７月の作業報告

WINSをすっかり忘れてました。	2001/0726
本日やっとサーバ部屋が整理された。 Linuxマシンに関しては、唯繋げただけだったが、GWのルーティング機能が上手くいかなかった。というのも、ルーティング情報を読み取る事はできていたが、192.168.4.80に対して、自分のテーブル情報を送信していなかった。一応デーモンを停止して、/usr/sbin/routed -s でルーティングテーブル情報を送信するようにすることで、この問題　をクリアーしたが、多分時間的な問題もあるのではないかなと。 NTのPDCとBDCの設定 DHCPサーバのアドレスプールの指定と、種々のサーバの登録。 NTは基本的に設定が楽。であるが、どこにどれがあるかと結構探すのが不便というか、まとまりがないような感じ。次に、2kクライアント(ITRAD)から(HONSHA）に対してブラウジングを行ったが、ITRADしか見えなかった。GWの設定もしっかり行っているのでそのはずはないと思ったが、これはIPブロードキャストによる問題でした。すっかり忘れてました。しかしこれはITRADのWINDSサーバとHONSHAのWINDSサーバでそれぞれ複製ウィンズのプッシュとプルを設定することで回避できた。 SIRCAMウィルスについてこれは http://www.trendmicro.co.jp/virusinfo/index.asp でウィルスについて調べた。ここではそれの解説と修復ツールを手に入れることができる。

WINSをすっかり忘れてました。

2001/0726

本日やっとサーバ部屋が整理された。
Linuxマシンに関しては、唯繋げただけだったが、GWのルーティング機能が上手くいかなかった。というのも、ルーティング情報を読み取る事はできていたが、192.168.4.80に対して、自分のテーブル情報を送信していなかった。一応デーモンを停止して、/usr/sbin/routed -s でルーティングテーブル情報を送信するようにすることで、この問題　をクリアーしたが、多分時間的な問題もあるのではないかなと。

NTのPDCとBDCの設定
DHCPサーバのアドレスプールの指定と、種々のサーバの登録。 NTは基本的に設定が楽。であるが、どこにどれがあるかと結構探すのが不便というか、まとまりがないような感じ。次に、2kクライアント(ITRAD)から(HONSHA）に対してブラウジングを行ったが、ITRADしか見えなかった。GWの設定もしっかり行っているのでそのはずはないと思ったが、これはIPブロードキャストによる問題でした。すっかり忘れてました。しかしこれはITRADのWINDSサーバとHONSHAのWINDSサーバでそれぞれ複製ウィンズのプッシュとプルを設定することで回避できた。

SIRCAMウィルスについて
これは http://www.trendmicro.co.jp/virusinfo/index.asp でウィルスについて調べた。ここではそれの解説と修復ツールを手に入れることができる。

いろいろありました	2001/07/23
IPSecで内部ネットワークの暗号化　 IPSecを使って、192.168.4.0/24と192.168.10.0/24でのネットワークの運営。今までの設定ファイルでは結局、10側から4へのパケットの送信は不可能。もう一度 ipsec.conf ファイルを確認。ファイル内のGW192.168.10.1内の subnetを今まで記述していなかったところを192.168.0.0/16とした所、きちんとGWとして認識するようになった。どうやら、今までは、このGWマシンがただのホストとしてしか認識していなかったようです。 GWでのルーティング情報の送受信先日のオプションの設定(-s)では、自分のGWのルーティング情報を送信はするが受信をしなかった。どうやら(-g)で、受信を行う。これをroutedに書き換えた。

いろいろありました

2001/07/23

IPSecで内部ネットワークの暗号化
　 IPSecを使って、192.168.4.0/24と192.168.10.0/24でのネットワークの運営。今までの設定ファイルでは結局、10側から4へのパケットの送信は不可能。もう一度 ipsec.conf ファイルを確認。ファイル内のGW192.168.10.1内の subnetを今まで記述していなかったところを192.168.0.0/16とした所、きちんとGWとして認識するようになった。どうやら、今までは、このGWマシンがただのホストとしてしか認識していなかったようです。

