2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

[Check Point] VPN-1/FireWall-1 CF1

1 :名無しさん@お腹いっぱい。:03/02/07 02:29
 
CheckPoint VPN-1/FireWall-1(FW-1)について、
本格的な運用や技術に関する討論を展開して参りたく、
本スレッドを存分にご活用ください!!

♪ VPN-1/FireWall-1 を利用するにあたっての心構え ♪

其の壱 英語の(エラー)メッセージにくじけない!
其の弐 ログはためても 100MB くらいまでにしましょう。
其の参 本番運用で SecurityServer の機能は使わない!
其の四 AIX, HP での運用はサポート外とさせて頂きます。
其の伍 Motif GUI のライセンスを買うなら、Windowsマシンを買おう!

2 :名無しさん@お腹いっぱい。:03/02/07 02:30
 
チェックポイント 日本法人 ウェブサイト
http://www.checkpoint.co.jp/

Check Point Headquarters' website
http://www.checkpoint.com/

OPSEC - FireWall-1 との連携動作認定に関する公式サイト
http://www.opsec.com/

SecureKnowledge - 開発元が提供している、うんちくデータベース
http://support.checkpoint.com/
一般の方には "Public Access" をクリックして頂くことで、
こちらのデータベースへのアクセスが可能となっております。


3 :名無しさん@お腹いっぱい。:03/02/07 02:33

   ∧△∧
  < `∀´>
  │∪  つ 果たしてどれだけのユーザがこの板にいるニダ?
  ∠___丿



4 :名無しさん@お腹いっぱい。:03/02/07 04:12
>>1
サポート入ってないとパッチもらえない
というのはホントですか?

5 :1 :03/02/08 00:36
 
>>3 さん

私がこのスレッドを立てたことで、うちわの人間や FireWall-1 ユーザの
方々が、続々と集まってくるとの情報が得られておりますので、最低でも
“5人”くらいはいらっしゃるかと思います。

>>4 さん

はい、本当だと思います。

私の知る限りでは、保守(サポート)契約を結んでいるお客様だけが、
パッチを提供してもらえています。

念のために、FireWall-1 の販売代理店さんや、サポートサービスを
提供している会社さんへ、問い合わせてみるのが良いかと思います。


6 :名無しさん@お腹いっぱい。:03/02/08 02:45
>>4
ほんとです。契約してるとパッチやらサービスパックやらの
お知らせメールが届く。そのメールに記載されたID/PASSで
ないと落とせない。
もーね、なんつーか一時期のCISCO以上の殿様商売。

7 :殿様商売の顧客:03/02/08 07:51
ログ吐かせるとき -n オプションをつければIPアドレスになることを最近知ったんですが、ポート番号を吐かせるにはどうすれば?

8 :殿様商売の顧客2:03/02/08 08:58
セッションの維持が1時間ですが、無制限にでいますか?


9 :ぼるじょあ ◆yBEncckFOU :03/02/08 16:32
(・3・) アルェー 誰もいないYA!

10 :名無しさん@お腹いっぱい。:03/02/08 17:01
今後はNG(Ver5.0)でもHP-UXをサポートしていくみたいだね
ただしIA64だけらしいけど

11 :1:03/02/10 14:52
 
>>7-8 殿様商売の顧客さん

ポート番号を吐かせるということは、FireWall-1 で定義されている
Service名をポート番号に変換して…
たとえば、"http" を "80" というように…
ログに表示させるということでしょうか!?
マニュアルにその方法が掲載されていないようでしたら、出来ないと思います。
Service名をポート番号に変換してログ出力するということは、
私も試してみたことがありませんので、ちょっと調べてみたいと思います。
ご存知の方がいらっしゃったら、教えて下さいませ。m(_ _)m

セッションの維持を無制限にすることですが、これはたとえ設定出来たとしても
セキュリティ上好ましくないと思いますので、設定しないことをお勧めします。
ちなみに、"TCP Session Timeout" の "3600s(1時間)" を変更することは、
[Global Properties] の [Stateful Inspection] から設定可能です。
上限値は、"86400s(1日)" だったと思います。


12 ::03/02/11 08:28
1さん、丁寧なご回答ありがとうございます。
殿様商売の顧客(7のほう)です。(8さんとは別人です)

まさに1さんがお書きの通りのことをやりたくて、
-a, -b, -c, ... とでたらめにやってみたのですが、
悪あがきに終わり、力尽きました。
もしおわかりになれば、教えてください。

FW-1は圧倒的なシェアのはずなのに...
個人向けではないせいか、このスレ寂しい...


13 :名無しさん@お腹いっぱい。:03/02/11 20:51
あれっていくらぐらい?PFWとの違いは?機能面での。
だいたいでいいので教えてください。

14 :1 :03/02/11 22:13
 
>>7 さん

8 さんと混同してしまい、申し訳ありませんでした。(;^_^A
ログのポート番号表示出力の可否ですが、出来るかどうかも含めて、
引き続き調べてみたく思いますので、しばしお待ちの程…

>>13 さん

検索エンジンで、“Check Point VPN-1/FireWall-1 価格表”といった
キーワードから検索してみたら引っかかると思いますのでお試し下さい。
あとは、管理されるネットワーク構成やご要望のセキュリティポリシーと
照らし合わせて、どのライセンスを購入するか決められたらよろしいかと。

PFW(Personal Firewall、パーソナル・ファイアウォール)との違いは、
パーソナル・ファイアウォールが1台のパソコンを守るのに対し、
FireWall-1 を含む企業向けファイアウォール専用装置は
ネットワーク全体を守ることが出来る、といったところではないでしょうか。

上記の他にも異なる点は多々あると思いますので、
>>2 に貼ったリンク先ウェブサイト等を参照してみて下さいませ。


15 ::03/02/13 08:28
依然寂しいですね。保守age。
他にもいろいろ聞きたいことがあるので、
1さん以外にも詳しい人降臨希望。

13さんが価格を気にされていますが、ネタですか?と
問い詰めたいほど高額ですよね。このご時世、そんな
に金はたいて、果たして費用対効果はどうよ?って感じ。

パソコンにLinux入れて、NIC2〜3枚挿して、フリーの
FWソフト入れれば、パケットフィルタリングしかやらない
のなら、それで十分かつ安上がりかなと...安易かな?

16 :ぼるじょあ ◆yBEncckFOU :03/02/13 19:55
(・3・) アルェー

17 :とにー:03/02/14 00:30
www.phoneboy.com
なら情報交換活発ですよ。ただし英語ですが。


18 :1 :03/02/14 01:15
 
言い遅れましたが、基本的に私がここで設定等に関して書きこむ際には、
FireWall-1 の最新バージョンでの設定内容を書きこむように致します。

つまり現時点では、
FireWall-1 NG(Next Generation) FP(Feature Pack)3 での
設定内容をベースに話しているとお考え頂ければ結構です。

>>7&15 さん

fw logexport では、やはりポート番号表示できないことが判明致しました。

その代わりと言ってはなんですが、GUI:SmartView Tracker(旧 Log Viewer)
上では、Service名 ==> ポート番号と、ボタン一つで変換して閲覧できるように
なっておりますので、こちらでご満足頂ければ幸いです。

ちなみに、少々時間がなく検証していないので何とも言えませんが、

# fw log -(ポート番号変換オプションがあれば入力) > fw_20xx-1231.txt

以上から、Service名の代わりにポート番号が表示された fw logexport の
結果もどきが入手できるかもしれませんね。

>>8&11 さん

TCP セッションを維持できる上限時間は、やはり "86400s(1日)" でした。
GUI:SmartDashboard(旧 Policy Editor)上で TCP Session Timeout 値の
上限を探ってみればすぐにお分かり頂けると思いますので、お試し下さいませ。


19 :13:03/02/14 21:46
>>14、>>15 レスサンクス。
ネットワークを守るという点でやっぱ高いのかな?
僕はPFWはたいていはアプリケーションレベルゲートウェイのタイプで
確かにPCを守るのには堅牢だと思います。パケットフィルタ
ステートフルらと比べて最高の防御能力がありますからね。でも
やっぱ企業向けはさらに細かいことができるのかなと。
なんか知らないけど。そういう面で気になったんで。
やっぱファイアウォールにIDSというのは常識になりつつあるのでしょうかね?
穴があってもIDSなら悪意あるパケット等があればはじけますし。

20 ::03/02/15 16:44
>>17
とにーさん、情報ありがとうございます。
のぞきはしましたが、まずは英語を...がんばります...(汗)

>>18
1さん、わざわざありがとうございます。
fw log のオプションで出来るか、もう一度あがいてみます。
NGですか...うちのは過去の遺物...

>>19
13さんの話、難しくてついていけない...(涙)

21 :351:03/02/15 17:12
■■わりきり学園■■

コギャルから熟女まで

素敵な出会い

ゲイ、レズビアンなどコンテンツ豊富

http://www.geocities.jp/kgy919/deai.html












22 :13:03/02/15 18:24
あんたたちはSOHO向けの使ってるんですか?
なぜかこういうのって公式HPにいってもなぜか価格表が
見当たらなかったりするんだよね。だけど7万ぐらいだっけ?
ソニックは14万ぐらいだけど。買おうかと思ったけど手続き等が
面倒くさそうだったのでやめた。店頭販売で3ライセンスぐらいまでで
その分4万ぐらいだったら買ってもいいけどw

23 ::03/02/15 22:33
>>22
まさにケタ違いです...ここなんてどうでしょう。
http://www.forvalcreative.com/jpn/pro/vpn1_fw1_ng/price.html#NG
以前某代理店に見積りを依頼したら、5番の300万円が、
値引きして225万とのこと。ふぅ...

24 :とにー:03/02/16 02:09
>>19
PFWがアプリケーションゲートウェイという分類は誤りだと思います。
あるいはそれが、ステートフル・インスペクションより防御能力がある
というのも論理的には?ですね。
企業向けに細かいことができるというのはそういう見方もできるでしょうが、
細かいというよりむしろ付加価値ですね。
FW-1は純なファイアウォールとしての機能以上に付加価値機能が多いのです。
認証、NAT、VPN、ロードバランシング、コンテンツベクタリングプロトコル、
ハイ・アベイラビリティ....
全部ゲートウェイポイントにいれてしまえばいいでしょ
という発想ですね。それはそれでいいのでしょうが、何分巨大化してしまって...
すくなくともFW-1は120%企業向け製品です。使ってるヒトは限られているので、
PFWやウィルス系に比べたらこのスレに投稿が少ないのも当然で...

IDSとファイアウォールの併合は、IPSといいまして最近の傾向ではあります。


25 :不正な中継を受け付けます??????:03/02/16 21:18
http://www.nanet.co.jp/rlytest/relaytest.htmlより
_@hyogo.mie-c.ed.jp を担当するメールサーバー
_@menmail.mie-c.ed.jp (pri=10)
<<< 220 CheckPoint FireWall-1 secure SMTP server
問題あり:不正な中継を受け付けます。
(210.236.163.18)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。

26 :1 :03/02/16 23:18
 
>>20(7)さん

なんらかの方法で上手く結果が出ましたら、お使いの FireWall-1 のバージョン
と共に、実施された方法を教えて頂ければ幸いです。m(_ _)m

>>25さん

FireWall-1 の SMTP Security Server がメールの不正中継対策をできない!?
ということを懸念されてのご指摘とお見受け致しましたが、だと致しましたら、
2点ほど申したいことがございます。

1. 基本的に、メールの不正中継対策はメールサーバ側で設定して下さい。
2. FireWall-1 でのメールの不正中継対策は、あくまでも上記 1. の対策の
backup とお考え下さい。
その上で、設定に誤りがないか確認して頂ければと思います。

以上の認識で以って、まずは該当するメールサーバでの不正中継対策を検討して
頂くことが重要かと思います。

尚、不正中継を受け付けてしまう実在するアドレスをそのまま記載することは、
いかがなものかと思いますが… 2ch 的には OK なんでしょうか!? (;^_^A


27 :中継しないようです。:03/02/17 10:48
>>26
http://www.nanet.co.jp/rlytest/faq.html
http://www.ordb.org/lookup/?host=menmail.mie-c.ed.jp

ウチのサーバは不正中継を許さないはずなのだけど、合格しません

このテストでは、第三者中継の典型的なパターンに則って検査をしています。
具体的には、FROM行を偽って弊社のアドレス向けにメールを送ろうとした時点で、
OKの肯定応答を返した場合、不正中継を許すと判断しています。
従って、肯定応答を返してメッセージを一旦受け取るが、中継しないサーバの
場合は、「不正中継を許す」と判断されてしまうことになります。
これを解決しようとすると、実際に不正中継を行わせて検査をすることになり、
他の面で様々な問題が発生することから、本テストではそこまでの判定を行わない
ことにさせて頂いております。
-----------------------
テストに合格したはずなのだけれども、ORDBからメールが来ました

本テストで行っているのは、不正中継の手段の典型的な一例に過ぎませんが、
ORBSのテストはさらに厳しく十数種類のパターンから構成されています。
このため、本テストで合格するものの、 ORBSの検査では中継を許してしまう
場合があります。
また、本テストでは、テストを行ったことを管理者に分かりやすくするために、
FROM行に様々な情報を埋め込んで、非常に長いFROM行を生成しています。
一部のサーバでは、この長いFROM行に対して否定応答を返すために、本テストでは
合格してしまう場合があります。

28 :名無しさん@お腹いっぱい。:03/02/18 01:28
4.1 から NG にアップデート(アップグレード?)するってやっぱ大変?
NOKIAじゃなくてSolarisで動いてる奴なんだけども・・・。

>>27
mail from: は通って rcpt to: ではじいてるということ?
勘違いならすまんです

29 :1 :03/02/19 23:33
 
>>27さん

丁寧な説明、ありがとうございました。
もっと勉強しなければ…と思いつつ、スペランカーでたわむれていたり…(爆)

>>28さん

現在使われている Solaris のバージョンは“8”でしょうか!?
また、CPU は UltraSPARC II 以上でしょうか!?

基本的に、上の条件を満たしていれば、アップグレードは簡単に行えますよ。
アップグレードして上手く動作しなければ、pkgrm でダウングレードすれば、
v4.1 の環境は元通りになりますしね。

ちなみに、v4.1 から NG へアップグレードする方法には、大きく分けて
二通りありまして、

 1. v4.1 SP6 から NG FP"3" へアップグレードする。
 2. v4.1 のどの SP からでも NG FP"1" へアップグレードする。
 その後、適宜 FP3 なりへアップグレードが可能。

以上のようになっております。

NG FP"4" が数ヶ月以内にリリースされる予定ということを考えますと、
上の 1. の方法でアップグレードする準備:つまり、v4.1 SP6 でない
SP レベルの v4.1 を運用されている場合には、SP6 まで上げておいて、
FP4 まで一気にアップグレード(多分できると思います。多分…(笑))
する方法がスマートかもしれませんね。

30 :模倣してるだけ?:03/02/20 12:49
内閣官房
http://www.cas.go.jp/
http://www.nanet.co.jp/rlytest/relaytest.htmlより
第三者中継調査(Third Party Relay) - 結果表示
_@cas.go.jp を担当するメールサーバーの検査結果は以下の通りです。
_@mail.cas.go.jp (pri=10)
<<< 220 CheckPoint FireWall-1 secure SMTP server
正常:中継は拒否されました。

首相官邸
http://www.kantei.go.jp/
_@kantei.go.jp を担当するメールサーバーの検査結果は以下の通りです。
_@mail.kantei.go.jp (pri=10)
<<< 220 CheckPoint FireWall-1 secure SMTP server
正常:中継は拒否されました。

31 :名無しさん@お腹いっぱい。:03/02/20 15:40
NGの最近のバージョンで、TCPのサービスを作る時に
Match for Any
というチェックボックスがありますけど、これって
どう使うんでしょう・・・?
つけた時とつけない時の違いがわかんない・・・。


32 :名無しさん@お腹いっぱい。:03/02/21 23:00
>>1さん
> 其の参 本番運用で SecurityServer の機能は使わない!

どうしてなんですか?

33 :28:03/02/21 23:19
ご丁寧にお返事ありがとうございます・・・

OSはSolaris8ですが、俗に言う嘘ラリスってやつです。
ハードウェアも満たしている(と思う)はずですし、FW-1はSP6にHotfixをいくつか・・・。

一番気にしているのは、4.1時のオブジェクトやルールがそのまんま適用されて問題なく
使用可能なのかどうかです。
NGになってから、オブジェクトのプロパティ項目が少し変わったと聞いているのですが、
だいじょーぶなのかなぁ、と。
仮に動かなかったときに、元に戻すのは29で書いていただいたとおりでいいとしても、
いずれNGにしなければならないし・・・。

まだ依頼があったわけではないですが、そのうち話が来そうでおびえてます(笑)

34 :名無しさん@お腹いっぱい。:03/02/22 08:05
Provider-1スレはどこですか?

35 :名無しさん@お腹いっぱい。:03/02/23 01:42
>34
そんなマニアックなスレないと思われ。

36 :名無しさん@お腹いっぱい。:03/02/23 12:02
1ではないですが・・・

>>32

トラブルが多い(信用できない)からじゃないでしょうか。

>>33

Upgradeして最初にSmart DashBoard(旧PolicyEditor)で接続したときに
いろいろ警告が出たはずです.
それとUpgrade VerifierというルールのチェックツールがCheckPointから配布されているので一度チェックしてみては?

>>知ってる人

4.1からNG(FP3)へのPolicyをMigrationする方法(sk11635)で成功した人いる?

ttp://support.checkpoint.com/kb/docs/public/firewall1/ng/pdf/upgrade_mgmt_srvr.pdf
↑のpdfと記述内容が若干異なるし、うまくいかないので悩んでます。

UpgradeスクリプトはCompleteするんだけど、cpstart後SmartDashBoardで接続できない・・・

37 :36:03/02/23 12:04
おっと、skは

ttps://support.checkpoint.com/login.jsp

からPublic Accessすれば確認できます。


38 :1 :03/02/25 01:31
 
>>28さん

36さんもおっしゃっておりますように、v4.1 で利用していたオブジェクトや
ルールが NG で問題なく使用可能かどうか、NG へのアップグレード前に判断
できるツールとして、「Upgrade Verifier Utilities」と言うツールが用意
されておりますので、一度試してみてはいかがでしょうか。
ダウンロードは下記の URL からどうぞ。

http://www.checkpoint.com/techsupport/downloadsng/utilities.html

ちなみに私はメーカーの人間ではありませんが、いつの間にやら、メーカーの
担当者のような口調になっていて…なんともはや(苦笑)
ともあれ、ややこしいバージョンアップの話が来ないことを、
わたくしも祈っております(笑)

>>31さん

Match for Any は… 以前に冷や汗を流しながら勉強して、何かに利用(検証)
した記憶があるのですが…すっかり忘れてしまいました(汗)
少々調べたく思いますが、ご存知の方がいらっしゃったら教えて下さいませ。
(他力本願過ぎますでしょうか (;^_^A)


39 :1 :03/02/25 01:32
 
>>32さん

36さんのおっしゃるように、トラブルが多い(信用できない)と言いますと、
日本国外製ソフト/ハードウェアの信用の置けないこと置けないこと(笑)、
とも思いますが、まぁ実際に SecurityServer を利用して UFP や CVP を
(同時に)使用してみれば、そのリソースの消費具合やチェックの重さが…

それはそれとしてですね、例えば、URL フィルタリング機能を導入するために
Websense を利用する場合を仮定して考えてみますと、
Websense for FireWall-1 ではなく Websense for ISA を導入して
FireWall-1 側ではなく Proxy 側に連携させて、FireWall-1 への負荷を減少
させつつ、その分 FireWall-1 のパケット検査としてのパフォーマンスに余裕を
持たせれば、何らかの攻撃や DoS のような負荷攻撃を実際に受けた際のために、
FireWall-1 に余力を持たせることが出来て better だと思っておりますので、
<其の参 本番運用で SecurityServer の機能は使わない!>
と、謳ってみた次第です。

>>36さんがおっしゃっている Migration する方法に関しましては、まだ FP3
では試してみたことがありませんので、暇を見つけて検証してみると致します。


全然話は変わって先のことだと思いますが、当分 FP4 でいてくれる(すぐに
FP5 などと聞こえてこない)ように願うばかりですねぇ。
みなさんは、FPレベルの上昇速度に付いていけてます!? 私は…うっぷ(笑)


40 :名無しさん:03/02/25 10:27
ふーんこんなスレがあるのか。


41 :名無しさん:03/02/25 11:13
NGのFP3ってポリシーの書き方全然違ってるよね。
従来型の書き方もサポートされてるけどよ。

42 :名無しさん@お腹いっぱい。:03/02/25 23:32
>NGのFP3ってポリシーの書き方全然違ってるよね。
>従来型の書き方もサポートされてるけどよ。

先日、はぢめてNGのポリシーエディタみたんですけど… VIA IFって
行が増えてますけどきっちり設定しないとあかんの?


43 :チェックポイントスレッド :03/02/26 10:38
http://pc.2ch.net/test/read.cgi/network/1030725389/l50

44 :1 :03/02/27 01:32
 
>>31 さん

Match for 'Any' にチェックが入っている Service は、Service に
Any が設定されているルールに適用される、ということが分かりました。
実際に検証してみれば、その効果をなんとなく体感できると思いますよ。

>>42 さん

VIA IF は、VPN を利用している際に有用なカラム(行)となっていますので、
VPN を利用していないのでしたら、特に設定する必要はありませんよ。
効能のほどは、マニュアルに書いてあると思うのですが、いかがでしょうか!?

もう近日中に、FP3 の日本語マニュアルが出る(もう出ている!?)ようですね。

>>43 さん

そのリンク先の「チェックポイントスレッド」では、チェックポイント社が
扱っている・関わっている製品全般についてや、他社製品との比較等々が
良く議論されておりますので、FireWall-1 の技術系の話専用のスレッドが
欲しく、探してみたのですが無かったので、本スレッドを立ててみました。

私は、本スレッドを以上のように区別して活用出来ればなぁと考えております。


45 :31:03/02/28 00:56
>>44
どもです。
私のつたない英語力で読んだ感じでもそうだと思って、実機で
テストはしてたんですが、変化が見えなかったのであの書き込みに
至ってます。
例えばtelnetのオブジェクトでチェックをつけたり外したりして、
サービスAnyの挙動って変わります?

