[Check Point] VPN-1/FireWall-1 CF1
1 :
名無しさん@お腹いっぱい。 :
03/02/07 02:29 CheckPoint VPN-1/FireWall-1(FW-1)について、 本格的な運用や技術に関する討論を展開して参りたく、 本スレッドを存分にご活用ください!! ♪ VPN-1/FireWall-1 を利用するにあたっての心構え ♪ 其の壱 英語の(エラー)メッセージにくじけない! 其の弐 ログはためても 100MB くらいまでにしましょう。 其の参 本番運用で SecurityServer の機能は使わない! 其の四 AIX, HP での運用はサポート外とさせて頂きます。 其の伍 Motif GUI のライセンスを買うなら、Windowsマシンを買おう!
2 :
名無しさん@お腹いっぱい。 :03/02/07 02:30
∧△∧ < `∀´> │∪ つ 果たしてどれだけのユーザがこの板にいるニダ? ∠___丿
>>1 サポート入ってないとパッチもらえない
というのはホントですか?
>>3 さん
私がこのスレッドを立てたことで、うちわの人間や FireWall-1 ユーザの
方々が、続々と集まってくるとの情報が得られておりますので、最低でも
“5人”くらいはいらっしゃるかと思います。
>>4 さん
はい、本当だと思います。
私の知る限りでは、保守(サポート)契約を結んでいるお客様だけが、
パッチを提供してもらえています。
念のために、FireWall-1 の販売代理店さんや、サポートサービスを
提供している会社さんへ、問い合わせてみるのが良いかと思います。
>>4 ほんとです。契約してるとパッチやらサービスパックやらの
お知らせメールが届く。そのメールに記載されたID/PASSで
ないと落とせない。
もーね、なんつーか一時期のCISCO以上の殿様商売。
7 :
殿様商売の顧客 :03/02/08 07:51
ログ吐かせるとき -n オプションをつければIPアドレスになることを最近知ったんですが、ポート番号を吐かせるにはどうすれば?
セッションの維持が1時間ですが、無制限にでいますか?
9 :
ぼるじょあ ◆yBEncckFOU :03/02/08 16:32
(・3・) アルェー 誰もいないYA!
10 :
名無しさん@お腹いっぱい。 :03/02/08 17:01
今後はNG(Ver5.0)でもHP-UXをサポートしていくみたいだね ただしIA64だけらしいけど
>>7-8 殿様商売の顧客さん
ポート番号を吐かせるということは、FireWall-1 で定義されている
Service名をポート番号に変換して…
たとえば、"http" を "80" というように…
ログに表示させるということでしょうか!?
マニュアルにその方法が掲載されていないようでしたら、出来ないと思います。
Service名をポート番号に変換してログ出力するということは、
私も試してみたことがありませんので、ちょっと調べてみたいと思います。
ご存知の方がいらっしゃったら、教えて下さいませ。m(_ _)m
セッションの維持を無制限にすることですが、これはたとえ設定出来たとしても
セキュリティ上好ましくないと思いますので、設定しないことをお勧めします。
ちなみに、"TCP Session Timeout" の "3600s(1時間)" を変更することは、
[Global Properties] の [Stateful Inspection] から設定可能です。
上限値は、"86400s(1日)" だったと思います。
1さん、丁寧なご回答ありがとうございます。 殿様商売の顧客(7のほう)です。(8さんとは別人です) まさに1さんがお書きの通りのことをやりたくて、 -a, -b, -c, ... とでたらめにやってみたのですが、 悪あがきに終わり、力尽きました。 もしおわかりになれば、教えてください。 FW-1は圧倒的なシェアのはずなのに... 個人向けではないせいか、このスレ寂しい...
13 :
名無しさん@お腹いっぱい。 :03/02/11 20:51
あれっていくらぐらい?PFWとの違いは?機能面での。 だいたいでいいので教えてください。
>>7 さん
8 さんと混同してしまい、申し訳ありませんでした。(;^_^A
ログのポート番号表示出力の可否ですが、出来るかどうかも含めて、
引き続き調べてみたく思いますので、しばしお待ちの程…
>>13 さん
検索エンジンで、“Check Point VPN-1/FireWall-1 価格表”といった
キーワードから検索してみたら引っかかると思いますのでお試し下さい。
あとは、管理されるネットワーク構成やご要望のセキュリティポリシーと
照らし合わせて、どのライセンスを購入するか決められたらよろしいかと。
PFW(Personal Firewall、パーソナル・ファイアウォール)との違いは、
パーソナル・ファイアウォールが1台のパソコンを守るのに対し、
FireWall-1 を含む企業向けファイアウォール専用装置は
ネットワーク全体を守ることが出来る、といったところではないでしょうか。
上記の他にも異なる点は多々あると思いますので、
>>2 に貼ったリンク先ウェブサイト等を参照してみて下さいませ。
依然寂しいですね。保守age。 他にもいろいろ聞きたいことがあるので、 1さん以外にも詳しい人降臨希望。 13さんが価格を気にされていますが、ネタですか?と 問い詰めたいほど高額ですよね。このご時世、そんな に金はたいて、果たして費用対効果はどうよ?って感じ。 パソコンにLinux入れて、NIC2〜3枚挿して、フリーの FWソフト入れれば、パケットフィルタリングしかやらない のなら、それで十分かつ安上がりかなと...安易かな?
16 :
ぼるじょあ ◆yBEncckFOU :03/02/13 19:55
(・3・) アルェー
www.phoneboy.com なら情報交換活発ですよ。ただし英語ですが。
言い遅れましたが、基本的に私がここで設定等に関して書きこむ際には、
FireWall-1 の最新バージョンでの設定内容を書きこむように致します。
つまり現時点では、
FireWall-1 NG(Next Generation) FP(Feature Pack)3 での
設定内容をベースに話しているとお考え頂ければ結構です。
>>7 &15 さん
fw logexport では、やはりポート番号表示できないことが判明致しました。
その代わりと言ってはなんですが、GUI:SmartView Tracker(旧 Log Viewer)
上では、Service名 ==> ポート番号と、ボタン一つで変換して閲覧できるように
なっておりますので、こちらでご満足頂ければ幸いです。
ちなみに、少々時間がなく検証していないので何とも言えませんが、
# fw log -(ポート番号変換オプションがあれば入力) > fw_20xx-1231.txt
以上から、Service名の代わりにポート番号が表示された fw logexport の
結果もどきが入手できるかもしれませんね。
>>8 &11 さん
TCP セッションを維持できる上限時間は、やはり "86400s(1日)" でした。
GUI:SmartDashboard(旧 Policy Editor)上で TCP Session Timeout 値の
上限を探ってみればすぐにお分かり頂けると思いますので、お試し下さいませ。
>>14、>>15 レスサンクス。 ネットワークを守るという点でやっぱ高いのかな? 僕はPFWはたいていはアプリケーションレベルゲートウェイのタイプで 確かにPCを守るのには堅牢だと思います。パケットフィルタ ステートフルらと比べて最高の防御能力がありますからね。でも やっぱ企業向けはさらに細かいことができるのかなと。 なんか知らないけど。そういう面で気になったんで。 やっぱファイアウォールにIDSというのは常識になりつつあるのでしょうかね? 穴があってもIDSなら悪意あるパケット等があればはじけますし。
>>17 とにーさん、情報ありがとうございます。
のぞきはしましたが、まずは英語を...がんばります...(汗)
>>18 1さん、わざわざありがとうございます。
fw log のオプションで出来るか、もう一度あがいてみます。
NGですか...うちのは過去の遺物...
>>19 13さんの話、難しくてついていけない...(涙)
あんたたちはSOHO向けの使ってるんですか? なぜかこういうのって公式HPにいってもなぜか価格表が 見当たらなかったりするんだよね。だけど7万ぐらいだっけ? ソニックは14万ぐらいだけど。買おうかと思ったけど手続き等が 面倒くさそうだったのでやめた。店頭販売で3ライセンスぐらいまでで その分4万ぐらいだったら買ってもいいけどw
>>19 PFWがアプリケーションゲートウェイという分類は誤りだと思います。
あるいはそれが、ステートフル・インスペクションより防御能力がある
というのも論理的には?ですね。
企業向けに細かいことができるというのはそういう見方もできるでしょうが、
細かいというよりむしろ付加価値ですね。
FW-1は純なファイアウォールとしての機能以上に付加価値機能が多いのです。
認証、NAT、VPN、ロードバランシング、コンテンツベクタリングプロトコル、
ハイ・アベイラビリティ....
全部ゲートウェイポイントにいれてしまえばいいでしょ
という発想ですね。それはそれでいいのでしょうが、何分巨大化してしまって...
すくなくともFW-1は120%企業向け製品です。使ってるヒトは限られているので、
PFWやウィルス系に比べたらこのスレに投稿が少ないのも当然で...
IDSとファイアウォールの併合は、IPSといいまして最近の傾向ではあります。
>>20 (7)さん
なんらかの方法で上手く結果が出ましたら、お使いの FireWall-1 のバージョン
と共に、実施された方法を教えて頂ければ幸いです。m(_ _)m
>>25 さん
FireWall-1 の SMTP Security Server がメールの不正中継対策をできない!?
ということを懸念されてのご指摘とお見受け致しましたが、だと致しましたら、
2点ほど申したいことがございます。
1. 基本的に、メールの不正中継対策はメールサーバ側で設定して下さい。
2. FireWall-1 でのメールの不正中継対策は、あくまでも上記 1. の対策の
backup とお考え下さい。
その上で、設定に誤りがないか確認して頂ければと思います。
以上の認識で以って、まずは該当するメールサーバでの不正中継対策を検討して
頂くことが重要かと思います。
尚、不正中継を受け付けてしまう実在するアドレスをそのまま記載することは、
いかがなものかと思いますが… 2ch 的には OK なんでしょうか!? (;^_^A
>>26 http://www.nanet.co.jp/rlytest/faq.html http://www.ordb.org/lookup/?host=menmail.mie-c.ed.jp ウチのサーバは不正中継を許さないはずなのだけど、合格しません
このテストでは、第三者中継の典型的なパターンに則って検査をしています。
具体的には、FROM行を偽って弊社のアドレス向けにメールを送ろうとした時点で、
OKの肯定応答を返した場合、不正中継を許すと判断しています。
従って、肯定応答を返してメッセージを一旦受け取るが、中継しないサーバの
場合は、「不正中継を許す」と判断されてしまうことになります。
これを解決しようとすると、実際に不正中継を行わせて検査をすることになり、
他の面で様々な問題が発生することから、本テストではそこまでの判定を行わない
ことにさせて頂いております。
-----------------------
テストに合格したはずなのだけれども、ORDBからメールが来ました
本テストで行っているのは、不正中継の手段の典型的な一例に過ぎませんが、
ORBSのテストはさらに厳しく十数種類のパターンから構成されています。
このため、本テストで合格するものの、 ORBSの検査では中継を許してしまう
場合があります。
また、本テストでは、テストを行ったことを管理者に分かりやすくするために、
FROM行に様々な情報を埋め込んで、非常に長いFROM行を生成しています。
一部のサーバでは、この長いFROM行に対して否定応答を返すために、本テストでは
合格してしまう場合があります。
4.1 から NG にアップデート(アップグレード?)するってやっぱ大変?
NOKIAじゃなくてSolarisで動いてる奴なんだけども・・・。
>>27 mail from: は通って rcpt to: ではじいてるということ?
勘違いならすまんです
>>27 さん
丁寧な説明、ありがとうございました。
もっと勉強しなければ…と思いつつ、スペランカーでたわむれていたり…(爆)
>>28 さん
現在使われている Solaris のバージョンは“8”でしょうか!?
また、CPU は UltraSPARC II 以上でしょうか!?
基本的に、上の条件を満たしていれば、アップグレードは簡単に行えますよ。
アップグレードして上手く動作しなければ、pkgrm でダウングレードすれば、
v4.1 の環境は元通りになりますしね。
ちなみに、v4.1 から NG へアップグレードする方法には、大きく分けて
二通りありまして、
1. v4.1 SP6 から NG FP"3" へアップグレードする。
2. v4.1 のどの SP からでも NG FP"1" へアップグレードする。
その後、適宜 FP3 なりへアップグレードが可能。
以上のようになっております。
NG FP"4" が数ヶ月以内にリリースされる予定ということを考えますと、
上の 1. の方法でアップグレードする準備:つまり、v4.1 SP6 でない
SP レベルの v4.1 を運用されている場合には、SP6 まで上げておいて、
FP4 まで一気にアップグレード(多分できると思います。多分…(笑))
する方法がスマートかもしれませんね。
NGの最近のバージョンで、TCPのサービスを作る時に Match for Any というチェックボックスがありますけど、これって どう使うんでしょう・・・? つけた時とつけない時の違いがわかんない・・・。
32 :
名無しさん@お腹いっぱい。 :03/02/21 23:00
>>1 さん
> 其の参 本番運用で SecurityServer の機能は使わない!
どうしてなんですか?
ご丁寧にお返事ありがとうございます・・・ OSはSolaris8ですが、俗に言う嘘ラリスってやつです。 ハードウェアも満たしている(と思う)はずですし、FW-1はSP6にHotfixをいくつか・・・。 一番気にしているのは、4.1時のオブジェクトやルールがそのまんま適用されて問題なく 使用可能なのかどうかです。 NGになってから、オブジェクトのプロパティ項目が少し変わったと聞いているのですが、 だいじょーぶなのかなぁ、と。 仮に動かなかったときに、元に戻すのは29で書いていただいたとおりでいいとしても、 いずれNGにしなければならないし・・・。 まだ依頼があったわけではないですが、そのうち話が来そうでおびえてます(笑)
34 :
名無しさん@お腹いっぱい。 :03/02/22 08:05
Provider-1スレはどこですか?
35 :
名無しさん@お腹いっぱい。 :03/02/23 01:42
>34 そんなマニアックなスレないと思われ。
36 :
名無しさん@お腹いっぱい。 :03/02/23 12:02
>>28 さん
36さんもおっしゃっておりますように、v4.1 で利用していたオブジェクトや
ルールが NG で問題なく使用可能かどうか、NG へのアップグレード前に判断
できるツールとして、「Upgrade Verifier Utilities」と言うツールが用意
されておりますので、一度試してみてはいかがでしょうか。
ダウンロードは下記の URL からどうぞ。
http://www.checkpoint.com/techsupport/downloadsng/utilities.html ちなみに私はメーカーの人間ではありませんが、いつの間にやら、メーカーの
担当者のような口調になっていて…なんともはや(苦笑)
ともあれ、ややこしいバージョンアップの話が来ないことを、
わたくしも祈っております(笑)
>>31 さん
Match for Any は… 以前に冷や汗を流しながら勉強して、何かに利用(検証)
した記憶があるのですが…すっかり忘れてしまいました(汗)
少々調べたく思いますが、ご存知の方がいらっしゃったら教えて下さいませ。
(他力本願過ぎますでしょうか (;^_^A)
>>32 さん
36さんのおっしゃるように、トラブルが多い(信用できない)と言いますと、
日本国外製ソフト/ハードウェアの信用の置けないこと置けないこと(笑)、
とも思いますが、まぁ実際に SecurityServer を利用して UFP や CVP を
(同時に)使用してみれば、そのリソースの消費具合やチェックの重さが…
それはそれとしてですね、例えば、URL フィルタリング機能を導入するために
Websense を利用する場合を仮定して考えてみますと、
Websense for FireWall-1 ではなく Websense for ISA を導入して
FireWall-1 側ではなく Proxy 側に連携させて、FireWall-1 への負荷を減少
させつつ、その分 FireWall-1 のパケット検査としてのパフォーマンスに余裕を
持たせれば、何らかの攻撃や DoS のような負荷攻撃を実際に受けた際のために、
FireWall-1 に余力を持たせることが出来て better だと思っておりますので、
<其の参 本番運用で SecurityServer の機能は使わない!>
と、謳ってみた次第です。
>>36 さんがおっしゃっている Migration する方法に関しましては、まだ FP3
では試してみたことがありませんので、暇を見つけて検証してみると致します。
全然話は変わって先のことだと思いますが、当分 FP4 でいてくれる(すぐに
FP5 などと聞こえてこない)ように願うばかりですねぇ。
みなさんは、FPレベルの上昇速度に付いていけてます!? 私は…うっぷ(笑)
ふーんこんなスレがあるのか。
NGのFP3ってポリシーの書き方全然違ってるよね。 従来型の書き方もサポートされてるけどよ。
>NGのFP3ってポリシーの書き方全然違ってるよね。 >従来型の書き方もサポートされてるけどよ。 先日、はぢめてNGのポリシーエディタみたんですけど… VIA IFって 行が増えてますけどきっちり設定しないとあかんの?
>>31 さん
Match for 'Any' にチェックが入っている Service は、Service に
Any が設定されているルールに適用される、ということが分かりました。
実際に検証してみれば、その効果をなんとなく体感できると思いますよ。
>>42 さん
VIA IF は、VPN を利用している際に有用なカラム(行)となっていますので、
VPN を利用していないのでしたら、特に設定する必要はありませんよ。
効能のほどは、マニュアルに書いてあると思うのですが、いかがでしょうか!?
もう近日中に、FP3 の日本語マニュアルが出る(もう出ている!?)ようですね。
>>43 さん
そのリンク先の「チェックポイントスレッド」では、チェックポイント社が
扱っている・関わっている製品全般についてや、他社製品との比較等々が
良く議論されておりますので、FireWall-1 の技術系の話専用のスレッドが
欲しく、探してみたのですが無かったので、本スレッドを立ててみました。
私は、本スレッドを以上のように区別して活用出来ればなぁと考えております。
>>44 どもです。
私のつたない英語力で読んだ感じでもそうだと思って、実機で
テストはしてたんですが、変化が見えなかったのであの書き込みに
至ってます。
例えばtelnetのオブジェクトでチェックをつけたり外したりして、
サービスAnyの挙動って変わります?
またテストしてみるかな・・・。
46 :
名無しさん@お腹いっぱい。 :03/03/03 23:08
良スレage
47 :
名無しさん@お腹いっぱい。 :03/03/06 22:48
FW-1スレの良い子のみんな! FP3はかならずHotFix-1を当ててから運用しようね! おにいさんとのやくそくだよ! あと、これからNOKIA IP Seriesを買うときはIP330なんか買っちゃだめだよ!
48 :
名無しさん@Meadow :03/03/07 00:41
微妙にスレ違いっぽいんだけど、Securemoteインストールしたら msvcrt.dllがどうこうってerrorが・・・ こういう場合どうすりゃええの?
49 :
名無しさん@お腹いっぱい。 :03/03/07 12:51
50 :
名無しさん@お腹いっぱい。 :03/03/08 09:55
>>31 さん (
>>45 )
FireWall-1 で最初から定義されている "telnet" はそのままに、同じポートを
利用する "telnet-b" という名前ででも TCP Srevice をもうひとつ作成して
それぞれの Service に対して違う経路での通信を許可したようなルールを設定
してみます。
Rule no.1: "telnet" を許可している Service は "Any" にして、
Rule no.2: "telnet-b" は個別の経路での通信を許可するとか
…こういう設定で良いかと思います。
そして、それぞれの経路で telnet の通信を行って、SmartView Tracker を
見てみますと、適用されている Rule 番号が異なっている結果が確認できると
思います。
以上の結果から、例えばですが、それぞれの Service の Session Timeout を
個別に設定して、適用させるルールごとに Service の区別化を図ったりと…
使い方は色々あると思いますので、試してみるとなかなかおもしろいですよ。
53 :
名無しさん@お腹いっぱい。 :03/03/08 19:32
ディスコンになっても相当の年数(5年くらい)は保守対象になりますけど、 それ以前にIP330は機体のスペック低すぎ。 古いロットだとK6-2の266。現行ロットでも400。 IP350でPen3の700、IP380でP3 900ってことを考えれば... もひとつ330がお奨めできない理由として、内蔵HDDが IBMタイマー(稼動1年)つきのプチ欠陥型番だということが挙げられます。 HDD障害でRMA逝きの多さは群を抜いてますよ。 ちなみに初期ロットのHDDはWesternDigital。 あと、HyperTerminalで初期設定すると壊れる(RMA対象)。 TeraTermとかminicom使いましょう。ネタですか? みたいなマジの話。
54 :
名無しさん@お腹いっぱい。 :03/03/08 19:52
みんな、VPN-1/FireWall-1は何に載せて使ってる? Win?Unix?それともノキアとかのアプライアンス? うちはSun E450。GUIはWin。4.1の保守切れるし、アプライアンスに乗り換えるか検討中。 。。。NetScreenに乗り換えるかもナー
このスレが
>>1 の自作自演によって成り立ってる様に見えるのは漏れだけ?
まぁ、
>>1 が会社の工作員である事だけは文体より明らかだが。
>>55 多分お前だけ。
住人が20人もいない過疎板では宣伝する意味が無い。
>>55 最初の方のは全部自作自演に間違いないが、最後の方のは違うだろ。
>>1 が会社の工作員なのは疑いようが無いな(w
わざわざ会社(どこの会社だい? CheckPoint?)の工作員がこんなところで 自演しても意味ないだろ。まったく個人向けじゃないし(笑 まあ貧乏人はSonicWallでも使ってろってこった。 >54 弊社はHP-UXですが何か?
>58 アズ(略
>>51 なるほど。
同じポートを指す2つ以上のオブジェクトを作った時に
効果があるわけか。
ありがとー
>>54 さん
ご参考までに、
FireWall-1 を運用するにあたって最適なプラットフォームは、順に、
1. SecurePlatform
- Red Hat Linux ベースで、癖があるけれども開発元のお墨付き。
2. Unix 系(Nokia 等も含む)
- 安定度が良いですね。
3. Windows 系
- 使い勝手が良い & Windows2000 なら安定度も合格点でしょうか。
と聞いたことがあったり、
今まで利用しての印象です。
2. の Unix系をさらに分割するならば、
a) Solaris、Red Hat Linux : OS 本体にカスタマイズできる幅がある。
b) Nokia、等の箱モノ : Unix 系 OS を一から勉強する手間が省ける。
と、
以上のように住み分けされているように思います。
>>31 さん(
>>60 )
いえいえ、どういたしまして。 m(_ _)m
また何か技術的なネタがありましたら、私の方こそ教えて欲しく思っております。
なので、その際にはよろしくお願いいたします! > 31さん & ALL
63 :
名無しさん@お腹いっぱい。 :03/03/11 15:17
NOKIAはVRRP Monitored Circuitとかの冗長化構成が比較的簡単にできるとのもウリかと思うのだが・・・ 箱モノはサポート受けやすいってのも大きいと思う。 ところでWindows版のFW-1は安定しているのか???
NOKIAたんは配備期間が最短で済むね。バックアップレストアもワンタッチ、
IPSO(OS)もパッケージも最近のはえらく更新が簡単になってきた。
VRRPが簡単かつ追加ライセンス要らずなのもアドバンテージだね。
問題は近い将来の目玉となるIP Clusteringなわけだが今のところ(´・ω・`)だ。
ちなみにNOKIAのKBはとても充実している。SIerとしてはこれもポイントだろう。
まあそこらへんはアz(略 とかソフ(略 みたいなNOKIA一次店の営業が
強調しているところなわけで、あまりここで強調すると激しくまわしものっぽくなるが。
・・・まあ事実漏れはNOKIA使いなのでまわしものなわけだが。
ときに
>>62 よ、
1. SecurePlatform
これって売れてますか? ろくに実績を聞かないのだが。
>>63 Windowsについては・・・
64の言ってる通り(笑
SC(MC)兼GUIとしてならいいんじゃないのかな?
規模と顧客のポリシーによるね。Winだからだめってことはないと思う。
Enforcement Moduleとしての利用は・・・それってメリットあるか?
FP3から色々呼び名が変わったでしょ。 慣れないねぇ...
FP4からまた呼び名が変わります。 とかだったら殺す。
DQN作業でまだ仕事中。。。 おへんじくれた人どーも。 Sun 1 HP-UX 1 Nokia 1 NEC 1 うー。。。いまのところなんとも捉えどころのない結果。 UNIX系とアプライアンスで半々。 NECのってExpress5800+Linuxですか? >61氏
>>54 さん (
>>68 )
本当に、おつかれさまです。m(_ _)m
も〜、そういった作業は、ホッタラカスのが吉かと思いますが、
なかなかそうもいかないものなのでしょうか…
私が言うのもなんだか…とは思いますが、体調にはご注意いただければ幸いです。
> 54さん & 遅くまで作業している皆様
>>66 さん &
>>67 さん
確かに慣れるまで、Smart って? Dashboard って… なに?
って〜な、感じですよねぇ。 ┓( ´ー`)┏ ヤレヤレ
「ダッシュ」とか「ボード」とかいった響きに、いちいちツッコンでいた頃が
なつかすぃ…
さて、ここだけの話、NG FP3 ==> NG FP3 Hotfix-1 とリリースされてからも、
細かい修正パッチである HAxxx シリーズがリリースされ続けているわけでして、
それら Hotfix-1 も含めたパッチの集大成が、FP4 と思われます。
(HAxxx を簡単に入手できるかどうかは不明です… 代理店まではできる!?)
FP(Feature Pack)とは、修正パッチ(だけでなく)+機能強化もする!という
スタンスで連続投入され続けてきたわけですが、FP1、FP3 は機能強化色が強く、
FP2 では修正パッチ色が強かったと思います。
ですから FP4 は、FP1 にとっての FP2 のように、FP3 にとっての修正パッチの
集大成版という位置付けなのだと思います。(FP4 β版を触っての私の印象です)
ということで、FP4 で、各モジュールの名前がまたまた変わるなんて〜ことは
今のところなさそうですので、ご心配には及ばないかと思いますよ。
ここの サ ポ セ ン の 奴 ら カナーリのヴァカ な の れ す もっと教育汁!
>>65 さん
残念ながら、SecurePlatform が売れているのか私には分かりません。
ご存知の方がいらっしゃったら教えて下さいませ。
ある程度普及するまでは… というか、IPSO が『導入し易い!』と、採用され
がちな!?状況下では、Red Hat Linux ベースの SecurePlatform が受け入れ
られる機会って、ますます減っているんじゃないでしょうか。
NOKIAのIPシリーズにWindows突っ込んだツワモノ居ませんかぁ〜? 居たらレポートキボン(w
73 :
名無しさん@お腹いっぱい。 :03/03/18 23:04
遅ればせながらFP3 HotFix-2 age
>>71 お返事ありがとう。
PC Unixが投入されるような場面と、NOKIAのミドル〜ハイエンド機種が
投入される場面とでは確かに条件が異なるかも。
後者ではUnixの運用も商用Unix主体だろうし、オープンソースソフトウェアってだけで
「サポートへの懸念」という例のお題目から無条件で忌避されてしまったり。
え、Linuxなの? とか言われそう。
そんなこと言ったらNOKIAの中の人はFreeBSDですよゴルァ?