GWでのルーティング情報の送受信
先日のオプションの設定(-s)では、自分のGWのルーティング情報を送信はするが受信をしなかった。どうやら(-g)で、受信を行う。これをroutedに書き換えた。

結局 netconf で済むんです	2001/07/19
3台のLinuxマシンでFreeS/WANを使った暗号化を行った。今までやっていたトポロジとはことなり、それぞれをピアツーピアで接続する事になった。また、各ipsec.conf ファイルをベタ書きではなく、include ipsec..conf とすることで、それぞれのファイルを一つ作成すればそれを共有すればいい事が判明。 GWの設定。今まで、192.168.10.0/24内だけであったが、192.168.4.0/24との接続を試みる。ここの設定は以下のとうりである。 eth0＝192.168.4.54 GW ＝192.168.4.80 mask＝255.255.255.0 eth1＝192.168.10.1 GW ＝192.168.10.1 mask＝255.255.255.0 IPSec* ipsec..confをWindowsのWordで作成したものは記述が同じでも、認識されなかった。これは、それぞれの改行コードが異なるためであろう。 GWの設定* 適切なテーブルの設定を行ったにも関わらず、192.168.4.80でのテーブルの表示に192.168.10.0への経路が無かった。これは、RIPがGW上で働いていないためでこれを早速インストールした(routed)。これで、RIPが機能しているはずなのだがなかなか上手いこと行かなかった。それは、これはデフォルトでは相手のRIPは受け取るが、こちらからの送信(-s オプション) が無かったためである。また、 /etc/init.d/routed の初期化の所を修正。これで解決できた。

結局 netconf で済むんです

2001/07/19

3台のLinuxマシンでFreeS/WANを使った暗号化を行った。今までやっていたトポロジとはことなり、それぞれをピアツーピアで接続する事になった。また、各ipsec.conf ファイルをベタ書きではなく、include ipsec.*.conf とすることで、それぞれのファイルを一つ作成すればそれを共有すればいい事が判明。

GWの設定。今まで、192.168.10.0/24内だけであったが、192.168.4.0/24との接続を試みる。ここの設定は以下のとうりである。
eth0＝192.168.4.54
GW ＝192.168.4.80
mask＝255.255.255.0

eth1＝192.168.10.1
GW ＝192.168.10.1
mask＝255.255.255.0

IPSec
ipsec.*.confをWindowsのWordで作成したものは記述が同じでも、認識されなかった。これは、それぞれの改行コードが異なるためであろう。
GWの設定
適切なテーブルの設定を行ったにも関わらず、192.168.4.80でのテーブルの表示に192.168.10.0への経路が無かった。これは、RIPがGW上で働いていないためでこれを早速インストールした(routed)。これで、RIPが機能しているはずなのだがなかなか上手いこと行かなかった。それは、これはデフォルトでは相手のRIPは受け取るが、こちらからの送信(-s オプション) が無かったためである。また、 /etc/init.d/routed の初期化の所を修正。これで解決できた。

libpcapのバージョンアップでFreeS/WANも再インストール(泣)	2001/07/17
FreeS/WANでコネクションの暗号化本日、各マシンへのFreeS/WANのインストールはすべて完了した。次に実際に通信のやり取りを行うための設定を行う。インストール完了と同時に /etc/ipsec.secrets にRSA公開鍵と秘密鍵が生成される。これは、手動で生成も可能。 # rsasigkey 次にipsec.confでコネクションの定義を行う。まず、テストとしてピアツーピアでのテスト。実際に設定のほうはいたってシンプルであった。 GWの設定それぞれのマシンは2枚のNICが備わっていて、それぞれが直列に繋がっている。1台がFW、1台が192.168.4.0/24とのGW。そして、一つがIDSである。その3台とも192.168.10.0/24の内部ネットワークであるから、IDSもGWである。これらの設定に非常にてこづった。結果的にはlinuxconfかnetconfでのRouterの設定で済むことも分かったのだが。IDSではないマシンはother routes to hosts。そしてIDSでは routes to alternate local net 内を定義すればよい。その後、もちろん # netstat -rn でルーティングテーブルを確認しました。今回テスト終了後、snort の最新版1.8があったので、さっそく再インストール。ここで、今まで、できてたデータの暗号化が終わってしまった。問題点は多分libpcapもアップグレートしたためであると推測する。ということで、今日の帰りに再インストール。

libpcapのバージョンアップでFreeS/WANも再インストール(泣)

