18-7. 超小型マシンとUTMで監視
(1) OpenBlockS で遠隔地の監視 `2a/07
* こういうテスト環境を作ってみた ( OpenBlockS で遠隔地の監視体制を作ってみる )
国内営業所や海外駐在所などの遠隔地に設置した OpenBlockS に本社から telnet アクセ
スして、OpenBlockS 内で tcpdump を稼働させてパケットを見ることができるようにする。
見ただけで問題など分かればそれでいいが、詳細に調べる場合はパケットをファイルに落
とし OpenBlockS 内におく。そのファイルを本社の自分のマシンにファイル転送してきて、
ASTEC Eyes のデコ-ド機能によりパケットデ-タの解析をしてみる。 tcpdump の出力フ
ァイルは libcap ver.2 以降と ASTEC Eyes の2006年当時のパンフレットに書いてあ
った。ざくっと手元の ASTEC Eyes 5.0 を見たが、あまり使い勝手はいいようには思えな
い。できれば新しい ASTEC Eyes をダウンロ-ドして使ってみたい。OpenBlockSは買った
ままではめぼしいソフトはほとんど入ってない。tcpdump も入ってない。インスト-ルは
OpenBlockS にWebアクセスして [アプリケ-ションマネ-ジャ] から行なう。
-------------- --------
| OpenBlockS | |PC1 | >telnet 192.168.1.2
| | | | #tcpdump eth1を指定
|ETH1 ETH0| Sun --------
--□------□-- ○ | ETH1: 192.168.1.1
.1| .2| |192.168.1.0| ETH0: 192.168.1.2
--|------|-------|-----------|---
| □ □ □ □ □ | 1番ポ-ト:ミラ-ポ-ト
| 1 2| 3 CentreCOM FS917S | 2番ポ-ト:ソ-スポ-ト
------|-----------------------------
|
△PC2 PC2 から Sun に telnet などでアクセスする。
超小型 Linux サ-バ OpenBlockS 600、2009年5月に発売。企業ネットワ-ク用サ-
バ 59,800円税込。消費電力 約8.0W。保証期間3年。ハ-ドディスクなし、ファンなしで
駆動部分がない。OS標準サポ-ト SSD/Linux。ストレ-ジ CF 1GB 標準。メインメモリ
1GB。1000BASE-T 2ポ-ト。ネットワ-クの検査や運用に使えるコマンドがいろいろ入っ
ている。tcpdump, wireshark, nmap, Nagios, quagga, conserver など。物は小さいけど
いっぱしな Linux だぞ。desknet's, Hinemos, PacketiX なども入っている。OpenBlockS
600 は OpenBlockS 266 の後継機。2000年7月から OpenBlockS は販売されている。
ネットワ-クのいろいろアプライアンスやコンピュ-タのインタ-フェ-スはLAN側と
WAN側ということで、違ったネットワ-クIPアドレスを付けることが普通である。中
にはWAN側にはパブリックIPアドレスしか付けられない、LAN側にはプライベ-ト
IPアドレスしか付けられないアプライアンスもあった気がする。しかしサ-バなんかで
インタ-フェ-スを2枚刺しする絵は時々これまでも見た。同じネットワ-クIPアドレ
スを付けることは問題ないと思う。いや OpenBlockS ではだめみたい、同じネットワ-ク
IPアドレスを付けることはできるが、ぷらっとホ-ムもやらないでくれとの話だった。
同じネットワ-クIPアドレスを付けた場合、2つのインタ-フェ-スのケ-ブルは2本
ともハブにつなげてないと、外からはどちらのIPアドレスにも反応しない。別なダムハ
ブで動作を確認した。このスイッチ FS917S でもただの2つのポ-トに OpenBlockS の2
つポ-トをつないだら反応はした。しかし1つをミラ-ポ-トにつないだら反応しなくな
った。PC1 から >ping 192.168.1.1 も 1.2 も反応しなかった。結局のところOpenBlockS
の2つポ-トに同じネットワ-クIPアドレスは付けてはだめということである。ミラ-
ポ-トにつないだマシンにも他から telnet できれば言うことないのに、だめだ。
* ミラ-ポ-トの設定と監視コマンド
アライドテレシスの FS917S はソ-スポ-トは1つしか指定できない。FS917Mはどうなの
か。範囲で指定しているドキュメントがインタ-ネットにあった。アライドではどうもソ
-スポ-トをたくさん指定すると装置に負荷がかかるので、監視したいポ-トは1個ない
し数個にした方が望ましいということみたいである。
FS917S ではポ-トをミラ-ポ-ト指定すると、 そのポ-トはスイッチポ-トとしては使
えないことになっていた。何のことかなと思ったが、実際動作を確認するまで分からなか
った。予想外のことだ。つまり他のポ-トにつながっているパソコンなどからソ-スポ-
トにつないだコンピュ-タには ping も反応しない。勿論 telnet アクセスもできない。
それで OpenBlockS のイ-サネット?インタ-フェ-ス2つに同じネットワ-クIPアド
レスを付けてみることにした。1つはミラ-ポ-トにしたポ-トで、パケットをどんどん
受け取る。もう1つは普通のただのポ-トで外から telnet アクセスして、tcpdump コマ
ンドを叩いて、パケットの様子を見ることにする。
* アライドテレシス CentreCOM FS917S
FS917S は SNMP対応の製品ではないので、装置にはIPアドレスは付けられないと思って
いた。物が来て取り扱い説明書をざっと読んだら、付けることができると分かった。先ず
は FS917S の CONSOLE ポ-トにパソコンから RS-232C 接続して、装置の設定をやってみ
る。RS-232C 接続用のケ-ブルは付属してない。必要なら別途 RJ-45の口をしたのを購入
する。5千円ぐらいする。 小生は Cisco のスイッチングハブについてた黒のペラペラの
ケ-ブルを今回も使った。多分できるだろうと思った、すんなり接続できた。
ミラ-ポ-トは1つのみ設定できる。FS917Sではソ-スポ-トも1つのみ設定できる。装
置にIPアドレスを付けることができる。装置に telnet できる、ただし telnet で入っ
てできることは装置の設定以外には ping だけみたい、traceroute もない。 以下ざっと
設定を示す。(1) でVLANにIPアドレスとネットマスクを割り当てて、IPインタ-
フェ-スを設定する。それから (2) をやるとデフォルトゲ-トウェイも設定できた。 こ
れ以外にもコマンドは幾つかあるが、関係するのはこんなもんである。
パソコンから TeraTerm を用いて FS917S ハブに接続した場合。パソコンのシリアルポ-
トの設定を 9600bps,8bit,none,stop 1bit,フロ-制御none にする。これは TeraTerm の
デフォルト。つながると Manager > というプロンプトが出てくる。以下 Manager > は略。
> add ip ipaddress=192.168.1.9 mask=255.255.255.0 (1)
> set ip ipaddress=192.168.1.9 mask=255.255.255.0 gateway=192.168.1.8 (2)
> set switch mirror=1
> set switch port=2 mirror=both 他に mirror=tx, rx がある。
> enbale switch mirror
> show switch ミラ-ポ-トなどの設定状態を表示する。
> show ip 装置に付けたIPアドレス等を表示する。他に system, config がある。
> save これで設定をセ-ブする。FS917M では違っている。
* OpenBlockS 600 を基本から設定する
ネットワ-クの基本設定画面で、 DNSサ-バ-1には自社のDNSのIPアドレスを記入
する、ETHER-1 で静的割り当てとIPアドレスとネットマスクを入れる。ETHER-0 は未使
用にした。デフォルトゲ-トウェイを入れる。ホストネ-ムとドメインネ-ムはデフォル
トのままでもよし。ETHER-1 に付けるIPアドレスはインタ-ネットが利用できるように
しておくこと。ETHER-1 には 192.168.1.1 と付けたとする。 これでいったん再起動する。
http://192.168.1.1:880 にアクセスして "ユ-ザ登録"をする。ユ-ザ登録をしないとメ
ニュ-の [アプリケ-ションマネ-ジャ] が反応しない。
メニュ-の [アプリケ-ションマネ-ジャ] の [オ-プンソ-ス] をクリックしたらエラ
-になった。ブラウザの下に進入禁止の標識みたいなマ-クがでていた。プライバシ-レ
ポ-トの画面がでてくる。プライバシ-の設定に基づいて Cookie の一部は制限されたか
ブロックされました。画面の[設定]をクリックして、ともかく plathome.co.jp ドメイン
に対して Cookie の使用を常に許可するようにする。うまく行くと別画面が出て、インス
ト-ルできるフリ-ソフトの一覧が出てくる。 [インスト-ル] をクリックするとすぐに
インスト-ルした。うまくいったら [インスト-ル] が [削除] に変わる。
[インスト-ル] net/tcpdump tcpdump-4.0.0.tgz http://www.tcpdump.org/ Network ...
