[Check Point] VPN-1/FireWall-1 CF1

　
CheckPoint VPN-1/FireWall-1（FW-1）について、
本格的な運用や技術に関する討論を展開して参りたく、
本スレッドを存分にご活用ください！！

♪ VPN-1/FireWall-1 を利用するにあたっての心構え ♪

其の壱　英語の（エラー）メッセージにくじけない！
其の弐　ログはためても 100MB くらいまでにしましょう。
其の参　本番運用で SecurityServer の機能は使わない！
其の四　AIX, HP での運用はサポート外とさせて頂きます。
其の伍　Motif GUI のライセンスを買うなら、Windowsマシンを買おう！

　
チェックポイント 日本法人 ウェブサイト
http://www.checkpoint.co.jp/

Check Point Headquarters' website
http://www.checkpoint.com/

OPSEC - FireWall-1 との連携動作認定に関する公式サイト
http://www.opsec.com/

SecureKnowledge - 開発元が提供している、うんちくデータベース
http://support.checkpoint.com/
一般の方には "Public Access" をクリックして頂くことで、
こちらのデータベースへのアクセスが可能となっております。

　　 ∧△∧
　　<　｀∀´>
　　│∪ 　つ　果たしてどれだけのユーザがこの板にいるﾆﾀﾞ？
　 ∠＿__丿

>>1
サポート入ってないとパッチもらえない
というのはホントですか？

　
>>3 さん

私がこのスレッドを立てたことで、うちわの人間や FireWall-1 ユーザの
方々が、続々と集まってくるとの情報が得られておりますので、最低でも
“5人”くらいはいらっしゃるかと思います。

>>4 さん

はい、本当だと思います。

私の知る限りでは、保守（サポート）契約を結んでいるお客様だけが、
パッチを提供してもらえています。

念のために、FireWall-1 の販売代理店さんや、サポートサービスを
提供している会社さんへ、問い合わせてみるのが良いかと思います。

>>4
ほんとです。契約してるとパッチやらサービスパックやらの
お知らせメールが届く。そのメールに記載されたID/PASSで
ないと落とせない。
もーね、なんつーか一時期のCISCO以上の殿様商売。

ログ吐かせるとき -n オプションをつければIPアドレスになることを最近知ったんですが、ポート番号を吐かせるにはどうすれば？

セッションの維持が1時間ですが、無制限にでいますか？

（・３・） アルェー　誰もいないYA!

今後はNG(Ver5.0)でもHP-UXをサポートしていくみたいだね
ただしIA64だけらしいけど

　
>>7-8 殿様商売の顧客さん

ポート番号を吐かせるということは、FireWall-1 で定義されている
Service名をポート番号に変換して…
たとえば、"http" を "80" というように…
ログに表示させるということでしょうか!?
マニュアルにその方法が掲載されていないようでしたら、出来ないと思います。
Service名をポート番号に変換してログ出力するということは、
私も試してみたことがありませんので、ちょっと調べてみたいと思います。
ご存知の方がいらっしゃったら、教えて下さいませ。m(_ _)m

セッションの維持を無制限にすることですが、これはたとえ設定出来たとしても
セキュリティ上好ましくないと思いますので、設定しないことをお勧めします。
ちなみに、"TCP Session Timeout" の "3600s（1時間）" を変更することは、
[Global Properties] の [Stateful Inspection] から設定可能です。
上限値は、"86400s（1日）" だったと思います。

１さん、丁寧なご回答ありがとうございます。
殿様商売の顧客（７のほう）です。（８さんとは別人です）

まさに１さんがお書きの通りのことをやりたくて、
-a, -b, -c, ... とでたらめにやってみたのですが、
悪あがきに終わり、力尽きました。
もしおわかりになれば、教えてください。

FW-1は圧倒的なシェアのはずなのに...
個人向けではないせいか、このスレ寂しい...

あれっていくらぐらい？PFWとの違いは？機能面での。
だいたいでいいので教えてください。

　
>>7 さん

8 さんと混同してしまい、申し訳ありませんでした。(;^_^A
ログのポート番号表示出力の可否ですが、出来るかどうかも含めて、
引き続き調べてみたく思いますので、しばしお待ちの程…

>>13 さん

検索エンジンで、“Check Point VPN-1/FireWall-1 価格表”といった
キーワードから検索してみたら引っかかると思いますのでお試し下さい。
あとは、管理されるネットワーク構成やご要望のセキュリティポリシーと
照らし合わせて、どのライセンスを購入するか決められたらよろしいかと。

PFW（Personal Firewall、パーソナル・ファイアウォール）との違いは、
パーソナル・ファイアウォールが１台のパソコンを守るのに対し、
FireWall-1 を含む企業向けファイアウォール専用装置は
ネットワーク全体を守ることが出来る、といったところではないでしょうか。

上記の他にも異なる点は多々あると思いますので、
>>2 に貼ったリンク先ウェブサイト等を参照してみて下さいませ。

依然寂しいですね。保守age。
他にもいろいろ聞きたいことがあるので、
１さん以外にも詳しい人降臨希望。

13さんが価格を気にされていますが、ネタですか？と
問い詰めたいほど高額ですよね。このご時世、そんな
に金はたいて、果たして費用対効果はどうよ？って感じ。

パソコンにLinux入れて、NIC２〜３枚挿して、フリーの
FWソフト入れれば、パケットフィルタリングしかやらない
のなら、それで十分かつ安上がりかなと...安易かな？

（・３・）　アルェー

www.phoneboy.com
なら情報交換活発ですよ。ただし英語ですが。

　
言い遅れましたが、基本的に私がここで設定等に関して書きこむ際には、
FireWall-1 の最新バージョンでの設定内容を書きこむように致します。

つまり現時点では、
FireWall-1 NG（Next Generation） FP（Feature Pack）3 での
設定内容をベースに話しているとお考え頂ければ結構です。

>>7&15 さん

fw logexport では、やはりポート番号表示できないことが判明致しました。

その代わりと言ってはなんですが、GUI：SmartView Tracker（旧 Log Viewer）
上では、Service名 ==> ポート番号と、ボタン一つで変換して閲覧できるように
なっておりますので、こちらでご満足頂ければ幸いです。

ちなみに、少々時間がなく検証していないので何とも言えませんが、

# fw log -(ポート番号変換オプションがあれば入力) > fw_20xx-1231.txt

以上から、Service名の代わりにポート番号が表示された fw logexport の
結果もどきが入手できるかもしれませんね。

>>8&11 さん

TCP セッションを維持できる上限時間は、やはり "86400s（1日）" でした。
GUI：SmartDashboard（旧 Policy Editor）上で TCP Session Timeout 値の
上限を探ってみればすぐにお分かり頂けると思いますので、お試し下さいませ。

＞＞１４、＞＞１５　レスサンクス。
ネットワークを守るという点でやっぱ高いのかな？
僕はPFWはたいていはアプリケーションレベルゲートウェイのタイプで
確かにPCを守るのには堅牢だと思います。パケットフィルタ
ステートフルらと比べて最高の防御能力がありますからね。でも
やっぱ企業向けはさらに細かいことができるのかなと。
なんか知らないけど。そういう面で気になったんで。
やっぱファイアウォールにIDSというのは常識になりつつあるのでしょうかね？
穴があってもIDSなら悪意あるパケット等があればはじけますし。

>>17
とにーさん、情報ありがとうございます。
のぞきはしましたが、まずは英語を...がんばります...（汗）

>>18
１さん、わざわざありがとうございます。
fw log のオプションで出来るか、もう一度あがいてみます。
NGですか...うちのは過去の遺物...

>>19
13さんの話、難しくてついていけない...（涙）

■■わりきり学園■■

コギャルから熟女まで

素敵な出会い

ゲイ、レズビアンなどコンテンツ豊富

http://www.geocities.jp/kgy919/deai.html

あんたたちはSOHO向けの使ってるんですか？
なぜかこういうのって公式HPにいってもなぜか価格表が
見当たらなかったりするんだよね。だけど7万ぐらいだっけ？
ソニックは14万ぐらいだけど。買おうかと思ったけど手続き等が
面倒くさそうだったのでやめた。店頭販売で3ライセンスぐらいまでで
その分4万ぐらいだったら買ってもいいけどｗ

>>22
まさにケタ違いです...ここなんてどうでしょう。
http://www.forvalcreative.com/jpn/pro/vpn1_fw1_ng/price.html#NG
以前某代理店に見積りを依頼したら、５番の300万円が、
値引きして225万とのこと。ふぅ...

>>19
PFWがアプリケーションゲートウェイという分類は誤りだと思います。
あるいはそれが、ステートフル・インスペクションより防御能力がある
というのも論理的には？ですね。
企業向けに細かいことができるというのはそういう見方もできるでしょうが、
細かいというよりむしろ付加価値ですね。
FW-1は純なファイアウォールとしての機能以上に付加価値機能が多いのです。
認証、NAT、VPN、ロードバランシング、コンテンツベクタリングプロトコル、
ハイ・アベイラビリティ....
全部ゲートウェイポイントにいれてしまえばいいでしょ
という発想ですね。それはそれでいいのでしょうが、何分巨大化してしまって...
すくなくともFW-1は120%企業向け製品です。使ってるヒトは限られているので、
PFWやウィルス系に比べたらこのスレに投稿が少ないのも当然で...

IDSとファイアウォールの併合は、IPSといいまして最近の傾向ではあります。

http://www.nanet.co.jp/rlytest/relaytest.htmlより
[email protected] を担当するメールサーバー
[email protected] (pri=10)
<<< 220 CheckPoint FireWall-1 secure SMTP server
問題あり：不正な中継を受け付けます。
(210.236.163.18)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。

　
>>20(7)さん

なんらかの方法で上手く結果が出ましたら、お使いの FireWall-1 のバージョン
と共に、実施された方法を教えて頂ければ幸いです。m(_ _)m

>>25さん

FireWall-1 の SMTP Security Server がメールの不正中継対策をできない!?
ということを懸念されてのご指摘とお見受け致しましたが、だと致しましたら、
2点ほど申したいことがございます。

1. 基本的に、メールの不正中継対策はメールサーバ側で設定して下さい。
2. FireWall-1 でのメールの不正中継対策は、あくまでも上記 1. の対策の
backup とお考え下さい。
その上で、設定に誤りがないか確認して頂ければと思います。

以上の認識で以って、まずは該当するメールサーバでの不正中継対策を検討して
頂くことが重要かと思います。

尚、不正中継を受け付けてしまう実在するアドレスをそのまま記載することは、
いかがなものかと思いますが… 2ch 的には OK なんでしょうか!? (;^_^A

>>26
http://www.nanet.co.jp/rlytest/faq.html
http://www.ordb.org/lookup/?host=menmail.mie-c.ed.jp

ウチのサーバは不正中継を許さないはずなのだけど、合格しません

このテストでは、第三者中継の典型的なパターンに則って検査をしています。
具体的には、FROM行を偽って弊社のアドレス向けにメールを送ろうとした時点で、
OKの肯定応答を返した場合、不正中継を許すと判断しています。
従って、肯定応答を返してメッセージを一旦受け取るが、中継しないサーバの
場合は、「不正中継を許す」と判断されてしまうことになります。
これを解決しようとすると、実際に不正中継を行わせて検査をすることになり、
他の面で様々な問題が発生することから、本テストではそこまでの判定を行わない
ことにさせて頂いております。
-----------------------
テストに合格したはずなのだけれども、ORDBからメールが来ました

本テストで行っているのは、不正中継の手段の典型的な一例に過ぎませんが、
ORBSのテストはさらに厳しく十数種類のパターンから構成されています。
このため、本テストで合格するものの、 ORBSの検査では中継を許してしまう
場合があります。
また、本テストでは、テストを行ったことを管理者に分かりやすくするために、
FROM行に様々な情報を埋め込んで、非常に長いFROM行を生成しています。
一部のサーバでは、この長いFROM行に対して否定応答を返すために、本テストでは
合格してしまう場合があります。

4.1 から NG にアップデート（アップグレード？）するってやっぱ大変？
NOKIAじゃなくてSolarisで動いてる奴なんだけども・・・。

>>27
mail from: は通って rcpt to: ではじいてるということ？
勘違いならすまんです

　
>>27さん

丁寧な説明、ありがとうございました。
もっと勉強しなければ…と思いつつ、スペランカーでたわむれていたり…（爆）

>>28さん

現在使われている Solaris のバージョンは“8”でしょうか!?
また、CPU は UltraSPARC II 以上でしょうか!?

基本的に、上の条件を満たしていれば、アップグレードは簡単に行えますよ。
アップグレードして上手く動作しなければ、pkgrm でダウングレードすれば、
v4.1 の環境は元通りになりますしね。

ちなみに、v4.1 から NG へアップグレードする方法には、大きく分けて
二通りありまして、

　1. v4.1 SP6 から NG FP"3" へアップグレードする。
　2. v4.1 のどの SP からでも NG FP"1" へアップグレードする。
　その後、適宜 FP3 なりへアップグレードが可能。

以上のようになっております。

NG FP"4" が数ヶ月以内にリリースされる予定ということを考えますと、
上の 1. の方法でアップグレードする準備：つまり、v4.1 SP6 でない
SP レベルの v4.1 を運用されている場合には、SP6 まで上げておいて、
FP4 まで一気にアップグレード（多分できると思います。多分…（笑））
する方法がスマートかもしれませんね。

内閣官房
http://www.cas.go.jp/
http://www.nanet.co.jp/rlytest/relaytest.htmlより
第三者中継調査(Third Party Relay) - 結果表示
[email protected] を担当するメールサーバーの検査結果は以下の通りです。
[email protected] (pri=10)
<<< 220 CheckPoint FireWall-1 secure SMTP server
正常：中継は拒否されました。

首相官邸
http://www.kantei.go.jp/
[email protected] を担当するメールサーバーの検査結果は以下の通りです。
[email protected] (pri=10)
<<< 220 CheckPoint FireWall-1 secure SMTP server
正常：中継は拒否されました。

NGの最近のバージョンで、TCPのサービスを作る時に
Match for Any
というチェックボックスがありますけど、これって
どう使うんでしょう・・・？
つけた時とつけない時の違いがわかんない・・・。

>>1さん
> 其の参　本番運用で SecurityServer の機能は使わない！

どうしてなんですか？

ご丁寧にお返事ありがとうございます・・・

OSはSolaris8ですが、俗に言う嘘ラリスってやつです。
ハードウェアも満たしている（と思う）はずですし、FW-1はSP6にHotfixをいくつか・・・。

一番気にしているのは、4.1時のオブジェクトやルールがそのまんま適用されて問題なく
使用可能なのかどうかです。
NGになってから、オブジェクトのプロパティ項目が少し変わったと聞いているのですが、
だいじょーぶなのかなぁ、と。
仮に動かなかったときに、元に戻すのは29で書いていただいたとおりでいいとしても、
いずれNGにしなければならないし・・・。

まだ依頼があったわけではないですが、そのうち話が来そうでおびえてます（笑）

Provider-1スレはどこですか？

>34
そんなマニアックなスレないと思われ。

1ではないですが・・・

>>32

トラブルが多い(信用できない)からじゃないでしょうか。

>>33

Upgradeして最初にSmart DashBoard(旧PolicyEditor)で接続したときに
いろいろ警告が出たはずです.
それとUpgrade VerifierというルールのチェックツールがCheckPointから配布されているので一度チェックしてみては?

>>知ってる人

4.1からNG(FP3)へのPolicyをMigrationする方法(sk11635)で成功した人いる？

ttp://support.checkpoint.com/kb/docs/public/firewall1/ng/pdf/upgrade_mgmt_srvr.pdf
↑のpdfと記述内容が若干異なるし、うまくいかないので悩んでます。

UpgradeスクリプトはCompleteするんだけど、cpstart後SmartDashBoardで接続できない・・・

おっと、skは

ttps://support.checkpoint.com/login.jsp

からPublic Accessすれば確認できます。

　
>>28さん

36さんもおっしゃっておりますように、v4.1 で利用していたオブジェクトや
ルールが NG で問題なく使用可能かどうか、NG へのアップグレード前に判断
できるツールとして、「Upgrade Verifier Utilities」と言うツールが用意
されておりますので、一度試してみてはいかがでしょうか。
ダウンロードは下記の URL からどうぞ。

http://www.checkpoint.com/techsupport/downloadsng/utilities.html

ちなみに私はメーカーの人間ではありませんが、いつの間にやら、メーカーの
担当者のような口調になっていて…なんともはや（苦笑）
ともあれ、ややこしいバージョンアップの話が来ないことを、
わたくしも祈っております（笑）

>>31さん

Match for Any は… 以前に冷や汗を流しながら勉強して、何かに利用（検証）
した記憶があるのですが…すっかり忘れてしまいました（汗）
少々調べたく思いますが、ご存知の方がいらっしゃったら教えて下さいませ。
（他力本願過ぎますでしょうか (;^_^A）

　
>>32さん

36さんのおっしゃるように、トラブルが多い（信用できない）と言いますと、
日本国外製ソフト/ハードウェアの信用の置けないこと置けないこと（笑）、
とも思いますが、まぁ実際に SecurityServer を利用して UFP や CVP を
（同時に）使用してみれば、そのリソースの消費具合やチェックの重さが…

それはそれとしてですね、例えば、URL フィルタリング機能を導入するために
Websense を利用する場合を仮定して考えてみますと、
Websense for FireWall-1 ではなく Websense for ISA を導入して
FireWall-1 側ではなく Proxy 側に連携させて、FireWall-1 への負荷を減少
させつつ、その分 FireWall-1 のパケット検査としてのパフォーマンスに余裕を
持たせれば、何らかの攻撃や DoS のような負荷攻撃を実際に受けた際のために、
FireWall-1 に余力を持たせることが出来て better だと思っておりますので、
＜其の参　本番運用で SecurityServer の機能は使わない！＞
と、謳ってみた次第です。

>>36さんがおっしゃっている Migration する方法に関しましては、まだ FP3
では試してみたことがありませんので、暇を見つけて検証してみると致します。


全然話は変わって先のことだと思いますが、当分 FP4 でいてくれる（すぐに
FP5 などと聞こえてこない）ように願うばかりですねぇ。
みなさんは、FPレベルの上昇速度に付いていけてます!? 私は…うっぷ（笑）

ふーんこんなスレがあるのか。

NGのFP3ってポリシーの書き方全然違ってるよね。
従来型の書き方もサポートされてるけどよ。

>NGのFP3ってポリシーの書き方全然違ってるよね。
>従来型の書き方もサポートされてるけどよ。

先日、はぢめてNGのポリシーエディタみたんですけど… VIA IFって
行が増えてますけどきっちり設定しないとあかんの？

http://pc.2ch.net/test/read.cgi/network/1030725389/l50

　
>>31 さん

Match for 'Any' にチェックが入っている Service は、Service に
Any が設定されているルールに適用される、ということが分かりました。
実際に検証してみれば、その効果をなんとなく体感できると思いますよ。

>>42 さん

VIA IF は、VPN を利用している際に有用なカラム（行）となっていますので、
VPN を利用していないのでしたら、特に設定する必要はありませんよ。
効能のほどは、マニュアルに書いてあると思うのですが、いかがでしょうか!?

もう近日中に、FP3 の日本語マニュアルが出る（もう出ている!?）ようですね。

>>43 さん

そのリンク先の「チェックポイントスレッド」では、チェックポイント社が
扱っている・関わっている製品全般についてや、他社製品との比較等々が
良く議論されておりますので、FireWall-1 の技術系の話専用のスレッドが
欲しく、探してみたのですが無かったので、本スレッドを立ててみました。

私は、本スレッドを以上のように区別して活用出来ればなぁと考えております。

>>44
どもです。
私のつたない英語力で読んだ感じでもそうだと思って、実機で
テストはしてたんですが、変化が見えなかったのであの書き込みに
至ってます。
例えばtelnetのオブジェクトでチェックをつけたり外したりして、
サービスAnyの挙動って変わります？

またテストしてみるかな・・・。

良スレage

FW-1スレの良い子のみんな！　FP3はかならずHotFix-1を当ててから運用しようね！
おにいさんとのやくそくだよ！

あと、これからNOKIA IP Seriesを買うときはIP330なんか買っちゃだめだよ！

微妙にスレ違いっぽいんだけど、Securemoteインストールしたら
msvcrt.dllがどうこうってerrorが・・・
こういう場合どうすりゃええの？

>>48
ぐぐったら。　こんなんありました。

ttp://www.checkpoint.com/techsupport/downloads/html/securemote/sr-5-0/SR_SC_FP3_RN.pdf
P4のあたまに、IEのバージョンあげてみ？　って書いてます。

>>47
IP330はなぜいけないのでしょう?痛い目にあったとか?

http://www.google.co.jp/search?q=NOKIA+IP330&ie=UTF-8&oe=UTF-8&hl=ja&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja

　
>>31 さん （>>45）

FireWall-1 で最初から定義されている "telnet" はそのままに、同じポートを
利用する "telnet-b" という名前ででも TCP Srevice をもうひとつ作成して
それぞれの Service に対して違う経路での通信を許可したようなルールを設定
してみます。

Rule no.1: "telnet" を許可している Service は "Any" にして、
Rule no.2: "telnet-b" は個別の経路での通信を許可するとか
…こういう設定で良いかと思います。

そして、それぞれの経路で telnet の通信を行って、SmartView Tracker を
見てみますと、適用されている Rule 番号が異なっている結果が確認できると
思います。

以上の結果から、例えばですが、それぞれの Service の Session Timeout を
個別に設定して、適用させるルールごとに Service の区別化を図ったりと…
使い方は色々あると思いますので、試してみるとなかなかおもしろいですよ。

>>50
EOLです。ディスコンともいいます。

ディスコンになっても相当の年数（5年くらい）は保守対象になりますけど、
それ以前にIP330は機体のスペック低すぎ。
古いロットだとK6-2の266。現行ロットでも400。
IP350でPen3の700、IP380でP3 900ってことを考えれば...

もひとつ330がお奨めできない理由として、内蔵HDDが
IBMタイマー（稼動1年）つきのプチ欠陥型番だということが挙げられます。
HDD障害でRMA逝きの多さは群を抜いてますよ。
ちなみに初期ロットのHDDはWesternDigital。

あと、HyperTerminalで初期設定すると壊れる（RMA対象）。
TeraTermとかminicom使いましょう。ネタですか？　みたいなマジの話。

みんな、VPN-1/FireWall-1は何に載せて使ってる？
Win？Unix？それともノキアとかのアプライアンス？
うちはSun E450。GUIはWin。4.1の保守切れるし、アプライアンスに乗り換えるか検討中。

。。。NetScreenに乗り換えるかもナー

このスレが>>1の自作自演によって成り立ってる様に見えるのは漏れだけ？

まぁ、>>1が会社の工作員である事だけは文体より明らかだが。

>>55 多分お前だけ。
住人が20人もいない過疎板では宣伝する意味が無い。

>>55
最初の方のは全部自作自演に間違いないが、最後の方のは違うだろ。
>>1が会社の工作員なのは疑いようが無いな（w

わざわざ会社（どこの会社だい？　CheckPoint？）の工作員がこんなところで
自演しても意味ないだろ。まったく個人向けじゃないし（笑
まあ貧乏人はSonicWallでも使ってろってこった。

>54　弊社はHP-UXですが何か？

>58　アズ(略

>>51
なるほど。
同じポートを指す2つ以上のオブジェクトを作った時に
効果があるわけか。

ありがとー

>>54
NECのアプライアンス

　
>>54 さん

ご参考までに、
FireWall-1 を運用するにあたって最適なプラットフォームは、順に、
　1. SecurePlatform
　　　- Red Hat Linux ベースで、癖があるけれども開発元のお墨付き。
　2. Unix 系（Nokia 等も含む）
　　　- 安定度が良いですね。
　3. Windows 系
　　　- 使い勝手が良い ＆ Windows2000 なら安定度も合格点でしょうか。
と聞いたことがあったり、
今まで利用しての印象です。

2. の Unix系をさらに分割するならば、
　a) Solaris、Red Hat Linux ： OS 本体にカスタマイズできる幅がある。
　b) Nokia、等の箱モノ ： Unix 系 OS を一から勉強する手間が省ける。
と、
以上のように住み分けされているように思います。

>>31さん（>>60）

いえいえ、どういたしまして。 m(_ _)m
また何か技術的なネタがありましたら、私の方こそ教えて欲しく思っております。
なので、その際にはよろしくお願いいたします！ ＞ 31さん ＆ ALL

NOKIAはVRRP Monitored Circuitとかの冗長化構成が比較的簡単にできるとのもウリかと思うのだが・・・
箱モノはサポート受けやすいってのも大きいと思う。

ところでWindows版のFW-1は安定しているのか???

http://www.pink-angel.jp/betu/linkvp2/linkvp.html
★その目で確認すべし！！★超おすすめ★

NOKIAたんは配備期間が最短で済むね。バックアップレストアもワンタッチ、
IPSO(OS)もパッケージも最近のはえらく更新が簡単になってきた。
VRRPが簡単かつ追加ライセンス要らずなのもアドバンテージだね。
問題は近い将来の目玉となるIP Clusteringなわけだが今のところ(´・ω・`)だ。
ちなみにNOKIAのKBはとても充実している。SIerとしてはこれもポイントだろう。
まあそこらへんはアｚ（略 とかソフ（略 みたいなNOKIA一次店の営業が
強調しているところなわけで、あまりここで強調すると激しくまわしものっぽくなるが。
・・・まあ事実漏れはNOKIA使いなのでまわしものなわけだが。

ときに>>62よ、
　1. SecurePlatform
これって売れてますか？　ろくに実績を聞かないのだが。

>>63
Windowsについては・・・
64の言ってる通り（笑

SC（MC）兼GUIとしてならいいんじゃないのかな？
規模と顧客のポリシーによるね。Winだからだめってことはないと思う。
Enforcement Moduleとしての利用は・・・それってメリットあるか？

FP3から色々呼び名が変わったでしょ。
慣れないねぇ...