2001/07/17

FreeS/WANでコネクションの暗号化
本日、各マシンへのFreeS/WANのインストールはすべて完了した。次に実際に通信のやり取りを行うための設定を行う。インストール完了と同時に
/etc/ipsec.secrets
にRSA公開鍵と秘密鍵が生成される。これは、手動で生成も可能。
# rsasigkey
次にipsec.confでコネクションの定義を行う。まず、テストとしてピアツーピアでのテスト。実際に設定のほうはいたってシンプルであった。

GWの設定
それぞれのマシンは2枚のNICが備わっていて、それぞれが直列に繋がっている。1台がFW、1台が192.168.4.0/24とのGW。そして、一つがIDSである。その3台とも192.168.10.0/24の内部ネットワークであるから、IDSもGWである。これらの設定に非常にてこづった。結果的にはlinuxconfかnetconfでのRouterの設定で済むことも分かったのだが。IDSではないマシンはother routes to hosts。そしてIDSでは routes to alternate local net 内を定義すればよい。その後、もちろん
# netstat -rn
でルーティングテーブルを確認しました。

今回テスト終了後、snort の最新版1.8があったので、さっそく再インストール。ここで、今まで、できてたデータの暗号化が終わってしまった。問題点は多分libpcapもアップグレートしたためであると推測する。ということで、今日の帰りに再インストール。

MBRに上手くインストールできません。	2001/07/15
IDS用のLinuxマシンはBootFloopｙからの起動しか受け付けなかった。 MBRにliloを書き込んでも、liloが起動しなかった。とりあえず、再インストールしたが、結局駄目。HDに問題があるのだろうということで、 Low Level Formatを試みる。これは、各HDのメーカにそれぞれのプログラムがあるので早速DLして、試みる。これを行った後、再インストールを試みたがこれまた駄目。よくよく見てみると、BIOSの設定のところで HDのところがAutoではなかったためである。このマシンは以前違う人が使っててしかも、その時のHDは20GByteと表示(実際は1G)。そのまま1.6 Gのハードディスクに変えてしまっていたので、今までここの設定はいじった事がなかったので、考慮していなかったという、基本的なミスでした。 SSHの脆弱点はいまだ解決できていない問題がある。Security Focus 参照。ここでは、各サービスの認証をPAMを使って行うところに付け込んだ問題があるらしい。しかし、現段階ではそれほど問題ではないであろうとの事で、パッチ待ちでいいと判断した。現実的な攻撃方法はまだなく、そういう攻撃ができるらしいとの事だ。

MBRに上手くインストールできません。

2001/07/15

IDS用のLinuxマシンはBootFloopｙからの起動しか受け付けなかった。 MBRにliloを書き込んでも、liloが起動しなかった。とりあえず、再インストールしたが、結局駄目。HDに問題があるのだろうということで、 Low Level Formatを試みる。これは、各HDのメーカにそれぞれのプログラムがあるので早速DLして、試みる。これを行った後、再インストールを試みたがこれまた駄目。よくよく見てみると、BIOSの設定のところで HDのところがAutoではなかったためである。このマシンは以前違う人が使っててしかも、その時のHDは20GByteと表示(実際は1G)。そのまま1.6 Gのハードディスクに変えてしまっていたので、今までここの設定はいじった事がなかったので、考慮していなかったという、基本的なミスでした。
SSHの脆弱点はいまだ解決できていない問題がある。Security Focus 参照。ここでは、各サービスの認証をPAMを使って行うところに付け込んだ問題があるらしい。しかし、現段階ではそれほど問題ではないであろうとの事で、パッチ待ちでいいと判断した。現実的な攻撃方法はまだなく、そういう攻撃ができるらしいとの事だ。