またテストしてみるかな・・・。


46 :名無しさん@お腹いっぱい。:03/03/03 23:08
良スレage

47 :名無しさん@お腹いっぱい。:03/03/06 22:48
FW-1スレの良い子のみんな! FP3はかならずHotFix-1を当ててから運用しようね!
おにいさんとのやくそくだよ!

あと、これからNOKIA IP Seriesを買うときはIP330なんか買っちゃだめだよ!

48 :名無しさん@Meadow:03/03/07 00:41
微妙にスレ違いっぽいんだけど、Securemoteインストールしたら
msvcrt.dllがどうこうってerrorが・・・
こういう場合どうすりゃええの?

49 :名無しさん@お腹いっぱい。:03/03/07 12:51
>>48
ぐぐったら。 こんなんありました。

ttp://www.checkpoint.com/techsupport/downloads/html/securemote/sr-5-0/SR_SC_FP3_RN.pdf
P4のあたまに、IEのバージョンあげてみ? って書いてます。



50 :名無しさん@お腹いっぱい。:03/03/08 09:55
>>47
IP330はなぜいけないのでしょう?痛い目にあったとか?

http://www.google.co.jp/search?q=NOKIA+IP330&ie=UTF-8&oe=UTF-8&hl=ja&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja

51 :1 :03/03/08 17:24
 
>>31 さん (>>45

FireWall-1 で最初から定義されている "telnet" はそのままに、同じポートを
利用する "telnet-b" という名前ででも TCP Srevice をもうひとつ作成して
それぞれの Service に対して違う経路での通信を許可したようなルールを設定
してみます。

Rule no.1: "telnet" を許可している Service は "Any" にして、
Rule no.2: "telnet-b" は個別の経路での通信を許可するとか
…こういう設定で良いかと思います。

そして、それぞれの経路で telnet の通信を行って、SmartView Tracker を
見てみますと、適用されている Rule 番号が異なっている結果が確認できると
思います。

以上の結果から、例えばですが、それぞれの Service の Session Timeout を
個別に設定して、適用させるルールごとに Service の区別化を図ったりと…
使い方は色々あると思いますので、試してみるとなかなかおもしろいですよ。


52 :名無しさん@Meadow:03/03/08 17:28
>>50
EOLです。ディスコンともいいます。

53 :名無しさん@お腹いっぱい。:03/03/08 19:32
ディスコンになっても相当の年数(5年くらい)は保守対象になりますけど、
それ以前にIP330は機体のスペック低すぎ。
古いロットだとK6-2の266。現行ロットでも400。
IP350でPen3の700、IP380でP3 900ってことを考えれば...

もひとつ330がお奨めできない理由として、内蔵HDDが
IBMタイマー(稼動1年)つきのプチ欠陥型番だということが挙げられます。
HDD障害でRMA逝きの多さは群を抜いてますよ。
ちなみに初期ロットのHDDはWesternDigital。

あと、HyperTerminalで初期設定すると壊れる(RMA対象)。
TeraTermとかminicom使いましょう。ネタですか? みたいなマジの話。

54 :名無しさん@お腹いっぱい。:03/03/08 19:52
みんな、VPN-1/FireWall-1は何に載せて使ってる?
Win?Unix?それともノキアとかのアプライアンス?
うちはSun E450。GUIはWin。4.1の保守切れるし、アプライアンスに乗り換えるか検討中。

。。。NetScreenに乗り換えるかもナー

55 :名無しさん@お腹いっぱい。:03/03/08 20:08
このスレが>>1の自作自演によって成り立ってる様に見えるのは漏れだけ?

まぁ、>>1が会社の工作員である事だけは文体より明らかだが。

56 :名無しさん@お腹いっぱい。:03/03/08 20:26
>>55 多分お前だけ。
住人が20人もいない過疎板では宣伝する意味が無い。


57 :名無しさん@お腹いっぱい。:03/03/08 21:39
>>55
最初の方のは全部自作自演に間違いないが、最後の方のは違うだろ。
>>1が会社の工作員なのは疑いようが無いな(w

58 :名無しさん@お腹いっぱい。:03/03/08 23:59
わざわざ会社(どこの会社だい? CheckPoint?)の工作員がこんなところで
自演しても意味ないだろ。まったく個人向けじゃないし(笑
まあ貧乏人はSonicWallでも使ってろってこった。

>54 弊社はHP-UXですが何か?

59 :名無しさん@お腹いっぱい。:03/03/09 15:11
>58 アズ(略

60 :31:03/03/09 20:47
>>51
なるほど。
同じポートを指す2つ以上のオブジェクトを作った時に
効果があるわけか。

ありがとー

61 :名無しさん@お腹いっぱい。:03/03/09 21:00
>>54
NECのアプライアンス

62 :1 :03/03/11 01:17
 
>>54 さん

ご参考までに、
FireWall-1 を運用するにあたって最適なプラットフォームは、順に、
 1. SecurePlatform
   - Red Hat Linux ベースで、癖があるけれども開発元のお墨付き。
 2. Unix 系(Nokia 等も含む)
   - 安定度が良いですね。
 3. Windows 系
   - 使い勝手が良い & Windows2000 なら安定度も合格点でしょうか。
と聞いたことがあったり、
今まで利用しての印象です。

2. の Unix系をさらに分割するならば、
 a) Solaris、Red Hat Linux : OS 本体にカスタマイズできる幅がある。
 b) Nokia、等の箱モノ : Unix 系 OS を一から勉強する手間が省ける。
と、
以上のように住み分けされているように思います。

>>31さん(>>60

いえいえ、どういたしまして。 m(_ _)m
また何か技術的なネタがありましたら、私の方こそ教えて欲しく思っております。
なので、その際にはよろしくお願いいたします! > 31さん & ALL


63 :名無しさん@お腹いっぱい。:03/03/11 15:17
NOKIAはVRRP Monitored Circuitとかの冗長化構成が比較的簡単にできるとのもウリかと思うのだが・・・
箱モノはサポート受けやすいってのも大きいと思う。

ところでWindows版のFW-1は安定しているのか???


64 :l:03/03/11 15:37
http://www.pink-angel.jp/betu/linkvp2/linkvp.html
★その目で確認すべし!!★超おすすめ★

65 :名無しさん@お腹いっぱい。:03/03/12 04:03
NOKIAたんは配備期間が最短で済むね。バックアップレストアもワンタッチ、
IPSO(OS)もパッケージも最近のはえらく更新が簡単になってきた。
VRRPが簡単かつ追加ライセンス要らずなのもアドバンテージだね。
問題は近い将来の目玉となるIP Clusteringなわけだが今のところ(´・ω・`)だ。
ちなみにNOKIAのKBはとても充実している。SIerとしてはこれもポイントだろう。
まあそこらへんはアz(略 とかソフ(略 みたいなNOKIA一次店の営業が
強調しているところなわけで、あまりここで強調すると激しくまわしものっぽくなるが。
・・・まあ事実漏れはNOKIA使いなのでまわしものなわけだが。

ときに>>62よ、
 1. SecurePlatform
これって売れてますか? ろくに実績を聞かないのだが。

>>63
Windowsについては・・・
64の言ってる通り(笑

SC(MC)兼GUIとしてならいいんじゃないのかな?
規模と顧客のポリシーによるね。Winだからだめってことはないと思う。
Enforcement Moduleとしての利用は・・・それってメリットあるか?

66 :名無しさん@お腹いっぱい。:03/03/13 00:39
FP3から色々呼び名が変わったでしょ。
慣れないねぇ...

67 :名無しさん@お腹いっぱい。:03/03/13 01:44
FP4からまた呼び名が変わります。




とかだったら殺す。

68 :54:03/03/13 02:55
DQN作業でまだ仕事中。。。
おへんじくれた人どーも。

Sun   1
HP-UX  1
Nokia  1
NEC   1

うー。。。いまのところなんとも捉えどころのない結果。
UNIX系とアプライアンスで半々。
NECのってExpress5800+Linuxですか? >61氏

69 :1 :03/03/13 03:37
 
>>54 さん (>>68

本当に、おつかれさまです。m(_ _)m
も〜、そういった作業は、ホッタラカスのが吉かと思いますが、
なかなかそうもいかないものなのでしょうか…
私が言うのもなんだか…とは思いますが、体調にはご注意いただければ幸いです。
 > 54さん & 遅くまで作業している皆様

>>66 さん & >>67 さん

確かに慣れるまで、Smart って? Dashboard って… なに?
って〜な、感じですよねぇ。 ┓( ´ー`)┏ ヤレヤレ
「ダッシュ」とか「ボード」とかいった響きに、いちいちツッコンでいた頃が
なつかすぃ…

さて、ここだけの話、NG FP3 ==> NG FP3 Hotfix-1 とリリースされてからも、
細かい修正パッチである HAxxx シリーズがリリースされ続けているわけでして、
それら Hotfix-1 も含めたパッチの集大成が、FP4 と思われます。
(HAxxx を簡単に入手できるかどうかは不明です… 代理店まではできる!?)

FP(Feature Pack)とは、修正パッチ(だけでなく)+機能強化もする!という
スタンスで連続投入され続けてきたわけですが、FP1、FP3 は機能強化色が強く、
FP2 では修正パッチ色が強かったと思います。
ですから FP4 は、FP1 にとっての FP2 のように、FP3 にとっての修正パッチの
集大成版という位置付けなのだと思います。(FP4 β版を触っての私の印象です)

ということで、FP4 で、各モジュールの名前がまたまた変わるなんて〜ことは
今のところなさそうですので、ご心配には及ばないかと思いますよ。


70 :snort:03/03/13 11:32
    ここの
サ ポ セ ン の 奴 ら 
   カナーリのヴァカ
  な の れ す

もっと教育汁!

71 :1 :03/03/16 22:03
 
>>65 さん

残念ながら、SecurePlatform が売れているのか私には分かりません。
ご存知の方がいらっしゃったら教えて下さいませ。

ある程度普及するまでは… というか、IPSO が『導入し易い!』と、採用され
がちな!?状況下では、Red Hat Linux ベースの SecurePlatform が受け入れ
られる機会って、ますます減っているんじゃないでしょうか。


72 :名無しさん@お腹いっぱい。:03/03/17 02:56
NOKIAのIPシリーズにWindows突っ込んだツワモノ居ませんかぁ〜?
居たらレポートキボン(w

73 :名無しさん@お腹いっぱい。:03/03/18 23:04
遅ればせながらFP3 HotFix-2 age

74 :65:03/03/20 02:09
>>71 お返事ありがとう。
PC Unixが投入されるような場面と、NOKIAのミドル〜ハイエンド機種が
投入される場面とでは確かに条件が異なるかも。
後者ではUnixの運用も商用Unix主体だろうし、オープンソースソフトウェアってだけで
「サポートへの懸念」という例のお題目から無条件で忌避されてしまったり。
え、Linuxなの? とか言われそう。
そんなこと言ったらNOKIAの中の人はFreeBSDですよゴルァ?
さらに考えてみればSecurePlatformはまるごとCheckPointサポート対象なわけで、
おそらくサポート環境はNOKIAと変わらない。
ただ、そういったことをいちいちユーザに説明する手間が著しく面倒ですな...
見た目が普通のPCサーバにしかなんないのもデメリット。
「アプライアンス」というありがたい魔法の言葉が使えないので。

まあ自分としてはRedHatって時点で激しく好みから外れるのだが。
純粋に好みの問題で、もののいい悪いではないんだけど。

75 :61:03/03/22 17:33
>>68
亀レスすまん
>NECのってExpress5800+Linuxですか? >61氏

Express5800+LinuxとCX5000(SUN鯖のOEM)+Solarisがある
あとなんのことかわからんが住基ネット対応モデルなんてのもある
どうやら機種は上記と同じらしい

76 :1 :03/03/31 02:10
 
FireWall-1 をよく利用されている方と偶然お話させていただける機会が
ありまして、その方がご存知のお客様のご利用形態を聞いてみますと…
v4.x とか… SP が最新のものでないとか…
多くはいらっしゃらないそう!?ですが、現実にいらっしゃるそうです。

FireWall-1 を使って少々検証を行ってみれば分かると思いますが、
日々、刻一刻と新しいアタック方法等が生み出されております昨今、
v4.x では対応しきれないと思われる点が、少なからずあると思います。

最新版へといきなりアップグレードして人柱になる必要は無いと思いますが、
少なくとも、最新版の一つ前あたりのバージョンにはアップグレードを試して、
どのようなセキュリティ強化機能が追加されているのか、一管理者として
知っておいた方が良いと、個人的には思っております。

上記の例で言いますと、現時点では FP3 が最新ですから、せめて FP2 を
使いたいものですね。
ですが、FP3 では SmartDefense という機能でセキュリティ強化が施されて
いるようですので、FP3 か FP4 を使ってみたいところですね。
わたしの場合には、検証してみて FP3 を使うことに決めまして、ですが少々
既知の問題も残っているようですので、FP4 がリリースされたらすぐに適用
する予定にしています。

といったところで、みなさんはこのような利用されているバージョンに関して、
どのようにお考えでしょうか!?


77 :名無しさん@お腹いっぱい。:03/03/31 23:35
>>76
安定稼動してナンボだからね。
あげる必要があるなら上げてみる。

VerUpは検証に検証を重ねて(人柱含)やっとこさ上げる感じ。

78 :名無しさん@お腹いっぱい。:03/04/02 12:51
>76

4.1→NGは仕様変更がたくさんあるので、NGにするといままでの通信に影響がでることがよくあります。
(ICMPリダイレクション、PoolNAT等)
なので既存の通信がちゃんと行えるかどうかの調査は必須ですね。

Smart DefenceはDropしてほしくないパケットまで落とされて困ることがよくあります。
設定もわかりにくいし、Smart Defenceに関してはあまり良い印象はないです。

77さんのいう通り、検証に検証を重ねてからでないと怖くて上げられないですね。
OSバージョンとのからみもあるのでLinuxなんかは大変だと思います。

79 :名無しさん@お腹いっぱい。:03/04/05 01:50
sec 板にこんなスレあったのか。
ユーザ層を考えるとむしろ network 板のほうがいいような気がするでつ。ここは
事実上ホームユーザがターゲットになっちゃってるんで。


80 :名無しさん@お腹いっぱい。:03/04/05 13:03
NOKIAのFirewall製品のスレはここですか?

81 :NGさわりたいでつ:03/04/06 01:37
ところで、FV931ってどうなんでそ。
VPN-1/FireWall-1 プレインストールで、RainWall-S 標準装備
98万円と書かれてるけど。

ttps://www.netsecurity.ne.jp/article/10/7736.html

NetScreen とかを意識した製品なんでしょうか?

82 :名無しさん@お腹いっぱい。:03/04/06 04:08
>81
さすがにVPN-1/FireWall-1のライセンスは別途じゃないでしょうか?

83 :1 :03/04/07 02:30
 
>>77 さん & >>78 さん

どうもご回答ありがとうございます。大変参考になりました!
特に、78さんのおっしゃっている SmartDefense は確かに謎が多いような…
ともあれ、FireWall-1 は最新バージョンを、特に FP3 以降を使われる方が
良いと思いますよ。

理由は、non-SYN packet 等を 同一 SrcIP,port から DstIP,port 等へ
何度か dummy packet 等も混ぜつつ、送信などなど検証お試し下さいませ。
ボヤかして言及しておりますのは、大人の事情と汲み取っていただければ…

>>79さん

ご指摘ありがとうございます。そのような背景があったのですね。
ですが、(network)ネットワーク板には既に「チェックポイント」スレッドが
あるようですし、FireWall-1 の技術的な話だけを細々と、身内が確認に来るか
ドキドキしながら(笑)展開させたかったことから、こちらに立てた次第です。

>>80 さん

「Nokia」ではなく、「FireWall-1」のスレッドと認識いただければよろしいの
ではないかと。1 に記載いたしましたお題目も参照していただければ幸いです。
でもまぁ、あまり堅苦しく考えているわけでもありませんので、お気軽に♪


84 :NGさわりたいでつ:03/04/09 04:35
>>82
FireWall-1のライセンスは別途でした。
ttp://www.asgent.co.jp/Products/Celestix/price_fv931.pdf

結局、それなりのお値段になるんですね・・・。

85 :くそ330:03/04/12 23:10
この板でボロクソに言われてるIP330ユーザです。

eth3がWAN、eth4がLAN、eth5がDMZで、DMZにおいたWebサーバから、LAN上のDB(PostgreSQL)
に接続できるようにしとります。
ところが、4.1までは全く問題なかったんですが、NGにageてから、WebサーバからDBに接続
できなくなるというトラブルが多発するようになりました。

最初はOKで、誰も使わなくなる夜になると発生する、という状態なので、コネクションの
数の問題では無いようなんです。どうもTCPセッションのタイムアウトか何かの問題の様な
気がしているんですが、同じような症状が出た方っていらっしゃいますか?

86 :/etc/overpw:03/04/12 23:21
>>84
まあNOKIAの安いモデル買うのと大して変わりないかも。
VRRPの代わりにRainWall入れたってとこですかな。

87 :名無しさん@お腹いっぱい。:03/04/13 00:15
>>85

とりあえずログみておかしなところでDropしてないか確認したら?

88 :NGさわりたいでつ:03/04/13 04:02
>>86
なるほど、価格的にはそんな感じですね。

性能はNOKIAよりも良さげな印象を受けているんですが、
まだあんまり売れてないんですかね〜。

89 :/etc/overpw:03/04/13 11:10
>>85
NGはFPいくつ? HotFixは当たっているのか?
あと87の言うようにログだね。
SpoofingなのかClean-upルールに引っかかってDropなのか、
Out-of-Stateなのか、はたまたAcceptなのか(笑
Webアプリケーション側やDB側のログは確認してみた?

…例のSmartDeffenceが織り成す不思議現象かもな。

>>88
まあなんだかんだ言ってカタログ性能より実績かと。
NOKIAはIP SwitchingにIP Clusteringという独自技術もあるしな。
どっちも買収したIpsilon NetworksとNetwork Alchemyの技術だそうだが。
IPSO3.7公開を待ってIP350買うべし。3.5.1FCSxはいまいちだから。
と、NOKIAの手先っぽい漏れなら推奨するわけですが。

          ∧_∧
    ∧_∧  (´<_`  ) 兄者、日曜日なのに営業必死だな。
   ( ´_ゝ`) /   ⌒i
   /   \     | |
  /    / ̄ ̄ ̄ ̄/ |
__(__ニつ/  DMZ  / .| .|____
    \/____/ (u ⊃


90 :くそ330:03/04/14 11:47
>>87
>>89
早速ログを確認してみました。
(言われるまで見ていないところが厨マルダシですが)

すると、
th_flags: 18;message_info: TCP packet out of state
PolicyName Standard
なるエラーがずらーーーーっと。なんじゃこりゃ?
テスト期間だったので、SrcもDstもぜーんぶAcceptにしっぱなしだった
のですが、これが問題なんでしょうか?
厨に救いの手をキボンヌ

91 :名無しさん@お腹いっぱい。:03/04/15 00:53
>>90

ほれ。
ここはサポセンじゃないんで、ヒントだけ。

ttps://support.checkpoint.com/public/idsearch.jsp?id=sk14316&QueryText=%28%28tcp+AND+packet+AND+out+AND+of+AND+state%29%29&resultStart=1

保守入っているなら、問い合わせりゃ即答えてくれそうなログですな。
自称厨は叩かれるので、がんばって勉強してから出直してください。


92 :/etc/overpw:03/04/15 22:56
ずばり、tcpセッションタイムアウトです。

          ∧_∧
    ∧_∧  (´<_`; ) 兄者は真顔で嘘言うからな。最近顧客に不評だぞ。
   ( ´_ゝ`) /   ⌒i
   /   \     | |
  /    / ̄ ̄ ̄ ̄/ |
__(__ニつ/ S-box / .| .|____
    \/____/ (u ⊃


93 :くそ330:03/04/17 09:32
>>91
>>92
むー、情報サンクソ。
つーことは、Firewall-1でDB-WebAP鯖間のコネクション
プーリングをしようとおもたら、SessionTimeoutの時間内に
コネクションの張り直しをしなくちゃいけないということで
しょうか?
こういう構成って一般的だと思うんですが、みなさんどうやって
解決してるんでしょうか?

94 :bloom:03/04/17 09:46
http://www2.leverage.jp/start/

95 :山崎渉:03/04/17 11:59
(^^)

96 :名無しさん@お腹いっぱい。:03/04/17 17:46
良スレage

97 :名無しさん@お腹いっぱい。:03/04/18 12:36
>>93

ちゃんとサポートに問い合わせた?

Grobal Propaties>>Stateful InspectionでOut of Stateのチェックをはずすか、
使用するポートが限られているのなら、そのサービスオブジェクトのプロパティ>>Advacedで
セッションタイムアウト時間を長く取るかすればいいんじゃないの?

ただし、この操作がどういう結果をもたらすかはちゃんと調べてからやらないと
場合によっては問題になることがあるかもね。
そこは自己責任で。

98 :NGさわりたいでつ:03/04/20 01:25
NGさわる事になりそうです。Solaris 上でですが。
板/スレ違いっぽいですが、詳しい方が多そうなので質問します。

皆さん、ファイアウォールのテストにはどんなツール使われていますか?
pen-test ML に丁度それらしいスレッドがあったので眺めていたんですが
firewalk
ftester
filterrules
nemesis 等、色々あるみたいですね。
今まで私は、hping 使ってました・・・。

ところで、Firewall Informer って日本でも買えるんでしょうか?
$5,000 というのが微妙ですが。

99 :NGさわりたいでつ:03/04/20 01:27
何をどうテストしたいのかによっても変わってきますね。
厨な質問してすいません。

100 :山崎渉:03/04/20 06:02
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

101 :名無しさん@お腹いっぱい。:03/04/23 03:49
ちょっと質問です。
こちら側がVPN-1/NG、対向がNetscreenやYAMAHA RTX1000といった環境で
インターネットVPNを張りたいのですが、実現出来た方っていらっしゃいます?