さらに考えてみればSecurePlatformはまるごとCheckPointサポート対象なわけで、
おそらくサポート環境はNOKIAと変わらない。
ただ、そういったことをいちいちユーザに説明する手間が著しく面倒ですな...
見た目が普通のPCサーバにしかなんないのもデメリット。
「アプライアンス」というありがたい魔法の言葉が使えないので。
まあ自分としてはRedHatって時点で激しく好みから外れるのだが。
純粋に好みの問題で、もののいい悪いではないんだけど。
>>68 亀レスすまん
>NECのってExpress5800+Linuxですか? >61氏
Express5800+LinuxとCX5000(SUN鯖のOEM)+Solarisがある
あとなんのことかわからんが住基ネット対応モデルなんてのもある
どうやら機種は上記と同じらしい
FireWall-1 をよく利用されている方と偶然お話させていただける機会が ありまして、その方がご存知のお客様のご利用形態を聞いてみますと… v4.x とか… SP が最新のものでないとか… 多くはいらっしゃらないそう!?ですが、現実にいらっしゃるそうです。 FireWall-1 を使って少々検証を行ってみれば分かると思いますが、 日々、刻一刻と新しいアタック方法等が生み出されております昨今、 v4.x では対応しきれないと思われる点が、少なからずあると思います。 最新版へといきなりアップグレードして人柱になる必要は無いと思いますが、 少なくとも、最新版の一つ前あたりのバージョンにはアップグレードを試して、 どのようなセキュリティ強化機能が追加されているのか、一管理者として 知っておいた方が良いと、個人的には思っております。 上記の例で言いますと、現時点では FP3 が最新ですから、せめて FP2 を 使いたいものですね。 ですが、FP3 では SmartDefense という機能でセキュリティ強化が施されて いるようですので、FP3 か FP4 を使ってみたいところですね。 わたしの場合には、検証してみて FP3 を使うことに決めまして、ですが少々 既知の問題も残っているようですので、FP4 がリリースされたらすぐに適用 する予定にしています。 といったところで、みなさんはこのような利用されているバージョンに関して、 どのようにお考えでしょうか!?
>>76 安定稼動してナンボだからね。
あげる必要があるなら上げてみる。
VerUpは検証に検証を重ねて(人柱含)やっとこさ上げる感じ。
>76 4.1→NGは仕様変更がたくさんあるので、NGにするといままでの通信に影響がでることがよくあります。 (ICMPリダイレクション、PoolNAT等) なので既存の通信がちゃんと行えるかどうかの調査は必須ですね。 Smart DefenceはDropしてほしくないパケットまで落とされて困ることがよくあります。 設定もわかりにくいし、Smart Defenceに関してはあまり良い印象はないです。 77さんのいう通り、検証に検証を重ねてからでないと怖くて上げられないですね。 OSバージョンとのからみもあるのでLinuxなんかは大変だと思います。
sec 板にこんなスレあったのか。 ユーザ層を考えるとむしろ network 板のほうがいいような気がするでつ。ここは 事実上ホームユーザがターゲットになっちゃってるんで。
80 :
名無しさん@お腹いっぱい。 :03/04/05 13:03
NOKIAのFirewall製品のスレはここですか?
82 :
名無しさん@お腹いっぱい。 :03/04/06 04:08
>81 さすがにVPN-1/FireWall-1のライセンスは別途じゃないでしょうか?
>>77 さん &
>>78 さん
どうもご回答ありがとうございます。大変参考になりました!
特に、78さんのおっしゃっている SmartDefense は確かに謎が多いような…
ともあれ、FireWall-1 は最新バージョンを、特に FP3 以降を使われる方が
良いと思いますよ。
理由は、non-SYN packet 等を 同一 SrcIP,port から DstIP,port 等へ
何度か dummy packet 等も混ぜつつ、送信などなど検証お試し下さいませ。
ボヤかして言及しておりますのは、大人の事情と汲み取っていただければ…
>>79 さん
ご指摘ありがとうございます。そのような背景があったのですね。
ですが、(network)ネットワーク板には既に「チェックポイント」スレッドが
あるようですし、FireWall-1 の技術的な話だけを細々と、身内が確認に来るか
ドキドキしながら(笑)展開させたかったことから、こちらに立てた次第です。
>>80 さん
「Nokia」ではなく、「FireWall-1」のスレッドと認識いただければよろしいの
ではないかと。1 に記載いたしましたお題目も参照していただければ幸いです。
でもまぁ、あまり堅苦しく考えているわけでもありませんので、お気軽に♪
この板でボロクソに言われてるIP330ユーザです。 eth3がWAN、eth4がLAN、eth5がDMZで、DMZにおいたWebサーバから、LAN上のDB(PostgreSQL) に接続できるようにしとります。 ところが、4.1までは全く問題なかったんですが、NGにageてから、WebサーバからDBに接続 できなくなるというトラブルが多発するようになりました。 最初はOKで、誰も使わなくなる夜になると発生する、という状態なので、コネクションの 数の問題では無いようなんです。どうもTCPセッションのタイムアウトか何かの問題の様な 気がしているんですが、同じような症状が出た方っていらっしゃいますか?
>>84 まあNOKIAの安いモデル買うのと大して変わりないかも。
VRRPの代わりにRainWall入れたってとこですかな。
>>85 とりあえずログみておかしなところでDropしてないか確認したら?
>>86 なるほど、価格的にはそんな感じですね。
性能はNOKIAよりも良さげな印象を受けているんですが、
まだあんまり売れてないんですかね〜。
>>85 NGはFPいくつ? HotFixは当たっているのか?
あと87の言うようにログだね。
SpoofingなのかClean-upルールに引っかかってDropなのか、
Out-of-Stateなのか、はたまたAcceptなのか(笑
Webアプリケーション側やDB側のログは確認してみた?
…例のSmartDeffenceが織り成す不思議現象かもな。
>>88 まあなんだかんだ言ってカタログ性能より実績かと。
NOKIAはIP SwitchingにIP Clusteringという独自技術もあるしな。
どっちも買収したIpsilon NetworksとNetwork Alchemyの技術だそうだが。
IPSO3.7公開を待ってIP350買うべし。3.5.1FCSxはいまいちだから。
と、NOKIAの手先っぽい漏れなら推奨するわけですが。
∧_∧
∧_∧ (´<_` ) 兄者、日曜日なのに営業必死だな。
( ´_ゝ`) / ⌒i
/ \ | |
/ / ̄ ̄ ̄ ̄/ |
__(__ニつ/ DMZ / .| .|____
\/____/ (u ⊃
>>87 >>89 早速ログを確認してみました。
(言われるまで見ていないところが厨マルダシですが)
すると、
th_flags: 18;message_info: TCP packet out of state
PolicyName Standard
なるエラーがずらーーーーっと。なんじゃこりゃ?
テスト期間だったので、SrcもDstもぜーんぶAcceptにしっぱなしだった
のですが、これが問題なんでしょうか?
厨に救いの手をキボンヌ
ずばり、tcpセッションタイムアウトです。 ∧_∧ ∧_∧ (´<_`; ) 兄者は真顔で嘘言うからな。最近顧客に不評だぞ。 ( ´_ゝ`) / ⌒i / \ | | / / ̄ ̄ ̄ ̄/ | __(__ニつ/ S-box / .| .|____ \/____/ (u ⊃
>>91 >>92 むー、情報サンクソ。
つーことは、Firewall-1でDB-WebAP鯖間のコネクション
プーリングをしようとおもたら、SessionTimeoutの時間内に
コネクションの張り直しをしなくちゃいけないということで
しょうか?
こういう構成って一般的だと思うんですが、みなさんどうやって
解決してるんでしょうか?
(^^)
96 :
名無しさん@お腹いっぱい。 :03/04/17 17:46
良スレage
>>93 ちゃんとサポートに問い合わせた?
Grobal Propaties>>Stateful InspectionでOut of Stateのチェックをはずすか、
使用するポートが限られているのなら、そのサービスオブジェクトのプロパティ>>Advacedで
セッションタイムアウト時間を長く取るかすればいいんじゃないの?
ただし、この操作がどういう結果をもたらすかはちゃんと調べてからやらないと
場合によっては問題になることがあるかもね。
そこは自己責任で。
NGさわる事になりそうです。Solaris 上でですが。 板/スレ違いっぽいですが、詳しい方が多そうなので質問します。 皆さん、ファイアウォールのテストにはどんなツール使われていますか? pen-test ML に丁度それらしいスレッドがあったので眺めていたんですが firewalk ftester filterrules nemesis 等、色々あるみたいですね。 今まで私は、hping 使ってました・・・。 ところで、Firewall Informer って日本でも買えるんでしょうか? $5,000 というのが微妙ですが。
何をどうテストしたいのかによっても変わってきますね。 厨な質問してすいません。
∧_∧ ( ^^ )< ぬるぽ(^^)
101 :
名無しさん@お腹いっぱい。 :03/04/23 03:49
ちょっと質問です。 こちら側がVPN-1/NG、対向がNetscreenやYAMAHA RTX1000といった環境で インターネットVPNを張りたいのですが、実現出来た方っていらっしゃいます?
102 :
bloom :03/04/23 04:23
103 :
IPsec嫌い :03/04/25 02:45
104 :
HFA-308 :03/04/25 03:03
>>93 IBM DB2/AS 400とかだったりしません? DB。
MS SQLのODBCとかOracleとかだとクエリーごとにTCPを張り直すっぽいのでそういう話はあまり聞かない。DBの中身はあんまし詳しく内のでよくわからないのですが。
AS 400のTCP実装はUNIXとかWindowsとかにくらべてお行儀が悪い気がする。out of state関連の問題の近所にだいたいAS 400やTCP/IPに移植された元SNAアプリの影ありという気がする。
通信の必要が発生したときにコネクションを張って通信が終わったらコネクションを終了するというのがふつうのTCPだと思う。FTPやHTTPはまさにそう。
SNAみたいに常時通信路を保持するようなもの前提としたアプリケーションをTCPに持ってくるとちょっと毛色の違うものになる。
意図した通信が定常的にout of stateで阻止される状況というのはCheck PointのStateful Inspectionが想定しているTCPの動きではないということなのだとメーカーに近い人は言っていた。
まあ、現実にそういうものがあるんだから、もう少しいい機能をつけてくれてもいいと思うが。keep aliveみたいな仕組みとか。
>>103 おおお!禿サンクスコ!
サポートに聞いても「できません」の一点張りだったので、あきらめかけてますた。
確かに使えるかどうか別問題、ってのはあるよね。
この前もNetscreenとCenturyのXRで謎のIPsec切断が相次いで、はまりかけたよ。
検証が大事だというのは禿同。それでもトライしちゃう俺。
106 :
NG初挑戦 :03/05/02 01:54
IP350(NG FP2) + SmartCenterを構築してて、 SmartCenter〜IP350が通信可能になった直後、 うっかりDashBoardを入れたPCからのアクセス以外 全て拒否のポリシーを入れてしまい、 以降まったく何もできなくなってしまいました。 IP350に入ってコマンドでポリシーいじろうとしても、 「管理サーバじゃないからダメ」とか言われるし・・・・。 手っ取り早く元に戻すにはどうすればよいでしょ?
>106 fw unloadlocal コマンドでポリシーいじるって? dbedit?
>107 ありがとうございました。できました。 ポリシーいじるというか、同じように アンロードしようとしてたのですが、 target指定無=localhostと思い込んでて、単に fw unload とだけ打ってはじかれていたという・・・・。 「This is not a Management system. Aborting.」とか 言われたので、SmartCenterからじゃないと 操作できんのか??と思ってしまいました。 お騒がせいたしました。
IPSOのCLI over HTTPって使っている人いる? 要はclishのことなのだろうか・・・
>108 ん。そか。 fw unloadだとfwm unloadだから、GUI上からPolicy uninstallしてるのと同じだよ。 つまりfw loadとかfw unloadとかって、意図に反してfwm側(Management Server)側のコマンドなのねん。
あげとかないと。
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
FW-1を通してTELNETを使ってるけど かならず、時間が経つとコネクションが切れる (固まる!!)これはなぜ?
116 :
名無しさん@お腹いっぱい。 :03/05/31 08:14
Application Intelligenceあげ。 そんな新機能誰も使わねーっていう自虐ネタなのか、 CheckPoint Japanの営業はバグフィクスを強調していたさ。 …じゃあFP3まではなんだったのよ。 つーかなんでHFA308をHoiFix-2として公開しなかったのよ。
HFA-310リリース上げ FP3 HF3を激しくキボンヌ。中途半端なパッチばっかり出すな。
>>117 HFA-310は自分で調べるとして・・・
名前のFP4は?
もうリリース予定とかあるんでしょか。
ごぶさたしております、1 でございます。
先週あたりから急に暑くなって参りましたが、皆さんいかがお過ごしでしょうか。
ここは、サポートセンター状態が続いておりましたので ROM っておりました。
FireWall-1 を使用しているということは、どこぞの会社なりと保守契約されて
いると認識しておりますが、該当しない方や、使えないサポセンが多いという
ことなのでしょうか。
>>116 さん
>>117 (FP4)さん
>>118 さん
ようやく FP3 Hotfix-3 こと!? FP4 こと!?
「FireWall-1 NG with Application Intelligence」がリリースされますね。
詳細はオフィシャルホームページを参照していただくとして、素の FP3 での
VPN 通信の安定性が・・・でしたので、今回の FW-1 NG 通称 AI (FP4) で
そこらへんの bugfix が完了して、安定していることを祈るばかりですねぇ。
あと、Motif GUI も・・・
使わなきゃよい話なのですが、使われている方が多いようですので(とおい目)
ベータ版でテストしている限りでは、Motif GUI の安定度は UP しているように
見受けられますが、Motif な環境の皆さんのお手元ではいかがでしょうか?
それでは、また、対 FW-1 NG AI 用 Hotfix-1 リリースにてお会いしましょう!
>それでは、また、対 FW-1 NG AI 用 Hotfix-1 リリースにてお会いしましょう! 自虐ネタでつか。 HFAにもならない内緒のパッチ出すのやめてください。おながいします。 っていうかバグ隠し過ぎでつ。
>120 csp さん 自分は、決して!!開発元の人間ではありませんので、我慢の限界を超えたバグ オンパレード春の祭典!といった感じに怒り心頭なので、ツッコンでみた結果の 一文とお考えいただければ幸いです。 SecureKnowledge でも、去年から調査中などなどといった未解決の現象が見受け られますが、ようやくカタチになってきたので FP シリーズから脱却した名前を つけて、ちょっと胸を張って売れるぞ!売りたいぞ!といった気概を感じます。 と、全然フォローになっておりませんが(苦笑)、まぁ AI のメディアをプレス してしまったと思われる時点以降にも bug らしき現象が見つかっているようです ので、FW-1 NG AI Hotfix-1 もしくは AI HFA がリリースされるのは定説かと 思いますが・・・ 果たして真相やいかに!? 話は変わりまして、ビデオ会議システムを導入されている環境に NG (FP3) を 設置すると TCP out of state に遭遇している方が少なからずいらっしゃるよう なのですが、そんなに変わったパケットを投げているのでしょうか。 どなたか、パケットを拾われた方がいらっしゃいましたらお教えくださいませ。 m(_ _)m
>121 それ、HFA-310でどうでつかね? H.323関連は正直うざいでつ。 詳細は省きますがキャプチャしてみると笑えます。 ありえないってくらい挙動不審。
>> 124 さん わたしが聞いた限りでは、例えばですが、まったく同じ Source port からほぼ 同時に SYN が送られていたりしまして、なんかもうとても TCP/IP 的に悲しく なる挙動をしているアプリケーションがありました。 なので HFA-310 を適用といいますよりも、TCP session/end timeout あたりを 『こんなに短くても大丈夫ダスか?(滝汗)』といった程に、調整して対処した ような、しなかったような・・・ ところで、H.323 関連と言えば Netmeeting でも利用されておりますので、 Gatekeeper/Gateway 無しの環境の中、Netmeeting がインストールされた端末 同士で直接 VoIP を実施する検証を行いましたところ、片方だけ聞こえたりと いった結果に終わってしまいました。(;^_^A 検証環境が、ひょっとしたら FP2 だったかもしれない点と、忙しいときの余暇を 利用しての一発特攻検証だったものですから、パケットの採取は行えませんでした ので断定は出来ませんが、『そもそもなぜに VoIP で TCP なんだ? SIP が利用 されている製品を使いませう・・・』と、感じさせる検証結果でした。 まぁ、上のは一例ですが、実のところは利用しているアプリケーションにこそ問題が あるにも関わらず、FireWall-1 がワルモノにされることが多々ある(まぁ、bug が 原因の障害が少なからずあるのも事実ですが・・・)ことが、FireWall-1 の哀愁を さらに Level up させているような気がしてならない、今日このごろです。
「End Timeoutを○○秒にしたら繋がりました!」 とか、後味悪いよね。解決した気にならない。 TCP/UDP/ICMPのセッションテーブルの保持期間縮めるとかもそう。 「5秒までしか縮まんねーよ…。だからそういう感じの運用でお願い」とか。 こんなんチューニングとは言わん(笑 客先でout of stateのロギング外したりしてるの見るのも、そこはかとなく悲哀。
127 :
名無しさん@お腹いっぱい。 :03/06/10 16:10
ver4.0からNGにしようと思ってるんだけど、 4.0→4.1→NGって経緯を辿るのが良いのかな? ちなみにDQNなIP330です。
129 :
無料動画直リン :03/06/10 17:10
4.0の頃の330だとメモリ64Mbyteだったりしませんか?NGはアプリとして重いので最低256は欲しいです。それでもポリシーコンパイルとか激重。確か128Mbyte未満のメモリだとまともにサポートされてないはず。 現状だと、いったん4.1SP6+IPSO3.5まであげた後pre_upgrade_verifier実行して設定の微調整をした後NG FP3をcomprehensive install wrapperでバージョンアップするのがおすすめ。アップグレードパスは各バージョンのリリースノートを確認すること。 シンプルなフィルター設定だけだと手順通りにバージョンアップできると思うけど、VPNとか認証ルールとか外部アプリとの連携とか二重化とかあるなら、素人は手を出さない方がよい。悪いことは言わない。 あと、ユーザー定義のサービスオブジェクトが多いときはバージョンアップ後「match for any」に注意。
今4.0で運用してるんならアップグレードする動機に欠けないかい? 今月末で4.1のサポート切れなんで、4.1からの駆け込み移行なら分かるんだが。 もっとも、今の時点で4.1からアップグレードしてないユーザは、 あんまりタイムリミットに間に合わす気もないようだ。 SIer的にはどうなんだろうね。 どうせ枯れてるからってことで独自サポートしてくのかな?
>>131 新しいプロトコルを通したり、新しい設定をがんがん追加したりする予定が無く安定して動いているなら、4.1で運用を続ける方がNGにバージョンアップするよりリスクが低いと思う。
SIerも未知の不具合でもなければ4.1の質問に答えるのでは?NGへのアップグレードの難しさは骨身にしみているだろうし。
先頃リリースされた「Application Intelligence」のほうがFP3よりもアップグレード時の設定コンバートの問題が改良されてそう。何せ、新機能いろいろあるけどCP Japanは「一番のウリはBugFix、数百単位のバグを治した」って吹いて回っているらしいし。
NT 4.0のサポート期限迫っているからといって、あわててActive Directryに移行したり、Windows2000へのアップグレードインストールするか?っていう命題に例えて説明すると共感してくれる人多し。
あぼーん
>>132 まあ、そうなんだろうね。VoIPでも使う気にならなければ…
しかし新機能は、某問題から国内では運用に支障がありそうだ。
「Application Intelligence」を大々的に売りにはできまい。
バグフィクスって言ってるのも苦肉の策なような気がするよ。
「今度のは安定版です!」なんて、FP2のときも3のときも言ってたよ。
NTの例えはいい例えだね。
ハァ? お客様、4.1はもう金輪際サポートしませんが何か?
∧_∧
∧_∧ (´<_` ) OK。アップグレード見積りFAX中。
( ´_ゝ`) / ⌒i
/ \ | |
/ / ̄ ̄ ̄ ̄/ |
__(__ニつ/ SIer / .| .|____
\/____/ (u ⊃
…なんて言えないよな。
少なくともスポット対応は求められるし、せざるを得ないんだろうな。
>> このスレッドをご覧になっている AI な皆々様へ AI で SmartDefense を Update する際にアカウントの入力を求められますが、 わたしの AI 環境では、有効なはずのアカウントを入力しても弾かれました。 特に、Motif GUI 上からの Update は『なんじゃこりゃ!?』と思いましたので、 皆々様の検証環境での結果をお教えいただけましたら幸いです。
AIなんてまだ手に入ってねーYo!ヽ(`Д´)ノ うぅ、テストしてみたい・・・
>> 136 さん
CCSx チックなアカウントがあれば、公式サイトからダウンロードできると
思うのですが、いかがでしょうか?
ところで、
>>135 で検証しておりました SmartDefense の Update は、
何とか有効なアカウントを使うことで弾かれないようになりました。
Motif GUI では試しませんでしたが・・・
というか、もういらないでしょ、Motif 版 GUI。
138 :
名無しさん@お腹いっぱい。 :03/06/21 14:29
FP3からSolaris8とか9しか対応してないんだよね もう次のハードはSun系列止めようと思ってる
うーん。IPSO3.7待ちなんだけど3.6FCS7とか出ちゃってるし、まだだめぽ? Solaris9で入れてみるかな、AI。。。
FireWall-1 のサポートプラットフォームとして AIX と HP は風前のともし火 ですねぇ。IPSO、Solaris、Linux、Windows がメインなんでしょうけれども、 SecurePlatform のシンプルさも、まぁそれはそれでイイかと思う午後でした。 AI にて、SmartView Tracker に出力されるログの表示に凝っている場合でなく、 bugfix に専念してくれ・・・ とも思った午後でした。 それではまた、FireWall-1 NG with AI HFA-401 にてお会いしましょう♪
141 :
名無しさん@お腹いっぱい。 :03/06/24 02:25
HFA-313あげ。どこまで続くんだろう、この戦争。。。
142 :
名無しさん@お腹いっぱい。 :03/06/24 15:49
VPN Firewall-1 V4.1を使用しております。 たまに次のようなエラーメッセージがLinuxのログイン画面に現れるのですが。 FW-1:lost 40 debug messages FW-1:too many internal hosts(68)detected(172.*.*.*,192.168.*.*,......) IPアドレスには内外のものがずらずらと。。 これ何を意味しているものなのでしょうか?
それはライセンスオーバーの表示です。 サイト規模に応じた適切なライセンス買ってね。おながいします。
144 :
名無しさん@お腹いっぱい。 :03/06/24 23:47
たしかそれ出るとポリシーの変更できなくなるんだっけ?
>144 できるよ。 単に、このMSGのログ出力に処理が食われて 通信が重くなり、、ポリシーエディターの接続が切れたりするだけ。。 ライセンスオーバーしたつもりでなくても、、(実際にしてなくても) 少ないライセンスの際に、保守業者のエンジニアなどが、入れ替わり 立ち代りノートパソコンなどをつないだりしていると、、、 MACアドレス学習により、ライセンスオーバーになったりします。 当然、社員が持ち込みノートを使う場合も注意が必要です。 (機種変更などがあったりした際も注意) これまで問題なくて、突然発生したなら、上記原因にあてはまっているか どうか確認してください
HFA-313???まだ見ぬパッチ。FP3のHFA戦争はHotfix-3のリリースとともに集結す・・・なんて日はくるんだろか? 4.1 SP6+Hotfixでまったりしていた方がいいような気もする。
>>142 V4.1のどっかのビルドでライセンスを数え間違えるバグがあったような。
192.168.1.1ってアドレスがあったら、1.1.168.192っていうアドレスもなぜかカウントされてダブルカウントになるって言うすばらしいやつ。
数え間違えて無くてもAPIPAの169.254.xxx.xxxとかいっぱいあるかも。DHCPに注意。
消し方
http://www.phoneboy.com/fom-serve/cache/43.html >>145 MACアドレスって学習するんでしたっけ。IPアドレスベースだったと思いますが。
もちろんGWを通過するかどうかにかかわらずブロードキャストでも何でも数えます。
147 :
名無しさん@お腹いっぱい。 :03/06/25 09:21
Firewall-1のOutboundについて VPN Firewall-1 V4.1 Build41862を使用しております。 Firewallが外部にOutbound6月以降たまにRule0でOutboundするようになってしまいました。 OutBound時の抜粋です。宛先IPアドレス、ポートには統一性がありません。 Action,Service,Source,Destination,Rule,Source_Port socks ------------------------------------------ reject, socks, 211.197.*.*, FW, 17, 3662 accept, 3662, FW, 211.197.*.*, 0, socks reject, socks, 211.197.*.*, Web, 17, 3667 reject, socks, 211.197.*.*, Web2, 17, 3693 SSH ----------------------------------------- reject, SSH, 12.42.*.*, Web, 17, 4002 reject, SSH, 12.42.*.*, FW, 17, 4001 reject, SSH, 12.42.*.*, Web2, 17, 4003 drop, 4003, Web2, 12.42.*.*, 0, SSH accept, 4001, FW, 12.42.*.*, 0, SSH drop, 4002, Web, 12.42.*.*, 0, SSH これらは何が原因でしょうか?対処法などあれば教えていただけませんでしょうか。
148 :
142=147 :03/06/25 09:25
一度routedを起動してからこの現象が起こっています。
すぐに停止したあともおこっております。
>>143 有難うございました。ライセンスの数もクライアント数も把握できてないもので・・・
そういうのは保守に投げや。細かい情報が出せない時点で切り分け無理だしね。
SecuRemote for Redhat Linux と IPSO3.7&AIリリースあげ
151 :
(/o\) :03/06/28 10:57
152 :
名無しさん@お腹いっぱい。 :03/06/28 16:37
>149 >VPN Firewall-1 V4.1 Build41862を使用しております。 もうこの時点で保守にRejectされる
>>147 そのテキストで貼り付けたログにタイムスタンプをつけて貼って頂くと説明ができそうな気がします。
>>150 SecuRemote for 赤帽など、トラブったらサポート窓口が切り分けできるのかと問いつめたい。
さて、とうとうv4.1のサポートが終了なわけだが。
155 :
142=147 :03/07/01 16:43
保守に入ってるのかどうか知らなかったのですが、どうやら入ってたようなので
保守に投げてみました。
>>153 タイムスタンプ付のものです。前後のアクセスは同時刻です。
socks
--------------------------------------------------------------------------
"14Jun2003" "10:23:25" "eth0" "reject" "socks" "211.*.*.209" "Firewall" "tcp" "17" "3662"
"14Jun2003" "10:23:25" "eth0" "accept" "3662" "Firewall" "211.*.*.209" "tcp" "0" "socks"
"14Jun2003" "10:23:25" "eth0" "reject" "socks" "211.*.*.209" "Web1" "tcp" "17" "3667"
"14Jun2003" "10:23:25" "eth0" "reject" "socks" "211.*.*.209" "Web2" "tcp" "17" "3693"
SSH
--------------------------------------------------------------------------
"23Jun2003" " 6:53:34" "eth0" "reject" "SSH" "12.*.*.51" "Web" "tcp" "17" "4002"
"23Jun2003" " 6:53:34" "eth0" "reject" "SSH" "12.*.*.51" "Firewall" "tcp" "17" "4001"
"23Jun2003" " 6:53:34" "eth0" "reject" "SSH" "12.*.*.51" "Web2" "tcp" "17" "4003"
"23Jun2003" " 6:53:34" "eth0" "drop" "4003" "Web2" "12.*.*.51" "tcp" "0" "SSH"
"23Jun2003" " 6:53:34" "eth0" "accept" "4001" "Firewall" "12.*.*.51" "tcp" "0" "SSH"
"23Jun2003" " 6:53:34" "eth0" "drop" "4002" "Web" "12.*.*.51" "tcp" "0" "SSH"
>>154 サポート終了マヂですか!サポート活用しようと思った矢先に・・・
おぃおぃ、HFA-315 を見かけたぞ! いったいぜんたい、FP3 はなんなんだか・・・ ┓( ´ー`)┏
>>156 HFA-315っすか・・・今のタイミングでHotfixってことはApplication InteligenceことR54ことFP4で修正された内容に含まれているのでしょうか?その段階で既知とかならいいのですが。
4.1のサポートが切れた今、安定バージョンはどれ?