# which tcpdump インスト-ルしたらすぐ認識して使えた。# tcpdump -help と
/usr/pkg/sbin/tcpdump 入れてバ-ジョンを確認した、本体 4.0.0 で libpcap 1.0.0。
# tcpdump src localhost 何も自分からはパケットを出していない。
device eth0 entered promiscuous mode
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
Ctrl+C で終わる
OpenBlockS 600 は買ったままでは telnet も ftpアクセスもできない。/etc/inetd.conf
の ftp と telnet がコメントになっていた。vi を用いてコメントを外した。inetd.conf
をいじったら毎度やること # kill -HUP inetd_pid をやっておくこと。root ユ-ザでは
telnet できないので、telnet ができるユ-ザを作る。ユ-ザ名 hanako で管理者グル-
プ (wheel) に参加。ftp サ-バも使えるようにする、これでファイル転送の速度を計る。
/etc/ftpusers /etc/hosts.allow /etc/hosts.deny OpenBlockSのWeb画面にア
------------- ---------------- --------------- クセスできない場合は、制御
|root deny |#telneted: ALL |#ALL: ALL ファイルの /etc/rc.conf に
|* allow |#ftpd: ALL IPアドレスなどを記述する。
# ifconfig eth1 down << ifconfig -a でみるとアップしているのは UP BROADCASTと
# ifconfig eth1 up でる。ダウンしているのは DOWN とはでない、UP もでない。
eth1: link is up, 100 FDX, pause enabled
[ IPアドレスの設定について ]
パソコンから OpenBlockS に RS-232C でコンソ-ル接続して、 IPアドレスをコマンド
で設定する。OpenBlockS のポ-ト RS-232C にでなく、CONSOLE ポ-トにケ-ブルはつな
ぐこと。115200/8/N/1 にて。
# ifconfig eth0 192.168.1.8 netmask 255.255.255.0
# route add -net 0.0.0.0/24 gw 192.168.1.9
これですぐに他のパソコンから OpenBlockS に ping を打てる。http://192.168.1.8:880
で制御画面にもアクセスできる。しかし [ネットワ-ク]->[基本設定] の画面 "ETHER-0"
には以前のIPアドレスが出たままだった。OpenBlockS を起動しなおすとそれに戻った。
# reboot または、INTスイッチを押して4秒までで再起動する、5秒以上で停止する。
* これでやりたいことができた
-------------- -------- telnet 192.168.1.1 で OpenBlockS に入るか、
| OpenBlockS | |PC1 | RS-232C 経由で OpenBlockS に入ってもいい。
| | | | tcpdump コマンドを叩いてパケットを監視する。
|ETH0 ETH1| Sun --------
--□------□-- ○.12 | OpenBlockS の ETH1 は 192.168.1.1、ETH0 は
| .1| | | 未使用にすること。これが設定のポイント!。
--|------|-------|-----------|---
| □ □ □ □ □ □ | ミラ-ポ-トは1番で変わらず。ソ-スポ-ト
| 1 2| 3 4| FS917S | は先ずは2番に設定する。途中で4番に変えた。
------|------|--------------------- これでPCなど通信が途切れることはなかった。
| | 192.168.1.9
PC2△.11 △ http://192.168.1.1:880 でOpenBlockS 画面へ。
PC1 のDOS窓から telnet コマンドを打って OpenBlockS に入り作業する様子。あるい
は PC1 と OpenBlockS のコンソ-ルポ-トを RS-232C ケ-ブルで接続して入る手もある。
アライドテレシスのハブでも使用した Cisco の黒のペラペラのケ-ブルが利用できる。
> telnet 192.168.1.1 << OpenBlockS にアカウント hanako で入る。
$ su - << hanako さんには /usr/pkg/home へのパスがないので。
# cd /usr/pkg/home << ここには今は hanko ディレクトリだけある。
# cd hanako << hanko のディレクトリに入って tcpdump を打つ。
# tcpdump -w file << ETH0 と ETH1 が逆だったら # tcpdump -i eth1 と指示。
# exit
ハブに telnet で入ってソ-スポ-トを変える。ミラ-ポ-ト以外のポ-ト全部をソ-ス
ポ-トに指定できればこんな個別に見ていく必要はないのだが。ハブにどうやら負荷がか
かるということでアライドでは複数ポ-ト指定できる機種もあるようだが、やらない方が
いいみたいである。次のテストの FS917M では、ソ-スポ-トは複数指定できた。
> telnet 192.168.1.9 << PC1 からハブ FS917S に入る。RS-232C 経由でもいい。
> set switch port=4 mirror=both
* アライドの FS917M でも確認
2番ポ-トをソ-スポ-トにしてたのを、4番ポ-トに変える。テストでは2番ポ-トに
パソコンをつないでいて、ここから Sun に telnet してみた。その様子を OpenBlockSの
tcpdump で見るということである。
> set switch port=2 mirror=tx 送信パケットを見る。
192.168.10.12.telnet > 192.168.10.11:1530
> set switch port=2 mirror=rx 受信パケットを見る。
192.168.10.11.1530 > 192.168.10.12:telnet
> set switch port=2 mirror=both 両方のパケットを見る。
192.168.10.12.telnet > 192.168.10.11:1530
192.168.10.11.1530 > 192.168.10.12:telnet
> set switch port=4 mirror=both 4番ポ-トにその場で変えた。上書き設定。
> set switch port=5-7 mirror=tx 範囲指定ができた。> show switch で確認。
> set switch port=2-16 mirror=tx この範囲指定もできた。警告は出なかった。
> disable switch mirror これらのコマンドも覚えておくといい。コ
> set switch port=5 mirror=none ンソ-ルの timeout は RS-232C 利用の場
> set console timeout=0 合の画面の有効時間、デフォルトは300sec。
※"16-6. Cisco Catalyst 3750詳細, Catalyst 2950 のポ-トミラ-機能" で既に調べた
ことによれば Cisco のスイッチングハブ 2950 でも、ソ-スポ-トは複数設定できる。
※CentreCOM FS917M レイヤ-2インテリジェント?スイッチ、10/100TX16ポ-ト+コン
ボ1ポ-ト、79,800円+税。FS917S はスマ-トスイッチ、53,800円+税。
(2) リモ-ト監視とパケット解析 `2a/06
* ASTEC Eyes のリモ-トモジュ-ル
ネットワ-クのトラブルの原因調査に役立てられないか。 ASTEC Eyes を自分では使いこ
なすことができていなくても、トラブルが起きた際にSI業者の指示に従ってパケットの
様子をとり、業者に解析してもらう。Sniffer Basic のようなレ-ダ-チャ-トは出ない
ものか。どこからどこへ通信しているかリアルタイムで表示するという。棒グラフぐらい
しか出てこない。フィルタリングしてパケットをある時間、キャプチャして解析するとい
うことか。tcpdump よりは見やすいのだが、どうもそんなに役立つように思えない。リモ
-トモジュ-ルはどうだ、拠点監視に使える。ASTEC Eyes基本パッケ-ジには入ってない。
基本パッケ-ジ 198,000円+税、リモ-トモジュ-ル75,000円+税。リモ-トモジュ-ル
対応のOSは Red Hat Enterprise Linux 4 以降、Solaris 8 以降、Windows OSが各種。
ASTEC Eyes 本体との通信は SNMP でなく 8887/TCP 双方向。3~4 Kbps 帯域を使うのみ。
* 新しい ASTEC Eyes を入れる
"ASTEC Eyes バ-ジョン 6.5 製品版パッケ-ジのご案内" というWeb画面に、 ユ-ザ
登録したシリアル番号などをいれると、新しいバ-ジョンをダウンロ-ドする画面になる
基本パッケ-ジ EYES_PRD.exe 10,146,288 bytes をダウンロ-ドしてくる。 インスト-
ルしようとすると、今あるのを削除してからインスト-ルしてくれと出た。今のは18.0MB
アプリケ-ションの削除をしてからインスト-ルしたら、同じフォルダに入った。ライセ
ンスのテキストを改めてこのフォルダにセットする。インスト-ルしたマシンは Windows
2000 Professional。入った内容はバ-ジョン 5.0 と同じようなものだった。ASTEC Eyes
サ-ビスコントロ-ル、ASTEC Eyes、ASTEC Eyes 入門、readme を読む、クイックリファ
レンス、ユ-ザ-ズガイド、リリ-スノ-トとインスト-ル。ざっと操作してみた感じで
は、これまでのバ-ジョンのと同じ。特に見やすい表示が出るようになったとかはない。
* 営業所などの拠点監視のこと
RTX1200 では SNMP の設定をする。 MRTG でパケットの流量をみる、死活監視するかどう
かはご自由に。RTX1200 が死んでいるか生きているか、そんなことはすぐに分かる。メ-
ルができんとかネットができんとか、すぐさま電話がかかってくる。RTX1200 のすぐ下に
スイッチングハブをおく。SNMP対応までは必要ないと思う。ミラ-ポ-ト対応のハブにし
て、パソコンに出入りするパケットを拾えるようにしておく。ポ-トミラ-するパソコン
の台数は20台位までのものか。あまりパソコンの台数が多いと、ミラ-ポ-トに集まる
パケットが多くなり過ぎてよろしくないのでないか。ハブのパケット処理能力もある。パ
ケットの取りこぼしだけで済めばいいが、ハブ自体の性能が低下し異常をきたすかも。
ADSLとか RTX1200 は 2008/10/31出荷、123,900円税込。タグVLANIEEE802.1Q、
: パソコン40台程度までの中小規模オフィス用。無償保証は3年に延長。
-------- 騒音が少ないファンレス設計。USBポ-トで携帯デ-タ通信ができる。
|モデム| SIP-NAT 対応。ISDN S/T ポ-トはNTT専用線とISDN用。
