 05000006
-------------------------------------------------------------------
◆ -n 指定文字の行数を表示する
-------------------------------------------------------------------
Fortigate-test# get system status | grep BIOS -n
11:BIOS version: 05000006
-------------------------------------------------------------------
◆ -v 指定文字以外を表示する
-------------------------------------------------------------------
Fortigate-test# get system status | grep BIOS -v
Version: FortiGate-100D v5.6.3,build1547,171204 (GA)
Virus-DB: 1.00123(2015-12-11 13:18)
Extended DB: 1.00000(2012-10-17 15:46)
IPS-DB: 6.00741(2015-12-01 02:30)
IPS-ETDB: 0.00000(2001-01-01 00:00)
APP-DB: 15.00793(2020-03-10 01:44)
INDUSTRIAL-DB: 6.00741(2015-12-01 02:30)
Serial-Number: FG
IPS Malicious URL Database: 2.00578(2020-03-10 07:20)
Botnet DB: 1.00000(2012-05-28 22:51)
System Part-Number: P11510-
Log hard disk: Available
Hostname: Fortigate-test
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 1547
Release Version Information: GA
FortiOS x86-64: Yes
System time: Thu Sep 28 20:58:38 2023
-------------------------------------------------------------------
◆ -f 指定文字を含む行と階層をすべて表示する
-------------------------------------------------------------------
Fortigate-test# get system status | grep BIOS -f
BIOS version: 05000006 <---
-------------------------------------------------------------------
◆ -c 指定文字を含む行数を表示する
-------------------------------------------------------------------
Fortigate-test# get system status | grep BIOS -c
1
-------------------------------------------------------------------
◆ -A 指定文字を含む下何行を表示する　
-------------------------------------------------------------------
Fortigate-test# get system status | grep BIOS -A 3
BIOS version: 05000006
System Part-Number: P11510-08
Log hard disk: Available
Hostname: Fortigate-test
-------------------------------------------------------------------
◆ -B 指定文字を含む上※何行を表示する
-------------------------------------------------------------------
Fortigate-test# get system status | grep BIOS -B 4
INDUSTRIAL-DB: 6.00741(2015-12-01 02:30)
Serial-Number: FG10
IPS Malicious URL Database: 2.00578(2020-03-10 07:20)
Botnet DB: 1.00000(2012-05-28 22:51)
BIOS version: 05000006
-------------------------------------------------------------------
◆ -C 指定文字を含む上下※何行を表示する
-------------------------------------------------------------------
Fortigate-test# get system status | grep BIOS -C 2
IPS Malicious URL Database: 2.00578(2020-03-10 07:20)
Botnet DB: 1.00000(2012-05-28 22:51)
BIOS version: 05000006
System Part-Number: P11510-
Log hard disk: Available
-------------------------------------------------------------------

grepコマンドのオプションはもちろん重ねることもできます。
絞りたい文字列がはっきりしている場合はかなり便利ですね。

CiscoのCatalystシリーズでポートを増やすときに
重宝していたCatalyst2960L。
後継機のCatalyst1000シリーズはライセンスが現行同様の
フィーチャーライセンスモデルなのがありがたいですね。

正直DNAライセンスモデルは導入ハードルが高すぎます。
Catalyst9200やCatalyst9200Lシリーズは性能いいのわかって
いるのですがDNAライセンスというだけで別商品を候補に
したくなります。

アップリンクポートに10GB(SFP+)モデルが出てきたのは
結構ありがたいですね。
マイグレーションパスは以下となるようです。

◆C2960L ⇒ C1000マイグレーションパス
WS-C2960L-8TS-JP(2x1G SFP) ⇒ C1000-8T-2G-L(2x1G combo)
WS-C2960L-8PS-JP(2x1G SFP) ⇒ C1000-8P-2G-L(2x1G combo)PoE+60W
WS-C2960L-16TS-JP(2x1G SFP) ⇒ C1000-16T-2G-L(2x1G combo)
WS-C2960L-16PS-JP(2x1G SFP) ⇒ C1000-16P-2G-L(2x1G combo)PoE+120W
WS-C2960L-24TS-JP(4x1G SFP) ⇒ C1000-24T-4G-L(4x1G combo)
WS-C2960L-24PS-JP(4x1G SFP) ⇒ C1000-24P-4G-L(4x1G combo)PoE+195W
WS-C2960L-48TS-JP(4x1G SFP) ⇒ C1000-48T-4G-L(4x1G combo)
WS-C2960L-48PS-JP(4x1G SFP) ⇒ C1000-48P-4G-L(4x1G combo)PoE+370W

機器の保守などについては販売店様にしっかりと
確認して購入するようにしましょう。

BIG-IPでiRulesをガシガシ書けたら恰好いいですよね。
きっとモテますよね。

けどそんなiRulesには文字数制限があります。
なんと65,520文字までしか書くことができないとか。

K9204: iRules are limited to 65,520 characters
https://my.f5.com/manage/s/article/K9204

エラー例のサンプル
01070712:3: Caught configuration exception (0),
Max string size exceeded during update of
attribute:definition type:rule max:65520
received:65584 - EdbCompositeObj.cpp, line 84.