>>155 難しいな、これ。
同時刻ってことは・・・、なんだろ。
Rule 0だと理由によっては"Info"欄に"Unknown Established TCP packet"って表示されたりしますが・・・"Info"欄が空欄であればたいていはAntiSpoofing系の理由ですが。
NATはしてますか? Ver 4.1とNATとAntiSpoofingを組み合わせるとたまにNATパケットがAntiSpoofingで落とされたりしますが。NATやAntiSpoofingは有効ですか?
PropertyのLog Inplied Rulesが有効で"FireWall"をソースとするパケットがacceptされているのは、PropertyのGW自身からのパケットをすべて許可というルールのせいで許可されているのかもしれません。
あとは、サポートが親身になってくれればいいですが、7月になったので「4.1はサポート外」の一言でRejectされるかも。
158 :
142=147 :03/07/04 12:04
>>157 ありがとうございます。
FirewallからのOutboudで
acceptされてるInfo欄は"len 40"などが記載されております。
Web、Web2サーバーからのOutboundは
dropされInfo欄は"unknown established TCP packet"
NATは有効になっております。
AntiSpoofingの設定は
Valid Addresses :Any
Spoof Tracking :none
ですので、して無いようです。
(してないのも問題のようですが、DMZもある為変更していいものかどうか。)
Log Inplied Rulesは有効です。
Implied Rulesは今まで目にすることが無かったのですが
表示させたところ、それらしきルールがありました。
Source / Destination / Service / Action / Install On / Comment
FW1 Module / Any / Any / accept / Gateways / Enable Outgoing Packets
このルールが怪しいですかね?
PS.サポートからは未だに回答が無いです。。。
159 :
142=147 :03/07/05 10:57
PropertyのGW自身からのパケットをすべて許可というルールを昨日に止めました。 直後はWebページの閲覧も出来てこれでOKと思ってたら、 今日Webページが見れなくなってしまいますた。 FirewallにDNSが入っているため名前解決ができない状況に。 月曜日に元に戻さないと。 OutboudはSP4のままだから原因なのかと思ったり。
>>142 さん =147=148=155=158=159=つづくのでせぅか・・・(滝汗)
"unknown established TCP packet" のログが今も出力されているようでしたら、
サポート会社へ、SecureKnowledge の以下の Solution ID 番号の情報を教えて
欲しいと要望してみてはいかがでしょうか。
skI1789 / skI1788 / sk4176 / sk3000 / 55.0.6310295.2660516 / skI4308
/ sk8148 / sk8154 / sk11648 / 10043.0.10118518.2853110
この内のどれかが、142さんの環境で発生している解決策として引っかかることを
祈っております。
ところで、このスレッドには、FireWall-1 に詳しい方、実際にサポートや SI業を
営んでいる方が数人いらっしゃるようで、おやさしい方々も多く、対応されている
ようですが、FireWall-1 について本格的な運用や技術に関する討論をしたくこの
スレッドを立てた次第
>>1 ですので、サポートをお受けになりたいようでしたら、
このスレッドとは別に、「FireWall-1 サポート専用スレッド」を立てていただけ
ればよいかと思いますが、いかがでしょうか?
当スレッドが、サポートに関するやり取りで埋まっていく状況を見ておりますと、
個人的にモノ悲しくなって参りますので、差し出がましく勝手な意見で恐縮では
ありますが、ご理解いただければ幸いです。
>>153 HFA大好きさん
R54 こと FP4 こと AI と、NG FP3 HFA-最新 を比べると、現時点ではそれぞれ
統合されていない(排他の)関係になっていて、今のところ HFA-最新 の方が
bugfix 率が高いような気がしないでもありません。
NG FP3 で出来るだけウミをさらけ出させて、それらウミを修正して、んでもって、
そうした NG P3 であった不具合と修正した内容などを NG AI に流用して、より
洗練された NG AI 用の Hotfix-1 をリリースする計画があるように思えてなら
ないのですが、本当にそうだったらやれやれですねぇ。┓( ´ー`)┏
>>160 すみません
Firewall-1サポート専用スレッドを立ててみます。
どうでもいいことかもしれませんが、 Provider-1とか、SmartViewReporterとかってまともに使えるんでしょうか? 引き合いがないので検証すらしていませんが、FW-1&VPN-1以外のプロダクト使っているところは見たことないです・・・ あと、IPSO3.7よりIP350 or IP380が対応機種に入りましたね。 IP350 or IP380用のIPSO3.6は出ないのか・・・
>163 ベンダー向け説明会で、CP社自身が、 「Provider-1では皆様にご迷惑をおかけしております」という台詞を 冒頭でのたまって会場が爆笑の渦になる、、 という回答で、どうでしょうか?
>> 164 ○anonymous さん 本当にありえそうな話のように思える時点で終わっておりますでしょうか・・・ ネタとしては、悔しいですがおもしろいですね(笑) それはさておき、CVP Server との連携を試してみて、色んなところがしっくり いかなかったことってありませんでしょうか? 当方の環境でもうまくいかない、というよりも、正常に回らない原因がさっぱり 分からないことがありまして、どうしてだろうと思っちょりましたら、某 CVP Server をリリースしている会社のエンジニアが曰く、 「CVP? ・・・ やめときなさい!」ということで、納得してしまいました。
>165 ネタではなく事実なのですが(滝汗) CVP?・・・やめときなはれ、、態々使わなくても同様の動作は可能 使うと、トラブル可能性が一桁は上がるから、、、無意味。
>166 CPのセミナー会場での、Provider-1のプレゼンテーションの冒頭の 挨拶で、会場が爆笑したのを、実際に経験した方が、他にもこれを 見ているような気がしますが。。
>>164 納得です。というかやはりそうかという感じですね。
>>165 CVPサーバを導入&VerUpするときは必ずトラブります。
最近はバージョンがあがるたびに退化しているような気さえしてきました。
一度導入すると別のソリューションに変えるのが大変なのでほんとやめたほうが・・・
>>166-168 ○anonymousさん、cpwdさん
早速 CVP 関連のお熱いコメントを頂戴いたしまして、ありがとうございます!
同じような悩みを抱える仲間がいると思うだけで、心強くなります!!
書き忘れておりましたが、OPSEC (www.opsec.com) にも曖昧なところがあって、
CVP Server のどのバージョンと、FireWall-1 NG のどの FP との連携が認定
されているのか、といったところが曖昧だったりした記憶があります。
ということで確認の意味を込めて、ついさっき公式 OPSEC サイトで試しに 某 CVP
Server と OPSEC 連携動作が承認されている FireWall-1 のバージョンを検索して
みましたところ、
Certified for use with:
Check Point Next Generation and Check Point 2000
以上のように、NG なら、どのような FP でも AI でも連携が認められているように
読み取れる記載がありましたが、以前にも同じような記載があってよくよく確認して
みると、連携可能な FP がウラで厳格に指定されていたことがありましたので、
この情報もキチンと確認してみたら「実は違うんですよねぇ♪」な〜んてことが
ありそうですねぇ。(とおい目)
それにしても・・・ Provider-1 のはネタじゃなかったのですね(号泣)
その事実を聞きますと、実際に Provider-1 を使って管理している会社さんには、
なんとお声をおかけしてよいものやら。(さらに とおい目)
>169 某H情報システムさんなんかは、Provider-1を導入してしまった お客様(自分で薦めたから自業自得?)の管理のために 内製プログラムを用意して、さらに専属の管理SEチームが 日々屍モードのようですね
>>170 ○anonymous さん
Provider-1 の影に、そんな大変な状況があったのですね!
FireWall-1 の FP レベルを UP する (NG AI をリリースする) 余力があるの
でしたら、既存製品の安定化に注力して欲しいものですねぇ。> Check Point社
それはそ〜と、久しぶりに FireWall-1 の技術話ですが(苦笑)、NG AI から
搭載された Storm Center (Module) という、これまたやっかいそうなオマケ
機能ですが、評価された方はいらっしゃいますでしょうか!?
当方の環境で評価いたしましたところ、確かに該当するサイトへのアクセスが
制御されたりして、それなりに働いてくれそうな気もしますが、実際の運用で
正常に機能してくれるのかは『確かめるには恐ろしすぎる!!』といったところ
でしょうか。
ともあれ、NG with AI HFA-401 が早くリリースされますように!
__∧_∧_ |( ^^ )| <寝るぽ(^^) |\⌒⌒⌒\ \ |⌒⌒⌒~| 山崎渉 ~ ̄ ̄ ̄ ̄
173 :
教えてくださいませ :03/07/19 02:37
突然ですが初心者です。 試験は講習をうけないと受験できないのでしょうか? また、どんな資格がありますでしょうか?
>>174 つまらんよ
どうせおタクっぽいおやじだろうな
>173 そんな質問してるようでは 1)講習を受けなくては合格できないだろう 2)合格して資格をとっても、何の役にも立たないだろう CCSE取ってても、基本ポリシー設計すらまともにできない エンジニアは山ほどいます。。 ただしCP社との提携を結ぶために ライセンス取得者の「数合わせ」には必要とされています。(笑) これは、C社とかO社とかのライセンスと同じ方式ですね。 1)試験で儲かる 2)講習会で儲かる 3)サポートは、下請け(提携会社)に任せられるので儲かる 4)いかにも大した資格であるかのようなはったりがエンドユーザに利く(場合がある) 5)その代わり代理店は、自分のところのミスを、メーカが「誤魔化し」に協力してくれる
>177 CP社にとっては、、ね。(笑) 損をするのは、エンドユーザばかりなり。。
CPなんぞてきとーに資格とっとけばよし! いまのうちがおいしーぞ おすすめじゃ!
age
>176 5) が激しく重要だな。
age
183 :
名無しさん@お腹いっぱい。 :03/08/02 03:12
まだ4.1使ってるとこどれくらいあるの?
∧_∧ ∧_∧ ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。 =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕 = ◎――――――◎ 山崎渉&ぼるじょあ
>>183 ええ、あげたくてもあげられない所も含め、まだまだあります。
最近リリースされたNG with Application InteligenceのUpgrade Guideを見るとNG FP3以前のCheck Pointからのアップグレードに当たっての技術的な情報提供の杜撰さを感じます。特にVPNな方、これを熟読すればリスクがだいぶ減りますよ。
まあ、全部読んでもやってみなきゃわかんないですが。
実際のところ、AIでもってヤバい目に遭った人、います? VPNも使ってない、比較的素直な構成なら問題も出ないかな・・・。 FP3からあげる予定。
勇者発見ーー。 素直な構成ならさすがに問題は出ないでしょ。たぶん・・・。 漏れとしてはセキュリティサーバ使用時の動作レポートを希望。
セキュアプラットフォーム使っているところ見たことないが、 特に問題なく動いているんだろうか・・・
>>189 わりかし動いてるんじゃない。知らんけど。
それより ClusterXL で負荷分散とか運用している奴いないのか。
まともに動けば面白そうなんだが。
>>187 素直な構成なら、あんまし問題出ないと思いますが、AIリリース以後に出たHFA-31Xの修正項目にはAIでは未修整(パッチもなし)というのがあるらしいです。
あたしはAI用Hotfix待ち。
(⌒V⌒) │ ^ ^ │<これからも僕を応援して下さいね(^^)。 ⊂| |つ (_)(_) 山崎パン
193 :
名無しさん@お腹いっぱい。 :03/08/19 23:55
156-210.3 Check Point Certified Security Administrator vNG 156-210.4 Check Point Certified Security Administrator NG, Management I この2つってどう違うのでしょうか? Managementは英語のみだけど英語はそこそこできるのでどちらかを受けたいのですが 内容の違いをおしえていただけますか?
194 :
名無しさん@お腹いっぱい。 :03/08/21 23:20
もうSP3になったの???
>>189 評価版が自宅で動いていますが、特に問題なさげです。
ただ、どういうわけか、IPSpoofingの設定でInternalが
グレイアウトしています。ライセンスの問題か漏れの設定がドキュソなのか・・・。
>>193 156-210.3はCCSA FP3コース。156-210.4はAIで英語のみ。
autoARP機能って信用して良い?
>196 auto何チャラって、信用できるものってあるの?
NOKIA + NG AI & 冗長化構成で一部不具合が発生している模様。 おとなしくHF待つか・・・
>>199 なんだろうねぇ、
この「あ〜、やっぱりね」感は...。
扱う前は「こんだけ高いのになんだそりゃ!?」って感じだったけど、
もう、最近は普通に感じるよ。
>>199 その構成で、telnetとICMPだけがNATで上手く通らないという現象にあいますた。
で、グローバルアドレス"だけ"を付けたobjectを作り、そいつをルールに
登録すると動きました。
他のhttpやsmtpはちゃんと通ったのに、納得がいきませんでした。
>>201 NATルールにそのオブジェクト入れたの?
>>202 そのオブジェクトというのは、グローバルアドレスだけをつけたobjectですね?
それは入れていません。
オブジェクトを作る際に、自動NATでNATルールができますよね?
次にPolicyルールを作成して、サービスにhttp,smtp,telnetを入れたのですよ。
そしたら、telnetだけが通らない。
# 全部通らないのだったら納得できるのですがね。
仕方ないので、グローバルアドレスを付けたobject(ServerA)を作って
Any → ServerA telnet accept
というルールを作ったら動いたわけです。
ただ、この現象がAI+NOKIA+HAの構成でのみ起こる現象かどうかはわかりません。
>>203 冗長構成でAutomatic ARPを使っているなら、仕様でまともに動かないとおもうんだけど、
つかってないよね?
ほかのサービスがOKだから問題はないか・・・
205 :
名無しさん@お腹いっぱい。 :03/09/25 14:05
保全
この前CCSAを取り、ロゴのダウンロードをしたのですが、 CCMSEのロゴのページにアクセスできちゃいますた・・・。 もらっても、いいのだろうか?(藁
ロゴなんてあるの?どこでダウンロードするか教えてくれ!
>208 どーもありがとう!
戦いつかれて、ご無沙汰の 1 でございます。 FireWall-1 NG AI でも、やはり HFA-401 がリリースされちまったわけですが、 HFA-3xx のリリースノートのバグフィックス欄を見返すたびに、FP3 で一所懸命 設定個所を見直したりしていた時間を返して欲しいものですね。いやはや... それはさておき、ちまたではそろそろ NG AI へ移行する流れも見えてきたよう でして、そこで皆さんに、「使ってみたい NG AI のこんな新機能!」といった ところを伺いたく、同時に「この機能は使ったらかなりマズそうだよ AI!」と いったところも討論してみたく思いますが、いかがでしょうか!? それでは、言い出しっぺのわたしから参ります。 Stormなんちゃら〜という SmartDefense の一機能らしいのですが、この実用性と その一方、『本当にちゃんと動くんだろうね?実際はどんな情報がやり取りされる のかね?他の機能へ負荷(影響)はどのくらいかかるものなのかね?そもそもバグ は含んではいないだろうね、まさかとは思うが...そのあたりハッキリとしてくれ なければ困るよ、オッホン!』といった、上司やお客様からの攻撃には弱そうな ところなど、『どうなんだよ、Stormなんちゃら〜機能!お前は大丈夫なのかよ!』 といったところを、わたしは小一時間問い詰めたくなります。ハイ。 一応、動くことは動き、適切なスキャンもしてくれることを確認してみたのですが、 『実環境へこれを導入しよう!』といった勇気はわたしにはありませんので、導入 された方がいらっしゃいましたら、感想を聞かせていただければ嬉しい限りです!
どなたかNOKIAのIP-120を工場出荷時に戻す 方法をしりませんか?裏にresetボタンはあるのですが いろいろ試したのですが、うまくいきません。
SmartDefenseってなんでしょうか? おしえてくださいませ。 ポリシーエディタの機能とかでしょうか?
HFA317がリリースされた模様。 Sofaの新HWも出たね。
>> 213
HFA-317は夏からあったと思うが。
http://blog.phoneboy.com/ によるとHFA-318/HFA-401が存在するらしいがCSPじゃないしまだ見たことない。
>>211 IPSOの設定初期化はログイン後/config/activeっていうシンボリックリンクを削除してリブート。
そもそもパスワードがわからなくてログインできないときは・・・シングルユーザーで立ち上げてごにょごにょでパスワードリカバリ(結構めんどくさい)パスワードリカバリしたいならそう聞いて。
FireWall-1の設定のはVoyagerで一度削除してnewpkgコマンドで入れ直すのが近道。
IP1x0は触ったこと無いけど、resetボタンはただのハードウェアリセットだと思う。
newpkgコマンドの使い方はリリースノートを参照。わかんなかったらサポートに聞くなり、googleするなり。
>>212 メーカーのドキュメント嫁・・・って読んでもわかんないってことだよね。
NG FP3の新機能で、NG AIで機能拡張された。SmartDefence機能自体はFireWall-1のおまけで追加料金なしで使える。
SmartDefenceのSubscriptionを購入すると1年間、新しいSmartDefenceの機能拡張(新しい攻撃パターンなんかが追加されるらしい・買ってないからわからん)をCheck Pointからダウンロードして追加できる。
技術的に言うと
・従来のFireWall-1のState Inspectionでは検査していなかったような条件でのセキュリティー検査
・今までMalicious Attack Detectionと呼ばれていたログイベントに閾値をつけてPort Scanだとかという形でログ記録する機能
前者だと、pingの長さを制限する(FP3ではデフォルトで64byteに制限されているため、はっきり言って迷惑)、80ポートを許可した後httpのURIから*.ida?とかcmd.exeとかが含まれている通信だけをrejectしたりする機能がある。
設定上はkernel処理で有効になる機能とsecurity serverを立てないと有効にならない機能がごっちゃになってる。
上記の例は、kernel処理なので、それほど負荷は上がらない。とはいっても超エンタープライズで使ってみた訳じゃないが。
217 :
名無しさん@お腹いっぱい。 :03/10/10 23:45
>>215 > 前者だと、pingの長さを制限する(FP3ではデフォルトで64byteに制限されているため、はっきり言って迷惑)、80ポートを許可した後httpのURIから*.ida?とかcmd.exeとかが含まれている通信だけをrejectしたりする機能がある。
他にはURIが長すぎる場合にreject できたり、fingerprint によるOS推測が
困難になったりいろいろできる。
リアルな環境で使ってみたところ、Webサーバには*.ida とかcmd.exe とか
そういうリクエストのログが出なくなったが、だからといって特別何もない。
パターンを更新して増やせば、プチIDS(侵入検知システム) として
使えるかのもしれないが。VPN やら、HAやら俺の理解を越える付加機能が
多すぎる。何か必死でしょ?最近のFirewall製品。
DROP できればええやん。って思いますけどね。Firewall なんやし。
>>HFA ありがとうございます。
Cluster構成したIPSOにセキュリティホールだって。 Nokia IP-series appliances running IPSO 3.7 and configured as IP Clusters may be vulnerable to a Denial of Service (DoS) attack. Customers with appliances running IPSO 3.7 and IP Clustering should immediately upgrade the appliances to IPSO 3.7 Build 29 (or later).
>>219 > Cluster構成したIPSOにセキュリティホールだって。
>
> Nokia IP-series appliances running IPSO 3.7 and configured as IP Clusters
> may be vulnerable to a Denial of Service (DoS) attack. Customers with
> appliances running IPSO 3.7 and IP Clustering should immediately upgrade
> the appliances to IPSO 3.7 Build 29 (or later).
IPSO 3.7 が動作しているNokiaのIPシリーズアプライアンスを
クラスター構成で運用している場合に、DoS(サービス拒否)攻撃を
受ける可能性の有る脆弱性が見つかりますた!
使っている香具師はすぐにIPSO 3.7 Build 29(もしくはそれ以降)の
バージョンにうp汁!!
ってことですか?
221 :
名無しさん@お腹いっぱい。 :03/10/22 15:18
今までFW-14.1使ってたけど別のSUN Enterprise450に FW-1NGインストールしました。 ・適切IPにてライセンス登録済み ・アクセス権限rootのみ ・ポリシー設定するリモート端末のIP追加 しかしWindows端末からアクセスすると"権限なし"のアラート・・・。 しょーがないから直接SUNでポリシー設定しようとしたが、 前のfwpolicyコマンドが見当たらん・・・。 他のスレから誘導されました。
FW-1 NG FPいくつ? いずれにせよ、fwpolicy コマンドは無いから Solaris なら"Administrative Clients" って パッケージを入れないと駄目。 あと、これを使うには別にライセンスがいると思うよ。
223 :
名無しさん@お腹いっぱい。 :03/10/23 11:41
>222 これからFP3を入れようとしているところ。 SolarisのFW1-NGにはVPN/FWとManagement Clientの二つをインストール したけど、ポリシーエディタの立ち上げコマンドが分からん…。 ちなみにMotifライセンスも持っているが、上記状態で一歩も前に進めん。
224 :
名無しさん@お腹いっぱい。 :03/10/23 11:42
頼むからUNIXでのコマンド教えてくれ。
225 :
名無しさん@お腹いっぱい。 :03/10/23 16:45
わからないならウニつかうな ぼけぇ
226 :
名無しさん@お腹いっぱい。 :03/10/23 16:54
だってwindows無いんだもん、ウチの会社。
227 :
名無しさん@お腹いっぱい。 :03/10/23 17:19
同fwpolicyあった、バカくさ・・・。 つーかWindowsのみユーザはやっぱり使い物にならん。
ldd fwpolicy
FireWall-1 4.0の頃に、sync.confを設定後、fw putkeyしてファイアウォール モジュール間で同期を取っていたんですが、FireWall-1 NG AIは設定方法が 違うのか同期が取れません。 同期周りの設定方法って変更になったのでしょうか。
>229 変更になったよ。 さらに、サポートしている暗号化アルゴリズムも変わったから 注意してね。 しかし、今頃4.0の話が出るとは、、
>>230 同じ様な事をする為には、どの様な設定を行えば良いのでしょうか。
イントラ向けに使用していたファイアウォールなので、あまり問題に
なっていなかったのです。
上記以外にも、バージョンを上げられなかった事情がありまして。
>>231 ここで説明するのは困難なぐらいいろいろあります。かいつまんで流れだけ。
1,構成
Ver 4.1まではModuleとManagementが同居しててもState Syncができましたが、Ver NGからはModuleとManagementが別である必要があります。従って、二重化ゲートウェイとマネージメントサーバの3台のマシンが物理的に必要です。
2,ライセンス
別立てのManagementが必要なので、Internet Gateway/??のノード数制限ライセンスでState Syncを行うことは不可能です。4.0のライセンスならEnterprise Centerライセンスか、Enterprise Management Consoleがライセンスが必要です。
3,設定
ManagementとModule間でSICを確立します。SICとは4.1より前のfw putkeyにかわる新しい認証メカニズムです。
SICを確立した後、Check Point Gateway Objectを二つ設定して、それをCheck Point Cluster Ob jectの一員とします。Check Point Cluster ObjectにSync用のNetwork Addressを設定します。
アップグレード前にpre_upgrade_verifierで確認・・・Ver 4.0から一気に最新版は無理だなぁ。まあ、コンパイルエラーが出たら確認。変だなぁと思ったら確認。
上記の流れを参考にマニュアルを熟読すれば自力でできないこともないでしょうが・・・代理店に手順書もらうなり相談するなりが早いと思います。
>232 4.1SP3の際に、ポリシー設定も変わってしまってるし、、 アップグレードなんてことは考えずに、 ネットワーク仕様を見直して、ポリシー再設計して入力した方が 早いし確実ですよ。 どうしてもアップグレードでやりたかったら、、、 (内容によっては失敗するけど)4回程度バージョンアップと ポリシーの再コンパイル・修正および、MM/FM間の同期設定 と動作確認が必要になるでしょう。 (現状のSPレベル不明なため、正確な回数と手順は書けない) はっきりいって、手順書作る工数の方が、再設計より大変かも。 (昔、---> 4.1SP6ぐらいまでの段階別バージョンアップ手順書書いてくれた 人がいたけど) 有償なら、ポリシー設計・セットアップ、引き受けてもいいですよ(w
同じセグメント内に2台のFW-1を置いて 片方をデフォルトゲートウェイとして使用しようと思っています。 そこで、有識者の方へ質問なのですが、 2台のFW-1をA、Bとします。 A,BともにインターネットVPNで違う拠点につながっています。 それぞれの拠点をAAとBBとします。 それでセグメント内のデフォルトゲートウェイをAとした場合、 BBへ通信したい場合、AのルーティングテーブルにBBへの通信は Bへ行くように設定し、FWのルールも明記しておけば 通信はできるのでしょか?それとも ステートフルインスペクションの問題でドロップされてしまうのでしょうか? FW-1のバージョンはNGFP3です。よろしくお願いします。
235 :
名無しさん@お腹いっぱい。 :03/10/27 13:01
>234 インターネットVPNだと最適経路は網内ルータにお任せなんで 意味ないような気が…。
>234 ICMP redirectionルールの設定(drop/reject)に注意すれば、動くとは思いますが、 遅くなりそうだなぁ。 端末にnetwork route切るのが一番素直。。 VPNアクセラレータが無いFW-1でしょうか? それだと、死ぬほど遅いですよ。 (NOKIA IP440の時に泣きました。VPNスループット、、LAN内直結で 300K以下。。。) >235 なんか勘違いした回答のような気がしますが。。
>>236 レスありがとうございます。
ICMP redirectionルールの設定はFP3からあるものですか?