--------
| △PC △ OpenBlockS は使い手がある。FTPサ
|LAN2 | | MIRROR -バとしてファイル転送の速度を計
---------- 1Gbps ------------PORT るのにはちょうどいい。DHCPサ-バ
|RTX1200 |-------| FS917S |-----□OpenBlockS とか NTPサ-バにしてもいいだろう。
----------LAN1 ------------
SNMP設定 | |100Mbps 末端ハブは例えば8ポ-トのアライドテレシ
| | ス FS708XL V3。14,800円+税。平均2.6W/最
------ ------ 大5.2W。前のモデルに比べ消費電力が少ない。
|ハブ| |ハブ|―△PC 企業ユ-スのハブはアライドテレリスが多い、
------ ------ 次にネットギア社製品もそこそこかと。
FS917S はポ-トミラ-対応のスイッチングハブ。 RTX1200 もポ-トミラ-対応と仕様に
記載されている。 FS917S の1つのポ-トをミラ-ポ-トに設定して OpenBlockS をつな
ぐ。OpenBlockS には本社から telnet で入り tcpdump コマンドなどを使う。tcpdump で
ログを何日かとる。そこそこのストレ-ジ容量がいる。ファイル転送の速度を計るのに使
う、ftp コマンドでファイルを OpenBlockS に転送したり、 OpenBlockS 側から本社の適
当なマシンにファイル転送したりする。tcpdump による収集デ-タを ASTEC Eyes のデコ
-ド機能によりパケットデ-タの解析をおこなう。あるいは ASTEC Eyes のリモ-トモジ
ュ-ルを OpenBlockS に入れたらどうかと思い問い合わせた。 ASTEC Eyes ソフトは入ら
ないとのことだった。それができれば別に tcpdump を使わずに済んだのだが。
* Wireshark でパケットの解析
ASTEC Eyes と似たようなフリ-ソフトということみたい。結構 Wireshark の記事はある。
ASTEC Eyes の記事はみたことがない。 気長に雑誌やネットの記事をみて勉強していこう。
そう俄にどうこうできるものではない。これでネットワ-クの不具合を見つけるのは、な
かなか根性がいる。そう簡単ではない。遠隔地の支店などに OpenBlockS をおいてtshark
コマンドでパケットをキャプチャする。そのファイルを本社の自分の手元に転送してきて、
Wiresharkの画面で見て中身を解析する。先ずは大きくパケットの様子をみたい。Sniffer
Basic は直感的にみることができてよかったのだが。FortiGate をバ-ジョン4にアップ
すれば、パケットの様子が見れるみたい。パケットの可視化をうたっている。ログを表示
する装置 FortiAnalyzer もあれば尚いいだろう。 何か一つこれで問題解決できれば、コ
ツというか分かって、いろんなトラブルに対応できるようになるのでないか。
* OpenBlockS を ftp サ-バに
ftp サ-バも使えるようにする、これでファイル転送の速度を計り、ネットワ-クのスル
-プットを出してみる。何も余分なプログラムが動いてないマシンは貴重である。純粋に
ファイル転送の速度を出すことができる。ftp でファイル転送してスル-プットを計る際
にはバイナリモ-ドでやること。アスキ-モ-ドだと改行コ-ドの処理が入ってしまうの
で遅くなってしまう。Samba では ftp よりも時間はかかる。感触として ftp の倍の時間
以上はかかると思う。小さいからいろんな所に持っていって、自分の所と OpenBlockS の
間で ftp をやってファイル転送の時間を計ってみる。これはいい使い方だぞ。 FTP でも
数メガのファイルと10メガぐらいのファイルを転送するのでは、これも意味が違ってく
る。できるだけファイルのサイズが大きい方がファイル転送の速度としては正確になる。
* OpenBlockS を仕掛ける
OpenBlockS これは使いでがある。適当なマシンを拠点に設置しておきたい。 そのマシン
に入って、そこから ping を打つとか ftp かけるとか、さらに telnetアクセスするとか。
自由に使えるマシンがあると便利である。例えば昔、CAD用で使っていたワ-クステ-
ション、SGIの INDY とか。そこそこサイズもあるので、どこかの片隅にというわけに
はいかない。INDYでなく O2 でもポコっとした形なので、拠点用ル-タなんか入れてある
小さなラックには入らない。このようにマシンはなかなか置けそうで置けない。 Windows
サ-バなんかはそこそこ拠点毎にあるかと思う。しかし Windowsサ-バのマシンはそう気
安く触ることができない、気分的にもそうだが。実際にはアカウントの管理がうるさかっ
たりして、実際問題、触ることができないようになっているかも知れない。SI業者が設
置して、メンテナンスもやってもらっているようだと、そんな話になると思う。
* 参考
「ネットワ-クセキュリティ8 Expert」 SoftwareDesign 特別編集 1,880円+税
> P.57~86, "特集2パケットキャプチャツ-ル Wireshark 徹底攻略" 平成20年6月
"コマンドライン版Wireshark「Tshark」の使い方"、オプションが詳しい。
プロセスやパケットを調べるツ-ル。先ずはフリ-ソフトの TCPView。それにWindows XP
Professional に入っているタスクマネ-ジャ、イベントビュ-ア、 システム構成ユ-テ
ィリティ msconfig.exe。調べ方は「NETWORK WORLD」2008/11 が少し参考になる。
(3) Fortinet 製品をテストで設置 `2a/11~12
* どんなパケットが飛んでるか見てみる
訳のわからんパケットがたくさん飛んでいる。Windows OSからはそれこそ分からんパケ
ットが一杯ある。どこからどこへどんなパケットが行っているか調べること。先ずは自分
のパソコンを調べてみる。いろいろ管理ソフトやら入っている。ファイアウォ-ルででき
るだけル-ルを狭めるのに必要である。どんなパケットがどのポ-ト番号で飛んでいるの
か分からなければ、丼勘定でフィルタリングのル-ルを設定するしかなくなる。パソコン
からは、先ずは ARP パケットがしょっちゅう飛んでいる。 多分それでパソコンをスイッ
チングハブを別な所につけても、スイッチングハブを交換しても、問題なくネットワ-ク
利用ができるのだろう。因に OpenBlockS を買って物が来たまま、IPアドレスを振った
ぐらいの状態では何もパケットはでてなかった。
やはり Linux 系のマシンはそういうことです。Windows とは違って Linux は勝手にいろ
いろやったりはしない。ネットワ-クを飛び交っているパケットで意図しないのが、帯域
を食っていないか。それを調べるためにパケットをキャプチャしてみるということ。そう
して、必要なパケットだけにする。FortiAnalyzer も手に入ったので、これもかなり使え
るのでないかと期待している。Windows OSをインスト-ルしただけのパソコンを用意す
る。それからセキュリティ対策も一通り、社内で必要とするソフトもいれたパソコンも用
意する。とりあえずは自分がいつも使っているパソコンの前に、FortiGate を透過型で設
置して FortiAnalyzer でパケットを可視化する。 他のパソコンの様子やネットワ-クの
ことはそれからだ。先ずは自分の手元でどんなことが起こっているか、それを見てみる。
* FortiGate-80C の初期セットアップ
物は2010年秋に来た、その時点のOSは 4.0MR1 P2。2010年12月末時点で業者
がリリ-スしているのは 4.0MR1 P8。 Fortinet 社は2009年5月に 4.0MR2 を出して
いる。業者でのリリ-スは装置の安定性など確認してから、1年位後になるもよう。
[ テスト用のネットワ-クにて ] インタ-ネットには接続性はなし。
# show system interface << RS-232C でデフォルトの設定を見る。
|
edit "internal"
set vdom "root" FortiGate も FortiAnalyzerも特に自分
set ip 192.168.1.99 255.255.255.0 で、FORTINETの登録サイトで登録手続き
set allowaccess ping https ssh http はしてない。購入した国内のSI業者か
set dns-query recursive らの紙が箱に入っていて、こちらから登
set type physical 録するのでお客さんからは何もしないで
next くれと書いてあった。他のSI業者から
| 以前購入した際にも同様のことだった。
# config system settings << 透過モ-ドにして管理用IPアドレスを付ける。
(settings) # set opmode transparent
(settings) # set manageip 192.168.1.7/255.255.255.0
(settings) # set gateway 192.168.1.9 << ファ-ムウェアの v5.0,build0310 では
(settings) # end gateway はメニュ-になかった。
Changing to IP mode << 他のパソコンなどからアクセスできるようになる。
# show system interface
edit "internal"
set vdom "root"
set allowaccess ping https ssh http
set type physical
next
# execute ping 192.168.1.7 << 自分自身に ping を打って確認してみる。
# execute reboot << reboot してもデフォルトには戻らなかった。
FortiGate 背面の "INTERNAL" のポ-ト1にとりあえずパソコンをつないだ。ブラウザで
https://192.168.1.7 とアクセスできる。 [System]->[Network]->[Interface] を見ると。
メニュ-画面の dmz,internal,wan1,wan2 で IP/Netmask はナシ、Access は dmz はナシ、
internal は HTTP,HTTPS,PING,SSH、wan1 と wan2 は PING。"WAN1" や "WAN2" にこの時
点でパソコンをつないでもブラウザでアクセスはできない、ping だけできるということ。
.5 192.168.1.7 .6 PCからOpenBlockSに pingがいかない。FortiGate
OpenBlockS ----------- PC でファイアウォ-ルでパケットを通すようにまだ
□------|FortiGate|------□ なっていないから。最初は何もどちらにもパケッ
WAN1-----------LAN トを通さないようになっている。
[FireWall]->[Policy] には、最初なにもル-ルはない。(CreateNEW ▼) をクリックして
internal->wan(1) "〆 1 all all always ANY -- ACCEPT" だけ設定する。これで PCから
OpenBlockS に http://192.168.10.5:880 もアクセスできるようになる。外から内へのル
-ルはなくてもいい、それがファイアウォ-ルの仕組みたるそのものである。OpenBlockS