102 :bloom:03/04/23 04:23
http://homepage.mac.com/ayaya16/

103 :IPsec嫌い:03/04/25 02:45
>101

Netscreenとのつなぎ方ならここにあります。

https://support.checkpoint.com/public/idsearch.jsp?id=55.0.4222079.2607206&top=1&TopTen=true

Check Point製品等の一般的なIPsec相互接続設定の資料はここにもあります。

http://www.vpnc.org/InteropProfiles/

まあ、設定すればたいていのものはつながるから「実現」は簡単だろうけど、使えるかどうかは別問題。

どのぐらい使えるかは実構成のさまざまな状況を想定して検証してみないと。

私としては、IPsecで異機種接続の案件があったらとりあえず逃げの一手。半年後ぐらいに「月に一・二回切れる」とか言われて途方に暮れるのがいつものパターン。

104 :HFA-308:03/04/25 03:03
>>93

IBM DB2/AS 400とかだったりしません? DB。

MS SQLのODBCとかOracleとかだとクエリーごとにTCPを張り直すっぽいのでそういう話はあまり聞かない。DBの中身はあんまし詳しく内のでよくわからないのですが。

AS 400のTCP実装はUNIXとかWindowsとかにくらべてお行儀が悪い気がする。out of state関連の問題の近所にだいたいAS 400やTCP/IPに移植された元SNAアプリの影ありという気がする。

通信の必要が発生したときにコネクションを張って通信が終わったらコネクションを終了するというのがふつうのTCPだと思う。FTPやHTTPはまさにそう。

SNAみたいに常時通信路を保持するようなもの前提としたアプリケーションをTCPに持ってくるとちょっと毛色の違うものになる。

意図した通信が定常的にout of stateで阻止される状況というのはCheck PointのStateful Inspectionが想定しているTCPの動きではないということなのだとメーカーに近い人は言っていた。

まあ、現実にそういうものがあるんだから、もう少しいい機能をつけてくれてもいいと思うが。keep aliveみたいな仕組みとか。

105 :101:03/04/25 11:43
>>103

おおお!禿サンクスコ!
サポートに聞いても「できません」の一点張りだったので、あきらめかけてますた。
確かに使えるかどうか別問題、ってのはあるよね。
この前もNetscreenとCenturyのXRで謎のIPsec切断が相次いで、はまりかけたよ。
検証が大事だというのは禿同。それでもトライしちゃう俺。

106 :NG初挑戦:03/05/02 01:54
IP350(NG FP2) + SmartCenterを構築してて、
SmartCenter〜IP350が通信可能になった直後、
うっかりDashBoardを入れたPCからのアクセス以外
全て拒否のポリシーを入れてしまい、
以降まったく何もできなくなってしまいました。
IP350に入ってコマンドでポリシーいじろうとしても、
「管理サーバじゃないからダメ」とか言われるし・・・・。
手っ取り早く元に戻すにはどうすればよいでしょ?


107 :名無しさん@お腹いっぱい。:03/05/02 22:36
>106
fw unloadlocal

コマンドでポリシーいじるって?
dbedit?

108 :106:03/05/03 02:22
>107
ありがとうございました。できました。
ポリシーいじるというか、同じように
アンロードしようとしてたのですが、
target指定無=localhostと思い込んでて、単に
fw unload
とだけ打ってはじかれていたという・・・・。
「This is not a Management system. Aborting.」とか
言われたので、SmartCenterからじゃないと
操作できんのか??と思ってしまいました。
お騒がせいたしました。


109 :*:03/05/09 23:55
IPSOのCLI over HTTPって使っている人いる?
要はclishのことなのだろうか・・・

110 :107:03/05/15 01:38
>108

ん。そか。
fw unloadだとfwm unloadだから、GUI上からPolicy uninstallしてるのと同じだよ。
つまりfw loadとかfw unloadとかって、意図に反してfwm側(Management Server)側のコマンドなのねん。


111 :hoge:03/05/21 15:26
あげとかないと。

112 :山崎渉:03/05/22 01:58
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―

113 :hohi:03/05/28 16:04
FW-1を通してTELNETを使ってるけど
かならず、時間が経つとコネクションが切れる
(固まる!!)これはなぜ?

114 :名無しさん@お腹いっぱい。:03/05/28 16:46
FW-1を通してhttp://pc.2ch.net/test/read.cgi/sec/1044552574/を見てるけど
かならず、山崎渉がいる!
(しかもJR山崎駅(^^))これはなぜ?

115 ::03/05/31 04:34
>>113

>>11 ←これ読みましたか?(また別の問題かな?)

116 :名無しさん@お腹いっぱい。:03/05/31 08:14
Application Intelligenceあげ。
そんな新機能誰も使わねーっていう自虐ネタなのか、
CheckPoint Japanの営業はバグフィクスを強調していたさ。
…じゃあFP3まではなんだったのよ。
つーかなんでHFA308をHoiFix-2として公開しなかったのよ。

117 :FP4:03/06/01 14:56
HFA-310リリース上げ

FP3 HF3を激しくキボンヌ。中途半端なパッチばっかり出すな。

118 :名無しさん@お腹いっぱい。:03/06/01 22:29
>>117
HFA-310は自分で調べるとして・・・
名前のFP4は?
もうリリース予定とかあるんでしょか。


119 :1 :03/06/02 04:39
 
ごぶさたしております、1 でございます。
先週あたりから急に暑くなって参りましたが、皆さんいかがお過ごしでしょうか。

ここは、サポートセンター状態が続いておりましたので ROM っておりました。
FireWall-1 を使用しているということは、どこぞの会社なりと保守契約されて
いると認識しておりますが、該当しない方や、使えないサポセンが多いという
ことなのでしょうか。

>>116さん >>117(FP4)さん >>118さん

ようやく FP3 Hotfix-3 こと!? FP4 こと!?
「FireWall-1 NG with Application Intelligence」がリリースされますね。

詳細はオフィシャルホームページを参照していただくとして、素の FP3 での
VPN 通信の安定性が・・・でしたので、今回の FW-1 NG 通称 AI (FP4) で
そこらへんの bugfix が完了して、安定していることを祈るばかりですねぇ。

あと、Motif GUI も・・・
使わなきゃよい話なのですが、使われている方が多いようですので(とおい目)
ベータ版でテストしている限りでは、Motif GUI の安定度は UP しているように
見受けられますが、Motif な環境の皆さんのお手元ではいかがでしょうか?

それでは、また、対 FW-1 NG AI 用 Hotfix-1 リリースにてお会いしましょう!


120 :csp:03/06/02 05:45
>それでは、また、対 FW-1 NG AI 用 Hotfix-1 リリースにてお会いしましょう!
自虐ネタでつか。
HFAにもならない内緒のパッチ出すのやめてください。おながいします。
っていうかバグ隠し過ぎでつ。

121 :1 :03/06/04 02:44
 
>120 csp さん

自分は、決して!!開発元の人間ではありませんので、我慢の限界を超えたバグ
オンパレード春の祭典!といった感じに怒り心頭なので、ツッコンでみた結果の
一文とお考えいただければ幸いです。

SecureKnowledge でも、去年から調査中などなどといった未解決の現象が見受け
られますが、ようやくカタチになってきたので FP シリーズから脱却した名前を
つけて、ちょっと胸を張って売れるぞ!売りたいぞ!といった気概を感じます。

と、全然フォローになっておりませんが(苦笑)、まぁ AI のメディアをプレス
してしまったと思われる時点以降にも bug らしき現象が見つかっているようです
ので、FW-1 NG AI Hotfix-1 もしくは AI HFA がリリースされるのは定説かと
思いますが・・・ 果たして真相やいかに!?

話は変わりまして、ビデオ会議システムを導入されている環境に NG (FP3) を
設置すると TCP out of state に遭遇している方が少なからずいらっしゃるよう
なのですが、そんなに変わったパケットを投げているのでしょうか。

どなたか、パケットを拾われた方がいらっしゃいましたらお教えくださいませ。
m(_ _)m


122 :_:03/06/04 03:03
http://homepage.mac.com/hiroyuki43/hankaku02.html

123 :直リン:03/06/04 03:10
http://homepage.mac.com/yuuka20/

124 :名無しさん@お腹いっぱい。:03/06/06 22:50
>121

それ、HFA-310でどうでつかね?
H.323関連は正直うざいでつ。
詳細は省きますがキャプチャしてみると笑えます。
ありえないってくらい挙動不審。

125 :1 :03/06/08 00:07
 
>> 124 さん

わたしが聞いた限りでは、例えばですが、まったく同じ Source port からほぼ
同時に SYN が送られていたりしまして、なんかもうとても TCP/IP 的に悲しく
なる挙動をしているアプリケーションがありました。

なので HFA-310 を適用といいますよりも、TCP session/end timeout あたりを
『こんなに短くても大丈夫ダスか?(滝汗)』といった程に、調整して対処した
ような、しなかったような・・・

ところで、H.323 関連と言えば Netmeeting でも利用されておりますので、
Gatekeeper/Gateway 無しの環境の中、Netmeeting がインストールされた端末
同士で直接 VoIP を実施する検証を行いましたところ、片方だけ聞こえたりと
いった結果に終わってしまいました。(;^_^A

検証環境が、ひょっとしたら FP2 だったかもしれない点と、忙しいときの余暇を
利用しての一発特攻検証だったものですから、パケットの採取は行えませんでした
ので断定は出来ませんが、『そもそもなぜに VoIP で TCP なんだ? SIP が利用
されている製品を使いませう・・・』と、感じさせる検証結果でした。

まぁ、上のは一例ですが、実のところは利用しているアプリケーションにこそ問題が
あるにも関わらず、FireWall-1 がワルモノにされることが多々ある(まぁ、bug が
原因の障害が少なからずあるのも事実ですが・・・)ことが、FireWall-1 の哀愁を
さらに Level up させているような気がしてならない、今日このごろです。


126 :名無しさん@お腹いっぱい。:03/06/08 07:28
「End Timeoutを○○秒にしたら繋がりました!」
とか、後味悪いよね。解決した気にならない。
TCP/UDP/ICMPのセッションテーブルの保持期間縮めるとかもそう。
「5秒までしか縮まんねーよ…。だからそういう感じの運用でお願い」とか。
こんなんチューニングとは言わん(笑
客先でout of stateのロギング外したりしてるの見るのも、そこはかとなく悲哀。

127 :名無しさん@お腹いっぱい。:03/06/10 16:10
ver4.0からNGにしようと思ってるんだけど、
4.0→4.1→NGって経緯を辿るのが良いのかな?
ちなみにDQNなIP330です。

128 :v:03/06/10 16:44
☆クリックで救える○マ○コがあるらしい!!☆
http://yahooo.s2.x-beat.com/linkvp/linkvp.html

129 :無料動画直リン:03/06/10 17:10
http://homepage.mac.com/norika27/

130 :K6-2/266:03/06/11 01:23
4.0の頃の330だとメモリ64Mbyteだったりしませんか?NGはアプリとして重いので最低256は欲しいです。それでもポリシーコンパイルとか激重。確か128Mbyte未満のメモリだとまともにサポートされてないはず。

現状だと、いったん4.1SP6+IPSO3.5まであげた後pre_upgrade_verifier実行して設定の微調整をした後NG FP3をcomprehensive install wrapperでバージョンアップするのがおすすめ。アップグレードパスは各バージョンのリリースノートを確認すること。

シンプルなフィルター設定だけだと手順通りにバージョンアップできると思うけど、VPNとか認証ルールとか外部アプリとの連携とか二重化とかあるなら、素人は手を出さない方がよい。悪いことは言わない。
あと、ユーザー定義のサービスオブジェクトが多いときはバージョンアップ後「match for any」に注意。

131 :名無しさん@お腹いっぱい。:03/06/14 15:47
今4.0で運用してるんならアップグレードする動機に欠けないかい?
今月末で4.1のサポート切れなんで、4.1からの駆け込み移行なら分かるんだが。

もっとも、今の時点で4.1からアップグレードしてないユーザは、
あんまりタイムリミットに間に合わす気もないようだ。
SIer的にはどうなんだろうね。
どうせ枯れてるからってことで独自サポートしてくのかな?

132 :130:03/06/15 01:28
>>131

新しいプロトコルを通したり、新しい設定をがんがん追加したりする予定が無く安定して動いているなら、4.1で運用を続ける方がNGにバージョンアップするよりリスクが低いと思う。

SIerも未知の不具合でもなければ4.1の質問に答えるのでは?NGへのアップグレードの難しさは骨身にしみているだろうし。

先頃リリースされた「Application Intelligence」のほうがFP3よりもアップグレード時の設定コンバートの問題が改良されてそう。何せ、新機能いろいろあるけどCP Japanは「一番のウリはBugFix、数百単位のバグを治した」って吹いて回っているらしいし。

NT 4.0のサポート期限迫っているからといって、あわててActive Directryに移行したり、Windows2000へのアップグレードインストールするか?っていう命題に例えて説明すると共感してくれる人多し。

133 :あぼーん:あぼーん
あぼーん

134 :131:03/06/15 23:02
>>132

まあ、そうなんだろうね。VoIPでも使う気にならなければ…

しかし新機能は、某問題から国内では運用に支障がありそうだ。
「Application Intelligence」を大々的に売りにはできまい。
バグフィクスって言ってるのも苦肉の策なような気がするよ。
「今度のは安定版です!」なんて、FP2のときも3のときも言ってたよ。
NTの例えはいい例えだね。

ハァ? お客様、4.1はもう金輪際サポートしませんが何か?
          ∧_∧
    ∧_∧  (´<_`  ) OK。アップグレード見積りFAX中。
   ( ´_ゝ`) /   ⌒i
   /   \     | |
  /    / ̄ ̄ ̄ ̄/ |
__(__ニつ/ SIer  / .| .|____
    \/____/ (u ⊃


…なんて言えないよな。
少なくともスポット対応は求められるし、せざるを得ないんだろうな。

135 :1 :03/06/16 20:47
 
>> このスレッドをご覧になっている AI な皆々様へ

AI で SmartDefense を Update する際にアカウントの入力を求められますが、
わたしの AI 環境では、有効なはずのアカウントを入力しても弾かれました。
特に、Motif GUI 上からの Update は『なんじゃこりゃ!?』と思いましたので、
皆々様の検証環境での結果をお教えいただけましたら幸いです。


136 :名無しさん@お腹いっぱい。:03/06/17 00:45
AIなんてまだ手に入ってねーYo!ヽ(`Д´)ノ
うぅ、テストしてみたい・・・

137 :1 :03/06/20 00:13
 
>> 136 さん

CCSx チックなアカウントがあれば、公式サイトからダウンロードできると
思うのですが、いかがでしょうか?


ところで、 >>135 で検証しておりました SmartDefense の Update は、
何とか有効なアカウントを使うことで弾かれないようになりました。
Motif GUI では試しませんでしたが・・・

というか、もういらないでしょ、Motif 版 GUI。


138 :名無しさん@お腹いっぱい。:03/06/21 14:29
FP3からSolaris8とか9しか対応してないんだよね
もう次のハードはSun系列止めようと思ってる

139 :名無しさん@お腹いっぱい。:03/06/23 01:01
うーん。IPSO3.7待ちなんだけど3.6FCS7とか出ちゃってるし、まだだめぽ?
Solaris9で入れてみるかな、AI。。。

140 :1 :03/06/24 01:12
 
FireWall-1 のサポートプラットフォームとして AIX と HP は風前のともし火
ですねぇ。IPSO、Solaris、Linux、Windows がメインなんでしょうけれども、
SecurePlatform のシンプルさも、まぁそれはそれでイイかと思う午後でした。

AI にて、SmartView Tracker に出力されるログの表示に凝っている場合でなく、
bugfix に専念してくれ・・・ とも思った午後でした。

それではまた、FireWall-1 NG with AI HFA-401 にてお会いしましょう♪


141 :名無しさん@お腹いっぱい。:03/06/24 02:25
HFA-313あげ。どこまで続くんだろう、この戦争。。。

142 :名無しさん@お腹いっぱい。:03/06/24 15:49
VPN Firewall-1 V4.1を使用しております。

たまに次のようなエラーメッセージがLinuxのログイン画面に現れるのですが。

FW-1:lost 40 debug messages
FW-1:too many internal hosts(68)detected(172.*.*.*,192.168.*.*,......)
IPアドレスには内外のものがずらずらと。。

これ何を意味しているものなのでしょうか?

143 :名無しさん@お腹いっぱい。:03/06/24 18:24
それはライセンスオーバーの表示です。
サイト規模に応じた適切なライセンス買ってね。おながいします。

144 :名無しさん@お腹いっぱい。:03/06/24 23:47
たしかそれ出るとポリシーの変更できなくなるんだっけ?

145 :○anonymous:03/06/25 01:23
>144

できるよ。
単に、このMSGのログ出力に処理が食われて
通信が重くなり、、ポリシーエディターの接続が切れたりするだけ。。

ライセンスオーバーしたつもりでなくても、、(実際にしてなくても)
少ないライセンスの際に、保守業者のエンジニアなどが、入れ替わり
立ち代りノートパソコンなどをつないだりしていると、、、
MACアドレス学習により、ライセンスオーバーになったりします。

当然、社員が持ち込みノートを使う場合も注意が必要です。
(機種変更などがあったりした際も注意)

これまで問題なくて、突然発生したなら、上記原因にあてはまっているか
どうか確認してください

146 :HFA-313???:03/06/25 01:39
HFA-313???まだ見ぬパッチ。FP3のHFA戦争はHotfix-3のリリースとともに集結す・・・なんて日はくるんだろか? 4.1 SP6+Hotfixでまったりしていた方がいいような気もする。

>>142

V4.1のどっかのビルドでライセンスを数え間違えるバグがあったような。

192.168.1.1ってアドレスがあったら、1.1.168.192っていうアドレスもなぜかカウントされてダブルカウントになるって言うすばらしいやつ。

数え間違えて無くてもAPIPAの169.254.xxx.xxxとかいっぱいあるかも。DHCPに注意。

消し方

http://www.phoneboy.com/fom-serve/cache/43.html

>>145

MACアドレスって学習するんでしたっけ。IPアドレスベースだったと思いますが。

もちろんGWを通過するかどうかにかかわらずブロードキャストでも何でも数えます。

147 :名無しさん@お腹いっぱい。:03/06/25 09:21
Firewall-1のOutboundについて
VPN Firewall-1 V4.1 Build41862を使用しております。
Firewallが外部にOutbound6月以降たまにRule0でOutboundするようになってしまいました。

OutBound時の抜粋です。宛先IPアドレス、ポートには統一性がありません。

Action,Service,Source,Destination,Rule,Source_Port

socks
------------------------------------------
reject, socks, 211.197.*.*, FW, 17, 3662
accept, 3662, FW, 211.197.*.*, 0, socks
reject, socks, 211.197.*.*, Web, 17, 3667
reject, socks, 211.197.*.*, Web2, 17, 3693


SSH
-----------------------------------------
reject, SSH, 12.42.*.*, Web, 17, 4002
reject, SSH, 12.42.*.*, FW, 17, 4001
reject, SSH, 12.42.*.*, Web2, 17, 4003
drop, 4003, Web2, 12.42.*.*, 0, SSH
accept, 4001, FW, 12.42.*.*, 0, SSH
drop, 4002, Web, 12.42.*.*, 0, SSH


これらは何が原因でしょうか?対処法などあれば教えていただけませんでしょうか。

148 :142=147:03/06/25 09:25
一度routedを起動してからこの現象が起こっています。
すぐに停止したあともおこっております。

>>143
有難うございました。ライセンスの数もクライアント数も把握できてないもので・・・

149 :名無しさん@お腹いっぱい。:03/06/26 02:11
そういうのは保守に投げや。細かい情報が出せない時点で切り分け無理だしね。

150 :cpwd:03/06/28 10:53
SecuRemote for Redhat Linux と IPSO3.7&AIリリースあげ


151 :(/o\):03/06/28 10:57
http://www.k-514.com/sample/sample.html
拾ったサンプルムービー集めたよ

152 :名無しさん@お腹いっぱい。:03/06/28 16:37
>149
>VPN Firewall-1 V4.1 Build41862を使用しております。

もうこの時点で保守にRejectされる

153 :HFA大好き(w:03/06/29 14:03
>>147

そのテキストで貼り付けたログにタイムスタンプをつけて貼って頂くと説明ができそうな気がします。

>>150

SecuRemote for 赤帽など、トラブったらサポート窓口が切り分けできるのかと問いつめたい。

154 :名無しさん@お腹いっぱい。:03/07/01 16:27
さて、とうとうv4.1のサポートが終了なわけだが。

155 :142=147:03/07/01 16:43
保守に入ってるのかどうか知らなかったのですが、どうやら入ってたようなので
保守に投げてみました。

>>153

タイムスタンプ付のものです。前後のアクセスは同時刻です。

socks
--------------------------------------------------------------------------

"14Jun2003" "10:23:25" "eth0" "reject" "socks" "211.*.*.209" "Firewall" "tcp" "17" "3662"
"14Jun2003" "10:23:25" "eth0" "accept" "3662" "Firewall" "211.*.*.209" "tcp" "0" "socks"
"14Jun2003" "10:23:25" "eth0" "reject" "socks" "211.*.*.209" "Web1" "tcp" "17" "3667"
"14Jun2003" "10:23:25" "eth0" "reject" "socks" "211.*.*.209" "Web2" "tcp" "17" "3693"


SSH
--------------------------------------------------------------------------

"23Jun2003" " 6:53:34" "eth0" "reject" "SSH" "12.*.*.51" "Web" "tcp" "17" "4002"
"23Jun2003" " 6:53:34" "eth0" "reject" "SSH" "12.*.*.51" "Firewall" "tcp" "17" "4001"
"23Jun2003" " 6:53:34" "eth0" "reject" "SSH" "12.*.*.51" "Web2" "tcp" "17" "4003"
"23Jun2003" " 6:53:34" "eth0" "drop" "4003" "Web2" "12.*.*.51" "tcp" "0" "SSH"
"23Jun2003" " 6:53:34" "eth0" "accept" "4001" "Firewall" "12.*.*.51" "tcp" "0" "SSH"
"23Jun2003" " 6:53:34" "eth0" "drop" "4002" "Web" "12.*.*.51" "tcp" "0" "SSH"

>>154
サポート終了マヂですか!サポート活用しようと思った矢先に・・・


156 :1 :03/07/03 22:10
 
おぃおぃ、HFA-315 を見かけたぞ!
いったいぜんたい、FP3 はなんなんだか・・・ ┓( ´ー`)┏


157 :153:03/07/04 01:13
>>156

HFA-315っすか・・・今のタイミングでHotfixってことはApplication InteligenceことR54ことFP4で修正された内容に含まれているのでしょうか?その段階で既知とかならいいのですが。

4.1のサポートが切れた今、安定バージョンはどれ?