それともFP2でも同じように、動くものなのでしょうか?
あとVPNアクセラレーターはないみたいです。
やはり、遅いのですね・・・
>>232 > Check Point Cluster ObjectにSync用のNetwork Addressを設定します。
ここまでは終わったのですが、設定がうまくいっているのか今いちはっきり
しません。
マニュアルを参照しながら、OPSEC Certified なクラスタ製品向けの同期設定
を行ったのですが、例えばパケットをキャプチャしてこのパケットが飛んでいれば
うまくいっているとか、netstatである程度確認できるという話ってありますか?
少なからず、動作的には同期していなさそうです・・・。
外から内へtelnetした状態でフェイルオーバさせて確認しんたんですが、
telnetセッションが固まります(状態が同期されていない為、drop)。
アップグレードは手間が掛かりすぎる為、計画段階でなくなりました。
>237 ICMP redirection Objectは以前からあります。 これで最短経路を通って帰ると、、Stateful Inspectionによって 弾かれてしまうので通信が止まります。 ルーティング設定もかなりややこしい環境のようですので、 ネットワーク図が欲しいところです。 >238 フェイルオーバさせてるそうですが、機種は?? (IPSOか、それ以外か、、、) さっきは、別のネットワーク向けとか聞いたような気がしたのですが。 全部で、FWモジュールは何台あるのかなぁ
>>239 Solaris8 + RSF-1で使っていて、FWモジュールは二つ。
Managementは別立てです。
>240 2台で、フェイルオーバーと別ネットワーク向けVPNやってるんですか? (念のため)
234の様な事をする場合、うちだとL3スイッチも買います。
>242 あ、、失礼しました。
245 :
名無しさん@お腹いっぱい。 :03/10/29 14:43
未だに事情があって4.1使ってます。 プロバイダからは32個のIPアドレスを付与されているのですが IPアドレスの付与の仕方が分かりません。 PolicyEditerで新しいオブジェクトを作成してNATの項目にstaticにIPアドレスを割り当て。 外部からのhttpアクセスをaccept AddressTranslationで既に通信可能な状態のオブジェクトを真似て 外部からのアクセスを可能にし、Policyのインストールを可能にしました。 しかしながら外部からIPじか打ちでアクセスできないのです。 他にする必要項目ってありますでしょうか? ポリシーをインストールした際に No licence for encryption こんな感じのエラー?メッセージがでます。 ライセンスはあるはずなのになぁ。
>>245 ホストルートの設定はされていますか?
>> No licence for encryption
VPNのライセンスを持っていなくて、VPN使っていないなら問題なし。
>>236 NGでICMP redirectはカーネルモジュールのパラメータ変更が必要なはず。ルールだけぢゃだめ。4.1までならルールで許しておけば良かったので、まさにimplied仕様変更って感じ。
とりあえず「"icmp redirect" ng fw-1」でぐぐってみそ。英語のMLのお悩みさんに出会えるぞ。
カーネルパラメーターのいじり方はIPSO版、Solaris版、LINUX版、win32版全部違うから、Solaris版で「modzapって何?」とか思わないように(w
redirectなしだとA側でBB宛をBにルーティングする際のステートフルインスペクションがうまくいかない気がする。
クライアントからBB宛のパケットはA側を通るけれどBBからのリプライパケットはAを通らずにそのままB側からクライアントに転送されるからA側ではBB宛のTCP non-synのAck付きパケットがOut of Stateになると思う。
まあ、236さんのいう通り素直にnetwork route切るのが一番。
>>245 No licence for encryption
このメッセージは「VPN-1ライセンスにアップグレードしてくれなきゃやだやだやだ」と読みます。VPNライセンス料をお布施すればこのメッセージは出なくなります。
236さんのいう通り、バカ高いあくせられ〜たを買わないとパフォーマンスが出ないので、VPNライセンスがありながら実際にはFW機能しか使っていないことが多いという説も。
もっとも最近のGHzクラスのCPU搭載サーバならCPUの力技とAESアルゴリズムの演算効率の良さ(3DESと比べ)で実用レベルのVPNパフォーマンスは期待できまつ。
249 :
名無しさん@お腹いっぱい。 :03/10/30 09:26
>>246 ホストルートはどこで設定できるのでしょうか?(汗)
>>248 VPNは使用してないです。これはほっておいてもよさそうですね。
安心しましたです。
>249 > ホストルートはどこで設定できるのでしょうか?(汗) Unix(Solaris)のマニュアル見てください。 (routingもしくはarp) もしくは、上位ルータのマニュアル見てください。
お騒がせしてすいません、同期できました。
マニュアル(ClusterXL NG with Application Intelligence)を
よく読んで、cpconfigで
Check Point ClusterXL and State Synchronization
を有効にして再起動後、232さんに教わった設定をかけたところ
動作しました。
8116/udpのパケットがsync用のネットワークアドレスにのみ飛んで、
"cpstat -f sync fw"とフェイルオーバ時に「out of state」が発生しない
事を確認して良しとしました。
>>249 NGにすれば悩まなくて良くなるポイントです。
Automatic〜 が信用できるならですけど。
252 :
名無しさん@お腹いっぱい。 :03/10/31 19:05
NGのFP3でosはWindowsNTなのですが ログファイルのパスをデフォルトから変更ってできるんでしょうか? ログは消さずにできるだけ保存して置きたいのですが Cドライブに貯まってしまい困っています。 マニュアルみても載っていない様なのですが・・ ご存じの方がおりましたら教えてください。
>>252 定期的にlog switchして移動とかでは駄目なんでしょうか。
254 :
名無しさん@お腹いっぱい。 :03/10/31 21:48
>>253 log wsitchではログの保存先のパスを変えられるのですか?
であればDドライブには余裕があるのでそのまま運用できるのですが
あとこれはコマンドプロンプトから入力するんですか?
教えて君で済みませんがお願いします
>>254 log switchしてできたファイルを、自前のバッチとかで
移動させるってことではないかと。
>>246 FW-1 4.1以前でStatic Destination NATをさせるために必要なホストルートとは?
FireWall-1は汎用OSの上で動くため、FireWall-1のアプリケーション上の設定だけでは意図通りの動きをさせられない機能がありました。その代表がStatic Destination NAT(1対1宛先IPアドレス変換)です。
下記は私なりの理解です。厳密には間違っているかもしれませんが、このように思いこんで今まで乗り切ってきました。回りくどい説明をさせてください。
まず、Host Routeが必要となる前段階の処理について
パケットをNICで受け取り、IPヘッダを見てルーティングするか否かを判断するところまではOSの仕事です。通常はNICのMACアドレスと一致する宛先MACアドレスのEthernetフレームのみがIP層に渡されます。
宛先アドレスがI/Fと異なるものを受け取らせるために、NATアドレスに対してI/Fと同じMACでARPを返したり(Proxy ARP),上位のルータでNATアドレス宛のパケットのNext HOPをFW-1のI/FのIPとして設定したりする方法が使われます。
よく、NATアドレスに対してProxy ARPを設定することが絶対必要と思われている方がおられますが、実際にはNATアドレスへのパケットをI/FのMACアドレス宛のEthernetフレームに包んでおくってもらえさえすればいいので、Proxy ARPは必須ではありません。
I/FのMACアドレス宛のフレームから取り出されIPパケットがOSのIPドライバに渡されると、そのパケットを自分で受け取るかルーティングするかを自分自身のルーティングテーブルに照らし合わせて判断します。
これがFireWall-1によるパケット処理より前に行われるというのがポイントです。
宛先アドレス変換対象となるIPアドレスが宛先のパケットはたいていは入ってきたI/Fと同じネットワークに属するため特別な設定をしていなければルーティング対象とならず、FireWall-1のKernel Moduleによる宛先IPアドレスの処理の前に破棄されます。
これを防ぐためにDestination NATを行うFireWall-1がインストールされたOSのルーティングテーブルにはNAT変換前の宛先のパケットはNAT後のアドレスの宛先のあるネットワークに向けて転送するというStatic Routeが必要となります。
>>256 続きです。
たとえば、192.168.1.30宛のパケットを172.16.1.30にNATする場合は192.168.1.30/32→172.16.1.30というようなスタティックルートをFireWall-1が動作するOS上に設定します。
ただし、FireWall-1から見て172.16.1.30が別ネットワークセグメントに属している場合(たとえば172.16.254.254というルータの向こうに存在している場合)は、192.168.1.30/32→172.16.254.254という書き方をします。
NATアドレスが連続的に使用されていれば192.168.1.24/29→172.16.254.254という設定もあり得ます。
このスタティックルートの設定は不自然で気持ち悪いのでほんとにこれでいいのかなと思ってしまいますが、これで正しいのです。
OSがルーティングテーブルに従って、パケットを転送しようと試みるとFireWall-1のKernel moduleがOSからパケットを横取りして好き勝手にIPヘッダを書き換え、NATが行われます。FireWall-1のNATはルータや田のFireWallとは感覚的に変なモノです。
FireWall-1のNATはOSから対象のパケットを渡されさえすればどのようなNATでもできます。I/Fとは全く関係のないIPアドレス間でも自由に書き換えられます。
FW-1に設定するStatic RouteのNEXT HopはNAT後のアドレスと一致する必要はないようです。OSがルーティングを試みさえすれば後はFireWall-1の処理にゆだねられてうまくいくようです。
ただ、Next Hopとして指定されたアドレスがARP応答しない状態だとそのルートはUnreachableとOSに見なされるため、NATにができなくなることもあります。したがって、確実にARPを返してもらう必要はあるでしょう。
ここまでの説明では説明がつかないことがあります。それは、送信元NATをかけた場合のリプライパケットはStatic Routeが無くても戻ってくることです。これは、そういうモノだと割り切ってます。
ちなみにVer NGからはこのような設定は不要になっています。IPSO(NOKIA)でも4.1の後の方のバージョンに対応したバージョンだとStatic RouteなしでもふつうにNATできてしまうバージョンがあります。
>>257 最後に設定例をば
Solarisの設定例
route add host 192.168.1.30 172.16.1.30がスタートアップスクリプトの適切な部分で読み込まれるようにする
Windowsの設定例
route ADD -p 192.168.1.30 172.16.1.30と一発実行しておけばレジストリにスタティックルートが書き込まれるのでリブート後もルート設定が行われる。
IPSO(NOKIA)の設定例
VoyagerのStatic Route設定で192.168.1.30/32 Gateway Address 172.16.1.30とApplyしてSaveしておけばよい。
汎用OSの動作と外付けアプリケーションFireWall-1のせめぎ合い。いやー、FireWall-1って本当、難しいですね。
>257 anonymousさんの悩んでいる部分、、説明してあげられるけど、 いま、忙しくてごめんなさい。 #どうも知っている人のような気がするんですが。 #業界狭いからなぁ。
261 :
名無しさん@お腹いっぱい。 :03/11/05 09:38
50人程度の小さい事務所にFW/VPNを導入 したいのですが先月発表されたアプライアンス 製品では役不足でしょうか?
SonicWall>NetScreen>>>VPN1-Edge>>>>>>>>VPN-1/FireWall-1 の順でおすすめ。
263 :
名無しさん@お腹いっぱい。 :03/11/06 21:04
ベンダーに関わらずFWの導入相談スレないですか?
>>262 最近SonicWallの事例を周りで聞かないんですけど最近のモデルって結構いいんですか?一時ほどメジャーじゃなくなっている気がしてます。
>>260 まあ、この世界狭いですね。
でも、私はそんなに顔が広くないので別の方と間違われているかもしれません。
>265
>>262 私も、最近Sonicの事例を見ないので、知りたいです。
>265
まあ、お互い詮索は無し、ということで。
知っている方がいましたら教えてください。 $FWDIR/logにあるfwd.elgって何のファイルなのでしょうか。 400MBくらいになっているですが。 なんかやばげな雰囲気が。。。 NGのドキュメント読んだらここだけ何も書いていなかった。 資料のありかでもよいのでご助言を。
>>261 safe@officeはSMPがないとルールのカスタマイズできません。
VPN-1 EdgeもSmart Center ProもしくはProvider-1が必要かも知れません。
safe@officeはプリセットでルールが3種類入っていますが、ルールの内容は明記されていません。
両者とも単体では自由度がないのでオススメできません。
旧S-Boxはソフトバンクをはじめ、富士通が取り扱っていましたが、
新しいアプライアンスはどこが取り扱うのでしょうか?
>269 Mなんちゃらが扱ってる模様です。
>269 >270 自己レスを兼ねて。 その問題があるので、センターでポリシー管理サービスを行い エッジの機器を、リースで扱っているところが、、、という意味です。 貸し出し+ポリシー管理・監視・レポーティングサービスで、月額いくらって感じで。 でも、サービス開始してるのかなぁ?まだかな? 宣伝だけ聞いたんだけど。
>>270 =271
情報ありがとうございます。
同様のサービスは富士通がS-GUARDとして提供していますね。
管理ツールのSmartCenter Pro Unlimited Gateways /Uが320万円。
クライアントが多いなら買ってしまった方が良いかも知れませんね。
商品提供に関してはVPN-1 Edgeは不明ですが、Safe@officeは12月頃提供らしいです。
話変わりますがVPN-1 SecuRemote NGFP3とNortonInternetSecurity2004が
Windowsのサービス起動時にコンフリクトして、SecuRemoteが起動出来ません。
NIS2004のウィザードのアプリケーションの自動検出でも
VPN-1 SecuRemoteをスルーするようになりました(´・ω・`)
fw age
274 :
名無しさん@お腹いっぱい。 :03/11/18 18:06
NOKIA IP350 IPSO3.5.1 FCS6 でファイアーウォールを動かしていますが、 Voyagerから設定できるStatic Routeの数が載ってるドキュメントを 知っている方どなたかいないでしょうか?
275 :
名無しさん@お腹いっぱい。 :03/11/19 14:49
ホストルートの設定やっぱり出来ない・・ ホストルートのこと詳しく説明頂いていますが 私の理解を超えてます。
>275 ルーティングの概念が理解できていない場合>TCP/IPの教科書 ホストルートの設定ができない>該当OSのマニュアル 参照のこと
277 :
名無しさん@お腹いっぱい。 :03/11/21 11:56
あれ? phoneboyっていつのまに見れなくなったの?
>>275 256以降の内容を読んでも分からないのであれば、
自分で頑張るのは諦めた方が良いのではないでしょうか。
そろそろ新しいバージョンがリリースされるらしいですが、 呼称はどうなるんでしょうね。
>279 NG is not No Good, but Next Generation だから、次は DS9かなぁ(笑)
281 :
名無しさん@お腹いっぱい。 :03/11/25 00:28
>>280 > DS9かなぁ(笑)
何のリャクデスカ?
>>281 Deep Space 9
Star Trekネタみたいでつ。
>283 どんどん、わけのわからない深みに嵌まり込みそうで、嫌なんですけどね。 バージョンアップする前に、安定させてよ。>CP ライセンス価格下げてよ。
新しいライセンス体系わけわからん。 中小企業を取り込もうという意図のようだが、 ある程度の大企業には事実上値上げだよね。
>285 前の改訂のとき、EnterpriseでHA組んでたライセンスを、どう移行させるのかで 頭混乱したのに、、、お金のことは、営業さんに任せておくことにするか。
NG with AI R55 (FP5)出たね。今度こそバグフィックス版? でも、ISPりだんだんしぃ機能なんてのが付いてる。使えるんだろか? 新ライセンス体系。03・12・19に向け流通の最上流から下流まで大混乱中か?お金のことは営業さんに任せられるけど、必要なライセンスが何かは概要設計の後SEレベルの判断が必要と思う。 だからNetScreenの方が売りやすいって言われるんだ。
>287 >必要なライセンスが何かは概要設計の後SEレベルの判断が必要と思う。 判ってますよ。それどころかバージョンアップの際に追加購入が必要になる モジュールとか、結局答える羽目になってましたから。 もう知らない、と言いたい。。 > だからNetScreenの方が売りやすいって言われるんだ。 セットアップ・バージョンアップ作業も、こっちの方が楽だからなぁ。 新人に任せられるし。手順書ちゃんと作ってやっても、FW-1の場合、 安心して出せないものねぇ。。(顧客のポリシー全部の検証できんから、 結局トラブルが発生したら出張る用意がいるし)
289 :
名無しさん@お腹いっぱい。 :03/12/05 14:36
新規で買う分には新しいライセンス体系はそんなにややこしくないよ。 でもアップグレードはややこしいね。トレードインなんて意味不明、 というか高杉。 漏れ的にはダウングレードでも結構な費用がかかってしまうのががくぶるだけど 今までがおかしかったのかもしれないがな。 設置に関していえば箱物にはかなわないわな。
290 :
名無しさん@お腹いっぱい。 :03/12/08 13:15
どうせ買い換えるならNetscreenのほうが簡単なんですよね? そうなると一からポリシー作り直しになるけど、それほど Netscreenの方が簡単ですか?
買い替えを検討しているライトユーザならNetscreenとかSonicWALLでいいんじゃない? 一番簡単なのはSonicだけどねぇ。 なぜNetscreenが伸びてるかというと、SI業者が扱いやすいからなのです。たぶん、、、、、、きっと。 クライアントVPNやるなら違うやつの方がいいよ。
292 :
名無しさん@お腹いっぱい。 :03/12/09 14:07
NGの評価用ライセンスって無くなったんでしょうか? 「ご購入前のCheckPointソフトウェアは15日間機能します」 とあるから、この間に色々試せってことかな・・・。 正式ライセンスが来るまでは評価版でつなぐ、なんて よくやってましたがw
293 :
名無しさん@お腹いっぱい。 :03/12/10 08:42
>>291 Sonicの製品デモやってみたけど簡単そうですね。
でもパケットの処理が通過 or denyしか選択出来なかったり
デフォルトで登録されてるプロトコルの数が少なかったりで
少々役不足の感じでした。
やぱNETSCREENかな・・
294 :
291 ◆W9f1Qgnpec :03/12/10 15:42
よし、このスレは俺にまかせろ!!
難しいことはわかりません。
>>292 評価用ライセンスあるはずだよ。それに加えて15日間の評価ができるようになった。
CD買えば1ヶ月間×2の評価用ライセンスの権利がある。
>>293 たくさん売れてるし、よいのでは?
・・・とCheckPointスレで言ってしまうのはどうだろうw
ちなみに「役不足」の使い方間違ってるよん♪
通じるけどね^^
>>294 評価ライセンスってCDケースに貼ってあるKeyをWebで
ほげって取得するってやつっすか?
やり方よくわからないから、15日でカタをつけるか・・・(´Д`)
>295 日付を戻すというのは無し?
面倒なのでキャップやめました。
>>295 そそ、WEBで取得するやつです。
CD買ったとこに聞いてみるといいよ。
>>296 有り^^
設定の確認とか動作検証とかでは日付戻しで十分だよね。たぶん。
時間戻すなららNGからバイオスの時間から戻さにゃならなくなった気が...
>>296-298 NGよりICAのInitializeした日付時刻(つまり最初のcpconfigね)より時間を戻すとCA証明書がValidではないとおこられまつ。評価ライセンスなしの2週間というのはCA証明書の発行日付時刻が基準らしい。CAの有効期間に気をつけながらほどほどに戻すのがポイントです。
FW関連だと時間は余り関係ないですが、VPN関連の動作検証だと時刻を合わせた方が変なはまり方しないです。
私は変なはまり方したくないので外部CAサーバからVPNクライアントまで全部3週間前の日付にしてしまったりします。VPNクライアント検証機は自分のデスクトップと併用だから戻し忘れてメールの日付がずれてショボーソとかありますけど。
個人的には、一瞬日付をみてビクーリしないようにちょうど一年戻しとかが好きなのですが、NG以降では難しい。
関係ないですが、cpconfigをOSクロックがGMTの設定で実行したあと時刻をそのままにしてJSTに変更すると未来に発行されたCA証明書として認識されて妙な挙動にはまります。まあ、9時間待てば回復しますけど(W
300 :
◆OPSECXvmcU :03/12/12 11:38
>>299 あとFW-1で時間が関係するといえば、HA構成でstate syncを組んでる場合、
HA(orクラスタ)メンバの時計がズレてるとマズーですな。
時刻同期は必須かと。
>300 そう、同期が必須なのに、NokiaのNTP回りには泣かされたものでした。 (判る人には判るよね。) RIP拾っては、バタバタと。。(苦笑)いう質問が良く飛んできたもんです。
NOKIAたんのナレッジ(Resolution 18074)見てたらNGwithAIで広範なメモリリークとの記述が。死? 狙い撃ちでR55出ないのってこれが原因ですか。誰かおせーて。
303 :
名無しさん@お腹いっぱい。 :03/12/17 15:22
NG AIなんですけど、 Windows2000 Advanced Server SP3 に入れたらSmartClient用のアカウントが作れない・・・。ヽ(`Д´)ノ (Failed to save the administrator's password!) リリースノートにはSP2までしか無いのは確認済みですが、 チャレンジした人いません?
>303 全然関係無いかも知れないけど、Win2K serverにSP3当てると Windowsの証明書発行機能(CAサーバ)は、動作しなくなります。 ちゃんとMSのドキュメントに制限事項として書いてあります。 でもパッチを当てないとセキュリティ的には、、 最善の解決策は、プラットホーム変更することだったりしますね。
305 :
名無しさん@お腹いっぱい。 :03/12/22 02:38
FW-1のドキュメント類って2万円するらしいのですが 売っているのも見たことないし・・ 商品買っても説明書別売りって・・。 別売りドキュメントって買うような内容なのでしょうか?
>305 初めての時は、役立つ部分もある。 でも、すぐ不要になる、、といったところかな。
>>305 > 別売りドキュメントって買うような内容なのでしょうか?
別売りって製本されたやつのこと?
日本語で読みたい時にいいかもなー。
でも、マニュアル無くても分るやつが読まないと
分らないと思う。分らないことがあって必死でマニュアルを
読んだけど、余計に分らなくなったよ。これはあくまでも
俺が感じたことだけど。
phoneboyがミレネ
見れなくなってずいぶん経ちますよね。 まいった。
>>310 最低でも15日間使えるのは確かです。
評価用ライセンスが普通に発行して貰えるものだと思って
去年オーダーしてしまいました・・・。
>>311 情報ありがとうです。
15日間でも使えればOKですので購入してみます。
313 :
名無しさん@お腹いっぱい。 :04/01/05 06:07
>
>>308-309 復活の模様
管理者がクリスマス休暇か? と思っていたらサーバを切り替えたみたいだね
>>312 今のバージョンは再インストールすれば、何回でも15日間使えるよ。設定はやり直しだけどね。
とてもとっつきにくい製品だけどいろいろ機能豊富で奥が深い。
ガムバッテ
>>230 えっと・・・これから4.1をインストールしようとしているツワモノが
ここにいますが何か?(w
一度試しにインストールしてみたところ、急に動かなくなりました。
「パケット全部通す設定しかしてないよね?さっきまで元気に動いていたよね君?なんで急に動かなくなるの?」
これから当分の間こんな独り言が続きそうです・・・。
やっぱり、Redhat7.0なんか使ってるのがいけないのかなあ。
SP5のマニュアルでは対象プラットフォームになってたのに。
亀レスなのでsage。
>315 7.0対象になってても、6.xからのアップグレードか、 Symlink張りなおさないと、ライブラリ回りでこけるよ>4.1 あくまで、「動かすことが可能」というレベルのドキュメントだという罠。 頑張ってください。
>316 ありがとうございます。頑張ってみます。 今更4.1とは・・・。でも上司には逆らえない。^^;
Linux上でFireWall-1を動かす場合、kernelを選ぶ(最新では動かない) 様なんですがkernelのバグ(local exploit)はどう考えれば良いのでしょうか。
portingされていませんが、ベースとなるOSとしては OpenBSDとかの方が安心できそうなんですが・・・。
>318 FW-1で守れるものと守れないものがありますが、 基本的には、ダメと考えた方が目的に沿うものと思います。 これはWin2K/NTで動かすFW-1やSolarisで動かすFW-1でも同様。 IPSO(NOKIA)しかり。RSCP(based on Linux)しかり。 FW-1のお守は大変。バージョンアップの際の検証も大変。 停止してはいけないところの場合は、冗長化は必須。 (バージョンアップのためにもね) 頑張ってください。
321 :
名無しさん :04/01/21 23:29
SecureRemoteをICカード+証明書で使っている方いますか?問題点あったら教えてください。 あとNetScreenでも同じようなことやっている方はいますか?
>321 どちらもやりましたが、証明書発行サーバの種類とバージョンに注意してください。 (例:NSにMS-CA使う場合、日本語Winサーバは不可。かつSP3以降になっていると 発行機能が動作しなくなる、など) また証明書の形式にも注意が必要。(使うカードやキーによって、 扱える形式が異なるため) 頑張れ〜。
323 :
名無しさん@お腹いっぱい。 :04/01/22 15:29
最近、FW-1をいろいろいじり始めました。 291> CD買えば1ヶ月間×2の評価用ライセンスの権利がある この2つのライセンスを切り替える時に、一回FWのサービスを 止めるとか、再起動の必要はあるんでしょうか? それとも、ふつうにライセンスの追加という形で止めずに 期間の延長が可能なんでしょうか?
>323 FAQです。 一回止めて評価ライセンス消さないと、酷い目にあうかもねぇ(w;
325 :
名無しさん@お腹いっぱい :04/01/22 22:40
どなたかVerisignの証明書と合わせてマネージドVPNサービス For リモートアクセスユーザを提供している会社をご存知ですかな?