FP4からまた呼び名が変わります。




とかだったら殺す。

DQN作業でまだ仕事中。。。
おへんじくれた人どーも。

Sun　　　1
HP-UX　　1
Nokia　　1
NEC　　　1

うー。。。いまのところなんとも捉えどころのない結果。
UNIX系とアプライアンスで半々。
NECのってExpress5800＋Linuxですか？　>61氏

　
>>54 さん （>>68）

本当に、おつかれさまです。m(_ _)m
も〜、そういった作業は、ホッタラカスのが吉かと思いますが、
なかなかそうもいかないものなのでしょうか…
私が言うのもなんだか…とは思いますが、体調にはご注意いただければ幸いです。
　＞ 54さん ＆ 遅くまで作業している皆様

>>66 さん & >>67 さん

確かに慣れるまで、Smart って？ Dashboard って… なに？
って〜な、感じですよねぇ。 ┓( ´ー`)┏ ヤレヤレ
「ダッシュ」とか「ボード」とかいった響きに、いちいちツッコンでいた頃が
なつかすぃ…

さて、ここだけの話、NG FP3 ==> NG FP3 Hotfix-1 とリリースされてからも、
細かい修正パッチである HAxxx シリーズがリリースされ続けているわけでして、
それら Hotfix-1 も含めたパッチの集大成が、FP4 と思われます。
（HAxxx を簡単に入手できるかどうかは不明です… 代理店まではできる!?）

FP（Feature Pack）とは、修正パッチ（だけでなく）＋機能強化もする！という
スタンスで連続投入され続けてきたわけですが、FP1、FP3 は機能強化色が強く、
FP2 では修正パッチ色が強かったと思います。
ですから FP4 は、FP1 にとっての FP2 のように、FP3 にとっての修正パッチの
集大成版という位置付けなのだと思います。（FP4 β版を触っての私の印象です）

ということで、FP4 で、各モジュールの名前がまたまた変わるなんて〜ことは
今のところなさそうですので、ご心配には及ばないかと思いますよ。

　　　　ここの
サ　ポ　セ　ン　の　奴　ら　
　　　ｶﾅｰﾘのｳﾞｧｶ
　　な　の　れ　す

もっと教育汁！

　
>>65 さん

残念ながら、SecurePlatform が売れているのか私には分かりません。
ご存知の方がいらっしゃったら教えて下さいませ。

ある程度普及するまでは… というか、IPSO が『導入し易い！』と、採用され
がちな!?状況下では、Red Hat Linux ベースの SecurePlatform が受け入れ
られる機会って、ますます減っているんじゃないでしょうか。

NOKIAのIPシリーズにWindows突っ込んだﾂﾜﾓﾉ居ませんかぁ〜？
居たらﾚﾎﾟｰﾄｷﾎﾞﾝ(w

遅ればせながらFP3 HotFix-2 age

>>71 お返事ありがとう。
PC Unixが投入されるような場面と、NOKIAのミドル〜ハイエンド機種が
投入される場面とでは確かに条件が異なるかも。
後者ではUnixの運用も商用Unix主体だろうし、オープンソースソフトウェアってだけで
「サポートへの懸念」という例のお題目から無条件で忌避されてしまったり。
え、Linuxなの？　とか言われそう。
そんなこと言ったらNOKIAの中の人はFreeBSDですよｺﾞﾙｧ？
さらに考えてみればSecurePlatformはまるごとCheckPointサポート対象なわけで、
おそらくサポート環境はNOKIAと変わらない。
ただ、そういったことをいちいちユーザに説明する手間が著しく面倒ですな...
見た目が普通のPCサーバにしかなんないのもデメリット。
「アプライアンス」というありがたい魔法の言葉が使えないので。

まあ自分としてはRedHatって時点で激しく好みから外れるのだが。
純粋に好みの問題で、もののいい悪いではないんだけど。

>>68
亀レスすまん
＞NECのってExpress5800＋Linuxですか？　>61氏

Express5800＋LinuxとCX5000(SUN鯖のOEM)+Solarisがある
あとなんのことかわからんが住基ネット対応モデルなんてのもある
どうやら機種は上記と同じらしい

　
FireWall-1 をよく利用されている方と偶然お話させていただける機会が
ありまして、その方がご存知のお客様のご利用形態を聞いてみますと…
v4.x とか… SP が最新のものでないとか…
多くはいらっしゃらないそう!?ですが、現実にいらっしゃるそうです。

FireWall-1 を使って少々検証を行ってみれば分かると思いますが、
日々、刻一刻と新しいアタック方法等が生み出されております昨今、
v4.x では対応しきれないと思われる点が、少なからずあると思います。

最新版へといきなりアップグレードして人柱になる必要は無いと思いますが、
少なくとも、最新版の一つ前あたりのバージョンにはアップグレードを試して、
どのようなセキュリティ強化機能が追加されているのか、一管理者として
知っておいた方が良いと、個人的には思っております。

上記の例で言いますと、現時点では FP3 が最新ですから、せめて FP2 を
使いたいものですね。
ですが、FP3 では SmartDefense という機能でセキュリティ強化が施されて
いるようですので、FP3 か FP4 を使ってみたいところですね。
わたしの場合には、検証してみて FP3 を使うことに決めまして、ですが少々
既知の問題も残っているようですので、FP4 がリリースされたらすぐに適用
する予定にしています。

といったところで、みなさんはこのような利用されているバージョンに関して、
どのようにお考えでしょうか!?

>>76
安定稼動してナンボだからね。
あげる必要があるなら上げてみる。

VerUpは検証に検証を重ねて(人柱含)やっとこさ上げる感じ。

>76

4.1→NGは仕様変更がたくさんあるので、NGにするといままでの通信に影響がでることがよくあります。
(ICMPリダイレクション、PoolNAT等)
なので既存の通信がちゃんと行えるかどうかの調査は必須ですね。

Smart DefenceはDropしてほしくないパケットまで落とされて困ることがよくあります。
設定もわかりにくいし、Smart Defenceに関してはあまり良い印象はないです。

77さんのいう通り、検証に検証を重ねてからでないと怖くて上げられないですね。
OSバージョンとのからみもあるのでLinuxなんかは大変だと思います。

sec 板にこんなスレあったのか。
ユーザ層を考えるとむしろ network 板のほうがいいような気がするでつ。ここは
事実上ホームユーザがターゲットになっちゃってるんで。

NOKIAのFirewall製品のスレはここですか？

ところで、FV931ってどうなんでそ。
VPN-1/FireWall-1 プレインストールで、RainWall-S 標準装備
98万円と書かれてるけど。

ttps://www.netsecurity.ne.jp/article/10/7736.html

NetScreen とかを意識した製品なんでしょうか？

>81
さすがにVPN-1/FireWall-1のライセンスは別途じゃないでしょうか？

　
>>77 さん ＆ >>78 さん

どうもご回答ありがとうございます。大変参考になりました！
特に、78さんのおっしゃっている SmartDefense は確かに謎が多いような…
ともあれ、FireWall-1 は最新バージョンを、特に FP3 以降を使われる方が
良いと思いますよ。

理由は、non-SYN packet 等を 同一 SrcIP,port から DstIP,port 等へ
何度か dummy packet 等も混ぜつつ、送信などなど検証お試し下さいませ。
ボヤかして言及しておりますのは、大人の事情と汲み取っていただければ…

>>79さん

ご指摘ありがとうございます。そのような背景があったのですね。
ですが、（network）ネットワーク板には既に「チェックポイント」スレッドが
あるようですし、FireWall-1 の技術的な話だけを細々と、身内が確認に来るか
ドキドキしながら（笑）展開させたかったことから、こちらに立てた次第です。

>>80 さん

「Nokia」ではなく、「FireWall-1」のスレッドと認識いただければよろしいの
ではないかと。1 に記載いたしましたお題目も参照していただければ幸いです。
でもまぁ、あまり堅苦しく考えているわけでもありませんので、お気軽に♪

>>82
FireWall-1のライセンスは別途でした。
ttp://www.asgent.co.jp/Products/Celestix/price_fv931.pdf

結局、それなりのお値段になるんですね・・・。

この板でボロクソに言われてるIP330ユーザです。

eth3がWAN、eth4がLAN、eth5がDMZで、DMZにおいたWebサーバから、LAN上のDB(PostgreSQL)
に接続できるようにしとります。
ところが、4.1までは全く問題なかったんですが、NGにageてから、WebサーバからDBに接続
できなくなるというトラブルが多発するようになりました。

最初はOKで、誰も使わなくなる夜になると発生する、という状態なので、コネクションの
数の問題では無いようなんです。どうもTCPセッションのタイムアウトか何かの問題の様な
気がしているんですが、同じような症状が出た方っていらっしゃいますか？

>>84
まあNOKIAの安いモデル買うのと大して変わりないかも。
VRRPの代わりにRainWall入れたってとこですかな。

>>85

とりあえずログみておかしなところでDropしてないか確認したら？

>>86
なるほど、価格的にはそんな感じですね。

性能はNOKIAよりも良さげな印象を受けているんですが、
まだあんまり売れてないんですかね〜。

>>85
NGはFPいくつ？　HotFixは当たっているのか？
あと87の言うようにログだね。
SpoofingなのかClean-upルールに引っかかってDropなのか、
Out-of-Stateなのか、はたまたAcceptなのか(笑
Webアプリケーション側やDB側のログは確認してみた？

…例のSmartDeffenceが織り成す不思議現象かもな。

>>88
まあなんだかんだ言ってカタログ性能より実績かと。
NOKIAはIP SwitchingにIP Clusteringという独自技術もあるしな。
どっちも買収したIpsilon NetworksとNetwork Alchemyの技術だそうだが。
IPSO3.7公開を待ってIP350買うべし。3.5.1FCSxはいまいちだから。
と、NOKIAの手先っぽい漏れなら推奨するわけですが。

　　　　　　　　　　∧＿∧
　　　 ∧＿∧ 　（´<_｀ 　）　兄者、日曜日なのに営業必死だな。
　　　（　´_ゝ`）　/　　 ⌒i
　　 ／　　　＼　 　　　|　|
　　/　　 　/￣￣￣￣/　|
＿_(__ﾆつ/　 DMZ　 / .| .|＿＿＿＿
　　　 ＼/＿＿＿＿/　（u　⊃

>>87
>>89
早速ログを確認してみました。
（言われるまで見ていないところが厨マルダシですが）

すると、
th_flags: 18;message_info: TCP packet out of state
PolicyName Standard
なるエラーがずらーーーーっと。なんじゃこりゃ？
テスト期間だったので、SrcもDstもぜーんぶAcceptにしっぱなしだった
のですが、これが問題なんでしょうか？
厨に救いの手をｷﾎﾞﾝﾇ

>>90

ほれ。
ここはサポセンじゃないんで、ヒントだけ。

ttps://support.checkpoint.com/public/idsearch.jsp?id=sk14316&QueryText=%28%28tcp+AND+packet+AND+out+AND+of+AND+state%29%29&resultStart=1

保守入っているなら、問い合わせりゃ即答えてくれそうなログですな。
自称厨は叩かれるので、がんばって勉強してから出直してください。

ずばり、tcpセッションタイムアウトです。

　　　　　　　　　　∧＿∧
　　　 ∧＿∧ 　（´<_｀;　）　兄者は真顔で嘘言うからな。最近顧客に不評だぞ。
　　　（　´_ゝ`）　/　　 ⌒i
　　 ／　　　＼　 　　　|　|
　　/　　 　/￣￣￣￣/　|
＿_(__ﾆつ/　S-box　/ .| .|＿＿＿＿
　　　 ＼/＿＿＿＿/　（u　⊃

>>91
>>92
むー、情報ｻﾝｸｿ。
つーことは、Firewall-1でDB-WebAP鯖間のコネクション
プーリングをしようとおもたら、SessionTimeoutの時間内に
コネクションの張り直しをしなくちゃいけないということで
しょうか？
こういう構成って一般的だと思うんですが、みなさんどうやって
解決してるんでしょうか？

http://www2.leverage.jp/start/

（＾＾）

良ｽﾚage

>>93

ちゃんとサポートに問い合わせた?

Grobal Propaties>>Stateful InspectionでOut of Stateのチェックをはずすか、
使用するポートが限られているのなら、そのサービスオブジェクトのプロパティ>>Advacedで
セッションタイムアウト時間を長く取るかすればいいんじゃないの？

ただし、この操作がどういう結果をもたらすかはちゃんと調べてからやらないと
場合によっては問題になることがあるかもね。
そこは自己責任で。

NGさわる事になりそうです。Solaris 上でですが。
板／スレ違いっぽいですが、詳しい方が多そうなので質問します。

皆さん、ファイアウォールのテストにはどんなツール使われていますか？
pen-test ML に丁度それらしいスレッドがあったので眺めていたんですが
firewalk
ftester
filterrules
nemesis 等、色々あるみたいですね。
今まで私は、hping 使ってました・・・。

ところで、Firewall Informer って日本でも買えるんでしょうか？
$5,000 というのが微妙ですが。

何をどうテストしたいのかによっても変わってきますね。
厨な質問してすいません。

　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

ちょっと質問です。
こちら側がVPN-1/NG、対向がNetscreenやYAMAHA RTX1000といった環境で
インターネットVPNを張りたいのですが、実現出来た方っていらっしゃいます？

http://homepage.mac.com/ayaya16/

>101

Netscreenとのつなぎ方ならここにあります。

https://support.checkpoint.com/public/idsearch.jsp?id=55.0.4222079.2607206&top=1&TopTen=true

Check Point製品等の一般的なIPsec相互接続設定の資料はここにもあります。

http://www.vpnc.org/InteropProfiles/

まあ、設定すればたいていのものはつながるから「実現」は簡単だろうけど、使えるかどうかは別問題。

どのぐらい使えるかは実構成のさまざまな状況を想定して検証してみないと。

私としては、IPsecで異機種接続の案件があったらとりあえず逃げの一手。半年後ぐらいに「月に一・二回切れる」とか言われて途方に暮れるのがいつものパターン。

>>93

IBM DB2/AS 400とかだったりしません？ DB。

MS SQLのODBCとかOracleとかだとクエリーごとにTCPを張り直すっぽいのでそういう話はあまり聞かない。DBの中身はあんまし詳しく内のでよくわからないのですが。

AS 400のTCP実装はUNIXとかWindowsとかにくらべてお行儀が悪い気がする。out of state関連の問題の近所にだいたいAS 400やTCP/IPに移植された元SNAアプリの影ありという気がする。

通信の必要が発生したときにコネクションを張って通信が終わったらコネクションを終了するというのがふつうのTCPだと思う。FTPやHTTPはまさにそう。

SNAみたいに常時通信路を保持するようなもの前提としたアプリケーションをTCPに持ってくるとちょっと毛色の違うものになる。

意図した通信が定常的にout of stateで阻止される状況というのはCheck PointのStateful Inspectionが想定しているTCPの動きではないということなのだとメーカーに近い人は言っていた。

まあ、現実にそういうものがあるんだから、もう少しいい機能をつけてくれてもいいと思うが。keep aliveみたいな仕組みとか。

>>103

おおお！禿ｻﾝｸｽｺ!
サポートに聞いても「できません」の一点張りだったので、あきらめかけてますた。
確かに使えるかどうか別問題、ってのはあるよね。
この前もNetscreenとCenturyのXRで謎のIPsec切断が相次いで、はまりかけたよ。
検証が大事だというのは禿同。それでもトライしちゃう俺。

IP350(NG FP2) + SmartCenterを構築してて、
SmartCenter〜IP350が通信可能になった直後、
うっかりDashBoardを入れたPCからのアクセス以外
全て拒否のポリシーを入れてしまい、
以降まったく何もできなくなってしまいました。
IP350に入ってコマンドでポリシーいじろうとしても、
「管理サーバじゃないからダメ」とか言われるし・・・・。
手っ取り早く元に戻すにはどうすればよいでしょ？

>106
fw unloadlocal

コマンドでポリシーいじるって？
dbedit？

>107
ありがとうございました。できました。
ポリシーいじるというか、同じように
アンロードしようとしてたのですが、
target指定無＝localhostと思い込んでて、単に
fw unload
とだけ打ってはじかれていたという・・・・。
「This is not a Management system. Aborting.」とか
言われたので、SmartCenterからじゃないと
操作できんのか??と思ってしまいました。
お騒がせいたしました。

IPSOのCLI over HTTPって使っている人いる？
要はclishのことなのだろうか・・・

>108

ん。そか。
fw unloadだとfwm unloadだから、GUI上からPolicy uninstallしてるのと同じだよ。
つまりfw loadとかfw unloadとかって、意図に反してfwm側（Management Server）側のコマンドなのねん。

あげとかないと。

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

FW-1を通してTELNETを使ってるけど
かならず、時間が経つとコネクションが切れる
（固まる！！）これはなぜ？

FW-1を通してhttp://pc.2ch.net/test/read.cgi/sec/1044552574/を見てるけど
かならず、山崎渉がいる！
（しかもJR山崎駅（＾＾））これはなぜ？

>>113

>>11 ←これ読みましたか？（また別の問題かな？）

Application Intelligenceあげ。
そんな新機能誰も使わねーっていう自虐ネタなのか、
CheckPoint Japanの営業はバグフィクスを強調していたさ。
…じゃあFP3まではなんだったのよ。
つーかなんでHFA308をHoiFix-2として公開しなかったのよ。

HFA-310リリース上げ

FP3 HF3を激しくキボンヌ。中途半端なパッチばっかり出すな。

>>117
HFA-310は自分で調べるとして・・・
名前のFP4は？
もうリリース予定とかあるんでしょか。

　
ごぶさたしております、1 でございます。
先週あたりから急に暑くなって参りましたが、皆さんいかがお過ごしでしょうか。

ここは、サポートセンター状態が続いておりましたので ROM っておりました。
FireWall-1 を使用しているということは、どこぞの会社なりと保守契約されて
いると認識しておりますが、該当しない方や、使えないサポセンが多いという
ことなのでしょうか。

>>116さん >>117(FP4)さん >>118さん

ようやく FP3 Hotfix-3 こと!? FP4 こと!?
「FireWall-1 NG with Application Intelligence」がリリースされますね。

詳細はオフィシャルホームページを参照していただくとして、素の FP3 での
VPN 通信の安定性が・・・でしたので、今回の FW-1 NG 通称 AI (FP4) で
そこらへんの bugfix が完了して、安定していることを祈るばかりですねぇ。

あと、Motif GUI も・・・
使わなきゃよい話なのですが、使われている方が多いようですので（とおい目）
ベータ版でテストしている限りでは、Motif GUI の安定度は UP しているように
見受けられますが、Motif な環境の皆さんのお手元ではいかがでしょうか？

それでは、また、対 FW-1 NG AI 用 Hotfix-1 リリースにてお会いしましょう！

＞それでは、また、対 FW-1 NG AI 用 Hotfix-1 リリースにてお会いしましょう！
自虐ネタでつか。
HFAにもならない内緒のパッチ出すのやめてください。おながいします。
っていうかバグ隠し過ぎでつ。

　
>120 csp さん

自分は、決して！！開発元の人間ではありませんので、我慢の限界を超えたバグ
オンパレード春の祭典！といった感じに怒り心頭なので、ツッコンでみた結果の
一文とお考えいただければ幸いです。

SecureKnowledge でも、去年から調査中などなどといった未解決の現象が見受け
られますが、ようやくカタチになってきたので FP シリーズから脱却した名前を
つけて、ちょっと胸を張って売れるぞ！売りたいぞ！といった気概を感じます。

と、全然フォローになっておりませんが（苦笑）、まぁ AI のメディアをプレス
してしまったと思われる時点以降にも bug らしき現象が見つかっているようです
ので、FW-1 NG AI Hotfix-1 もしくは AI HFA がリリースされるのは定説かと
思いますが・・・ 果たして真相やいかに！？

話は変わりまして、ビデオ会議システムを導入されている環境に NG (FP3) を
設置すると TCP out of state に遭遇している方が少なからずいらっしゃるよう
なのですが、そんなに変わったパケットを投げているのでしょうか。

どなたか、パケットを拾われた方がいらっしゃいましたらお教えくださいませ。
m(_ _)m

http://homepage.mac.com/hiroyuki43/hankaku02.html

http://homepage.mac.com/yuuka20/

>121

それ、HFA-310でどうでつかね？
H.323関連は正直うざいでつ。
詳細は省きますがキャプチャしてみると笑えます。
ありえないってくらい挙動不審。

　
>> 124 さん

わたしが聞いた限りでは、例えばですが、まったく同じ Source port からほぼ
同時に SYN が送られていたりしまして、なんかもうとても TCP/IP 的に悲しく
なる挙動をしているアプリケーションがありました。

なので HFA-310 を適用といいますよりも、TCP session/end timeout あたりを
『こんなに短くても大丈夫ダスか？（滝汗）』といった程に、調整して対処した
ような、しなかったような・・・

ところで、H.323 関連と言えば Netmeeting でも利用されておりますので、
Gatekeeper/Gateway 無しの環境の中、Netmeeting がインストールされた端末
同士で直接 VoIP を実施する検証を行いましたところ、片方だけ聞こえたりと
いった結果に終わってしまいました。(;^_^A

検証環境が、ひょっとしたら FP2 だったかもしれない点と、忙しいときの余暇を
利用しての一発特攻検証だったものですから、パケットの採取は行えませんでした
ので断定は出来ませんが、『そもそもなぜに VoIP で TCP なんだ？ SIP が利用
されている製品を使いませう・・・』と、感じさせる検証結果でした。

まぁ、上のは一例ですが、実のところは利用しているアプリケーションにこそ問題が
あるにも関わらず、FireWall-1 がワルモノにされることが多々ある（まぁ、bug が
原因の障害が少なからずあるのも事実ですが・・・）ことが、FireWall-1 の哀愁を
さらに Level up させているような気がしてならない、今日このごろです。

「End Timeoutを○○秒にしたら繋がりました！」
とか、後味悪いよね。解決した気にならない。
TCP/UDP/ICMPのセッションテーブルの保持期間縮めるとかもそう。
「5秒までしか縮まんねーよ…。だからそういう感じの運用でお願い」とか。
こんなんチューニングとは言わん（笑
客先でout of stateのロギング外したりしてるの見るのも、そこはかとなく悲哀。

ver4.0からNGにしようと思ってるんだけど、
4.0→4.1→NGって経緯を辿るのが良いのかな？
ちなみにDQNなIP330です。

☆クリックで救える○マ○コがあるらしい！！☆
http://yahooo.s2.x-beat.com/linkvp/linkvp.html

http://homepage.mac.com/norika27/

4.0の頃の330だとメモリ64Mbyteだったりしませんか？NGはアプリとして重いので最低256は欲しいです。それでもポリシーコンパイルとか激重。確か128Mbyte未満のメモリだとまともにサポートされてないはず。

現状だと、いったん4.1SP6+IPSO3.5まであげた後pre_upgrade_verifier実行して設定の微調整をした後NG FP3をcomprehensive install wrapperでバージョンアップするのがおすすめ。アップグレードパスは各バージョンのリリースノートを確認すること。

シンプルなフィルター設定だけだと手順通りにバージョンアップできると思うけど、VPNとか認証ルールとか外部アプリとの連携とか二重化とかあるなら、素人は手を出さない方がよい。悪いことは言わない。
あと、ユーザー定義のサービスオブジェクトが多いときはバージョンアップ後「match for any」に注意。

今4.0で運用してるんならアップグレードする動機に欠けないかい？
今月末で4.1のサポート切れなんで、4.1からの駆け込み移行なら分かるんだが。

もっとも、今の時点で4.1からアップグレードしてないユーザは、
あんまりタイムリミットに間に合わす気もないようだ。
SIer的にはどうなんだろうね。
どうせ枯れてるからってことで独自サポートしてくのかな？

>>131

新しいプロトコルを通したり、新しい設定をがんがん追加したりする予定が無く安定して動いているなら、4.1で運用を続ける方がNGにバージョンアップするよりリスクが低いと思う。

SIerも未知の不具合でもなければ4.1の質問に答えるのでは？NGへのアップグレードの難しさは骨身にしみているだろうし。

先頃リリースされた「Application Intelligence」のほうがFP3よりもアップグレード時の設定コンバートの問題が改良されてそう。何せ、新機能いろいろあるけどCP Japanは「一番のウリはBugFix、数百単位のバグを治した」って吹いて回っているらしいし。

NT 4.0のサポート期限迫っているからといって、あわててActive Directryに移行したり、Windows2000へのアップグレードインストールするか？っていう命題に例えて説明すると共感してくれる人多し。

あぼーん

>>132

まあ、そうなんだろうね。VoIPでも使う気にならなければ…

しかし新機能は、某問題から国内では運用に支障がありそうだ。
「Application Intelligence」を大々的に売りにはできまい。
バグフィクスって言ってるのも苦肉の策なような気がするよ。
「今度のは安定版です！」なんて、FP2のときも3のときも言ってたよ。
NTの例えはいい例えだね。

ハァ？　お客様、4.1はもう金輪際サポートしませんが何か？
　　　　　　　　　　∧＿∧
　　　 ∧＿∧ 　（´<_｀ 　）　OK。アップグレード見積りFAX中。
　　　（　´_ゝ`）　/　　 ⌒i
　　 ／　　　＼　 　　　|　|
　　/　　 　/￣￣￣￣/　|
＿_(__ﾆつ/　SIer　 / .| .|＿＿＿＿
　　　 ＼/＿＿＿＿/　（u　⊃


…なんて言えないよな。
少なくともスポット対応は求められるし、せざるを得ないんだろうな。

　
>> このスレッドをご覧になっている AI な皆々様へ

AI で SmartDefense を Update する際にアカウントの入力を求められますが、
わたしの AI 環境では、有効なはずのアカウントを入力しても弾かれました。
特に、Motif GUI 上からの Update は『なんじゃこりゃ!?』と思いましたので、
皆々様の検証環境での結果をお教えいただけましたら幸いです。

AIなんてまだ手に入ってねーＹｏ！ヽ(`Д´)ﾉ
うぅ、テストしてみたい・・・

　
>> 136 さん

CCSx チックなアカウントがあれば、公式サイトからダウンロードできると
思うのですが、いかがでしょうか？


ところで、 >>135 で検証しておりました SmartDefense の Update は、
何とか有効なアカウントを使うことで弾かれないようになりました。
Motif GUI では試しませんでしたが・・・

というか、もういらないでしょ、Motif 版 GUI。

FP3からSolaris8とか9しか対応してないんだよね
もう次のハードはSun系列止めようと思ってる

うーん。IPSO3.7待ちなんだけど3.6FCS7とか出ちゃってるし、まだだめぽ？
Solaris9で入れてみるかな、AI。。。

　
FireWall-1 のサポートプラットフォームとして AIX と HP は風前のともし火
ですねぇ。IPSO、Solaris、Linux、Windows がメインなんでしょうけれども、
SecurePlatform のシンプルさも、まぁそれはそれでイイかと思う午後でした。