>>155

難しいな、これ。

同時刻ってことは・・・、なんだろ。

Rule 0だと理由によっては"Info"欄に"Unknown Established TCP packet"って表示されたりしますが・・・"Info"欄が空欄であればたいていはAntiSpoofing系の理由ですが。

NATはしてますか? Ver 4.1とNATとAntiSpoofingを組み合わせるとたまにNATパケットがAntiSpoofingで落とされたりしますが。NATやAntiSpoofingは有効ですか?

PropertyのLog Inplied Rulesが有効で"FireWall"をソースとするパケットがacceptされているのは、PropertyのGW自身からのパケットをすべて許可というルールのせいで許可されているのかもしれません。

あとは、サポートが親身になってくれればいいですが、7月になったので「4.1はサポート外」の一言でRejectされるかも。

158 :142=147:03/07/04 12:04
>>157

ありがとうございます。

FirewallからのOutboudで
acceptされてるInfo欄は"len 40"などが記載されております。


Web、Web2サーバーからのOutboundは
dropされInfo欄は"unknown established TCP packet"
NATは有効になっております。


AntiSpoofingの設定は
Valid Addresses :Any
Spoof Tracking :none
ですので、して無いようです。
(してないのも問題のようですが、DMZもある為変更していいものかどうか。)


Log Inplied Rulesは有効です。

Implied Rulesは今まで目にすることが無かったのですが
表示させたところ、それらしきルールがありました。

Source / Destination / Service / Action / Install On / Comment
FW1 Module / Any / Any / accept / Gateways / Enable Outgoing Packets

このルールが怪しいですかね?

PS.サポートからは未だに回答が無いです。。。

159 :142=147:03/07/05 10:57
PropertyのGW自身からのパケットをすべて許可というルールを昨日に止めました。
直後はWebページの閲覧も出来てこれでOKと思ってたら、
今日Webページが見れなくなってしまいますた。
FirewallにDNSが入っているため名前解決ができない状況に。
月曜日に元に戻さないと。

OutboudはSP4のままだから原因なのかと思ったり。



160 :1 :03/07/05 11:20
 
>>142 さん =147=148=155=158=159=つづくのでせぅか・・・(滝汗)

"unknown established TCP packet" のログが今も出力されているようでしたら、
サポート会社へ、SecureKnowledge の以下の Solution ID 番号の情報を教えて
欲しいと要望してみてはいかがでしょうか。

skI1789 / skI1788 / sk4176 / sk3000 / 55.0.6310295.2660516 / skI4308
/ sk8148 / sk8154 / sk11648 / 10043.0.10118518.2853110

この内のどれかが、142さんの環境で発生している解決策として引っかかることを
祈っております。

ところで、このスレッドには、FireWall-1 に詳しい方、実際にサポートや SI業を
営んでいる方が数人いらっしゃるようで、おやさしい方々も多く、対応されている
ようですが、FireWall-1 について本格的な運用や技術に関する討論をしたくこの
スレッドを立てた次第 >>1 ですので、サポートをお受けになりたいようでしたら、
このスレッドとは別に、「FireWall-1 サポート専用スレッド」を立てていただけ
ればよいかと思いますが、いかがでしょうか?

当スレッドが、サポートに関するやり取りで埋まっていく状況を見ておりますと、
個人的にモノ悲しくなって参りますので、差し出がましく勝手な意見で恐縮では
ありますが、ご理解いただければ幸いです。


161 :1 :03/07/05 11:23
 
>>153 HFA大好きさん

R54 こと FP4 こと AI と、NG FP3 HFA-最新 を比べると、現時点ではそれぞれ
統合されていない(排他の)関係になっていて、今のところ HFA-最新 の方が
bugfix 率が高いような気がしないでもありません。

NG FP3 で出来るだけウミをさらけ出させて、それらウミを修正して、んでもって、
そうした NG P3 であった不具合と修正した内容などを NG AI に流用して、より
洗練された NG AI 用の Hotfix-1 をリリースする計画があるように思えてなら
ないのですが、本当にそうだったらやれやれですねぇ。┓( ´ー`)┏


162 :142=147:03/07/05 19:40
>>160
すみません

Firewall-1サポート専用スレッドを立ててみます。

163 :cpwd:03/07/05 22:16
どうでもいいことかもしれませんが、
Provider-1とか、SmartViewReporterとかってまともに使えるんでしょうか?
引き合いがないので検証すらしていませんが、FW-1&VPN-1以外のプロダクト使っているところは見たことないです・・・

あと、IPSO3.7よりIP350 or IP380が対応機種に入りましたね。
IP350 or IP380用のIPSO3.6は出ないのか・・・


164 :○anonymous:03/07/06 02:13
>163

ベンダー向け説明会で、CP社自身が、
「Provider-1では皆様にご迷惑をおかけしております」という台詞を
冒頭でのたまって会場が爆笑の渦になる、、

という回答で、どうでしょうか?


165 :1 :03/07/09 23:54
 
>> 164 ○anonymous さん

本当にありえそうな話のように思える時点で終わっておりますでしょうか・・・
ネタとしては、悔しいですがおもしろいですね(笑)


それはさておき、CVP Server との連携を試してみて、色んなところがしっくり
いかなかったことってありませんでしょうか?

当方の環境でもうまくいかない、というよりも、正常に回らない原因がさっぱり
分からないことがありまして、どうしてだろうと思っちょりましたら、某 CVP
Server をリリースしている会社のエンジニアが曰く、
「CVP? ・・・ やめときなさい!」ということで、納得してしまいました。


166 :○anonymous:03/07/10 00:00
>165

ネタではなく事実なのですが(滝汗)

CVP?・・・やめときなはれ、、態々使わなくても同様の動作は可能
使うと、トラブル可能性が一桁は上がるから、、、無意味。



167 :○anonymous:03/07/10 00:03
>166

CPのセミナー会場での、Provider-1のプレゼンテーションの冒頭の
挨拶で、会場が爆笑したのを、実際に経験した方が、他にもこれを
見ているような気がしますが。。


168 :cpwd:03/07/10 13:19
>>164

納得です。というかやはりそうかという感じですね。

>>165

CVPサーバを導入&VerUpするときは必ずトラブります。
最近はバージョンがあがるたびに退化しているような気さえしてきました。
一度導入すると別のソリューションに変えるのが大変なのでほんとやめたほうが・・・


169 :1 :03/07/11 01:53
 
>>166-168 ○anonymousさん、cpwdさん

早速 CVP 関連のお熱いコメントを頂戴いたしまして、ありがとうございます!
同じような悩みを抱える仲間がいると思うだけで、心強くなります!!

書き忘れておりましたが、OPSEC (www.opsec.com) にも曖昧なところがあって、
CVP Server のどのバージョンと、FireWall-1 NG のどの FP との連携が認定
されているのか、といったところが曖昧だったりした記憶があります。

ということで確認の意味を込めて、ついさっき公式 OPSEC サイトで試しに 某 CVP
Server と OPSEC 連携動作が承認されている FireWall-1 のバージョンを検索して
みましたところ、

Certified for use with:
Check Point Next Generation and Check Point 2000

以上のように、NG なら、どのような FP でも AI でも連携が認められているように
読み取れる記載がありましたが、以前にも同じような記載があってよくよく確認して
みると、連携可能な FP がウラで厳格に指定されていたことがありましたので、
この情報もキチンと確認してみたら「実は違うんですよねぇ♪」な〜んてことが
ありそうですねぇ。(とおい目)

それにしても・・・ Provider-1 のはネタじゃなかったのですね(号泣)
その事実を聞きますと、実際に Provider-1 を使って管理している会社さんには、
なんとお声をおかけしてよいものやら。(さらに とおい目)


170 :○anonymous:03/07/11 11:26
>169

某H情報システムさんなんかは、Provider-1を導入してしまった
お客様(自分で薦めたから自業自得?)の管理のために
内製プログラムを用意して、さらに専属の管理SEチームが
日々屍モードのようですね


171 :1 :03/07/14 00:07
 
>>170 ○anonymous さん

Provider-1 の影に、そんな大変な状況があったのですね!
FireWall-1 の FP レベルを UP する (NG AI をリリースする) 余力があるの
でしたら、既存製品の安定化に注力して欲しいものですねぇ。> Check Point社


それはそ〜と、久しぶりに FireWall-1 の技術話ですが(苦笑)、NG AI から
搭載された Storm Center (Module) という、これまたやっかいそうなオマケ
機能ですが、評価された方はいらっしゃいますでしょうか!?

当方の環境で評価いたしましたところ、確かに該当するサイトへのアクセスが
制御されたりして、それなりに働いてくれそうな気もしますが、実際の運用で
正常に機能してくれるのかは『確かめるには恐ろしすぎる!!』といったところ
でしょうか。

ともあれ、NG with AI HFA-401 が早くリリースされますように!


172 :山崎 渉:03/07/15 11:06

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄

173 :教えてくださいませ:03/07/19 02:37
突然ですが初心者です。
試験は講習をうけないと受験できないのでしょうか?
また、どんな資格がありますでしょうか?



174 :名無しさん@お腹いっぱい。:03/07/22 17:43
>173

これか? FireWall管理者にとって必須だそうだ。
http://www.tfd.metro.tokyo.jp/sk/

175 :名無しさん@お腹いっぱい。:03/07/22 20:30
>>174
つまらんよ

どうせおタクっぽいおやじだろうな

176 :○anonymous:03/07/23 02:48
>173

 そんな質問してるようでは

1)講習を受けなくては合格できないだろう
2)合格して資格をとっても、何の役にも立たないだろう


 CCSE取ってても、基本ポリシー設計すらまともにできない
エンジニアは山ほどいます。。

 ただしCP社との提携を結ぶために
ライセンス取得者の「数合わせ」には必要とされています。(笑)

 これは、C社とかO社とかのライセンスと同じ方式ですね。

1)試験で儲かる
2)講習会で儲かる
3)サポートは、下請け(提携会社)に任せられるので儲かる
4)いかにも大した資格であるかのようなはったりがエンドユーザに利く(場合がある)
5)その代わり代理店は、自分のところのミスを、メーカが「誤魔化し」に協力してくれる



177 :名無しさん@お腹いっぱい。:03/07/23 05:13
>>176
良い事尽くめじゃないの。

178 :○anonymous:03/07/23 14:23
>177

CP社にとっては、、ね。(笑)
損をするのは、エンドユーザばかりなり。。


179 :名無しさん@お腹いっぱい。:03/07/25 00:05
CPなんぞてきとーに資格とっとけばよし!
いまのうちがおいしーぞ おすすめじゃ!

180 :名無しさん@お腹いっぱい。:03/07/27 17:42
age

181 :名無しさん@お腹いっぱい。:03/07/28 18:32
>176

5) が激しく重要だな。

182 :名無しさん@お腹いっぱい。:03/07/31 18:49
age

183 :名無しさん@お腹いっぱい。:03/08/02 03:12
まだ4.1使ってるとこどれくらいあるの?

184 :ぼるじょあ ◆yBEncckFOU :03/08/02 04:47
     ∧_∧  ∧_∧
ピュ.ー (  ・3・) (  ^^ ) <これからも僕たちを応援して下さいね(^^)。
  =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
  = ◎――――――◎                      山崎渉&ぼるじょあ

185 :cpwd:03/08/03 16:47
>>183

結構あります。

186 :fwm.elg:03/08/04 00:45
>>183

ええ、あげたくてもあげられない所も含め、まだまだあります。

最近リリースされたNG with Application InteligenceのUpgrade Guideを見るとNG FP3以前のCheck Pointからのアップグレードに当たっての技術的な情報提供の杜撰さを感じます。特にVPNな方、これを熟読すればリスクがだいぶ減りますよ。

まあ、全部読んでもやってみなきゃわかんないですが。

187 :名無しさん@お腹いっぱい。:03/08/04 02:51
実際のところ、AIでもってヤバい目に遭った人、います?
VPNも使ってない、比較的素直な構成なら問題も出ないかな・・・。
FP3からあげる予定。


188 :名無しさん@お腹いっぱい。:03/08/04 08:13
勇者発見ーー。
素直な構成ならさすがに問題は出ないでしょ。たぶん・・・。

漏れとしてはセキュリティサーバ使用時の動作レポートを希望。

189 :cpwd:03/08/12 00:21
セキュアプラットフォーム使っているところ見たことないが、
特に問題なく動いているんだろうか・・・

190 :fwd:03/08/13 02:17
>>189
わりかし動いてるんじゃない。知らんけど。
それより ClusterXL で負荷分散とか運用している奴いないのか。
まともに動けば面白そうなんだが。

191 :HFA:03/08/13 22:51
>>187

素直な構成なら、あんまし問題出ないと思いますが、AIリリース以後に出たHFA-31Xの修正項目にはAIでは未修整(パッチもなし)というのがあるらしいです。

あたしはAI用Hotfix待ち。

192 :山崎 渉:03/08/15 22:35
    (⌒V⌒)
   │ ^ ^ │<これからも僕を応援して下さいね(^^)。
  ⊂|    |つ
   (_)(_)                      山崎パン

193 :名無しさん@お腹いっぱい。:03/08/19 23:55
156-210.3 Check Point Certified Security Administrator vNG
156-210.4 Check Point Certified Security Administrator NG, Management I

この2つってどう違うのでしょうか?
Managementは英語のみだけど英語はそこそこできるのでどちらかを受けたいのですが
内容の違いをおしえていただけますか?

194 :名無しさん@お腹いっぱい。:03/08/21 23:20
もうSP3になったの???

195 : ◆JeYFCvvdow :03/08/23 14:30
>>189
評価版が自宅で動いていますが、特に問題なさげです。
ただ、どういうわけか、IPSpoofingの設定でInternalが
グレイアウトしています。ライセンスの問題か漏れの設定がドキュソなのか・・・。

>>193
156-210.3はCCSA FP3コース。156-210.4はAIで英語のみ。

196 :名無しさん@お腹いっぱい。:03/08/28 02:18
autoARP機能って信用して良い?

197 :名無しさん@お腹いっぱい:03/08/28 02:28
>196

auto何チャラって、信用できるものってあるの?


198 :名無しさん@お腹いっぱい。:03/08/28 02:51
>>197
愚問だったね。すまん

199 :cpwd:03/08/29 00:39
NOKIA + NG AI & 冗長化構成で一部不具合が発生している模様。
おとなしくHF待つか・・・

200 :名無しさん@お腹いっぱい。:03/08/29 03:23
>>199
なんだろうねぇ、
この「あ〜、やっぱりね」感は...。
扱う前は「こんだけ高いのになんだそりゃ!?」って感じだったけど、
もう、最近は普通に感じるよ。


201 : ◆JeYFCvvdow :03/09/02 07:56
>>199
その構成で、telnetとICMPだけがNATで上手く通らないという現象にあいますた。
で、グローバルアドレス"だけ"を付けたobjectを作り、そいつをルールに
登録すると動きました。
他のhttpやsmtpはちゃんと通ったのに、納得がいきませんでした。

202 :cpha:03/09/06 12:16
>>201

NATルールにそのオブジェクト入れたの?

203 : ◆JeYFCvvdow :03/09/07 22:49
>>202
そのオブジェクトというのは、グローバルアドレスだけをつけたobjectですね?
それは入れていません。
オブジェクトを作る際に、自動NATでNATルールができますよね?
次にPolicyルールを作成して、サービスにhttp,smtp,telnetを入れたのですよ。
そしたら、telnetだけが通らない。
# 全部通らないのだったら納得できるのですがね。
仕方ないので、グローバルアドレスを付けたobject(ServerA)を作って
Any → ServerA telnet accept
というルールを作ったら動いたわけです。
ただ、この現象がAI+NOKIA+HAの構成でのみ起こる現象かどうかはわかりません。

204 :cpha:03/09/08 13:00
>>203

冗長構成でAutomatic ARPを使っているなら、仕様でまともに動かないとおもうんだけど、
つかってないよね?
ほかのサービスがOKだから問題はないか・・・


205 :名無しさん@お腹いっぱい。:03/09/25 14:05
保全

206 : ◆JeYFCvvdow :03/10/04 15:48
この前CCSAを取り、ロゴのダウンロードをしたのですが、
CCMSEのロゴのページにアクセスできちゃいますた・・・。
もらっても、いいのだろうか?(藁

207 :ccse:03/10/05 01:09
ロゴなんてあるの?どこでダウンロードするか教えてくれ!

208 : ◆JeYFCvvdow :03/10/05 13:23
>>207
ttp://www.checkpoint.com/services/index.html

Certified Professionals Only
です。
ユーザー名とパスワードはCP社から送られてきているはずです。


209 :ccse:03/10/06 00:35
>208
どーもありがとう!

210 :1 :03/10/07 01:37
 
戦いつかれて、ご無沙汰の 1 でございます。

FireWall-1 NG AI でも、やはり HFA-401 がリリースされちまったわけですが、
HFA-3xx のリリースノートのバグフィックス欄を見返すたびに、FP3 で一所懸命
設定個所を見直したりしていた時間を返して欲しいものですね。いやはや...

それはさておき、ちまたではそろそろ NG AI へ移行する流れも見えてきたよう
でして、そこで皆さんに、「使ってみたい NG AI のこんな新機能!」といった
ところを伺いたく、同時に「この機能は使ったらかなりマズそうだよ AI!」と
いったところも討論してみたく思いますが、いかがでしょうか!?

それでは、言い出しっぺのわたしから参ります。

Stormなんちゃら〜という SmartDefense の一機能らしいのですが、この実用性と
その一方、『本当にちゃんと動くんだろうね?実際はどんな情報がやり取りされる
のかね?他の機能へ負荷(影響)はどのくらいかかるものなのかね?そもそもバグ
は含んではいないだろうね、まさかとは思うが...そのあたりハッキリとしてくれ
なければ困るよ、オッホン!』といった、上司やお客様からの攻撃には弱そうな
ところなど、『どうなんだよ、Stormなんちゃら〜機能!お前は大丈夫なのかよ!』
といったところを、わたしは小一時間問い詰めたくなります。ハイ。

一応、動くことは動き、適切なスキャンもしてくれることを確認してみたのですが、
『実環境へこれを導入しよう!』といった勇気はわたしにはありませんので、導入
された方がいらっしゃいましたら、感想を聞かせていただければ嬉しい限りです!


211 :困り中:03/10/07 12:31
どなたかNOKIAのIP-120を工場出荷時に戻す
方法をしりませんか?裏にresetボタンはあるのですが
いろいろ試したのですが、うまくいきません。

212 :まじめに聞いています。:03/10/07 19:25
SmartDefenseってなんでしょうか?
おしえてくださいませ。

ポリシーエディタの機能とかでしょうか?

213 :名無しさん@お腹いっぱい。:03/10/09 22:02
HFA317がリリースされた模様。
Sofaの新HWも出たね。

214 :HFA:03/10/10 00:58
>> 213

HFA-317は夏からあったと思うが。

http://blog.phoneboy.com/

によるとHFA-318/HFA-401が存在するらしいがCSPじゃないしまだ見たことない。

>>211

IPSOの設定初期化はログイン後/config/activeっていうシンボリックリンクを削除してリブート。
そもそもパスワードがわからなくてログインできないときは・・・シングルユーザーで立ち上げてごにょごにょでパスワードリカバリ(結構めんどくさい)パスワードリカバリしたいならそう聞いて。

FireWall-1の設定のはVoyagerで一度削除してnewpkgコマンドで入れ直すのが近道。

IP1x0は触ったこと無いけど、resetボタンはただのハードウェアリセットだと思う。

newpkgコマンドの使い方はリリースノートを参照。わかんなかったらサポートに聞くなり、googleするなり。

215 :HFA:03/10/10 01:18
>>212

メーカーのドキュメント嫁・・・って読んでもわかんないってことだよね。

NG FP3の新機能で、NG AIで機能拡張された。SmartDefence機能自体はFireWall-1のおまけで追加料金なしで使える。
SmartDefenceのSubscriptionを購入すると1年間、新しいSmartDefenceの機能拡張(新しい攻撃パターンなんかが追加されるらしい・買ってないからわからん)をCheck Pointからダウンロードして追加できる。

技術的に言うと

・従来のFireWall-1のState Inspectionでは検査していなかったような条件でのセキュリティー検査
・今までMalicious Attack Detectionと呼ばれていたログイベントに閾値をつけてPort Scanだとかという形でログ記録する機能

前者だと、pingの長さを制限する(FP3ではデフォルトで64byteに制限されているため、はっきり言って迷惑)、80ポートを許可した後httpのURIから*.ida?とかcmd.exeとかが含まれている通信だけをrejectしたりする機能がある。

設定上はkernel処理で有効になる機能とsecurity serverを立てないと有効にならない機能がごっちゃになってる。

上記の例は、kernel処理なので、それほど負荷は上がらない。とはいっても超エンタープライズで使ってみた訳じゃないが。

216 :名無しさん@お腹いっぱい。:03/10/10 03:52
チェックポイント、低価格のセキュリティアプライアンスを発表
http://enterprise.watch.impress.co.jp/cda/security/2003/10/08/194.html

217 :名無しさん@お腹いっぱい。:03/10/10 23:45
>>215
> 前者だと、pingの長さを制限する(FP3ではデフォルトで64byteに制限されているため、はっきり言って迷惑)、80ポートを許可した後httpのURIから*.ida?とかcmd.exeとかが含まれている通信だけをrejectしたりする機能がある。
他にはURIが長すぎる場合にreject できたり、fingerprint によるOS推測が
困難になったりいろいろできる。
リアルな環境で使ってみたところ、Webサーバには*.ida とかcmd.exe とか
そういうリクエストのログが出なくなったが、だからといって特別何もない。
パターンを更新して増やせば、プチIDS(侵入検知システム) として
使えるかのもしれないが。VPN やら、HAやら俺の理解を越える付加機能が
多すぎる。何か必死でしょ?最近のFirewall製品。
DROP できればええやん。って思いますけどね。Firewall なんやし。


218 :まじめに聞いています。:03/10/11 00:38
>>HFA

ありがとうございます。

219 :○anonymous:03/10/18 14:54
Cluster構成したIPSOにセキュリティホールだって。

Nokia IP-series appliances running IPSO 3.7 and configured as IP Clusters
may be vulnerable to a Denial of Service (DoS) attack. Customers with
appliances running IPSO 3.7 and IP Clustering should immediately upgrade
the appliances to IPSO 3.7 Build 29 (or later).