と FortiGate のつなぎはクロスケ-ブルでもストレ-トケ-ブルでもよし。
[ インタ-ネット接続性ありで ]
WAN1ポ-トを社内ネットのハブにつなぐ、それでインタ-ネットへアクセスできるように
なる。[System]->[Status] の {License Information} のところを見る。登録はされてい
ないし、到達性もないとでている。{License Information} の右端の方にマウスのカ-ソ
ルを持っていくと"Refresh"とでてくる。そこクリックしても何も変わらない。asahi.com
とかは見えている。FortiGate のIPアドレスはファイアウォ-ルで HTTP は通すように
なっている。ブラウザのプロキシ設定で HTTPS なども、 プロキシサ-バを通すように変
更して "Refresh" をクリックしたら、すぐに Registered、Licensed に変わった。 ん-
ブラウザのプロキシが本当に関係したのかな、変な話だ。ともかく "Email Filtering"だ
け Unreachable 表示になっていた、これは利用ポ-トを 8888 にしたらできた。
* FortiGate-80C と FortiAnalyzer-100C をセット
梱包を解いて装置を見たらFortiAnalyzer にはポ-トが3つあった。何で3つもあるの?。
英文の紙 QuickStart Guide を見たら Factory default settings の記述で、ポ-トのデ
フォルトのIPアドレスは 192.168.1.99, 2.99, 3.99 となっていた。つまり3つのセグ
メントを監視できるようになっているということらしい。
# show system interface << RS-232C でデフォルトの設定を見る。
config system interface
edit "port1" 9600/8/N/1/Flow Control None。
set ip 192.168.1.99 255.255.255.0
set allowaccess ping https ssh http
next
edit "port2" << 以下 port2、port3 と続く。出てきた表示は port
| 情報だけ、それ以外は何も出てなかった。
end
# config system settings << port1 を 192.168.1.8 にしてみる。ひょっとして
(interface) # edit port1 settings でなく interface かも。
(port1) # set ip 192.168.1.8 255.255.255.0
(port1) # end
#
これだけやってパソコンのブラウザで https://192.168.1.3とアクセスできた。[System]
->[Network]->[Routing] を見たら、デフォルトゲ-トウェイが 192.168.1.1 port1 とで
きていた。編集で 192.168.1.9 に変更した。注意すべきはIPアドレスを 192.168.30.3
としても 192.168.1.1 port1 となっていること。[System]->[Network]->[DNS] は何もな
かった、自分とこのDNSサ-バのIPアドレスを1つ記入した。
--------------- Forti| Analyzer Gate PC
Internet | □port1 | Gate ■ □ □ △
| --|----------- |.9 |.8 |.7 |.6
| | FortiAnalyzer ---------------------------- 192.168.1.0
--------------
| ハブ | FortiGate に FortiAnalyzer のIPアドレスを指
-------------- 定する。別に FortiAnalyzer は FortiGate のLAN
| ポ-トにつないでも、テストにおいては構わない。
----|---------------
| □ □□□ | FortiGate [Log&Report]->[Log Config]->[Log Settngs]
| WAN1 | LAN | 〆Remote Logging & Archiving
----------|--------- 〆FortiAnalyzer IP Address [192.168.1.8 ]
| Minimum log level [ Information ▼] この上が
PC △普段使っているパソコン 一番上で Debug
* FortiAnalyzer-100C の設定いろいろ
ライセンスうんぬんで FortiAnalyzer もインタ-ネットの接続性がいるのかな。 ログを
見ていて 443 でのアクセスが error になっていた、それは装置が Fortinet の管理サイ
トにアクセスしようとしているのだった。インタ-ネットの接続性は必要ということ。
Googleで見たら FortiAnalyzer バ-ジョン 3.0 MR5管理ガイドあり。172ペ-ジの日本語。
FortiAnalyzer-100 では管理ドメイン(ADOM)、フォレンジック分析機能、ネットワ-クア
ナライザ、脆弱スキャンは利用できません。と書いてあった。
購入業者に FortiAnalyzer-2000 の管理画面が http://www.fotinet.co.jp/products/ 以
下にあることを教えてもらった。 [システムデバイス],[ログ],[コンテンツ],[隔離],[フ
ォレンジック機能], [ネットワ-クサマリ],[レポ-ト],[警告ツ-ル] メニュ-があった。
ネットワ-クアナライザ有効にするには CLI でやる。config log settings, set enable
_analyzer yes, end。100C で打ってみたが command parse error before と出た。getで
analyzer-settings:device, analyzer:disable, analyzer-gui:disable 等が表示された。
[System]->[Network]->[Interface]と[Routing] で、RS-232C でコマンド設定したのを見
る。ここで装置のIPアドレスを変えたらすぐに変わる。 Fortinet Discovery Protocol
は Disabled でよし、FortiGate の装置が同じサブネットにあれば自動で見つける機能。
* FortiAnalyzer-100C の設定メニュ-
[システム] アイドルタイムアウト60分、言語を日本語に設定とか。
[デバイス] FortiAanlyzer で監視する対象の FortiGate など。
[ログ] FortiGate から送信されてきたログを見る。
[DLPア-カイブ] 中身まで取る、通常はこれは取らない。パケット量が多い。
[レポ-ト] どのようにレポ-トを出したいか名前を先ず作る。
[隔離] メ-ルのウィルスなんかを隔離するということ。
[警告] 何かあった際に知らせる。メ-ルに SNMP に syslog に。
[脆弱性管理] パソコンの中身をチェックして脆弱性がないか調べる。
[ツ-ル] どうもログはここのファイルに溜まっているよう。
[デバイス] FortiAanlyzer が管轄する装置。 FortiGate から登録したら自動的に管轄に
加わる。FortiGate 以外にも FortiClient とかも登録対象にできる。
[ログ]->[ログ表示] ログタイプ。DLP、Emailフィルタ-、IM、VoIP、Webフィルタ、すべ
てのタイプ、アプリケ-ションコントロ-ル、イベント、ウィルス、トラフィック、攻撃。
[DLPア-カイブ] Webア-カイブ、メ-ルア-カイブ、ファイル転送、IMチャット、 それ
にVoIPア-カイブ。パケットの中身まで取ってトラブルを詳しく調べたい時に利用できる。
[脆弱性管理] は Windows と Linux のOSの脆弱性をスキャンする機能。 別途ライセン
スがいるとのこと。負荷と精度に疑問があって購入業者はこの機能の利用は推奨してない。
* Fortinet の装置の参考
http://www.fortinet.co.jp/ フォ-ティネット具楽部。ユ-ザ登録してなかった。 バ-
ジョン4の情報はなし。http://docs.forticare.com/jp.html はペ-ジが見つかりません
と出た。2010年に開催された FortiSummit の資料、FortiOS4.0 などの紹介。
「NETWORK magazine」2007/01,P.82~87,"第1回 UTMはなぜ生まれたか?"、FortiGate
の設定が少し載っている。2007/07,P.84~87,"最終回 検疫ネットワ-クとログ管理"、そ
れに FortiGate-224B の記事、FortiAnalyzer の記事も少しあり。
付属CD-ROM に216ペ-ジの英文ドキュメント Version 4.0.0 Administration Guide あり。
パケットの可視化はどうやるの。どうやってグラフを出すのか。読んでも今一つ分からん。
一度ぐらい指南を受けたい。その後、購入業者のSEに一度教えてもらいました。
FortiGate-80C でのこと。[Status] 画面の {シャットダウン} をした。 装置の電源は落
ちない、う-んと音がしたままになる。オフィス内に置いておくにはやや気になるぐらい
の音かな。ブ-ンといっている。電源スイッチはないので、電源コネクタをひっこ抜く。
(4) Fortinet 製品でパケットを監視 `2a/11~12
* メ-ルの禁止文字列の設定と検知の確認
メ-ルの 禁止文字列 の検知で FortiGate の動作を確認するのが手っ取り早い。"セカン
ドバ-ジン" という文字列がメ-ルの本文にあったら、スパムと判定するようにしてみた。
[UTM]->[Emailフィルタ] の {禁止ワ-ド} でキ-ワ-ド指定。 "Test1" プロファイルの
{Emailフィルタリング} では スパムアクションのところで[破棄▼]でなく [タグ付加▼]、
{禁止ワ-ドチェック} は SMTPだけ。これらをちゃちゃっと設定して、自分宛にメ-ルし
てすぐに確認できた。件名に [ Spamテスト ] と付いたメ-ルが帰ってきた。
[FireWall]->[Policy] 内から外へだけのル-ル。チェックは SMTP だけ。
--------------------------------------------------------------------------
| Status ID Source Destination Schedule Service Profile Action
|-------------------------------------------------------------------------
|▽internal -> wan1(1)
| 〆 1 all all always ANY Test1 ACCEPT
* mixi をアプリケ-ション制御してみる
[UTM]->[アプリケ-ション制御] の {ブラック/ホワイトリスト}
--------------------------------------------------------
| 名前 エントリ数 プロファイル コメント | ●ブラックリスト
|------------------------------------------------------| □未定義のアプリ...