AI にて、SmartView Tracker に出力されるログの表示に凝っている場合でなく、
bugfix に専念してくれ・・・ とも思った午後でした。

それではまた、FireWall-1 NG with AI HFA-401 にてお会いしましょう♪

HFA-313あげ。どこまで続くんだろう、この戦争。。。

VPN Firewall-1 V4.1を使用しております。

たまに次のようなエラーメッセージがLinuxのログイン画面に現れるのですが。

FW-1:lost 40 debug messages
FW-1:too many internal hosts(68)detected(172.*.*.*,192.168.*.*,......)
IPアドレスには内外のものがずらずらと。。

これ何を意味しているものなのでしょうか？

それはライセンスオーバーの表示です。
サイト規模に応じた適切なライセンス買ってね。おながいします。

たしかそれ出るとポリシーの変更できなくなるんだっけ？

>144

できるよ。
単に、このMSGのログ出力に処理が食われて
通信が重くなり、、ポリシーエディターの接続が切れたりするだけ。。

ライセンスオーバーしたつもりでなくても、、（実際にしてなくても）
少ないライセンスの際に、保守業者のエンジニアなどが、入れ替わり
立ち代りノートパソコンなどをつないだりしていると、、、
MACアドレス学習により、ライセンスオーバーになったりします。

当然、社員が持ち込みノートを使う場合も注意が必要です。
（機種変更などがあったりした際も注意）

これまで問題なくて、突然発生したなら、上記原因にあてはまっているか
どうか確認してください

HFA-313???まだ見ぬパッチ。FP3のHFA戦争はHotfix-3のリリースとともに集結す・・・なんて日はくるんだろか？ 4.1 SP6+Hotfixでまったりしていた方がいいような気もする。

>>142

V4.1のどっかのビルドでライセンスを数え間違えるバグがあったような。

192.168.1.1ってアドレスがあったら、1.1.168.192っていうアドレスもなぜかカウントされてダブルカウントになるって言うすばらしいやつ。

数え間違えて無くてもAPIPAの169.254.xxx.xxxとかいっぱいあるかも。DHCPに注意。

消し方

http://www.phoneboy.com/fom-serve/cache/43.html

>>145

MACアドレスって学習するんでしたっけ。IPアドレスベースだったと思いますが。

もちろんGWを通過するかどうかにかかわらずブロードキャストでも何でも数えます。

Firewall-1のOutboundについて
VPN Firewall-1 V4.1 Build41862を使用しております。
Firewallが外部にOutbound6月以降たまにRule0でOutboundするようになってしまいました。

OutBound時の抜粋です。宛先IPアドレス、ポートには統一性がありません。

Action,Service,Source,Destination,Rule,Source_Port

socks
------------------------------------------
reject, socks, 211.197.*.*, FW, 17, 3662
accept, 3662, FW, 211.197.*.*, 0, socks
reject, socks, 211.197.*.*, Web, 17, 3667
reject, socks, 211.197.*.*, Web2, 17, 3693


SSH
-----------------------------------------
reject, SSH, 12.42.*.*, Web, 17, 4002
reject, SSH, 12.42.*.*, FW, 17, 4001
reject, SSH, 12.42.*.*, Web2, 17, 4003
drop, 4003, Web2, 12.42.*.*, 0, SSH
accept, 4001, FW, 12.42.*.*, 0, SSH
drop, 4002, Web, 12.42.*.*, 0, SSH


これらは何が原因でしょうか？対処法などあれば教えていただけませんでしょうか。

一度routedを起動してからこの現象が起こっています。
すぐに停止したあともおこっております。

>>143
有難うございました。ライセンスの数もクライアント数も把握できてないもので・・・

そういうのは保守に投げや。細かい情報が出せない時点で切り分け無理だしね。

SecuRemote for Redhat Linux と IPSO3.7&AIリリースあげ

http://www.k-514.com/sample/sample.html
拾ったサンプルムービー集めたよ

>149
>VPN Firewall-1 V4.1 Build41862を使用しております。

もうこの時点で保守にRejectされる

>>147

そのテキストで貼り付けたログにタイムスタンプをつけて貼って頂くと説明ができそうな気がします。

>>150

SecuRemote for 赤帽など、トラブったらサポート窓口が切り分けできるのかと問いつめたい。

さて、とうとうv4.1のサポートが終了なわけだが。

保守に入ってるのかどうか知らなかったのですが、どうやら入ってたようなので
保守に投げてみました。

>>153

タイムスタンプ付のものです。前後のアクセスは同時刻です。

socks
--------------------------------------------------------------------------

"14Jun2003" "10:23:25" "eth0" "reject" "socks" "211.*.*.209" "Firewall" "tcp" "17" "3662"
"14Jun2003" "10:23:25" "eth0" "accept" "3662" "Firewall" "211.*.*.209" "tcp" "0" "socks"
"14Jun2003" "10:23:25" "eth0" "reject" "socks" "211.*.*.209" "Web1" "tcp" "17" "3667"
"14Jun2003" "10:23:25" "eth0" "reject" "socks" "211.*.*.209" "Web2" "tcp" "17" "3693"


SSH
--------------------------------------------------------------------------

"23Jun2003" " 6:53:34" "eth0" "reject" "SSH" "12.*.*.51" "Web" "tcp" "17" "4002"
"23Jun2003" " 6:53:34" "eth0" "reject" "SSH" "12.*.*.51" "Firewall" "tcp" "17" "4001"
"23Jun2003" " 6:53:34" "eth0" "reject" "SSH" "12.*.*.51" "Web2" "tcp" "17" "4003"
"23Jun2003" " 6:53:34" "eth0" "drop" "4003" "Web2" "12.*.*.51" "tcp" "0" "SSH"
"23Jun2003" " 6:53:34" "eth0" "accept" "4001" "Firewall" "12.*.*.51" "tcp" "0" "SSH"
"23Jun2003" " 6:53:34" "eth0" "drop" "4002" "Web" "12.*.*.51" "tcp" "0" "SSH"

>>154
サポート終了マヂですか！サポート活用しようと思った矢先に・・・

　
おぃおぃ、HFA-315 を見かけたぞ！
いったいぜんたい、FP3 はなんなんだか・・・ ┓( ´ー`)┏

>>156

HFA-315っすか・・・今のタイミングでHotfixってことはApplication InteligenceことR54ことFP4で修正された内容に含まれているのでしょうか？その段階で既知とかならいいのですが。

4.1のサポートが切れた今、安定バージョンはどれ？

>>155

難しいな、これ。

同時刻ってことは・・・、なんだろ。

Rule 0だと理由によっては"Info"欄に"Unknown Established TCP packet"って表示されたりしますが・・・"Info"欄が空欄であればたいていはAntiSpoofing系の理由ですが。

NATはしてますか？ Ver 4.1とNATとAntiSpoofingを組み合わせるとたまにNATパケットがAntiSpoofingで落とされたりしますが。NATやAntiSpoofingは有効ですか？

PropertyのLog Inplied Rulesが有効で"FireWall"をソースとするパケットがacceptされているのは、PropertyのGW自身からのパケットをすべて許可というルールのせいで許可されているのかもしれません。

あとは、サポートが親身になってくれればいいですが、7月になったので「4.1はサポート外」の一言でRejectされるかも。

>>157

ありがとうございます。

FirewallからのOutboudで
acceptされてるInfo欄は"len 40"などが記載されております。


Web、Web2サーバーからのOutboundは
dropされInfo欄は"unknown established TCP packet"
NATは有効になっております。


AntiSpoofingの設定は
Valid Addresses :Any
Spoof Tracking :none
ですので、して無いようです。
（してないのも問題のようですが、DMZもある為変更していいものかどうか。）


Log Inplied Rulesは有効です。

Implied Rulesは今まで目にすることが無かったのですが
表示させたところ、それらしきルールがありました。

Source / Destination / Service / Action / Install On / Comment
FW1 Module / Any / Any / accept / Gateways / Enable Outgoing Packets

このルールが怪しいですかね？

PS.サポートからは未だに回答が無いです。。。

PropertyのGW自身からのパケットをすべて許可というルールを昨日に止めました。
直後はWebページの閲覧も出来てこれでOKと思ってたら、
今日Webページが見れなくなってしまいますた。
FirewallにDNSが入っているため名前解決ができない状況に。
月曜日に元に戻さないと。

OutboudはSP4のままだから原因なのかと思ったり。

　
>>142 さん =147=148=155=158=159=つづくのでせぅか・・・（滝汗）

"unknown established TCP packet" のログが今も出力されているようでしたら、
サポート会社へ、SecureKnowledge の以下の Solution ID 番号の情報を教えて
欲しいと要望してみてはいかがでしょうか。

skI1789 / skI1788 / sk4176 / sk3000 / 55.0.6310295.2660516 / skI4308
/ sk8148 / sk8154 / sk11648 / 10043.0.10118518.2853110

この内のどれかが、142さんの環境で発生している解決策として引っかかることを
祈っております。

ところで、このスレッドには、FireWall-1 に詳しい方、実際にサポートや SI業を
営んでいる方が数人いらっしゃるようで、おやさしい方々も多く、対応されている
ようですが、FireWall-1 について本格的な運用や技術に関する討論をしたくこの
スレッドを立てた次第 >>1 ですので、サポートをお受けになりたいようでしたら、
このスレッドとは別に、「FireWall-1 サポート専用スレッド」を立てていただけ
ればよいかと思いますが、いかがでしょうか？

当スレッドが、サポートに関するやり取りで埋まっていく状況を見ておりますと、
個人的にモノ悲しくなって参りますので、差し出がましく勝手な意見で恐縮では
ありますが、ご理解いただければ幸いです。

　
>>153 HFA大好きさん

R54 こと FP4 こと AI と、NG FP3 HFA-最新 を比べると、現時点ではそれぞれ
統合されていない（排他の）関係になっていて、今のところ HFA-最新 の方が
bugfix 率が高いような気がしないでもありません。

NG FP3 で出来るだけウミをさらけ出させて、それらウミを修正して、んでもって、
そうした NG P3 であった不具合と修正した内容などを NG AI に流用して、より
洗練された NG AI 用の Hotfix-1 をリリースする計画があるように思えてなら
ないのですが、本当にそうだったらやれやれですねぇ。┓( ´ー`)┏

>>160
すみません

Firewall-1サポート専用スレッドを立ててみます。

どうでもいいことかもしれませんが、
Provider-1とか、SmartViewReporterとかってまともに使えるんでしょうか？
引き合いがないので検証すらしていませんが、FW-1&VPN-1以外のプロダクト使っているところは見たことないです･･･

あと、IPSO3.7よりIP350 or IP380が対応機種に入りましたね。
IP350 or IP380用のIPSO3.6は出ないのか・・・

>163

ベンダー向け説明会で、CP社自身が、
「Provider-1では皆様にご迷惑をおかけしております」という台詞を
冒頭でのたまって会場が爆笑の渦になる、、

という回答で、どうでしょうか？

　
>> 164 ○anonymous さん

本当にありえそうな話のように思える時点で終わっておりますでしょうか・・・
ネタとしては、悔しいですがおもしろいですね（笑）


それはさておき、CVP Server との連携を試してみて、色んなところがしっくり
いかなかったことってありませんでしょうか？

当方の環境でもうまくいかない、というよりも、正常に回らない原因がさっぱり
分からないことがありまして、どうしてだろうと思っちょりましたら、某 CVP
Server をリリースしている会社のエンジニアが曰く、
「CVP？ ・・・ やめときなさい！」ということで、納得してしまいました。

>165

ネタではなく事実なのですが（滝汗）

CVP?・・・やめときなはれ、、態々使わなくても同様の動作は可能
使うと、トラブル可能性が一桁は上がるから、、、無意味。

>166

ＣＰのセミナー会場での、Provider-1のプレゼンテーションの冒頭の
挨拶で、会場が爆笑したのを、実際に経験した方が、他にもこれを
見ているような気がしますが。。

>>164

納得です。というかやはりそうかという感じですね。

>>165

CVPサーバを導入&VerUpするときは必ずトラブります。
最近はバージョンがあがるたびに退化しているような気さえしてきました。
一度導入すると別のソリューションに変えるのが大変なのでほんとやめたほうが・・・

　
>>166-168 ○anonymousさん、cpwdさん

早速 CVP 関連のお熱いコメントを頂戴いたしまして、ありがとうございます！
同じような悩みを抱える仲間がいると思うだけで、心強くなります！！

書き忘れておりましたが、OPSEC (www.opsec.com) にも曖昧なところがあって、
CVP Server のどのバージョンと、FireWall-1 NG のどの FP との連携が認定
されているのか、といったところが曖昧だったりした記憶があります。

ということで確認の意味を込めて、ついさっき公式 OPSEC サイトで試しに 某 CVP
Server と OPSEC 連携動作が承認されている FireWall-1 のバージョンを検索して
みましたところ、

Certified for use with:
Check Point Next Generation and Check Point 2000

以上のように、NG なら、どのような FP でも AI でも連携が認められているように
読み取れる記載がありましたが、以前にも同じような記載があってよくよく確認して
みると、連携可能な FP がウラで厳格に指定されていたことがありましたので、
この情報もキチンと確認してみたら「実は違うんですよねぇ♪」な〜んてことが
ありそうですねぇ。（とおい目）

それにしても・・・ Provider-1 のはネタじゃなかったのですね（号泣）
その事実を聞きますと、実際に Provider-1 を使って管理している会社さんには、
なんとお声をおかけしてよいものやら。（さらに とおい目）

>169

某H情報システムさんなんかは、Provider-1を導入してしまった
お客様（自分で薦めたから自業自得？）の管理のために
内製プログラムを用意して、さらに専属の管理SEチームが
日々屍モードのようですね

　
>>170 ○anonymous さん

Provider-1 の影に、そんな大変な状況があったのですね！
FireWall-1 の FP レベルを UP する （NG AI をリリースする） 余力があるの
でしたら、既存製品の安定化に注力して欲しいものですねぇ。＞ Check Point社


それはそ〜と、久しぶりに FireWall-1 の技術話ですが（苦笑）、NG AI から
搭載された Storm Center (Module) という、これまたやっかいそうなオマケ
機能ですが、評価された方はいらっしゃいますでしょうか!?

当方の環境で評価いたしましたところ、確かに該当するサイトへのアクセスが
制御されたりして、それなりに働いてくれそうな気もしますが、実際の運用で
正常に機能してくれるのかは『確かめるには恐ろしすぎる!!』といったところ
でしょうか。

ともあれ、NG with AI HFA-401 が早くリリースされますように！

　__∧＿∧_
　|（　　＾＾ ）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

突然ですが初心者です。
試験は講習をうけないと受験できないのでしょうか？
また、どんな資格がありますでしょうか？

>173

これか？　FireWall管理者にとって必須だそうだ。
http://www.tfd.metro.tokyo.jp/sk/

>>174
つまらんよ

どうせおタクっぽいおやじだろうな

>173

　そんな質問してるようでは

１）講習を受けなくては合格できないだろう
２）合格して資格をとっても、何の役にも立たないだろう


　CCSE取ってても、基本ポリシー設計すらまともにできない
エンジニアは山ほどいます。。

　ただしCP社との提携を結ぶために
ライセンス取得者の「数合わせ」には必要とされています。（笑）

　これは、C社とかO社とかのライセンスと同じ方式ですね。

１）試験で儲かる
２）講習会で儲かる
３）サポートは、下請け（提携会社）に任せられるので儲かる
４）いかにも大した資格であるかのようなはったりがエンドユーザに利く（場合がある）
５）その代わり代理店は、自分のところのミスを、メーカが「誤魔化し」に協力してくれる

>>176
良い事尽くめじゃないの。

>177

CP社にとっては、、ね。（笑）
損をするのは、エンドユーザばかりなり。。

ＣＰなんぞてきとーに資格とっとけばよし！
いまのうちがおいしーぞ　おすすめじゃ！

age

>176

５）　が激しく重要だな。

age

まだ4.1使ってるとこどれくらいあるの？

　　　 　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　 ・３・） (　　＾＾ ） ＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

>>183

結構あります。

>>183

ええ、あげたくてもあげられない所も含め、まだまだあります。

最近リリースされたNG with Application InteligenceのUpgrade Guideを見るとNG FP3以前のCheck Pointからのアップグレードに当たっての技術的な情報提供の杜撰さを感じます。特にVPNな方、これを熟読すればリスクがだいぶ減りますよ。

まあ、全部読んでもやってみなきゃわかんないですが。

実際のところ、ＡＩでもってヤバい目に遭った人、います？
VPNも使ってない、比較的素直な構成なら問題も出ないかな・・・。
ＦＰ３からあげる予定。

勇者発見ーー。
素直な構成ならさすがに問題は出ないでしょ。たぶん・・・。

漏れとしてはセキュリティサーバ使用時の動作レポートを希望。

セキュアプラットフォーム使っているところ見たことないが、
特に問題なく動いているんだろうか・・・

>>189
わりかし動いてるんじゃない。知らんけど。
それより ClusterXL で負荷分散とか運用している奴いないのか。
まともに動けば面白そうなんだが。

>>187

素直な構成なら、あんまし問題出ないと思いますが、AIリリース以後に出たHFA-31Xの修正項目にはAIでは未修整(パッチもなし)というのがあるらしいです。

あたしはAI用Hotfix待ち。

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

156-210.3 Check Point Certified Security Administrator vNG
156-210.4 Check Point Certified Security Administrator NG, Management I

この２つってどう違うのでしょうか？
Managementは英語のみだけど英語はそこそこできるのでどちらかを受けたいのですが
内容の違いをおしえていただけますか？

もうＳＰ３になったの？？？

>>189
評価版が自宅で動いていますが、特に問題なさげです。
ただ、どういうわけか、IPSpoofingの設定でInternalが
グレイアウトしています。ライセンスの問題か漏れの設定がﾄﾞｷｭｿなのか･･･。

>>193
156-210.3はCCSA FP3コース。156-210.4はAIで英語のみ。

autoARP機能って信用して良い？

>196

auto何チャラって、信用できるものってあるの？

>>197
愚問だったね。すまん

NOKIA + NG AI & 冗長化構成で一部不具合が発生している模様。
おとなしくHF待つか・・・

>>199
なんだろうねぇ、
この「あ〜、やっぱりね」感は...。
扱う前は「こんだけ高いのになんだそりゃ！？」って感じだったけど、
もう、最近は普通に感じるよ。

>>199
その構成で、telnetとICMPだけがNATで上手く通らないという現象にあいますた。
で、グローバルアドレス"だけ"を付けたobjectを作り、そいつをルールに
登録すると動きました。
他のhttpやsmtpはちゃんと通ったのに、納得がいきませんでした。

>>201

NATルールにそのオブジェクト入れたの?

>>202
そのオブジェクトというのは、グローバルアドレスだけをつけたobjectですね？
それは入れていません。
オブジェクトを作る際に、自動NATでNATルールができますよね？
次にPolicyルールを作成して、サービスにhttp,smtp,telnetを入れたのですよ。
そしたら、telnetだけが通らない。
# 全部通らないのだったら納得できるのですがね。
仕方ないので、グローバルアドレスを付けたobject(ServerA)を作って
Any →　ServerA　telnet accept
というルールを作ったら動いたわけです。
ただ、この現象がAI+NOKIA+HAの構成でのみ起こる現象かどうかはわかりません。

>>203

冗長構成でAutomatic ARPを使っているなら、仕様でまともに動かないとおもうんだけど、
つかってないよね？
ほかのサービスがOKだから問題はないか・・・

保全

この前CCSAを取り、ロゴのダウンロードをしたのですが、
CCMSEのロゴのページにアクセスできちゃいますた・・・。
もらっても、いいのだろうか？（藁

ロゴなんてあるの？どこでダウンロードするか教えてくれ！

>>207
ttp://www.checkpoint.com/services/index.html
の
Certified Professionals Only
です。
ユーザー名とパスワードはCP社から送られてきているはずです。

>208
どーもありがとう！

　
戦いつかれて、ご無沙汰の 1 でございます。

FireWall-1 NG AI でも、やはり HFA-401 がリリースされちまったわけですが、
HFA-3xx のリリースノートのバグフィックス欄を見返すたびに、FP3 で一所懸命
設定個所を見直したりしていた時間を返して欲しいものですね。いやはや...

それはさておき、ちまたではそろそろ NG AI へ移行する流れも見えてきたよう
でして、そこで皆さんに、「使ってみたい NG AI のこんな新機能！」といった
ところを伺いたく、同時に「この機能は使ったらかなりマズそうだよ AI！」と
いったところも討論してみたく思いますが、いかがでしょうか!?

それでは、言い出しっぺのわたしから参ります。

Stormなんちゃら〜という SmartDefense の一機能らしいのですが、この実用性と
その一方、『本当にちゃんと動くんだろうね？実際はどんな情報がやり取りされる
のかね？他の機能へ負荷（影響）はどのくらいかかるものなのかね？そもそもバグ
は含んではいないだろうね、まさかとは思うが...そのあたりハッキリとしてくれ
なければ困るよ、オッホン！』といった、上司やお客様からの攻撃には弱そうな
ところなど、『どうなんだよ、Stormなんちゃら〜機能！お前は大丈夫なのかよ！』
といったところを、わたしは小一時間問い詰めたくなります。ハイ。

一応、動くことは動き、適切なスキャンもしてくれることを確認してみたのですが、
『実環境へこれを導入しよう！』といった勇気はわたしにはありませんので、導入
された方がいらっしゃいましたら、感想を聞かせていただければ嬉しい限りです！

どなたかNOKIAのIP-120を工場出荷時に戻す
方法をしりませんか？裏にresetボタンはあるのですが
いろいろ試したのですが、うまくいきません。

SmartDefenseってなんでしょうか？
おしえてくださいませ。

ポリシーエディタの機能とかでしょうか？

HFA317がリリースされた模様。
Sofaの新HWも出たね。

>> 213

HFA-317は夏からあったと思うが。

http://blog.phoneboy.com/

によるとHFA-318/HFA-401が存在するらしいがCSPじゃないしまだ見たことない。

>>211

IPSOの設定初期化はログイン後/config/activeっていうシンボリックリンクを削除してリブート。
そもそもパスワードがわからなくてログインできないときは・・・シングルユーザーで立ち上げてごにょごにょでパスワードリカバリ（結構めんどくさい）パスワードリカバリしたいならそう聞いて。

FireWall-1の設定のはVoyagerで一度削除してnewpkgコマンドで入れ直すのが近道。

IP1x0は触ったこと無いけど、resetボタンはただのハードウェアリセットだと思う。

newpkgコマンドの使い方はリリースノートを参照。わかんなかったらサポートに聞くなり、googleするなり。

>>212

メーカーのドキュメント嫁・・・って読んでもわかんないってことだよね。

NG FP3の新機能で、NG AIで機能拡張された。SmartDefence機能自体はFireWall-1のおまけで追加料金なしで使える。
SmartDefenceのSubscriptionを購入すると１年間、新しいSmartDefenceの機能拡張（新しい攻撃パターンなんかが追加されるらしい・買ってないからわからん）をCheck Pointからダウンロードして追加できる。

技術的に言うと

・従来のFireWall-1のState Inspectionでは検査していなかったような条件でのセキュリティー検査
・今までMalicious Attack Detectionと呼ばれていたログイベントに閾値をつけてPort Scanだとかという形でログ記録する機能

前者だと、pingの長さを制限する(FP3ではデフォルトで64byteに制限されているため、はっきり言って迷惑)、80ポートを許可した後httpのURIから*.ida?とかcmd.exeとかが含まれている通信だけをrejectしたりする機能がある。

設定上はkernel処理で有効になる機能とsecurity serverを立てないと有効にならない機能がごっちゃになってる。

上記の例は、kernel処理なので、それほど負荷は上がらない。とはいっても超エンタープライズで使ってみた訳じゃないが。

チェックポイント、低価格のセキュリティアプライアンスを発表
http://enterprise.watch.impress.co.jp/cda/security/2003/10/08/194.html

>>215
> 前者だと、pingの長さを制限する(FP3ではデフォルトで64byteに制限されているため、はっきり言って迷惑)、80ポートを許可した後httpのURIから*.ida?とかcmd.exeとかが含まれている通信だけをrejectしたりする機能がある。
他にはURIが長すぎる場合にreject できたり、fingerprint によるOS推測が
困難になったりいろいろできる。
リアルな環境で使ってみたところ、Webサーバには*.ida とかcmd.exe とか
そういうリクエストのログが出なくなったが、だからといって特別何もない。
パターンを更新して増やせば、プチIDS(侵入検知システム) として
使えるかのもしれないが。VPN やら、HAやら俺の理解を越える付加機能が
多すぎる。何か必死でしょ?最近のFirewall製品。
DROP できればええやん。って思いますけどね。Firewall なんやし。

>>HFA

ありがとうございます。

Cluster構成したIPSOにセキュリティホールだって。

Nokia IP-series appliances running IPSO 3.7 and configured as IP Clusters
may be vulnerable to a Denial of Service (DoS) attack. Customers with
appliances running IPSO 3.7 and IP Clustering should immediately upgrade
the appliances to IPSO 3.7 Build 29 (or later).

>>219
> Cluster構成したIPSOにセキュリティホールだって。
>
> Nokia IP-series appliances running IPSO 3.7 and configured as IP Clusters
> may be vulnerable to a Denial of Service (DoS) attack. Customers with
> appliances running IPSO 3.7 and IP Clustering should immediately upgrade
> the appliances to IPSO 3.7 Build 29 (or later).

IPSO 3.7 が動作しているNokiaのIPシリーズアプライアンスを
クラスター構成で運用している場合に、DoS(サービス拒否)攻撃を
受ける可能性の有る脆弱性が見つかりますた!
使っている香具師はすぐにIPSO 3.7 Build 29(もしくはそれ以降)の
バージョンにうp汁!!

ってことですか?