326 :
名無しさん@お腹いっぱい。 :04/01/27 22:33
FP3からAIにバージョンアップ。 SecuRemoteのNAT Traversalがほとんどデフォのままでポリシーに追加するだけで通るようになってた。歓迎。 クライアントレスVPNは動かなくなっちゃった・・・。設定変わりすぎ。こっちはまだまだ発展途上みたい・・・。 > 1さん 個人的には、SecurutyServer機能やログ採取を使わないならFW-1を使うメリットってないような・・・。 毎日ログファイルをスイッチさせてDATに取らせれば、万一の事故のとき、ログを失わずに済むってのは安心です。 他社製品だとログがパンクしてもF/Wを止める連動が難しいので、ちと怖い。 > CheckPoint はやく、W2KベースでのMXリゾルバをサポートしてちょーだい。
>326 1氏が「其の弐 ログはためても 100MB くらいまでにしましょう。」と 書いているのは、fw.logの容量のことを言いたいんじゃないのかな。あれでかくなるとヤヴァいよね(;´Д`) ログはローテーションしてどっか置いとこうよ、というのは仰る通りですな。 うちもfw logswitch hoge && fwm logexport hogeしてファイルサーバに放り込んでる。 SecurityServerとかCVPとかは見た目便利ですな、確かに。 NGAIになってもともとHTTP SecurityServerにやらせてた処理をfw-1 kernelに 組み込んだのは、要は誰も真面目にSecurityServer使う気にならなかったからと理解してるが(#´Д`)
>>327 > あれでかくなるとヤヴァいよね(;´Д`)
ヤヴァイです。
半年程前、俺が運用を引き継いだFW-1 4.1は1年以上logswitchされていなかった・・・。_| ̄|○
329 :
baguscafe :04/02/04 00:00
はじめまして、IP530(IPSO3.7 NGAI)×2とsolaris8(NG-AI 管理モジュール外だし)で NOKIA VRRPを行っています。NOKIAにコネクトしている(同一セグメント)端末よりNOKIA のVIPと実IPにPINGを打った場合、実IPから応答がある場合、仮想IPからは応答がありま せん。また、仮想IPから応答がある場合は、今度は実IPから応答がありません。同一セグ メント以外の場合は、実、仮想IPともに問題なく応答します。 同様のことを、SOLARISで行った場合は、どこから行っても、PINGに応答があります。 どなたか、解決方法をご存知の方、ご教授ください。
>329 ICMP redirectが怪しい気がします。 IPSOの設定の方は問題無いとして。。
>329 それは…、仮想ipにping打ってから30秒(stateful icmpのタイムアウト時間)待って 実ipに打つと、応答が返って来るのではないでつか? もしそうなら、ClusterObjectの3rd Party Configurationで「Forward...」のチェックを 外してみれば直ったと思うが。
332 :
名無しさん@お腹いっぱい。 :04/02/06 23:01
FireWall-1にセキュリティ・ホール,管理者権限を奪われる恐れあり itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040206/139474/
333 :
名無しさん@お腹いっぱい。 :04/02/06 23:07
>329 初めて、この掲示板に書き込みましたが、いろんな方が見られていて アドバイスをいただけて光栄です。この掲示板がもっと盛り上がれば いいですね。 首記の件ですが、自己レスで申し訳ありませんが、解決いたしました。 製品の不具合で,modzapで解決できました。お騒がせしました。 現状では、ping interval 1秒でも実、仮想IPからreplyが帰ってくるよう になりました。 今後ともよろしくお願いします。
>333 allow_simultaneous_pingかな? なら納得。 NGAIでも有効なんですね、それ。 >332 AI以降、HTTP SecurityServerがそれと知らないうちに動いてることも多いのでヤヴァげ。 いちいち設定を洗うよりパッチ当ててしまった方が安心できそうだが (´・ω・`)
年度末の忙しい時期に、このセキュリティホールは勘弁してくれ 週明けからパッチ宛に客先へ回らねばいけなくなる予感〜 うちの客はまだ、ほとんどFP3だから緊急のところは限られてるがな
336 :
baguscafe :04/02/08 09:36
>334 ipsrdさん、さっそくの返答ありがとうございました。baguscafeです。 331で、ClusterObjectの3rd Party Configurationで「Forward...」 のチェックを外してみれば直ったと思うが。とありますが、 →これは、allow_simultaneous_pingと同じ効果を生むのでしょうか? 私も、あのチェックはNATに関係するので疑って、いろいろやってみたことが、 ありました。うまくいったような記憶がございました。しかし根拠がないよう な気がしてやめました。 また、ご存知ならおしえていただきたいのですが、デフォルトで なぜ、「Hide・・・」と「Forward・・・」にチェックが入っているのですかね? 初歩的な質問で申し訳ありません。
phoneboy本、みんなは買った?
4.0にもこのセキュリティホールあるのかな?
>baguscafeさん allow_simultaneous_pingで直る「ping通らないよバグ」の原因になってるのは、 icmp echoのシーケンスを取らずIDしか見ていないicmpステートテーブル構造と、 CPHAモジュールの変なNATであると理解する次第。 なので、「そもそもNATさせなきゃいいぢゃん?」ということでやってみたらやっぱり通ると。 ちなみに、allow_simultaneous_pingは、NATを止めているのではないと思われ。 なぜならこれを入れた後でも、オプションなしのntpdate(src=123/udp,dst=123/udp)で同様の現象が起こるので。 よく分からないけれどたぶん、icmpステートフル処理を別ロジックに変えるんでしょう。 > また、ご存知ならおしえていただきたいのですが、デフォルトで > なぜ、「Hide・・・」と「Forward・・・」にチェックが入っているのですかね? これは従来のCPHAがそういう仕様だから、かな (´・ω・`)
340 :
baguscafe :04/02/10 23:05
>ipsrdさん ありがとうございました。奥が深いですね。ご丁寧な対応ありがと うございました。
ところでみなさん、CCSE/CCSAのロゴを名刺に貼ったりしてますか? 名刺が寂しいので貼りたいのですが、貼ることでアホと思われるのも嫌なんで。
張ってない。それを表に出す方が恥ずかしい。 あれは、ベンダーとCPとの契約の都合でいるものだから。 セキュリティポリシーの設計やコンサルティング能力とは 何の関係もないし。
>>342 あぁ、そんなもんなんだありがとう。
ちなみにうちの職場は、FW-1に関してはまともな技術者がいません。
俺が赴任するまでStealthRuleっていう概念が無かった。
「ワタシCCSEデス」 「はあ」 「トコロデ冗長化ッテドウヤルデスカ」 「はあ?」 「コノ同期ぽーとデVRRP張ッテルデスネ?」 「はあ??」 「実ハワタシFireWall-1ノ構築ハハジメテデ」 「はあ???」 みたいな。確かに割とどうでもいい資格かも。評価の基準にはしたくない。
>>CCSE、CCSA FW-1のことを理解しているという前提で話しをされると思うので、 お客さんや他のベンダーの方が知識があったりするとつらいかもね。 貼っておいてもあまりいいことはなさそうに思える。
>>344 ワロタ
っていうか、これってペーパーCCNPも同じようなもんですな。
しかし、FW-1の構築が初めてって・・・。
よくそれで合格したもんだ。
最近の若い香具師は試験勉強の要領だけで合格するよな。
>>345 うーん。微妙です。
言葉は良くないですが、わたしゃハッタリ程度にしか思っていませんので。
話はそれますが、今日名刺の整理していたのです。
某ベンダーにいました。小さな文字で
CheckPointCertifiedSecurityExpertと書いている人。
自分なりに考えてみたのですが、とりあえずロゴのシールを作って、
相手を見て貼るか張らないかを決めようかと思います。
# 漏れは見栄っ張りなんで(汗
みなさん、どうもありがとう。参考になりました。
# 技術的な話でなくてスマソ。
>344 それと同様のセリフを吐くCCSEを何人か知ってます。 HA構成のFW-1設定してね。 「設定サンプルと同じようにしたんですが、動きません」 HA組んだFW-1のバージョンアップよろしく。。。停止は3分x3回程度ね。 「できません。どうやるんですか?」 サーバのNAT設定よろしく。 「ローカルからDMZにつながらないんです」 各々原因は、著明なものなんですけどねぇ。。 #無資格の一人より
348 :
名無しさん@お腹いっぱい。 :04/02/20 00:33
非常に基本的な質問かもしれませんが、policy serverって何ですか?
349 :
chakpoint :04/02/20 00:36
Firewall-1 AI R55 使っておられる方?いますか? 感触はいかがでしょうか?R54とR55って何が変わったのか? なぞっすね。IPSOもVUP必要だし。
350 :
名無しさん :04/02/20 00:51
初めてchekpointを触りました。 Firewall-1についての疑問ですが、独自にServiceオブジェクトを 定義した場合、サービスのプロパティでProtocol Typeを指定し ない場合は、portベースのinspectionしかしないのですか?もし そうなら、Firewall-1で最初から登録されていて、protocol typeがないサービスって、何のためにあるのか???知っている人に とってはばかばかしい質問ですがよろしくお願いします。
R55になって使いやすくなったような気はしますが、気がするだけかも。
やはりR54とR55の最大の違いは
ラ イ セ ン ス
でつかね? CPの中の人の作為を感じまつ。
ISP Redundancyなんて、おっかなくてお客様には提案できませぬよ(;´Д`)
>>348 ぐぐれ。もしくはどこぞの販社の営業に問い合わせれ。
>>350 ipfw add 1 allow tcp from a.host 1024-65535 b.net 80 keep-state
みたいな書き方がFireWall-1では無理。
ポート番号の数字ひとつ入れるのにもオブジェクトが必要だからネ (´・ω・`)
352 :
名無しさん :04/02/21 01:37
ipsrdさん
>>350 ということは、やはり、プロトコルベースのinspectionはTCPでは13種類?
ってことですかね・?
うーん。
sqlnet2(Oracle Net8)やRPC、ftp/ftp-passive、Voiceのような、
特殊なサービスを通すために特殊なフローが存在するわけでつ。
そこで「Protocol Type」ですよ。
INSPECT言語によるユーザ拡張も可能、だったっけ? うへへ知らん。
>>352 の期待されているところのinspectionとは、つまりL4より
上のレイヤにおける制御なのかな、と漏れには読めます。
であるならそれはサービスのリソース定義なんかが該当するんではないか?
いまホットな(苦藁)Security Serverとかのお仕事かと。
Application intelligence、Smart Defenceといったキーワードを
追ってみたほうが良いかもですな。
とにかくうんざりするほど色んなことができ、驚くほど直感通りの動作をしません。
354 :
名無しさん :04/02/22 20:40
ipsrdさん
>>353 セキュリティサーバ、SmartDefense、などの機能をOFFにした場合(厳密にはすべてOFF
には出来ないと思いますが)はFW−1もportのみのチェックしかしていないって事でしょうか?
つまり、せっかくFW−1を使うなら、SmartDefenseなども有効活用しないと
いみがないのですか??
やっぱり私はわかってないですね。これって基本的なこと??
>>354 えー、portのみのチェックをさせたければ、そうさせることもできまつね。
しかし最近のバージョンのデフォルト設定では、例えばtcpについて、
セッションの細かい状態までFireWall-1が見ています。
Dropログに「TCP packet out of state」というのを見たことがないですか?
SYN流れてないのにいきなりACKが来たりするのを、FireWall-1が(゚听)イラネ 言ってるわけ。
そういう意味では、L4より上の制御をしないように設定してたとしても、
単なるipフィルタ以上の(strictだけど運用上は割と余計な)ことをしてくれちゃってる。
ちなみにこのウザい機能は主にSYN Flood除けの目的で実装された、はず。
Smart Defense(字間違えてた。死)は安っぽいIPS/IDP程度の動作をさせるものなので、
それはまた別の使い方になりまつね。
別途用意できる余裕があるならちゃんとしたIDSにSAM投げさせる方が良い気がします。餅は餅屋。
さて、このスレの随所でも言われていますが、ことによると劇的に重くなるので、
軽々にSecurity Serverが走るようなポリシを組むことはおすすめできないかも。
サイトの負荷状況と、チェックの粒度向上の必要性とを慎重に天秤にかけてくだされ。
356 :
名無しさん :04/02/23 00:55
ipsrd殿
>>355 よくわかりました。目からうろこです。
ご指摘のとおりですね。このような基本的な質問は二度といたしません。
ありがとうございました。ご迷惑をおかけしたことをお詫びいたします。
ipsrd殿の用に詳しく理解されている方が回りにいなかったので
駆け込み寺でこちらにきました。本当にありがとうございました。
357 :
なやめるひと :04/02/27 16:51
FW:NGFP3 HFA318 httpのセキュリティサーバのパッチ適用において、適用後fw kill fwdを実施しますが 納得がいきません。 fwdを殺すと全断するのでは、→cpwdで再起動しても、その間は通信断にならないの かな? NOKIAで冗長化しているときなんかFWのプロセスを監視していないのできりかわらないですよね もしかして、私、fw kill fwdの意味がわかってないのかな・ みんな適用したのかな・
358 :
jones :04/02/28 00:21
>>357 通信断にはなりません。
パケット検査はfwd(デーモン)ではなく、InspectEngine(カーネル)の仕事。fwdとは別物。
管理サーバへのログの送信やポリシーインストールなど分散環境下でのコンポーネント間の情報の送受信
など(その他サービスいろいろ)を担当している。ただ、fwdが死んでるとログが取られなかったり管理サーバに送信
されなかったりなど、運用上の問題があるのでやはり動いているのが普通。参考になれば幸い。
360 :
なやめるひと :04/02/29 15:09
jonesさん 某ページで以下の記述を見ました。 fwd インスペクション・モジュールとFireWall-1デーモンおよびセキュリティ・サーバが含まれます。 セキュリティポリシーを実装し、イベントをログに記録し、デーモンを使って管理モジュールと通信します。 fwm 管理モジュールが含まれます。 管理モジュールは、FireWall-1のデータベース(ルールベース)、ネットワーク・オブジェクト、サービス、ユーザなどを管理します。 ポリシーの検査、コンパイルやGUIとの通信を行います cpwdがデーモンの監視(fwd)をしていたので、てっきりInspectEngine=fwdだと思っていたいのですが、、、 つまり、WatchDogの監視対象は間違っている?またはあまり、意味がないような気がします。 FW-1のInspectEngineの停止は、どこで検出すればいいのでしょうか? そもそも、InspectEngineの監視はできないのですか? ちなみに、Jonesさんの情報の出所はどこですか?ぜひ教えて下さい。
361 :
なやめるひと :04/02/29 15:13
先ほどの続きですが、 InspectEngine(カーネル)の状態は、プロセスで確認できますか? InspectEngineが落ちると、そもそも、全断>??
362 :
jones :04/02/29 16:24
>>360 ,361
>fwd
>インスペクション・モジュールとFireWall-1デーモンおよびセキュリティ・サーバが含まれます。
>セキュリティポリシーを実装し、イベントをログに記録し、デーモンを使って管理モジュールと通信します。
合ってるような、合ってないような。
でもね、fwdはなにも実施モジュールだけにしかないというわけではないんだよ。分散環境下では管理サーバにもあるよ。だから、fwd=InspectEngineではない。
個人的には、fwdの仕事はコンポーネント間(管理サーバや実施モジュール)の情報のやり取りやコンポーネントが正常に起動するためのコントロールタワーだと認識している。
InspectEngineは前述のようにカーネルとして動いている。だからプロセスでは見えん。NICドライバとTCP/IPドライバの間(強いていうなら2.5層)で動く。
OS起動時にバインドされるドライバーだと思っていい(と個人的には理解している)NICごとにInspectEngineあるしね。
だから「InspectEngineが落ちる」という表現は適切ではないと個人的には思う。
OSが動いていれば一応InspectEngineは動いている。あとはPolicyが適用されているかどうかだけの問題。
PolicyアンロードしてもInspectEngine(ドライバ)自体がなくなるわけではないしね。
ちなみに知っていると思いますが、普通にcpstopするとPolicyアンロード→OSのルーティング機能が無効になるので実施モジュールを跨いだ通信はできなくなります。
もっとも、このような振る舞い(管理サーバからの命令に従って実際にInspectEngineにポリシーを適用したりはずしたりする)を担当しているのはfwdなのでfwd死んでるとやっぱりまずいよ。
そういう意味でもWatchDogの監視対象は間違っていないとおもう。
でもこの状態でもInspectEngineは2.5層に居続ける(と思っている)
情報の出所?自分自身の経験です。マニュアル腐っているし。
fwdが死んでてもパケット検査しているのは何度も経験してる。
>ちなみに知っていると思いますが、普通にcpstopするとPolicyアンロード→OSのルーティング機能が無効になるので実施モジュールを跨いだ通信はできなくなります。 でも時々なぜかポリシが適用されてないのにルーt(ry や、茶々入れ失礼。大変参考になりまつ。 カーネルモジュール($FWDIR/boot/modules/fwmod.o?)をアンロードしたら InspectEngineも動かなくなるかも? LinuxやSolarisならできそう。 cpstopした状態というのは、モジュールというかドライバはロードされてるけど ポリシが外れるので処理はバイパスされる、という感じでつか。
364 :
なやめるひと :04/03/01 09:39
早速の回答ありがとうございました。 ぜひ参考にさせていただきます。 みなさん。かなり苦労されているようですね。 ぼくも、勉強もっとしよっと。!!! これからも、FW-1を愛していきます。 でわ。
365 :
baguscafe :04/03/02 11:13
皆様お久しぶりでございます。 NOKIA IP350、FireWall-1 NG AI R55 使用環境下において、VRRPが 稼働中のシステムがあります。 本システムにおいて、本体起動時に 224.*.*.* 宛にIGMPパケットが 送信される現象が発生しております。 ※224.*.*.* の*、NOKIA本体に登録されたInterfaceのIPアドレスの 2オクテッド目以降と一緒のアドレス ここで質問なのですが、 @上記現象はNOKIAとして正常な動作なのか A224.*.*.* のアドレスは何を意味するのか よろしくお願いします。
VRRPの設定マニュアル読むこと。 multicastパケットが、ハートビート打ってることが判る
>>366 VRRP自体はVRRPなので、IGMPではないかも。それに224.0.0.18だし。
224.0.0.18へのIGMPはVRRP multicastを通してもらうためのmulticastでつ。
これを通しておかないと困ったことになる環境もありますね。
IGMPsnoopingなどで。
で、問題の224.*.*.*はよく分かりませぬ。でも漏れも見たことありまつ。
落としててもVRRPの動作には直接関係しないっぽいのですが、なんだろこれ?
ああ、インターフェースのIPアドレスといっしょとありましたね。>ぺこり ちゃんと読んでなかった(苦笑)
369 :
jones :04/03/03 00:50
>>366 以下は知人から聞いた話。そのつもりで参考までに。
#間違っていたりもっと詳しく知っている方フォローよろしく。
MultiCastにおけるIGMPは、IPにおけるICMPと同じようなもの。つまりいろいろな補助的な役割を担当。
VRRPなどのMultiCastアドレスを使用する通信において、MultiCastをしゃべるデバイス(ここではNOKIAね)などがMultiCastグループに参加したり離脱することを通知するために使用。
ただ、ipsrdさんが言うように、ほとんどのHA環境(NOKIA同士がダイレクトコネクトなネットワーク)ならIGMPを通すルールはいらない(つまりIGMPはDropされてもいい)
実際にそういう構成は経験したことないので本当にちゃんと動くのか不明だが、以下のようなNOKIA同士がダイレクトコネクトではない場合はIGMPが活躍(というか必要なはず)
・2台のNOKIAでVRRPによるHAを提供している環境
・この2つのNOKIAの間にRouterAが挟まっている(つまりNOKIA同士は別サブネット)
・RouterAには当然、VRRP(MultiCast)をルーティングするようにコンフィグあり
NOKIA起動時やFailover時などにNOKIAが出すIGMPが上記RouterAに伝わることで正しくMultiCastグループへの参加や離脱のメッセージがやり取りされてHAが正常に動く。
起動時だけじゃなくてケーブルを抜いたりまた挿したりしてもIGMPでるよ。
インターフェースのIPアドレスと同じ224アドレスがでるということは該当インターフェースごとにVRRPを構成しているからだと思う。
ダイレクトコネクトな環境ではVRRPだけで事が足りるよう。なぜか?もっと勉強します。
IGMP吐くのは正常です。
FW-1 NGで管理している社内から 外部のPPTPサーバーにアクセスしたいのですが、 HIDE-NATではうまくいきません。 STATIC-NATにすれば、アクセス出来るのですが なんとかなりませんでしょうか? おそらくGREのトンネルIDか何かが書き換わってるか とは思うのですが、いい解決策が見当たりません・・・
372 :
jones :04/03/03 19:33
371>> HideNAT(IPマスカレード)はSourceのポート番号を変換するので、 ポート番号をもつIPパケット(つまりTCPかUDP)が対象。 GREやIPSec(ESPやAH)パケットなどIPの上で動くプロトコルは原理的に無理。 StaticNATでできるのはこういうこと。 ・TCP=6 ・UDP=17 ・GRE=47 ・ESP=50 ・AH=51 などなど IPSecパケットなどのポートを持たないプロトコルはUDPでさらにカプセル化して強引(?)にポート番号を付けて HideNAT越えできるようにするのが一般的。 もちろん、そういう機能がVPNゲートウエイやVPNクライアント側でサポートしていればの話。 困り中さんがどういうツールを使ってPPTPしているのかわかりませんが、 クライアントおよびPPTPサーバ側にそういう機能がないか調べる必要があるのでは? ちなみに、SecuRemote(CheckPointのVPNクライアント)はこれをサポートしてるので HideNAT越えできる。さらにAIからは任意のTCPポート番号でカプセル化することができる (VisitorModeというらしい)のでやりたい放題。 さて、当方はIPSec(ESP)ならHideNAT越えさせたことあるけど、 PPTP(GRE)は経験なし。お役に立てず申し訳ない。
>>369 VRRPがマルチキャストルータ(or L3スイッチ)を超えるシュチュエーションよりもありがちなのは、
L2スイッチでスイッチ側がマルチキャスト制御をしてる場合かと思われ。IGMPsnoopingですな。
このsnooping、どうもスイッチの機種によって実装がえらく異なるようで意味分からんです。
Extremeあたりを繋ぐときはVRRP動かないのでsnoopingは切れって偉い人に言われまつた。
NOKIA同士が別サブネットにあるという構成は、どんなイメージでつかね。
VRRPを使ったActive-Active構成と同じように、二個backup addressを作って
上位ルータで経路選択かな。微妙に動かなさそうな…。
ポートの抜き差しで出るのはIGMPメンバシップクエリだかレポートだかいうものらしいでつ。
宛先は224.0.0.1(ALL-SYSTEMS.MCAST.NET)とか224.0.0.2(ALL-ROUTERS.MCAST.NET)とか。
あと普通に放っておいても120秒だかに1回、メンバシップレポートを投げている模様。
IGMPルータでもないNOKIAがなぜこういったIGMPを吐くのかと言えば、単純に前述の
IGMPsnoopingをよけるため(=スイッチ等にVRRPマルチキャストを捨てられないようにするため)、
ではないかなと思ってますがどうなんだろう。
IPマルチキャストの偉い人に聞いてみるとなんか分かるかも。
>>371 4.1では(制限つきながら)サポートされてた構成ですがNGでは動かなくなりますた!
とCheckPointが書いてまつね。残念。
374 :
jones :04/03/05 00:17
>>372 丁寧な回答ありがとうございます。
もう少し調べてみます。
376 :
IP330 :04/03/09 14:32
腐っていると噂のIP330でOSは4.1を使っています。 winのpolicy editor4.1 でpolicyを設定していたのですが、winのIPが変わった為、cpconfigで gui clients のIPを変更したのですが、can not connect to server と出て繋がらなくなりました。 これではpolicyの設定が出来ないので、やむなく一度 fw unloadlocal をしてしまおうと思っている のですが、gui clientの設定はクリアされて、再度cpconfigでクライアントの再設定をすれば動くよ うになると考えてよろしいのでしょうか? 識者の方、ご意見頂けますでしょうか。 よろしくお願いします。
GUI clientのipアドレスだけなら、テキストファイルを ごにょごにょするだけでOK 今回の問題は、ポリシーの中にも Nokia Objectに対するアクセス制限がClient Objectレベルで かかっているためと思われます。 元IPでルール確認してからやるのが吉。 (変更前に、変更後のルールを入れるのが基本) どうしてもというなら、fw unloadして試すのは正解 とE・S・Perモードのロボットオウムより。
378 :
IP330 :04/03/10 07:52
素早いお返事ありがとうございます。 えっと、テキストファイルは既にごにょごにょして書き換えてみたりしてるんです。 conf/gui-clients ですね。(これだけではない?) で、fw の再起動等をしてみているんですが相変わらずです。 変更前に変更後のルール、、有無を言わさず切り替わっていたので、、 unload で問題無いようならやってしまおうかと。 ちなみにunloadlocalをした場合は all_allow に戻ると言う認識で問題無いですよね? telnet だけは他ホストから開いているのでそこからcpconfig等しようかと。 all_deny だったら、、、、あぁ、、寒気が、、、
確認必要なのはしつこいけど Src Dist Prot New_GUI_Client IP330 xxxx(各種コントロール) Accept をポリシーの最初に追加してからポリシーインストール おそらく現在は Old_GUI_Client IP330 になっているので、このオブジェクトのIP変更も可
380 :
名無しさん@お腹いっぱい。 :04/03/10 11:57
VPN/FireWall-1 の市場標準的なバージョンは主にFP3が使われるもの なんですか?