220 :名無しさん@お腹いっぱい。:03/10/21 01:09
>>219
> Cluster構成したIPSOにセキュリティホールだって。
>
> Nokia IP-series appliances running IPSO 3.7 and configured as IP Clusters
> may be vulnerable to a Denial of Service (DoS) attack. Customers with
> appliances running IPSO 3.7 and IP Clustering should immediately upgrade
> the appliances to IPSO 3.7 Build 29 (or later).

IPSO 3.7 が動作しているNokiaのIPシリーズアプライアンスを
クラスター構成で運用している場合に、DoS(サービス拒否)攻撃を
受ける可能性の有る脆弱性が見つかりますた!
使っている香具師はすぐにIPSO 3.7 Build 29(もしくはそれ以降)の
バージョンにうp汁!!

ってことですか?


221 :名無しさん@お腹いっぱい。:03/10/22 15:18
今までFW-14.1使ってたけど別のSUN Enterprise450に
FW-1NGインストールしました。

・適切IPにてライセンス登録済み
・アクセス権限rootのみ
・ポリシー設定するリモート端末のIP追加

しかしWindows端末からアクセスすると"権限なし"のアラート・・・。
しょーがないから直接SUNでポリシー設定しようとしたが、
前のfwpolicyコマンドが見当たらん・・・。

他のスレから誘導されました。


222 :名無しさん@お腹いっぱい。:03/10/22 22:04
FW-1 NG FPいくつ?
いずれにせよ、fwpolicy コマンドは無いから
Solaris なら"Administrative Clients" って
パッケージを入れないと駄目。
あと、これを使うには別にライセンスがいると思うよ。


223 :名無しさん@お腹いっぱい。:03/10/23 11:41
>222
これからFP3を入れようとしているところ。
SolarisのFW1-NGにはVPN/FWとManagement Clientの二つをインストール
したけど、ポリシーエディタの立ち上げコマンドが分からん…。
ちなみにMotifライセンスも持っているが、上記状態で一歩も前に進めん。


224 :名無しさん@お腹いっぱい。:03/10/23 11:42
頼むからUNIXでのコマンド教えてくれ。

225 :名無しさん@お腹いっぱい。:03/10/23 16:45
わからないならウニつかうな ぼけぇ

226 :名無しさん@お腹いっぱい。:03/10/23 16:54
だってwindows無いんだもん、ウチの会社。

227 :名無しさん@お腹いっぱい。:03/10/23 17:19
同fwpolicyあった、バカくさ・・・。
つーかWindowsのみユーザはやっぱり使い物にならん。

228 :名無しさん@お腹いっぱい。:03/10/23 20:17
ldd fwpolicy


229 :ななし:03/10/26 02:10
FireWall-1 4.0の頃に、sync.confを設定後、fw putkeyしてファイアウォール
モジュール間で同期を取っていたんですが、FireWall-1 NG AIは設定方法が
違うのか同期が取れません。

同期周りの設定方法って変更になったのでしょうか。

230 :○anonymous:03/10/26 02:29
>229

変更になったよ。
さらに、サポートしている暗号化アルゴリズムも変わったから
注意してね。

しかし、今頃4.0の話が出るとは、、


231 :229:03/10/26 03:17
>>230
同じ様な事をする為には、どの様な設定を行えば良いのでしょうか。

イントラ向けに使用していたファイアウォールなので、あまり問題に
なっていなかったのです。
上記以外にも、バージョンを上げられなかった事情がありまして。

232 :anonymous:03/10/27 01:52
>>231

ここで説明するのは困難なぐらいいろいろあります。かいつまんで流れだけ。

1,構成

Ver 4.1まではModuleとManagementが同居しててもState Syncができましたが、Ver NGからはModuleとManagementが別である必要があります。従って、二重化ゲートウェイとマネージメントサーバの3台のマシンが物理的に必要です。

2,ライセンス

別立てのManagementが必要なので、Internet Gateway/??のノード数制限ライセンスでState Syncを行うことは不可能です。4.0のライセンスならEnterprise Centerライセンスか、Enterprise Management Consoleがライセンスが必要です。

3,設定

ManagementとModule間でSICを確立します。SICとは4.1より前のfw putkeyにかわる新しい認証メカニズムです。
SICを確立した後、Check Point Gateway Objectを二つ設定して、それをCheck Point Cluster Ob jectの一員とします。Check Point Cluster ObjectにSync用のNetwork Addressを設定します。

アップグレード前にpre_upgrade_verifierで確認・・・Ver 4.0から一気に最新版は無理だなぁ。まあ、コンパイルエラーが出たら確認。変だなぁと思ったら確認。

上記の流れを参考にマニュアルを熟読すれば自力でできないこともないでしょうが・・・代理店に手順書もらうなり相談するなりが早いと思います。

233 :○anonymous:03/10/27 02:39
>232

4.1SP3の際に、ポリシー設定も変わってしまってるし、、
アップグレードなんてことは考えずに、
ネットワーク仕様を見直して、ポリシー再設計して入力した方が
早いし確実ですよ。

どうしてもアップグレードでやりたかったら、、、
(内容によっては失敗するけど)4回程度バージョンアップと
ポリシーの再コンパイル・修正および、MM/FM間の同期設定
と動作確認が必要になるでしょう。
(現状のSPレベル不明なため、正確な回数と手順は書けない)
はっきりいって、手順書作る工数の方が、再設計より大変かも。
(昔、---> 4.1SP6ぐらいまでの段階別バージョンアップ手順書書いてくれた
人がいたけど)

有償なら、ポリシー設計・セットアップ、引き受けてもいいですよ(w


234 :名無しさん@お腹いっぱい。:03/10/27 10:23
同じセグメント内に2台のFW-1を置いて
片方をデフォルトゲートウェイとして使用しようと思っています。
そこで、有識者の方へ質問なのですが、
2台のFW-1をA、Bとします。
A,BともにインターネットVPNで違う拠点につながっています。
それぞれの拠点をAAとBBとします。
それでセグメント内のデフォルトゲートウェイをAとした場合、
BBへ通信したい場合、AのルーティングテーブルにBBへの通信は
Bへ行くように設定し、FWのルールも明記しておけば
通信はできるのでしょか?それとも
ステートフルインスペクションの問題でドロップされてしまうのでしょうか?
FW-1のバージョンはNGFP3です。よろしくお願いします。


235 :名無しさん@お腹いっぱい。:03/10/27 13:01
>234
インターネットVPNだと最適経路は網内ルータにお任せなんで
意味ないような気が…。


236 :○anonymous:03/10/27 14:25
>234

ICMP redirectionルールの設定(drop/reject)に注意すれば、動くとは思いますが、
遅くなりそうだなぁ。

端末にnetwork route切るのが一番素直。。

VPNアクセラレータが無いFW-1でしょうか?
それだと、死ぬほど遅いですよ。
(NOKIA IP440の時に泣きました。VPNスループット、、LAN内直結で
300K以下。。。)

>235

なんか勘違いした回答のような気がしますが。。

237 :名無しさん@お腹いっぱい。:03/10/27 14:48
>>236
レスありがとうございます。
ICMP redirectionルールの設定はFP3からあるものですか?
それともFP2でも同じように、動くものなのでしょうか?

あとVPNアクセラレーターはないみたいです。
やはり、遅いのですね・・・



238 :229:03/10/28 01:17
>>232
> Check Point Cluster ObjectにSync用のNetwork Addressを設定します。

ここまでは終わったのですが、設定がうまくいっているのか今いちはっきり
しません。

マニュアルを参照しながら、OPSEC Certified なクラスタ製品向けの同期設定
を行ったのですが、例えばパケットをキャプチャしてこのパケットが飛んでいれば
うまくいっているとか、netstatである程度確認できるという話ってありますか?

少なからず、動作的には同期していなさそうです・・・。
外から内へtelnetした状態でフェイルオーバさせて確認しんたんですが、
telnetセッションが固まります(状態が同期されていない為、drop)。

アップグレードは手間が掛かりすぎる為、計画段階でなくなりました。

239 :○anonymous:03/10/28 02:02
>237

ICMP redirection Objectは以前からあります。
これで最短経路を通って帰ると、、Stateful Inspectionによって
弾かれてしまうので通信が止まります。

ルーティング設定もかなりややこしい環境のようですので、
ネットワーク図が欲しいところです。

>238

フェイルオーバさせてるそうですが、機種は??
(IPSOか、それ以外か、、、)
さっきは、別のネットワーク向けとか聞いたような気がしたのですが。
全部で、FWモジュールは何台あるのかなぁ



240 :229:03/10/28 10:35
>>239
Solaris8 + RSF-1で使っていて、FWモジュールは二つ。
Managementは別立てです。

241 :○anonymous:03/10/28 12:56
>240

2台で、フェイルオーバーと別ネットワーク向けVPNやってるんですか?
(念のため)


242 :229:03/10/28 16:39
>>241
やっていません。234とは別人です。

243 :229:03/10/28 16:41
234の様な事をする場合、うちだとL3スイッチも買います。

244 :○anonymous:03/10/28 19:36
>242

あ、、失礼しました。


245 :名無しさん@お腹いっぱい。:03/10/29 14:43
未だに事情があって4.1使ってます。

プロバイダからは32個のIPアドレスを付与されているのですが
IPアドレスの付与の仕方が分かりません。

PolicyEditerで新しいオブジェクトを作成してNATの項目にstaticにIPアドレスを割り当て。
外部からのhttpアクセスをaccept


AddressTranslationで既に通信可能な状態のオブジェクトを真似て
外部からのアクセスを可能にし、Policyのインストールを可能にしました。

しかしながら外部からIPじか打ちでアクセスできないのです。

他にする必要項目ってありますでしょうか?

ポリシーをインストールした際に
No licence for encryption
こんな感じのエラー?メッセージがでます。
ライセンスはあるはずなのになぁ。


246 :ななし:03/10/29 19:13
>>245
ホストルートの設定はされていますか?

>> No licence for encryption
VPNのライセンスを持っていなくて、VPN使っていないなら問題なし。

247 :anonymous:03/10/30 00:32
>>236

NGでICMP redirectはカーネルモジュールのパラメータ変更が必要なはず。ルールだけぢゃだめ。4.1までならルールで許しておけば良かったので、まさにimplied仕様変更って感じ。

とりあえず「"icmp redirect" ng fw-1」でぐぐってみそ。英語のMLのお悩みさんに出会えるぞ。

カーネルパラメーターのいじり方はIPSO版、Solaris版、LINUX版、win32版全部違うから、Solaris版で「modzapって何?」とか思わないように(w

redirectなしだとA側でBB宛をBにルーティングする際のステートフルインスペクションがうまくいかない気がする。

クライアントからBB宛のパケットはA側を通るけれどBBからのリプライパケットはAを通らずにそのままB側からクライアントに転送されるからA側ではBB宛のTCP non-synのAck付きパケットがOut of Stateになると思う。

まあ、236さんのいう通り素直にnetwork route切るのが一番。

248 :anonymous:03/10/30 00:45
>>245

No licence for encryption

このメッセージは「VPN-1ライセンスにアップグレードしてくれなきゃやだやだやだ」と読みます。VPNライセンス料をお布施すればこのメッセージは出なくなります。

236さんのいう通り、バカ高いあくせられ〜たを買わないとパフォーマンスが出ないので、VPNライセンスがありながら実際にはFW機能しか使っていないことが多いという説も。

もっとも最近のGHzクラスのCPU搭載サーバならCPUの力技とAESアルゴリズムの演算効率の良さ(3DESと比べ)で実用レベルのVPNパフォーマンスは期待できまつ。

249 :名無しさん@お腹いっぱい。:03/10/30 09:26
>>246
ホストルートはどこで設定できるのでしょうか?(汗)

>>248

VPNは使用してないです。これはほっておいてもよさそうですね。
安心しましたです。

250 :○anonymous:03/10/30 16:37
>249

> ホストルートはどこで設定できるのでしょうか?(汗)

Unix(Solaris)のマニュアル見てください。
(routingもしくはarp)
もしくは、上位ルータのマニュアル見てください。




251 :229:03/10/31 00:06
お騒がせしてすいません、同期できました。
マニュアル(ClusterXL NG with Application Intelligence)を
よく読んで、cpconfigで
Check Point ClusterXL and State Synchronization
を有効にして再起動後、232さんに教わった設定をかけたところ
動作しました。

8116/udpのパケットがsync用のネットワークアドレスにのみ飛んで、
"cpstat -f sync fw"とフェイルオーバ時に「out of state」が発生しない
事を確認して良しとしました。

>>249
NGにすれば悩まなくて良くなるポイントです。
Automatic〜 が信用できるならですけど。

252 :名無しさん@お腹いっぱい。:03/10/31 19:05
NGのFP3でosはWindowsNTなのですが
ログファイルのパスをデフォルトから変更ってできるんでしょうか?
ログは消さずにできるだけ保存して置きたいのですが
Cドライブに貯まってしまい困っています。
マニュアルみても載っていない様なのですが・・
ご存じの方がおりましたら教えてください。

253 :ななし:03/10/31 20:21
>>252
定期的にlog switchして移動とかでは駄目なんでしょうか。

254 :名無しさん@お腹いっぱい。:03/10/31 21:48
>>253
log wsitchではログの保存先のパスを変えられるのですか?
であればDドライブには余裕があるのでそのまま運用できるのですが
あとこれはコマンドプロンプトから入力するんですか?
教えて君で済みませんがお願いします

255 :名無しさん@お腹いっぱい。:03/10/31 23:14
>>254
log switchしてできたファイルを、自前のバッチとかで
移動させるってことではないかと。


256 :anonymous:03/11/04 23:40
>>246

FW-1 4.1以前でStatic Destination NATをさせるために必要なホストルートとは?

FireWall-1は汎用OSの上で動くため、FireWall-1のアプリケーション上の設定だけでは意図通りの動きをさせられない機能がありました。その代表がStatic Destination NAT(1対1宛先IPアドレス変換)です。

下記は私なりの理解です。厳密には間違っているかもしれませんが、このように思いこんで今まで乗り切ってきました。回りくどい説明をさせてください。

まず、Host Routeが必要となる前段階の処理について

パケットをNICで受け取り、IPヘッダを見てルーティングするか否かを判断するところまではOSの仕事です。通常はNICのMACアドレスと一致する宛先MACアドレスのEthernetフレームのみがIP層に渡されます。

宛先アドレスがI/Fと異なるものを受け取らせるために、NATアドレスに対してI/Fと同じMACでARPを返したり(Proxy ARP),上位のルータでNATアドレス宛のパケットのNext HOPをFW-1のI/FのIPとして設定したりする方法が使われます。

よく、NATアドレスに対してProxy ARPを設定することが絶対必要と思われている方がおられますが、実際にはNATアドレスへのパケットをI/FのMACアドレス宛のEthernetフレームに包んでおくってもらえさえすればいいので、Proxy ARPは必須ではありません。

I/FのMACアドレス宛のフレームから取り出されIPパケットがOSのIPドライバに渡されると、そのパケットを自分で受け取るかルーティングするかを自分自身のルーティングテーブルに照らし合わせて判断します。

これがFireWall-1によるパケット処理より前に行われるというのがポイントです。

宛先アドレス変換対象となるIPアドレスが宛先のパケットはたいていは入ってきたI/Fと同じネットワークに属するため特別な設定をしていなければルーティング対象とならず、FireWall-1のKernel Moduleによる宛先IPアドレスの処理の前に破棄されます。

これを防ぐためにDestination NATを行うFireWall-1がインストールされたOSのルーティングテーブルにはNAT変換前の宛先のパケットはNAT後のアドレスの宛先のあるネットワークに向けて転送するというStatic Routeが必要となります。

257 :anonymous:03/11/04 23:45
>>256
続きです。

たとえば、192.168.1.30宛のパケットを172.16.1.30にNATする場合は192.168.1.30/32→172.16.1.30というようなスタティックルートをFireWall-1が動作するOS上に設定します。

ただし、FireWall-1から見て172.16.1.30が別ネットワークセグメントに属している場合(たとえば172.16.254.254というルータの向こうに存在している場合)は、192.168.1.30/32→172.16.254.254という書き方をします。

NATアドレスが連続的に使用されていれば192.168.1.24/29→172.16.254.254という設定もあり得ます。

このスタティックルートの設定は不自然で気持ち悪いのでほんとにこれでいいのかなと思ってしまいますが、これで正しいのです。

OSがルーティングテーブルに従って、パケットを転送しようと試みるとFireWall-1のKernel moduleがOSからパケットを横取りして好き勝手にIPヘッダを書き換え、NATが行われます。FireWall-1のNATはルータや田のFireWallとは感覚的に変なモノです。

FireWall-1のNATはOSから対象のパケットを渡されさえすればどのようなNATでもできます。I/Fとは全く関係のないIPアドレス間でも自由に書き換えられます。

FW-1に設定するStatic RouteのNEXT HopはNAT後のアドレスと一致する必要はないようです。OSがルーティングを試みさえすれば後はFireWall-1の処理にゆだねられてうまくいくようです。

ただ、Next Hopとして指定されたアドレスがARP応答しない状態だとそのルートはUnreachableとOSに見なされるため、NATにができなくなることもあります。したがって、確実にARPを返してもらう必要はあるでしょう。

ここまでの説明では説明がつかないことがあります。それは、送信元NATをかけた場合のリプライパケットはStatic Routeが無くても戻ってくることです。これは、そういうモノだと割り切ってます。

ちなみにVer NGからはこのような設定は不要になっています。IPSO(NOKIA)でも4.1の後の方のバージョンに対応したバージョンだとStatic RouteなしでもふつうにNATできてしまうバージョンがあります。

258 :anonymous:03/11/04 23:45
>>257
最後に設定例をば

Solarisの設定例

route add host 192.168.1.30 172.16.1.30がスタートアップスクリプトの適切な部分で読み込まれるようにする

Windowsの設定例

route ADD -p 192.168.1.30 172.16.1.30と一発実行しておけばレジストリにスタティックルートが書き込まれるのでリブート後もルート設定が行われる。

IPSO(NOKIA)の設定例
VoyagerのStatic Route設定で192.168.1.30/32 Gateway Address 172.16.1.30とApplyしてSaveしておけばよい。

汎用OSの動作と外付けアプリケーションFireWall-1のせめぎ合い。いやー、FireWall-1って本当、難しいですね。

259 :anonymous:03/11/05 00:20
>>252

Ver 4.1だとReferenceにNT版のディレクトリを指定するためのレジストリKeyが書かれていて、それを変えれば別ドライブにログ記録できたけど、NG FP3にはReferenceがないからなあ・・・

というわけてぐぐってみました。

たぶんこれでいいんでしょう。試してないから、自己責任でやるなりサポートに確認するなり・・・。

http://www.mail-archive.com/fw-1-mailinglist@amadeus.us.checkpoint.com/msg03036.html

260 :○anonymous:03/11/05 02:10
>257

anonymousさんの悩んでいる部分、、説明してあげられるけど、
いま、忙しくてごめんなさい。

#どうも知っている人のような気がするんですが。
#業界狭いからなぁ。


261 :名無しさん@お腹いっぱい。:03/11/05 09:38
50人程度の小さい事務所にFW/VPNを導入
したいのですが先月発表されたアプライアンス
製品では役不足でしょうか?

262 :ipsoinfo:03/11/06 16:14
SonicWall>NetScreen>>>VPN1-Edge>>>>>>>>VPN-1/FireWall-1
の順でおすすめ。

263 :名無しさん@お腹いっぱい。:03/11/06 21:04
ベンダーに関わらずFWの導入相談スレないですか?

264 :名無しさん@お腹いっぱい。:03/11/08 13:34
>>263
とりあえずここでいいんじゃない?

265 :anonymous:03/11/08 17:46
>>262

最近SonicWallの事例を周りで聞かないんですけど最近のモデルって結構いいんですか?一時ほどメジャーじゃなくなっている気がしてます。

>>260

まあ、この世界狭いですね。

でも、私はそんなに顔が広くないので別の方と間違われているかもしれません。

266 :○anonymous:03/11/08 18:55
>265

>>262

 私も、最近Sonicの事例を見ないので、知りたいです。

>265

 まあ、お互い詮索は無し、ということで。


267 : :03/11/11 20:23
知っている方がいましたら教えてください。

$FWDIR/logにあるfwd.elgって何のファイルなのでしょうか。
400MBくらいになっているですが。
なんかやばげな雰囲気が。。。

NGのドキュメント読んだらここだけ何も書いていなかった。
資料のありかでもよいのでご助言を。

268 :名無しさん@お腹いっぱい。:03/11/11 22:59
>>267
エラーログだと思いまつ。


269 :名無しさん@そうだドライブへ行こう:03/11/12 00:45
>>261
safe@officeはSMPがないとルールのカスタマイズできません。
VPN-1 EdgeもSmart Center ProもしくはProvider-1が必要かも知れません。
safe@officeはプリセットでルールが3種類入っていますが、ルールの内容は明記されていません。
両者とも単体では自由度がないのでオススメできません。

旧S-Boxはソフトバンクをはじめ、富士通が取り扱っていましたが、
新しいアプライアンスはどこが取り扱うのでしょうか?