今までFW-14.1使ってたけど別のSUN Enterprise450に
FW-1NGインストールしました。

・適切IPにてライセンス登録済み
・アクセス権限rootのみ
・ポリシー設定するリモート端末のIP追加

しかしWindows端末からアクセスすると"権限なし"のアラート・・・。
しょーがないから直接SUNでポリシー設定しようとしたが、
前のfwpolicyコマンドが見当たらん・・・。

他のスレから誘導されました。

FW-1 NG FPいくつ?
いずれにせよ、fwpolicy コマンドは無いから
Solaris なら"Administrative Clients" って
パッケージを入れないと駄目。
あと、これを使うには別にライセンスがいると思うよ。

>222
これからFP3を入れようとしているところ。
SolarisのFW1-NGにはVPN/FWとManagement Clientの二つをインストール
したけど、ポリシーエディタの立ち上げコマンドが分からん…。
ちなみにMotifライセンスも持っているが、上記状態で一歩も前に進めん。

頼むからUNIXでのコマンド教えてくれ。

わからないならウニつかうな ぼけぇ

だってwindows無いんだもん、ウチの会社。

同fwpolicyあった、バカくさ・・・。
つーかWindowsのみユーザはやっぱり使い物にならん。

ldd fwpolicy

FireWall-1 4.0の頃に、sync.confを設定後、fw putkeyしてファイアウォール
モジュール間で同期を取っていたんですが、FireWall-1 NG AIは設定方法が
違うのか同期が取れません。

同期周りの設定方法って変更になったのでしょうか。

>229

変更になったよ。
さらに、サポートしている暗号化アルゴリズムも変わったから
注意してね。

しかし、今頃４．０の話が出るとは、、

>>230
同じ様な事をする為には、どの様な設定を行えば良いのでしょうか。

イントラ向けに使用していたファイアウォールなので、あまり問題に
なっていなかったのです。
上記以外にも、バージョンを上げられなかった事情がありまして。

>>231

ここで説明するのは困難なぐらいいろいろあります。かいつまんで流れだけ。

１，構成

Ver 4.1まではModuleとManagementが同居しててもState Syncができましたが、Ver NGからはModuleとManagementが別である必要があります。従って、二重化ゲートウェイとマネージメントサーバの３台のマシンが物理的に必要です。

２，ライセンス

別立てのManagementが必要なので、Internet Gateway/??のノード数制限ライセンスでState Syncを行うことは不可能です。4.0のライセンスならEnterprise Centerライセンスか、Enterprise Management Consoleがライセンスが必要です。

３，設定

ManagementとModule間でSICを確立します。SICとは4.1より前のfw putkeyにかわる新しい認証メカニズムです。
SICを確立した後、Check Point Gateway Objectを二つ設定して、それをCheck Point Cluster Ob jectの一員とします。Check Point Cluster ObjectにSync用のNetwork Addressを設定します。

アップグレード前にpre_upgrade_verifierで確認・・・Ver 4.0から一気に最新版は無理だなぁ。まあ、コンパイルエラーが出たら確認。変だなぁと思ったら確認。

上記の流れを参考にマニュアルを熟読すれば自力でできないこともないでしょうが・・・代理店に手順書もらうなり相談するなりが早いと思います。

>232

4.1SP3の際に、ポリシー設定も変わってしまってるし、、
アップグレードなんてことは考えずに、
ネットワーク仕様を見直して、ポリシー再設計して入力した方が
早いし確実ですよ。

どうしてもアップグレードでやりたかったら、、、
（内容によっては失敗するけど）４回程度バージョンアップと
ポリシーの再コンパイル・修正および、MM/FM間の同期設定
と動作確認が必要になるでしょう。
（現状のＳＰレベル不明なため、正確な回数と手順は書けない）
はっきりいって、手順書作る工数の方が、再設計より大変かも。
（昔、---> 4.1SP6ぐらいまでの段階別バージョンアップ手順書書いてくれた
人がいたけど）

有償なら、ポリシー設計・セットアップ、引き受けてもいいですよ（ｗ

同じセグメント内に2台のFW-1を置いて
片方をデフォルトゲートウェイとして使用しようと思っています。
そこで、有識者の方へ質問なのですが、
2台のFW-1をA、Bとします。
A,BともにインターネットVPNで違う拠点につながっています。
それぞれの拠点をAAとBBとします。
それでセグメント内のデフォルトゲートウェイをAとした場合、
BBへ通信したい場合、AのルーティングテーブルにBBへの通信は
Bへ行くように設定し、FWのルールも明記しておけば
通信はできるのでしょか？それとも
ステートフルインスペクションの問題でドロップされてしまうのでしょうか？
FW-1のバージョンはNGFP3です。よろしくお願いします。

>234
インターネットVPNだと最適経路は網内ルータにお任せなんで
意味ないような気が…。

>234

ICMP redirectionルールの設定(drop/reject)に注意すれば、動くとは思いますが、
遅くなりそうだなぁ。

端末にnetwork route切るのが一番素直。。

VPNアクセラレータが無いFW-1でしょうか？
それだと、死ぬほど遅いですよ。
（NOKIA IP440の時に泣きました。VPNスループット、、ＬＡＮ内直結で
300K以下。。。）

>235

なんか勘違いした回答のような気がしますが。。

>>236
レスありがとうございます。
ICMP redirectionルールの設定はFP３からあるものですか？
それともFP2でも同じように、動くものなのでしょうか？

あとVPNアクセラレーターはないみたいです。
やはり、遅いのですね・・・

>>232
> Check Point Cluster ObjectにSync用のNetwork Addressを設定します。

ここまでは終わったのですが、設定がうまくいっているのか今いちはっきり
しません。

マニュアルを参照しながら、OPSEC Certified なクラスタ製品向けの同期設定
を行ったのですが、例えばパケットをキャプチャしてこのパケットが飛んでいれば
うまくいっているとか、netstatである程度確認できるという話ってありますか？

少なからず、動作的には同期していなさそうです・・・。
外から内へtelnetした状態でフェイルオーバさせて確認しんたんですが、
telnetセッションが固まります(状態が同期されていない為、drop)。

アップグレードは手間が掛かりすぎる為、計画段階でなくなりました。

>237

ICMP redirection Objectは以前からあります。
これで最短経路を通って帰ると、、Stateful Inspectionによって
弾かれてしまうので通信が止まります。

ルーティング設定もかなりややこしい環境のようですので、
ネットワーク図が欲しいところです。

>238

フェイルオーバさせてるそうですが、機種は？？
（IPSOか、それ以外か、、、）
さっきは、別のネットワーク向けとか聞いたような気がしたのですが。
全部で、ＦＷモジュールは何台あるのかなぁ

>>239
Solaris8 + RSF-1で使っていて、FWモジュールは二つ。
Managementは別立てです。

>240

2台で、フェイルオーバーと別ネットワーク向けＶＰＮやってるんですか？
（念のため）

>>241
やっていません。234とは別人です。

234の様な事をする場合、うちだとL3スイッチも買います。

>242

あ、、失礼しました。

未だに事情があって4.1使ってます。

プロバイダからは32個のIPアドレスを付与されているのですが
IPアドレスの付与の仕方が分かりません。

PolicyEditerで新しいオブジェクトを作成してNATの項目にstaticにIPアドレスを割り当て。
外部からのhttpアクセスをaccept


AddressTranslationで既に通信可能な状態のオブジェクトを真似て
外部からのアクセスを可能にし、Policyのインストールを可能にしました。

しかしながら外部からIPじか打ちでアクセスできないのです。

他にする必要項目ってありますでしょうか？

ポリシーをインストールした際に
No licence for encryption
こんな感じのエラー？メッセージがでます。
ライセンスはあるはずなのになぁ。

>>245
ホストルートの設定はされていますか？

>> No licence for encryption
VPNのライセンスを持っていなくて、VPN使っていないなら問題なし。

>>236

NGでICMP redirectはカーネルモジュールのパラメータ変更が必要なはず。ルールだけぢゃだめ。4.1までならルールで許しておけば良かったので、まさにimplied仕様変更って感じ。

とりあえず「"icmp redirect" ng fw-1」でぐぐってみそ。英語のMLのお悩みさんに出会えるぞ。

カーネルパラメーターのいじり方はIPSO版、Solaris版、LINUX版、win32版全部違うから、Solaris版で「modzapって何？」とか思わないように(w

redirectなしだとA側でBB宛をBにルーティングする際のステートフルインスペクションがうまくいかない気がする。

クライアントからBB宛のパケットはA側を通るけれどBBからのリプライパケットはAを通らずにそのままB側からクライアントに転送されるからA側ではBB宛のTCP non-synのAck付きパケットがOut of Stateになると思う。

まあ、236さんのいう通り素直にnetwork route切るのが一番。

>>245

No licence for encryption

このメッセージは「VPN-1ライセンスにアップグレードしてくれなきゃやだやだやだ」と読みます。VPNライセンス料をお布施すればこのメッセージは出なくなります。

236さんのいう通り、バカ高いあくせられ〜たを買わないとパフォーマンスが出ないので、VPNライセンスがありながら実際にはFW機能しか使っていないことが多いという説も。

もっとも最近のGHzクラスのCPU搭載サーバならCPUの力技とAESアルゴリズムの演算効率の良さ(3DESと比べ)で実用レベルのVPNパフォーマンスは期待できまつ。

>>246
ホストルートはどこで設定できるのでしょうか？（汗）

>>248

VPNは使用してないです。これはほっておいてもよさそうですね。
安心しましたです。

>249

> ホストルートはどこで設定できるのでしょうか？（汗）

Unix(Solaris)のマニュアル見てください。
(routingもしくはarp）
もしくは、上位ルータのマニュアル見てください。

お騒がせしてすいません、同期できました。
マニュアル（ClusterXL NG with Application Intelligence）を
よく読んで、cpconfigで
Check Point ClusterXL and State Synchronization
を有効にして再起動後、232さんに教わった設定をかけたところ
動作しました。

8116/udpのパケットがsync用のネットワークアドレスにのみ飛んで、
"cpstat -f sync fw"とフェイルオーバ時に「out of state」が発生しない
事を確認して良しとしました。

>>249
NGにすれば悩まなくて良くなるポイントです。
Automatic〜 が信用できるならですけど。

NGのFP3でosはWindowsNTなのですが
ログファイルのパスをデフォルトから変更ってできるんでしょうか？
ログは消さずにできるだけ保存して置きたいのですが
Ｃドライブに貯まってしまい困っています。
マニュアルみても載っていない様なのですが・・
ご存じの方がおりましたら教えてください。

>>252
定期的にlog switchして移動とかでは駄目なんでしょうか。

>>253
log wsitchではログの保存先のパスを変えられるのですか？
であればDドライブには余裕があるのでそのまま運用できるのですが
あとこれはコマンドプロンプトから入力するんですか？
教えて君で済みませんがお願いします

>>254
log switchしてできたファイルを、自前のバッチとかで
移動させるってことではないかと。

>>246

FW-1 4.1以前でStatic Destination NATをさせるために必要なホストルートとは？

FireWall-1は汎用OSの上で動くため、FireWall-1のアプリケーション上の設定だけでは意図通りの動きをさせられない機能がありました。その代表がStatic Destination NAT(1対1宛先IPアドレス変換)です。

下記は私なりの理解です。厳密には間違っているかもしれませんが、このように思いこんで今まで乗り切ってきました。回りくどい説明をさせてください。

まず、Host Routeが必要となる前段階の処理について

パケットをNICで受け取り、IPヘッダを見てルーティングするか否かを判断するところまではOSの仕事です。通常はNICのMACアドレスと一致する宛先MACアドレスのEthernetフレームのみがIP層に渡されます。

宛先アドレスがI/Fと異なるものを受け取らせるために、NATアドレスに対してI/Fと同じMACでARPを返したり(Proxy ARP),上位のルータでNATアドレス宛のパケットのNext HOPをFW-1のI/FのIPとして設定したりする方法が使われます。

よく、NATアドレスに対してProxy ARPを設定することが絶対必要と思われている方がおられますが、実際にはNATアドレスへのパケットをI/FのMACアドレス宛のEthernetフレームに包んでおくってもらえさえすればいいので、Proxy ARPは必須ではありません。

I/FのMACアドレス宛のフレームから取り出されIPパケットがOSのIPドライバに渡されると、そのパケットを自分で受け取るかルーティングするかを自分自身のルーティングテーブルに照らし合わせて判断します。

これがFireWall-1によるパケット処理より前に行われるというのがポイントです。

宛先アドレス変換対象となるIPアドレスが宛先のパケットはたいていは入ってきたI/Fと同じネットワークに属するため特別な設定をしていなければルーティング対象とならず、FireWall-1のKernel Moduleによる宛先IPアドレスの処理の前に破棄されます。

これを防ぐためにDestination NATを行うFireWall-1がインストールされたOSのルーティングテーブルにはNAT変換前の宛先のパケットはNAT後のアドレスの宛先のあるネットワークに向けて転送するというStatic Routeが必要となります。

>>256
続きです。

たとえば、192.168.1.30宛のパケットを172.16.1.30にNATする場合は192.168.1.30/32→172.16.1.30というようなスタティックルートをFireWall-1が動作するOS上に設定します。

ただし、FireWall-1から見て172.16.1.30が別ネットワークセグメントに属している場合(たとえば172.16.254.254というルータの向こうに存在している場合)は、192.168.1.30/32→172.16.254.254という書き方をします。

NATアドレスが連続的に使用されていれば192.168.1.24/29→172.16.254.254という設定もあり得ます。

このスタティックルートの設定は不自然で気持ち悪いのでほんとにこれでいいのかなと思ってしまいますが、これで正しいのです。

OSがルーティングテーブルに従って、パケットを転送しようと試みるとFireWall-1のKernel moduleがOSからパケットを横取りして好き勝手にIPヘッダを書き換え、NATが行われます。FireWall-1のNATはルータや田のFireWallとは感覚的に変なモノです。

FireWall-1のNATはOSから対象のパケットを渡されさえすればどのようなNATでもできます。I/Fとは全く関係のないIPアドレス間でも自由に書き換えられます。

FW-1に設定するStatic RouteのNEXT HopはNAT後のアドレスと一致する必要はないようです。OSがルーティングを試みさえすれば後はFireWall-1の処理にゆだねられてうまくいくようです。

ただ、Next Hopとして指定されたアドレスがARP応答しない状態だとそのルートはUnreachableとOSに見なされるため、NATにができなくなることもあります。したがって、確実にARPを返してもらう必要はあるでしょう。

ここまでの説明では説明がつかないことがあります。それは、送信元NATをかけた場合のリプライパケットはStatic Routeが無くても戻ってくることです。これは、そういうモノだと割り切ってます。

ちなみにVer NGからはこのような設定は不要になっています。IPSO(NOKIA)でも4.1の後の方のバージョンに対応したバージョンだとStatic RouteなしでもふつうにNATできてしまうバージョンがあります。

>>257
最後に設定例をば

Solarisの設定例

route add host 192.168.1.30 172.16.1.30がスタートアップスクリプトの適切な部分で読み込まれるようにする

Windowsの設定例

route ADD -p 192.168.1.30 172.16.1.30と一発実行しておけばレジストリにスタティックルートが書き込まれるのでリブート後もルート設定が行われる。

IPSO(NOKIA)の設定例
VoyagerのStatic Route設定で192.168.1.30/32 Gateway Address 172.16.1.30とApplyしてSaveしておけばよい。

汎用OSの動作と外付けアプリケーションFireWall-1のせめぎ合い。いやー、FireWall-1って本当、難しいですね。

>>252

Ver 4.1だとReferenceにNT版のディレクトリを指定するためのレジストリKeyが書かれていて、それを変えれば別ドライブにログ記録できたけど、NG FP3にはReferenceがないからなあ・・・

というわけてぐぐってみました。

たぶんこれでいいんでしょう。試してないから、自己責任でやるなりサポートに確認するなり・・・。

http://www.mail-archive.com/[email protected]/msg03036.html

>257

anonymousさんの悩んでいる部分、、説明してあげられるけど、
いま、忙しくてごめんなさい。

＃どうも知っている人のような気がするんですが。
＃業界狭いからなぁ。

50人程度の小さい事務所にFW/VPNを導入
したいのですが先月発表されたアプライアンス
製品では役不足でしょうか？

SonicWall>NetScreen>>>VPN1-Edge>>>>>>>>VPN-1/FireWall-1
の順でおすすめ。

ベンダーに関わらずFWの導入相談スレないですか？

>>263
とりあえずここでいいんじゃない？

>>262

最近SonicWallの事例を周りで聞かないんですけど最近のモデルって結構いいんですか？一時ほどメジャーじゃなくなっている気がしてます。

>>260

まあ、この世界狭いですね。

でも、私はそんなに顔が広くないので別の方と間違われているかもしれません。

>265

>>262

　私も、最近Sonicの事例を見ないので、知りたいです。

>265

　まあ、お互い詮索は無し、ということで。

知っている方がいましたら教えてください。

$FWDIR/logにあるfwd.elgって何のファイルなのでしょうか。
400MBくらいになっているですが。
なんかやばげな雰囲気が。。。

NGのドキュメント読んだらここだけ何も書いていなかった。
資料のありかでもよいのでご助言を。

>>267
エラーログだと思いまつ。

>>261
safe@officeはSMPがないとルールのカスタマイズできません。
VPN-1 EdgeもSmart Center ProもしくはProvider-1が必要かも知れません。
safe@officeはプリセットでルールが３種類入っていますが、ルールの内容は明記されていません。
両者とも単体では自由度がないのでオススメできません。

旧S-Boxはソフトバンクをはじめ、富士通が取り扱っていましたが、
新しいアプライアンスはどこが取り扱うのでしょうか？

>269

Ｍなんちゃらが扱ってる模様です。

>269
>270

自己レスを兼ねて。

その問題があるので、センターでポリシー管理サービスを行い
エッジの機器を、リースで扱っているところが、、、という意味です。
貸し出し＋ポリシー管理・監視・レポーティングサービスで、月額いくらって感じで。

でも、サービス開始してるのかなぁ？まだかな？
宣伝だけ聞いたんだけど。

>>270=271
情報ありがとうございます。
同様のサービスは富士通がS-GUARDとして提供していますね。
管理ツールのSmartCenter Pro Unlimited Gateways /Uが320万円。
クライアントが多いなら買ってしまった方が良いかも知れませんね。
商品提供に関してはVPN-1 Edgeは不明ですが、Safe@officeは12月頃提供らしいです。

話変わりますがVPN-1 SecuRemote NGFP3とNortonInternetSecurity2004が
Windowsのサービス起動時にコンフリクトして、SecuRemoteが起動出来ません。
NIS2004のウィザードのアプリケーションの自動検出でも
VPN-1 SecuRemoteをスルーするようになりました(´･ω･`)

fw age

NOKIA IP350 IPSO3.5.1 FCS6 でファイアーウォールを動かしていますが、
Voyagerから設定できるStatic Routeの数が載ってるドキュメントを
知っている方どなたかいないでしょうか？

ホストルートの設定やっぱり出来ない・・
ホストルートのこと詳しく説明頂いていますが
私の理解を超えてます。

>275

ルーティングの概念が理解できていない場合＞TCP/IPの教科書
ホストルートの設定ができない＞該当ＯＳのマニュアル

参照のこと

あれ？
phoneboyっていつのまに見れなくなったの？

>>275
256以降の内容を読んでも分からないのであれば、
自分で頑張るのは諦めた方が良いのではないでしょうか。

そろそろ新しいバージョンがリリースされるらしいですが、
呼称はどうなるんでしょうね。

>279

NG is not No Good, but Next Generation
だから、次は
DS9かなぁ（笑）

>>280
> DS9かなぁ（笑）
何のリャクデスカ?

>>277
復活したみたいでつね。

>>281
Deep Space 9
Star Trekネタみたいでつ。

>283

どんどん、わけのわからない深みに嵌まり込みそうで、嫌なんですけどね。
バージョンアップする前に、安定させてよ。＞CP
ライセンス価格下げてよ。

新しいライセンス体系わけわからん。
中小企業を取り込もうという意図のようだが、
ある程度の大企業には事実上値上げだよね。

>285

前の改訂のとき、EnterpriseでHA組んでたライセンスを、どう移行させるのかで
頭混乱したのに、、、お金のことは、営業さんに任せておくことにするか。

NG with AI R55 (FP5)出たね。今度こそバグフィックス版？

でも、ISPりだんだんしぃ機能なんてのが付いてる。使えるんだろか？

新ライセンス体系。03・12・19に向け流通の最上流から下流まで大混乱中か？お金のことは営業さんに任せられるけど、必要なライセンスが何かは概要設計の後SEレベルの判断が必要と思う。

だからNetScreenの方が売りやすいって言われるんだ。

>287

>必要なライセンスが何かは概要設計の後SEレベルの判断が必要と思う。

判ってますよ。それどころかバージョンアップの際に追加購入が必要になる
モジュールとか、結局答える羽目になってましたから。

もう知らない、と言いたい。。

> だからNetScreenの方が売りやすいって言われるんだ。

セットアップ・バージョンアップ作業も、こっちの方が楽だからなぁ。
新人に任せられるし。手順書ちゃんと作ってやっても、FW-1の場合、
安心して出せないものねぇ。。（顧客のポリシー全部の検証できんから、
結局トラブルが発生したら出張る用意がいるし）

新規で買う分には新しいライセンス体系はそんなにややこしくないよ。
でもアップグレードはややこしいね。トレードインなんて意味不明、
というか高杉。
漏れ的にはダウングレードでも結構な費用がかかってしまうのががくぶるだけど
今までがおかしかったのかもしれないがな。

設置に関していえば箱物にはかなわないわな。

どうせ買い換えるならNetscreenのほうが簡単なんですよね？
そうなると一からポリシー作り直しになるけど、それほど
Netscreenの方が簡単ですか？

買い替えを検討しているライトユーザならNetscreenとかSonicWALLでいいんじゃない？
一番簡単なのはSonicだけどねぇ。

なぜNetscreenが伸びてるかというと、SI業者が扱いやすいからなのです。たぶん、、、、、、きっと。
クライアントVPNやるなら違うやつの方がいいよ。

ＮＧの評価用ライセンスって無くなったんでしょうか？
「ご購入前のCheckPointソフトウェアは１５日間機能します」
とあるから、この間に色々試せってことかな・・・。

正式ライセンスが来るまでは評価版でつなぐ、なんて
よくやってましたがｗ

>>291
Sonicの製品デモやってみたけど簡単そうですね。
でもパケットの処理が通過 or denyしか選択出来なかったり
デフォルトで登録されてるプロトコルの数が少なかったりで
少々役不足の感じでした。
やぱNETSCREENかな・・

よし、このスレは俺にまかせろ！！
難しいことはわかりません。

>>292
評価用ライセンスあるはずだよ。それに加えて15日間の評価ができるようになった。
CD買えば1ヶ月間×2の評価用ライセンスの権利がある。

>>293
たくさん売れてるし、よいのでは？
・・・とCheckPointスレで言ってしまうのはどうだろうｗ

ちなみに「役不足」の使い方間違ってるよん♪
通じるけどね＾＾

>>294
評価ライセンスってCDケースに貼ってあるKeyをWebで
ほげって取得するってやつっすか？
やり方よくわからないから、15日でカタをつけるか・・・(´Д｀)

>295
日付を戻すというのは無し？

面倒なのでキャップやめました。

>>295
そそ、WEBで取得するやつです。
CD買ったとこに聞いてみるといいよ。

>>296
有り＾＾
設定の確認とか動作検証とかでは日付戻しで十分だよね。たぶん。

時間戻すなららNGからバイオスの時間から戻さにゃならなくなった気が...

