インターネット分離時のファイル共有について

Ericom

インターネット分離とは

近年、標的型サイバー攻撃による情報漏洩インシデントが多発しています。この事態を受けて、総務省・IPA *1・NISC*2は個人情報などの機密情報を扱うシステムをインターネットから分離する事を推奨しています。「インターネット分離」とは、インターネット経由で攻撃者が重要システムにアクセス出来る経路を断絶することを意味します。

Ericom Connect によるインターネット分離

公開アプリケーションでブラウザを配信し、インターネットには配信されたブラウザ経由で接続、（機密情報のある）イントラサイトには既存のローカルブラウザで接続することで、機密情報の漏えいを防止するソリューションです。Ericom 社製品の日本国内における総販売代理店であるアシスト社は「ダブルブラウザソリューション」と呼んでいます。詳細についてはこちらを参照ください。

インターネット分離時のファイル共有

インターネット分離をした際、ファイルの共有が課題となります。本記事では、Ericom Connect のダブルブラウザ利用時に、ユーザ間でファイル共有を行う例について紹介します。

RDS サーバにファイルサーバを接続

RDS サーバにファイルサーバ上のフォルダをドライブマップするためのスクリプトを作成します。

@echo off
rem サーバ「ad01.example.com」の「share」フォルダを X: ドライブマップ
net use X: \\ad01.example.com\share /persistent:yes

「ファイル名を指定して実行」を起動して「gpedit.msc」と入力し、「OK」をクリックします。

f:id:FriendsNow:20170826004813p:plain

「ユーザーの構成」 > 「Windows の設定」 > 「スクリプト（ログオン/ログオフ）」 > 「ログオン」をダブルクリックし「追加」をクリックします。

f:id:FriendsNow:20170826004849p:plain

「スクリプト名(N):」に作成したスクリプトのパスを設定し「OK」クリックします。

f:id:FriendsNow:20170826005037p:plain

「コンピューターの構成」 > 「管理テンプレート」 > 「システム」 > 「グループポリシー」 > 「ログオンスクリプトの遅延を構成する」をダブルクリックします。

f:id:FriendsNow:20170826005051p:plain

「無効」にチェックし「OK」クリックします。

f:id:FriendsNow:20170826005105p:plain

「コンピューターの構成」 > 「管理テンプレート」 > 「システム」 > 「スクリプト」 > 「ログオンスクリプトを同期的に実行する」をダブルクリックします。

f:id:FriendsNow:20170826005125p:plain

「有効」にチェックし「OK」クリックします。

f:id:FriendsNow:20170826005142p:plain

「コンピューターの構成」 > 「管理テンプレート」 > 「システム」 > 「ログオン」 > 「コンピュータの起動およびログオンで常にネットワークを待つ」をダブルクリックします。

f:id:FriendsNow:20170826005203p:plain

「有効」にチェックし「OK」クリックします。

f:id:FriendsNow:20170826005214p:plain

「gpupdate /force」を実行します。

f:id:FriendsNow:20170826005222p:plain

「ファイル名を指定して実行」を起動して「rsop.msc」と入力し、「OK」をクリックします。

f:id:FriendsNow:20170826005232p:plain

ポリシーが正しく適用されていることを確認します。

f:id:FriendsNow:20170826005243p:plain

ファイルサーバの接続確認

クライアント端末で Access Pad を起動し「user01」でログインします。

f:id:FriendsNow:20170826005259p:plain

「Internet Explorer」をクリックします。

f:id:FriendsNow:20170826005316p:plain

「ファイル」タブから「名前を付けて保存」をクリックします。

f:id:FriendsNow:20170826005333p:plain

ファイルサーバ上のフォルダがドライブマップされている事を確認します。

f:id:FriendsNow:20170826005345p:plain

ファイルサーバへのファイル保存と共有

仮想ブラウザでダウンロードしたインターネット上のファイルをファイルサーバへ保存します。

f:id:FriendsNow:20170826005405p:plain

クライアント端末で Access Pad を起動し「user02」でログインします。

f:id:FriendsNow:20170826005415p:plain

ファイルサーバに保存したファイルを閲覧可能なアプリケーションをクリックします。本例では「PDF」を使用します。

f:id:FriendsNow:20170826005435p:plain

対象のファイルを選択し「開く」をクリックします。

f:id:FriendsNow:20170826005450p:plain

ファイルが閲覧可能なことを確認します。

f:id:FriendsNow:20170826005500p:plain

*1:独立行政法人情報処理推進機構

*2:内閣サイバーセキュリティセンター

2017-08-15

ダブルブラウザ連携キットについて

Ericom

ダブルブラウザ連携キットについて

ClickOnce を用いてクライアントにモジュール*1のインストールを行う仕組みを提供します。ClickOnce はユーザ毎にインストール作業が必要となります。