GUI clientからの接続はimplied ruleになってないの? もう4.1のことは忘れつつあるけど。
382 :
名無しさん@お腹いっぱい。 :04/03/22 17:04
保守age
383 :
jones :04/03/25 00:48
最近IPSO触りだしました。(これまではほとんどSolaris案件ばっかだったので) で、IPSO版にしかない$FWDIR/bin/ifwdデーモンって何者なんでしょうか? オンラインマニュアルでは「インターフェース状態が変更になったときになんか やってくれる」とか、「VRRPやクラスタ構成のときは悪影響があるのでOFFに」と。 デフォルトではON(有効)になっているけど、VRRPやクラスタ構成時にはOFFに するのが一般的?....なぜ?ONだとなにがマズい? 一応実機(IPSO3.71&AI_R55をVRRPで構成)でいろいろ検証したけどONのときと OFFの時の違いがわからなかった。検証たりないのかな? ご存知の方、またはこの機能でハマった経験をお持ちの方、コメントください。
384 :
名無しさん@お腹いっぱい。 :04/03/25 14:36
HFA_R55_02あげ
>383 ぐぐれといいたいが、一言だけ。 インターフェースカードの自動認識などに働くデーモン。 VRRP時に問題が発生するのは、ルーティング情報が変わった時に インターフェースのON/OFFを誤認識して、バタついてしまうから。 (Fail Overの繰り返しが発生ということね) NOKIA Knowledgebase読めば、全部書いてある
>385 ついでに。デーモンを止めることによる副作用は単に インターフェースカードなどを増設した際に自動認識しなくなるので、 いったんコマンドで認識させて作動させる必要があるだけ。 (1度だけでOK) というわけで、通常は100害あって1利無しのデーモン
387 :
名無しさん@お腹いっぱい。 :04/03/28 18:06
>>387 380ではないが、市場標準はFP3と思うよ。
FP2以下は論外だし、R54,55はもう少し枯れてほしい。
>>388 HFA-325って見たことある人居ます?04/03版のOpenSSLセキュリティ修正が入っているらしいのですが。NOKIAサイトにはそういうパッチがあると書かれていたのですが。私が見たことあるのはHFA322まで。
R55にHFA02が出る時代でも、FP3のHFAで出続けると言うことは、FP3もまだまだ現役ということだ。R54の方が先に廃れそうな悪寒。実際あんまり使わないうちにR55出ちゃったし。
次はR60との噂。サブタイトルは何だろ。(with Application Intelligenceみたいなやつ)
R54のHFA408とR55+HFA02で比較するとR54の方が微妙にバグ修正進んでるかも? とかいう困った状態でつね。毎度のことながら。 でも今この瞬間、新規に出荷するならR55なのかな。保守との絡みでも。 FP3は保守以外にも運用面でちょっと難がありまつね。 base.defいじらなきゃいけないしログ出力なんかもAI以降に比べて無愛想。 現在進行形で動いているNG以降で最も多いのは何? ということならたぶんFP3。 少なくともFP3で動いてるのであれば、無理にAIに上げる必要性はないと思われ。 でもHFA3xxはね。。。。 できればお天道様の下に出てるパッチだけで済ませたいでつ。 障害対策のつもりで入れたHFAが予想もしなかった秘孔を突いたりするのが勘弁。 表に出てないパッチだとお客様に言い訳が立ちませぬよ。
R55の方が確かにバグ修正進んでますわね。。 実際、現状で脆弱性や不具合がハッケンされた場合 真っ先にR55のパッチが出て後はおあずけされるケースが(苦笑 fp1、fp2なんて蚊帳の外で見てらんない。 fp3もいつまでもつやら・・・。HotFix3とか出ちゃうのかぁなぁ。
>> 391 HFA-318+Security Fix相当でちゃんとテスト済みのHotfix-3とか出たらいいなぁ。R54もそろそろHotfix-1でも出して欲しい。でもCP社はFP3 Hotfix-2以来、HFAよりも安心して使えそうなパッチを出していないような。 FP2以前は、GUIの仕様面の落差を見てもCP社的には無かったことにしたいのでしょう。ただ、FP2で入れてしまったお客さんもサポートしなければならないしなぁ。4.1みたいにメーカーサポート切れで質問をRejectすることもできないし。
うーん。FP2以前は実質的にObsolateでつよね。 「FP2はメーカーがメンテしていないバージョンなのでFP3以降に上げてください」 と言うしかなさげ? Enterprise相当のライセンスを持ってるサイトならそのままR55にageれることだし。。。 制限版ライセンスでExpressにするにはどうにも差損が出るサイトで現在FP2運用中、 不具合が出てKB見てみたら「Upgrade NGFP3 or higher.」の一行レスだったりすると 頭遺体でつね。FP3+HFA318+318用HotFix数点、とするしかないのかな。 アップグレードは納得して頂いたとして、FP3のEOLがいつ来るのかがアレでつね。
>>389 > 次はR60との噂。サブタイトルは何だろ。(with Application Intelligenceみたいなやつ)
それってマジですか・・・番号見る限りメジャーバージョンアップぽいんですけど
もうNGもサポート終了なんですか・・・とほほ
>>395 LANコントローラ:VIA VT6103
が萎え
>>396 Ethernet:Realtek RTL8139C
が萎え
こういうNICはサーバ・ネットワーク機器では避けるべき。
>397 同感。蟹は一見動いていて、サーバが突然 「反応が遅くなる」「再起動すると直る」と ドライバの問題などにより不具合が、ランダムに 発生するので、困りものですね。 sambaの問題は有名ですが、ftpなどでも頻繁に 発生します
いずれにしても、ライセンスが高すぎる・・・
>>396-398 http://www.hightech.co.jp/products/server.html こっちは蟹ではなくee100みたいでつ。ていうか中身入りか。。。お幾らなんだろ。
真に小規模なら現地のガラクタPC+どこかから剥がしてきたee100とかtulip+OpenBSD&PFとかRHL&iptablesとか
各人の信仰に沿った組み合わせで。
個人ベースのお仕事という感じですがブラックボックスにして運用込みで受ければみんな幸せでしょう。
普通にSIで対象が大組織のブランチならそれ用のモノを。VPN-1 Edgeと言いたいとこだけど多分NetScreen。
やっぱりSecurePlatformって存在意義が分かんない。。。
401 :
名無しさん@お腹いっぱい。 :04/04/14 15:13
基礎的なことで悪いが、FW1のログの管理ってみなさんどんなふうにやってるですかね? R55使ってますが、ただTrackerを眺めてるような状態なんで…。
SmartView ReporterとかWebTrends FireWallSuiteとかでレポーティング、 くらいでつかね? Reporter使ってるところはあるのかな。 フリーもので、export済ログをDBに落とし込んでくれるツールもあった気が。 ログ処理程度であればアプリ書いてみるのも一興では。 ログの扱い方ひとつ見ればそのサイトがガチかどうかよぉく分かると思うのでつが、 皆さんどうでしょう。 ログ管理・運用がもしもの時の証拠保全目的であれば、一定期間を経過したログを アーカイブしてテープにでも放り込んでおけば、それで済むものかもしれませぬ。 普段はあの数台ぶら下がって常時リロードしてると素敵なことになる優秀なSmartView Trackerで。 一方、トラフィック診断やアクティビティ検知を本格的にやろうとすれば、 それはそれなりのコストがかかるでしょうね。 リアルタイム性が要求されるなら、そこらへんはIDS使えという気もしたり。
アスキー形式ログの項目の並び順って 固定できないんでしょうか?
logical serversって実運用で使われている方はいらっしゃるのでしょうか。 L4 switchを普通に入れた方が気分的に安心できるのですが。
また重大なセキュリティホールが発生の通知メールかよ〜 (2004.4.20付) バージョンアップスケジュール、どうすべか。
>405 正確には、フィックスが出来上がったよメールだが。。 3日で直したのは偉いけど、、、バージョンアップする側は 検証作業とか客との折衝とか、、大変なんだぞ(藁 もう少し、安定したもの作ってよ〜
>>405-406 すみません。そのセキュリティホールって例の
TCP RFC Alertですか?
>407 Subject: SECURITY ALERT: Vulnerability Issues in TCP (NISCC 236929, CERT VU#415294)(TCP and BGP) Description: On April 20, 2004, NISCC released NISCC Vulnerability Advisory 224012: "Vulnerability Issues in TCP". US-CERT, formerly known as CERT/CC, has given this issue the names Technical Cyber Security Alert TA04-111A: " Vulnerabilities in TCP" and Vulnerability Note VU#415294: "The Border Gateway Protocol relies on persistent TCP sessions without specifying authentication requirements".
>408 This issue has also been reported by Common Vulnerabilities and Exposures (CVE) as CAN-2004-0230 and by Open Source Vulnerability Database as OSVDB ID: 4030: "TCP Reset Spoofing
>409 Check Point has provided a fix for this in NG AI R55_03, NG AI R54 HFA-410 and NG FP3 HFA-325 according to the report from NISCC.
さて、巷を賑わしているTCP RST脆弱性祭りでつが、 CheckPoint製品として「脆弱性がある」のはSecurePlatformのみ。 なにしろOSのTCPスタック依存の問題なので。 つまり、 ×:またまたセキュリティホールがあったので直しました。マジすんません! ○:おら、そうそう鯖にパッチなぞ当ててらんない哀れなお前らのために SequenceVerifier機能拡張しましたよ。ありがたく使うように。 ではないかと。異様にCPの対応が早かったのもそのせいかも。 あと、調査機関によって多少やり方の違いはあれど、 基本的にこういうのはベンダに前もって情報が行きまつ。 今回ならCISCOとJuniperの足並みが揃ったところで一般発表、 というところでそ。 でもNOKIAユーザはSequenceVerifier動いてないのがデフォのような。。。
>393さんも書いてるけど、FP2はもう穴あっても、 目にも掛けてくれないのな..._| ̄|○
>>411 > CheckPoint製品として「脆弱性がある」のはSecurePlatformのみ。
それは4/21に漏れも読んだのですが、翌日には「FP3以上の人はパッチをあててね」
と、いう趣旨に変わってしまってメチャあせったのですが・・・。
SecurePlatformのみと書いてるページ教えてください、おながいします。
>411 The above vulnerability announcements contain several suggestions for mitigating potential vulnerability. Some are management controls, such as the recommendation not to publish TCP Source Port information for important long lived TCP connections. Other recommendations are t echnical. Of the technical recommendations: IPSO and VPN-1/FireWall-1 support IPSEC for the encryption and protection of TCP connections IPSO has long supported RFC 2385: "Protection of BGP Sessions via the TCP MD5 Signature Option". To enable this functionality, please see Resolution 19935. さっきのメールは、NOKIA社からのエンドユーザ向けメールなんですけど。
>>413 いやいやいや。
CP社のサポートしてるOSはSecurePlatformのみだというだけで、
他のプラットフォームもRFC793準拠のTCPスタック使ってる限りは
ばっちり脆弱だと思われ、ですよ?
遠まわしな書き方でCPに厭味言いたかっただけです。スンマセン。
あとはOSベンダのアドバイザリ嫁って感じでつかな。
>>414 なぜか411へのレス風で語尾が「なんですけど」でつね。。。どうしましたか。
意味のある反応が欲しければ自分の意見を書き、引用にはソースを明示すること。
あと情報は整理しておながいしますよ。
私はESPerモード搭載してないし、他の人のように優しくないので。
今回の脆弱性祭りは影響範囲が大きいので情報も錯綜してまつが、
RSTパケット処理の改善案を示したIETFのインターネットドラフトが詳細かつまあ読める量で良い感じ。
せっかちさんはセキュリティホールmemoと/.jpの該当トピック読んどくのが一番早し。
ちなみにRFC2385は当然のことながらピア間でTCPオプションを有効にしなければならないので、
DoS食らって落とされまくったらそのまんま大規模テロになってしまうBGPの保護など、
ごく限られたサービスを緊急避難的に保護したい時くらいしか出番ない気が。
NetBSDで早々に出てる修正はドラフトの内容取り込んでるんでしょーね。
IPSOに移植マダー(AAry
416 :
jones :04/04/27 00:47
>>404 ご存知と思いますが、Logical Serverを使う = Connect Controlライセンス要です。
CPお得意の別ライセンス(有償)です。ちなみに、某代理店さんWebSiteを参照
すると定価で\1,280,000也。
このお金はL4SW(ロードバランサ)にまわしたほうが...
例えライセンスがタダでも実運用に耐えられるとは思いません。
たいしたバランシングアルゴリズムないし、Webアプリケーションでは
必須のコネクション管理(Cookieとか見てくれるやつね)やってくれません。
残念ながら、評価程度でしか使ったことないので大量リクエストにどれだけ
耐えられるかわかりません。
そもそも負荷分散処理をFWゲートウエイにやらせることに抵抗あります。
「餅は餅屋」っていいますから....
>416 >そもそも負荷分散処理をFWゲートウエイにやらせることに抵抗あります。 同感ですね。(単純なラウンドロビンぐらいなら使いますけど) 他にもウイルスゲートウェイ搭載したFWアプライアンス、テストすると 擦りぬけるパターン簡単に作れてしまいます。 速度も激遅になってしまいますし。 ゲートウェイに一体になっていると助かるのは、IDSの方ではないかと 思っています
>>417 IDS/IPSも、私見ではゲートウェイと一体化させるのはマズい気がしまつ。
RealSecure NetworkSensorのように、解析エンジンの問題で
IDS自体がワームの標的になるといった事例が出てきている現状では、
ゲートウェイ攻略の選択肢をみすみす増やしてやってるだけのような。
・・・それ言えばVPNもそうなんだが(;´Д`)
イチャモンかも。
まあ、IDSは監視対象セグメントに繋がったインターフェイスにipアドレスを
持っていない方が良いし、トラフィックも実サービスのトラフィックではなく
ミラーを利用した方がよろしいんでないの、というのもありまつ。
IDSモジュールが逝ったおかげでサービス全停止というのはイヤン。
一方、一個の箱にいろんな機能を集中させるメリットとしては、
・別々で揃えるよりも安いかも?
・メーカー/ベンダ統一できるのでサポート良好
・管理インターフェイスが統一できるので運用工数削減
売りとしてよく言われてるorざっと思いつくので上記かな。
しかし実際のところ下記のようであると思われ。
・CP社の場合はぜんぜん安くない悪寒
・餅屋に洋菓子をサポートさせることの漠然とした不安
・確かに楽そうかも
運用工数くらいしかメリットが思い浮かびませぬ。
でも他の点もメーカーやベンダ次第でメリットはでてきそう。
>419 >・別々で揃えるよりも安いかも? いま検討している商品の無制限版での比較だと、 IDS付のもので、IDS無しのFW-1の一桁低いライセンス価格。 SOHO向けRealSecure単体より安いときてる。 >・メーカー/ベンダ統一できるのでサポート良好 OSのパッチ当てとFWのパッチ当てを別にしないで良い点が楽かな。 >・管理インターフェイスが統一できるので運用工数削減 管理インターフェースの統一は当然ですが、やはり バージョンアップが必須の製品だけに、検証工数が減るのが 助かります。(あまりに組み合わさってると検証工数は逆に増えるけど) 2年前の比較記事では、PenII400MHzで、大体PIX/IP330と同等のFW性能らしいが 実際どうなんだろうか。(50000セッション以上は扱えるようなので、ま、いいかなとも 思っているものの)
>>420 > いま検討している商品の無制限版での比較だと、
> IDS付のもので、IDS無しのFW-1の一桁低いライセンス価格。
むお。ゼロいっこ引いてさんじゅうまんえん切ってるってことですか?
もし差し支えなければ、どこの製品かポインタキボンヌです。
マズいようであれば、大まかな仕様でも挙げていただければありがたし。
> バージョンアップが必須の製品だけに、検証工数が減るのが
> 助かります。(あまりに組み合わさってると検証工数は逆に増えるけど)
なるほど。パッチが一本化されれば楽ですな。
構成の提案自体も、複数メーカーの製品組み合わせるより楽にできますな。
SAMとかLEAみたいなグレイゾーンで謂れのないクレームを食らうこともなしと。
> 2年前の比較記事では、PenII400MHzで、大体PIX/IP330と同等のFW性能らしいが
> 実際どうなんだろうか。
PenII400と、IP330のK6II400(時期からすると266でメモリ64MBかも?)とでは、
ハードウェア性能の条件はまあ同じようなもんと考えてよさげでつかね。
>>421 単純にFGじゃないの?と思ってみたり・・・
>422 FortiGateって二年前からあったっけ (´・ω・`)
>423 FGじゃ0一個削るのは無理でしょう。 >421 某社が日本代理店契約を進めているらしいので、それが完了しないと導入はしない予定。 普通のステートフルインスペクションFWに(Virtual Host機能など) IDS(シグニチャは当然アップデート・修正可能)がついて、MRTG情報画面やログ解析機能とアラートメール(テキストでの携帯メールなど)機能はあり。 通信ラインは、Ethernet/PPPoE/Modem(USBモデム含む)をサポート。回線障害時の切り替えは残念ながら手動。 OSPFサポートは、この秋ぐらいになるらしい。 ここまでの分で、ライセンス価格が、ユーザ数無制限で約20万円で、年間保守費が10万円。。(初年度・・約30万になるかな) VPNはユーザ数によって積み上げライセンス方式。拠点間VPN専用のVPNライセンス別途有り。 もちろん、NAT TraversalはサポートされているのとPPTPなどにも対応、VPNクライアントは例によってSafeNet OEM..(V9 LT..藁) ログ転送は、SCPで可能。 45Mbpsまでの完全な帯域制御モジュール(別立て必須か?)が約60万のライセンス費に15万の保守費。。 URLフィルタリングもオプション対応 オプション追加時も、Webの設定画面タブが増えるだけの統合管理システム 保守費は、ソフトウェアアップグレード保証費兼用。年度内にはLDAP認証サポートを行う予定とのこと。 のようです。
>>422-424 FGでも60ぐらいだったら、IP330クラスの性能(?)かと思います。
確か30万円ぐらいだったはず。
ただねぇ、ログを保存することを考えると、色々とお金がかかる罠。
他の板でもFGの話題は出ていますが、IDSをRealSecureの代わりに
使えるかというと、まだまだです。
検知はしますが、チューニングがイマイチ。
>424 なるほどー、情報thxでつ。Linuxか*BSDベースという雰囲気ですね。 冗長化はOSPFを利用する感じですかね? それともvrrpd積んでるのかな。 >425 FortiGateはAntiVirusにしても今ひとつ感が漂ってまつね。
>425 まあ、いま導入するなら、Xeon 2.4G-3.2GHzクラスですから、性能は格段に あがりますよね。(特にIDS動作時の処理など) ポートは当然、1000BASE-Tにしますし。(対応してることは確認済み) それでも価格は同じなので、NS-5やRTX1000クラスでいいような場所は 別として、、ってとこです。(適材適所)
高杉・・・
429 :
名無しさん@お腹いっぱい。 :04/05/08 11:04
ISAKMPセキュリティアラート age
430 :
名無しさん@お腹いっぱい。 :04/05/08 11:48
Netscreen等を使うと、FW-1はOSとFW-1ソフトの両方をメンテしないといけないのでめんどくさいな アプライアンスも出ることは出てるが、もっと性能が高く1UでHDDなしOSはFlashで、 大量のコンフィグファイルではなく一つのコンフィグで、 ハード交換時はコンフィグさえ流し込めばいいようなのをきぼん また、せっかくSWベースだからIPS機能も入れろ
>430 それはFireWall-1という名前のNetScreenを作れということでつね(´・ω・`) NortelのASFとかどう? 触ったことないのでよく知らないけど。 あとIPSは既に実現しているかも。
>>430 >>431 個人的にはFireWall-1という名前のFortigateを作って欲しいです。
Fortigateのログとウィルス隔離専用のHDDってのは結構気に入ってます。
>432 FireWall-1という名前が付いた時点でデザイン的にオールインワンが無理ぽ。 管理鯖別立てでOKならイケそうな気も。。。意味ないですか。意味ないですね。 ASFもモジュール別で三種類くらいハードウェアあるみたいでつ。
>432 ちゃんとウイルス検知してくれたら、いいんだが。
IPSO3.8Build031あげ
IPSO3.7もBuild036が出てましたな。 DiskMirroringがちょっと改良されただけっぽいけど・・・。
437 :
名無しさん@お腹いっぱい。 :04/06/07 09:26
ISAKMP の話題は全く上がってないようだけど、 この脆弱性をついたツールがが出てきたとか、 具体的な攻撃方法が解明されたとかの情報はないのかな?
438 :
名無しさん@お腹いっぱい。 :04/06/07 19:18
A:FW1 4.1-SP2 B:FW1 NG-R55 Xcli(1) -- A -- B -- Xsrv(2) こんな環境で、X11がつながりません Aのほうで、rule0でdropされて reason:unknown established TCP packet だそうだ なんだかぐぐってでてきた奴も色々試したが もうなにがなんだかさっぱりわかんねー 誰か助けて・・・
2chの少年犯罪に貼っていたアドレスをクリックしたら、インターネットを開くたびにポップアップ広告が出るようになりました。誰か改善方法を教えてください。
http://bbs2 ・・・とかいうアドレスです。
>438 ルールの上下いれかえたら通った… 私がばかでした
NG FP3とかのHotFix1/HotFix2とかとHFA(HotFix Accumulator)って なにが違うのでしょうか。 HFAがある程度まとまった時点でHotFixとしてリリースされる様な ものかとも思ったのですが、AI(R54/R55)ではHFAがあっても HotFixはリリースされていない様なので、なんだかよく分かりません。
fw1-gurusの過去記事を検索した所、PhoneBoyが以下のような 投稿をしていました。 HFAs are QAed by Check Point support. They don't undergo a full QA cycle like the "official" hotfixes (e.g. Hotfix-2). HFAはunofficialなパッチなのでしょうか・・・?
>441-442 従来のHotFixとHFAの区別が曖昧になってきたのは、最近のことでつね。 以前は線引きがちゃんとされてたようですが。 HFAはCPのサポートにケースオープンして個別対応で出してもらうパッチ、 またはその個別パッチがCSP向けに公開されたもの。 HotFixはCPの内部検証フェイズを経て一般ユーザ向けにリリースされたパッチ。 HFAと違って正式サポート対象になる、いわば公式パッチ。 しかし最近は「とにかく最新版当ててくれ」とCPのサポートポリシーが変わったので、 HFAも表に出てくるようになった、と。
444 :
名無しさん@お腹いっぱい。 :04/06/19 04:36
VPNネットワーク構築ではなくて、利用者側のもんですが、 一台のPCに、他社のVPNクライアントソフトと一緒にインストールして 接続できるもんなんでしょうか? ちなみに、もう一つ入っているのはNetScreenです・・・。 ご教授いただければ幸いでございます。
445 :
名無しさん@お腹いっぱい。 :04/06/19 05:15
>>444 自己レスです。
解決してしまいました・・・。すみません。
446 :
名無しさん@お腹いっぱい。 :04/06/20 00:52
FW1+nokiaを使用しています。voyageにアクセスできるIPアドレスを変更する方法を教えてください。すみませんがよろしくお願いします。
>446 そのレベルの人が操作しない方がいいと思うが。 FAQ/Manualレベルも判らない(調べられない)という意味で。。
448 :
名無しさん@お腹いっぱい。 :04/07/02 00:54
Solaris + Firewall-1でファイアウォールを構築する場合、Solarisのインストール は”Core System Support”が一般的なんでしょーか?ちなみにSolaris8とNGです。
449 :
Jones :04/07/02 23:33
>>448 私はSolarisに関しては 厨房なので、「開発者インストール」デフォルト。/varをいっぱいあけておく、以上でやっているのが実情です。
パッケージの依存関係とかめんどくさいし、SunRPC関連は謎が多い。設定をカスタマイズしてもパッチ当てたら一部元に戻ったりと。まあ、スキルが低いと言われたら「はい、そうです」としか言いようがないですが。
あとは、Stealthルールでしっかり守る。って感じでやってます。詳しい人には怒られそうですが。
>450 FW-1 on Solarisも随分導入したけど、、OSパッチとFW1パッチの 相互検証が面倒くさいよ〜。 それでも、Windowsでやるよりはマシだと思うが。 いつになれば改善されますか? (そういう意味では、NOKIAが一番楽、、なのか?>漏れ)
SmartDefenceのSubscriptionを買われている方って 多いのでしょうか。
来月の「Check Point Experience Seminar TOKYO」行く方いらっしゃいますか? 以前の大阪でのセミナーが意外によかったから、行こうと思ってるのですが・・・。 セキュリティ技術部の人のデモがよかった。
>>453 当日行けるかどうかわかりませんが、とりあえず2日間申し込みました。
レスありがとうございます。 私も2日間、テクニカルトラック申し込みました。 今度は研修も受けたいな。おもしろい。
456 :
名無しさん@お腹いっぱい。 :04/07/24 11:31
FW-1上で18264/tcpがオープンとなっており、Check Point Certificate Service が動作していました。このサービスが どのような機能を提供しているですか?また必要なサービスなの でしょうか? 18264/tcpを停止する方法、またはルール(IP制限)を記述する 方法はありますでしょうか?また、停止することで悪影響は あるのでしょうか?
確かに開いてるねー
458 :
Jones :04/07/25 01:58
>456 ということはImplied(暗黙)ルールが有効になっている 環境ですな。 SecuRemote(VPNクライアント)使っている環境? 18264/tcpはリモートアクセスVPNユーザにネットワーク経由で 証明書を発行するサービスに使われている。 もちろん発行するのは管理サーバ上で動いているInternal CA。 ImpliedルールはSmartDashboardのPolicyメニューから Global Propertiesにて有効化または無効化ができるけど 18264/tcpを閉じるためにはFireWall-1 Control Connectionを 無効化する必要があるけどこれを無効化すると実施モジュール と管理サーバ間で必要な通信などもできなくなるので分散環境では 簡単に無効化できない。 普通はImpliedルールはすべて無効化して、必要なものはすべて 明示的に作るのがBetter。 というわけで、環境(実施モジュールと管理サーバの分散か一体型) によって対応が違っているのでどうしても閉じたいのならまずは Impliedルールを勉強しましょう。
今秋発売予定のウイルスバスター2005の対応スペックから OSのWindows98が対象外となる噂がありますが、 本当ですか。業界筋の方々からのマジレスを求めています。
気が付けば、HFA08が出ていた。 HFA05〜07っていつ出たの?
あんぽんたん。
Check Point Software Technologies(以下,Check Point)は現地時間7月28日, 同社のファイアウオール/VPN製品「VPN-1」や「FireWall-1」,「Provider-1」に セキュリティ・ホールが見つかったことを公表した。細工を施されたデータを送信 されると,認証なしでVPN-1などが稼働するマシンに接続されたり,そのマシン上 で任意のプログラムを実行させられたりする恐れがある。
VPN接続を確立しなくてもセキュリティ・ホールを突けるので, 権限を持たないユーザーにリモートから攻撃され,VPN-1マシンを 乗っ取られる可能性がある。
>461
csp向けに出てたんでしょうね。
一般向けはHFA04からHFA08に飛んでいておk。
>463-464
Check Point Software customers who do not use
Remote Access VPNs or gateway-to-gateway VPNs,
or who have upgraded to current product versions
(VPN-1/FireWall-1 R55 HFA-08, R54 HFA-412,
and VPN-1 SecuRemote/SecureClient R56 HF1)
are NOT affected by this issue.