| ミクシ 1 止めます # § |
--------------------------------------------------------
|編集をクリック
---------------------------------------- |
| アプリケ-ションエントリ編集 | ←――――
|--------------------------------------|
| カテゴリ [web ▼] | カテゴリ web の中にアプリケ-ション
| アプリケ-ション [Mixi ▼] | Mixi が予め登録されているということ。
| アクション [ブロック ▼] | Skype は p2p の中に登録されている。
| -------------------------------------|
| オプション | FortiGate が mixiを認識するかどうか。
| □ Session TTL [0 ] | mixi のログを出すのみとか、ログを出
| 〆 ロギングを有効化 | して止める制御ができるかの確認。
----------------------------------------
[ファイアウォ-ル]->[プロテクションプロファイル] の "Test1"を選択し編集画面。{ア
プリケ-ション制御} の "ブラック/ホワイトリスト 〆[ミクシ ▼]"。
[ログ&リポ-ト]->[ログアクセス] の{メモリ} の "ログタイプ [アプリケ-ション制御
ログ▼]に止められたと言うログが出る。ブラウザでは "ペ-ジを表示できません"と出る。
[ファイアウォ-ル]->[プロテクションプロファイル] の "Test1"を選択し編集画面。{ロ
ギング} の "アプリケ-ション制御をログ □" でログは出なくなる。
{アプリケ-ション制御} の "ブラック/ホワイトリスト □[ミクシ ▽]"。{ロギング} の
"アプリケ-ション制御をログ □" でログは出なくなる。以上2ヶ所〆なしにて。
--------------------------------------------------------------------------------
[ファイアウォ-ル]->[プロテクションプロファイル] の {ロギング} の"アプリケ-ショ
ン制御をログ 〆"。[UTM]->[アプリケ-ション制御] の方はロギング×にしてみた。ログ
は出なくなった。[UTM] の方はアプリケ-ションを個別にログを出すか出さないか選択で
きるということ。 [ファイアウォ-ル] の方は全てのアプリケ-ションに対して一括で出
すか出さないか指定できるということ。このことから運用のポリシ-が決まってくる。
--------------------------------------------------------------------------------
* FortiGate のダッシュボ-ドのログ
[システム]->[ステ-タス]->[ダッシュボ-ド] 画面右の{▽ログとア-カイブの統計}
--------------------------------------
|[ログとア-カイブの統計] 〇 @ × 〇{リセット},@{リフレッシュ},×{閉じる}
|-------------------------------------
|"DLPア-カイブ" -- 一日平均 {リセット}クリックして{リフレッシュ}をク
| HTTP 34639 URLにアクセス [詳細] リックする。これでログは直ちに 0 になる。
| HTTPS 0 URLにアクセス [詳細]
| Eメ-ル 1メ-ルを送信 [詳細] "DLPア-カイブ"は FortiGate 内にデ-タを
| 3メ-ルを受信 [詳細] 持っている。FortiAnalyzer をネットから外
| | しても関係なかった。[詳細]をクリックする
| 合計 22MB 最後のリセットから とログが表示される。中身まではない。
|-------------------------------------
|"ログ" -- 一日平均 ここは何か問題が起きた際に取られるログで
| トラフィック [詳細] ある。 トラフィック、アンチウィルス、IPS、
| アンチウィルス [詳細] Email、ウェブ、DLP、アプリケ-ション制御、
| | イベントがある。
| 合計 625 B 最後のリセットから
|------------------------------------- ともかく {Ш} をクリックしてみること。こ
|Шトップセッション 分離 / @ × こでそこそこパケットの流れの様子が分かる。
--------------------------------------
ここのログとDLPア-カイブは FortiGate 内にデ-タがある。ここの表示をしっかり使い
こなすことができれば、それだけでもかなりネットワ-クのパケットの様子が分かるよう
になる。普段使っている自分のパソコンだけを透過型で設置した FortiGateのLAN側に
つなぐ。これで自分のパソコンからおかしなパケットが出てないかみる。もちろんWAN
側からのパケットもやってくる。"Шトップセッション" の Шをクリックすると次の画面
が出てくる。{分離} をクリックするとその画面が見易い位置に出てきて [カスタマイズ]
と [アタッチ] メニュ-が出る。[アタッチ] をクリックすると分離した画面が元に戻る。
表示を変えるには [カスタマイズ] で宛先ポ-ト、サ-ビス名を表示〆、テ-ブル。これ
で下のような表になる。リフレッシュ間隔はデフォルト[0] で、無効になっている。リフ
レッシュは自分で適当にやって、グラフや表を更新すればいい。ともかく下の表の状態が
今 FortiGate 周りのパケットである。1番はパソコンのブラウザから FortiGate にアク
セスしているそのもの。 2番は FortiGate が Fortinet 社の管理サイトへアクセスして
いるもの。3、4、5は怪しいパケットです。おまけ、[ダッシュボ-ド]の左上のところ
に {表示項目の追加} というのがある。これでトラフィックの履歴など追加表示できる。
-----------------------------------------------
|#| 宛先ポ-ト |アクティブセッション数| | 3番を詳細表示するとパケットは
|-|-----------------|----------------------|--| 送信元アドレス 0.0.0.0、送信元
|1| 80(HTTP) | 8 |〇| ポ-トは68、宛先アドレスは255.