この場合はiRuleをいくつかに分けてそれぞれを
バーチャルサーバーに割りあてる必要があります。

なんか難しそうですが考え方によっては
文字数の制限はなんとかなりそうですね。

Fortigate SSLVPN 無効化

Fortigateの脆弱性が発表されるたびにエンジニアの
皆様は胸が詰まる思いをされていると思います。
本当に悪質な攻撃方法や数が増えましたよね。
最近だとランサムウェアが多いでしょうか。

今回お客様から問い合わせを受けたのは以下の脆弱性。
SSL-VPNもよく利用する機能なので心配ですね。

FortiOSのヒープベースのバッファーオーバーフローの
脆弱性（CVE-2022-42475）に関する注意喚起

対象バージョンは以下になります
FortiOS 7.2.0 〜 7.2.2
FortiOS 7.0.0 〜 7.0.8
FortiOS 6.4.0 〜 6.4.10
FortiOS 6.2.0 〜 6.2.11
FortiOS 6.0.0 〜 6.0.15
FortiOS 5.6.0 〜 5.6.14
FortiOS 5.4.0 〜 5.4.13
FortiOS 5.2.0 〜 5.2.15
FortiOS 5.0.0 〜 5.0.14
FortiGate 6000/7000シリーズ: FortiOS 7.0.0 〜 7.0.7
FortiGate 6000/7000シリーズ: FortiOS 6.4.0 〜 6.4.9
FortiGate 6000/7000シリーズ: FortiOS 6.2.0 〜 6.2.11
FortiGate 6000/7000シリーズ: FortiOS 6.0.0 〜 6.0.14

対策として以下バージョンにすることが推奨されています
- FortiOS バージョン 7.2.3あるいはそれ以降
- FortiOS バージョン 7.0.9あるいはそれ以降
- FortiOS バージョン 6.4.11あるいはそれ以降
- FortiOS バージョン 6.2.12あるいはそれ以降
- FortiOS バージョン 6.0.16あるいはそれ以降
- FortiOS-6K7K バージョン 7.0.8あるいはそれ以降
- FortiOS-6K7K バージョン 6.4.10あるいはそれ以降
- FortiOS-6K7K バージョン 6.2.12あるいはそれ以降
- FortiOS-6K7K バージョン 6.0.15あるいはそれ以降

SSL-VPNを利用している場合はバージョンのアップグレードが
必要となります。バージョンアップする際はアップグレードパス
を参考に実施しましょう。

アップグレードが難しい場合はSSL-VPNの機能を無効に
することで回避することが可能です。
--------------------------------------------------
◆SSL VPN無効化方法
6.4.9以降のバージョン
[GUIでSSL VPN無効化]
VPN＞SSL-VPN設定＞SSL-VPNを有効
ボタンでオン/オフ

[CLIでSSL VPN無効化(VDOMなし)]
#config vpn ssl settings
set sattus disable
end

[CLIでSSL VPN無効化(VDOMあり)]
#config vdom
edit ＜vdom name＞
config vpn ssl settings
set status disable
end

6.4.8以降のバージョン
[GUIでSSL VPN無効化]
方法なし

[CLIでSSL VPN無効化(VDOMなし)]
#config system interface
edit ssl.root
set status down
end

[CLIでSSL VPN無効化(VDOMあり)]
#config vdom
edit ＜vdom name＞
config system interface
set status down
end
--------------------------------------------------

以上。

Fortinet社が公開しているFortigateの脆弱性は結構頻度が多いのです。
しかも重大度がクリティカルの場合も結構多い印象。
機器を導入したばかりで脆弱性に該当するOSの場合かなり
ガックリきてしまう。お客様からもなんでこんなすぐに欠陥が
見つかるのだと責められる。もちろん欠陥ではなく、なんなら
弱いところが見つかりパワーアップを行える旨を伝える。
誰も納得しないのは火を見るよりも明らかである。

保守の範囲でアップデートをしてほしいとか、アップデート
した後の影響調査依頼とかもよく来る。
もちろんお金をもらってやる作業なので理由を説明して
行うなら見積もりを作成して作業を実施する。

最近の機種のアップデートならインターネット接続状態で
数分〜数十分程度でOSのバージョンアップは行えてしまう。
ただ利用していた機能がバージョンアップすることにより
使えなくなったり、逆に新機能が追加されたりと心配の種は
枚挙にいとまがない。

そして何よりも重要なのが本当に脆弱性が修正されているのか
どうかである。実際にバージョンアップ後の試験で再現して
しまう場合が多い。その場合はさらに修正パッチが出るまで
待つしかない。その後はまたアップデート作業である。

とはいえ最近は外部に直接出ていく環境も多いので
最新版にアップデートするにこしたことはない。
そのためにも脆弱性情報については常に追いかけていきましょう。

ｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰ
＊IPA独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/security-alert/index.html
ここはFortigateだけでなく色々な重要なセキュリティ情報の
確認が行えます。毎日チェックしましょう。

＊Security NEXT
https://www.security-next.com/
サイトの新着記事では毎日のように世界中の脆弱性をとりあげています。
見ているだけで最近流行っている攻撃方法などもわかります。

＊FORTINET
https://www.fortinet.com/jp/fortiguard/outbreak-alert
言わずと知れたFortigate製品の大元。
なんだかんだいい製品を作っていると思うのでどんどん
脆弱性を吐き出していってほしい。
問題発生時にサポートがイマイチなのが気になる。

＊ITmediaエンタープライズ
https://www.itmedia.co.jp/enterprise/subtop/security/
セキュリティーニュースをここで追いかけましょう。
世界ではいろんな出来事が起きています。

＊サイバー警察局
https://www.npa.go.jp/bureau/cyber/index.html
ちょっと異色なのがこちら。
警察庁のサイトでもFortinet社製品を利用している人は
気を付けてねとのお達しが。
ｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰ
＊Fortigate サポート期限