8 月

 ● FWのテスト 2001/8/10

FWのテスト
以下のネットワークを構成。

blue-firewall 192.168.4.174 192.168.12.60
blue-linux 192.168.12.10
green 192.168.4.153

---------------------------------------------------------



 ● IPChains 2001/8/09

192.168.10.0/24と192.168.12.0/24とのGW上にFWの構築。
前回と同様にBastille linuxを使う予定だったが、どうやらコンパイルできないので、ipchains、iptablesの両方をそれぞれ使ってみることにする。それぞれの基本的方針は、まず全てのパケットを破棄し、それから、じょじょにポートを開けていく。

input 192.168.10.0/24
forward (ここでforwardingをDENY)
output 192.168.12.0/24
  次にIPSpoofingを防ぐために、inputから来るパケットの送信元が192.168.12.0/24であった時にこのパケットをDENY

# ipchains -A input -s 192.168.12.0/24 -i eth0 -j DENY
またコマンドラインから

# for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f
でも OK。
次にforwardで全てのパケットの破棄をしているので、

in-out srcが192.168.12.0/24
out-in dstが192.168.12.0/24
と新たなチェインを作成し、これを

# ipchains -A forward -s 192.168.12.0/24 -j in-out
# ipchains -A forward -d 192.168.12.0/24 -n out-in
として、送信元またはあて先が192.168.12.0/24のパケットを認めることにします。
ここでICMPについても、フィルタリングするが、それぞれのタイプを指定すればよい。タイプまたはコードがわからない時は、

# ipchains -h icmp
でチェックできる。

# ipchains -A icmp-err -p icmp --icmp-type destination-unreachable -j ACCEPT
これを

# ipchains -A in-out -p icmp -j icm-err
としてICMPについても同様の事をしている。
そして次にin-out、out-inについてそれぞれのポリシーにもとづいた設定を行う。今回Vertual上でFWを構築し内部ネットワーク192.168.10.0と通信を行うので、以下のポリシーを設定する。

in-out
外へのwww、ftp、traceroute、ssh @
メールサーバへのSMTP許可    A
メールサーバへのPOP3許可 B
ネームサーバへのDNS許可 C
串への8080許可 D


out-in
メールサーバからpop3許可 E
DNSのアクセプト可 F


@ipchains -A in-out -p tcp --dport ssh -j MASQ
Aipchains -A in-out -p tcp -d 192.168.4.70 smtp -j ACCEPT
Bipchains -A in-out -p tcp -d 192.168.4.70 pop3 -j ACCEPT
Cipchains -A in-out -p tcp -d 192.168.4.97 domain -j ACCEPT
Cipchains -A in-out -p udp -d 192.168.4.97 domain -j ACCEPT
Dipchains -A in-out -p tcp -d 211.15.46,26 8080 -j ACCEPT
Eipchains -A out-in -p tcp -s 192.168.4.70 pop3 ACCEPT
Fipchains -A out-in -p tcp -s 192.168.4.97 domain ACCEPT

---------------------------------------------------------



 ● Samba と Routing 2001/8/08

WinとLinuxのファイル共有
Sambaを扱うには3つのファイルが必要。それぞれrpm形式であるので、それぞれをDLしインストール。samba、samba-conf、samba-clientでsamba-confからインストールする。次に/etc/samba/smb.confを変更する。変更箇所は、
workgroup=ドメイン名 
encript passwd=Yes  
次にSamba Passwordの作成
# addtosmbpass ユーザ名 /etc/samba/sambapasswd
# sambapasswd ユーザ名 これでファイル共有が可能。

Routed
VMWareで片っ端からVMNetをインストールすると、外とつなぐ事ができなくなるようです。具体的には、hostベースでインストールして割り当てられたもの(今回はVMNet0)は新しくネットワーク追加してはいけません。
ってことで、今回のVertualでのネットワークトポロジは、

host0 192.168.12.10 192.168.13.10
host1 192.168.12.20 192.168.13.20
host2 192.168.14.30
host3 192.168.13.10

です。次にそれぞれのルーティングについては、

host0 192.168.13.0のGW 13.10に静的に指定(netconf)。routedの通知と受信。
host1 192.168.14.0のGW 14.20に静的に指定。routedの通知と受信。
host2 Default GWに192.168.14.20に静的に指定。routedの通知。
host3 Default GWに192.168.13.10に静的に指定。routedの通知。