実装方法

ClickOnce では共有ファイルサーバを利用した配布と、Web を用いた配布をサポートしています。本例では、共有ファイルサーバを利用した配布を行います。

共有ディレクトリへのモジュール配置

本例では、ad01.example.com サーバを共有ファイルサーバーとして使用します。
連携キットの本体である「WBrowserLauncher.zip」を展開し、任意の場所へ配置します。

f:id:FriendsNow:20170815012755p:plain

「WBrowserLauncher」フォルダを共有します。

f:id:FriendsNow:20170815012809p:plain

なお、URL 自動判別オプションを配布する場合は「contents」フォルダ内へ「kotomine.zip」を展開します。

f:id:FriendsNow:20170815012836p:plain

設定ファイルの編集

「WBrowserLauncher」>「WBConfigTool」フォルダ内の「WBConfigTool.exe」を実行します。

f:id:FriendsNow:20170815012958p:plain

環境に合わせて必要な設定を行います。

f:id:FriendsNow:20170815013019p:plain

URL 自動判別オプションを利用する場合は、チェックを ON にします。*2

f:id:FriendsNow:20170815013038p:plain

また、URL 自動判別オプションに必要な設定を行います。詳細は「Ericom Connect URL 自動判別について」を参照ください。

f:id:FriendsNow:20170815013058p:plain

ユーザインストール操作

クライアント PC から以下のパスへアクセスします。

\\ad01.example.com\WBrowserLauncher\WBrowserLauncher.application

f:id:FriendsNow:20170815013117p:plain

自動で Access Pad がインストールされ、公開アプリケーション（本例では chrome）が利用できます。*3

f:id:FriendsNow:20170815013201p:plain

URL 自動判別オプションを利用する場合は、ブラウザ拡張をインストールする必要があります。管理権限で実行したコマンドプロンプトで以下のコマンドを実行します。

●IE-Addon
BrowserLauncher.exe -unregisterAddon -registerAddon
●Chrome 拡張
BrowserLauncher.exe -registerChromeExt

f:id:FriendsNow:20170815013215p:plain

アンインストール

スタートメニューにある「WBrowser Launcher のアンインストール」を実行します。

f:id:FriendsNow:20170815013402p:plain

「アンインストールと変更」をクリックします。

f:id:FriendsNow:20170815013417p:plain

「このコンピュータからアプリケーションを削除します。」を選択して「OK」をクリックします。

f:id:FriendsNow:20170815013427p:plain

*1:Access Pad や URL 自動判別オプション等

*2:別途オプションの購入が必要です。

*3:次回以降は、デスクトップのショートカットで起動できるようになります。

2017-08-14

Ericom Connect URL 自動判別について

Ericom

URL 自動判別オプションについて

Ericom 製品では、インターネット向けの仮想ブラウザーとイントラネット向けのブラウザーの 2 つの (ダブル) ブラウザーが必要ですが、当該オプションを使うことによって、イントラ・インターネットの自動判別とブラウザーアクセスを実現できます。詳細についてはこちらを参照ください。

URL 自動判別オプション要件

Microsoft .NET Framework 3.5、または Microsoft .NET 4.* Framework のインストール
Ericom AccessPad Client のインストール
Internet Explorer/Chrome/Firefox の最新版のインストール
クライアント端末が Active Directory に所属

URL 自動判別オプションのユースケース

ユーザーが Outlook や Adobe Reader といったアプリケーションからリンクをクリックした際、仮想ブラウザーとイントラネット向けブラウザーを識別して起動します。
ユーザーがイントラネットのブラウザーからインターネットのリンクをクリックした際、URL 自動判別オプションのアドオン・拡張がリンクを AccessPad で開きます。

Ericom Connect 側の設定

対象のアプリケーション（本例では仮想ブラウザの chrome）の「基本」で「パラメータ」に「${param1}」を入力します。*1

f:id:FriendsNow:20170823214042p:plain

「エンドユーザからアイコンを隠す」を「はい」に変更します。*2

f:id:FriendsNow:20170823214051p:plain

次に「要件」を設定変更します。

f:id:FriendsNow:20170814155818p:plain

「許可される起動方法」を「標準」から「すべて」に変更します。

f:id:FriendsNow:20170814155826p:plain

上記設定をしない場合、クライアントで仮想ブラウザの起動に失敗し以下のエラーが出力されます。

接続に失敗しました
操作に失敗しました（コード 6）.このリソースは制限のために起動することが出来ません。
システム管理者に問い合わせてください。

f:id:FriendsNow:20170814155835p:plain

URL 自動判別オプションのインストール

インストール方法は以下の2つがあります。
- MSI によるインストール
- 連携キット(ClickOnce 版)による配布

※本例では MSI によるインストールを紹介します。

Setup.x86.msi を実行します。

f:id:FriendsNow:20170814155116p:plain

「次へ」をクリックします。

f:id:FriendsNow:20170814155128p:plain

インストールする方法を選択します。

f:id:FriendsNow:20170814155143p:plain

URL を判別して起動方法を変更するための拡張をインストールします。*3
1. IE Add-on: Internet Explorer にアドインをインストールします。
2. Chrome extensions: Chrome に拡張をインストールします。
3. Firefox extension: Firefox に拡張をインストールします。
Config Editor: KOTOMINE の設定とイントラネット URL の一覧を編集するツールです。*4

設定をカスタマイズします

f:id:FriendsNow:20170814155335p:plain

イントラネット URL の一覧のファイルパス: URL が記載されたファイルのパスです。
イントラネットのブラウザー: イントラネットの URL を開くためのブラウザーです。*5
AccessPad のパラメーター: AccessPad を起動する URI やアプリ名、グループです。