>>296-298

NGよりICAのInitializeした日付時刻(つまり最初のcpconfigね)より時間を戻すとCA証明書がValidではないとおこられまつ。評価ライセンスなしの2週間というのはCA証明書の発行日付時刻が基準らしい。CAの有効期間に気をつけながらほどほどに戻すのがポイントです。

FW関連だと時間は余り関係ないですが、VPN関連の動作検証だと時刻を合わせた方が変なはまり方しないです。

私は変なはまり方したくないので外部CAサーバからVPNクライアントまで全部３週間前の日付にしてしまったりします。VPNクライアント検証機は自分のデスクトップと併用だから戻し忘れてメールの日付がずれてｼｮﾎﾞｰｿとかありますけど。

個人的には、一瞬日付をみてﾋﾞｸｰﾘしないようにちょうど一年戻しとかが好きなのですが、NG以降では難しい。

関係ないですが、cpconfigをOSクロックがGMTの設定で実行したあと時刻をそのままにしてJSTに変更すると未来に発行されたCA証明書として認識されて妙な挙動にはまります。まあ、９時間待てば回復しますけど(W

>>299

あとFW-1で時間が関係するといえば、HA構成でstate syncを組んでる場合、
HA（orクラスタ）メンバの時計がズレてるとﾏｽﾞｰですな。
時刻同期は必須かと。

>300

そう、同期が必須なのに、NokiaのNTP回りには泣かされたものでした。
（判る人には判るよね。）
RIP拾っては、バタバタと。。（苦笑）いう質問が良く飛んできたもんです。

NOKIAたんのナレッジ(Resolution 18074)見てたらNGwithAIで広範なメモリリークとの記述が。死？
狙い撃ちでR55出ないのってこれが原因ですか。誰かおせーて。

NG AIなんですけど、
Windows2000 Advanced Server SP3
に入れたらSmartClient用のアカウントが作れない・・・。ヽ(`Д´)ﾉ
（Failed to save the administrator's password!）
ﾘﾘｰｽﾉｰﾄにはSP2までしか無いのは確認済みですが、
チャレンジした人いません？

>303

全然関係無いかも知れないけど、Win2K serverにSP3当てると
Windowsの証明書発行機能(CAサーバ）は、動作しなくなります。
ちゃんとMSのドキュメントに制限事項として書いてあります。

でもパッチを当てないとセキュリティ的には、、

最善の解決策は、プラットホーム変更することだったりしますね。

FW-1のドキュメント類って2万円するらしいのですが
売っているのも見たことないし・・

商品買っても説明書別売りって・・。

別売りドキュメントって買うような内容なのでしょうか？

>305

初めての時は、役立つ部分もある。
でも、すぐ不要になる、、といったところかな。

>>305
> 別売りドキュメントって買うような内容なのでしょうか？

別売りって製本されたやつのこと?
日本語で読みたい時にいいかもなー。
でも、マニュアル無くても分るやつが読まないと
分らないと思う。分らないことがあって必死でマニュアルを
読んだけど、余計に分らなくなったよ。これはあくまでも
俺が感じたことだけど。

phoneboyがﾐﾚﾈ

見れなくなってずいぶん経ちますよね。
まいった。

勉強用に体験版のCDを公式サイトから購入しようと考えているのですが、
CCSXの権限がないとWEBから評価シリアルは取得できないのでしょうか？
仮にそうだとすると15日間は最低使えるという事になるのでしょうか？
https://www.checkpoint.com/GetSecure/MediaEngine?action=MP_OrderStart

>>310
最低でも15日間使えるのは確かです。
評価用ライセンスが普通に発行して貰えるものだと思って
去年オーダーしてしまいました・・・。

>>311
情報ありがとうです。

15日間でも使えればOKですので購入してみます。

>>>308-309
復活の模様
管理者がクリスマス休暇か？　と思っていたらサーバを切り替えたみたいだね

>>312

今のバージョンは再インストールすれば、何回でも15日間使えるよ。設定はやり直しだけどね。

とてもとっつきにくい製品だけどいろいろ機能豊富で奥が深い。

ｶﾞﾑﾊﾞｯﾃ

>>230
えっと・・・これから4.1をインストールしようとしているツワモノが
ここにいますが何か？(ｗ

一度試しにインストールしてみたところ、急に動かなくなりました。
「パケット全部通す設定しかしてないよね？さっきまで元気に動いていたよね君？なんで急に動かなくなるの？」
これから当分の間こんな独り言が続きそうです・・・。
やっぱり、Redhat7.0なんか使ってるのがいけないのかなあ。
SP5のマニュアルでは対象プラットフォームになってたのに。

亀レスなのでsage。

>315

７．０対象になってても、6.xからのアップグレードか、
Symlink張りなおさないと、ライブラリ回りでこけるよ＞４．１

あくまで、「動かすことが可能」というレベルのドキュメントだという罠。

頑張ってください。

>316
ありがとうございます。頑張ってみます。
今更4.1とは・・・。でも上司には逆らえない。^^;

Linux上でFireWall-1を動かす場合、kernelを選ぶ（最新では動かない）
様なんですがkernelのバグ（local exploit）はどう考えれば良いのでしょうか。

portingされていませんが、ベースとなるOSとしては
OpenBSDとかの方が安心できそうなんですが・・・。

>318
FW-1で守れるものと守れないものがありますが、
基本的には、ダメと考えた方が目的に沿うものと思います。

これはWin2K/NTで動かすFW-1やSolarisで動かすFW-1でも同様。
IPSO(NOKIA)しかり。RSCP(based on Linux）しかり。

FW-1のお守は大変。バージョンアップの際の検証も大変。
停止してはいけないところの場合は、冗長化は必須。
（バージョンアップのためにもね）

頑張ってください。

SecureRemoteをICカード＋証明書で使っている方いますか？問題点あったら教えてください。
あとNetScreenでも同じようなことやっている方はいますか？

>321

どちらもやりましたが、証明書発行サーバの種類とバージョンに注意してください。
（例：NSにMS-CA使う場合、日本語Winサーバは不可。かつSP3以降になっていると
発行機能が動作しなくなる、など）
また証明書の形式にも注意が必要。（使うカードやキーによって、
扱える形式が異なるため）

頑張れ〜。

最近、FW-1をいろいろいじり始めました。

291> CD買えば1ヶ月間×2の評価用ライセンスの権利がある

この2つのライセンスを切り替える時に、一回FWのサービスを
止めるとか、再起動の必要はあるんでしょうか？

それとも、ふつうにライセンスの追加という形で止めずに
期間の延長が可能なんでしょうか？

>323
FAQです。
一回止めて評価ライセンス消さないと、酷い目にあうかもねぇ（w;

どなたかVerisignの証明書と合わせてマネージドVPNサービス　For リモートアクセスユーザを提供している会社をご存知ですかな？

FP3からAIにバージョンアップ。
SecuRemoteのNAT Traversalがほとんどデフォのままでポリシーに追加するだけで通るようになってた。歓迎。
クライアントレスVPNは動かなくなっちゃった・・・。設定変わりすぎ。こっちはまだまだ発展途上みたい・・・。

> 1さん
個人的には、SecurutyServer機能やログ採取を使わないならFW-1を使うメリットってないような・・・。
毎日ログファイルをスイッチさせてDATに取らせれば、万一の事故のとき、ログを失わずに済むってのは安心です。
他社製品だとログがパンクしてもF/Wを止める連動が難しいので、ちと怖い。

> CheckPoint
はやく、W2KベースでのMXリゾルバをサポートしてちょーだい。

>326
1氏が「其の弐　ログはためても 100MB くらいまでにしましょう。」と
書いているのは、fw.logの容量のことを言いたいんじゃないのかな。あれでかくなるとヤヴァいよね（；´Д｀）
ログはローテーションしてどっか置いとこうよ、というのは仰る通りですな。
うちもfw logswitch hoge && fwm logexport hogeしてファイルサーバに放り込んでる。

SecurityServerとかCVPとかは見た目便利ですな、確かに。
NGAIになってもともとHTTP SecurityServerにやらせてた処理をfw-1 kernelに
組み込んだのは、要は誰も真面目にSecurityServer使う気にならなかったからと理解してるが（#´Д｀）

>>327
> あれでかくなるとヤヴァいよね（；´Д｀）
ヤヴァイです。
半年程前、俺が運用を引き継いだFW-1 4.1は1年以上logswitchされていなかった・・・。＿|￣|○

はじめまして、IP530(IPSO3.7 NGAI)×2とsolaris8(NG-AI 管理モジュール外だし)で
NOKIA VRRPを行っています。NOKIAにコネクトしている(同一セグメント)端末よりNOKIA
のVIPと実IPにPINGを打った場合、実IPから応答がある場合、仮想IPからは応答がありま
せん。また、仮想IPから応答がある場合は、今度は実IPから応答がありません。同一セグ
メント以外の場合は、実、仮想IPともに問題なく応答します。
同様のことを、SOLARISで行った場合は、どこから行っても、PINGに応答があります。
どなたか、解決方法をご存知の方、ご教授ください。

>329

ICMP redirectが怪しい気がします。
IPSOの設定の方は問題無いとして。。

>329
それは…、仮想ipにping打ってから30秒（stateful icmpのタイムアウト時間）待って
実ipに打つと、応答が返って来るのではないでつか？
もしそうなら、ClusterObjectの3rd Party Configurationで「Forward...」のチェックを
外してみれば直ったと思うが。

FireWall-1にセキュリティ・ホール，管理者権限を奪われる恐れあり
itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040206/139474/

>329　
初めて、この掲示板に書き込みましたが、いろんな方が見られていて
アドバイスをいただけて光栄です。この掲示板がもっと盛り上がれば
いいですね。

首記の件ですが、自己レスで申し訳ありませんが、解決いたしました。

製品の不具合で,modzapで解決できました。お騒がせしました。
現状では、ping interval 1秒でも実、仮想IPからreplyが帰ってくるよう
になりました。
今後ともよろしくお願いします。

>333
allow_simultaneous_pingかな？　なら納得。
NGAIでも有効なんですね、それ。

>332
AI以降、HTTP SecurityServerがそれと知らないうちに動いてることも多いのでヤヴァげ。
いちいち設定を洗うよりパッチ当ててしまった方が安心できそうだが (´･ω･`)

年度末の忙しい時期に、このセキュリティホールは勘弁してくれ
週明けからパッチ宛に客先へ回らねばいけなくなる予感〜
うちの客はまだ、ほとんどFP3だから緊急のところは限られてるがな

>334
ipsrdさん、さっそくの返答ありがとうございました。baguscafeです。
331で、ClusterObjectの3rd Party Configurationで「Forward...」
のチェックを外してみれば直ったと思うが。とありますが、
→これは、allow_simultaneous_pingと同じ効果を生むのでしょうか？

私も、あのチェックはNATに関係するので疑って、いろいろやってみたことが、
ありました。うまくいったような記憶がございました。しかし根拠がないよう
な気がしてやめました。

また、ご存知ならおしえていただきたいのですが、デフォルトで
なぜ、「Hide・・・」と「Forward・・・」にチェックが入っているのですかね？

初歩的な質問で申し訳ありません。

phoneboy本、みんなは買った？

4.0にもこのセキュリティホールあるのかな？

>baguscafeさん

allow_simultaneous_pingで直る「ping通らないよバグ」の原因になってるのは、
icmp echoのシーケンスを取らずIDしか見ていないicmpステートテーブル構造と、
CPHAモジュールの変なNATであると理解する次第。
なので、「そもそもNATさせなきゃいいぢゃん？」ということでやってみたらやっぱり通ると。
ちなみに、allow_simultaneous_pingは、NATを止めているのではないと思われ。
なぜならこれを入れた後でも、オプションなしのntpdate（src=123/udp,dst=123/udp）で同様の現象が起こるので。
よく分からないけれどたぶん、icmpステートフル処理を別ロジックに変えるんでしょう。

> また、ご存知ならおしえていただきたいのですが、デフォルトで
> なぜ、「Hide・・・」と「Forward・・・」にチェックが入っているのですかね？
これは従来のCPHAがそういう仕様だから、かな (´･ω･`)

>ipsrdさん
ありがとうございました。奥が深いですね。ご丁寧な対応ありがと
うございました。

ところでみなさん、CCSE/CCSAのロゴを名刺に貼ったりしてますか？
名刺が寂しいので貼りたいのですが、貼ることでアホと思われるのも嫌なんで。

張ってない。それを表に出す方が恥ずかしい。
あれは、ベンダーとCPとの契約の都合でいるものだから。

セキュリティポリシーの設計やコンサルティング能力とは
何の関係もないし。

>>342
あぁ、そんなもんなんだありがとう。
ちなみにうちの職場は、FW-1に関してはまともな技術者がいません。
俺が赴任するまでStealthRuleっていう概念が無かった。

「ワタシCCSEデス」
「はあ」
「トコロデ冗長化ッテドウヤルデスカ」
「はあ？」
「コノ同期ぽーとデVRRP張ッテルデスネ？」
「はあ？？」
「実ハワタシFireWall-1ノ構築ハハジメテデ」
「はあ？？？」

みたいな。確かに割とどうでもいい資格かも。評価の基準にはしたくない。

>>CCSE、CCSA

FW-1のことを理解しているという前提で話しをされると思うので、
お客さんや他のベンダーの方が知識があったりするとつらいかもね。

貼っておいてもあまりいいことはなさそうに思える。

>>344
ﾜﾛﾀ
っていうか、これってペーパーCCNPも同じようなもんですな。
しかし、FW-1の構築が初めてって･･･。
よくそれで合格したもんだ。
最近の若い香具師は試験勉強の要領だけで合格するよな。

>>345
うーん。微妙です。
言葉は良くないですが、わたしゃハッタリ程度にしか思っていませんので。

話はそれますが、今日名刺の整理していたのです。
某ベンダーにいました。小さな文字で
CheckPointCertifiedSecurityExpertと書いている人。

自分なりに考えてみたのですが、とりあえずロゴのシールを作って、
相手を見て貼るか張らないかを決めようかと思います。
# 漏れは見栄っ張りなんで（汗

みなさん、どうもありがとう。参考になりました。
# 技術的な話でなくてｽﾏｿ。

>344

それと同様のセリフを吐くCCSEを何人か知ってます。
HA構成のFW-1設定してね。
「設定サンプルと同じようにしたんですが、動きません」
HA組んだFW-1のバージョンアップよろしく。。。停止は３分x3回程度ね。
「できません。どうやるんですか？」
サーバのNAT設定よろしく。
「ローカルからDMZにつながらないんです」

各々原因は、著明なものなんですけどねぇ。。

＃無資格の一人より

非常に基本的な質問かもしれませんが、policy serverって何ですか？

Firewall-1 AI R55 使っておられる方？いますか？
感触はいかがでしょうか？R54とR55って何が変わったのか？
なぞっすね。IPSOもVUP必要だし。

初めてchekpointを触りました。
Firewall-1についての疑問ですが、独自にServiceオブジェクトを
定義した場合、サービスのプロパティでProtocol Typeを指定し
ない場合は、portベースのinspectionしかしないのですか?もし
そうなら、Firewall-1で最初から登録されていて、protocol
typeがないサービスって、何のためにあるのか？？？知っている人に
とってはばかばかしい質問ですがよろしくお願いします。

R55になって使いやすくなったような気はしますが、気がするだけかも。
やはりR54とR55の最大の違いは

ラ　イ　セ　ン　ス

でつかね？　CPの中の人の作為を感じまつ。
ISP Redundancyなんて、おっかなくてお客様には提案できませぬよ（；´Д｀）

>>348
ぐぐれ。もしくはどこぞの販社の営業に問い合わせれ。

>>350
ipfw add 1 allow tcp from a.host 1024-65535 b.net 80 keep-state
みたいな書き方がFireWall-1では無理。
ポート番号の数字ひとつ入れるのにもオブジェクトが必要だからネ (´･ω･`)

ipsrdさん
>>350
ということは、やはり、プロトコルベースのinspectionはTCPでは１３種類？
ってことですかね・？

うーん。
sqlnet2(Oracle Net8)やRPC、ftp/ftp-passive、Voiceのような、
特殊なサービスを通すために特殊なフローが存在するわけでつ。
そこで「Protocol Type」ですよ。
INSPECT言語によるユーザ拡張も可能、だったっけ？　うへへ知らん。

>>352 の期待されているところのinspectionとは、つまりL4より
上のレイヤにおける制御なのかな、と漏れには読めます。
であるならそれはサービスのリソース定義なんかが該当するんではないか？
いまホットな（苦藁）Security Serverとかのお仕事かと。
Application intelligence、Smart Defenceといったキーワードを
追ってみたほうが良いかもですな。
とにかくうんざりするほど色んなことができ、驚くほど直感通りの動作をしません。

ipsrdさん
>>353

セキュリティサーバ、SmartDefense､などの機能をＯＦＦにした場合(厳密にはすべてＯＦＦ
には出来ないと思いますが）はＦＷ−１もportのみのチェックしかしていないって事でしょうか？

つまり、せっかくＦＷ−１を使うなら、ＳｍａｒｔＤｅｆｅｎｓeなども有効活用しないと
いみがないのですか？？

やっぱり私はわかってないですね。これって基本的なこと？？

>>354
えー、portのみのチェックをさせたければ、そうさせることもできまつね。
しかし最近のバージョンのデフォルト設定では、例えばtcpについて、
セッションの細かい状態までFireWall-1が見ています。
Dropログに「TCP packet out of state」というのを見たことがないですか？
SYN流れてないのにいきなりACKが来たりするのを、FireWall-1が(ﾟ�听)ｲﾗﾈ 言ってるわけ。
そういう意味では、L4より上の制御をしないように設定してたとしても、
単なるipフィルタ以上の（strictだけど運用上は割と余計な）ことをしてくれちゃってる。
ちなみにこのウザい機能は主にSYN Flood除けの目的で実装された、はず。

Smart Defense（字間違えてた。死）は安っぽいIPS/IDP程度の動作をさせるものなので、
それはまた別の使い方になりまつね。
別途用意できる余裕があるならちゃんとしたIDSにSAM投げさせる方が良い気がします。餅は餅屋。

さて、このスレの随所でも言われていますが、ことによると劇的に重くなるので、
軽々にSecurity Serverが走るようなポリシを組むことはおすすめできないかも。
サイトの負荷状況と、チェックの粒度向上の必要性とを慎重に天秤にかけてくだされ。

ipsrd殿
>>355
よくわかりました。目からうろこです。
ご指摘のとおりですね。このような基本的な質問は二度といたしません。
ありがとうございました。ご迷惑をおかけしたことをお詫びいたします。

ipsrd殿の用に詳しく理解されている方が回りにいなかったので
駆け込み寺でこちらにきました。本当にありがとうございました。

FW:NGFP3 HFA318

httpのセキュリティサーバのパッチ適用において、適用後fw kill fwdを実施しますが
納得がいきません。

fwdを殺すと全断するのでは、→cpwdで再起動しても、その間は通信断にならないの
かな？
NOKIAで冗長化しているときなんかFWのプロセスを監視していないのできりかわらないですよね
もしかして、私、fw kill fwdの意味がわかってないのかな・

みんな適用したのかな・

>>357
通信断にはなりません。
パケット検査はfwd（デーモン）ではなく、InspectEngine（カーネル）の仕事。fwdとは別物。
管理サーバへのログの送信やポリシーインストールなど分散環境下でのコンポーネント間の情報の送受信
など（その他サービスいろいろ）を担当している。ただ、fwdが死んでるとログが取られなかったり管理サーバに送信
されなかったりなど、運用上の問題があるのでやはり動いているのが普通。参考になれば幸い。

>>358
参考になった

jonesさん
某ページで以下の記述を見ました。

fwd
インスペクション・モジュールとFireWall-1デーモンおよびセキュリティ・サーバが含まれます。
セキュリティポリシーを実装し、イベントをログに記録し、デーモンを使って管理モジュールと通信します。

fwm
管理モジュールが含まれます。
管理モジュールは、FireWall-1のデータベース（ルールベース）、ネットワーク・オブジェクト、サービス、ユーザなどを管理します。
ポリシーの検査、コンパイルやGUIとの通信を行います

cpwdがデーモンの監視(fwd)をしていたので、てっきりInspectEngine=fwdだと思っていたいのですが、、、
つまり、WatchDogの監視対象は間違っている？またはあまり、意味がないような気がします。

FW-1のInspectEngineの停止は、どこで検出すればいいのでしょうか？
そもそも、InspectEngineの監視はできないのですか？

ちなみに、Jonesさんの情報の出所はどこですか？ぜひ教えて下さい。

先ほどの続きですが、
InspectEngine（カーネル）の状態は、プロセスで確認できますか？
InspectEngineが落ちると、そもそも、全断＞？？

>>360,361

>fwd
>インスペクション・モジュールとFireWall-1デーモンおよびセキュリティ・サーバが含まれます。
>セキュリティポリシーを実装し、イベントをログに記録し、デーモンを使って管理モジュールと通信します。

合ってるような、合ってないような。
でもね、fwdはなにも実施モジュールだけにしかないというわけではないんだよ。分散環境下では管理サーバにもあるよ。だから、fwd=InspectEngineではない。

個人的には、fwdの仕事はコンポーネント間（管理サーバや実施モジュール）の情報のやり取りやコンポーネントが正常に起動するためのコントロールタワーだと認識している。

InspectEngineは前述のようにカーネルとして動いている。だからプロセスでは見えん。NICドライバとTCP/IPドライバの間（強いていうなら2.5層）で動く。
OS起動時にバインドされるドライバーだと思っていい（と個人的には理解している）NICごとにInspectEngineあるしね。

だから「InspectEngineが落ちる」という表現は適切ではないと個人的には思う。
OSが動いていれば一応InspectEngineは動いている。あとはPolicyが適用されているかどうかだけの問題。
PolicyアンロードしてもInspectEngine（ドライバ）自体がなくなるわけではないしね。

ちなみに知っていると思いますが、普通にcpstopするとPolicyアンロード→OSのルーティング機能が無効になるので実施モジュールを跨いだ通信はできなくなります。
もっとも、このような振る舞い（管理サーバからの命令に従って実際にInspectEngineにポリシーを適用したりはずしたりする）を担当しているのはfwdなのでfwd死んでるとやっぱりまずいよ。
そういう意味でもWatchDogの監視対象は間違っていないとおもう。

でもこの状態でもInspectEngineは2.5層に居続ける（と思っている）

情報の出所？自分自身の経験です。マニュアル腐っているし。
fwdが死んでてもパケット検査しているのは何度も経験してる。

＞ちなみに知っていると思いますが、普通にcpstopするとPolicyアンロード→OSのルーティング機能が無効になるので実施モジュールを跨いだ通信はできなくなります。

でも時々なぜかポリシが適用されてないのにルーｔ（ry
や、茶々入れ失礼。大変参考になりまつ。
カーネルモジュール（$FWDIR/boot/modules/fwmod.o？）をアンロードしたら
InspectEngineも動かなくなるかも？　LinuxやSolarisならできそう。
cpstopした状態というのは、モジュールというかドライバはロードされてるけど
ポリシが外れるので処理はバイパスされる、という感じでつか。

早速の回答ありがとうございました。
ぜひ参考にさせていただきます。
みなさん。かなり苦労されているようですね。

ぼくも、勉強もっとしよっと。！！！

これからも、FW-1を愛していきます。

でわ。

皆様お久しぶりでございます。

NOKIA IP350、FireWall-1 NG AI R55 使用環境下において、VRRPが
稼働中のシステムがあります。

本システムにおいて、本体起動時に 224.*.*.* 宛にIGMPパケットが
送信される現象が発生しております。

※224.*.*.* の*、NOKIA本体に登録されたInterfaceのIPアドレスの
2オクテッド目以降と一緒のアドレス

ここで質問なのですが、

�@上記現象はNOKIAとして正常な動作なのか
�A224.*.*.* のアドレスは何を意味するのか
よろしくお願いします。

VRRPの設定マニュアル読むこと。

multicastパケットが、ハートビート打ってることが判る

>>366
VRRP自体はVRRPなので、IGMPではないかも。それに224.0.0.18だし。
224.0.0.18へのIGMPはVRRP multicastを通してもらうためのmulticastでつ。
これを通しておかないと困ったことになる環境もありますね。
IGMPsnoopingなどで。

で、問題の224.*.*.*はよく分かりませぬ。でも漏れも見たことありまつ。
落としててもVRRPの動作には直接関係しないっぽいのですが、なんだろこれ？

ああ、インターフェースのIPアドレスといっしょとありましたね。＞ぺこり
ちゃんと読んでなかった（苦笑）

>>366
以下は知人から聞いた話。そのつもりで参考までに。
#間違っていたりもっと詳しく知っている方フォローよろしく。

MultiCastにおけるIGMPは、IPにおけるICMPと同じようなもの。つまりいろいろな補助的な役割を担当。
VRRPなどのMultiCastアドレスを使用する通信において、MultiCastをしゃべるデバイス（ここではNOKIAね）などがMultiCastグループに参加したり離脱することを通知するために使用。

ただ、ipsrdさんが言うように、ほとんどのHA環境（NOKIA同士がダイレクトコネクトなネットワーク）ならIGMPを通すルールはいらない（つまりIGMPはDropされてもいい）

実際にそういう構成は経験したことないので本当にちゃんと動くのか不明だが、以下のようなNOKIA同士がダイレクトコネクトではない場合はIGMPが活躍（というか必要なはず）

　・2台のNOKIAでVRRPによるHAを提供している環境
　・この2つのNOKIAの間にRouterAが挟まっている（つまりNOKIA同士は別サブネット）
　・RouterAには当然、VRRP（MultiCast）をルーティングするようにコンフィグあり

NOKIA起動時やFailover時などにNOKIAが出すIGMPが上記RouterAに伝わることで正しくMultiCastグループへの参加や離脱のメッセージがやり取りされてHAが正常に動く。
起動時だけじゃなくてケーブルを抜いたりまた挿したりしてもIGMPでるよ。
インターフェースのIPアドレスと同じ224アドレスがでるということは該当インターフェースごとにVRRPを構成しているからだと思う。

ダイレクトコネクトな環境ではVRRPだけで事が足りるよう。なぜか？もっと勉強します。

IGMP吐くのは正常です。

FW-1 NGで管理している社内から
外部のPPTPサーバーにアクセスしたいのですが、
HIDE-NATではうまくいきません。
STATIC-NATにすれば、アクセス出来るのですが
なんとかなりませんでしょうか？
おそらくGREのトンネルIDか何かが書き換わってるか
とは思うのですが、いい解決策が見当たりません・・・

371>>
HideNAT（IPマスカレード）はSourceのポート番号を変換するので、
ポート番号をもつIPパケット（つまりTCPかUDP）が対象。
GREやIPSec（ESPやAH）パケットなどIPの上で動くプロトコルは原理的に無理。
StaticNATでできるのはこういうこと。
　・TCP=6
　・UDP=17
　・GRE=47
　・ESP=50
　・AH=51 などなど

IPSecパケットなどのポートを持たないプロトコルはUDPでさらにカプセル化して強引（？）にポート番号を付けて
HideNAT越えできるようにするのが一般的。
もちろん、そういう機能がVPNゲートウエイやVPNクライアント側でサポートしていればの話。
困り中さんがどういうツールを使ってPPTPしているのかわかりませんが、
クライアントおよびPPTPサーバ側にそういう機能がないか調べる必要があるのでは？

ちなみに、SecuRemote（CheckPointのVPNクライアント）はこれをサポートしてるので
HideNAT越えできる。さらにAIからは任意のTCPポート番号でカプセル化することができる
（VisitorModeというらしい）のでやりたい放題。

さて、当方はIPSec（ESP）ならHideNAT越えさせたことあるけど、
PPTP（GRE）は経験なし。お役に立てず申し訳ない。

>>369

VRRPがマルチキャストルータ（or L3スイッチ）を超えるシュチュエーションよりもありがちなのは、
L2スイッチでスイッチ側がマルチキャスト制御をしてる場合かと思われ。IGMPsnoopingですな。
このsnooping、どうもスイッチの機種によって実装がえらく異なるようで意味分からんです。
Extremeあたりを繋ぐときはVRRP動かないのでsnoopingは切れって偉い人に言われまつた。
NOKIA同士が別サブネットにあるという構成は、どんなイメージでつかね。
VRRPを使ったActive-Active構成と同じように、二個backup addressを作って
上位ルータで経路選択かな。微妙に動かなさそうな…。

ポートの抜き差しで出るのはIGMPメンバシップクエリだかレポートだかいうものらしいでつ。
宛先は224.0.0.1(ALL-SYSTEMS.MCAST.NET)とか224.0.0.2(ALL-ROUTERS.MCAST.NET)とか。
あと普通に放っておいても120秒だかに1回、メンバシップレポートを投げている模様。

IGMPルータでもないNOKIAがなぜこういったIGMPを吐くのかと言えば、単純に前述の
IGMPsnoopingをよけるため（＝スイッチ等にVRRPマルチキャストを捨てられないようにするため）、
ではないかなと思ってますがどうなんだろう。
IPマルチキャストの偉い人に聞いてみるとなんか分かるかも。

>>371
4.1では(制限つきながら)サポートされてた構成ですがNGでは動かなくなりますた！
とCheckPointが書いてまつね。残念。

>>373
なるほど。もっとIGMP勉強せねば。

>>372
丁寧な回答ありがとうございます。
もう少し調べてみます。

腐っていると噂のIP330でOSは4.1を使っています。
winのpolicy editor4.1 でpolicyを設定していたのですが、winのIPが変わった為、cpconfigで
gui clients のIPを変更したのですが、can not connect to server と出て繋がらなくなりました。
これではpolicyの設定が出来ないので、やむなく一度 fw unloadlocal をしてしまおうと思っている
のですが、gui clientの設定はクリアされて、再度cpconfigでクライアントの再設定をすれば動くよ
うになると考えてよろしいのでしょうか？
識者の方、ご意見頂けますでしょうか。
よろしくお願いします。