|2| 8888 | 2 |〇| 255.255.255。社内で DHCPサ-バ
|3| 67(DHCP-Relay) | 1 |〇| は利用するようにしてない、おか
|4| 161(SNMP) | 1 |〇| しい。4番は社内のあらぬPCに
|5| 514(SYSLOG) | 1 |〇| 自分のPCからSNMPを送っている。
-----------------------------------------------
* FortiAnalyzer のログ機能の確認
[ログ]->[ログ表示] で出てくるログは、それぞれを [ログ]->[閲覧] の {削除}で消すこ
とができる。ログタイプの DLP とか、Emailフィルタ-とか、IM とかそれぞれを消す。
上のログを消しても [DLPア-カイブ] にあるログは消えない。 [DLPア-カイブ] はとも
かく流れているパケットを全部対象にする。※DLP( Data Leakage Prevention )
[DLPア-カイブ] のログは画面右端の {アイコン}の "対応するDLPア-カイブファイルを
削除" をクリックしても消えないぞ。消すメニュ-が見当たらない。
<< DLP ログの出方について >>
[ファイアウォ-ル]->[プロテクションプロファイル] の "Test1" の [ロギング] の所で。
"デ-タ漏洩防止" の "DLPロギング □" は、〆なしの□がデフォルトである。 チェック
入れると FortiAnalyzer の [ログ表示]->[リアルタイム] の ログタイプ[DLP] でログが
ほぼ毎秒でてくる。ログタイプ [すべてのタイプ] にしても出る、包含している。〆して
(OK)を押すとすぐに有効になる。
<< FortiGate から見れるログ >>
FortiGate から FortiAnalyzer のログを見ることができる。FortiAnalyzerをネットから
外すと、ログを見ようとすると FortiAnalyzer に接続できませんと出た。FortiAnalyzer
をネットにつないだら直ぐに FortiGateから見れた。[ログ&リポ-ト]->[ログアクセス]
の [FortiAnalyzer] で見られるログ。他にも[DLPア-カイブ]、[IPS Packet Archive]->
[FortiAnalyzer]、[リポ-トアクセス]->[FortiAnalyzer]、[リポ-ト設定] が見れる。
<< FortiAnalyzer のグラフ >>
グラフを出すようにしたつもりが、適合するログデ-タが指定期間内に存在しません。と
リポ-トがでてこない場合。最初装置を触っていた際にグラフが出んな-と、あれやこれ
や試していた。例えば今週のログを対象にしていると出こない。過去のログに対して出る。
DLPア-カイブのデ-タを対象にしているみたい。 ちゃんと期間を指定すると FortiGate
の [ログ&リポ-ト]->[リポ-トアクセス]->[FortiAnalyzer] に表示される。
* YouTube をアプリケ-ション制御してみる
FortiGate-80C のファ-ムウェアをアップした。Firmware version v4.0, MR2 patch 3に
て確認した。 [UTM]->[Application Control]->[Application Control List] の画面に入
り {Create new} で YouTube のダウンロ-ドを禁止制御するのをやってみた。
-----------------------------------------------------------------------------
| Edit Application Control List |
|---------------------------------------------------------------------------|
| Name [ STOP_YouTube ] |
| Comments [ ] |
| Enable Logging 〆 |
| [ OK ] |
| [+]Create New |
|---------------------------------------------------------------------------|
| □ ID Category Application Action Logging |
|---------------------------------------------------------------------------|
| □ 1 media YouTube.Download Block 〆緑 | <<
| □ Implicit 1 All other known Applications Pass |
| □ Implicit 2 All other unknown Applications Pass |
-----------------------------------------------------------------------------
[+]Create New で ID 1 のところを追加した。media、YouTube.Download を選択する。止
めるので Action は Block を選択する。Options はそのままで、〆Enable Logging だけ
チェックが入っていた。YouTube.Download というのは [UTM]->[Application Control]->
[Application List] を見て探した。アプリケ-ションは全部で1730個。 35画面の
34番目にあった。カテゴリは media で YouTube.Download/YouTube.Safety.Mode/YouTu
be.Uploading/YouTube.Video.Embedded の4つあった。 多分 YouTube.Downloa さえ制御
すれば、見るのはできなくなるのでないかと思い設定したらビンゴだった。
[FireWall]->[Policy]->[Policy] 内から外へのル-ルだけを表示してある。
[Column Settings] ◎Section View ○Global View
--------------------------------------------------------------------------------
| ID Source Destination Schedule Service Action Status Application ..|
|------------------------------------------------------------------------------|
|▽internal -> wan1(1) |
|------------------------------------------------------------------------------|
| PING |
| □ 1 all all always HTTP ACCEPT 〆 STOP_YouTube |
| DNS |
| □ 2 all all always ANY DENY 〆 |
| |
ル-ル 1 のところでマウスの右ボタンを押すと、そこでメニュ-が出てくる。Edit を選
ぶ。"UTM" に〆、そこの "Enable Application Control" に〆、そして上で作っておいた
"STOP_YouTube" を選択する。[Column Settings] で "Application Black/White List"を、
右画面に移動して選択すると、画面の Status の右側に"Application Black/White List"
が表示され、ル-ル 1 のところに "STOP_YouTube" と表示される。以上で YouTube の動
画を見ようとクリックしても出てこなくなる。もう1つやりたいことは、帯域を絞ること
である、見れるけど遅いよということ。勤務中に YouTubeを見ることを完全に禁止するも
のでないが、他のアプリケ-ションの表示に影響するのでは困る。前に mixi のアプリケ
-ション制御したやり方と今回のは違っている。こういうやり方もできるということで。
(5) ネットワ-クが遅いんですが `2a/10
* OpenBlockS でパケットを取って解析する?
これまであまりただのハブには関心を払っていなかった。レイヤ3スイッチさえ、しっか
りめんどうみておけばいいだろうと思っていた。このため支店など目の届きにくい場所な
どで、パソコンショップで自前で買ってきたような安いハブが蔓延することになった。こ
ういう状態になってしまったところでネットワ-ク的なトラブルが生じると、まるでお手
上げになる。それで仕方ないので支店のハブを全部とりかえて、それでもトラブルが直ら
ないようならば、パケットをキャプチャして解析してみるしかない。ということでミラ-
ポ-ト付きのハブと OpenBlockS を急遽、購入したのであった。これを機にただのハブに
ついて調べてみることにした。トラブルではないが十分な性能が引き出せていなくてネッ
トワ-クの速度が遅くなっていたとか、いろいろ分かって来るのでないかと思う。結果と
して安物ハブをアライドに変えたら、やはりそこはかとなく早くなってしまった。
* 安物ハブは企業なんかで使わない方が無難?
安物ハブが怪しい。安物ハブはやはりだめか。パケットの解析うんぬんの前にやることが
ある。社内、支社や営業所などにいつの間にかはびこった安いハブを整理すること。整理、
つまりとっぱらうか、分かった上で使うか。安いハブはどうしてだめか。幾つでも好きな
ように適当にポ-トにハブを繋ぐことができる。それが問題だ。勝手にどなんでもハブを
加えることができる。5人ぐらいしかいない支店に、ハブが5個も6個もあったとか。デ
ィップスイッチなし、カスケ-ドポ-トもなし、スル-プットを実際計ってみた、何と別
にそう悪くはなかった。インタ-ネットにBフレッツ接続していて、アライドのハブでは
80 Mbps でたのが、安いハブにしたら半分しかでなかったというのをネットで見た。イン
タ-ネットの計測サイトにて確認したこと、Windows XP と Windows 2000では倍以上の速
度の開きがあった。XP の方が速い。ハブの 10 Mbps と 100 Mbps でも有為な差があった。
* ハブとケ-ブルはこれからはカテゴリ6か?
アライドテレシスに電話して聞いてみた。出た女性が的確に回答してくれた。インタ-ネ
ットからファイアウォ-ルまでの間をギガビット対応のハブ、ケ-ブル(カテゴリ6)に
した方がいいか。特にすることはない。速度がインタ-ネットでそんなにでないから。む
しろ社内のネットワ-クでならギガビット対応する意味はある。インタ-ネットでも速度
が 100 Mbps を超えて、数百 Mbps 出るとなればギガビット対応にする。アライド談。い
や-、50 Mbps ぐらい出るのであれば、ギガビット対応にするといいような気がしないで
でもないが。自宅のハブで 10Mbps と 100Mbps 対応で速度がかなり違ったのは10Mbps ハ
ブが半二重通信だったからでないのかとのこと。確かに自宅のハブはネットギア製でだい
ぶ古い。ちなみに、光ファイバ回線引き込みにてWAN用ル-タのネットワ-クケ-ブル
はカテゴリ5e だった。ル-タはヤマハRTX1200、SI業者はカテゴリ6は用いなかった。
* プロキシサ-バがもしや遅くしているかも?
インタ-ネットへのアクセス速度のこと。プロキシ?キャッシュサ-バの NetCache をか
れこれ8年位使っている。IEブラウザでプロキシ有り無しで、速度を計ってみた。測定
サイトは http://www.musen-lan.com/speed/。インタ-ネットへの回線はフレッツ?ADSL。
測定サイトへ社内の 100 Mbps ハブを介して、Windows XP だとダウンロ-ドで 6Mbps 位
最高でる。アップロ-ドは 300Kbps からよくて 1Mbps 位である。それが NetCache をか
ますとかなり速度は落ちるのだ。ダウンロ-ドはだいたい 1 Mbps しかでない、アップロ
-ドは変わらないようだが。計測値は確かに遅くはなるが、不思議なことに体感的には遅
くなるとは感じられない。インタ-ネットの計測サイトのプロキシをかました場合の何ら
かの影響ではないのか。そんな気がする。 NetCache でなく Apache でプロキシ設定して
やってみたらどうなるか、これも確認してみたい。
* 侵入防御装置がボトルネックになっている?