「インストール」ボタンをクリックします。

f:id:FriendsNow:20170814155349p:plain

Windows 8 以上の場合、「プログラムの関連付けを設定する」画面が表示されます。「すべて選択」のチェックボックスをチェックし、保存ボタンをクリックします。

f:id:FriendsNow:20170814155411p:plain

「完了」をクリックします。

f:id:FriendsNow:20170814155423p:plain

（2017.8.23 追記）上記「プログラムの関連付け」において、既定のブラウザに KOTOMINE の「BrowserLauncher」を指定する必要があります。「BrowserLauncher」が指定されていない場合、PDF 等のリンクをクリックした際に、仮想ブラウザが正常に起動しない場合があります。

Config Editor を起動し「既定のブラウザーとして設定」をクリックします。

f:id:FriendsNow:20170814205754p:plain

「すべて選択」をチェックし、「保存」をクリックします。

f:id:FriendsNow:20170814205807p:plain

～ここまで～

インストール後 (Chrome 拡張がインストールされた場合)

Chrome の予測サービスをオフにします。*6

f:id:FriendsNow:20170814155510p:plain

イントラネット URL リストの編集*7

インストール先フォルダーに格納された InternalUrls ファイルをメモ帳などで編集します。

f:id:FriendsNow:20170814155612p:plain

本例では、イントラネット向けサイトとして"ad01.example.com"を設定します。

f:id:FriendsNow:20170814155624p:plain

接続確認

上記 URL へアクセスすると、ローカルブラウザでアクセスします。

f:id:FriendsNow:20170814155901p:plain

URL リストに記載されていない URL（本例では google.com）へアクセスすると、AccessPad を起動し、仮想ブラウザで接続します。

f:id:FriendsNow:20170814155915p:plain

*1:本設定をしない場合、ローカルブラウザで入力した URL のリダイレクトに失敗します。

*2:上記パラメータの設定を行った場合、アイコン経由の起動が失敗するためです。アイコンも必要な場合は、別途同じアプリケーションを公開する必要があります。

*3:各ブラウザがクライアントにインストールされている場合、表示されます。

*4:デフォルトではインストールされません。

*5:対応ブラウザーがインストールされた場合、選択可能となります。

*6:予測サービスにより AccessPad がその時点で起動することを防ぐためです。

*7:Config Editor がインストールされてない場合

2017-08-14

Ericom Connect インストール手順

Ericom

Ericom Connect とは

Windows Server の Remote Desktop Services（RDS）、VDI などのクライアント仮想化サーバーと、各クライアントを仲介するコネクションブローカーです。詳細についてはこちらを参照ください。

Ericom Connect 要件

各サーバーのシステム要件についてはこちらを参照ください。

Ericom Connect インストールの事前作業

Ericom Connect サーバーをドメインへ参加させます。
Ericom Connect サーバーインストール用のアカウントに UPN（User Principal Name）を登録します。

f:id:FriendsNow:20170814003606p:plain

SQL Server 2014 Express をインストールします。*1

f:id:FriendsNow:20170814003734p:plain

「SQL Server Browser」サービスのスタートアップの種類を「自動」に変更します。

f:id:FriendsNow:20170814003752p:plain

認証モードを「混合モード」に変更し、任意の sa アカウント用パスワードを入力します。

f:id:FriendsNow:20170814003808p:plain

他パラメータはデフォルトを使用します。

f:id:FriendsNow:20170814003904p:plain

「SQL Server 2014 構成マネージャー」を起動します。

f:id:FriendsNow:20170814003930p:plain

「プロトコル」の「TCP/IP」を有効にし、SQL Server のサービスを再起動します。

f:id:FriendsNow:20170814004028p:plain

Ericom Connect インストール

EricomConnect.exe を実行します。

f:id:FriendsNow:20170814004233p:plain

「Custom」を選択します。

f:id:FriendsNow:20170814004509p:plain

インストールするコンポーネントを選択します。本例では RDS を別建てし ESG*2 をインストールしないことを前提としています。

f:id:FriendsNow:20170814004524p:plain

インストール後「Ericom Connect Configuration Tool」が自動で起動するので「Configuration Analyzer」をクリックします。

f:id:FriendsNow:20170814004616p:plain

「Connect Administrator」の項にドメイン管理者パスワードを入力し、「Analyze」をクリックします。

f:id:FriendsNow:20170814004628p:plain

全ての項目が緑色になることを確認し、「Return to Configuration Tool」をクリックします。

f:id:FriendsNow:20170814004643p:plain

「New Grid」をクリックします。

f:id:FriendsNow:20170814004655p:plain

「Grid Name」に任意のグリッド名を入力、Server User のパスワードを任意の値に変更し「Initialize Database..」をクリックします。

f:id:FriendsNow:20170814004726p:plain

「Completed」の表示を確認後、Configuration Tool を終了します。

f:id:FriendsNow:20170814004804p:plain

"https://「Connect サーバーアドレス」:8022/admin" にアクセスし、Connect サーバー管理者でログインします。

f:id:FriendsNow:20170814004817p:plain

管理コンソール画面が表示されます。

f:id:FriendsNow:20170814004901p:plain

RDS サーバーインストールの事前作業

「リモートデスクトップセッションホスト」と「リモートデスクトップライセンス」をインストールします。

f:id:FriendsNow:20170814005022p:plain

「このコンピュータへのリモート接続を許可する」をチェックします。

f:id:FriendsNow:20170814005050p:plain

ユーザの選択で本例では「Domain Users」を選択します。

f:id:FriendsNow:20170814005105p:plain

RDS サーバーへのセッションを、1ユーザで複数セッション接続可能になるように設定します。「ファイル名を指定して実行」にて「gpedit.msc」と入力し、「OK」をクリックします。