GUI clientのipアドレスだけなら、テキストファイルを
ごにょごにょするだけでOK

今回の問題は、ポリシーの中にも
Nokia Objectに対するアクセス制限がClient Objectレベルで
かかっているためと思われます。

元IPでルール確認してからやるのが吉。
（変更前に、変更後のルールを入れるのが基本）
どうしてもというなら、fw unloadして試すのは正解

とE・S・Perモードのロボットオウムより。

素早いお返事ありがとうございます。
えっと、テキストファイルは既にごにょごにょして書き換えてみたりしてるんです。
conf/gui-clients ですね。（これだけではない？）
で、fw の再起動等をしてみているんですが相変わらずです。
変更前に変更後のルール、、有無を言わさず切り替わっていたので、、
unload で問題無いようならやってしまおうかと。
ちなみにunloadlocalをした場合は all_allow に戻ると言う認識で問題無いですよね？
telnet だけは他ホストから開いているのでそこからcpconfig等しようかと。
all_deny だったら、、、、あぁ、、寒気が、、、

確認必要なのはしつこいけど

Src Dist Prot
New_GUI_Client IP330 xxxx（各種コントロール）　Accept
をポリシーの最初に追加してからポリシーインストール

おそらく現在は
Old_GUI_Client IP330
になっているので、このオブジェクトのIP変更も可

VPN/FireWall-1 の市場標準的なバージョンは主にFP3が使われるもの
なんですか？

GUI clientからの接続はimplied ruleになってないの？
もう4.1のことは忘れつつあるけど。

保守age

最近IPSO触りだしました。（これまではほとんどSolaris案件ばっかだったので）
で、IPSO版にしかない$FWDIR/bin/ifwdデーモンって何者なんでしょうか？

オンラインマニュアルでは「インターフェース状態が変更になったときになんか
やってくれる」とか、「VRRPやクラスタ構成のときは悪影響があるのでOFFに」と。

デフォルトではON（有効）になっているけど、VRRPやクラスタ構成時にはOFFに
するのが一般的？．．．．なぜ？ONだとなにがマズい？
一応実機（IPSO3.71&AI_R55をVRRPで構成）でいろいろ検証したけどONのときと
OFFの時の違いがわからなかった。検証たりないのかな？

ご存知の方、またはこの機能でハマった経験をお持ちの方、コメントください。

HFA_R55_02あげ

>383

ぐぐれといいたいが、一言だけ。
インターフェースカードの自動認識などに働くデーモン。
VRRP時に問題が発生するのは、ルーティング情報が変わった時に
インターフェースのON/OFFを誤認識して、バタついてしまうから。
（Fail Overの繰り返しが発生ということね）
NOKIA Knowledgebase読めば、全部書いてある

>385

ついでに。デーモンを止めることによる副作用は単に
インターフェースカードなどを増設した際に自動認識しなくなるので、
いったんコマンドで認識させて作動させる必要があるだけ。
（１度だけでOK）

というわけで、通常は100害あって１利無しのデーモン

>>380
んなこたない。

>>387
380ではないが、市場標準はFP3と思うよ。
FP2以下は論外だし、R54,55はもう少し枯れてほしい。

>>388

HFA-325って見たことある人居ます？04/03版のOpenSSLセキュリティ修正が入っているらしいのですが。NOKIAサイトにはそういうパッチがあると書かれていたのですが。私が見たことあるのはHFA322まで。

R55にHFA02が出る時代でも、FP3のHFAで出続けると言うことは、FP3もまだまだ現役ということだ。R54の方が先に廃れそうな悪寒。実際あんまり使わないうちにR55出ちゃったし。

次はR60との噂。サブタイトルは何だろ。(with Application Intelligenceみたいなやつ)

R54のHFA408とR55+HFA02で比較するとR54の方が微妙にバグ修正進んでるかも？
とかいう困った状態でつね。毎度のことながら。
でも今この瞬間、新規に出荷するならR55なのかな。保守との絡みでも。
FP3は保守以外にも運用面でちょっと難がありまつね。
base.defいじらなきゃいけないしログ出力なんかもAI以降に比べて無愛想。

現在進行形で動いているNG以降で最も多いのは何？　ということならたぶんFP3。
少なくともFP3で動いてるのであれば、無理にAIに上げる必要性はないと思われ。
でもHFA3xxはね。。。。　できればお天道様の下に出てるパッチだけで済ませたいでつ。
障害対策のつもりで入れたHFAが予想もしなかった秘孔を突いたりするのが勘弁。
表に出てないパッチだとお客様に言い訳が立ちませぬよ。

R55の方が確かにバグ修正進んでますわね。。
実際、現状で脆弱性や不具合がハッケンされた場合
真っ先にR55のパッチが出て後はおあずけされるケースが(苦笑
fp1、fp2なんて蚊帳の外で見てらんない。
fp3もいつまでもつやら・・・。HotFix3とか出ちゃうのかぁなぁ。

>> 391

HFA-318+Security Fix相当でちゃんとテスト済みのHotfix-3とか出たらいいなぁ。R54もそろそろHotfix-1でも出して欲しい。でもCP社はFP3 Hotfix-2以来、HFAよりも安心して使えそうなパッチを出していないような。

FP2以前は、GUIの仕様面の落差を見てもCP社的には無かったことにしたいのでしょう。ただ、FP2で入れてしまったお客さんもサポートしなければならないしなぁ。4.1みたいにメーカーサポート切れで質問をRejectすることもできないし。

うーん。FP2以前は実質的にObsolateでつよね。
「FP2はメーカーがメンテしていないバージョンなのでFP3以降に上げてください」
と言うしかなさげ？
Enterprise相当のライセンスを持ってるサイトならそのままR55にageれることだし。。。
制限版ライセンスでExpressにするにはどうにも差損が出るサイトで現在FP2運用中、
不具合が出てKB見てみたら「Upgrade NGFP3 or higher.」の一行レスだったりすると
頭遺体でつね。FP3+HFA318+318用HotFix数点、とするしかないのかな。
アップグレードは納得して頂いたとして、FP3のEOLがいつ来るのかがアレでつね。

>>389
> 次はR60との噂。サブタイトルは何だろ。(with Application Intelligenceみたいなやつ)

それってマジですか・・・番号見る限りメジャーバージョンアップぽいんですけど
もうNGもサポート終了なんですか・・・とほほ

こいつ↓に
http://www.e-lets.co.jp/news/r_m6100.htm
SecurePlathomeをインスコしたツワモノはいませんか？
まともに動けば小規模向けに良いかも

>>395
USB-CDROMからのbootができれば、普通にインストールできそうですね。

これも良さそうですが。
http://www.hightech.co.jp/products/micro.html

>>395

LANコントローラ：VIA VT6103

が萎え

>>396

Ethernet：Realtek RTL8139C

が萎え

こういうNICはサーバ・ネットワーク機器では避けるべき。

>397

同感。蟹は一見動いていて、サーバが突然
「反応が遅くなる」「再起動すると直る」と
ドライバの問題などにより不具合が、ランダムに
発生するので、困りものですね。

sambaの問題は有名ですが、ftpなどでも頻繁に
発生します

いずれにしても、ライセンスが高すぎる・・・

>>396-398
http://www.hightech.co.jp/products/server.html
こっちは蟹ではなくee100みたいでつ。ていうか中身入りか。。。お幾らなんだろ。

真に小規模なら現地のガラクタPC+どこかから剥がしてきたee100とかtulip+OpenBSD&PFとかRHL&iptablesとか
各人の信仰に沿った組み合わせで。
個人ベースのお仕事という感じですがブラックボックスにして運用込みで受ければみんな幸せでしょう。
普通にSIで対象が大組織のブランチならそれ用のモノを。VPN-1 Edgeと言いたいとこだけど多分NetScreen。

やっぱりSecurePlatformって存在意義が分かんない。。。

基礎的なことで悪いが、FW1のログの管理ってみなさんどんなふうにやってるですかね？
R55使ってますが、ただTrackerを眺めてるような状態なんで…。

SmartView ReporterとかWebTrends FireWallSuiteとかでレポーティング、
くらいでつかね？　Reporter使ってるところはあるのかな。
フリーもので、export済ログをDBに落とし込んでくれるツールもあった気が。
ログ処理程度であればアプリ書いてみるのも一興では。

ログの扱い方ひとつ見ればそのサイトがガチかどうかよぉく分かると思うのでつが、
皆さんどうでしょう。

ログ管理・運用がもしもの時の証拠保全目的であれば、一定期間を経過したログを
アーカイブしてテープにでも放り込んでおけば、それで済むものかもしれませぬ。
普段はあの数台ぶら下がって常時リロードしてると素敵なことになる優秀なSmartView Trackerで。

一方、トラフィック診断やアクティビティ検知を本格的にやろうとすれば、
それはそれなりのコストがかかるでしょうね。
リアルタイム性が要求されるなら、そこらへんはIDS使えという気もしたり。

アスキー形式ログの項目の並び順って
固定できないんでしょうか？

logical serversって実運用で使われている方はいらっしゃるのでしょうか。
L4 switchを普通に入れた方が気分的に安心できるのですが。

また重大なセキュリティホールが発生の通知メールかよ〜
(2004.4.20付）
バージョンアップスケジュール、どうすべか。

>405

正確には、フィックスが出来上がったよメールだが。。
３日で直したのは偉いけど、、、バージョンアップする側は
検証作業とか客との折衝とか、、大変なんだぞ（藁

もう少し、安定したもの作ってよ〜

>>405-406
すみません。そのセキュリティホールって例の
TCP RFC Alertですか？

>407
Subject:
SECURITY ALERT: Vulnerability Issues in TCP (NISCC 236929, CERT VU#415294)(TCP and BGP)
Description:
On April 20, 2004, NISCC released NISCC Vulnerability
Advisory 224012: "Vulnerability Issues in TCP".
US-CERT, formerly known as CERT/CC, has given this
issue the names Technical Cyber Security Alert TA04-111A: "
Vulnerabilities in TCP" and Vulnerability Note VU#415294:
"The Border Gateway Protocol relies on persistent TCP sessions without specifying authentication requirements".

>408
This issue has also been reported by Common Vulnerabilities and
Exposures (CVE) as CAN-2004-0230 and by Open Source Vulnerability
Database as OSVDB ID: 4030: "TCP Reset Spoofing

>409
Check Point has provided a fix for this in
NG AI R55_03, NG AI R54 HFA-410 and NG FP3 HFA-325
according to the report from NISCC.

さて、巷を賑わしているTCP RST脆弱性祭りでつが、
CheckPoint製品として「脆弱性がある」のはSecurePlatformのみ。
なにしろOSのTCPスタック依存の問題なので。
つまり、

×：またまたセキュリティホールがあったので直しました。マジすんません!

○：おら、そうそう鯖にパッチなぞ当ててらんない哀れなお前らのために
　　SequenceVerifier機能拡張しましたよ。ありがたく使うように。

ではないかと。異様にCPの対応が早かったのもそのせいかも。
あと、調査機関によって多少やり方の違いはあれど、
基本的にこういうのはベンダに前もって情報が行きまつ。
今回ならCISCOとJuniperの足並みが揃ったところで一般発表、
というところでそ。

でもNOKIAユーザはSequenceVerifier動いてないのがデフォのような。。。

>393さんも書いてるけど、FP2はもう穴あっても、
目にも掛けてくれないのな．．．＿|￣|○

>>411
> CheckPoint製品として「脆弱性がある」のはSecurePlatformのみ。
それは4/21に漏れも読んだのですが、翌日には「FP3以上の人はパッチをあててね」
と、いう趣旨に変わってしまってメチャあせったのですが・・・。
SecurePlatformのみと書いてるページ教えてください、おながいします。

>411
The above vulnerability announcements contain several suggestions
for mitigating potential vulnerability. Some are management controls,
such as the recommendation not to publish TCP Source Port information
for important long lived TCP connections. Other recommendations are t
echnical. Of the technical recommendations:
IPSO and VPN-1/FireWall-1 support IPSEC for the encryption and protection
of TCP connections
IPSO has long supported RFC 2385: "Protection of BGP Sessions via the
TCP MD5 Signature Option". To enable this functionality, please see Resolution 19935.

さっきのメールは、NOKIA社からのエンドユーザ向けメールなんですけど。

>>413
いやいやいや。
CP社のサポートしてるOSはSecurePlatformのみだというだけで、
他のプラットフォームもRFC793準拠のTCPスタック使ってる限りは
ばっちり脆弱だと思われ、ですよ？
遠まわしな書き方でCPに厭味言いたかっただけです。スンマセン。
あとはOSベンダのアドバイザリ嫁って感じでつかな。

>>414
なぜか411へのレス風で語尾が「なんですけど」でつね。。。どうしましたか。
意味のある反応が欲しければ自分の意見を書き、引用にはソースを明示すること。
あと情報は整理しておながいしますよ。
私はESPerモード搭載してないし、他の人のように優しくないので。


今回の脆弱性祭りは影響範囲が大きいので情報も錯綜してまつが、
RSTパケット処理の改善案を示したIETFのインターネットドラフトが詳細かつまあ読める量で良い感じ。
せっかちさんはセキュリティホールmemoと/.jpの該当トピック読んどくのが一番早し。

ちなみにRFC2385は当然のことながらピア間でTCPオプションを有効にしなければならないので、
DoS食らって落とされまくったらそのまんま大規模テロになってしまうBGPの保護など、
ごく限られたサービスを緊急避難的に保護したい時くらいしか出番ない気が。
NetBSDで早々に出てる修正はドラフトの内容取り込んでるんでしょーね。
IPSOに移植ﾏﾀﾞｰ（AAry

>>404
ご存知と思いますが、Logical Serverを使う = Connect Controlライセンス要です。
CPお得意の別ライセンス（有償）です。ちなみに、某代理店さんWebSiteを参照
すると定価で\1,280,000也。
このお金はL4SW（ロードバランサ）にまわしたほうが．．．
例えライセンスがタダでも実運用に耐えられるとは思いません。
たいしたバランシングアルゴリズムないし、Webアプリケーションでは
必須のコネクション管理（Cookieとか見てくれるやつね）やってくれません。
残念ながら、評価程度でしか使ったことないので大量リクエストにどれだけ
耐えられるかわかりません。
そもそも負荷分散処理をFWゲートウエイにやらせることに抵抗あります。
「餅は餅屋」っていいますから．．．．

>416
＞そもそも負荷分散処理をFWゲートウエイにやらせることに抵抗あります。
同感ですね。（単純なラウンドロビンぐらいなら使いますけど）
他にもウイルスゲートウェイ搭載したFWアプライアンス、テストすると
擦りぬけるパターン簡単に作れてしまいます。
速度も激遅になってしまいますし。

ゲートウェイに一体になっていると助かるのは、IDSの方ではないかと
思っています

Norton Internet Security 2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
スクリプト遮断機能がある
広告ブロックがアメリカ仕様で、お絵かき掲示板などの画像も消してしまう
スレに貼り付けてあるだけのウイルスコードに反応する
2chの過去ログ取得する時はFWを無効にしないといけない
Antispamが勝手にメーラーと統合する上に不安定（OEと相性が悪い？）
ポップアップ通知が鬱陶しい
LiveUpdateが遅い
ｗｅｂごとにスプリクト遮断やActiveX遮断やプライバシー制御の設定ができる
WEB閲覧するときHTMLファイルにスクリプトを埋め込む処理が重い
　（XPSP2ではデフォルトでポップアップ広告遮断機能があるので無駄になる）
回線速度が遅くなるという報告
ルールが適切ではないとの声もあるがPFWルールの自動作成が進んでいる
不正コピー・不正期限延長ユーザーが多い
個人情報を送ってるかについては疑惑は晴れず。
http://www.symantec.com/region/jp/products/nis/features.html
http://www.symantec.com/region/jp/products/nav/features.html

ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321

>>417
IDS/IPSも、私見ではゲートウェイと一体化させるのはマズい気がしまつ。
RealSecure NetworkSensorのように、解析エンジンの問題で
IDS自体がワームの標的になるといった事例が出てきている現状では、
ゲートウェイ攻略の選択肢をみすみす増やしてやってるだけのような。
・・・それ言えばVPNもそうなんだが（；´Д｀）
ｲﾁｬﾓﾝかも。

まあ、IDSは監視対象セグメントに繋がったインターフェイスにipアドレスを
持っていない方が良いし、トラフィックも実サービスのトラフィックではなく
ミラーを利用した方がよろしいんでないの、というのもありまつ。
IDSモジュールが逝ったおかげでサービス全停止というのはイヤン。

一方、一個の箱にいろんな機能を集中させるメリットとしては、

・別々で揃えるよりも安いかも？
・メーカー/ベンダ統一できるのでサポート良好
・管理インターフェイスが統一できるので運用工数削減

売りとしてよく言われてるorざっと思いつくので上記かな。
しかし実際のところ下記のようであると思われ。

・CP社の場合はぜんぜん安くない悪寒
・餅屋に洋菓子をサポートさせることの漠然とした不安
・確かに楽そうかも

運用工数くらいしかメリットが思い浮かびませぬ。
でも他の点もメーカーやベンダ次第でメリットはでてきそう。

>419

>・別々で揃えるよりも安いかも？
いま検討している商品の無制限版での比較だと、
IDS付のもので、IDS無しのFW-1の一桁低いライセンス価格。
SOHO向けRealSecure単体より安いときてる。

>・メーカー/ベンダ統一できるのでサポート良好

OSのパッチ当てとFWのパッチ当てを別にしないで良い点が楽かな。

>・管理インターフェイスが統一できるので運用工数削減

管理インターフェースの統一は当然ですが、やはり
バージョンアップが必須の製品だけに、検証工数が減るのが
助かります。（あまりに組み合わさってると検証工数は逆に増えるけど）

２年前の比較記事では、PenII400MHzで、大体PIX/IP330と同等のFW性能らしいが
実際どうなんだろうか。（50000セッション以上は扱えるようなので、ま、いいかなとも
思っているものの）

>>420

> いま検討している商品の無制限版での比較だと、
> IDS付のもので、IDS無しのFW-1の一桁低いライセンス価格。

むお。ゼロいっこ引いてさんじゅうまんえん切ってるってことですか？
もし差し支えなければ、どこの製品かポインタキボンヌです。
マズいようであれば、大まかな仕様でも挙げていただければありがたし。

> バージョンアップが必須の製品だけに、検証工数が減るのが
> 助かります。（あまりに組み合わさってると検証工数は逆に増えるけど）

なるほど。パッチが一本化されれば楽ですな。
構成の提案自体も、複数メーカーの製品組み合わせるより楽にできますな。
SAMとかLEAみたいなグレイゾーンで謂れのないクレームを食らうこともなしと。

> ２年前の比較記事では、PenII400MHzで、大体PIX/IP330と同等のFW性能らしいが
> 実際どうなんだろうか。

PenII400と、IP330のK6II400（時期からすると266でメモリ64MBかも？）とでは、
ハードウェア性能の条件はまあ同じようなもんと考えてよさげでつかね。

>>421

単純にFGじゃないの？と思ってみたり・・・

>422
FortiGateって二年前からあったっけ (´･ω･`)

>423

FGじゃ０一個削るのは無理でしょう。

>421
某社が日本代理店契約を進めているらしいので、それが完了しないと導入はしない予定。

普通のステートフルインスペクションFWに（Virtual Host機能など）
IDS（シグニチャは当然アップデート・修正可能）がついて、MRTG情報画面やログ解析機能とアラートメール（テキストでの携帯メールなど）機能はあり。

通信ラインは、Ethernet/PPPoE/Modem（USBモデム含む）をサポート。回線障害時の切り替えは残念ながら手動。

OSPFサポートは、この秋ぐらいになるらしい。

ここまでの分で、ライセンス価格が、ユーザ数無制限で約２０万円で、年間保守費が１０万円。。（初年度・・約３０万になるかな）

VPNはユーザ数によって積み上げライセンス方式。拠点間VPN専用のVPNライセンス別途有り。
もちろん、NAT TraversalはサポートされているのとPPTPなどにも対応、VPNクライアントは例によってSafeNet OEM..（V9 LT..藁)

ログ転送は、SCPで可能。

45Mbpsまでの完全な帯域制御モジュール（別立て必須か？）が約６０万のライセンス費に１５万の保守費。。

URLフィルタリングもオプション対応

オプション追加時も、Webの設定画面タブが増えるだけの統合管理システム

保守費は、ソフトウェアアップグレード保証費兼用。年度内にはLDAP認証サポートを行う予定とのこと。

のようです。

>>422-424
FGでも60ぐらいだったら、IP330クラスの性能(?)かと思います。
確か30万円ぐらいだったはず。
ただねぇ、ログを保存することを考えると、色々とお金がかかる罠。
他の板でもFGの話題は出ていますが、IDSをRealSecureの代わりに
使えるかというと、まだまだです。
検知はしますが、チューニングがイマイチ。

>424

なるほどー、情報thxでつ。Linuxか*BSDベースという雰囲気ですね。
冗長化はOSPFを利用する感じですかね？
それともvrrpd積んでるのかな。

>425

FortiGateはAntiVirusにしても今ひとつ感が漂ってまつね。

>425

まあ、いま導入するなら、Xeon 2.4G-3.2GHzクラスですから、性能は格段に
あがりますよね。（特にIDS動作時の処理など）
ポートは当然、1000BASE-Tにしますし。（対応してることは確認済み）

それでも価格は同じなので、NS-5やRTX1000クラスでいいような場所は
別として、、ってとこです。（適材適所）

高杉・・・

ISAKMPセキュリティアラート age

Netscreen等を使うと、FW-１はOSとFW-1ソフトの両方をメンテしないといけないのでめんどくさいな
アプライアンスも出ることは出てるが、もっと性能が高く1UでHDDなしOSはFlashで、
大量のコンフィグファイルではなく一つのコンフィグで、
ハード交換時はコンフィグさえ流し込めばいいようなのをきぼん

また、せっかくSWベースだからIPS機能も入れろ

>430
それはFireWall-1という名前のNetScreenを作れということでつね(´･ω･`)
NortelのASFとかどう？　触ったことないのでよく知らないけど。
あとIPSは既に実現しているかも。

>>430
>>431
個人的にはFireWall-1という名前のFortigateを作って欲しいです。
Fortigateのログとウィルス隔離専用のHDDってのは結構気に入ってます。

>432
FireWall-1という名前が付いた時点でデザイン的にオールインワンが無理ぽ。
管理鯖別立てでOKならイケそうな気も。。。意味ないですか。意味ないですね。
ASFもモジュール別で三種類くらいハードウェアあるみたいでつ。

>432
ちゃんとウイルス検知してくれたら、いいんだが。

IPSO3.8Build031あげ

IPSO3.7もBuild036が出てましたな。
DiskMirroringがちょっと改良されただけっぽいけど・・・。

ISAKMP の話題は全く上がってないようだけど、
この脆弱性をついたツールがが出てきたとか、
具体的な攻撃方法が解明されたとかの情報はないのかな？

A:FW1 4.1-SP2
B:FW1 NG-R55

Xcli(1) -- A -- B -- Xsrv(2)

こんな環境で、X11がつながりません
Aのほうで、rule0でdropされて reason:unknown established TCP packet
だそうだ
なんだかぐぐってでてきた奴も色々試したが
もうなにがなんだかさっぱりわかんねー

誰か助けて・・・

2ｃｈの少年犯罪に貼っていたアドレスをクリックしたら、インターネットを開くたびにポップアップ広告が出るようになりました。誰か改善方法を教えてください。
http://bbs2・・・とかいうアドレスです。

>438
ルールの上下いれかえたら通った…
私がばかでした

NG FP3とかのHotFix1/HotFix2とかとHFA(HotFix Accumulator)って
なにが違うのでしょうか。
HFAがある程度まとまった時点でHotFixとしてリリースされる様な
ものかとも思ったのですが、AI(R54/R55)ではHFAがあっても
HotFixはリリースされていない様なので、なんだかよく分かりません。

fw1-gurusの過去記事を検索した所、PhoneBoyが以下のような
投稿をしていました。

　HFAs are QAed by Check Point support.
　They don't undergo a full QA cycle like the "official" hotfixes (e.g. Hotfix-2).

