[mixi]いろいろ質問する場 - ファイヤーウォールらぶ。

[65] mixiユーザー 10月31日 01:15

形式はDDRっぽいのです。しかし、いろいろがんばって検索しても、SSG5シリーズ用のメーカー純正品のメモリーモジュールに関するしか書いていない！
なので、思い切って試してみるまでできていないところです。
SODIMMっぽくても、速度とかわからないし。とりあえず高速なタイプのSODIMMをさしておけば動くかもしれないですけどね。

消費電力が8W程度で、とてもエコノミーでよいのですが、P2Pトラフィックの設定がかなり面倒。DMZからUntrustedに全ポート開放すると、処理が早くなりました。

って、そもそもそういうことをやるための製品ではないですけどね。

[66] mixiユーザー 10月31日 03:09

う～ん、128Mbyte しかないのですか？
たしかに US では、128Mモデルと 256M モデルが売られてますが、
うち（某一次代理店)で扱ってる SSG 5 では、256M ものしか販売していないのですがね。

http://www.juniper.net/products/integrated/dsheet/100176.pdf

[67] mixiユーザー 11月01日 00:13

国外から輸入しましたので、128Mモデルです。
メモリーを自分で付け替えたいですが、どれをさせばいいかわからない。。

[68] mixiユーザー 11月01日 01:00

ああ、そういうことなのですね。
でも、128M model と AntiVirus ライセンスを抱き合わせで売るのはひどいなぁ～。
前のコメントで引用した URL の datasheet 中にもあるように、

Unified Threat Management/Content　Security (high memory option required)

ですので、基本 256M model じゃないと、UTM はサポートしませんよ、ってことです。
SSG 5 には、お客様は UTM を期待されているので、
SSG-5-SH-BT (256M ISDN モデル）しか売ってません。

実際、UTM 設定しながら、get memory の状況を見てると、
signature を読み込んだタイミングで、がつんと available memory が減るのがわかります。
まあ、ScreenOS 5.4 が起動するだけでも、44M くらいくっちゃってますが。

> メモリーを自分で付け替えたいですが、どれをさせばいいかわからない。。

購入元に memory の specification を問い合わせてみてはどうですか？
At your own risk だぞ、といいながら教えてくれるかもしれません。

暇ができたら、1G が刺さるかどうかいちどやってみようかと思ってますが(笑
（会社の検証機で遊ぶと、おこられるしなあ。）

[69] mixiユーザー 11月01日 21:04

>Gollumさん
ご回答、ありがとうございます！
秋葉原のネットワーク専門店で聞いてみたところ、SSG5のメモリーを勝手に変えたら、２度と起動しない状態になってしまうことがある、とのことでした。

Juniperは、正規品以外のメモリーに勝手に変えてしまうことに対して神経質になっているらしいです。
256MBで数万円のメモリーモジュールなんて、買っていられるか！というのが正直なところです。

[70] mixiユーザー 11月06日 13:44

初めまして！！
こんなヒーロー(http://www.nortonfighter.com/)の宣伝についつられてしまって買いましたｗ
でも、いろいろ調べると他の物の方が性能がよさそうなんですが・・・
このままノートンを使っていても心配はないでしょうか？？
どなたかお教えいただければ、と思いますm(_ _)m

[72] mixiユーザー 12月10日 14:28

>>70 レノ　様
ノートンは決して悪いソフトではないと思います。性能的にも。
一応日本では一番売れているウィルス対策ソフトですし、インターネットセキュリティならファイアウォール機能も付いているし。

それにノートンファイターはmixiにも入っていますしw
http://mixi.jp/show_friend.pl?id=14053097

[75] mixiユーザー 12月13日 23:13

>totutotum さん
PPPのunnumberedは対応しています。
詳細はやったことがないのでわからないですが、MIP機能でパブリックネットワークに割り当てられたIPアドレスをプライベートネットワークのIPを一対一で割りられそうな。。

http://www.google.com/search?num=50&hl=ja&sa=X&oi=spell&resnum=0&ct=result&cd=1&q=Netscreen+pppoe+dmz&spell=1

[76] mixiユーザー 12月20日 14:12

冗長化について質問です。

ハードウェアの冗長化(HA)機能についてですが、
一般的には
１．Active-Active
２．Active-Stanby
があるかと思います。

１についてはパケットの振り分け（ロードバランス：ラウンドロビンや重み付けによる振り分け）機能であり、
２についてはマスターのActive側がダウンしたら、スタンバイ側に
　リンクを引き継ぐ

といったものですよね。
しかし、１に関しては、プライマリ側がダウン時したらセカンダリ側は
100%のパケットを引き継ぐことが可能なのでしょうか。
つまり、セカンダリ側は一つのファイアウォールとして
機能する
ということになるのでしょうか？

