NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

セキュリティ

Windows Defender をおすすめする理由

Windows 10 におけるウィルス対策ソフトは色々とありますが、個人的には費用対効果の観点から Windows Defender がおすすめです。理由は無料で十分な防御力があるからです。 以前はそれほどでもなかったのですが、最近はかなり改善されているように見えます…

SSH 公開鍵認証接続について

公開鍵認証とは ざっくりいうと、秘密鍵ファイルの入っているパソコンからじゃないと、サーバにアクセスできない仕組みです。 以下のイメージのように秘密鍵は「鍵」で、公開鍵は「錠」って考えるとわかりやすいです。 パスワード認証だと、パスワードさえわ…

定期的なパスワード変更が不要になった理由

「いまだに、定期的にパスワード変更を求めるサービスが結構あるね。」という話を、CSIRT 業務経験のある妻に話したところ、「(パスワード)盗難対策として、必要だからじゃない?」という回答だったので、結構前に不要になった話をしました。 とても驚いて…

エラー: 不正プログラム対策 エンジンオフラインの対処方法

不正プログラム対策 エンジンオフラインについて Deep Seuciry(Agent レス)において、「不正プログラム対策エンジンがオフライン」のエラーが発生する場合があります。このエラーが発生した場合、対象の仮想マシンは「無保護」状態となるため、放置してい…

Deep Security の概要

特徴 Deep Security Virtual Appliance(DSVA)が VMware ハイパーバイザーと連携し、各仮想マシンにセキュリティ対策ソフトをインストールすることなく、アンチウィルス対策機能を提供する。 各仮想マシンごとのソフトインストールが不要 セキュリティ対策…

OWASP ZAP による脆弱性診断について

2021-02-23 OWAP ZAP とは セキュリティ診断ツール「OWASP ZAP」は、 The Open Web Application Security Project(通称 OWASP、オワスプ)という国際的なコミュニティがつくりました。 OWASP を運営しているのはアメリカの The OWASP Foundation(OWASP財団…

Deep Security 11.0 でセキュリティアップデートに失敗

Deep Security 11.0 でセキュリティアップデートに失敗する場合のトラブルシューティングは、基本的に「セキュリティアップデートが失敗する場合のトラブルシューティング方法」にそって実施していきますが、こちらに記載されている以外に「証明書関連」の問…

IPsec の暗号化アルコリズムについて

IPsec の暗号アルゴリズムに TDEA を使用しているのを時折みかけますが、TDEA は、平文のデータを取得される脆弱性(sweet32)が確認されており、NIST(アメリカ国立標準技術研究所)が可能な限り早期に TEDA から AES に切り替えていくことを推奨しています…

ユーザー証明書のエクスポートについて

Windows 10 の Internet Explorer 11において、証明書のエクスポートは、「インターネットオプション」➡「コンテンツ」➡「証明書」からできますが、PowerShell コマンドを利用して行うことも可能です。 証明書の拇印の取得 現在のユーザーの [個人] の証明書…

Smooth File のファイル交換ソリューションについて

Smooth File とは プロット社が開発・提供する「ファイル交換ソリューション」です。「ファイル無害化機能*1」により、分離されたネットワーク間での安全なファイル交換を実現します。詳細についてはこちらを参照ください。 ダブルブラウザとの連携について …

Fortigate の SSL-VPN を CLI で設定

FortiOS 5.6 における SSL-VPN 設定の覚書です。ユーザ作成(user01~02を作成) config vdom edit "VDOM 名" config user local edit user01 set type password set passwd "パスワード" next edit user02 set type password set passwd "パスワード" end …

ランサムウェアについて

ランサムウェアとは ランサムウェアは機器、ネットワーク、データセンターに感染し、ユーザーや組織が身代金を支払うまで、システムをロックさせ使用できない状態にするタイプのマルウェアです。 ランサムウェアは通常、いくつかあるパターンのうち1つを使っ…