HFAはunofficialなパッチなのでしょうか・・・？

>441-442

従来のHotFixとHFAの区別が曖昧になってきたのは、最近のことでつね。
以前は線引きがちゃんとされてたようですが。

HFAはCPのサポートにケースオープンして個別対応で出してもらうパッチ、
またはその個別パッチがCSP向けに公開されたもの。
HotFixはCPの内部検証フェイズを経て一般ユーザ向けにリリースされたパッチ。
HFAと違って正式サポート対象になる、いわば公式パッチ。

しかし最近は「とにかく最新版当ててくれ」とCPのサポートポリシーが変わったので、
HFAも表に出てくるようになった、と。

VPNネットワーク構築ではなくて、利用者側のもんですが、
一台のPCに、他社のVPNクライアントソフトと一緒にインストールして
接続できるもんなんでしょうか？
ちなみに、もう一つ入っているのはNetScreenです・・・。
ご教授いただければ幸いでございます。

>>444　自己レスです。
解決してしまいました・・・。すみません。

FW1+nokiaを使用しています。voyageにアクセスできるIPアドレスを変更する方法を教えてください。すみませんがよろしくお願いします。

>446

そのレベルの人が操作しない方がいいと思うが。
FAQ/Manualレベルも判らない（調べられない）という意味で。。

Solaris + Firewall-1でファイアウォールを構築する場合、Solarisのインストール
は”Core System Support”が一般的なんでしょーか？ちなみにSolaris8とNGです。

>>448
一般的かどうかは別として余計はサービス（パッケージ）が入っていない
に越したことはないと思う。
#Stealth Rule作ってるから大丈夫！！なんていう人もいるけど．．．

ただ、残念ながらCoreだけではNGは動かない。というかインストール
できない。NGが必要とするいくつかのパッケージを追加でpackage add
しなければならない。
Check pointのSecureKnowledgeにこんな資料があるので参考にしては。

http://secureknowledge.checkpoint.com/pub/sk/docs/public/os/solaris/pdf/solaris8_pkgs_fp3_rev2.pdf

でもこの資料はFP3を想定しているのでAIやR55の場合はさらに
必要なパッケージ（またはパッチ）があると思われる。
その場合は面倒だが、実際にインストールしてみてどの
パッケージが必要かを確認しながらやるしかない。
#必要なパッケージ（またはパッチ）がない場合はインストーラが
#教えてくれる。もちろんインストールは強制終了するけど。

参考になれば幸い。

>>448
私はSolarisに関しては 厨房なので、「開発者インストール」デフォルト。/varをいっぱいあけておく、以上でやっているのが実情です。

パッケージの依存関係とかめんどくさいし、SunRPC関連は謎が多い。設定をカスタマイズしてもパッチ当てたら一部元に戻ったりと。まあ、スキルが低いと言われたら「はい、そうです」としか言いようがないですが。

あとは、Stealthルールでしっかり守る。って感じでやってます。詳しい人には怒られそうですが。

>450

FW-1 on Solarisも随分導入したけど、、OSパッチとFW1パッチの
相互検証が面倒くさいよ〜。

それでも、Windowsでやるよりはマシだと思うが。

いつになれば改善されますか？
（そういう意味では、NOKIAが一番楽、、なのか？＞漏れ）

SmartDefenceのSubscriptionを買われている方って
多いのでしょうか。

来月の「Check Point Experience Seminar TOKYO」行く方いらっしゃいますか？
以前の大阪でのセミナーが意外によかったから、行こうと思ってるのですが・・・。

セキュリティ技術部の人のデモがよかった。

>>453
当日行けるかどうかわかりませんが、とりあえず2日間申し込みました。

レスありがとうございます。
私も2日間、テクニカルトラック申し込みました。

今度は研修も受けたいな。おもしろい。

FW-1上で18264/tcpがオープンとなっており、Check Point
Certificate Service が動作していました。このサービスが
どのような機能を提供しているですか？また必要なサービスなの
でしょうか？

18264/tcpを停止する方法、またはルール(IP制限)を記述する
方法はありますでしょうか？また、停止することで悪影響は
あるのでしょうか？

確かに開いてるねー

>456
ということはImplied（暗黙）ルールが有効になっている
環境ですな。

SecuRemote（VPNクライアント）使っている環境？
18264/tcpはリモートアクセスVPNユーザにネットワーク経由で
証明書を発行するサービスに使われている。
もちろん発行するのは管理サーバ上で動いているInternal CA。

ImpliedルールはSmartDashboardのPolicyメニューから
Global Propertiesにて有効化または無効化ができるけど
18264/tcpを閉じるためにはFireWall-1 Control Connectionを
無効化する必要があるけどこれを無効化すると実施モジュール
と管理サーバ間で必要な通信などもできなくなるので分散環境では
簡単に無効化できない。

普通はImpliedルールはすべて無効化して、必要なものはすべて
明示的に作るのがBetter。

というわけで、環境（実施モジュールと管理サーバの分散か一体型）
によって対応が違っているのでどうしても閉じたいのならまずは
Impliedルールを勉強しましょう。

今秋発売予定のウイルスバスター２００５の対応スペックから
ＯＳのＷｉｎｄｏｗｓ９８が対象外となる噂がありますが、
本当ですか。業界筋の方々からのマジレスを求めています。

>458
確かに、私も構築する場合は、どんな場合であってもimpliedは使いません。
すべて明示的ルールでーす。
ttp://www.fw-1.de/aerasec/ng/ports-ng.html

それより、質問の前にぐぐった・？海外製品を扱うのに英語が・・ってのは
なしね

気が付けば、HFA08が出ていた。
HFA05〜07っていつ出たの？

あんぽんたん。

Check Point Software Technologies（以下，Check Point）は現地時間7月28日，
同社のファイアウオール／VPN製品「VPN-1」や「FireWall-1」，「Provider-1」に
セキュリティ・ホールが見つかったことを公表した。細工を施されたデータを送信
されると，認証なしでVPN-1などが稼働するマシンに接続されたり，そのマシン上
で任意のプログラムを実行させられたりする恐れがある。

VPN接続を確立しなくてもセキュリティ・ホールを突けるので，
権限を持たないユーザーにリモートから攻撃され，VPN-1マシンを
乗っ取られる可能性がある。

>461

csp向けに出てたんでしょうね。
一般向けはHFA04からHFA08に飛んでいておｋ。


>463-464

Check Point Software customers who do not use
Remote Access VPNs or gateway-to-gateway VPNs,
or who have upgraded to current product versions
(VPN-1/FireWall-1 R55 HFA-08, R54 HFA-412,
and VPN-1 SecuRemote/SecureClient R56 HF1)
are NOT affected by this issue.

公式アナウンス。
http://www.checkpoint.com/techsupport/alerts/asn1.html

一番やヴぁいのはRemoteAccess VPNを有効にしてるサイトだとさ。

log message que is fullというメッセージが出て，ＦＷ−１が停止しました。
至急対処が必要なのですが，おわかりになりませんでしょうか。

>466

メッセージの通り、ログファイルサイズが大きくなりすぎたんでしょうね。
１）全然ログ管理していなかっただけでディスクの空きはある
　→ログファイルを変えましょう
２）FW-1のライセンスオーバーのため、ログをはき続けていたために
　あっという間にログが溢れた
　→ライセンスを買い換えましょう
３）外部からのアタックログで溢れた
　→ご愁傷様。ログの取りかたを再考しましょう。必要ならば
　　IDS/IDPの導入も。。

鐡屋が液晶テレビｹﾞｯﾄしちゃぁいかんだろ・・・。

>>468
2日目出たんだ。昨日は行けたんだけど2日目は用事が．．．orz
競合比較とSSLVPNの話聞きたかったよ〜

あ、違った。鐡屋はホームシアターセットだ。

>>469
俺も結局1セッション聞きに行っただけ。
資料は2日分もらってきた。

Nokia IPSO Denial of Service Vulnerability
http://secunia.com/advisories/12280/

ﾔﾊﾞ?

>>471
それどうしようかﾁｮｯﾄ悩み中でつ･･･。

R55Wにした人いますか？

貴重な情報源age!!

ネットで調べたけどどこで購入出来るんですか？値段が１０万ぐらいするって
本当？

>>475
http://www.checkpoint.co.jp/partner/index.html

このURLのリンクから行けるところで買えるよ。
ちなみに10万だと一桁足りないですよ（＾＾；

>>475
とりあえずZoneAlarmでも使っときなさい。

開発機用のFWをSecurePlatformで構築してみました、
IA32なマシンがあればさくっと構築できるのがいいですね。

インストール＆初期設定は１時間以内で終了して、
あとは簡単なルール作って終了って感じです。

インストール後のオペレーションについてですが、
RedHatベースなのによけいなコマンドが全て使えなくなってます、
まるでアプライアンス製品のようです。
なんとlsやcdまでしっかり削除済みで、使えるコマンドはFW-1系のコマンドと、
sysconfigというOSの設定とFW-1の初期設定をするコマンドのみです。
よけいなプロセスやコマンドが無い分、下手にSolarisに入れるよりはよいかなーなんて思いました。

他にも使ってる人がいたら、稼働実績など教えてくださ〜い。

>>478
expert コマンドで shellになれるめぽ。

>>479
あ、ほんとだ！
俺のような厨にむやみに触らせないようになってるのね・・・・・。

どうやらgccもrpmも入ってるようなので、
Linux版のvrrpdとか入れたら冗長構成の勉強とかできそうでつね。

>>480
俺はそいつにBIND9を入れるためにコンパイルしてみたが、
アレが足らないだの、コレが足らないだの色々言われて、
諦めますた。
ちなみに、最近のやつはOSの設定はブラウザから出来ますね。

自己レス
FW-1にBINDを入れようなんてトチ狂ってるよな俺･･･。

>>482
なかなか男前だな（ｗ
BINDなんてセキュリティーホールの祭典みたいなもんだからな・・・。

FW-1を再インスコせずにInternal hostのライセンスカウンターをクリア
する方法知ってる人いますか？
設定を間違えて大幅オーバーしちゃって、/var/adm/messages に出続けて
いるんです。
NG R55Wで、OSはSolaris 9です。
4.1用に公開されてる方法ではいまくいきませんですた。

>>484
設定間違えただけなら、素直にサポートへ聞きなよ。
そんなシビアな事をここで聞いても、失敗したときに誰も責任取ってくれないよー。

>>484
確か2カ所だったかな…
設定間違えたのか、本当にオーバしているのかｗ
どう間違えればオーバするのやらｗ

>>486
ExternalとThisNetが逆になってるとか（藁

>>487
今どき、そんなミスする人いるの？
…だから間違いなのかｗ

確か、Internal ->This Net . . . 明示的に指定したらオブジェクト名だったな…
あぁ、いまいましい糞ファイアウォールめ！

私もやっちまったのでサポートいってきました。
# cpstop
# cd $FWDIR/database
# rm fwd.h
# rm fwd.hosts
# fw tab -t host_table -x
# cpstart
直接ファイル消せとのことです。

もう一つ問題があったのにそっちが解決しません。
なぜかアップ10Mbps以上軽くでるのにダウンが50kbpsぐらいしか出ないのです。
試しにそのＩＰでノーパソ直繋ぎしたらダウンも10Mbpsを軽く越えて
何がなんだか。どなたか分かる人いらっしゃらないでしょうか。

ああ、うちIP350なので>>484さんが同じように行くかは
分からないですよ。

みなさんありがとです。
490さんの方法で無事解決しました。
FWオブジェクトがgatewayではなくhostになっていたためにそうなってしまいました。

これでどうやってポリシのインスコをしたのだろうか･･･。

484みたいな人が管理してるFWって (((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

'`ｧ'`ｧ
http://secunia.com/product/190/

Firewall-１を貸してください。(ください）
CCSAを取得するため必要です。
心の温かい方、宜しくお願いいたします。
お礼いたします。

>>496
金払って講習受けてきなよ・・・。

497さん
講習は受けてきたけど、もう1回　実機をさわりたくなって・・・

>>498
講習受けたら、お試し用のCD貰えるだろ？
そのCDをNIC2枚挿しのPCに突っ込めば、SecurePlathomeをインスコできるじゃん。簡単だよ。
お試しライセンスは1ヶ月間を2回、或いは再インストールすれば2週間を何度でも使用できる。
これじゃぁ不足か？　CCSAぐらいだったら十分だろ？
NIC2枚挿しのPCが無いなら、中古でOKなので買え！
念のため、SecurePlathomeのスーパーユーザへの切り替えはsuじゃなくてexpertだからな。

499さん
有難うございます。
そのCDないんですよねぇ。
1万円ぐらいで、コピーでもかまわんです。
お願いします。

>>500
メディアって正規の代理店さんで8,000円で売ってるけど。
499で書かれていたのと同じものだ。
http://www.forvalcreative.com/jpn/pro/vpn1_fw1_ng/price.html#enterprise

いや、どうしても1万円払いたいならべつだが．．．

便乗で質問させてください。
SecurePlathomeをインストールしようと思ってます。
LANカードは何を使えばよいのですか？
LANカードによっては、SecurePlathomeが認識しないものってあるのですか？

>>500
気が向いたらメールします。

>>501
俺んちはELECOMの安物を使ってます。
SecurePlathomeは基本はLinuxなのでLinuxで動くものなら何でもOKなはずです。
当然ですが、お客さんに納品する時はELECOMなんてダメです。

>>496
usercenterのアカがあれば 30ドルぐらいで買えた筈ぽ
会社で一人ぐらい usercenterのアカもっている奴がいれば(ry

>>502
僕たんは 82559ERの石が載ったボードを使っているぽ
どれが使える／使えないなんていうのはこれ見るぽ
ttp://www.checkpoint.com/products/supported_platforms/compatible.html

外資の広告会社だがFIREWALL-1使っているがサポート会社がアメリカの無名会社DATAWAYとかいうの。
どうやらアメリカのITが　裏金もらって決めたのかと思うくらいひどいサポート。
トラブルあってメールしても音沙汰なし。ひどいときはネットワークが数時間とまることも。
それでいてパスワードは教えないから　日本はどうしようもねぇ。糞

このソフト、Windows XP proでNIC二枚ざしにすれば動作
しますか？
それとも、Server系を導入しないとだめ？
　（Windows2000Server、NT4.0Server）

会社に評価版があったのでそれを使用してインストールしたのですが、
、（説明書に）サーティフィケート・キーを有効にしてくださいと
かかれております。
その説明書によると
http://www.checkpoint.com/usercenterにて登録とあります。
どうやって登録するのでしょうか？
えらい人ご教授願います。

>>497さん
まだ気が向かない？ですか？

>>508
ごめん。すっかり忘れてた。（汗
天気がいいので洗濯が終わってから。

>>502
確かRedHatの7.xがベースなので、
RedHat7.xでサポートされてるものなら動く可能性は高いですよ。

エレコムとかの蟹チップは大体サポートされてますよ。

>>509
をぃをぃ（ｗ

IP530のAlertってLEDってどんなときひかるの？

はじめして
CCSA取得にむけて、勉強しようと思っておりますが、
何点か教えてください。

１．現在の行われている試験って、どちらのバージョンに対応しているの
　　でしょうか？
　　NG2orNG3

以上　宜しくお願いします。
　　

http://www.vue.com/japan/

まず、ここをみて試験の受け方とかについて勉強してからです。
話はそれからですな。

amazonでCP関連図書を探したのですが、
とうとう和書が出版されてしまいましたね。（本音を言ういと出して欲しくなかった）
とりあえず買おうと思うのですが、今更な内容だったらｲﾔﾝですな。

一番怖いのがこの本が設定だけに特化した内容で、
ネットワークの知識が無いやつでも設定できるようになることだな。
あやしい設定のFirewall-1がネット上に出没して、
情報漏れまくりとかにならないことをいのりまつ。

俺もさっそく今日の帰りにでもでかい本屋で探してみます。

家の近くの本屋をブラブラしていたら、置いてあったので早速買ってきますた。
内容はPhoneboyとCCSA/CCSEの講習本と定価8万円のCP謹製のマニュアルから
イイトコどりしたような感じです。
つまり、知っている人には今更な内容です。
ド忘れした時に備えて机のオブジェクトと化するぐらいかと思います。

さらっと目を通しただけなのでなんとも言えませんが、Stealthルールの解説が無いのは
ちょっとアレかと･･･。
# まさか今はそんなルールは要らないというオチでは無いですよね？

贅沢を言うなら、fw tabとかfw ctlのコマンド系の解説が欲しかったです。
あとは、SmartDefenseのDNSの設定でBIND9との素敵な関係ってとこか。
「詳しいことはマニュアル嫁」と書いているので仕方ないか・・・。

>>502

ここに書いてありまする。
http://www.checkpoint.com/products/supported_platforms/secureplatform.html

蟹も動くけど、RecommendedはIntelってことやね。

あげ

VPN-1って動的IPでインターネットにつながってる
その辺に売ってるVPN機能付きブロードバンドルータと
インターネットVPN張れたりできないのかな？

>>520

もちろん、できますよ

>>520
本当ですか。
やり方について、何か情報とかあれば教えてほしいです。

>>522

マニュアル読んでくだされ。ごく普通の設定だけだかんね

>>520

IPsec相互接続時の対向GWの定義にはInteroperable Devicesオブジェクトを使うけど、このオブジェクトは固定IPでしか定義できない。よって無理。(少なくともNGのR55では)

相互接続はメインモードIPsecになります。固定IP+メインモードIPsecでの相互接続手順については以下のリンクから「Check Point Software」でCP社謹製の英語ドキュメントを参照のこと。

http://www.vpnc.org/InteropProfiles/

オブジェクトを固定IPではなくDynamic Addressで対向を定義できるのはExternally ManagedではないCheck Point Object（つまりVPN-1同士でつなぐ場合）とCheck Point純正のブロードバンドルータであるVPN-1 EdgeとOEM品(SecureBlade)とかを使うときだけ。

というのが私の認識。

よけいなお世話かもしれないけど、せっかくCheck Pointの高価なソフト使ってるんなら、非固定IP/preshared secret/aggressive modeのIPsec接続みたいなセキュリティー上問題のある技術は使わない方がいいと思うな。

>>523、>>524
ありがとうございました。助かりました。

AGGRESSIVE MODEでFQDNのDOI TYPEを受け付けなかったので
無理そうだなとは思ってました。

>>524さん
おっしゃるとおりです。
せっかくのFW-1/VPN-1なのにと思いつつ色々と試してました。

>>280

NGXでしたね。

Global Properties の修正はポリシーのインストールで
設定値が反映するんでしょうか？ cprestartが必須でしょうか？
あるいは設定する項目によって違っていたりしますか？
低レベルな質問ですまぬ。

>>527
ポリシーをInstallすれば、桶。
cprestart するケースなんて思い付かない。

>>528

ありがと。自ノートでSmartDashBoardをDemoモードでいじって
現地作業を確認してたんですがちと不安になってしまって。

Firewall-1って２重化したときにちゃんとHTTPSのセッション
引き継げるの？

>>530

TCPのセッション引き継ぎはOKです。サービスオブジェクトの設定で除外していなければ。

SIPとかH.323みたいな複雑な奴は本当に動くか検証した方がいいと思う。

製品の違いがわからん・・・。

NG FP3
NG with AI R54
NG with AI R55
NG with AI R55W

使用OSはSolaris8で、新規に導入するにはどれ使ったらいいのか。。。
基本的にはFW機能メインでの利用です。

>>532
IPv6を使わないなら、NG with AI R55W が最新です。
(パッと見た感じでは、Solaris8 をサポートしているらしい。)

NG with AI R55Pというのも、Nokia 向けにはあります。

>533
情報ありがとございます。
4.0から使ってますがすっかりうとくなってしまった。。。

NGXが話題になっていない件について

もしかしてまともに動かないの？

>>535
日本の代理店が出して来ないからじゃないのか？

CCSEの有効期限が明日で切れまつ。
更新めんどくさい・・・。

先日代理店からR54というFP3の上位バージョンがあるのを知ったっぽ。
FP3の次はFP4ではないんか…まじめに情報追っかけてないから、
すぐに浦島太郎になるじょ。

>>538
おい。R54の上にR55があるぞ。
そんな情報を今流している代理店はやめたほうが良いんじゃないぁ？

>>532

NG with AI R54は、リリース直前までFP4と呼ばれていました。

FW-1 NGはFW-1 Ver 5.0。R54はRelease 54でVer 5 FP4とでも解釈して頂ければ。

R54からバージョン名の命名規則が変わったのです。それが混乱を招きます。

現状のメインストリームはNG with AI R55だと思う。

NG FP3・・・一応メンテナンスされているけど、そろそろ収束気味？HFA_318以降当てておけばだいたいのバグは潰れている、GUI周りとか微妙に荒削り。

NG with AI R54。「FP4」として長らくベータテストされていたけど、正式リリース後半年ぐらいでR55が出たのでイマイチ存在感が薄い。

NG with AI R55。現状、一番安心して使えると思う。少なくともHFA_08以降は当てておくべきと思う。

NG with AI R55W。「W」はWeb Intelligenceの略かもしれないし、「(笑」の略かもしれない。R55に新たなSmartDefence機能とWeb Intelligence機能を付け足した微妙なつぎはぎバージョン。
Web Intelligenceライセンス費用をお布施すれば、未知のWORM攻撃から透過的に守ってもらえるかもしれない。
R55に比べてパッチが遅れ気味で、新機能に興味なしならR55の方が幸せになれると考えている。

NG with AI R55 for IPSO 3.8(R55P)・・・これは、NokiaアプライアンスのIPSO 3.8x専用バージョン。
R55はIPSO 3.7xでしか使えない。機能的にはR55と同じだけど、たぶん内部コードには相違点がいっぱいあり、パッチのリリースノートに書かれているバグフィックスの傾向もR55と全然違う。少なくともHFA_R55P_02以降は当てておくべし。
IPSO 3.8xの新機能により性能向上が期待できる。

おまけ
R56・・・VPNクライアント(SecuRemote/SecureClient)のみ、このバージョンが存在する。
R57・・・Check Point Express CIというアンチウィルス機能を取り込んだ新製品のバージョン名。

私は、R55Wの存在は無視、R55推し。IPSO 3.8xならR55Pしかないのでこれを使う。

>>538

R54もR55も2003年のリリースですよ。

ただ、FP3も未だにパッチメンテナンスされているみたいなので、安定して動いているならいいんじゃない？って気もする。

FW-1として使う場合、FP3,R54,R55にそれほど違いはない。一度R55を使うと、FP3って細かいところがちょっとダメだと感じるようになる。そのぐらい。

>>535

CP社には

Ver 4.1 SP0/SP1
Ver NG FP0〜FP1(FP2も△)

という決して導入してはいけないバージョンがありました。2000年時点で取り扱い実績のあった代理店なら、新バージョンをすぐ展開するようなことはしないはずです。

新バージョンが美味しくなるまで、しばらく寝かしておきましょう。もうしばらくすれば数十個のバグFIXを含むHFAが降ってきます。

私は、パッチが当たっていないCP社ソフトウェアを導入することは生理的に受け付けられません。

>>542
>Ver 4.1 SP0/SP1
>Ver NG FP0〜FP1(FP2も△)

これは、ほんとにとんでも無い羽目になるバージョンでしたね。
懐かしい。。RapidStream/NGは地獄だった。

FP3 にも最初は泣かされました。HF-2が出るまではHFAが出るたびに当ててたなあ。

CheckpointがV4.1のサポートを中途半端に打ち切るから、FP3に乗り換えて泣いた人は
大勢いたはず。販売戦略なんだろうがあれは許せなかった。

あれ以来私も新製品が出たら半年は最低寝かせるようにしてます。
NGX？そんなのすぐ使うわけ無いじゃん。

Firewall-1のconfigからexeclやhtmlのファイルに変換してくれるツールを教えていただけないでしょうか？
ツールが幾つかあるとの情報をNetscreen板で見たのですが…。

Solairs8+R55使ってるのだがー、トランスペアレントモード的な設定で
できたっけ？IDP系機器を設置するので、IPを持たせたくないのです。。。

>>546
まずOSレベルで透過モード（ブリッジ？）をサポートしてなければ無理だと思う。

NOKIAのIPSOならあるバージョン以上で透過モードをサポートしていたはずだけど
Solarisでは・・・代理店に聞いたほうが早いんじゃない。

でもNetscreenとかと違ってFirewall-1はもともと透過モードを想定して設計
されていないので、透過モードでのポリシーが作成しにくいと思うけど。
ゾーンとか定義できないし・・・小規模ならよいが大規模なサイトだと
いろいろ困りそう。

それ以前にIDP入れるのになぜFirewallにIP持たせたくないのかがわからんが。

>>545
http://wyae.de/software/fw1rules/

後は、これですね？
http://www.checkpoint.com/techsupport/downloadsng/utilities.html
ここの、Web Visualization

どっちも一長一短です。
前者はポリシで使用しているオブジェクトのみ出力させるのに対して、
後者は登録されているオブジェクト全部出力させます。

>>548
ありがとうございます｡
早速使ってみます｡
m(_　_)m

>>549
いや、礼はいいから、この手のツールのNetScreen用を探してきてください（ｗ

私もNetscreen用のツールほしい！
だれかperlとか得意な人作ってくれないものですかね。

貰いトラブルのおかげで、結局今日のロードマップと抽選会しかいけなかった＿|￣|○
PSPあたった娘さん萌え〜

Checkpoint系ということで投下
NOKIA IP330のバッテリー(BR2032)をCR2032に交換したらコンソールでATが
何度も出てリブートしているようです。何とか直せませんでしょうか？
NOKIA保守担当のネ申..._〆(ﾟ▽ﾟ*)光臨キボンヌ

>>553
それってsetup消えてただのPC互換機に成り下がっただよ。
メーカしかナ恩無いと云われただがただじゃない

>>554
亀レスですが、ありがとう。あきらめましたｃ⌒っ ´・ω・)っφ

NG with AI R55Wなんですが、正式ライセンスをインストールしたら、
SmartDashboardにログインできなくなりました。
なんじゃこれ？

>>553
シリアルケーブルは、添付品を使用してますか？
過去SUNのケーブルを接続した時、
ATが何度もでたことがあります。
添付品のシリアルケーブルを接続したら、
正常に表示しましたよ。

IP350(IPSO3.8)を新規購入しました。
が、ドキュメントとイメージが入ってるCDは添付
されてるんですが、dashboard等manageアプリの
入ったCDが添付されてませんでした。
販売代理店やメーカからﾀﾞｳｿできるんでしょうか？

>>558
保守契約を結んでいれば普通は出来る。
無けば、クレ！と言ってみそ。

>>556
Motifのライセンスがオプションて、これのことか。
わかりくにいよ。説明不足。

よこしやがれ!!と言ってみたが、
くれる気配が無いんだが、、。
これはGUIを使わずにルールを書けという神の試練かな？

うちのサポートサイトには、アップされてたぞ
そふとぱんくべーべー

普通はサポートサイトにうｐされてるよな。
あずじぇんと

どうしても貰えないのだったら、CCSAとかCCSEをゲットすりゃ、
本家サイトからﾀﾞｳｿできるよ。

>>563
でも、CCSAやCCSEをとっても、それ以外のメリットはないけどね。
と、CCSE Plus を持っている漏れが言ってみる。orz....

>>564
CCSEを失効させてしまった俺から見ればあなたは神でつ。
つーか、この資格がないとSecureKnowlegeでｹﾞｯﾄできる
回答がイマイチなんでつよ。

SecureKnowledgeって、狙った情報が、なかなかヒットしないんだよな。
一般のユーザは、差別されてるの？

>>566
差別というより区別されてます。
一般ユーザは軽い情報しか見せてもらえません。

それこそが、差別というものだろ
もっと貢げと、露骨に言われてるようなもの

スレ違いかもしれないですけど、教えてくださいませ。
6000円でIP440（ジャンク）があったのでつい衝動的に買ってしまいました。
碌に知識ないので早くも行き詰ってます。
電源を入れると「Operating System not found」とでます。
てっきり、FireWall-1がプリインストールされてるかと思ったんですけど、別途入手する必要があるのでしょうか？
それと中身をみてみたのですが、HDDディスクがなく、IDEのケーブルが何かのカードに刺さってるんですが
HDDは元から無いでいいのですか？

>>569
dakara ジャンク ...