メーカー毎に動きは違うかもしれませんが、
ちょっと疑問に思っております。

[78] mixiユーザー 12月23日 22:45

最近のことはわかりませんが、TCPセッションを引き継いでくれるんでしょうかね。。

いろんな冗長技術がありますが、どれも一時的に断が発生すると思います。

HSRP/ESRP/VRRP - 一瞬切れると思います。
LACP - これも切れます。
BGP - 数十秒切れます。
EAPS - 数ミリsecできりかわるみたいです。
STP - 50秒切断
RSTP - 数秒だっけ?
ISDN Backup - 数秒でつながります。
RIP / OSPF / EIGRP - わすれた。

いろんな条件と組み合わせで、実際の回復はまちまち？ですかね。
数秒の切断なら、TCPのリトライ機能で、データは回復できるんじゃないでしょうか。
完全冗長は難しいと思います。

それにしても、最近物忘れが激しい。。。

[81] mixiユーザー 12月25日 16:00

＞あっき～さん
＞hasさん
コメント有り難うございます！

確かにプロトコル毎にセッション回復時間は異なりますよね。
ルーティング冗長化については確かにそうですが、
某メーカのとあるナレッジについて調べたところ、
ハードウェアの冗長化（VRRP、またはメーカー独自のHAプロトコル）については、
セッションの引継ぎに関しては、
Active-ActiveではTCPセッションは引き継げますが、
UTM機能のAVスキャンなどは引き継げない（もしくは時間がかかる？）
などもあるようです。
(Active-StanbyではAVスキャンは引き継げないが、UDPセッションは可能)

某メーカでは、HA構成では
Active-Passiveのみサポートしているそうです。
理由をメーカーに問い合わせてみたところ、
どうもActive-Activeの負荷分散機能がパフォーマンスの向上により
必要が無くなった、という感じだそうです。

[84] mixiユーザー 09月25日 16:13

NOKIAのIP290を設定しているのですが
ルータのように動作してくれません。
#1　192.168.1.254
#2　172.24.16.254
#3　10.1.1.254
などにして各NICが繋がっているセグメント
の端末でゲートウェイに指定したのですが
セグメントが別の端末にpingが通りません。
192系の端末→172.24.16.254(GW)のpingはOK
192系の端末→172.24.16.100(端末)はNG
これってFWのNIC間ルーティングがされていない
からでしょうか...？
ポリシーは念のためfw unloadlocalで停止してます。
教えていただけるとありがたいです。

[85] mixiユーザー 10月08日 23:07

端末にデフォゲ指定してないとか、そんなオチはないですよね。。

[88] mixiユーザー 01月12日 02:32

Netscreenで、SIP-NATをやりたいのですが、設定の仕方をご存知の方教えてください。
お願いします。

[90] mixiユーザー 03月13日 18:23

この場を借りて１点質問です。
UTM導入の検討で、事前にIDSを使って情報を取ることになり、
インターネットからDMZセグメントで情報を取得する意味の認識はあるのですが、
例えば、FWの内側からの通信でIDSを使ってわかることはあるものなのでしょうか？

プロキシ経由通信だと、FWを抜けるタイミングで取得したとしても、
HTTP、HTTPSポートを利用した推奨していないソフトウェアの通信が流れてますってレベル
しか検知できないのではないかと考えてます。
(ユーザと関連付けて検出については、現時点で考慮していません。)

WEBを調べていても、やはりインターネットからの通信についての記述が多いので、
ここでなにかしらの情報をいただけると助かります。
ご助力の程、お願いいたします。

[91] mixiユーザー 03月17日 17:11

例えば、FWの内側からの通信でIDSを使ってわかることはあるものなのでしょうか？

＞＞　例えばクライアントPCでスパイウェアなどに感染し意図しないOutgoingの通信が
　　　発生している場合にこれを検知できる可能性があります。

プロキシ経由通信だと、FWを抜けるタイミングで取得したとしても、
HTTP、HTTPSポートを利用した推奨していないソフトウェアの通信が流れてますってレベル
しか検知できないのではないかと考えてます。

＞＞　確かにプロキシサーバ経由でFWを通る場合は通信を行っているIPを絞り込むことは
　　　難しいです。
　　　プロキシサーバをFWのDMZへ設置しクライアントとプロキシの間にFWを設置でき
　　　ればログを取得することは可能です。

[92] mixiユーザー 03月17日 21:00

＞なおひこさん
内側でもHTTP以外でわかるものは
あるのですね。
お教えくださってありがとうございました。

[93] mixiユーザー 08月06日 14:02

ファイアーウォール自体の脆弱性に困っています。
強固なファイアーウォールアプライアンスをご提案いただけますでしょうか？

[94] mixiユーザー 08月07日 17:36

＞あっき～さん、
はじめまして。
あまりオープン性の少ないテクノロジのものにしたらいかがでしょう？
NSのScreenOS（今はJunOS統合でしたっけ）やSWのSonicOSなどなど。Ciscoはこないだまた脆弱性でましたね。。。

僕自身はUTMベンダ側の人間なんで贔屓目に見ちゃいますが、Top以外のベンダのOSの脆弱性攻撃は割と少ないですよー

[95] mixiユーザー 09月12日 13:58

なるほど。。
ScreenOSは5系も6系のバージョンの最新版でもだめのようです。
なぜファイアーウォールには通信ログが残らないのにサーバーには残ってるのだろうか。。。