URL フィルタ設定

Fortigate では、任意のサイトへのアクセスをブロックする「URL フィルタ」機能があります。 以下、"http://172.16.2.100"へのアクセスをブロックする際の設定例になります。URL フィルタの定義 config webfilter urlfilter edit 1 set name "urlfilter01" c…

Fortigate の IPsec + NAT について

Fortigate では、IPsec で VPN を構築しつつ、NAT によるオリジナル IP の送信元/宛先同時変換が可能です。 基本的に、送信元 NAT は Pool を使用し、宛先 NAT は、VIP を使用します。以下、検証環境と設定例になります。 FG01の設定 LAN の設定 config syst…

SSL-VPN について

VPN はインターネットのようなセキュリティが担保されていないネットワーク上で、認証・暗号化技術を用いて、利用者間で安全に通信可能にする技術です。代表的なものとして、SSL-VPN や IPsec-VPN ありますが、今回は SSL-VPN について整理します。 SSL-VPN …

Cisco ASA のポータルページ無効化

Cisco ASA で WebVPN を使用時、ブラウザで ASA のアドレスにアクセスすると以下のようなポータルサイトが表示されます。このポータルサイトを無効化するには、以下のコマンドを実行します。 ciscoasa# conf t ciscoasa(config)# webvpn ciscoasa(config-web…

Fortigate の IPsec 設定方法

Fortigate で VDOM を有効化し、VDOM 上で IPsec を設定する場合の例を紹介します。Hub-and-Spoke ネットワークトポロジーで、Hub 側が「固定IP」、Spoke 側が「不定IP」を想定した IPsec-VPN の設定例になります。Hub 側 Phase1 の設定 config vdom edit VD…

Fortigate の VDOM について

2021-01-31 VDOM とは VDOM(Virtual Domain:仮想ドメイン)は仮想ファイアウォール機能です。 VDOM により、標準で 10 台の仮想 FortiGate を構築可能です(一部、機種を除く)。 VDOM を複数作成することによって、VDOM ごとにモード設定、VPN 設定、ファ…

Fortigate の HA 設定について

2021-02-23 マスター選択プロセスについて HA のマスターは、以下に基づいて選定されます。 自動切り戻しが無効の場合(set override disable) モニタポートの接続(up)数が多いノード スレーブ側の age time(稼働時間)が設定値(デフォルト5分)より長…

SSL サーバー証明書について

SSL サーバー証明書には「サイトの実在証明」と「暗号化通信の」の2つの機能があります。 サイトの実在証明 ウェブサイトを運営する組織が実在する事を確認する機能 SSL 通信では、まずサーバーが「SSLサーバ証明書」をクライアントに送信します。 クライア…

Python で FortiGate のログを取得

Python2.7 で FortiGate のログを収集する際のスクリプト例です。 http://nocwiz.com/2013/01/18/automated-fortigate-backups/ を参考にさせて頂きました。 import re import sys import datetime, time import string from Exscript.util.interact import …

FortiGate について

FortiGate について FortiGate(フォーティゲート)は、米 Fortinet 社の開発した統合脅威管理 (UTM) アプライアンスで、同分野では世界一のシェアを有する。ファイアウォール、VPN、ウイルスアンチウイルス、侵入防止システム、コンテンツフィルタリング…

Cisco ASA 設定覚書

検証環境 設定例 リモートアクセス設定 SSH 接続設定 ciscoasa(config)# username admin password cisco privilege 15 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# ssh 0 0 management ciscoasa(config)# ssh timeout 10 cis…

NetScreen の ALG 機能について

ALG とは 特定アプリケーションの中には、ペイロード(アプリケーションデータ)内にアドレス情報を持つものがあり、アドレスやポートを変換しただけでは通信が行えないものがあります。これらのアプリケーションに対応するため、ALG(Application Level Gat…

ScreenOS(CLI)でログを取得する

ScreenOS で許可/遮断したトラフィックの詳細を CLI で確認する際のメモ。 WebUI では、Reports > Policies > Traffic Log から確認できますが、ログが大量にある場合、CLI が便利です。 以下のとおり、get log traffic policy で確認します。 get log traff…