270 :○anonymous:03/11/12 01:39
>269

Mなんちゃらが扱ってる模様です。


271 :○anonymous:03/11/12 01:43
>269
>270

自己レスを兼ねて。

その問題があるので、センターでポリシー管理サービスを行い
エッジの機器を、リースで扱っているところが、、、という意味です。
貸し出し+ポリシー管理・監視・レポーティングサービスで、月額いくらって感じで。

でも、サービス開始してるのかなぁ?まだかな?
宣伝だけ聞いたんだけど。



272 :名無しさん@そうだドライブへ行こう:03/11/12 23:25
>>270=271
情報ありがとうございます。
同様のサービスは富士通がS-GUARDとして提供していますね。
管理ツールのSmartCenter Pro Unlimited Gateways /Uが320万円。
クライアントが多いなら買ってしまった方が良いかも知れませんね。
商品提供に関してはVPN-1 Edgeは不明ですが、Safe@officeは12月頃提供らしいです。

話変わりますがVPN-1 SecuRemote NGFP3とNortonInternetSecurity2004が
Windowsのサービス起動時にコンフリクトして、SecuRemoteが起動出来ません。
NIS2004のウィザードのアプリケーションの自動検出でも
VPN-1 SecuRemoteをスルーするようになりました(´・ω・`)

273 :名無しさん@お腹いっぱい。:03/11/18 14:04
fw age

274 :名無しさん@お腹いっぱい。:03/11/18 18:06
NOKIA IP350 IPSO3.5.1 FCS6 でファイアーウォールを動かしていますが、
Voyagerから設定できるStatic Routeの数が載ってるドキュメントを
知っている方どなたかいないでしょうか?

275 :名無しさん@お腹いっぱい。:03/11/19 14:49
ホストルートの設定やっぱり出来ない・・
ホストルートのこと詳しく説明頂いていますが
私の理解を超えてます。

276 :○anonymous:03/11/19 22:12
>275

ルーティングの概念が理解できていない場合>TCP/IPの教科書
ホストルートの設定ができない>該当OSのマニュアル

参照のこと


277 :名無しさん@お腹いっぱい。:03/11/21 11:56
あれ?
phoneboyっていつのまに見れなくなったの?


278 :ななし:03/11/22 02:44
>>275
256以降の内容を読んでも分からないのであれば、
自分で頑張るのは諦めた方が良いのではないでしょうか。

279 :名無しさん@お腹いっぱい。:03/11/24 20:51
そろそろ新しいバージョンがリリースされるらしいですが、
呼称はどうなるんでしょうね。


280 :○anonymous:03/11/24 21:09
>279

NG is not No Good, but Next Generation
だから、次は
DS9かなぁ(笑)


281 :名無しさん@お腹いっぱい。:03/11/25 00:28
>>280
> DS9かなぁ(笑)
何のリャクデスカ?

282 :ななし:03/11/25 04:48
>>277
復活したみたいでつね。

283 :ななし:03/11/25 04:50
>>281
Deep Space 9
Star Trekネタみたいでつ。

284 :○anonymous:03/11/25 10:45
>283

どんどん、わけのわからない深みに嵌まり込みそうで、嫌なんですけどね。
バージョンアップする前に、安定させてよ。>CP
ライセンス価格下げてよ。



285 :あああ:03/11/29 02:30
新しいライセンス体系わけわからん。
中小企業を取り込もうという意図のようだが、
ある程度の大企業には事実上値上げだよね。

286 :○anonymous:03/11/29 03:56
>285

前の改訂のとき、EnterpriseでHA組んでたライセンスを、どう移行させるのかで
頭混乱したのに、、、お金のことは、営業さんに任せておくことにするか。



287 :anonymous:03/12/03 00:00
NG with AI R55 (FP5)出たね。今度こそバグフィックス版?

でも、ISPりだんだんしぃ機能なんてのが付いてる。使えるんだろか?

新ライセンス体系。03・12・19に向け流通の最上流から下流まで大混乱中か?お金のことは営業さんに任せられるけど、必要なライセンスが何かは概要設計の後SEレベルの判断が必要と思う。

だからNetScreenの方が売りやすいって言われるんだ。

288 :○anonymous:03/12/03 00:32
>287

>必要なライセンスが何かは概要設計の後SEレベルの判断が必要と思う。

判ってますよ。それどころかバージョンアップの際に追加購入が必要になる
モジュールとか、結局答える羽目になってましたから。

もう知らない、と言いたい。。

> だからNetScreenの方が売りやすいって言われるんだ。

セットアップ・バージョンアップ作業も、こっちの方が楽だからなぁ。
新人に任せられるし。手順書ちゃんと作ってやっても、FW-1の場合、
安心して出せないものねぇ。。(顧客のポリシー全部の検証できんから、
結局トラブルが発生したら出張る用意がいるし)



289 :名無しさん@お腹いっぱい。:03/12/05 14:36
新規で買う分には新しいライセンス体系はそんなにややこしくないよ。
でもアップグレードはややこしいね。トレードインなんて意味不明、
というか高杉。
漏れ的にはダウングレードでも結構な費用がかかってしまうのががくぶるだけど
今までがおかしかったのかもしれないがな。

設置に関していえば箱物にはかなわないわな。


290 :名無しさん@お腹いっぱい。:03/12/08 13:15
どうせ買い換えるならNetscreenのほうが簡単なんですよね?
そうなると一からポリシー作り直しになるけど、それほど
Netscreenの方が簡単ですか?

291 :名無しさん@お腹いっぱい。:03/12/08 15:02
買い替えを検討しているライトユーザならNetscreenとかSonicWALLでいいんじゃない?
一番簡単なのはSonicだけどねぇ。

なぜNetscreenが伸びてるかというと、SI業者が扱いやすいからなのです。たぶん、、、、、、きっと。
クライアントVPNやるなら違うやつの方がいいよ。

292 :名無しさん@お腹いっぱい。:03/12/09 14:07
NGの評価用ライセンスって無くなったんでしょうか?
「ご購入前のCheckPointソフトウェアは15日間機能します」
とあるから、この間に色々試せってことかな・・・。

正式ライセンスが来るまでは評価版でつなぐ、なんて
よくやってましたがw


293 :名無しさん@お腹いっぱい。:03/12/10 08:42
>>291
Sonicの製品デモやってみたけど簡単そうですね。
でもパケットの処理が通過 or denyしか選択出来なかったり
デフォルトで登録されてるプロトコルの数が少なかったりで
少々役不足の感じでした。
やぱNETSCREENかな・・

294 :291 ◆W9f1Qgnpec :03/12/10 15:42
よし、このスレは俺にまかせろ!!
難しいことはわかりません。

>>292
評価用ライセンスあるはずだよ。それに加えて15日間の評価ができるようになった。
CD買えば1ヶ月間×2の評価用ライセンスの権利がある。

>>293
たくさん売れてるし、よいのでは?
・・・とCheckPointスレで言ってしまうのはどうだろうw

ちなみに「役不足」の使い方間違ってるよん♪
通じるけどね^^

295 :292:03/12/11 01:15
>>294
評価ライセンスってCDケースに貼ってあるKeyをWebで
ほげって取得するってやつっすか?
やり方よくわからないから、15日でカタをつけるか・・・(´Д`)


296 :名無し:03/12/11 04:01
>295
日付を戻すというのは無し?

297 :291:03/12/11 09:27
面倒なのでキャップやめました。

>>295
そそ、WEBで取得するやつです。
CD買ったとこに聞いてみるといいよ。

>>296
有り^^
設定の確認とか動作検証とかでは日付戻しで十分だよね。たぶん。


298 :名無しさん@お腹いっぱい。:03/12/12 01:00
時間戻すなららNGからバイオスの時間から戻さにゃならなくなった気が...

299 :anonymous:03/12/12 01:25
>>296-298

NGよりICAのInitializeした日付時刻(つまり最初のcpconfigね)より時間を戻すとCA証明書がValidではないとおこられまつ。評価ライセンスなしの2週間というのはCA証明書の発行日付時刻が基準らしい。CAの有効期間に気をつけながらほどほどに戻すのがポイントです。

FW関連だと時間は余り関係ないですが、VPN関連の動作検証だと時刻を合わせた方が変なはまり方しないです。

私は変なはまり方したくないので外部CAサーバからVPNクライアントまで全部3週間前の日付にしてしまったりします。VPNクライアント検証機は自分のデスクトップと併用だから戻し忘れてメールの日付がずれてショボーソとかありますけど。

個人的には、一瞬日付をみてビクーリしないようにちょうど一年戻しとかが好きなのですが、NG以降では難しい。

関係ないですが、cpconfigをOSクロックがGMTの設定で実行したあと時刻をそのままにしてJSTに変更すると未来に発行されたCA証明書として認識されて妙な挙動にはまります。まあ、9時間待てば回復しますけど(W



300 : ◆OPSECXvmcU :03/12/12 11:38
>>299

あとFW-1で時間が関係するといえば、HA構成でstate syncを組んでる場合、
HA(orクラスタ)メンバの時計がズレてるとマズーですな。
時刻同期は必須かと。

301 :○anonymous:03/12/12 12:38
>300

そう、同期が必須なのに、NokiaのNTP回りには泣かされたものでした。
(判る人には判るよね。)
RIP拾っては、バタバタと。。(苦笑)いう質問が良く飛んできたもんです。



302 :sage:03/12/13 17:44
NOKIAたんのナレッジ(Resolution 18074)見てたらNGwithAIで広範なメモリリークとの記述が。死?
狙い撃ちでR55出ないのってこれが原因ですか。誰かおせーて。

303 :名無しさん@お腹いっぱい。:03/12/17 15:22
NG AIなんですけど、
Windows2000 Advanced Server SP3
に入れたらSmartClient用のアカウントが作れない・・・。ヽ(`Д´)ノ
(Failed to save the administrator's password!)
リリースノートにはSP2までしか無いのは確認済みですが、
チャレンジした人いません?


304 :_:03/12/17 19:16
>303

全然関係無いかも知れないけど、Win2K serverにSP3当てると
Windowsの証明書発行機能(CAサーバ)は、動作しなくなります。
ちゃんとMSのドキュメントに制限事項として書いてあります。

でもパッチを当てないとセキュリティ的には、、

最善の解決策は、プラットホーム変更することだったりしますね。


305 :名無しさん@お腹いっぱい。:03/12/22 02:38
FW-1のドキュメント類って2万円するらしいのですが
売っているのも見たことないし・・

商品買っても説明書別売りって・・。

別売りドキュメントって買うような内容なのでしょうか?

306 :○anonymous:03/12/22 08:18
>305

初めての時は、役立つ部分もある。
でも、すぐ不要になる、、といったところかな。


307 :名無しさん@お腹いっぱい。:03/12/23 20:14
>>305
> 別売りドキュメントって買うような内容なのでしょうか?

別売りって製本されたやつのこと?
日本語で読みたい時にいいかもなー。
でも、マニュアル無くても分るやつが読まないと
分らないと思う。分らないことがあって必死でマニュアルを
読んだけど、余計に分らなくなったよ。これはあくまでも
俺が感じたことだけど。

308 :名無しさん@お腹いっぱい。:03/12/30 02:29
phoneboyがミレネ

309 :名無しさん@お腹いっぱい。:03/12/30 19:44
見れなくなってずいぶん経ちますよね。
まいった。


310 :FW1:03/12/31 14:46
勉強用に体験版のCDを公式サイトから購入しようと考えているのですが、
CCSXの権限がないとWEBから評価シリアルは取得できないのでしょうか?
仮にそうだとすると15日間は最低使えるという事になるのでしょうか?
https://www.checkpoint.com/GetSecure/MediaEngine?action=MP_OrderStart

311 :名無しさん@お腹いっぱい。:04/01/04 05:09
>>310
最低でも15日間使えるのは確かです。
評価用ライセンスが普通に発行して貰えるものだと思って
去年オーダーしてしまいました・・・。


312 :FW1:04/01/04 17:11
>>311
情報ありがとうです。

15日間でも使えればOKですので購入してみます。

313 :名無しさん@お腹いっぱい。:04/01/05 06:07
>>>308-309
復活の模様
管理者がクリスマス休暇か? と思っていたらサーバを切り替えたみたいだね

314 :anonymous:04/01/06 22:56
>>312

今のバージョンは再インストールすれば、何回でも15日間使えるよ。設定はやり直しだけどね。

とてもとっつきにくい製品だけどいろいろ機能豊富で奥が深い。

ガムバッテ

315 :名無しさん@お腹いっぱい。:04/01/11 14:23
>>230
えっと・・・これから4.1をインストールしようとしているツワモノが
ここにいますが何か?(w

一度試しにインストールしてみたところ、急に動かなくなりました。
「パケット全部通す設定しかしてないよね?さっきまで元気に動いていたよね君?なんで急に動かなくなるの?」
これから当分の間こんな独り言が続きそうです・・・。
やっぱり、Redhat7.0なんか使ってるのがいけないのかなあ。
SP5のマニュアルでは対象プラットフォームになってたのに。

亀レスなのでsage。

316 :○anonymous:04/01/11 16:53
>315

7.0対象になってても、6.xからのアップグレードか、
Symlink張りなおさないと、ライブラリ回りでこけるよ>4.1

あくまで、「動かすことが可能」というレベルのドキュメントだという罠。

頑張ってください。


317 :名無しさん@お腹いっぱい。:04/01/12 12:00
>316
ありがとうございます。頑張ってみます。
今更4.1とは・・・。でも上司には逆らえない。^^;

318 :名無しさん@お腹いっぱい。:04/01/12 16:10
Linux上でFireWall-1を動かす場合、kernelを選ぶ(最新では動かない)
様なんですがkernelのバグ(local exploit)はどう考えれば良いのでしょうか。


319 :318:04/01/12 16:12
portingされていませんが、ベースとなるOSとしては
OpenBSDとかの方が安心できそうなんですが・・・。

320 :○anonymous:04/01/12 19:27
>318
FW-1で守れるものと守れないものがありますが、
基本的には、ダメと考えた方が目的に沿うものと思います。

これはWin2K/NTで動かすFW-1やSolarisで動かすFW-1でも同様。
IPSO(NOKIA)しかり。RSCP(based on Linux)しかり。

FW-1のお守は大変。バージョンアップの際の検証も大変。
停止してはいけないところの場合は、冗長化は必須。
(バージョンアップのためにもね)

頑張ってください。


321 :名無しさん:04/01/21 23:29
SecureRemoteをICカード+証明書で使っている方いますか?問題点あったら教えてください。
あとNetScreenでも同じようなことやっている方はいますか?

322 :○anonymous:04/01/22 01:07
>321

どちらもやりましたが、証明書発行サーバの種類とバージョンに注意してください。
(例:NSにMS-CA使う場合、日本語Winサーバは不可。かつSP3以降になっていると
発行機能が動作しなくなる、など)
また証明書の形式にも注意が必要。(使うカードやキーによって、
扱える形式が異なるため)

頑張れ〜。


323 :名無しさん@お腹いっぱい。:04/01/22 15:29
最近、FW-1をいろいろいじり始めました。

291> CD買えば1ヶ月間×2の評価用ライセンスの権利がある

この2つのライセンスを切り替える時に、一回FWのサービスを
止めるとか、再起動の必要はあるんでしょうか?

それとも、ふつうにライセンスの追加という形で止めずに
期間の延長が可能なんでしょうか?

324 :_:04/01/22 16:15
>323
FAQです。
一回止めて評価ライセンス消さないと、酷い目にあうかもねぇ(w;


325 :名無しさん@お腹いっぱい:04/01/22 22:40
どなたかVerisignの証明書と合わせてマネージドVPNサービス For リモートアクセスユーザを提供している会社をご存知ですかな?


326 :名無しさん@お腹いっぱい。:04/01/27 22:33
FP3からAIにバージョンアップ。
SecuRemoteのNAT Traversalがほとんどデフォのままでポリシーに追加するだけで通るようになってた。歓迎。
クライアントレスVPNは動かなくなっちゃった・・・。設定変わりすぎ。こっちはまだまだ発展途上みたい・・・。

> 1さん
個人的には、SecurutyServer機能やログ採取を使わないならFW-1を使うメリットってないような・・・。
毎日ログファイルをスイッチさせてDATに取らせれば、万一の事故のとき、ログを失わずに済むってのは安心です。
他社製品だとログがパンクしてもF/Wを止める連動が難しいので、ちと怖い。

> CheckPoint
はやく、W2KベースでのMXリゾルバをサポートしてちょーだい。

327 :ipsrd:04/02/01 05:10
>326
1氏が「其の弐 ログはためても 100MB くらいまでにしましょう。」と
書いているのは、fw.logの容量のことを言いたいんじゃないのかな。あれでかくなるとヤヴァいよね(;´Д`)
ログはローテーションしてどっか置いとこうよ、というのは仰る通りですな。
うちもfw logswitch hoge && fwm logexport hogeしてファイルサーバに放り込んでる。

SecurityServerとかCVPとかは見た目便利ですな、確かに。
NGAIになってもともとHTTP SecurityServerにやらせてた処理をfw-1 kernelに
組み込んだのは、要は誰も真面目にSecurityServer使う気にならなかったからと理解してるが(#´Д`)


328 : ◆JeYFCvvdow :04/02/03 00:38
>>327
> あれでかくなるとヤヴァいよね(;´Д`)
ヤヴァイです。
半年程前、俺が運用を引き継いだFW-1 4.1は1年以上logswitchされていなかった・・・。_| ̄|○

329 :baguscafe:04/02/04 00:00
はじめまして、IP530(IPSO3.7 NGAI)×2とsolaris8(NG-AI 管理モジュール外だし)で
NOKIA VRRPを行っています。NOKIAにコネクトしている(同一セグメント)端末よりNOKIA
のVIPと実IPにPINGを打った場合、実IPから応答がある場合、仮想IPからは応答がありま
せん。また、仮想IPから応答がある場合は、今度は実IPから応答がありません。同一セグ
メント以外の場合は、実、仮想IPともに問題なく応答します。
同様のことを、SOLARISで行った場合は、どこから行っても、PINGに応答があります。
どなたか、解決方法をご存知の方、ご教授ください。

330 :_:04/02/04 01:02
>329

ICMP redirectが怪しい気がします。
IPSOの設定の方は問題無いとして。。


331 :ipsrd:04/02/04 23:55
>329
それは…、仮想ipにping打ってから30秒(stateful icmpのタイムアウト時間)待って
実ipに打つと、応答が返って来るのではないでつか?
もしそうなら、ClusterObjectの3rd Party Configurationで「Forward...」のチェックを
外してみれば直ったと思うが。

332 :名無しさん@お腹いっぱい。:04/02/06 23:01
FireWall-1にセキュリティ・ホール,管理者権限を奪われる恐れあり
itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040206/139474/

333 :名無しさん@お腹いっぱい。:04/02/06 23:07
>329 
初めて、この掲示板に書き込みましたが、いろんな方が見られていて
アドバイスをいただけて光栄です。この掲示板がもっと盛り上がれば
いいですね。

首記の件ですが、自己レスで申し訳ありませんが、解決いたしました。

製品の不具合で,modzapで解決できました。お騒がせしました。
現状では、ping interval 1秒でも実、仮想IPからreplyが帰ってくるよう
になりました。
今後ともよろしくお願いします。



334 :ipsrd:04/02/07 18:23
>333
allow_simultaneous_pingかな? なら納得。
NGAIでも有効なんですね、それ。

>332
AI以降、HTTP SecurityServerがそれと知らないうちに動いてることも多いのでヤヴァげ。
いちいち設定を洗うよりパッチ当ててしまった方が安心できそうだが (´・ω・`)


335 :fwd:04/02/07 18:51
年度末の忙しい時期に、このセキュリティホールは勘弁してくれ
週明けからパッチ宛に客先へ回らねばいけなくなる予感〜
うちの客はまだ、ほとんどFP3だから緊急のところは限られてるがな

336 :baguscafe:04/02/08 09:36
>334
ipsrdさん、さっそくの返答ありがとうございました。baguscafeです。
331で、ClusterObjectの3rd Party Configurationで「Forward...」
のチェックを外してみれば直ったと思うが。とありますが、
→これは、allow_simultaneous_pingと同じ効果を生むのでしょうか?

私も、あのチェックはNATに関係するので疑って、いろいろやってみたことが、
ありました。うまくいったような記憶がございました。しかし根拠がないよう
な気がしてやめました。

また、ご存知ならおしえていただきたいのですが、デフォルトで
なぜ、「Hide・・・」と「Forward・・・」にチェックが入っているのですかね?

初歩的な質問で申し訳ありません。



337 :ななし:04/02/09 00:50
phoneboy本、みんなは買った?

338 : :04/02/09 16:59
4.0にもこのセキュリティホールあるのかな?