>>569
こいつか？
http://page10.auctions.yahoo.co.jp/jp/auction/m19881232

予備機に買っておくと、役に立ちそ

>>572
>>571の4ポートのLANカードってLiuxやsolarisとかの汎用OSで使えるのかな？

>>573

使えるよ。そもそも汎用品に型番つけているだけだから。
VPNアクセラレータも同じく流用可能

CPロゴつけることで、価格は50倍になってるが。

>>574
50倍…
この数字だけ見るとボッタクリと思えるけど、実情はそんなもん？

>>571の写真見ると長さが問題になりそうだけど3000円なら遊びで買ってみようかな。

FW-1 R55つかってます。
オブジェクト、ルールをCSV形式などのファイルからインポートすることは
可能でしょうか？

>>576
無理だろ。

cp_merge ってコマンドがあったので、ポリシーファイル、オブジェクトファイルをcsvから
作成して無理やり反映させました。

こんなツール出回っててもいいのになぁ。。。

>>578
漢だな。出来ないことは無いとは思っていたけど、
面倒だと思ったから無理だと書いてしまった。
本当にやる香具師がいたとは･･･。
ちょっと俺も>>578を見習ってみよう。
でも、本当にこの手のツールは欲しいですな。

AI R55でVRRP構成してfwからntpパケット投げてるんですが
なんかntp通信パケットのソースIPがvrrpの仮想ipにnatされてて
ntpサーバからの返答がその仮想IP宛に戻ってきてます。
挙句の果てにポリシールールでrejectされるって現象がおきてntp同期がとれません。
基本的にてfwモジュールからの通信は暗黙ルールで全て
acceptになるはずと思うんですがどうしてなんでしょう？
ちなみに待機系からもntpパケットでてるんですがこれも仮想IPにNATされてるんで
サーバからのレスがマスターの方にいっちゃってるんですよね・・・
なんか設定があるんでしょうか？
知識ある方どうぞご教授をm（＿ ＿）m

VRRPを設定する画面の辺りで、実ノードから出るパケットの
SrcIPをVirtualIPに変換するチェックボックスなかったっけ？
そこらへんをいじると、どーよ。

>581
レスどもです。
3rdなんたらって場所のチェックボックス外すと確かにパケットがNATされなくなって通信OKになりますねー
しかし、これがデフォルトの設定ってどうよCP・・・

久しぶりに触ることになったので保守しておきます

NGXは触れない方が良い領域なのかな・・

>>584
人柱乙！レポﾖﾛ

あぶねー。
単にアップグレードしようとして CheckPoint SecurePlatform
ぶち込みそうになった（汗

クライアント　−　FW-1　−　サーバ
この構成でパケットキャプチャしてると、ネットワークが混んでるとき
クライアントからのFIN/ACKに対するサーバからのFIN/ACKがFW-1に届く前に
FW-1からクライアントにFIN/ACK投げる場合があるみたいなんですが、
これって正常なのでしょうか。。
FW-1 NG ってTCPの開始と終了のハンドシェイクで、先出し？みたいな動作
するものなのでしょうか。

>>587
正確には覚えてないけど、あった気がする。
マニュアルを読まないと正確なことはいえないけど。

>>587
開始のハンドシェイクならSyn Defenderを使っていると
先出しすると思うけど、終了はどうなんだろう。

そうですよね。
開始のほうはSynDefenderについてマニュアルに解説があるのですが、
終了については不明で。パケット見る限りFW-1が先出ししてるとしか
思えないのですが裏づけがなくて困ってました。

保守しておくよ

自己レスです。
アカウント持ってる人間にSecureKnowledge調べてもらいましたが、
TCP終了時の先出しに関する情報は見当たりませんでした。
キャプチャデータは間違いないハズなのですが。

ポリシーインストールすると、
Acceptしてるパケットを止めてしまう現象って起きないでしょうか？

IP330＋FP3で、
ポリシーのインストールをすると「ごくまれに」通信できなくなってしまいます。
そこから再インストールや機器の再起動を行っても通信できません。
ログには一切残らず、インターフェイスでのtcpdumpで、外部ifに届いているが、
内部ifからパケットが出てこないという状態です。
ポリシーにて、止めていることはないとは確認済みです。

FP3からR55に上げてみましたが、同じ現象が起きました。
ご教授お願いします。

VPN-1 NG R55 と Fortigate を site to site で接続できた人いる？

>>593
nokiaでR55使ってるけど、ふつーに起きますな。
ずっと昔は起きなかった気がするので、仕様が変わったと
思ってる。（ipsoのflowとかと関係あるかなぁ）
non-SYNパケットが来てもいきなり弾かなければいいのかもしれん。
そういう設定はできたはず。
ポリシーとしていいかは別問題・・・

>>593

Rematch Connectionになってて既存のセッションが
切られることはよくあるけど、再起動しても通信できないって・・・
どうやって復旧したの？

IP forwadingがとまっているような気もしないではないけど、
そんな事例は聞いたことないし。

あと、swapinfoでIPSOのswapが1Gあるかも確認してみ？
古いバージョンからのUpgrade環境だと256MBになってるかも。

正攻法は、HFA最新まであてて、fw monitor取って、サポートへTELだけどね。

>>580-582の話題に近いのですがNG R55でSrcIPのNATを特定IPへ送信する時のみ
行わないようにする設定というのは可能でしょうか？
VRRPしててもマネジメント鯖宛には実IPで投げてるようなので可能なのかと思い
調べてみましたが該当するような設定項目が見つけられませんでしたorz

>>597
普通にNATのルール設定で
Src Dst Originai Original
ってすれば良いかと。
SrcがGatewayの場合というのは試したことが無いので
どういう動きをするかは判りませんが…。

>>598
情報ありがとうございます。
試験環境がなかったりするので休み明けに試してみようと思います

特定の Destination に向けて、携帯から http のアクセスを試みています。
この Destination に対する http アクセスは、いずれの Source からも
Accept するように指定済みです。

ところが、実際に携帯端末からアクセスしてみると、以下のような形で
アクセスできません。

1. アクセス開始（Accept のログが残る）
2. 端末側は、ページ転送待ちという表示（この間 FW 側にログなし）
3. 約一分後に、端末側に「指定したサイトには接続できませんでした(504)」
　というエラー表示（この時点で　TCP Packet Out of State）

最後のFWにあるログは 「First Packet isn't SYN; tcp_flags: RST」 で、それ
までに関係するログは残されません。

　ようは正常にアクセスさせたいだけです。
　こんな悩みを解決された方はいらっしゃいませんか？
　どうか教えてください。

>>600
Firewall-1 の問題なの？
単に Web server からレスポンスがないだけなんじゃないの？

Web server がどういうレスポンスをしているか調べましたか？

600ですが、結果報告をしておきますね。といっても、よくわからないのですが。

　まず、そのウェブサーバのゲートウェイがFirewall-1になっていたのを、Firewall-1の上にある
ルータに変更しました。まあ、軽い気持ちからです。
　それから、再びFirewall-1に変更しました。これも軽い気持ちからです。
　そうすると、解決しました。
　はて？
　最初の設定が間違っていたのか？　そんなことはないと思うのですが。

　俺はFiewwall-1とかウェブサーバとかに、心をこめて日頃の虐待を、言葉に出して謝罪したのですが、
それが受け入れられたのかもしれないと思っていますがいかがでしょうか。

NOKIA本体（IP260）にコンソールで入ってcpstart打ってやらないとSmart DashBoardやtelnetでつながらない。
なんでだろう・・・orz

装置起動時にfwmプロセスが起動していないか、コケてる？
cpstart打つ前にcpwd_admin list打ってみれば。

あ、telnetも繋がらないのか。（Voyagerも？）ならfwmだけの問題じゃないね。
netstat -a 相当でtelnetポートとかがListenになってるかどうかみるとか。
最終的には再インストールが早道なんじゃ。

>>604,605
最初からやり直したらうまく行きました。
NOKIA VRRPのHA構成で設定したんですが、ちゃんとVRRPも動作してよかったです。
が、ポリシーでLogにはかすように設定したにもかかわらず、
SmartView Trackerに全然ログが吐かれない・・・orz
サポートに聞くしかないのかなぁ。

ちなみにバージョンは
IPSO4.0
Check Point NGX(R60)
です。

>>606
NGXってどうよ？
俺はR62まで待とうと思ってるんだけど。

ＳＭＡＲＴ DEFENSEって使いものになるの？

それに一部のノードだけ入れてみたいんだけど、無理かな？

NGX 重いよー

あげ

VPN-1UTMとPOWERという製品名になるらしい｡

価格は変わるんかね？
特に以前の製品群の保守料金が気になるよー

>>611
どういう意味？

firewall-1 ver4.1(Nokia上で稼動)を使って、ネットワークを構築しています。
DMZにサーバをたて、グローバルアドレスにNATして公開したく思っています。
DMZ上のサーバからの通信は、問題なく通るのですが、外部からサーバへの通信が
確立しません。ログを見ると、サーバが返すACKのパケットがFirewall-1にて拒否
されているようです。rule0でunknown　establlished　TCP　packetという情報
が記載されています。
うまく通信させる方法はありますか？

HTTP?をacceptしているruleをログする設定にして、アクセスしてログ見て、SYNが来たときのSIP,DIPとdropされるACKのSIP,DIPの組を比較してみればなんかわかるんじゃ。

解決しました。IPスプーフィングの設定に問題がありました。
DMZグループというグループを使って、IPスプーフィングを防ぐように
してありましたが、今回追加したサーバを登録していませんでした。
グループにサーバを追加したらうまくいきました。
ありがとうございました。

>>613
firewall-1 ver4.1 ってサポート対象だっけ？

>>616
サポートされないから、こんなとこで聞くよりないんだろ。

NokiaのIP380用メモリ1GBアップグレードってもう売ってないの?
amazonやらどこも売り切れなんですが。

>>618
IP380が終わってるんじゃ？
とっととリプレースすれ。

>>619
確かに終了のアナウンスは出ているんだが、まだ受注してるよ　F社とか
なにか使えるメモリない？
大人の事情ってヤツでリプレースできないんだよorz

>>609
何言ってんだ
NGXはR55とほとんど変わらん
R55時代が長すぎて開発してないのかと思われそうだから
無理矢理出しただけ

重くなるのはUTMとか意味のわからん形態が変わる
次のバージョンから

Firewal-1ver4.1に関して質問があります。
ルールベースでhttpを許可しているのですが、この場合、メソッドとして、
postもgetも許可されているのでしょうか？それとも、postは禁止するなど、
どこかに設定する箇所はありますか？
詳しくは無いのですが、セキュリティサーバとかいう機能は使っていません。

それはhttpサーバで禁止する
層が違うのだよ層が

そうなんだ

>>623
＞ それはhttpサーバで禁止する

まぎらわしいが、それCPのhttpサーバ、つまりセキュリティサーバだろ。
4.1じゃバグだらけだって話だが。
とっととリプレースしろ。

>>621
＞ 何言ってんだ

知りもしないくせに、よく他人のこと言えるナ。

＞ NGXはR55とほとんど変わらん

Web Intelligence があるだろ。
R55+R55W⇒ NGX R60
webセキュリティ特化の変則バージョンR55Wを一般ラインに吸収、あわせてSmartCenterを強化。ちぐはぐな部分がだいぶ解消された。
NGX R61はほとんどR60のバグフィックス。いかし、あわせて商品体系が変更されてPower/UTMに。

重くなってきているのは、上位レイヤでのインスペクションの強化のため。
R55なら、SmartDefense切って、それでも遅ケりゃAIバッサリ切れ。
しかし、ハードをアップグレードするのがスジ。重いとか文句言ってるのはダメSE。

>>625
そんなことどこにも書いてないのに
そう判断できる理由が分からん。
httpサーバといったら単にhttpサーバだろ。

>>627
ﾋﾝﾄ: ｽﾚﾀｲ

>>627
本当にCP製品使ってる？

最近、お客さんからSOAP以外のHTTP通信をDropしてほしいと言われてます。
そんな事出来るんでしょうか・・・。
リソースオブジェクト作って試験しましたけど、出来なかったです・・・。

とこでみんなどんなハードとOSで動かしている？
最新のXeonとかOpteronとかどうなんだろう？

>>631
NOKIA IPSO 4.1

R62って、いつ出たんでしょう？
先週はなかったような気がするんですが。
プレスリリースとかありました？

今後の職場でこれ使うんだけど、
試用版みたいのないの？

NOKIAとNOKIA以外のファイアウォールとのVPN接続って出来ますか？
証明書とかでやってもうまくいきません。

>>634

http://www.checkpoint.co.jp/getsecure.html

SecuRemoteがつながってから10分くらいで切れるんだけど
なんでですかね?
鍵マーク的には繋がったままなんだけど
実際は切れてます。(pingとおらず)

nokia390でFW構築となっちゃいました。
問題はライセンス料金がいるかいないか。あるならそのライセンス名。期限は明日、少なくとも概算提示です。
方式はクライアント300をアクセスゲートウェイのIP-VPN経由し、ルータ、スイッチ、ノキア390となります。
製品だけでライセンス料はいりますか？
あるなら必要ライセンス名を教えて下さい。
全体を発注する、営業は、ライセンス料はいらないとの考えです。
全く経験なく、分かりません。
立場から論証する、必要があります。

UTMとかか？そもそもライセンスねーと動かないだろ。
500ユーザーのライセンスがあったはず。
もう遅いと思うけどな。

>638

NOKIA引くとこの営業にきいたら？
まずはそれから。

こっちにもあったのでまとめてage

いつの間にやらR65がリリースされてマスタ
このペースだと100位はすぐ行きそうですね

>>613
goo教えて。を見て類似質問がありましたので紹介します。
IPスプーフィングの設定の問題でした。

FW-1のDMZインタフェースにて、Validアドレスは、
others+【DMZ　Serversというグループ】になっていました。

このたびサーバのオブジェクトを追加したのですが、DMZ　serversグループに追加していなかったのが原因でした。

早速追加したところ、外部からサーバにアクセスできました。
http://oshiete1.goo.ne.jp/qa2275164.html

こんなことgooで聞く奴もいるんだな・・

FW-1 の管理サーバが障害を起こしたときなんですけど
エクスポートした情報 （$FWDIR/bin/upgrade_tools/upgrade_export の結果）
があればサービス停止なしで復旧できるんですかね？

Secure Internal Communication で使われるデータもexportされるのかな。。。

>>644
upgrade_inport は、cpstop してから動くから FW-1 はとまるよ。

>Secure Internal Communication で使われるデータもexportされるのかな。。。
確かexport されるはず。

>>644
管理サーバ別立てならサービスは原則無停止でイケル

Secure Internal Communicationは何故か繋がらなくなる事も
あるので、その時だけは張り直せ
この場合は当然サービス停止する罠
まずエンドユーザーには気付かれないけどｗ

情報サンクス

ＳＩＣがつながらないときは cpstop && cpstart でいいのかしら？？？

cpconfigでSICを再投入
EXITすると自動でcpstop、cpstartが走る

すいません質問です。インターネットＶＰＮってセキュリティはどうなんでしょうか？データを取られたりとか有るのでしょうか？導入しようかどうか迷っていますので教えて頂けないでしょうか？また、セキュリティを上げるにはどうすれば良いでしょうか？

firewall-1って普通のパソコンにLANカードさしてインストールしたら
使えるの？
何をどうしたらいいか誰か教えてください。
それと最安でいくらくらいで構築出来ますか？

アプライアンスなのにそんなことできるわけないでしょ。

>>651
よくわかりません・・・
ソフトで動いてるんだからソフト入れたら動くんじゃないの？

あれ、見たこと無いけど、Windows版とかあるんじゃなかったっけ？

>>650
検証だけなら、普通のパソコン上の XP でも動作する。NICは最低2枚あった方がいい。
本番機にするなら 、OSはWindwos2000 Server 以上のサーバOSにしなはれ。
対応OSに関してはココを見ておくれ。
http://www.checkpoint.com/ngx/upgrade/requirements/r62.html

何をどうしたら良いか判らないなら、手を出さない方が良いよ。
ベンダーに丸投げした方が楽だよ。

簡単に書くと。
1 OS Install
2 OS にパッチ当て
3 OS の設定
4 Firewall の Install
5 Firewall の設定って流れ
になる。

ちなにみ 5 は、どんな事がしたいのか判らないと書きようがない。
その位、機能も多いし複雑。

金額は、ユーザ数によって変わるので何ともいえません。

どうしても自分で構築したいのであれば有償の講習会とかあるから受けてみたらどう？

>>651
NetScreen 等の最近の製品しか知らない世代なんだね。

>>650>>652
その書き方からするに、ネットワークどころかPC関連にすら疎い
印象を受けるんだけど、どうしてそんな質問をしようと思ったの？

>>654
まともにcheckpointのページ見たことなかったんで勉強になったわ。
にしても、親切なお方や。

>>654
あんがとう。
金額はだいたいいくら？
ユーザ数は自分ひとりです。

>>655
ネットワークもPCもバリバリです。

>>656
>何をどうしたら良いか判らないなら、手を出さない方が良いよ。
>ベンダーに丸投げした方が楽だよ。

↑が読めないのか？人に聞くな。その程度の事が自分で解決できないなら手を出すな。

>>656
>>657 が言っている通り、手を出さない方が良いと思う。

あとね、１人しか使わないのに Firewall-1 は勿体ないよ。
ZoneAlarm とか NIS のような PFW で十分じゃないかな？

checkpoint のサイトで評価版を入手できるから使ってみたければ
申し込みしてみたら？

そもそもユーザー数って何？
管理者が一人だと一人じゃないの？

>>659
ユーザ数って言うかクライアント数だ。スマソ

クライアント数か！
我が家はPC５台。
家に無駄にFwirewall-1入れて〜！

>>661
もちつけ

みんなで家に無駄にFirewall-1導入しようぜ！
無駄ってすばらしいよね？

まずPF/WのJetico使え。

これが使いこなせなかったらFirewall1をちょっとでも使うなぞ夢のまた夢。

Firewall1を自宅に入れてる知り合いを知っているが、勉強の為だよ？

どうせならNetscreenの下位の製品ならリーズナブルで家でも実用的にいけるんじゃない？

時代はNetScreenだろ

Netscreenなんて簡単すぎて屁だよ

スレ違いですまんが、話しついでに聞くんだが・・・

Netscreen って昔はきちんとした stateful inspection ができていなかった気がするんだが
今は大丈夫なの？

>>667
一応、大丈夫。
続きは本スレへ。

Nokiaの箱買え。

R62ってHFA出てないように見えるんだけど気のせい？
見捨てられてるって事ないよね？？

R62 使っているから、
Security Hotfix 2 が出ているので、見捨てられないと思いたい。

でも、HFA でてないね。
R65 に集中しているのか？

Ruleではacceptしているはずの、通信がsmartdefence によってreject dropされてしまいます。
アタック名　アタックの詳細等確認はできるのですが、どのように対処すればよぃのかわかりません。Rule通りに通信できなければいみがないので困ってます。
どなたか、同じ状況になられたかたおりましたらご教授をいただけますでしょうか。

ここはベンダーサポートの場ではない。さっさとベンダーに聞け。
それができないなら、以下のファイルを晒せ

・ルールベースファイル
・オブジェクトファイル、
・fwlogでテキスト化した該当ログ

>>672
つーか、一度 smartdefence を全部切ってみれば良いんじゃないか？
それから、戻していけば原因わかるでしょ？

frashベースのfirewall-1入れてて、別セグメントにSmartCenter置いて管理しているんですけど、
SmartCenterのTrackerにacceptとかdropのログがのってこないんですよね。
ruleではログをとる設定にしていますし、オブジェクトの設定で「Event」とつくものは全て
有効にしているのですが。

こんな経験のある方いませんか？

>>675
ちゃんと、SIC(Secua Internal Communication)繋がってる？
ログがGatewayに残ってるような気がする。

SICダメならポリシーすら入らんから、どうだろ。
flashベースってことはNOKIAかと思うけど、
SmartDashboard開いて、そのNOKIAのオブジェクトのプロパティで、
ログ飛ばすサーバはどこ、みたいな設定なかったっけ。
（昔のことなんで、うろ覚え・・・）

>>675
NOKIA(IPSO)前提ですが、>>677に加えて、IPSO側でも設定項目がありませんでしたっけ？
あと、NOKIAのモデルによるかもしれませんが、私がFLASHベースのモデルを導入した時は、
「ログを外部に出力させるには」(英語)みたいな紙っぺらがあって、
このファイルのここを編集しろとか書いてあった気がします。
(私もうろ覚えですまん・・・)

>>678
それ syslog じゃね？

>>677
ポリシーインストールしたって書いてないから…。
DashBoardで確認しただけであって、インストールしてないっしょ？

後、FlashBaseってのがきになる。

>>680
まぁ確かにそうなんだけど、運用中の環境みたいだし・・・
とりあえず、休み明けの >>675 に期待ｗ

みなさまありがとうございます。

SICの確立、ポリシーのインストールは正常に行われている状態です。
また、みなさんご指摘の通り、使用機器はNOKIAになります。

>>675には記載していませんでしたが、NOKIAと管理サーバ間にはもう一つ
ファイアウォール（Check Point社製ではない）が噛んでおり、そいつに
source：NOKIA　dest：管理サーバ　all allow
のルールを追加してみてもログがのって来ない状況です。

なのでfirewall-1の設定で抜け箇所があるのかな？とここで質問した次第です。

ここらへんを見直してみれば？というアドバイス頂けないでしょうか。

書き忘れました。

firewall-1のオブジェクトの設定で、「ログサーバは管理サーバ」という
設定はしております。

>>683
SIC結べてたらログが飛んでくるはず…。
1個もログ飛んでこないのでしょうか？

ログが本当に飛んでないのなら、Flash内に溜まってるかと…。
最近NOKIAいぢってないので詳しい方どなたか

>>683
NOKIAならTCPDUMP取りゃスグに分かる

失礼
SNOOPだったかも試練がまずはキャプチャ汁

>>686
snoopはSUNだけだ。

このスレにこんなに書き込みがあるのを見たのははじめてｗ

>>679
そう言われると、そうかもしれず
勘違いスマソ

>>675

その「中間にあるＦＷ」があやしいね｡

any allow
っていうのは、「その機器で定義された全てのサービスを透過」
という意味である場合が多いので、ISC、というかSmartDashbord/
SmartViewが使うポートを書いてあげないとダメかも｡

Netscreen(ISG/Juniper)やらFortigateやらSonicWall/ESAなんかは
こうだった。L2/L3レベルで何でもスルーしろって意味じゃないので、
要注意｡

違ってたらｺﾞﾒｿ

お久しぶりでございます。>>675です。ご報告があり参りました。

結果として、>>689さんの指摘の通り中間にあるFWのせいでした。
all allowの設定を、ログ通信用（257番ポート）のみ許可したところ
問題なくログがのってくるようになりました。

結局FW1のせいではありませんでした。
お騒がせいたしまして申し訳ありませんでした。

それと、ご意見を下さった皆様。
色々とためになりました。ありがとうございました。

R65 って安定している？
R62 から移行するか悩んでいるんだが。

>>675

おめでとう!これが解ってるとアプライアンス系ＦＷでハマることはもう
無いです｡私はすっかりSonicESAの虜｡アプライアンスの世界に来ませんか?

>>692
何をもって安定と言うのかが不明なので答えようがない｡おまけに等しい機能
まで全部含めて安定動作を意図するなら、移行なんて考えない方がいいよう
な気がする｡

FWの基本機能（sNAT/dNAT/PortFowardを含むポリシー）だけならR65の
初期ﾘﾘｰｽで問題無い｡ただIPSOの方はマメにチェックする必要有｡NOKIAじゃ
無いのであれば、OSのパッチだけ当て続けておけばまずＯＫ｡

今のところ、R61以降のものはよっぽどのトピックが無い限り移行の必要を
感じない、かな｡

>>689

＞Netscreen(ISG/Juniper)やらFortigateやらSonicWall/ESAなんかは
＞こうだった。L2/L3レベルで何でもスルーしろって意味じゃない

そうなんですか。
知らなかったから勉強になった。
でも前に設定した時は何でも通したような記憶があったのは間違いなのか・・・

Source：管理用PC　Destination：any　Service：any
これで全部通ってた気がする

>>694
CheckPointもAnyは定義されているサービスのみ通す

練習用の環境が欲しかったので、IPSOをVMWareにインストール。
・・・ネットワーク認識しない(T_T)

さああ

HDDなしのNOKIAを手に入れたものの、
BootManagerのインスコができねぇ…

IPSOすら拝められないなんて…orz

IPSOのライセンスがないならm0n0wallやpfSenceや
はたまたFreeBSDそのものを入れればいいじゃない。

これの資格試験受けたんだけど、どこで申し込むの？
プロメトリックではやってないよね？
誰かサイト教えてください。

×これの資格試験受けたんだけど
○これの資格試験受けたいんだけど

これの試験ってCCSA？
確か英語だったよね・・・

プロメトリックじゃなかったらVUEかな？

この手の試験にありがちな
英語で受けたほうがマシという展開か

いちおー日本語か英語は選択できるの？
なんかマイナーすぎてローカライズしてない気がする
資格の有効期限ってあるの？

http://www.checkpoint.co.jp/services/education/certification/faq/index.html

CCSE って最近は知らないけど、
日本語の翻訳が悪いから、英語で受けた方が簡単だった・・・

CCSE Plus は、英語で受験したけど。

保守

nokia-checkpoint難しいね〜。。

>>708
何が難しいの？

ってか、もう終わりだろ？

>>710
終わりって業界内で定期的に話題になるよね。
ところで、何が終わりなの？

>>711
Nokiaのほうな
ttp://www.nokia.com/A4136001?newsid=1255162

ttp://www.checkpoint.com/press/2008/checkpoint_to_acquire_nokia_sab_221208.html

どなたか古いS-box用の4.0.xをお恵み下さいませ

>>713
IPシリーズ終了か・・・

そんなにシェア低く無かったと思うのに惜しいな

はじめましてこんばんは。
皆さんにお聞きしたいのですが、CCSAを更新しないで資格喪失してしまった場合は、
再度一から試験を受けなおす必要があるのでしょうか？
それとも手続きなどだけで済むのでしょうか？

ご教授願いますm(__)m

チェックポイント製品に「本当に」詳しい代理店ってないですかねぇ？

どいういうレベルを求めているのかしら

自称詳しいソフトバンクBBより上
Safe@Officeの挙動の質問に回答できるレベル

>>720
そもそも聞くのが間違ってる。
自分で調べろ。

R70がリリースされたね

Firewall-1でNATの設定をしている場合、そのNAT変換を行っているログって見れますか？

見れるよ。

>>724
見る方法を教えてください。

>>725
デフォルトのログに出てるが。

>>726
デフォルトというと、/var/log配下にあるmessagesログですか？
それともSmartViewTrackerのログですか？

ちょっとは考えろよw

何も知らないで聞くのは別にいいが、自分で調べる気が全く無い奴に説明する程親切な奴は・・・いるなｗ








ベンダーに聞け。

会社の機器なので、あまり勝手にはいじれないんです。
とりあえずキャプチャして確認します。

確かマニュアルがダウンロードできたはずだが、それすら探す気ないの？
それ以前にログがその2種類あるってわかってるなら、両方見て確認すればいいじゃん。
なんで確認しないの？