---------------------------------------------------------



 ● Syslogマシンの構築 と VMWare 2001/8/07

syslogサーバの設定。
Unixのマシンではsyslogdでlogの設定ができるが、各マシンで生成されたlogを集中管理する事が出来ると非常に便利である。本日はそれを行った。いきなり各マシンに記述するのはよくないのでVMWare上の4台のマシンで試すことにした。よくよく見ると結構設定は簡単で、logサーバ側の設定は /etc/init.d/syslog の中で/etc/init.d/syslogを読みに行ってるのでそこに他のマシンからのログを受け付けるためのオプション(-r)を追加。クライアント側では/etc/hostsファイルにsyslogサーバを追加しておき、また、/etc/syslog.confにファシリティとプライオリティを決めて、そのサーバを@sysloghostのように記述することで、すべて可能になる。

VMWare上で、3つのセグメントに分けたルーティングについての設定
ITRADではRIPとRIP2ベースのroutedを用いたが、他のプロトコルを用いたルーティングについても抑えることが重要である。今回それようのアプリケーションである zebraを用いる。これはルーティングプロトコルが殆ど使える優れものらしい。本日は、それを行える環境作りで終わった。具体的には
VMNet0 192.168.13.1
VMNet1 192.168.12.2
VMNet2 192.168.14.1
VMNet3 192.168.15.1

と、ホストOS上でのセグメンとの分割を行った。次に4台のマシンとのトポロジは以下である。
blue-linux0 192.168. 12.10 13.10 (eth1/eth0)
blue-linux1 192.168. 12.20 14.20 (eth1/eth0)
blue-linux2 192.168. 14.30
blue-linux3 192.168. 13.40
192.168.12.0 VMNet1,192.168.13.0 VMNet0,192.168.14.0 VMNet2

---------------------------------------------------------



 ● 2KとNT 2001/8/06

Win2kとNTの基本的な脆弱点の修正
NTにはSP6aまでのインストールのマニュアルがあり、それを実行した。具体的には SP3 IE4.01 OptionPack SP4 IE5 SP5 SP6a となり、それ以降のSPについても、
http://www.microsoft.com/japan/technet/security/nt4srp.asp
でSRPがあるのでそれを当てればよい。2Kについては、基本的なSecurity対策を同サイトでチェックした。まだ 2Kについては不慣れであるので、このサイトは重宝できる。

---------------------------------------------------------



 ● Bastile linux と VMWare 2001/8/02

FWの設定。
昨日、FWとしてのパケットフィルタリングしているかが疑問だったので、もう一度設定のやり直しを行った。この際、どうも解釈の仕方が違っていたので、これを変更した。具体的には、interfaceという言葉に惑わされてどのポートを通すかを記述していなかったので、それを変更。次にもう一度スキャンを行うが、そのポートがオープンしていない。今度は、コンソールからbastille-firewallの再起動で、エラーが発生していることがわかった。それには、iptableが起動していない点、モジュールを読み込んでいない点である。この2点を修正するために カーネルの再構築後、起動するとそのエラーはなくなった。しかし、NATについてのエラーがあったがとりあえず、フィルタリングが行えれば後は修正できると考え、とりあえず、この状況で再度設定を行い、iptable -L でその構成を見た。やはりIPMasquraidのところが上手くいっていないようである。これの解決策としては、このFWをGWではなくBridgeにすることで、回避できるのではないだろうか。

---------------------------------------------------------




 ● Bastile linux と VMWare 2001/8/01

FWのテスト nmap nessusを用いて、脆弱点の検出を行う
この結果不思議な事に開いてるポートが一つもなかった。Bastille FireWallが起動していないのかと思ったがそんな事もなく、しっかりそういったスキャンに対してログもとっているし、またnmapによるポートスキャンはそういった検出をすべて破棄していた。

NTのインストール
CDROM、FDのインストールを全く受け付けないのでとりあえず95をインストールしてから、95上からNTのインストールを行った。
これも98のインストールと同様のconfig.sysの修正。しかし、常に安定した起動をする事ができなかった。これはいったいどういう事か?これもいろいろ調べてみると、簡単に言うとどうやらマシン自体が早すぎてOSが安定しないという事である。これを回避するためには、たとえば複数のVMWareを起動して重くしてから、行えば対処できるのではないだろうか?
---------------------------------------------------------