339 :ipsrd:04/02/10 14:40
>baguscafeさん

allow_simultaneous_pingで直る「ping通らないよバグ」の原因になってるのは、
icmp echoのシーケンスを取らずIDしか見ていないicmpステートテーブル構造と、
CPHAモジュールの変なNATであると理解する次第。
なので、「そもそもNATさせなきゃいいぢゃん?」ということでやってみたらやっぱり通ると。
ちなみに、allow_simultaneous_pingは、NATを止めているのではないと思われ。
なぜならこれを入れた後でも、オプションなしのntpdate(src=123/udp,dst=123/udp)で同様の現象が起こるので。
よく分からないけれどたぶん、icmpステートフル処理を別ロジックに変えるんでしょう。

> また、ご存知ならおしえていただきたいのですが、デフォルトで
> なぜ、「Hide・・・」と「Forward・・・」にチェックが入っているのですかね?
これは従来のCPHAがそういう仕様だから、かな (´・ω・`)


340 :baguscafe:04/02/10 23:05
>ipsrdさん
ありがとうございました。奥が深いですね。ご丁寧な対応ありがと
うございました。


341 :名無しさん@お腹いっぱい。:04/02/15 14:05
ところでみなさん、CCSE/CCSAのロゴを名刺に貼ったりしてますか?
名刺が寂しいので貼りたいのですが、貼ることでアホと思われるのも嫌なんで。


342 :名無しさん :04/02/15 16:55
張ってない。それを表に出す方が恥ずかしい。
あれは、ベンダーとCPとの契約の都合でいるものだから。

セキュリティポリシーの設計やコンサルティング能力とは
何の関係もないし。


343 :341:04/02/15 21:36
>>342
あぁ、そんなもんなんだありがとう。
ちなみにうちの職場は、FW-1に関してはまともな技術者がいません。
俺が赴任するまでStealthRuleっていう概念が無かった。

344 :ipsrd:04/02/16 01:23
「ワタシCCSEデス」
「はあ」
「トコロデ冗長化ッテドウヤルデスカ」
「はあ?」
「コノ同期ぽーとデVRRP張ッテルデスネ?」
「はあ??」
「実ハワタシFireWall-1ノ構築ハハジメテデ」
「はあ???」

みたいな。確かに割とどうでもいい資格かも。評価の基準にはしたくない。


345 :cpwd:04/02/16 14:29
>>CCSE、CCSA

FW-1のことを理解しているという前提で話しをされると思うので、
お客さんや他のベンダーの方が知識があったりするとつらいかもね。

貼っておいてもあまりいいことはなさそうに思える。


346 :341:04/02/16 22:15
>>344
ワロタ
っていうか、これってペーパーCCNPも同じようなもんですな。
しかし、FW-1の構築が初めてって・・・。
よくそれで合格したもんだ。
最近の若い香具師は試験勉強の要領だけで合格するよな。

>>345
うーん。微妙です。
言葉は良くないですが、わたしゃハッタリ程度にしか思っていませんので。

話はそれますが、今日名刺の整理していたのです。
某ベンダーにいました。小さな文字で
CheckPointCertifiedSecurityExpertと書いている人。

自分なりに考えてみたのですが、とりあえずロゴのシールを作って、
相手を見て貼るか張らないかを決めようかと思います。
# 漏れは見栄っ張りなんで(汗

みなさん、どうもありがとう。参考になりました。
# 技術的な話でなくてスマソ。

347 :名無しさん :04/02/17 19:06
>344

それと同様のセリフを吐くCCSEを何人か知ってます。
HA構成のFW-1設定してね。
「設定サンプルと同じようにしたんですが、動きません」
HA組んだFW-1のバージョンアップよろしく。。。停止は3分x3回程度ね。
「できません。どうやるんですか?」
サーバのNAT設定よろしく。
「ローカルからDMZにつながらないんです」

各々原因は、著明なものなんですけどねぇ。。

#無資格の一人より

348 :名無しさん@お腹いっぱい。:04/02/20 00:33
非常に基本的な質問かもしれませんが、policy serverって何ですか?

349 :chakpoint:04/02/20 00:36
Firewall-1 AI R55 使っておられる方?いますか?
感触はいかがでしょうか?R54とR55って何が変わったのか?
なぞっすね。IPSOもVUP必要だし。

350 :名無しさん:04/02/20 00:51
初めてchekpointを触りました。
Firewall-1についての疑問ですが、独自にServiceオブジェクトを
定義した場合、サービスのプロパティでProtocol Typeを指定し
ない場合は、portベースのinspectionしかしないのですか?もし
そうなら、Firewall-1で最初から登録されていて、protocol
typeがないサービスって、何のためにあるのか???知っている人に
とってはばかばかしい質問ですがよろしくお願いします。

351 :ipsrd:04/02/20 02:01
R55になって使いやすくなったような気はしますが、気がするだけかも。
やはりR54とR55の最大の違いは

ラ イ セ ン ス

でつかね? CPの中の人の作為を感じまつ。
ISP Redundancyなんて、おっかなくてお客様には提案できませぬよ(;´Д`)

>>348
ぐぐれ。もしくはどこぞの販社の営業に問い合わせれ。

>>350
ipfw add 1 allow tcp from a.host 1024-65535 b.net 80 keep-state
みたいな書き方がFireWall-1では無理。
ポート番号の数字ひとつ入れるのにもオブジェクトが必要だからネ (´・ω・`)


352 :名無しさん:04/02/21 01:37
ipsrdさん
>>350
ということは、やはり、プロトコルベースのinspectionはTCPでは13種類?
ってことですかね・?

353 :ipsrd:04/02/21 03:53
うーん。
sqlnet2(Oracle Net8)やRPC、ftp/ftp-passive、Voiceのような、
特殊なサービスを通すために特殊なフローが存在するわけでつ。
そこで「Protocol Type」ですよ。
INSPECT言語によるユーザ拡張も可能、だったっけ? うへへ知らん。

>>352 の期待されているところのinspectionとは、つまりL4より
上のレイヤにおける制御なのかな、と漏れには読めます。
であるならそれはサービスのリソース定義なんかが該当するんではないか?
いまホットな(苦藁)Security Serverとかのお仕事かと。
Application intelligence、Smart Defenceといったキーワードを
追ってみたほうが良いかもですな。
とにかくうんざりするほど色んなことができ、驚くほど直感通りの動作をしません。


354 :名無しさん:04/02/22 20:40
ipsrdさん
>>353

セキュリティサーバ、SmartDefense、などの機能をOFFにした場合(厳密にはすべてOFF
には出来ないと思いますが)はFW−1もportのみのチェックしかしていないって事でしょうか?

つまり、せっかくFW−1を使うなら、SmartDefenseなども有効活用しないと
いみがないのですか??

やっぱり私はわかってないですね。これって基本的なこと??


355 :ipsrd:04/02/22 23:31
>>354
えー、portのみのチェックをさせたければ、そうさせることもできまつね。
しかし最近のバージョンのデフォルト設定では、例えばtcpについて、
セッションの細かい状態までFireWall-1が見ています。
Dropログに「TCP packet out of state」というのを見たことがないですか?
SYN流れてないのにいきなりACKが来たりするのを、FireWall-1が(゚听)イラネ 言ってるわけ。
そういう意味では、L4より上の制御をしないように設定してたとしても、
単なるipフィルタ以上の(strictだけど運用上は割と余計な)ことをしてくれちゃってる。
ちなみにこのウザい機能は主にSYN Flood除けの目的で実装された、はず。

Smart Defense(字間違えてた。死)は安っぽいIPS/IDP程度の動作をさせるものなので、
それはまた別の使い方になりまつね。
別途用意できる余裕があるならちゃんとしたIDSにSAM投げさせる方が良い気がします。餅は餅屋。

さて、このスレの随所でも言われていますが、ことによると劇的に重くなるので、
軽々にSecurity Serverが走るようなポリシを組むことはおすすめできないかも。
サイトの負荷状況と、チェックの粒度向上の必要性とを慎重に天秤にかけてくだされ。


356 :名無しさん:04/02/23 00:55
ipsrd殿
>>355
よくわかりました。目からうろこです。
ご指摘のとおりですね。このような基本的な質問は二度といたしません。
ありがとうございました。ご迷惑をおかけしたことをお詫びいたします。

ipsrd殿の用に詳しく理解されている方が回りにいなかったので
駆け込み寺でこちらにきました。本当にありがとうございました。

357 :なやめるひと:04/02/27 16:51
FW:NGFP3 HFA318

httpのセキュリティサーバのパッチ適用において、適用後fw kill fwdを実施しますが
納得がいきません。

fwdを殺すと全断するのでは、→cpwdで再起動しても、その間は通信断にならないの
かな?
NOKIAで冗長化しているときなんかFWのプロセスを監視していないのできりかわらないですよね
もしかして、私、fw kill fwdの意味がわかってないのかな・

みんな適用したのかな・



358 :jones:04/02/28 00:21
>>357
通信断にはなりません。
パケット検査はfwd(デーモン)ではなく、InspectEngine(カーネル)の仕事。fwdとは別物。
管理サーバへのログの送信やポリシーインストールなど分散環境下でのコンポーネント間の情報の送受信
など(その他サービスいろいろ)を担当している。ただ、fwdが死んでるとログが取られなかったり管理サーバに送信
されなかったりなど、運用上の問題があるのでやはり動いているのが普通。参考になれば幸い。

359 :違う人:04/02/28 02:02
>>358
参考になった


360 :なやめるひと :04/02/29 15:09
jonesさん
某ページで以下の記述を見ました。

fwd
インスペクション・モジュールとFireWall-1デーモンおよびセキュリティ・サーバが含まれます。
セキュリティポリシーを実装し、イベントをログに記録し、デーモンを使って管理モジュールと通信します。

fwm
管理モジュールが含まれます。
管理モジュールは、FireWall-1のデータベース(ルールベース)、ネットワーク・オブジェクト、サービス、ユーザなどを管理します。
ポリシーの検査、コンパイルやGUIとの通信を行います

cpwdがデーモンの監視(fwd)をしていたので、てっきりInspectEngine=fwdだと思っていたいのですが、、、
つまり、WatchDogの監視対象は間違っている?またはあまり、意味がないような気がします。

FW-1のInspectEngineの停止は、どこで検出すればいいのでしょうか?
そもそも、InspectEngineの監視はできないのですか?

ちなみに、Jonesさんの情報の出所はどこですか?ぜひ教えて下さい。



361 :なやめるひと:04/02/29 15:13
先ほどの続きですが、
InspectEngine(カーネル)の状態は、プロセスで確認できますか?
InspectEngineが落ちると、そもそも、全断>??


362 :jones:04/02/29 16:24
>>360,361

>fwd
>インスペクション・モジュールとFireWall-1デーモンおよびセキュリティ・サーバが含まれます。
>セキュリティポリシーを実装し、イベントをログに記録し、デーモンを使って管理モジュールと通信します。

合ってるような、合ってないような。
でもね、fwdはなにも実施モジュールだけにしかないというわけではないんだよ。分散環境下では管理サーバにもあるよ。だから、fwd=InspectEngineではない。

個人的には、fwdの仕事はコンポーネント間(管理サーバや実施モジュール)の情報のやり取りやコンポーネントが正常に起動するためのコントロールタワーだと認識している。

InspectEngineは前述のようにカーネルとして動いている。だからプロセスでは見えん。NICドライバとTCP/IPドライバの間(強いていうなら2.5層)で動く。
OS起動時にバインドされるドライバーだと思っていい(と個人的には理解している)NICごとにInspectEngineあるしね。

だから「InspectEngineが落ちる」という表現は適切ではないと個人的には思う。
OSが動いていれば一応InspectEngineは動いている。あとはPolicyが適用されているかどうかだけの問題。
PolicyアンロードしてもInspectEngine(ドライバ)自体がなくなるわけではないしね。

ちなみに知っていると思いますが、普通にcpstopするとPolicyアンロード→OSのルーティング機能が無効になるので実施モジュールを跨いだ通信はできなくなります。
もっとも、このような振る舞い(管理サーバからの命令に従って実際にInspectEngineにポリシーを適用したりはずしたりする)を担当しているのはfwdなのでfwd死んでるとやっぱりまずいよ。
そういう意味でもWatchDogの監視対象は間違っていないとおもう。

でもこの状態でもInspectEngineは2.5層に居続ける(と思っている)

情報の出所?自分自身の経験です。マニュアル腐っているし。
fwdが死んでてもパケット検査しているのは何度も経験してる。


363 :ipsrd:04/02/29 19:19
>ちなみに知っていると思いますが、普通にcpstopするとPolicyアンロード→OSのルーティング機能が無効になるので実施モジュールを跨いだ通信はできなくなります。

でも時々なぜかポリシが適用されてないのにルーt(ry
や、茶々入れ失礼。大変参考になりまつ。
カーネルモジュール($FWDIR/boot/modules/fwmod.o?)をアンロードしたら
InspectEngineも動かなくなるかも? LinuxやSolarisならできそう。
cpstopした状態というのは、モジュールというかドライバはロードされてるけど
ポリシが外れるので処理はバイパスされる、という感じでつか。


364 :なやめるひと:04/03/01 09:39
早速の回答ありがとうございました。
ぜひ参考にさせていただきます。
みなさん。かなり苦労されているようですね。

ぼくも、勉強もっとしよっと。!!!

これからも、FW-1を愛していきます。

でわ。


365 :baguscafe:04/03/02 11:13
皆様お久しぶりでございます。

NOKIA IP350、FireWall-1 NG AI R55 使用環境下において、VRRPが
稼働中のシステムがあります。

本システムにおいて、本体起動時に 224.*.*.* 宛にIGMPパケットが
送信される現象が発生しております。

※224.*.*.* の*、NOKIA本体に登録されたInterfaceのIPアドレスの
2オクテッド目以降と一緒のアドレス

ここで質問なのですが、

@上記現象はNOKIAとして正常な動作なのか
A224.*.*.* のアドレスは何を意味するのか
よろしくお願いします。


366 :anonymous:04/03/02 14:37
VRRPの設定マニュアル読むこと。

multicastパケットが、ハートビート打ってることが判る



367 :ipsrd:04/03/02 15:36
>>366
VRRP自体はVRRPなので、IGMPではないかも。それに224.0.0.18だし。
224.0.0.18へのIGMPはVRRP multicastを通してもらうためのmulticastでつ。
これを通しておかないと困ったことになる環境もありますね。
IGMPsnoopingなどで。

で、問題の224.*.*.*はよく分かりませぬ。でも漏れも見たことありまつ。
落としててもVRRPの動作には直接関係しないっぽいのですが、なんだろこれ?

368 :anonymous:04/03/02 16:22
ああ、インターフェースのIPアドレスといっしょとありましたね。>ぺこり
ちゃんと読んでなかった(苦笑)


369 :jones:04/03/03 00:50
>>366
以下は知人から聞いた話。そのつもりで参考までに。
#間違っていたりもっと詳しく知っている方フォローよろしく。

MultiCastにおけるIGMPは、IPにおけるICMPと同じようなもの。つまりいろいろな補助的な役割を担当。
VRRPなどのMultiCastアドレスを使用する通信において、MultiCastをしゃべるデバイス(ここではNOKIAね)などがMultiCastグループに参加したり離脱することを通知するために使用。

ただ、ipsrdさんが言うように、ほとんどのHA環境(NOKIA同士がダイレクトコネクトなネットワーク)ならIGMPを通すルールはいらない(つまりIGMPはDropされてもいい)

実際にそういう構成は経験したことないので本当にちゃんと動くのか不明だが、以下のようなNOKIA同士がダイレクトコネクトではない場合はIGMPが活躍(というか必要なはず)

 ・2台のNOKIAでVRRPによるHAを提供している環境
 ・この2つのNOKIAの間にRouterAが挟まっている(つまりNOKIA同士は別サブネット)
 ・RouterAには当然、VRRP(MultiCast)をルーティングするようにコンフィグあり

NOKIA起動時やFailover時などにNOKIAが出すIGMPが上記RouterAに伝わることで正しくMultiCastグループへの参加や離脱のメッセージがやり取りされてHAが正常に動く。
起動時だけじゃなくてケーブルを抜いたりまた挿したりしてもIGMPでるよ。
インターフェースのIPアドレスと同じ224アドレスがでるということは該当インターフェースごとにVRRPを構成しているからだと思う。

ダイレクトコネクトな環境ではVRRPだけで事が足りるよう。なぜか?もっと勉強します。


370 :cprid:04/03/03 00:51
IGMP吐くのは正常です。

371 :困り中:04/03/03 11:37
FW-1 NGで管理している社内から
外部のPPTPサーバーにアクセスしたいのですが、
HIDE-NATではうまくいきません。
STATIC-NATにすれば、アクセス出来るのですが
なんとかなりませんでしょうか?
おそらくGREのトンネルIDか何かが書き換わってるか
とは思うのですが、いい解決策が見当たりません・・・


372 :jones:04/03/03 19:33
371>>
HideNAT(IPマスカレード)はSourceのポート番号を変換するので、
ポート番号をもつIPパケット(つまりTCPかUDP)が対象。
GREやIPSec(ESPやAH)パケットなどIPの上で動くプロトコルは原理的に無理。
StaticNATでできるのはこういうこと。
 ・TCP=6
 ・UDP=17
 ・GRE=47
 ・ESP=50
 ・AH=51 などなど

IPSecパケットなどのポートを持たないプロトコルはUDPでさらにカプセル化して強引(?)にポート番号を付けて
HideNAT越えできるようにするのが一般的。
もちろん、そういう機能がVPNゲートウエイやVPNクライアント側でサポートしていればの話。
困り中さんがどういうツールを使ってPPTPしているのかわかりませんが、
クライアントおよびPPTPサーバ側にそういう機能がないか調べる必要があるのでは?

ちなみに、SecuRemote(CheckPointのVPNクライアント)はこれをサポートしてるので
HideNAT越えできる。さらにAIからは任意のTCPポート番号でカプセル化することができる
(VisitorModeというらしい)のでやりたい放題。

さて、当方はIPSec(ESP)ならHideNAT越えさせたことあるけど、
PPTP(GRE)は経験なし。お役に立てず申し訳ない。

373 :ipsrd:04/03/04 10:26
>>369

VRRPがマルチキャストルータ(or L3スイッチ)を超えるシュチュエーションよりもありがちなのは、
L2スイッチでスイッチ側がマルチキャスト制御をしてる場合かと思われ。IGMPsnoopingですな。
このsnooping、どうもスイッチの機種によって実装がえらく異なるようで意味分からんです。
Extremeあたりを繋ぐときはVRRP動かないのでsnoopingは切れって偉い人に言われまつた。
NOKIA同士が別サブネットにあるという構成は、どんなイメージでつかね。
VRRPを使ったActive-Active構成と同じように、二個backup addressを作って
上位ルータで経路選択かな。微妙に動かなさそうな…。

ポートの抜き差しで出るのはIGMPメンバシップクエリだかレポートだかいうものらしいでつ。
宛先は224.0.0.1(ALL-SYSTEMS.MCAST.NET)とか224.0.0.2(ALL-ROUTERS.MCAST.NET)とか。
あと普通に放っておいても120秒だかに1回、メンバシップレポートを投げている模様。

IGMPルータでもないNOKIAがなぜこういったIGMPを吐くのかと言えば、単純に前述の
IGMPsnoopingをよけるため(=スイッチ等にVRRPマルチキャストを捨てられないようにするため)、
ではないかなと思ってますがどうなんだろう。
IPマルチキャストの偉い人に聞いてみるとなんか分かるかも。

>>371
4.1では(制限つきながら)サポートされてた構成ですがNGでは動かなくなりますた!
とCheckPointが書いてまつね。残念。


374 :jones:04/03/05 00:17
>>373
なるほど。もっとIGMP勉強せねば。


375 :困り中:04/03/05 17:56
>>372
丁寧な回答ありがとうございます。
もう少し調べてみます。

376 :IP330:04/03/09 14:32
腐っていると噂のIP330でOSは4.1を使っています。
winのpolicy editor4.1 でpolicyを設定していたのですが、winのIPが変わった為、cpconfigで
gui clients のIPを変更したのですが、can not connect to server と出て繋がらなくなりました。
これではpolicyの設定が出来ないので、やむなく一度 fw unloadlocal をしてしまおうと思っている
のですが、gui clientの設定はクリアされて、再度cpconfigでクライアントの再設定をすれば動くよ
うになると考えてよろしいのでしょうか?
識者の方、ご意見頂けますでしょうか。
よろしくお願いします。



377 :anonymous:04/03/09 14:42
GUI clientのipアドレスだけなら、テキストファイルを
ごにょごにょするだけでOK

今回の問題は、ポリシーの中にも
Nokia Objectに対するアクセス制限がClient Objectレベルで
かかっているためと思われます。

元IPでルール確認してからやるのが吉。
(変更前に、変更後のルールを入れるのが基本)
どうしてもというなら、fw unloadして試すのは正解

とE・S・Perモードのロボットオウムより。


378 :IP330:04/03/10 07:52
素早いお返事ありがとうございます。
えっと、テキストファイルは既にごにょごにょして書き換えてみたりしてるんです。
conf/gui-clients ですね。(これだけではない?)
で、fw の再起動等をしてみているんですが相変わらずです。
変更前に変更後のルール、、有無を言わさず切り替わっていたので、、
unload で問題無いようならやってしまおうかと。
ちなみにunloadlocalをした場合は all_allow に戻ると言う認識で問題無いですよね?
telnet だけは他ホストから開いているのでそこからcpconfig等しようかと。
all_deny だったら、、、、あぁ、、寒気が、、、



379 :anonymous:04/03/10 10:03
確認必要なのはしつこいけど

Src Dist Prot
New_GUI_Client IP330 xxxx(各種コントロール) Accept
をポリシーの最初に追加してからポリシーインストール

おそらく現在は
Old_GUI_Client IP330
になっているので、このオブジェクトのIP変更も可


380 :名無しさん@お腹いっぱい。:04/03/10 11:57
VPN/FireWall-1 の市場標準的なバージョンは主にFP3が使われるもの
なんですか?

381 :名無しさん@お腹いっぱい。:04/03/12 02:20
GUI clientからの接続はimplied ruleになってないの?
もう4.1のことは忘れつつあるけど。


382 :名無しさん@お腹いっぱい。:04/03/22 17:04
保守age

383 :jones:04/03/25 00:48
最近IPSO触りだしました。(これまではほとんどSolaris案件ばっかだったので)
で、IPSO版にしかない$FWDIR/bin/ifwdデーモンって何者なんでしょうか?

オンラインマニュアルでは「インターフェース状態が変更になったときになんか
やってくれる」とか、「VRRPやクラスタ構成のときは悪影響があるのでOFFに」と。

デフォルトではON(有効)になっているけど、VRRPやクラスタ構成時にはOFFに
するのが一般的?....なぜ?ONだとなにがマズい?
一応実機(IPSO3.71&AI_R55をVRRPで構成)でいろいろ検証したけどONのときと
OFFの時の違いがわからなかった。検証たりないのかな?