侵入防御装置はどうだ。数ヶ所、社内ネットワ-クにかましてある。 DefensePro はかな
りの処理能力をもっているので、速度の低下はほとんどないと当初聞いた。あまり何ヶ所
も監視させようとするとだめだけど。3ヶ所位までなら、今の DefensePro で余裕でめん
どうみれているはずである。しかし確認してみないといけない。ftp でファイル転送をや
ってみて速度を計ってみた。 OpenBlockS をしかけて DefensePro を通る/通らないポイ
ントで、まるで差異はなかった。 DefensePro がネットワ-ク速度のボトルネックになっ
ていることはないと実証できた。DefensePro を設置してすぐの頃に Samba アクセスがや
たら遅かった。SI業者に問い合わせたら DefensePro のル-ルが悪さをしていた。その
ル-ルを効かなくし、パケットをスル-させて対処した。似たようなことがその後、起き
てはいないか。今一度 DefensePro の CIFS プロトコル辺り、調べてみたい。
* 安物ハブの能力はパソコン10台ぐらいか?
安物のハブを手元に持ってきて、Sun のマシンなどとパソコン1台でスル-プットを計る。
別に悪くはない。しかしハブにハブとつなげげて、何十台もパソコンがぶら下がったりす
るとどうか。多分パケットを捌けなくなるのでないか。自分が見てないところでハブが設
置されていて、床下にあったり天井にあったり、ハブの装置の状況を確認することもでき
ない。コリジョンのランプが頻繁に付いているとか。WANの IP-VPN で隣接工場でファ
イル共有が遅い問題があった。見ると Samba サ-バでの画面が出るまでも、 ン-と時間
がかかり、お目当てのファイルをクリックして認識の反転が出るまで1分はかかる、さら
にファイルを表示となると数メガで5分位かかったりする。そのフロアの人が7人ぐらい
異動になってからか、ファイルの表示こそ時間かかるが他は本社と遜色がなくなった。早
いのだ。安物ハブのパケットを捌く限界がパソコン10台ぐらいなのではないか。
* ファイル共有が本社内で頗る遅いんですが?
ロ-カルでも遅いとなると CIFS プロトコルの Sambaサ-バがもう能力オ-バしているの
でないか。それを調べるにはどうしたらいいか。ともかく実際に使っているマシンでは調
べることはできない。たくさんのユ-ザがアクセスしている。別のテスト用のマシンを設
置すること。予備機があればそれでもいい。ともかく負荷がかかっていない状態での様子
を知るのが第一である。一般的にサ-バの能力を調べるにはどうしたらいいか。マシンと
プログラムを含めた稼働の能力である。vmstat コマンドはどうか。 Samba に備わってい
る何がしかのツ-ル(コマンド)はないか。そもそも CIFS は HTTP の2倍から3倍ぐらい
の時間がかかるのでないか。ファイルサ-バのインタ-フェ-スをとりあえずギガビット
にするとか。ここは一つ仮想化サ-バを導入して、CPU とメモリのリソ-スを変えてみて
Samba サ-バへのレスポンスを試してみてはいかが。
* ファイル共有がWANで頗る遅いんですが?
WANでの速度低下はネットワ-クの遅延が一番大きい。この遅延をなんとかしないと幾
ら速い回線メニュ-に変更したところで実際の速度はアップしない。このことはなかなか
理解してもらうのは難しい。大方の人は回線を速くすれば単純にファイル共有も速くなる
ものだと思っている。WANの IP-VPN 網では遅延はだいたい 40msec はある、理論速度
は 3.2 Mbpsが最高になる。これ以上の速度は出ない。 よく説明するのにキャッチボ-ル
をやるのにボ-ルを幾ら速く投げても、相手がちっとも返さなければ、やりとりの回数は
しれたもの。ボ-ルを投げる速度がネットワ-クの速度、ボ-ルを返すまでの時間が遅延。
早く投げろよということである。広域イ-サネットにすると遅延は半分ぐらいになりそう。
ファイルアクセス高速化装置を入れるといいが、1.1 倍とかあまり速くなっていない話も。
WANの足周りで引いたのが ADSL なら早いメニュ-にするとか、モデムを交換するとか。
* フォレンジックの装置が遅くしているかも?
どこの会社でも今は大方メ-ルのア-カイブ、インタ-ネットのホ-ムペ-ジへのアクセ
スのログ、それに社内のホ-ムペ-ジやファイル共有やグル-プウェアのアクセスのログ
を取っているのでないか。単なるログだけでなくそのものをキャプチャしている組織もあ
るだろう。フォレンジック装置がネットワ-クを遅くしている可能性、疑ってみる必要は
ある。しかしこれはやっかいだ。どうやらフォレンジック装置は別な部署の輩が設置して
いるケ-スが多いようなのである。会社の機密情報に関わることで、パソコンの操作ログ
を取るのと同じく、IT部門の関与を排除して設置されるのである。おお-、こわ。社内
メ-ルサ-バへのパソコンからのアクセスがタイムアウトするという。一時的に大量メ-
ルをどこかが送っている、社内のメ-ルユ-ザの数が多い、メ-ルサ-バの能力が足らな
いとか。それともネットワ-ク?タップやフォレンジック装置が怪しいかも知れない。
* そこはかとなく結論から安物買いの銭失い!
ネットワ-クが遅い遅いというだけで具体的に状況を説明してくれる人は、先ずいないと
思った方がいい。問題を切り分ける能力が求められるのだが、そういう見方をする訓練を
一度はどこかで受けていないと無理である。全ては管理者である貴方が悪い、そうしたこ
とを予見して、最初からネットワ-クの末端までのハブやケ-ブルをめんどうみるべきだ
ったのである。そうすれば家電ショップに並んでいる安物のハブがはびこることはなかっ
た。経験的に感覚的に貴方は、それらのハブが百円ショップの大工道具程度にしか見えて
ない。責任あるネットワ-ク管理者たる貴方が、素人細工の大工道具を用いるはずがない。
そういう感覚を持ち合わせない輩が、大した考え根拠もなくこれでいいんじゃないのと手
に取ってしまう。しかしそうした輩を説得するのはとても難しい。ともかくハブやケ-ブ
ルを交換する時期が来たといって、全部まともな物に変えていくことが肝要である。
* ネットワ-クのパケット計測と負荷テスト
ping のパケットサイズを大きくする意味は何だったかな。 確かネットワ-クの速度を計
りたいのであれば、10 MB ぐらいの大き目のファイルでないとだめ。RTT 値は別にデフォ
ルトのままの ping でいいのでないか、デフォルトは 64 Bytes を送信する。
ベンチマ-クのソフト XAMP、ザンプという。Apache を100個セッション作ってサイク
リックに負荷分散しているデモを見た。仮想化の中で負荷テストも行なう。負荷発生装置
SPIRENT Avalanche 2900。XAMP はダミ-のメ-ルを送信して負荷テストはできないか。
[ ファイル転送の速度 ]
File | 500Kbps 1Mbps 5Mbps 1Mbps = 1000Kbit/sec = 1000/8 = 125KB/sec
-----|-------------------------- 1MByte= 1024KB/125 = 8.192sec
1MB | 16.38 8.19 1.63
5MB | 81.92 40.96 8.19
10MB | 163.84 81.92 16.38 sec
* FortiGate を用いてネットワ-ク診断をしよう
本格的にネットワ-ク診断をそれなりの業者に依頼すると、相当な費用がかかる。アナラ
イザをネットワ-クのめぼしい所にかまし、1週間とか全パケットをキャプチャし、その
デ-タを持ち帰えって分析するという。そんな手間なことではなく FortiGateを透過的に
設置し、止められたパケットのログを見るだけでも、怪しげな通信を把握することができ
る。あらかじめ社内で通るパケットのポ-ト番号などを調べて、FortiGate のファイアウ
ォ-ルでそれらのパケットを許可、それ以外は止めるようにしておく。ある場所にしたと
ころ、パソコンの台数が10台もない拠点で、ログが見えない程流れていくとか、そんな
には出てない。でも30秒に1回ぐらい、拠点側の同じIPアドレスからログが出ていた
インタ-ネットのランダムなIPアドレスで宛先ポ-ト番号もばらばら。こりゃボットに
感染したかと思ったが違った。スカイプだった。拠点のパソコンにスカイプが常駐してい
て、サ-バを探していたのだ。まるでボットのような振る舞い。いろいろあります。
* ブロ-ドキャストが出まくっているのでないか
あるいはおかしなパケットが出まくっているのでないか。これは前から思っていることな
んだが。どうやったらそれが分かるか。専門の業者にネットワ-ク診断ということで依頼
して、Sniffer の専用装置を怪しいと思うセグメントに仕掛けるのが、こういう場合の常
套手段なんだろうけど。相当に費用はかかる。1セグメント20万円から50万円ぐらい
はするのでないか。そんなんでなくやろうと思えば、ノ-トパソコンでもそのセグメント
のところに繋いで、windump で自分が時たま目で見てパケットの様子を調べる。これが一
番手っ取り早いやり方である。しかし多分このやり方では、パソコン1台1台のつながる
ところで監視用のノ-トパソコンをおくことになると思う。何十台ものパソコンのパケッ
トが流れるところでは訳が分からなくなる。いやいやソ-スIPアドレスを指定すればい
いか。できれば FortiGate と FortiAnalyzer で調べてみたいものである。できんかな-。
* 久しぶりに ASTEC Eyes にお出まし願う
[ ASTEC Eyes のライセンスの更新 ]
`26/08 に ASTEC Eyes on the net 5.00 買いました。 ユ-ザ登録をしてメ-ルでライセ
ンスキ-のファイルを入手して、それをインスト-ルしたディレクトリに入れることとあ
る。購入してずっとそのままにしていた。確か正規ライセンスを入れなくても動くので一
度みてそのままにしていた。`27/04ライセンスキ-をFAXで申請した。ひょっとしても
うダメなのでないかと思った、30分もしない間にメ-ルで送ってきた。素晴しい対応だ。
それで Windows 2000 にインスト-ルして見た。Windows OSのプログラムのメニュ-に
入ったのは ASTEC Eyesサ-ビスコントロ-ル、ASTEC Eyes、ASTEC Eyes入門、readme を
読むなどだった。[ASTEC Eyes] を選んだら、すぐに画面がでてきた。 確か申請登録した
IPアドレスのパソコンでないと動かせないはず。いやそんなことはない、IPアドレス
での起動制限はない。ユ-ザ登録にもIPアドレスを記載する項目はない。
[ ASTEC Eyes 久しぶりに動かした ]
久しぶりにソフトを動かしてみた、グラフがでてこんぞ。いやでてきた。 Sniffer Basic
のように円の分かりやすいIPアドレスのグラフはない。これに近い表示は "IP層ホス
トペア毎のトラフィック(履歴)" か。キャプチャ開始とモニタ開始とは。キャプチャ開始
はパケットを保存するかという話。モニタ開始はリアルタイムでパケットの状態を表示す
るということ。2006年のパンフレットより。デコ-ド機能、パケットデ-タの解析は
Sniffer 互換圧縮/非圧縮フォ-マット xxx.enc, xxx.cap。連続キャプチャの出力ファイ
ル xxx.jil。tcpdump の出力ファイル( libcap ver.2 以降)。snoop の出力ファイルなど。
Microsoft Network Monitor 互換非圧縮フォ-マット xxx.cap。 WildPackets EtherPeek
互換フォ-マット xxx.pkt。Novell LANalyzer 互換フォ-マット xxx.trl。 他の資料で
libcap 互換のキャプチャデ-タファイル ( *.pcap, *.cap, *.dump )。以上対応。
* パケットを見るためのツ-ル WireShark `2g/07/e
Windows XP までなら windump コマンドというのが使えた。 しかし Windows 7 には対応