公式アナウンス。
http://www.checkpoint.com/techsupport/alerts/asn1.html 一番やヴぁいのはRemoteAccess VPNを有効にしてるサイトだとさ。
466 :
名無しさん@お腹いっぱい。 :04/08/04 02:35
log message que is fullというメッセージが出て,FW−1が停止しました。 至急対処が必要なのですが,おわかりになりませんでしょうか。
>466 メッセージの通り、ログファイルサイズが大きくなりすぎたんでしょうね。 1)全然ログ管理していなかっただけでディスクの空きはある →ログファイルを変えましょう 2)FW-1のライセンスオーバーのため、ログをはき続けていたために あっという間にログが溢れた →ライセンスを買い換えましょう 3)外部からのアタックログで溢れた →ご愁傷様。ログの取りかたを再考しましょう。必要ならば IDS/IDPの導入も。。
鐡屋が液晶テレビゲットしちゃぁいかんだろ・・・。
>>468 2日目出たんだ。昨日は行けたんだけど2日目は用事が...orz
競合比較とSSLVPNの話聞きたかったよ〜
あ、違った。鐡屋はホームシアターセットだ。
>>469 俺も結局1セッション聞きに行っただけ。
資料は2日分もらってきた。
>>471 それどうしようかチョット悩み中でつ・・・。
R55Wにした人いますか?
貴重な情報源age!!
475 :
名無しさん@お腹いっぱい。 :04/10/26 18:56:34
ネットで調べたけどどこで購入出来るんですか?値段が10万ぐらいするって 本当?
>>475 とりあえずZoneAlarmでも使っときなさい。
開発機用のFWをSecurePlatformで構築してみました、 IA32なマシンがあればさくっと構築できるのがいいですね。 インストール&初期設定は1時間以内で終了して、 あとは簡単なルール作って終了って感じです。 インストール後のオペレーションについてですが、 RedHatベースなのによけいなコマンドが全て使えなくなってます、 まるでアプライアンス製品のようです。 なんとlsやcdまでしっかり削除済みで、使えるコマンドはFW-1系のコマンドと、 sysconfigというOSの設定とFW-1の初期設定をするコマンドのみです。 よけいなプロセスやコマンドが無い分、下手にSolarisに入れるよりはよいかなーなんて思いました。 他にも使ってる人がいたら、稼働実績など教えてくださ〜い。
>>478 expert コマンドで shellになれるめぽ。
>>479 あ、ほんとだ!
俺のような厨にむやみに触らせないようになってるのね・・・・・。
どうやらgccもrpmも入ってるようなので、
Linux版のvrrpdとか入れたら冗長構成の勉強とかできそうでつね。
>>480 俺はそいつにBIND9を入れるためにコンパイルしてみたが、
アレが足らないだの、コレが足らないだの色々言われて、
諦めますた。
ちなみに、最近のやつはOSの設定はブラウザから出来ますね。
自己レス FW-1にBINDを入れようなんてトチ狂ってるよな俺・・・。
>>482 なかなか男前だな(w
BINDなんてセキュリティーホールの祭典みたいなもんだからな・・・。
FW-1を再インスコせずにInternal hostのライセンスカウンターをクリア する方法知ってる人いますか? 設定を間違えて大幅オーバーしちゃって、/var/adm/messages に出続けて いるんです。 NG R55Wで、OSはSolaris 9です。 4.1用に公開されてる方法ではいまくいきませんですた。
>>484 設定間違えただけなら、素直にサポートへ聞きなよ。
そんなシビアな事をここで聞いても、失敗したときに誰も責任取ってくれないよー。
>>484 確か2カ所だったかな…
設定間違えたのか、本当にオーバしているのかw
どう間違えればオーバするのやらw
>>486 ExternalとThisNetが逆になってるとか(藁
>>487 今どき、そんなミスする人いるの?
…だから間違いなのかw
確か、Internal ->This Net . . . 明示的に指定したらオブジェクト名だったな… あぁ、いまいましい糞ファイアウォールめ!
私もやっちまったのでサポートいってきました。 # cpstop # cd $FWDIR/database # rm fwd.h # rm fwd.hosts # fw tab -t host_table -x # cpstart 直接ファイル消せとのことです。 もう一つ問題があったのにそっちが解決しません。 なぜかアップ10Mbps以上軽くでるのにダウンが50kbpsぐらいしか出ないのです。 試しにそのIPでノーパソ直繋ぎしたらダウンも10Mbpsを軽く越えて 何がなんだか。どなたか分かる人いらっしゃらないでしょうか。
ああ、うちIP350なので
>>484 さんが同じように行くかは
分からないですよ。
みなさんありがとです。 490さんの方法で無事解決しました。 FWオブジェクトがgatewayではなくhostになっていたためにそうなってしまいました。
これでどうやってポリシのインスコをしたのだろうか・・・。
484みたいな人が管理してるFWって (((( ;゚Д゚)))ガクガクブルブル
Firewall-1を貸してください。(ください) CCSAを取得するため必要です。 心の温かい方、宜しくお願いいたします。 お礼いたします。
498 :
名無しさん@お腹いっぱい。 :05/01/02 23:35:47
497さん 講習は受けてきたけど、もう1回 実機をさわりたくなって・・・
>>498 講習受けたら、お試し用のCD貰えるだろ?
そのCDをNIC2枚挿しのPCに突っ込めば、SecurePlathomeをインスコできるじゃん。簡単だよ。
お試しライセンスは1ヶ月間を2回、或いは再インストールすれば2週間を何度でも使用できる。
これじゃぁ不足か? CCSAぐらいだったら十分だろ?
NIC2枚挿しのPCが無いなら、中古でOKなので買え!
念のため、SecurePlathomeのスーパーユーザへの切り替えはsuじゃなくてexpertだからな。
499さん 有難うございます。 そのCDないんですよねぇ。 1万円ぐらいで、コピーでもかまわんです。 お願いします。
501 :
名無しさん@お腹いっぱい。 :05/01/04 22:33:30
502 :
名無しさん@お腹いっぱい。 :05/01/04 22:50:22
便乗で質問させてください。 SecurePlathomeをインストールしようと思ってます。 LANカードは何を使えばよいのですか? LANカードによっては、SecurePlathomeが認識しないものってあるのですか?
>>500 気が向いたらメールします。
>>501 俺んちはELECOMの安物を使ってます。
SecurePlathomeは基本はLinuxなのでLinuxで動くものなら何でもOKなはずです。
当然ですが、お客さんに納品する時はELECOMなんてダメです。
505 :
名無しさん@お腹いっぱい。 :05/01/06 23:19:43
外資の広告会社だがFIREWALL-1使っているがサポート会社がアメリカの無名会社DATAWAYとかいうの。 どうやらアメリカのITが 裏金もらって決めたのかと思うくらいひどいサポート。 トラブルあってメールしても音沙汰なし。ひどいときはネットワークが数時間とまることも。 それでいてパスワードは教えないから 日本はどうしようもねぇ。糞
506 :
名無しさん@お腹いっぱい。 :05/01/07 13:54:12
このソフト、Windows XP proでNIC二枚ざしにすれば動作 しますか? それとも、Server系を導入しないとだめ? (Windows2000Server、NT4.0Server)
507 :
名無しさん@お腹いっぱい。 :05/01/09 09:35:27
>>508 ごめん。すっかり忘れてた。(汗
天気がいいので洗濯が終わってから。
>>502 確かRedHatの7.xがベースなので、
RedHat7.xでサポートされてるものなら動く可能性は高いですよ。
エレコムとかの蟹チップは大体サポートされてますよ。
512 :
名無しさん@お腹いっぱい。 :05/01/12 13:45:11
IP530のAlertってLEDってどんなときひかるの?
513 :
名無しさん@お腹いっぱい。 :05/01/14 04:35:45
はじめして CCSA取得にむけて、勉強しようと思っておりますが、 何点か教えてください。 1.現在の行われている試験って、どちらのバージョンに対応しているの でしょうか? NG2orNG3 以上 宜しくお願いします。
amazonでCP関連図書を探したのですが、 とうとう和書が出版されてしまいましたね。(本音を言ういと出して欲しくなかった) とりあえず買おうと思うのですが、今更な内容だったらイヤンですな。
一番怖いのがこの本が設定だけに特化した内容で、 ネットワークの知識が無いやつでも設定できるようになることだな。 あやしい設定のFirewall-1がネット上に出没して、 情報漏れまくりとかにならないことをいのりまつ。 俺もさっそく今日の帰りにでもでかい本屋で探してみます。
家の近くの本屋をブラブラしていたら、置いてあったので早速買ってきますた。 内容はPhoneboyとCCSA/CCSEの講習本と定価8万円のCP謹製のマニュアルから イイトコどりしたような感じです。 つまり、知っている人には今更な内容です。 ド忘れした時に備えて机のオブジェクトと化するぐらいかと思います。 さらっと目を通しただけなのでなんとも言えませんが、Stealthルールの解説が無いのは ちょっとアレかと・・・。 # まさか今はそんなルールは要らないというオチでは無いですよね? 贅沢を言うなら、fw tabとかfw ctlのコマンド系の解説が欲しかったです。 あとは、SmartDefenseのDNSの設定でBIND9との素敵な関係ってとこか。 「詳しいことはマニュアル嫁」と書いているので仕方ないか・・・。
519 :
名無しさん@お腹いっぱい。 :05/02/28 09:47:59
あげ
520 :
名無しさん@お腹いっぱい。 :2005/03/24(木) 10:28:20
VPN-1って動的IPでインターネットにつながってる その辺に売ってるVPN機能付きブロードバンドルータと インターネットVPN張れたりできないのかな?
522 :
名無しさん@お腹いっぱい。 :2005/03/28(月) 09:47:02
>>520 本当ですか。
やり方について、何か情報とかあれば教えてほしいです。
>>522 マニュアル読んでくだされ。ごく普通の設定だけだかんね
>>520 IPsec相互接続時の対向GWの定義にはInteroperable Devicesオブジェクトを使うけど、このオブジェクトは固定IPでしか定義できない。よって無理。(少なくともNGのR55では)
相互接続はメインモードIPsecになります。固定IP+メインモードIPsecでの相互接続手順については以下のリンクから「Check Point Software」でCP社謹製の英語ドキュメントを参照のこと。
http://www.vpnc.org/InteropProfiles/ オブジェクトを固定IPではなくDynamic Addressで対向を定義できるのはExternally ManagedではないCheck Point Object(つまりVPN-1同士でつなぐ場合)とCheck Point純正のブロードバンドルータであるVPN-1 EdgeとOEM品(SecureBlade)とかを使うときだけ。
というのが私の認識。
よけいなお世話かもしれないけど、せっかくCheck Pointの高価なソフト使ってるんなら、非固定IP/preshared secret/aggressive modeのIPsec接続みたいなセキュリティー上問題のある技術は使わない方がいいと思うな。
>>523 、
>>524 ありがとうございました。助かりました。
AGGRESSIVE MODEでFQDNのDOI TYPEを受け付けなかったので
無理そうだなとは思ってました。
>>524 さん
おっしゃるとおりです。
せっかくのFW-1/VPN-1なのにと思いつつ色々と試してました。
526 :
ななし :2005/05/23(月) 01:36:15
527 :
へたれ :2005/05/28(土) 15:32:30
Global Properties の修正はポリシーのインストールで 設定値が反映するんでしょうか? cprestartが必須でしょうか? あるいは設定する項目によって違っていたりしますか? 低レベルな質問ですまぬ。
>>527 ポリシーをInstallすれば、桶。
cprestart するケースなんて思い付かない。
529 :
へたれ :2005/05/29(日) 14:53:43
>>528 ありがと。自ノートでSmartDashBoardをDemoモードでいじって
現地作業を確認してたんですがちと不安になってしまって。
530 :
名無しさん@お腹いっぱい。 :2005/06/05(日) 20:58:57
Firewall-1って2重化したときにちゃんとHTTPSのセッション 引き継げるの?
531 :
名無し :2005/06/13(月) 00:00:27
>>530 TCPのセッション引き継ぎはOKです。サービスオブジェクトの設定で除外していなければ。
SIPとかH.323みたいな複雑な奴は本当に動くか検証した方がいいと思う。
製品の違いがわからん・・・。 NG FP3 NG with AI R54 NG with AI R55 NG with AI R55W 使用OSはSolaris8で、新規に導入するにはどれ使ったらいいのか。。。 基本的にはFW機能メインでの利用です。
>>532 IPv6を使わないなら、NG with AI R55W が最新です。
(パッと見た感じでは、Solaris8 をサポートしているらしい。)
NG with AI R55Pというのも、Nokia 向けにはあります。
>533 情報ありがとございます。 4.0から使ってますがすっかりうとくなってしまった。。。
535 :
名無しさん@お腹いっぱい。 :2005/06/26(日) 00:51:44
NGXが話題になっていない件について もしかしてまともに動かないの?
>>535 日本の代理店が出して来ないからじゃないのか?
CCSEの有効期限が明日で切れまつ。 更新めんどくさい・・・。
先日代理店からR54というFP3の上位バージョンがあるのを知ったっぽ。 FP3の次はFP4ではないんか…まじめに情報追っかけてないから、 すぐに浦島太郎になるじょ。
>>538 おい。R54の上にR55があるぞ。
そんな情報を今流している代理店はやめたほうが良いんじゃないぁ?
>>532 NG with AI R54は、リリース直前までFP4と呼ばれていました。
FW-1 NGはFW-1 Ver 5.0。R54はRelease 54でVer 5 FP4とでも解釈して頂ければ。
R54からバージョン名の命名規則が変わったのです。それが混乱を招きます。
現状のメインストリームはNG with AI R55だと思う。
NG FP3・・・一応メンテナンスされているけど、そろそろ収束気味?HFA_318以降当てておけばだいたいのバグは潰れている、GUI周りとか微妙に荒削り。
NG with AI R54。「FP4」として長らくベータテストされていたけど、正式リリース後半年ぐらいでR55が出たのでイマイチ存在感が薄い。
NG with AI R55。現状、一番安心して使えると思う。少なくともHFA_08以降は当てておくべきと思う。
NG with AI R55W。「W」はWeb Intelligenceの略かもしれないし、「(笑」の略かもしれない。R55に新たなSmartDefence機能とWeb Intelligence機能を付け足した微妙なつぎはぎバージョン。
Web Intelligenceライセンス費用をお布施すれば、未知のWORM攻撃から透過的に守ってもらえるかもしれない。
R55に比べてパッチが遅れ気味で、新機能に興味なしならR55の方が幸せになれると考えている。
NG with AI R55 for IPSO 3.8(R55P)・・・これは、NokiaアプライアンスのIPSO 3.8x専用バージョン。
R55はIPSO 3.7xでしか使えない。機能的にはR55と同じだけど、たぶん内部コードには相違点がいっぱいあり、パッチのリリースノートに書かれているバグフィックスの傾向もR55と全然違う。少なくともHFA_R55P_02以降は当てておくべし。
IPSO 3.8xの新機能により性能向上が期待できる。
おまけ
R56・・・VPNクライアント(SecuRemote/SecureClient)のみ、このバージョンが存在する。
R57・・・Check Point Express CIというアンチウィルス機能を取り込んだ新製品のバージョン名。
私は、R55Wの存在は無視、R55推し。IPSO 3.8xならR55Pしかないのでこれを使う。
>>538 R54もR55も2003年のリリースですよ。
ただ、FP3も未だにパッチメンテナンスされているみたいなので、安定して動いているならいいんじゃない?って気もする。
FW-1として使う場合、FP3,R54,R55にそれほど違いはない。一度R55を使うと、FP3って細かいところがちょっとダメだと感じるようになる。そのぐらい。
>>535 CP社には
Ver 4.1 SP0/SP1
Ver NG FP0〜FP1(FP2も△)
という決して導入してはいけないバージョンがありました。2000年時点で取り扱い実績のあった代理店なら、新バージョンをすぐ展開するようなことはしないはずです。
新バージョンが美味しくなるまで、しばらく寝かしておきましょう。もうしばらくすれば数十個のバグFIXを含むHFAが降ってきます。
私は、パッチが当たっていないCP社ソフトウェアを導入することは生理的に受け付けられません。
>>542 >Ver 4.1 SP0/SP1
>Ver NG FP0〜FP1(FP2も△)
これは、ほんとにとんでも無い羽目になるバージョンでしたね。
懐かしい。。RapidStream/NGは地獄だった。
544 :
fwd :2005/07/02(土) 16:13:03
FP3 にも最初は泣かされました。HF-2が出るまではHFAが出るたびに当ててたなあ。 CheckpointがV4.1のサポートを中途半端に打ち切るから、FP3に乗り換えて泣いた人は 大勢いたはず。販売戦略なんだろうがあれは許せなかった。 あれ以来私も新製品が出たら半年は最低寝かせるようにしてます。 NGX?そんなのすぐ使うわけ無いじゃん。
Firewall-1のconfigからexeclやhtmlのファイルに変換してくれるツールを教えていただけないでしょうか? ツールが幾つかあるとの情報をNetscreen板で見たのですが…。
Solairs8+R55使ってるのだがー、トランスペアレントモード的な設定で できたっけ?IDP系機器を設置するので、IPを持たせたくないのです。。。
547 :
ff :2005/07/05(火) 22:20:34
>>546 まずOSレベルで透過モード(ブリッジ?)をサポートしてなければ無理だと思う。
NOKIAのIPSOならあるバージョン以上で透過モードをサポートしていたはずだけど
Solarisでは・・・代理店に聞いたほうが早いんじゃない。
でもNetscreenとかと違ってFirewall-1はもともと透過モードを想定して設計
されていないので、透過モードでのポリシーが作成しにくいと思うけど。
ゾーンとか定義できないし・・・小規模ならよいが大規模なサイトだと
いろいろ困りそう。
それ以前にIDP入れるのになぜFirewallにIP持たせたくないのかがわからんが。
549 :
545 :2005/07/08(金) 02:59:50
>>548 ありがとうございます。
早速使ってみます。
m(_ _)m
550 :
548 :2005/07/09(土) 02:18:55
>>549 いや、礼はいいから、この手のツールのNetScreen用を探してきてください(w
551 :
ff :2005/07/09(土) 23:22:45
私もNetscreen用のツールほしい! だれかperlとか得意な人作ってくれないものですかね。
貰いトラブルのおかげで、結局今日のロードマップと抽選会しかいけなかった_| ̄|○ PSPあたった娘さん萌え〜
553 :
名無しさん@お腹いっぱい。 :2005/08/02(火) 21:35:33
Checkpoint系ということで投下 NOKIA IP330のバッテリー(BR2032)をCR2032に交換したらコンソールでATが 何度も出てリブートしているようです。何とか直せませんでしょうか? NOKIA保守担当のネ申..._〆(゚▽゚*)光臨キボンヌ
>>553 それってsetup消えてただのPC互換機に成り下がっただよ。
メーカしかナ恩無いと云われただがただじゃない
>>554 亀レスですが、ありがとう。あきらめましたc⌒っ ´・ω・)っφ
NG with AI R55Wなんですが、正式ライセンスをインストールしたら、 SmartDashboardにログインできなくなりました。 なんじゃこれ?
557 :
名無しさん@お腹いっぱい。 :2005/09/07(水) 23:29:53
>>553 シリアルケーブルは、添付品を使用してますか?
過去SUNのケーブルを接続した時、
ATが何度もでたことがあります。
添付品のシリアルケーブルを接続したら、
正常に表示しましたよ。
IP350(IPSO3.8)を新規購入しました。 が、ドキュメントとイメージが入ってるCDは添付 されてるんですが、dashboard等manageアプリの 入ったCDが添付されてませんでした。 販売代理店やメーカからダウソできるんでしょうか?
>>558 保守契約を結んでいれば普通は出来る。
無けば、クレ!と言ってみそ。
>>556 Motifのライセンスがオプションて、これのことか。
わかりくにいよ。説明不足。
561 :
558 :2005/09/09(金) 13:26:19
よこしやがれ!!と言ってみたが、 くれる気配が無いんだが、、。 これはGUIを使わずにルールを書けという神の試練かな?
うちのサポートサイトには、アップされてたぞ そふとぱんくべーべー
普通はサポートサイトにうpされてるよな。 あずじぇんと どうしても貰えないのだったら、CCSAとかCCSEをゲットすりゃ、 本家サイトからダウソできるよ。
>>563 でも、CCSAやCCSEをとっても、それ以外のメリットはないけどね。
と、CCSE Plus を持っている漏れが言ってみる。orz....
>>564 CCSEを失効させてしまった俺から見ればあなたは神でつ。
つーか、この資格がないとSecureKnowlegeでゲットできる
回答がイマイチなんでつよ。
SecureKnowledgeって、狙った情報が、なかなかヒットしないんだよな。 一般のユーザは、差別されてるの?
>>566 差別というより区別されてます。
一般ユーザは軽い情報しか見せてもらえません。
それこそが、差別というものだろ もっと貢げと、露骨に言われてるようなもの
569 :
名無しさん@お腹いっぱい。 :2005/09/19(月) 19:21:07
スレ違いかもしれないですけど、教えてくださいませ。 6000円でIP440(ジャンク)があったのでつい衝動的に買ってしまいました。 碌に知識ないので早くも行き詰ってます。 電源を入れると「Operating System not found」とでます。 てっきり、FireWall-1がプリインストールされてるかと思ったんですけど、別途入手する必要があるのでしょうか? それと中身をみてみたのですが、HDDディスクがなく、IDEのケーブルが何かのカードに刺さってるんですが HDDは元から無いでいいのですか?
570 :
名無しさん@お腹いっぱい。 :2005/09/19(月) 19:25:19
予備機に買っておくと、役に立ちそ
>>572 >>571 の4ポートのLANカードってLiuxやsolarisとかの汎用OSで使えるのかな?
>>573 使えるよ。そもそも汎用品に型番つけているだけだから。
VPNアクセラレータも同じく流用可能
CPロゴつけることで、価格は50倍になってるが。
>>574 50倍…
この数字だけ見るとボッタクリと思えるけど、実情はそんなもん?
>>571 の写真見ると長さが問題になりそうだけど3000円なら遊びで買ってみようかな。
576 :
名無しさん@お腹いっぱい。 :2005/10/01(土) 18:11:10
FW-1 R55つかってます。 オブジェクト、ルールをCSV形式などのファイルからインポートすることは 可能でしょうか?
578 :
名無しさん@お腹いっぱい。 :2005/10/02(日) 23:43:54
cp_merge ってコマンドがあったので、ポリシーファイル、オブジェクトファイルをcsvから 作成して無理やり反映させました。 こんなツール出回っててもいいのになぁ。。。
579 :
577 :2005/10/03(月) 01:53:59
>>578 漢だな。出来ないことは無いとは思っていたけど、
面倒だと思ったから無理だと書いてしまった。
本当にやる香具師がいたとは・・・。
ちょっと俺も
>>578 を見習ってみよう。
でも、本当にこの手のツールは欲しいですな。
580 :
IPSER :2005/11/15(火) 02:35:57
AI R55でVRRP構成してfwからntpパケット投げてるんですが なんかntp通信パケットのソースIPがvrrpの仮想ipにnatされてて ntpサーバからの返答がその仮想IP宛に戻ってきてます。 挙句の果てにポリシールールでrejectされるって現象がおきてntp同期がとれません。 基本的にてfwモジュールからの通信は暗黙ルールで全て acceptになるはずと思うんですがどうしてなんでしょう? ちなみに待機系からもntpパケットでてるんですがこれも仮想IPにNATされてるんで サーバからのレスがマスターの方にいっちゃってるんですよね・・・ なんか設定があるんでしょうか? 知識ある方どうぞご教授をm(_ _)m
VRRPを設定する画面の辺りで、実ノードから出るパケットの SrcIPをVirtualIPに変換するチェックボックスなかったっけ? そこらへんをいじると、どーよ。
582 :
IPSER :2005/11/16(水) 00:24:17
>581 レスどもです。 3rdなんたらって場所のチェックボックス外すと確かにパケットがNATされなくなって通信OKになりますねー しかし、これがデフォルトの設定ってどうよCP・・・
久しぶりに触ることになったので保守しておきます
584 :
名無しさん@お腹いっぱい。 :2006/01/11(水) 14:43:32
NGXは触れない方が良い領域なのかな・・
あぶねー。 単にアップグレードしようとして CheckPoint SecurePlatform ぶち込みそうになった(汗
587 :
anony :2006/02/07(火) 11:44:22
クライアント − FW-1 − サーバ この構成でパケットキャプチャしてると、ネットワークが混んでるとき クライアントからのFIN/ACKに対するサーバからのFIN/ACKがFW-1に届く前に FW-1からクライアントにFIN/ACK投げる場合があるみたいなんですが、 これって正常なのでしょうか。。 FW-1 NG ってTCPの開始と終了のハンドシェイクで、先出し?みたいな動作 するものなのでしょうか。
>>587 正確には覚えてないけど、あった気がする。
マニュアルを読まないと正確なことはいえないけど。
>>587 開始のハンドシェイクならSyn Defenderを使っていると
先出しすると思うけど、終了はどうなんだろう。
590 :
587 :2006/02/09(木) 15:50:10
そうですよね。 開始のほうはSynDefenderについてマニュアルに解説があるのですが、 終了については不明で。パケット見る限りFW-1が先出ししてるとしか 思えないのですが裏づけがなくて困ってました。
保守しておくよ
592 :
587 :2006/02/21(火) 09:40:31
自己レスです。 アカウント持ってる人間にSecureKnowledge調べてもらいましたが、 TCP終了時の先出しに関する情報は見当たりませんでした。 キャプチャデータは間違いないハズなのですが。
593 :
名無しさん@お腹いっぱい。 :2006/03/06(月) 13:06:11
ポリシーインストールすると、 Acceptしてるパケットを止めてしまう現象って起きないでしょうか? IP330+FP3で、 ポリシーのインストールをすると「ごくまれに」通信できなくなってしまいます。 そこから再インストールや機器の再起動を行っても通信できません。 ログには一切残らず、インターフェイスでのtcpdumpで、外部ifに届いているが、 内部ifからパケットが出てこないという状態です。 ポリシーにて、止めていることはないとは確認済みです。 FP3からR55に上げてみましたが、同じ現象が起きました。 ご教授お願いします。
VPN-1 NG R55 と Fortigate を site to site で接続できた人いる?
>>593 nokiaでR55使ってるけど、ふつーに起きますな。
ずっと昔は起きなかった気がするので、仕様が変わったと
思ってる。(ipsoのflowとかと関係あるかなぁ)
non-SYNパケットが来てもいきなり弾かなければいいのかもしれん。
そういう設定はできたはず。
ポリシーとしていいかは別問題・・・
>>593 Rematch Connectionになってて既存のセッションが
切られることはよくあるけど、再起動しても通信できないって・・・
どうやって復旧したの?