[97] mixiユーザー 10月18日 16:08

亀レスですみません。だいたいのFirewallはデフォだと拒否系のログだけを残す仕様なので、例えばL3/L4レベルだとSPIで止めたもの、L7レベルだとIPSとかAntiVirusでシグネチャにマッチして、なおかつログするよう指定したものだけが記録されますね。
ほとんどのFirewall/UTM製品は外部にSyslog収集用の専用サーバ（Fortigateで言うとフォーティアナライザとか）が付けられるので、そういうヤツを併用することをオススメします。UTM買うとタダで付いてきたりもするので、一度検討されてみては？？全ての通信ログを網羅して、なおかつトラッキングできますよー。

[98] mixiユーザー 11月24日 09:15

　みなさんこんばんは。

　トピックで全然出てきませんが、Untangle使っている方っていますか？

　私は某途上国で社内SEっぽい鯖缶のような何でも屋をしてます(元々はプログラマなのですが)。
　が、予算不足のためやむを得ず2～3年前の世代のノートPCにLANカード追加でUntangleをインストールして強引に運用してます。

　外部向けサーバは立てておらず、主な目的は内部からのファイル交換ソフトなど業務に関係ない帯域を大幅に食う通信の遮断です。

　運用形態としてはルータ型ではなく、透過型で主にProtocol Filter(L7-filter)とWebFilter、IPアドレスとポートによるFirewall機能を使ってます。DHCPサーバはゲートウェイのCISCOルータと内部のCISCO CATALYST SWITCHに任せてます(事務所内有線LAN網のスイッチングハブが家庭用であり脆弱なのと停電時の事を考えて分散してIPアドレスを配布)。

　他のフリーのUTMアプライアンスも考えたのですが、透過型での運用が容易と言うことでUntangleを選びました。

　LAN内で悪さをする人間はゲートウェイ(古いCISCOルータ)の1つ内側に設置したのCisco Catalyst SwitchにてユニキャストMACアドレスフィルタリングでブロックしてます。が、MACアドレス変更ソフトで裏をかかれていたちごっこです。

　さらにネットワークへのパソコンは主に無線LAN接続の上、家庭用レベルのWifiルータを使っているのでWifiルータ配下からの禁止している通信だとパソコンを特定できなくて困ってます。Wifiルータをすべて無線APにした上でRadius認証でCaptive Portalとかを使えばMACアドレス偽装も通用せず解決するとは思うのですが。

　が、エンジニア不足(300～400台前後のホストと100台弱のネットワーク機器を1人でメンテ)と前述の予算不足、DHCPで配布するレンジの変更(今は192.168.0.0/23な感じですが、恐らく192.168.0.0/22にする必要あり)など色々面倒なので、踏み切れない状況です。

　上述の環境でMACアドレスアドレス偽装をする悪質なホスト対策はCaptive Portal認証の類を使う以外にありませんでしょうか？　残念ながら会社が情報セキュリティを始めITを理解している人間がほとんどおらず、予算はほとんど掛けられませんのでOSSを組み合わせしか選択肢がない状況です頭を抱えています。

[99] mixiユーザー 12月03日 10:41

　自己レスです。
　Captive Portal認証システムを入れて実験してみました。但し、認証サーバはRADIUS等の外部サーバは使いませんでした。とりあえず、空港の有料無線LANみたいにユーザIDとパスワードが出て認証しないとWebを始めとした外部への通信が出来ないように設定できました。その結果、希望通りの動作はするようでした。
　なおノートPC2台で実験しましたが、最近リリースしたUntangle8.0だと不定期にフリーズするので原因が分からず困ってます。これが解決したら実運用に使おうかと考えてます。
　同じ型番のノートPC(但しこっちはUntangle7.3及び7.4)だとフリーズしないのでこの辺りの違いかCaptive Portalの実行の有無、外付け有線LANアダプタが原因のように思いますが。

[100] mixiユーザー 01月22日 03:33

詳しく聞きたいですねー

[101] mixiユーザー 09月01日 10:36

おもしろいですねーこれだけの規模で予算不足で一人で管理ってすごいですね。
物理障害が同時に発生したらどうするんでしょう。全社的にシステムダウンを許容してしまうんですかね。

[102] mixiユーザー 09月30日 22:31

Juniper SSGとかで、各PCからipsec接続をするようにして認証をするようなソリューションが出ていたと思います。MACアドレスで認証させるのでしたら、全通信機器のMACアドレスを登録してその装置からのみの通信を許可するようにしないといけないですね。

セキュリティー全般における一般的な話ですが、セキュリティーは強くすればするほど使いやすさを失います。それに、どれほどセキュリティーを強化しても、本気になれば大抵のセキュリティー対策は突破できてしまいます。社員教育と社員とのコミュニケーションを強化するところから始めたほうがいいと思います。

[103] mixiユーザー 08月09日 00:02

最近セキュリティーに関する関心が低いのかな？

ログインすると、残り76件のコメントが見れるよ