してない。それで1年前ぐらいだったか、 似たようなソフトの WireShark を使ってみよ
うとした。インスト-ルしてみてその際、何やら利用規約がいろいろ書かれてあって面倒
なのでインスト-ルの途中でやめたと思う。これまでアイコンはパソコンのモニタには出
てなかった。今回 WireShark の画面を初めて見たと思う。
前にインスト-ルした WireShark ソフトウェアが Windows 7 のノ-トパソコンに残って
いた。C:\Program Files\WireShark\ 内に30位ファイルあり、その中の WireShark.exe
をクリックしてみた。総合窓口みたいな画面がでてきた。その中の Capture の Start を
クリックしてみたら直にパケットの流れがでてきた。画面の Filter:[ ] の所でフィルタ
リングをかける。ip.addr, ip.src, ip.dst, tcp.port。&&,|| などが指定できる。
--------------------------------------------------------------------------------
| Capturing from ロ-カルエリア接続 [WireShark 1.12.9 (v1.12.xxx)] |
|------------------------------------------------------------------------------|
| File Edit View Go Capture Analyze Statiscs Telephony Tools Internal Help |
|------------------------------------------------------------------------------|
| Filter:[ip.addr==192.168.1.1 ▽] Expression... |
|------------------------------------------------------------------------------|
|No. Time Source Destination Protocol Length Info |
------------------------------------------------------------------------------------
[ 付録 ] OpenBlockS と WireShark
* OpenBlockS の中身の様子
# cd /usr; ls -F
bin/ lib/ libexec/ local/ pkg/ sbin/ share/
# cd /usr/pkg; ls -F
appmgr/ bin/ home/ info/ lib/ lost+found/ sbin/ tmp/
apps/ etc/ include/ java/ libdata/ man/ share/ var/
# cd /usr/pkg/share; ls -F
aclocal/ doc/ glib-2.0/ libsmi/ wireshark/
common-lisp/ examples/ gtk-doc/ locale/
# cd wireshark
# ls -F
AUTHORS-SHORT dtds/ mergecap.html tshark.html
COPYING dumpcap.html radius/ wimaxasncp/
capinfos.html editcap.html rawshark.html wireshark-filter.html
cfilters help/ services wireshark.html
colorfilters idl2wrs.html smi_modules ws.css
dfilters ipmap.html text2pcap.html
diameter/ manuf tpncp/
# which tshark Wiresharkのコマンドライン。いつからあったのか。Wireshark
/usr/pkg/bin/tshark をインスト-ルして一緒に入ったのか。それとも最初から入っ
ていたのか。
# tshark -help
TShark 1.2.2
Dump and analyze network traffic.
See http://www.wireshark.org for more information.
Usage: tshark [options] ...
Capture interface:
-i <interface> name or idx of interface (def: first non-loopback)
-f <capture filter> packet filter in libpcap filter syntax
-s <snaplen> packet snapshot length (def: 65535)
-p don't capture in promiscuous mode
-y <link type> link layer type (def: first appropriate)
-D print list of interfaces and exit
-L print list of link-layer types of iface and exit
Capture stop conditions:
-c <packet count> stop after n packets (def: infinite)
-a <autostop cond.> ... duration:NUM - stop after NUM seconds
filesize:NUM - stop this file after NUM KB
files:NUM - stop after NUM files
Capture output:
-b <ringbuffer opt.> ... duration:NUM - switch to next file after NUM secs
filesize:NUM - switch to next file after NUM KB
files:NUM - ringbuffer: replace after NUM files
Input file:
-r <infile> set the filename to read from (no pipes or stdin!)
Processing:
-R <read filter> packet filter in Wireshark display filter syntax
-n disable all name resolutions (def: all enabled)
-N <name resolve flags> enable specific name resolution(s): "mntC"
-d <layer_type>==<selector>,<decode_as_protocol> ...
"Decode As", see the man page for details
Example: tcp.port==8888,http
Output:
-w <outfile|-> set the output filename (or '-' for stdout)
-C <config profile> start with specified configuration profile
-F <output file type> set the output file type, default is libpcap
an empty "-F" option will list the file types
-V add output of packet tree (Packet Details)
-S display packets even when writing to a file
-x add output of hex and ASCII dump (Packet Bytes)
-T pdml|ps|psml|text|fields
format of text output (def: text)
-e <field> field to print if -Tfields selected (e.g. tcp.port);
this option can be repeated to print multiple fields
-E<fieldsoption>=<value> set options for output when -Tfields selected:
header=y|n switch headers on and off
separator=/t|/s|<char> select tab, space, printable character as separator
quote=d|s|n select double, single, no quotes for values
-t ad|a|r|d|dd|e output format of time stamps (def: r: rel. to first)
-l flush standard output after each packet
-q be more quiet on stdout (e.g. when using statistics)
-X <key>:<value> eXtension options, see the man page for details
-z <statistics> various statistics, see the man page for details
Miscellaneous:
-h display this help and exit
-v display version info and exit
-o <name>:<value> ... override preference setting
-K <keytab> keytab file to use for kerberos decryption
* OpenBlockS に入れるソフト
Wireshark というのも入れておくことにする。Wireshark は昔 Ethereal と言われたパケ
ット解析のLANアナライザソフトである、本も幾つかでている。OpenBlockS の[アプリ
ケ-ションマネ-ジャ] から wireshark-1.2.2.tgz を入れる。3分ぐらいかかった。 ネ
ットワ-クの監視や管理に使えそうな感じのソフトとして、他にも以下のようにあった。
■パッケ-ジ利用の簡易ガイド
インスト-ルすみパッケ-ジの一覧: pkg_info
パッケ-ジ情報の表示: pkg_info
パッケ-ジのファイル一覧: pkg_info -L
hping : Command-line oriented TCP/IP packet assembler/analyzer
mrtg : The Mutl-Router Traffic Grapher
net-snmp : Extensible SNMP implementation
nmap : Network/port scanner with OS detection
nprobe : Monitor a network interface and generate NetFlow data
ntop : Shows network usage (similar to top" for processes)"
nttcp : New TCP testing and performance measuring tool
tcpdump : Network monitoring tool
tcptrace : TCP dump file analysis tool
wireshark : Network protocol analyzer