ご存知の方、またはこの機能でハマった経験をお持ちの方、コメントください。

384 :名無しさん@お腹いっぱい。:04/03/25 14:36
HFA_R55_02あげ


385 :○anonymous:04/03/28 13:29
>383

ぐぐれといいたいが、一言だけ。
インターフェースカードの自動認識などに働くデーモン。
VRRP時に問題が発生するのは、ルーティング情報が変わった時に
インターフェースのON/OFFを誤認識して、バタついてしまうから。
(Fail Overの繰り返しが発生ということね)
NOKIA Knowledgebase読めば、全部書いてある


386 :○anonymous:04/03/28 13:31
>385

ついでに。デーモンを止めることによる副作用は単に
インターフェースカードなどを増設した際に自動認識しなくなるので、
いったんコマンドで認識させて作動させる必要があるだけ。
(1度だけでOK)

というわけで、通常は100害あって1利無しのデーモン


387 :名無しさん@お腹いっぱい。:04/03/28 18:06
>>380
んなこたない。

388 :名無しさん@お腹いっぱい。:04/03/29 07:40
>>387
380ではないが、市場標準はFP3と思うよ。
FP2以下は論外だし、R54,55はもう少し枯れてほしい。

389 :anonymous:04/03/30 02:06
>>388

HFA-325って見たことある人居ます?04/03版のOpenSSLセキュリティ修正が入っているらしいのですが。NOKIAサイトにはそういうパッチがあると書かれていたのですが。私が見たことあるのはHFA322まで。

R55にHFA02が出る時代でも、FP3のHFAで出続けると言うことは、FP3もまだまだ現役ということだ。R54の方が先に廃れそうな悪寒。実際あんまり使わないうちにR55出ちゃったし。

次はR60との噂。サブタイトルは何だろ。(with Application Intelligenceみたいなやつ)

390 :ipsrd:04/03/30 10:44
R54のHFA408とR55+HFA02で比較するとR54の方が微妙にバグ修正進んでるかも?
とかいう困った状態でつね。毎度のことながら。
でも今この瞬間、新規に出荷するならR55なのかな。保守との絡みでも。
FP3は保守以外にも運用面でちょっと難がありまつね。
base.defいじらなきゃいけないしログ出力なんかもAI以降に比べて無愛想。

現在進行形で動いているNG以降で最も多いのは何? ということならたぶんFP3。
少なくともFP3で動いてるのであれば、無理にAIに上げる必要性はないと思われ。
でもHFA3xxはね。。。。 できればお天道様の下に出てるパッチだけで済ませたいでつ。
障害対策のつもりで入れたHFAが予想もしなかった秘孔を突いたりするのが勘弁。
表に出てないパッチだとお客様に言い訳が立ちませぬよ。

391 :名無しさん@お腹いっぱい。:04/04/02 00:21
R55の方が確かにバグ修正進んでますわね。。
実際、現状で脆弱性や不具合がハッケンされた場合
真っ先にR55のパッチが出て後はおあずけされるケースが(苦笑
fp1、fp2なんて蚊帳の外で見てらんない。
fp3もいつまでもつやら・・・。HotFix3とか出ちゃうのかぁなぁ。




392 :389:04/04/04 12:34
>> 391

HFA-318+Security Fix相当でちゃんとテスト済みのHotfix-3とか出たらいいなぁ。R54もそろそろHotfix-1でも出して欲しい。でもCP社はFP3 Hotfix-2以来、HFAよりも安心して使えそうなパッチを出していないような。

FP2以前は、GUIの仕様面の落差を見てもCP社的には無かったことにしたいのでしょう。ただ、FP2で入れてしまったお客さんもサポートしなければならないしなぁ。4.1みたいにメーカーサポート切れで質問をRejectすることもできないし。

393 :ipsrd:04/04/04 17:00
うーん。FP2以前は実質的にObsolateでつよね。
「FP2はメーカーがメンテしていないバージョンなのでFP3以降に上げてください」
と言うしかなさげ?
Enterprise相当のライセンスを持ってるサイトならそのままR55にageれることだし。。。
制限版ライセンスでExpressにするにはどうにも差損が出るサイトで現在FP2運用中、
不具合が出てKB見てみたら「Upgrade NGFP3 or higher.」の一行レスだったりすると
頭遺体でつね。FP3+HFA318+318用HotFix数点、とするしかないのかな。
アップグレードは納得して頂いたとして、FP3のEOLがいつ来るのかがアレでつね。


394 :名無しさん@お腹いっぱい。:04/04/05 22:30
>>389
> 次はR60との噂。サブタイトルは何だろ。(with Application Intelligenceみたいなやつ)

それってマジですか・・・番号見る限りメジャーバージョンアップぽいんですけど
もうNGもサポート終了なんですか・・・とほほ

395 :名無しさん@お腹いっぱい。:04/04/07 01:15
こいつ↓に
http://www.e-lets.co.jp/news/r_m6100.htm
SecurePlathomeをインスコしたツワモノはいませんか?
まともに動けば小規模向けに良いかも

396 :名無しさん@お腹いっぱい。:04/04/09 00:48
>>395
USB-CDROMからのbootができれば、普通にインストールできそうですね。

これも良さそうですが。
http://www.hightech.co.jp/products/micro.html

397 :anonymous:04/04/09 01:19
>>395

LANコントローラ:VIA VT6103

が萎え

>>396

Ethernet:Realtek RTL8139C

が萎え

こういうNICはサーバ・ネットワーク機器では避けるべき。


398 :○anonymous:04/04/09 14:57
>397

同感。蟹は一見動いていて、サーバが突然
「反応が遅くなる」「再起動すると直る」と
ドライバの問題などにより不具合が、ランダムに
発生するので、困りものですね。

sambaの問題は有名ですが、ftpなどでも頻繁に
発生します


399 :cpha:04/04/10 01:31
いずれにしても、ライセンスが高すぎる・・・

400 :ipsrd:04/04/12 00:51
>>396-398
http://www.hightech.co.jp/products/server.html
こっちは蟹ではなくee100みたいでつ。ていうか中身入りか。。。お幾らなんだろ。

真に小規模なら現地のガラクタPC+どこかから剥がしてきたee100とかtulip+OpenBSD&PFとかRHL&iptablesとか
各人の信仰に沿った組み合わせで。
個人ベースのお仕事という感じですがブラックボックスにして運用込みで受ければみんな幸せでしょう。
普通にSIで対象が大組織のブランチならそれ用のモノを。VPN-1 Edgeと言いたいとこだけど多分NetScreen。

やっぱりSecurePlatformって存在意義が分かんない。。。

401 :名無しさん@お腹いっぱい。:04/04/14 15:13
基礎的なことで悪いが、FW1のログの管理ってみなさんどんなふうにやってるですかね?
R55使ってますが、ただTrackerを眺めてるような状態なんで…。

402 :ipsrd:04/04/19 09:36
SmartView ReporterとかWebTrends FireWallSuiteとかでレポーティング、
くらいでつかね? Reporter使ってるところはあるのかな。
フリーもので、export済ログをDBに落とし込んでくれるツールもあった気が。
ログ処理程度であればアプリ書いてみるのも一興では。

ログの扱い方ひとつ見ればそのサイトがガチかどうかよぉく分かると思うのでつが、
皆さんどうでしょう。

ログ管理・運用がもしもの時の証拠保全目的であれば、一定期間を経過したログを
アーカイブしてテープにでも放り込んでおけば、それで済むものかもしれませぬ。
普段はあの数台ぶら下がって常時リロードしてると素敵なことになる優秀なSmartView Trackerで。

一方、トラフィック診断やアクティビティ検知を本格的にやろうとすれば、
それはそれなりのコストがかかるでしょうね。
リアルタイム性が要求されるなら、そこらへんはIDS使えという気もしたり。

403 :名無しさん@お腹いっぱい。:04/04/21 12:22
アスキー形式ログの項目の並び順って
固定できないんでしょうか?


404 :ななし:04/04/23 06:49
logical serversって実運用で使われている方はいらっしゃるのでしょうか。
L4 switchを普通に入れた方が気分的に安心できるのですが。

405 :_:04/04/23 21:06
また重大なセキュリティホールが発生の通知メールかよ〜
(2004.4.20付)
バージョンアップスケジュール、どうすべか。


406 :_:04/04/23 21:09
>405

正確には、フィックスが出来上がったよメールだが。。
3日で直したのは偉いけど、、、バージョンアップする側は
検証作業とか客との折衝とか、、大変なんだぞ(藁

もう少し、安定したもの作ってよ〜


407 :名無しさん@お腹いっぱい。:04/04/23 22:07
>>405-406
すみません。そのセキュリティホールって例の
TCP RFC Alertですか?

408 :名無し:04/04/23 22:11
>407
Subject:
SECURITY ALERT: Vulnerability Issues in TCP (NISCC 236929, CERT VU#415294)(TCP and BGP)
Description:
On April 20, 2004, NISCC released NISCC Vulnerability
Advisory 224012: "Vulnerability Issues in TCP".
US-CERT, formerly known as CERT/CC, has given this
issue the names Technical Cyber Security Alert TA04-111A: "
Vulnerabilities in TCP" and Vulnerability Note VU#415294:
"The Border Gateway Protocol relies on persistent TCP sessions without specifying authentication requirements".

409 :名無し:04/04/23 22:12
>408
This issue has also been reported by Common Vulnerabilities and
Exposures (CVE) as CAN-2004-0230 and by Open Source Vulnerability
Database as OSVDB ID: 4030: "TCP Reset Spoofing

410 :名無し:04/04/23 22:13
>409
Check Point has provided a fix for this in
NG AI R55_03, NG AI R54 HFA-410 and NG FP3 HFA-325
according to the report from NISCC.

411 :ipsrd:04/04/23 23:35
さて、巷を賑わしているTCP RST脆弱性祭りでつが、
CheckPoint製品として「脆弱性がある」のはSecurePlatformのみ。
なにしろOSのTCPスタック依存の問題なので。
つまり、

×:またまたセキュリティホールがあったので直しました。マジすんません!

○:おら、そうそう鯖にパッチなぞ当ててらんない哀れなお前らのために
  SequenceVerifier機能拡張しましたよ。ありがたく使うように。

ではないかと。異様にCPの対応が早かったのもそのせいかも。
あと、調査機関によって多少やり方の違いはあれど、
基本的にこういうのはベンダに前もって情報が行きまつ。
今回ならCISCOとJuniperの足並みが揃ったところで一般発表、
というところでそ。

でもNOKIAユーザはSequenceVerifier動いてないのがデフォのような。。。


412 : :04/04/24 00:25
>393さんも書いてるけど、FP2はもう穴あっても、
目にも掛けてくれないのな..._| ̄|○

413 :名無しさん@お腹いっぱい。:04/04/24 01:45
>>411
> CheckPoint製品として「脆弱性がある」のはSecurePlatformのみ。
それは4/21に漏れも読んだのですが、翌日には「FP3以上の人はパッチをあててね」
と、いう趣旨に変わってしまってメチャあせったのですが・・・。
SecurePlatformのみと書いてるページ教えてください、おながいします。

414 :名無し:04/04/24 02:02
>411
The above vulnerability announcements contain several suggestions
for mitigating potential vulnerability. Some are management controls,
such as the recommendation not to publish TCP Source Port information
for important long lived TCP connections. Other recommendations are t
echnical. Of the technical recommendations:
IPSO and VPN-1/FireWall-1 support IPSEC for the encryption and protection
of TCP connections
IPSO has long supported RFC 2385: "Protection of BGP Sessions via the
TCP MD5 Signature Option". To enable this functionality, please see Resolution 19935.

さっきのメールは、NOKIA社からのエンドユーザ向けメールなんですけど。


415 :ipsrd:04/04/24 03:36
>>413
いやいやいや。
CP社のサポートしてるOSはSecurePlatformのみだというだけで、
他のプラットフォームもRFC793準拠のTCPスタック使ってる限りは
ばっちり脆弱だと思われ、ですよ?
遠まわしな書き方でCPに厭味言いたかっただけです。スンマセン。
あとはOSベンダのアドバイザリ嫁って感じでつかな。

>>414
なぜか411へのレス風で語尾が「なんですけど」でつね。。。どうしましたか。
意味のある反応が欲しければ自分の意見を書き、引用にはソースを明示すること。
あと情報は整理しておながいしますよ。
私はESPerモード搭載してないし、他の人のように優しくないので。


今回の脆弱性祭りは影響範囲が大きいので情報も錯綜してまつが、
RSTパケット処理の改善案を示したIETFのインターネットドラフトが詳細かつまあ読める量で良い感じ。
せっかちさんはセキュリティホールmemoと/.jpの該当トピック読んどくのが一番早し。

ちなみにRFC2385は当然のことながらピア間でTCPオプションを有効にしなければならないので、
DoS食らって落とされまくったらそのまんま大規模テロになってしまうBGPの保護など、
ごく限られたサービスを緊急避難的に保護したい時くらいしか出番ない気が。
NetBSDで早々に出てる修正はドラフトの内容取り込んでるんでしょーね。
IPSOに移植マダー(AAry

416 :jones:04/04/27 00:47
>>404
ご存知と思いますが、Logical Serverを使う = Connect Controlライセンス要です。
CPお得意の別ライセンス(有償)です。ちなみに、某代理店さんWebSiteを参照
すると定価で\1,280,000也。
このお金はL4SW(ロードバランサ)にまわしたほうが...
例えライセンスがタダでも実運用に耐えられるとは思いません。
たいしたバランシングアルゴリズムないし、Webアプリケーションでは
必須のコネクション管理(Cookieとか見てくれるやつね)やってくれません。
残念ながら、評価程度でしか使ったことないので大量リクエストにどれだけ
耐えられるかわかりません。
そもそも負荷分散処理をFWゲートウエイにやらせることに抵抗あります。
「餅は餅屋」っていいますから....

417 :_:04/04/27 14:56
>416
>そもそも負荷分散処理をFWゲートウエイにやらせることに抵抗あります。
同感ですね。(単純なラウンドロビンぐらいなら使いますけど)
他にもウイルスゲートウェイ搭載したFWアプライアンス、テストすると
擦りぬけるパターン簡単に作れてしまいます。
速度も激遅になってしまいますし。

ゲートウェイに一体になっていると助かるのは、IDSの方ではないかと
思っています


418 :名無しさん@お腹いっぱい。:04/05/02 01:11
Norton Internet Security 2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
スクリプト遮断機能がある
広告ブロックがアメリカ仕様で、お絵かき掲示板などの画像も消してしまう
スレに貼り付けてあるだけのウイルスコードに反応する
2chの過去ログ取得する時はFWを無効にしないといけない
Antispamが勝手にメーラーと統合する上に不安定(OEと相性が悪い?)
ポップアップ通知が鬱陶しい
LiveUpdateが遅い
webごとにスプリクト遮断やActiveX遮断やプライバシー制御の設定ができる
WEB閲覧するときHTMLファイルにスクリプトを埋め込む処理が重い
 (XPSP2ではデフォルトでポップアップ広告遮断機能があるので無駄になる)
回線速度が遅くなるという報告
ルールが適切ではないとの声もあるがPFWルールの自動作成が進んでいる
不正コピー・不正期限延長ユーザーが多い
個人情報を送ってるかについては疑惑は晴れず。
http://www.symantec.com/region/jp/products/nis/features.html
http://www.symantec.com/region/jp/products/nav/features.html

ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321

419 :ipsrd:04/05/05 10:18
>>417
IDS/IPSも、私見ではゲートウェイと一体化させるのはマズい気がしまつ。
RealSecure NetworkSensorのように、解析エンジンの問題で
IDS自体がワームの標的になるといった事例が出てきている現状では、
ゲートウェイ攻略の選択肢をみすみす増やしてやってるだけのような。
・・・それ言えばVPNもそうなんだが(;´Д`)
イチャモンかも。

まあ、IDSは監視対象セグメントに繋がったインターフェイスにipアドレスを
持っていない方が良いし、トラフィックも実サービスのトラフィックではなく
ミラーを利用した方がよろしいんでないの、というのもありまつ。
IDSモジュールが逝ったおかげでサービス全停止というのはイヤン。

一方、一個の箱にいろんな機能を集中させるメリットとしては、

・別々で揃えるよりも安いかも?
・メーカー/ベンダ統一できるのでサポート良好
・管理インターフェイスが統一できるので運用工数削減

売りとしてよく言われてるorざっと思いつくので上記かな。
しかし実際のところ下記のようであると思われ。

・CP社の場合はぜんぜん安くない悪寒
・餅屋に洋菓子をサポートさせることの漠然とした不安
・確かに楽そうかも

運用工数くらいしかメリットが思い浮かびませぬ。
でも他の点もメーカーやベンダ次第でメリットはでてきそう。

420 :_:04/05/05 12:53
>419

>・別々で揃えるよりも安いかも?
いま検討している商品の無制限版での比較だと、
IDS付のもので、IDS無しのFW-1の一桁低いライセンス価格。
SOHO向けRealSecure単体より安いときてる。

>・メーカー/ベンダ統一できるのでサポート良好

OSのパッチ当てとFWのパッチ当てを別にしないで良い点が楽かな。

>・管理インターフェイスが統一できるので運用工数削減

管理インターフェースの統一は当然ですが、やはり
バージョンアップが必須の製品だけに、検証工数が減るのが
助かります。(あまりに組み合わさってると検証工数は逆に増えるけど)

2年前の比較記事では、PenII400MHzで、大体PIX/IP330と同等のFW性能らしいが
実際どうなんだろうか。(50000セッション以上は扱えるようなので、ま、いいかなとも
思っているものの)


421 :ipsrd:04/05/05 13:31
>>420

> いま検討している商品の無制限版での比較だと、
> IDS付のもので、IDS無しのFW-1の一桁低いライセンス価格。

むお。ゼロいっこ引いてさんじゅうまんえん切ってるってことですか?
もし差し支えなければ、どこの製品かポインタキボンヌです。
マズいようであれば、大まかな仕様でも挙げていただければありがたし。

> バージョンアップが必須の製品だけに、検証工数が減るのが
> 助かります。(あまりに組み合わさってると検証工数は逆に増えるけど)

なるほど。パッチが一本化されれば楽ですな。
構成の提案自体も、複数メーカーの製品組み合わせるより楽にできますな。
SAMとかLEAみたいなグレイゾーンで謂れのないクレームを食らうこともなしと。

> 2年前の比較記事では、PenII400MHzで、大体PIX/IP330と同等のFW性能らしいが
> 実際どうなんだろうか。

PenII400と、IP330のK6II400(時期からすると266でメモリ64MBかも?)とでは、
ハードウェア性能の条件はまあ同じようなもんと考えてよさげでつかね。

422 :cpha:04/05/05 16:34
>>421

単純にFGじゃないの?と思ってみたり・・・

423 :ipsrd:04/05/05 17:26
>422
FortiGateって二年前からあったっけ (´・ω・`)

424 :_:04/05/05 20:38
>423

FGじゃ0一個削るのは無理でしょう。

>421
某社が日本代理店契約を進めているらしいので、それが完了しないと導入はしない予定。

普通のステートフルインスペクションFWに(Virtual Host機能など)
IDS(シグニチャは当然アップデート・修正可能)がついて、MRTG情報画面やログ解析機能とアラートメール(テキストでの携帯メールなど)機能はあり。

通信ラインは、Ethernet/PPPoE/Modem(USBモデム含む)をサポート。回線障害時の切り替えは残念ながら手動。

OSPFサポートは、この秋ぐらいになるらしい。

ここまでの分で、ライセンス価格が、ユーザ数無制限で約20万円で、年間保守費が10万円。。(初年度・・約30万になるかな)

VPNはユーザ数によって積み上げライセンス方式。拠点間VPN専用のVPNライセンス別途有り。
もちろん、NAT TraversalはサポートされているのとPPTPなどにも対応、VPNクライアントは例によってSafeNet OEM..(V9 LT..藁)

ログ転送は、SCPで可能。

45Mbpsまでの完全な帯域制御モジュール(別立て必須か?)が約60万のライセンス費に15万の保守費。。

URLフィルタリングもオプション対応

オプション追加時も、Webの設定画面タブが増えるだけの統合管理システム

保守費は、ソフトウェアアップグレード保証費兼用。年度内にはLDAP認証サポートを行う予定とのこと。

のようです。


425 : ◆JeYFCvvdow :04/05/06 01:37
>>422-424
FGでも60ぐらいだったら、IP330クラスの性能(?)かと思います。
確か30万円ぐらいだったはず。
ただねぇ、ログを保存することを考えると、色々とお金がかかる罠。
他の板でもFGの話題は出ていますが、IDSをRealSecureの代わりに
使えるかというと、まだまだです。
検知はしますが、チューニングがイマイチ。

426 :ipsrd:04/05/06 01:59
>424

なるほどー、情報thxでつ。Linuxか*BSDベースという雰囲気ですね。
冗長化はOSPFを利用する感じですかね?
それともvrrpd積んでるのかな。

>425

FortiGateはAntiVirusにしても今ひとつ感が漂ってまつね。

427 :_:04/05/06 02:10
>425

まあ、いま導入するなら、Xeon 2.4G-3.2GHzクラスですから、性能は格段に
あがりますよね。(特にIDS動作時の処理など)
ポートは当然、1000BASE-Tにしますし。(対応してることは確認済み)

それでも価格は同じなので、NS-5やRTX1000クラスでいいような場所は
別として、、ってとこです。(適材適所)


428 :名無しさん@お腹いっぱい。:04/05/07 22:49
高杉・・・

429 :名無しさん@お腹いっぱい。:04/05/08 11:04
ISAKMPセキュリティアラート age

430 :名無しさん@お腹いっぱい。:04/05/08 11:48
Netscreen等を使うと、FW-1はOSとFW-1ソフトの両方をメンテしないといけないのでめんどくさいな
アプライアンスも出ることは出てるが、もっと性能が高く1UでHDDなしOSはFlashで、
大量のコンフィグファイルではなく一つのコンフィグで、
ハード交換時はコンフィグさえ流し込めばいいようなのをきぼん

また、せっかくSWベースだからIPS機能も入れろ

431 :ipsrd:04/05/08 19:50
>430
それはFireWall-1という名前のNetScreenを作れということでつね(´・ω・`)
NortelのASFとかどう? 触ったことないのでよく知らないけど。
あとIPSは既に実現しているかも。

174 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)