IP forwadingがとまっているような気もしないではないけど、
そんな事例は聞いたことないし。
あと、swapinfoでIPSOのswapが1Gあるかも確認してみ?
古いバージョンからのUpgrade環境だと256MBになってるかも。
正攻法は、HFA最新まであてて、fw monitor取って、サポートへTELだけどね。
>>580-582 の話題に近いのですがNG R55でSrcIPのNATを特定IPへ送信する時のみ
行わないようにする設定というのは可能でしょうか?
VRRPしててもマネジメント鯖宛には実IPで投げてるようなので可能なのかと思い
調べてみましたが該当するような設定項目が見つけられませんでしたorz
>>597 普通にNATのルール設定で
Src Dst Originai Original
ってすれば良いかと。
SrcがGatewayの場合というのは試したことが無いので
どういう動きをするかは判りませんが…。
>>598 情報ありがとうございます。
試験環境がなかったりするので休み明けに試してみようと思います
600 :
名無しさん@お腹いっぱい。 :2006/05/10(水) 00:39:14
特定の Destination に向けて、携帯から http のアクセスを試みています。 この Destination に対する http アクセスは、いずれの Source からも Accept するように指定済みです。 ところが、実際に携帯端末からアクセスしてみると、以下のような形で アクセスできません。 1. アクセス開始(Accept のログが残る) 2. 端末側は、ページ転送待ちという表示(この間 FW 側にログなし) 3. 約一分後に、端末側に「指定したサイトには接続できませんでした(504)」 というエラー表示(この時点で TCP Packet Out of State) 最後のFWにあるログは 「First Packet isn't SYN; tcp_flags: RST」 で、それ までに関係するログは残されません。 ようは正常にアクセスさせたいだけです。 こんな悩みを解決された方はいらっしゃいませんか? どうか教えてください。
>>600 Firewall-1 の問題なの?
単に Web server からレスポンスがないだけなんじゃないの?
Web server がどういうレスポンスをしているか調べましたか?
602 :
名無しさん@お腹いっぱい。 :2006/05/11(木) 07:56:28
600ですが、結果報告をしておきますね。といっても、よくわからないのですが。 まず、そのウェブサーバのゲートウェイがFirewall-1になっていたのを、Firewall-1の上にある ルータに変更しました。まあ、軽い気持ちからです。 それから、再びFirewall-1に変更しました。これも軽い気持ちからです。 そうすると、解決しました。 はて? 最初の設定が間違っていたのか? そんなことはないと思うのですが。 俺はFiewwall-1とかウェブサーバとかに、心をこめて日頃の虐待を、言葉に出して謝罪したのですが、 それが受け入れられたのかもしれないと思っていますがいかがでしょうか。
NOKIA本体(IP260)にコンソールで入ってcpstart打ってやらないとSmart DashBoardやtelnetでつながらない。 なんでだろう・・・orz
装置起動時にfwmプロセスが起動していないか、コケてる? cpstart打つ前にcpwd_admin list打ってみれば。
あ、telnetも繋がらないのか。(Voyagerも?)ならfwmだけの問題じゃないね。 netstat -a 相当でtelnetポートとかがListenになってるかどうかみるとか。 最終的には再インストールが早道なんじゃ。
>>604 ,605
最初からやり直したらうまく行きました。
NOKIA VRRPのHA構成で設定したんですが、ちゃんとVRRPも動作してよかったです。
が、ポリシーでLogにはかすように設定したにもかかわらず、
SmartView Trackerに全然ログが吐かれない・・・orz
サポートに聞くしかないのかなぁ。
ちなみにバージョンは
IPSO4.0
Check Point NGX(R60)
です。
>>606 NGXってどうよ?
俺はR62まで待とうと思ってるんだけど。
SMART DEFENSEって使いものになるの? それに一部のノードだけ入れてみたいんだけど、無理かな?
NGX 重いよー
610 :
名無しさん@お腹いっぱい。 :2006/06/06(火) 17:51:42
あげ
611 :
名無しさん@お腹いっぱい。 :2006/06/23(金) 01:43:36
VPN-1UTMとPOWERという製品名になるらしい。 価格は変わるんかね? 特に以前の製品群の保守料金が気になるよー
613 :
名無しさん@お腹いっぱい。 :2006/07/14(金) 11:29:15
firewall-1 ver4.1(Nokia上で稼動)を使って、ネットワークを構築しています。 DMZにサーバをたて、グローバルアドレスにNATして公開したく思っています。 DMZ上のサーバからの通信は、問題なく通るのですが、外部からサーバへの通信が 確立しません。ログを見ると、サーバが返すACKのパケットがFirewall-1にて拒否 されているようです。rule0でunknown establlished TCP packetという情報 が記載されています。 うまく通信させる方法はありますか?
HTTP?をacceptしているruleをログする設定にして、アクセスしてログ見て、SYNが来たときのSIP,DIPとdropされるACKのSIP,DIPの組を比較してみればなんかわかるんじゃ。
615 :
613 :2006/07/14(金) 15:17:39
解決しました。IPスプーフィングの設定に問題がありました。 DMZグループというグループを使って、IPスプーフィングを防ぐように してありましたが、今回追加したサーバを登録していませんでした。 グループにサーバを追加したらうまくいきました。 ありがとうございました。
>>613 firewall-1 ver4.1 ってサポート対象だっけ?
617 :
名無しさん@お腹いっぱい。 :2006/07/15(土) 12:20:32
>>616 サポートされないから、こんなとこで聞くよりないんだろ。
NokiaのIP380用メモリ1GBアップグレードってもう売ってないの? amazonやらどこも売り切れなんですが。
619 :
名無しさん@お腹いっぱい。 :2006/07/21(金) 16:38:54
>>618 IP380が終わってるんじゃ?
とっととリプレースすれ。
620 :
618 :2006/07/21(金) 18:00:22
>>619 確かに終了のアナウンスは出ているんだが、まだ受注してるよ F社とか
なにか使えるメモリない?
大人の事情ってヤツでリプレースできないんだよorz
>>609 何言ってんだ
NGXはR55とほとんど変わらん
R55時代が長すぎて開発してないのかと思われそうだから
無理矢理出しただけ
重くなるのはUTMとか意味のわからん形態が変わる
次のバージョンから
622 :
名無しさん@お腹いっぱい。 :2006/09/05(火) 20:20:27
Firewal-1ver4.1に関して質問があります。 ルールベースでhttpを許可しているのですが、この場合、メソッドとして、 postもgetも許可されているのでしょうか?それとも、postは禁止するなど、 どこかに設定する箇所はありますか? 詳しくは無いのですが、セキュリティサーバとかいう機能は使っていません。
それはhttpサーバで禁止する 層が違うのだよ層が
624 :
鳩 :2006/09/05(火) 21:46:09
そうなんだ
625 :
犬 :2006/09/07(木) 03:42:28
>>623 > それはhttpサーバで禁止する
まぎらわしいが、それCPのhttpサーバ、つまりセキュリティサーバだろ。
4.1じゃバグだらけだって話だが。
とっととリプレースしろ。
626 :
犬 :2006/09/07(木) 04:32:16
>>621 > 何言ってんだ
知りもしないくせに、よく他人のこと言えるナ。
> NGXはR55とほとんど変わらん
Web Intelligence があるだろ。
R55+R55W⇒ NGX R60
webセキュリティ特化の変則バージョンR55Wを一般ラインに吸収、あわせてSmartCenterを強化。ちぐはぐな部分がだいぶ解消された。
NGX R61はほとんどR60のバグフィックス。いかし、あわせて商品体系が変更されてPower/UTMに。
重くなってきているのは、上位レイヤでのインスペクションの強化のため。
R55なら、SmartDefense切って、それでも遅ケりゃAIバッサリ切れ。
しかし、ハードをアップグレードするのがスジ。重いとか文句言ってるのはダメSE。
>>625 そんなことどこにも書いてないのに
そう判断できる理由が分からん。
httpサーバといったら単にhttpサーバだろ。
628 :
名無しさん@お腹いっぱい。 :2006/09/07(木) 20:54:51
630 :
名無しさん@お腹いっぱい。 :2006/09/18(月) 15:26:18
最近、お客さんからSOAP以外のHTTP通信をDropしてほしいと言われてます。 そんな事出来るんでしょうか・・・。 リソースオブジェクト作って試験しましたけど、出来なかったです・・・。
とこでみんなどんなハードとOSで動かしている? 最新のXeonとかOpteronとかどうなんだろう?
R62って、いつ出たんでしょう? 先週はなかったような気がするんですが。 プレスリリースとかありました?
今後の職場でこれ使うんだけど、 試用版みたいのないの?
635 :
名無しさん@お腹いっぱい。 :2006/11/12(日) 01:54:06
NOKIAとNOKIA以外のファイアウォールとのVPN接続って出来ますか? 証明書とかでやってもうまくいきません。
SecuRemoteがつながってから10分くらいで切れるんだけど なんでですかね? 鍵マーク的には繋がったままなんだけど 実際は切れてます。(pingとおらず)
638 :
名無しさん@お腹いっぱい。 :2007/02/09(金) 07:15:04
nokia390でFW構築となっちゃいました。 問題はライセンス料金がいるかいないか。あるならそのライセンス名。期限は明日、少なくとも概算提示です。 方式はクライアント300をアクセスゲートウェイのIP-VPN経由し、ルータ、スイッチ、ノキア390となります。 製品だけでライセンス料はいりますか? あるなら必要ライセンス名を教えて下さい。 全体を発注する、営業は、ライセンス料はいらないとの考えです。 全く経験なく、分かりません。 立場から論証する、必要があります。
639 :
名無しさん@お腹いっぱい。 :2007/02/24(土) 03:39:43
UTMとかか?そもそもライセンスねーと動かないだろ。 500ユーザーのライセンスがあったはず。 もう遅いと思うけどな。
>638 NOKIA引くとこの営業にきいたら? まずはそれから。
641 :
_ :2007/04/07(土) 08:12:35
こっちにもあったのでまとめてage いつの間にやらR65がリリースされてマスタ このペースだと100位はすぐ行きそうですね
642 :
onisipp4u :2007/04/25(水) 10:25:17
>>613 goo教えて。を見て類似質問がありましたので紹介します。
IPスプーフィングの設定の問題でした。
FW-1のDMZインタフェースにて、Validアドレスは、
others+【DMZ Serversというグループ】になっていました。
このたびサーバのオブジェクトを追加したのですが、DMZ serversグループに追加していなかったのが原因でした。
早速追加したところ、外部からサーバにアクセスできました。
http://oshiete1.goo.ne.jp/qa2275164.html
こんなことgooで聞く奴もいるんだな・・
FW-1 の管理サーバが障害を起こしたときなんですけど エクスポートした情報 ($FWDIR/bin/upgrade_tools/upgrade_export の結果) があればサービス停止なしで復旧できるんですかね? Secure Internal Communication で使われるデータもexportされるのかな。。。
>>644 upgrade_inport は、cpstop してから動くから FW-1 はとまるよ。
>Secure Internal Communication で使われるデータもexportされるのかな。。。
確かexport されるはず。
>>644 管理サーバ別立てならサービスは原則無停止でイケル
Secure Internal Communicationは何故か繋がらなくなる事も
あるので、その時だけは張り直せ
この場合は当然サービス停止する罠
まずエンドユーザーには気付かれないけどw
647 :
644 :2007/06/04(月) 15:00:42
情報サンクス SICがつながらないときは cpstop && cpstart でいいのかしら???
cpconfigでSICを再投入 EXITすると自動でcpstop、cpstartが走る
649 :
名無しさん@お腹いっぱい。 :2007/07/19(木) 00:01:05
すいません質問です。インターネットVPNってセキュリティはどうなんでしょうか?データを取られたりとか有るのでしょうか?導入しようかどうか迷っていますので教えて頂けないでしょうか?また、セキュリティを上げるにはどうすれば良いでしょうか?
650 :
名無しさん@お腹いっぱい。 :2007/11/16(金) 23:43:17
firewall-1って普通のパソコンにLANカードさしてインストールしたら 使えるの? 何をどうしたらいいか誰か教えてください。 それと最安でいくらくらいで構築出来ますか?
アプライアンスなのにそんなことできるわけないでしょ。
652 :
名無しさん@お腹いっぱい。 :2007/11/17(土) 00:00:43
>>651 よくわかりません・・・
ソフトで動いてるんだからソフト入れたら動くんじゃないの?
あれ、見たこと無いけど、Windows版とかあるんじゃなかったっけ?
>>650 検証だけなら、普通のパソコン上の XP でも動作する。NICは最低2枚あった方がいい。
本番機にするなら 、OSはWindwos2000 Server 以上のサーバOSにしなはれ。
対応OSに関してはココを見ておくれ。
http://www.checkpoint.com/ngx/upgrade/requirements/r62.html 何をどうしたら良いか判らないなら、手を出さない方が良いよ。
ベンダーに丸投げした方が楽だよ。
簡単に書くと。
1 OS Install
2 OS にパッチ当て
3 OS の設定
4 Firewall の Install
5 Firewall の設定って流れ
になる。
ちなにみ 5 は、どんな事がしたいのか判らないと書きようがない。
その位、機能も多いし複雑。
金額は、ユーザ数によって変わるので何ともいえません。
どうしても自分で構築したいのであれば有償の講習会とかあるから受けてみたらどう?
>>651 NetScreen 等の最近の製品しか知らない世代なんだね。
655 :
653 :2007/11/17(土) 15:22:59
>>650 >>652 その書き方からするに、ネットワークどころかPC関連にすら疎い
印象を受けるんだけど、どうしてそんな質問をしようと思ったの?
>>654 まともにcheckpointのページ見たことなかったんで勉強になったわ。
にしても、親切なお方や。
656 :
名無しさん@お腹いっぱい。 :2007/11/18(日) 10:50:55
>>654 あんがとう。
金額はだいたいいくら?
ユーザ数は自分ひとりです。
>>655 ネットワークもPCもバリバリです。
>>656 >何をどうしたら良いか判らないなら、手を出さない方が良いよ。
>ベンダーに丸投げした方が楽だよ。
↑が読めないのか?人に聞くな。その程度の事が自分で解決できないなら手を出すな。
>>656 >>657 が言っている通り、手を出さない方が良いと思う。
あとね、1人しか使わないのに Firewall-1 は勿体ないよ。
ZoneAlarm とか NIS のような PFW で十分じゃないかな?
checkpoint のサイトで評価版を入手できるから使ってみたければ
申し込みしてみたら?
659 :
名無しさん@お腹いっぱい。 :2007/11/18(日) 21:38:54
そもそもユーザー数って何? 管理者が一人だと一人じゃないの?
>>659 ユーザ数って言うかクライアント数だ。スマソ
661 :
名無しさん@お腹いっぱい。 :2007/11/18(日) 22:13:55
クライアント数か! 我が家はPC5台。 家に無駄にFwirewall-1入れて〜!
663 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 00:31:52
みんなで家に無駄にFirewall-1導入しようぜ! 無駄ってすばらしいよね?
まずPF/WのJetico使え。 これが使いこなせなかったらFirewall1をちょっとでも使うなぞ夢のまた夢。 Firewall1を自宅に入れてる知り合いを知っているが、勉強の為だよ? どうせならNetscreenの下位の製品ならリーズナブルで家でも実用的にいけるんじゃない?
時代はNetScreenだろ
666 :
名無しさん@お腹いっぱい。 :2007/11/20(火) 22:15:40
Netscreenなんて簡単すぎて屁だよ
スレ違いですまんが、話しついでに聞くんだが・・・ Netscreen って昔はきちんとした stateful inspection ができていなかった気がするんだが 今は大丈夫なの?
Nokiaの箱買え。
670 :
名無しさん@お腹いっぱい。 :2008/01/17(木) 20:57:21
R62ってHFA出てないように見えるんだけど気のせい? 見捨てられてるって事ないよね??
R62 使っているから、 Security Hotfix 2 が出ているので、見捨てられないと思いたい。 でも、HFA でてないね。 R65 に集中しているのか?
672 :
名無し :2008/02/10(日) 21:48:27
Ruleではacceptしているはずの、通信がsmartdefence によってreject dropされてしまいます。 アタック名 アタックの詳細等確認はできるのですが、どのように対処すればよぃのかわかりません。Rule通りに通信できなければいみがないので困ってます。 どなたか、同じ状況になられたかたおりましたらご教授をいただけますでしょうか。
ここはベンダーサポートの場ではない。さっさとベンダーに聞け。 それができないなら、以下のファイルを晒せ ・ルールベースファイル ・オブジェクトファイル、 ・fwlogでテキスト化した該当ログ
>>672 つーか、一度 smartdefence を全部切ってみれば良いんじゃないか?
それから、戻していけば原因わかるでしょ?
675 :
名無しさん@お腹いっぱい。 :2008/04/18(金) 16:04:11
frashベースのfirewall-1入れてて、別セグメントにSmartCenter置いて管理しているんですけど、 SmartCenterのTrackerにacceptとかdropのログがのってこないんですよね。 ruleではログをとる設定にしていますし、オブジェクトの設定で「Event」とつくものは全て 有効にしているのですが。 こんな経験のある方いませんか?
>>675 ちゃんと、SIC(Secua Internal Communication)繋がってる?
ログがGatewayに残ってるような気がする。
SICダメならポリシーすら入らんから、どうだろ。 flashベースってことはNOKIAかと思うけど、 SmartDashboard開いて、そのNOKIAのオブジェクトのプロパティで、 ログ飛ばすサーバはどこ、みたいな設定なかったっけ。 (昔のことなんで、うろ覚え・・・)
>>675 NOKIA(IPSO)前提ですが、
>>677 に加えて、IPSO側でも設定項目がありませんでしたっけ?
あと、NOKIAのモデルによるかもしれませんが、私がFLASHベースのモデルを導入した時は、
「ログを外部に出力させるには」(英語)みたいな紙っぺらがあって、
このファイルのここを編集しろとか書いてあった気がします。
(私もうろ覚えですまん・・・)
>>677 ポリシーインストールしたって書いてないから…。
DashBoardで確認しただけであって、インストールしてないっしょ?
後、FlashBaseってのがきになる。
>>680 まぁ確かにそうなんだけど、運用中の環境みたいだし・・・
とりあえず、休み明けの
>>675 に期待w
682 :
675 :2008/04/21(月) 10:18:26
みなさまありがとうございます。
SICの確立、ポリシーのインストールは正常に行われている状態です。
また、みなさんご指摘の通り、使用機器はNOKIAになります。
>>675 には記載していませんでしたが、NOKIAと管理サーバ間にはもう一つ
ファイアウォール(Check Point社製ではない)が噛んでおり、そいつに
source:NOKIA dest:管理サーバ all allow
のルールを追加してみてもログがのって来ない状況です。
なのでfirewall-1の設定で抜け箇所があるのかな?とここで質問した次第です。
ここらへんを見直してみれば?というアドバイス頂けないでしょうか。
683 :
675 :2008/04/21(月) 10:24:50
書き忘れました。 firewall-1のオブジェクトの設定で、「ログサーバは管理サーバ」という 設定はしております。
>>683 SIC結べてたらログが飛んでくるはず…。
1個もログ飛んでこないのでしょうか?
ログが本当に飛んでないのなら、Flash内に溜まってるかと…。
最近NOKIAいぢってないので詳しい方どなたか
>>683 NOKIAならTCPDUMP取りゃスグに分かる
失礼 SNOOPだったかも試練がまずはキャプチャ汁
688 :
678 :2008/04/23(水) 21:40:22
このスレにこんなに書き込みがあるのを見たのははじめてw
>>679 そう言われると、そうかもしれず
勘違いスマソ
>>675 その「中間にあるFW」があやしいね。
any allow
っていうのは、「その機器で定義された全てのサービスを透過」
という意味である場合が多いので、ISC、というかSmartDashbord/
SmartViewが使うポートを書いてあげないとダメかも。
Netscreen(ISG/Juniper)やらFortigateやらSonicWall/ESAなんかは
こうだった。L2/L3レベルで何でもスルーしろって意味じゃないので、
要注意。
違ってたらゴメソ
690 :
675 :2008/05/07(水) 13:48:51
お久しぶりでございます。
>>675 です。ご報告があり参りました。
結果として、
>>689 さんの指摘の通り中間にあるFWのせいでした。
all allowの設定を、ログ通信用(257番ポート)のみ許可したところ
問題なくログがのってくるようになりました。
結局FW1のせいではありませんでした。
お騒がせいたしまして申し訳ありませんでした。
691 :
675 :2008/05/07(水) 13:49:56
それと、ご意見を下さった皆様。 色々とためになりました。ありがとうございました。
R65 って安定している? R62 から移行するか悩んでいるんだが。
>>675 おめでとう!これが解ってるとアプライアンス系FWでハマることはもう
無いです。私はすっかりSonicESAの虜。アプライアンスの世界に来ませんか?
>>692 何をもって安定と言うのかが不明なので答えようがない。おまけに等しい機能
まで全部含めて安定動作を意図するなら、移行なんて考えない方がいいよう
な気がする。
FWの基本機能(sNAT/dNAT/PortFowardを含むポリシー)だけならR65の
初期リリースで問題無い。ただIPSOの方はマメにチェックする必要有。NOKIAじゃ
無いのであれば、OSのパッチだけ当て続けておけばまずOK。
今のところ、R61以降のものはよっぽどのトピックが無い限り移行の必要を
感じない、かな。
>>689 >Netscreen(ISG/Juniper)やらFortigateやらSonicWall/ESAなんかは
>こうだった。L2/L3レベルで何でもスルーしろって意味じゃない
そうなんですか。
知らなかったから勉強になった。
でも前に設定した時は何でも通したような記憶があったのは間違いなのか・・・
Source:管理用PC Destination:any Service:any
これで全部通ってた気がする
>>694 CheckPointもAnyは定義されているサービスのみ通す
696 :
名無しさん@お腹いっぱい。 :2008/07/02(水) 01:08:43
練習用の環境が欲しかったので、IPSOをVMWareにインストール。 ・・・ネットワーク認識しない(T_T)
さああ
698 :
名無しさん@お腹いっぱい。 :2008/08/14(木) 22:47:12
HDDなしのNOKIAを手に入れたものの、 BootManagerのインスコができねぇ… IPSOすら拝められないなんて…orz
IPSOのライセンスがないならm0n0wallやpfSenceや はたまたFreeBSDそのものを入れればいいじゃない。
700 :
名無しさん@お腹いっぱい。 :2008/08/24(日) 14:10:42
これの資格試験受けたんだけど、どこで申し込むの? プロメトリックではやってないよね? 誰かサイト教えてください。
701 :
訂正 :2008/08/24(日) 14:14:46
×これの資格試験受けたんだけど ○これの資格試験受けたいんだけど
これの試験ってCCSA? 確か英語だったよね・・・ プロメトリックじゃなかったらVUEかな?
この手の試験にありがちな 英語で受けたほうがマシという展開か
いちおー日本語か英語は選択できるの? なんかマイナーすぎてローカライズしてない気がする 資格の有効期限ってあるの?
CCSE って最近は知らないけど、 日本語の翻訳が悪いから、英語で受けた方が簡単だった・・・ CCSE Plus は、英語で受験したけど。
707 :
名無しさん@お腹いっぱい。 :2008/08/30(土) 18:13:23
保守
708 :
名無しさん@お腹いっぱい。 :2008/10/04(土) 18:45:52
nokia-checkpoint難しいね〜。。
ってか、もう終わりだろ?
>>710 終わりって業界内で定期的に話題になるよね。
ところで、何が終わりなの?
どなたか古いS-box用の4.0.xをお恵み下さいませ
そんなにシェア低く無かったと思うのに惜しいな
717 :
名無しさん@お腹いっぱい。 :2009/01/21(水) 02:01:23
はじめましてこんばんは。 皆さんにお聞きしたいのですが、CCSAを更新しないで資格喪失してしまった場合は、 再度一から試験を受けなおす必要があるのでしょうか? それとも手続きなどだけで済むのでしょうか? ご教授願いますm(__)m
チェックポイント製品に「本当に」詳しい代理店ってないですかねぇ?
どいういうレベルを求めているのかしら
自称詳しいソフトバンクBBより上 Safe@Officeの挙動の質問に回答できるレベル
>>720 そもそも聞くのが間違ってる。
自分で調べろ。
R70がリリースされたね
Firewall-1でNATの設定をしている場合、そのNAT変換を行っているログって見れますか?
見れるよ。
725 :
723 :2009/04/14(火) 21:34:11
727 :
723 :2009/04/14(火) 22:00:42
>>726 デフォルトというと、/var/log配下にあるmessagesログですか?
それともSmartViewTrackerのログですか?
ちょっとは考えろよw
何も知らないで聞くのは別にいいが、自分で調べる気が全く無い奴に説明する程親切な奴は・・・いるなw ベンダーに聞け。
730 :
723 :2009/04/14(火) 23:52:30
会社の機器なので、あまり勝手にはいじれないんです。 とりあえずキャプチャして確認します。
確かマニュアルがダウンロードできたはずだが、それすら探す気ないの? それ以前にログがその2種類あるってわかってるなら、両方見て確認すればいいじゃん。 なんで確認しないの?
732 :
名無しさん@お腹いっぱい。 :2009/06/13(土) 12:55:24
INTEROPでIPシリーズ展示してたね。 光るNokiaロゴの上に無理矢理貼ったCheckPointシールが泣ける。
733 :
名無しさん@お腹いっぱい。 :2010/02/25(木) 00:26:38
R62からR65へのバージョンアップで、バージョンアップ後に fw verコマンドでバージョンの確認を行ったがR62のままでした。 インストールの手順はマニュアル通りにしたはずだが。。。 誰かhelpを頼みます。 ちなみに、手順は 1.cdromをマウント 2.cdromフォルダに移動 3.unixinstallscript実行 4.リブート です。 OSはsoralis.
734 :
名無しさん@お腹いっぱい。 :2010/09/22(水) 03:20:55
icapでウィルスチェックってできます?
736 :
ひみつの検疫さん :2024/11/25(月) 13:46:54 ID:MarkedRes
汚染を除去しました。
∧_∧
( ・∀・) | | ガッ
と ) | |
Y /ノ 人
/ ) < >__Λ∩
_/し' //. V`Д´)/ ←
>>100 (_フ彡 /
保守
保守
ほ
741 :
名無しさん@お腹いっぱい。 :2013/12/05(木) 22:44:25.26
あげ
742 :
名無しさん@お腹いっぱい。 :
2014/12/20(土) 20:19:56.92 ぬるぽ