f:id:FriendsNow:20170814005123p:plain

ローカルグループポリシーエディターで、「コンピュータの構成」 > 「管理用テンプレート」 > 「Windowsコンポーネント」 > 「リモートデスクトップサービス」 > 「リモートデスクトップセッションホスト」 > 「接続」の「リモートデスクトップサービスユーザーに対してリモートデスクトップサービスセッションを1つに制限する」をダブルクリックします。

f:id:FriendsNow:20170814005145p:plain

「無効」にチェックを入れ、「OK」をクリックします。

f:id:FriendsNow:20170814005208p:plain

リモートデスクトップライセンスサーバーを有効化します。「リモートデスクトップライセンスマネージャー」を起動します。

f:id:FriendsNow:20170814005240p:plain

「サーバーのアクティブ化」を選択します。

f:id:FriendsNow:20170814005253p:plain

「ライセンスのインストールウィザードを開始する」のチェックを外し、「完了」をクリックします。*3

f:id:FriendsNow:20170814005417p:plain

「ファイル名を指定して実行」を起動して「gpedit.msc」と入力し、「OK」をクリックします。

f:id:FriendsNow:20170814005431p:plain

「コンピューターの構成」 > 「管理用テンプレート」 > 「Windows コンポーネント」 > 「リモートデスクトップサービス」 > 「リモートデスクトップセッションホスト」 > 「ライセンス」の「リモートデスクトップライセンスモードの設定」のポリシーをダブルクリックします。

f:id:FriendsNow:20170814005530p:plain

リモートデスクトップライセンスモードを「有効」にし、「接続ユーザ数」を指定し「OK」をクリックします。

f:id:FriendsNow:20170814005556p:plain

次に、リモートデスクトップライセンスサーバーを指定します。

f:id:FriendsNow:20170814005710p:plain

ライセンスサーバーを使用するを有効にし、ライセンスサーバーを指定します。

f:id:FriendsNow:20170814005723p:plain

「gpupdate /force」コマンドを実行し、実行結果にエラーが無いことを確認します。

f:id:FriendsNow:20170814005756p:plain

RemoteAgent のインストール

EricomConnectRemoteHost_x64.exe を実行します。

f:id:FriendsNow:20170814005908p:plain

パラメータはデフォルトを使用します。

f:id:FriendsNow:20170814005922p:plain

インストール後「RemoteAgent Configuration」が自動で起動するので、Connect サーバ導入時に設定したグリッド名を設定します。

f:id:FriendsNow:20170814005940p:plain

Starting service メッセージが表示されることを確認します。

f:id:FriendsNow:20170814005957p:plain

Connect 管理コンソールにログインして、「リソースサーバーのステータス」に RDS が登録されていることを確認します。

f:id:FriendsNow:20170814010025p:plain

「サービス」でグリッドに接続されているサーバの一覧に RDS が登録されていることを確認します。

f:id:FriendsNow:20170814010035p:plain

アプリケーションの公開設定

Connect 管理コンソールにログオンし、「リソース」 > 「アプリケーション追加」をクリックします。

f:id:FriendsNow:20170814010056p:plain

サーバ一覧で、rd01 を選択し、公開するアプリケーション（本例では chrome）を選択し「追加」をクリックします。

f:id:FriendsNow:20170814010119p:plain

公開した「chrome」のアイコンが表示されることを確認します。

f:id:FriendsNow:20170814010135p:plain

「グループ」 > 「グループ追加」をクリックします。

f:id:FriendsNow:20170814010147p:plain

グループ名を設定し、公開するアプリケーションにチェックを入れ「作成」をクリックします。

f:id:FriendsNow:20170814010202p:plain

公開アプリケーションを使用できるユーザを割り当てます。「ユーザ」タブで「Active Directory オブジェクトを追加」をクリックします。

f:id:FriendsNow:20170814010311p:plain

ドメイン上のグループを指定し「追加」をクリックします。

f:id:FriendsNow:20170814010334p:plain

「Domain Users」に所属しているユーザがアプリケーションを使用可能となります。

f:id:FriendsNow:20170814010359p:plain

「半角/全角」キーの利用を許可する場合、「設定」 > 「デフォルト」 > 「スキャンコードの有効化」を「はい」に変更します。

f:id:FriendsNow:20170814010414p:plain

「Access Portal の言語」と「Access Portal キーボード」に「ja-jp」と入力し、「保存」をクリックします。

f:id:FriendsNow:20170814010424p:plain

接続確認

AccessPortal を使用したブラウザ接続

クライアント端末から、"http://「Connect サーバーアドレス」:8033/" にアクセスし、「Launch AcceessPortal」をクリックします。

f:id:FriendsNow:20170814010453p:plain

アカウント情報を入力し、「ログイン」をクリックします。

f:id:FriendsNow:20170814010505p:plain

左ペインの公開アプリケーション（本例では chrome）をクリックします。

f:id:FriendsNow:20170814010519p:plain

ローカルブラウザ内にアプリケーションが起動します。

f:id:FriendsNow:20170814010527p:plain

AccessPad を使用したブラウザ接続

クライアント端末から、"http://「Connect サーバーアドレス」:8033/" にアクセスし、「Windows AccessPad (x64)」をクリックします。

f:id:FriendsNow:20170814010540p:plain

EricomAccessPadClient64.exe をインターネット経由でダウンロードしますのでインストールします。

f:id:FriendsNow:20170814010558p:plain

AccessPad インストール時、「Use Local Windows credentials to SSO..」にチェックを入れてインストールすると、Windows のアカウントで自動ログインができるようになります。*4

f:id:FriendsNow:20170830224521p:plain

インストール直後だけパスワードを入力する必要があります。以後は端末再起動後もログイン作業は省略されます。

f:id:FriendsNow:20170830224532p:plain

AccessPad を起動し、サーバー、アカウント情報を入力後、「ログイン」をクリックします。サーバー欄は "「Connect サーバアドレス」:8011"と入力します。

f:id:FriendsNow:20170814010611p:plain

公開アプリケーション（本例では chrome）をクリックします。

f:id:FriendsNow:20170814010629p:plain

アプリケーションが起動します。

f:id:FriendsNow:20170814010640p:plain

*1:Ericom Connect は、SQL Server 2012 以降または SQL Server 2012 Express 以降が必要です。

*2:Ericom Connect Secure Gateway

*3:120日間の猶予期間がある一時ライセンスが使用可能となります。

*4:管理者権限でインストール必要があります。

2017-07-23

Fortigate の SSL-VPN を CLI で設定

FortiGate

FortiOS 5.6 における SSL-VPN 設定の覚書です。

ユーザ作成（user01～02を作成）

config vdom
edit "VDOM 名"
config user local
edit user01
set type password
set passwd "パスワード"
next
edit user02
set type password
set passwd "パスワード"
end

ユーザグループ作成

config vdom
edit "VDOM 名"
config user group
edit "ユーザグループ名"
set member user01 user02
end

SSL-VPN ポータル作成

config vdom
edit "VDOM 名"
config vpn ssl web portal
edit "ポータル名"
set tunnel-mode enable
set web-mode enable
set ip-pools "SSLVPN_TUNNEL_ADDR1"
set split-tunneling-routing-address "宛先ネットワーク（通常 LAN 側）"
end

SSL-VPN 設定

config vdom
edit "VDOM 名"
config vpn ssl settings
set servercert "Fortinet_Factory"
set tunnel-ip-pools "SSLVPN_TUNNEL_ADDR1"
set source-interface "SSL-VPN インターフェース（通常 WAN 側）"
set source-address "all"
set default-portal "web-access"
config authentication-rule
edit 1
set groups "ユーザグループ名"
set portal "ポータル名"
end
end

IPv4 ポリシー設定

config vdom
edit "VDOM 名"
config firewall policy
edit 2
set name "ポリシー名"
set srcintf "SSL-VPN トンネルインターフェース"
set dstintf "出力インターフェース（通常 LAN 側）"
set srcaddr "all"
set dstaddr "宛先ネットワーク（通常 LAN 側）"
set action accept
set schedule "always"
set service "ALL"
set groups "ユーザグループ名"
set ssl-ssh-profile "certificate-inspection"
set nat enable
end

SSL-VPN モニタ

get vpn ssl monitor

2017-07-16

UCS へ ESXi6.5 をインストールした際に発生した問題について

Cisco VMware

問題

Cisco の UCS C220 M4S に VMware ESXi6.5（Custom）をインストールしたところ、ネットワークアダプタへ割り当てるデバイス名（vmnicN：N は整数）が予期せぬ形となる問題に遭遇しました。
KB2091560を参考に、デバイス名の割り当てを変更する等色々試しましたが正攻法では回避できず、以下の対策でのみ解決することができました。本対策の妥当性については、今後メーカへ確認予定です。

ESXi6.5 新規インストール後の問題

ESXi のバージョン確認

~ # esxcli system version get
   Product: VMware ESXi
   Version: 6.5.0
   Build: Releasebuild-5310538
   Update: 0
   Patch: 19

インターフェース構成の確認

~ # esxcfg-nics -l
Name    PCI          Driver      Link Speed      Duplex MAC Address       MTU    Description
M1-1 -> vmnic0  0000:06:00.0 igbn        Up   1000Mbps   Full   a0:36:9f:8d:05:4c 1500   Intel Corporation I350 Gigabit Network Connection
M1-2 -> vmnic1  0000:06:00.1 igbn        Down 0Mbps      Half   a0:36:9f:8d:05:4d 1500   Intel Corporation I350 Gigabit Network Connection
M2-1 -> vmnic2  0000:81:00.0 igbn        Up   1000Mbps   Full   a0:36:9f:8f:7a:60 1500   Intel Corporation I350 Gigabit Network Connection
M2-2 -> vmnic3  0000:81:00.1 igbn        Down 0Mbps      Half   a0:36:9f:8f:7a:61 1500   Intel Corporation I350 Gigabit Network Connection
M2-3 -> vmnic4  0000:81:00.2 igbn        Down 0Mbps      Half   a0:36:9f:8f:7a:62 1500   Intel Corporation I350 Gigabit Network Connection
M2-4 -> vmnic5  0000:81:00.3 igbn        Up   1000Mbps   Full   a0:36:9f:8f:7a:63 1500   Intel Corporation I350 Gigabit Network Connection
LOM1 -> vmnic6  0000:01:00.0 igbn        Up   1000Mbps   Full   00:35:1a:10:44:0e 1500   Intel Corporation I350 Gigabit Network Connection
LOM2 -> vmnic7  0000:01:00.1 igbn        Up   1000Mbps   Full   00:35:1a:10:44:0f 1500   Intel Corporation I350 Gigabit Network Connection
M1-3 -> vmnic8  0000:06:00.2 igbn        Down 0Mbps      Half   a0:36:9f:8d:05:4e 1500   Intel Corporation I350 Gigabit Network Connection
M1-4 -> vmnic9  0000:06:00.3 igbn        Up   1000Mbps   Full   a0:36:9f:8d:05:4f 1500   Intel Corporation I350 Gigabit Network Connection

通常では以下のとおり割り当てられますが、上記のとおり想定外の割り当てとなります。

LOM1 -> vmnic0（LOM1 はオンボード NIC1 の略称)
LOM2 -> vmnic1（LOM2 はオンボード NIC2 の略称)
M1-1～4 -> vmnic2～5（M1 はスロット1に挿入されたメザニンカードの略称）
M1-2～4 -> vmnic6～9（M2 はスロット2に挿入されたメザニンカードの略称）

ネットワークアダプタとエイリアス名の割り当てを表示（上記同様にバラバラです。）

~ # localcli --plugin-dir /usr/lib/vmware/esxcli/int/ deviceInternal alias list | grep vmnic | grep -v logical
M1-1 -> pci       p0000:06:00.0        vmnic0
M1-2 -> pci       p0000:06:00.1        vmnic1
M2-1 -> pci       p0000:81:00.0        vmnic2
M2-2 -> pci       p0000:81:00.1        vmnic3
M2-3 -> pci       p0000:81:00.2        vmnic4
M2-4 -> pci       p0000:81:00.3        vmnic5
LOM1 -> pci       s00000000.00         vmnic6
LOM2 -> pci       s00000000.01         vmnic7
M1-3 -> pci       s00000000.02         vmnic8
M1-3 -> pci       s00000000.03         vmnic9

回避策

本事象は、ESXi5.1では発生せず、またKB2091560にも記載があるとおり、ESXi のアップデートをしてもアップデート前に割り当てたデバイス名は維持されるため、ESXi6.5 を新規インストールせず、5.1からアップデートします。（以下 KB 抜粋）

Upgrades from one release of ESXi to the next, including autodeploy configurations, do not change the aliases previously assigned to the system's ports. This includes upgrading from prior releases to ESXi 5.5 and later.

ESXi5.1 新規インストール後の状態

ESXi のバージョン確認

~ # esxcli system version get
   Product: VMware ESXi
   Version: 5.1.0
   Build: Releasebuild-2323236
   Update: 3

インターフェース構成の確認

~ # esxcfg-nics -l
Name    PCI          Driver      Link Speed      Duplex MAC Address       MTU    Description
LOM1 -> vmnic0  0000:01:00.0 igbn        Up   1000Mbps   Full   00:35:1a:10:44:0e 1500   Intel Corporation I350 Gigabit Network Connection
LOM2 -> vmnic1  0000:01:00.1 igbn        Up   1000Mbps   Full   00:35:1a:10:44:0f 1500   Intel Corporation I350 Gigabit Network Connection
M1-1 -> vmnic2  0000:06:00.0 igbn        Up   1000Mbps   Full   a0:36:9f:8d:05:4c 1500   Intel Corporation I350 Gigabit Network Connection
M1-2 -> vmnic3  0000:06:00.1 igbn        Down 0Mbps      Half   a0:36:9f:8d:05:4d 1500   Intel Corporation I350 Gigabit Network Connection
M1-3 -> vmnic4  0000:06:00.2 igbn        Down 0Mbps      Half   a0:36:9f:8d:05:4e 1500   Intel Corporation I350 Gigabit Network Connection
M1-4 -> vmnic5  0000:06:00.3 igbn        Up   1000Mbps   Full   a0:36:9f:8d:05:4f 1500   Intel Corporation I350 Gigabit Network Connection
M2-1 -> vmnic6  0000:81:00.0 igbn        Up   1000Mbps   Full   a0:36:9f:8f:7a:60 1500   Intel Corporation I350 Gigabit Network Connection
M2-2 -> vmnic7  0000:81:00.1 igbn        Down 0Mbps      Half   a0:36:9f:8f:7a:61 1500   Intel Corporation I350 Gigabit Network Connection
M2-3 -> vmnic8  0000:81:00.2 igbn        Down 0Mbps      Half   a0:36:9f:8f:7a:62 1500   Intel Corporation I350 Gigabit Network Connection
M2-4 -> vmnic9  0000:81:00.3 igbn        Up   1000Mbps   Full   a0:36:9f:8f:7a:63 1500   Intel Corporation I350 Gigabit Network Connection

上記のとおり想定どおりの割り当てとなります。

ESXi5.1 から 6.0U2 へアップデート

ESXi5.1 から 6.5 のアップデートパスはないため、まずは 6.0U2 へアップデートします。
VMware のサイトからアップデートファイルをダウンロードし、SCP 等を利用して対象のホストへ転送します。
本例では、以下のパスへ配置します。

vmfs/volumes/datastore1/update/Vmware-ESXi-6.0.0-3620759-Custom-Cisco-6.0.2.2-Bundle.zip

アップデートファイルを確認

~ # esxcli software sources profile list -d /vmfs/volumes/datastore1/update/Vmware-ESXi-6.0.0-3620759-Custom-Cisco-6.0.2.2-Bundle.zip
Name                                            Vendor  Acceptance Level
----------------------------------------------  ------  ----------------
Vmware-ESXi-6.0.0-3620759-Custom-Cisco-6.0.2.2  Cisco   PartnerSupported

ESXi5.1 から 6.0U2 へアップデート実行

~ # esxcli software profile update -p Vmware-ESXi-6.0.0-3620759-Custom-Cisco-6.0.2.2 -d /vmfs/volumes/datastore1/update/Vmware-ESXi-6.0.0-3620759-Custom-Cisco-6.0.2.2-Bundle.zip
Update Result
   Message: The update completed successfully, but the system needs to be rebooted for the changes to be effective.
   Reboot Required: true
   VIBs Installed:
<...snip...>

再起動

~ # reboot

ESXi5.1 から 6.0U2 アップデート後の状態

ESXi のバージョン確認

~ # esxcli system version get
   Product: VMware ESXi
   Version: 6.0.0
   Build: Releasebuild-3620759
   Update: 2
   Patch: 34

ESXi6.0U2 から 6.5 へアップデート

アップデートファイルを確認

~ #  esxcli software sources profile list -d /vmfs/volumes/datastore1/update/Vmware-ESXi-6.5.0-4564106-Custom-Cisco-6.5.0.2.zip
Name                                            Vendor  Acceptance Level
----------------------------------------------  ------  ----------------
Vmware-ESXi-6.5.0-4564106-Custom-Cisco-6.5.0.2  Cisco   PartnerSupported

ESXi6.0U2 から 6.5 へアップデート実行

~ # esxcli software profile update -p Vmware-ESXi-6.5.0-4564106-Custom-Cisco-6.5.0.2 -d /vmfs/volumes/datastore1/update/Vmware-ESXi-6.5.0-4564106-Custom-Cisco-6.5.0.2.zip
 [DependencyError]
 VIB Emulex_bootbank_scsi-be2iscsi_10.2.250.0-1OEM.500.0.0.472629 requires com.vmware.iscsi_linux-9.2.0.0, but the requirement cannot be satisfied within the ImageProfile.
 VIB QLogic_bootbank_scsi-qla4xxx_634.5.26.0-1OEM.500.0.0.472560 requires com.vmware.driverAPI-9.2.0.0, but the requirement cannot be satisfied within the ImageProfile.
 VIB Emulex_bootbank_scsi-be2iscsi_10.2.250.0-1OEM.500.0.0.472629 requires com.vmware.driverAPI-9.2.0.0, but the requirement cannot be satisfied within the ImageProfile.
 VIB QLogic_bootbank_scsi-qla4xxx_634.5.26.0-1OEM.500.0.0.472560 requires com.vmware.iscsi_linux-9.2.0.0, but the requirement cannot be satisfied within the ImageProfile.
 VIB Emulex_bootbank_scsi-be2iscsi_10.2.250.0-1OEM.500.0.0.472629 requires vmkapi_2_0_0_0, but the requirement cannot be satisfied within the ImageProfile.
 VIB QLogic_bootbank_scsi-qla4xxx_634.5.26.0-1OEM.500.0.0.472560 requires vmkapi_2_0_0_0, but the requirement cannot be satisfied within the ImageProfile.
 Please refer to the log file for more details.
 <...snip...>

依存関係のエラーがでましたが、本例では Emulex や Qlogic 社製のアダプタは使用していないので、以下のコマンドで強制的にアップデートを実行しました。

~ # esxcli software profile update -d /vmfs/volumes/datastore1/update/Vmware-ESXi-6.5.0-4564106-Custom-Cisco-6.5.0.2.zip -p Vmware-ESXi-6.5.0-4564106-Custom-Cisco-6.5.0.2 -f
Update Result
   Message: The update completed successfully, but the system needs to be rebooted for the changes to be effective.
   Reboot Required: true
   VIBs Installed:
 <...snip...>

再起動

~ # reboot

ESXi6.0U2 から 6.5 アップデート後の状態

ESXi のバージョン確認

~ # esxcli system version get
   Product: VMware ESXi
   Version: 6.5.0
   Build: Releasebuild-4564106
   Update: 0
   Patch: 0

インターフェース構成の確認

~ # esxcfg-nics -l
Name    PCI          Driver      Link Speed      Duplex MAC Address       MTU    Description
LOM1 -> vmnic0  0000:01:00.0 igbn        Up   1000Mbps   Full   00:35:1a:10:44:0e 1500   Intel Corporation I350 Gigabit Network Connection
LOM2 -> vmnic1  0000:01:00.1 igbn        Up   1000Mbps   Full   00:35:1a:10:44:0f 1500   Intel Corporation I350 Gigabit Network Connection
M1-1 -> vmnic2  0000:06:00.0 igbn        Up   1000Mbps   Full   a0:36:9f:8d:05:4c 1500   Intel Corporation I350 Gigabit Network Connection
M1-2 -> vmnic3  0000:06:00.1 igbn        Down 0Mbps      Half   a0:36:9f:8d:05:4d 1500   Intel Corporation I350 Gigabit Network Connection
M1-3 -> vmnic4  0000:06:00.2 igbn        Down 0Mbps      Half   a0:36:9f:8d:05:4e 1500   Intel Corporation I350 Gigabit Network Connection
M1-4 -> vmnic5  0000:06:00.3 igbn        Up   1000Mbps   Full   a0:36:9f:8d:05:4f 1500   Intel Corporation I350 Gigabit Network Connection
M2-1 -> vmnic6  0000:81:00.0 igbn        Up   1000Mbps   Full   a0:36:9f:8f:7a:60 1500   Intel Corporation I350 Gigabit Network Connection
M2-2 -> vmnic7  0000:81:00.1 igbn        Down 0Mbps      Half   a0:36:9f:8f:7a:61 1500   Intel Corporation I350 Gigabit Network Connection
M2-3 -> vmnic8  0000:81:00.2 igbn        Down 0Mbps      Half   a0:36:9f:8f:7a:62 1500   Intel Corporation I350 Gigabit Network Connection
M2-4 -> vmnic9  0000:81:00.3 igbn        Up   1000Mbps   Full   a0:36:9f:8f:7a:63 1500   Intel Corporation I350 Gigabit Network Connection

上記のとおり想定どおりの割り当てが維持されます。

ネットワークアダプタとエイリアス名の割り当てを表示（上記同様に維持されます。）

~ # localcli --plugin-dir /usr/lib/vmware/esxcli/int/ deviceInternal alias list | grep vmnic | grep -v logical
LOM1 -> pci       s00000000.00         vmnic0
LOM2 -> pci       s00000000.01         vmnic1
M1-1 -> pci       p0000:06:00.0        vmnic2
M1-2 -> pci       p0000:06:00.1        vmnic3
M1-3 -> pci       s00000000.02         vmnic4
M1-4 -> pci       s00000000.03         vmnic5
M2-1 -> pci       p0000:81:00.0        vmnic6
M2-2 -> pci       p0000:81:00.1        vmnic7
M2-3 -> pci       p0000:81:00.2        vmnic8
M2-4 -> pci       p0000:81:00.3        vmnic9

2017-07-09

ランサムウェアについて

ランサムウェアとは

ランサムウェアは機器、ネットワーク、データセンターに感染し、ユーザーや組織が身代金を支払うまで、システムをロックさせ使用できない状態にするタイプのマルウェアです。
ランサムウェアは通常、いくつかあるパターンのうち1つを使って実行されます。
Crypto ランサムウェアは、オペレーティングシステムに感染し、機器が起動できなくなるようにします。
他にも、ドライブやファイル、ファイル名を暗号化するランサムウェアもあります。悪意のあるものにはタイマーが付いたバージョンもあり、身代金が支払われるまでファイルを削除していきます。
すべてにおいて言えるのは、ブロックした、あるいは暗号化したシステム、ファイル、データのロック解除や解放と引き換えに、身代金を支払うよう要求してくる、ということです。
出典：ランサムウェアから身を守るための10の措置

感染後、ユーザーの機器のスクリーン上に以下のようなメッセージが表示されるケースが多いということです。
f:id:FriendsNow:20170709230920p:plain

WannaCry について

概要

2017年5月に世界各地で爆発的な被害を与えたワーム活動を行うランサムウェアです。*1
感染すると主要なデータファイルを暗号化し、解除するためにビットコインを支払うよう指示されます。

WannaCry 感染によるユーザ表示画面
f:id:FriendsNow:20170709230656p:plain

感染経路

ランサムウェアのファイル自身は Windows 実行形式ファイルになります。メールや不正なウェブサイト経由で拡散しています。CVE-2017-0145（SMBv1の脆弱性）を利用して LAN 内、そしてインターネット上のランダムな宛先に対して広範囲に感染活動を広げます。
感染後の更なる感染活動が、大きな被害を生み出したポイントになっています。

WannaCry の被害状況（2017.6.28時点）
f:id:FriendsNow:20170628154926p:plain

特徴

ファイル共有機能の脆弱性が修正されていない Windows が対象
ネットワークベースの攻撃、バックドア等を利用して、社内 LAN、インターネットを通じて拡散
Tor*2を利用し、C2サーバへ接続
日本語を含む27の言語に対応した脅迫文
Bitcoin で300～600米ドルを要求
イギリスの医療機関やロシアを始め、世界中で感染被害が報告
キルスイッチを搭載（詳細は以下のとおり）

対策

Windows Update で MS17-010 (2017年3月公開) を適用する。
SMBv1を無効化する。
UTM をインターネットの出口に設置し、IPS、AntiVirus を有効にする。（インターネット側からの感染活動については、ルータやファイアウォールで445ポートをブロックするだけで防げますが、ローカルからインターネットアクセスした際の戻りで発生する感染活動には対応できないため、推奨）

キルスイッチについて

WannaCry の活動を停止するトリガーをさします。トリガーは以下のドメインにアクセスできるかどうかです。

www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

WannaCry は、Windows 端末に感染後、上述のドメインにアクセスし、アクセスできなければ活動を開始。アクセスできる場合には活動を停止します。WannaCry が出回った当初は未登録のドメインだったので、IPアドレスが存在せず、感染が拡大しましたが、ある研究者が上記ドメインを取得したため、一部の環境を除いて無効化されたようです。
なぜ、ウィルス製作者がこのような機能を実装したか原因は不明ですが、サンドボックス回避のためと考えられています。（サンドボックスはウイルスが要求したアドレス解決に対して（未登録のドメインであっても）必ずダミー用サーバーのIPアドレスを返すため。）
出典：ITPro

*1:日本国内では、9日間で合計1万6436件の攻撃を確認

*2:The Onion Router：TCP/IPにおける接続経路の匿名化を実現する規格及びソフトウェアの名称