FreeS/WANのインストールは前途多難!	01/07/11
IPSec FreeS/WANの導入。今回カーネルの再構築を行う必要があった。最初インストールした設定があるのであろうということで(インストール時にカーネルをインストールしているので)、そのまま再構築を行った。その結果起動できなくなってしまった(これは全く当たり前の事で、インストール段階では、/usr/src/linux以下に.configファイルは存在しなかった)。ってことで、最初からカーネルのコンパイルをする必要があるのだが、これが遅いのなんの。一回一時間は当たり前でした。いっても、マシンスペックが無茶悪い。いまどきPentiumはないでしょう。これで、コンパイルインストール、再起動で起動しないときはもう悲惨でした。これから、カーネルの再構築はハードウェアの構築、その後ネットワークやファイルシステムを構築する2段階でやっていこう。

FreeS/WANのインストールは前途多難!

01/07/11

IPSec FreeS/WANの導入。今回カーネルの再構築を行う必要があった。最初インストールした設定があるのであろうということで(インストール時にカーネルをインストールしているので)、そのまま再構築を行った。その結果起動できなくなってしまった(これは全く当たり前の事で、インストール段階では、/usr/src/linux以下に.configファイルは存在しなかった)。
ってことで、最初からカーネルのコンパイルをする必要があるのだが、これが遅いのなんの。一回一時間は当たり前でした。いっても、マシンスペックが無茶悪い。いまどきPentiumはないでしょう。これで、コンパイルインストール、再起動で起動しないときはもう悲惨でした。
これから、カーネルの再構築はハードウェアの構築、その後ネットワークやファイルシステムを構築する2段階でやっていこう。

各LinuxマシンのVulnerbirityをチェックしよう。	2001/07/14
カーネルの再構築とデーモンの再設定を行った3台のLinuxマシンに対して、nessusを使った脆弱点の検出を行った。一度目の検出ではポート1023が空いているという警告だった。/etc/service 以下のファイルで何のサービスが空いているかを確かめたが結局どのサービスもなかった。よくよく調べてみるとRPCによって開かれたポートであることが判明。そして、これはデーモンでportmapによるものだった。さっそくこのデーモンの停止。 # chkconfig portmap off これによって脆弱点は検出されなくなった。

各LinuxマシンのVulnerbirityをチェックしよう。

2001/07/14

カーネルの再構築とデーモンの再設定を行った3台のLinuxマシンに対して、nessusを使った脆弱点の検出を行った。
一度目の検出ではポート1023が空いているという警告だった。/etc/service 以下のファイルで何のサービスが空いているかを確かめたが結局どのサービスもなかった。よくよく調べてみるとRPCによって開かれたポートであることが判明。そして、これはデーモンでportmapによるものだった。さっそくこのデーモンの停止。
# chkconfig portmap off
これによって脆弱点は検出されなくなった。

ITRAD Linuxネットワーク	01/07/09
FireWallの設定。今回kernel2.3.3から導入されたiptablesを使わずに、ipchainsを用いることにした。その理由として参考文献が豊富にある事。また、iptabalesを用いるにはkernelの最構築が必要であることから、今回はipchainsにした。よくよく調べてみると、設定方法はたいして変わらない。変更点としてアドレス変換がことなることである。今回はまだそこまでは行う予定ではないので、今度NATを用いる際にはiptablesを使うつもりである。 IDS snortの使用。rulesファイル(何を検出するかの約束ごと) をDLし、その設定を行った。具体的なテストは内部ネットワークが運営できるようになってからになる。 IPSec FreeS/WANの導入。今回は内部ネットワークの暗号化に SSHではなく、IPSecを採用するとのことでLinux上で動作する FreeS/WAN を使うことにした。設定等は明日からになる。

ITRAD Linuxネットワーク

01/07/09

FireWallの設定。今回kernel2.3.3から導入されたiptablesを使わずに、ipchainsを用いることにした。その理由として参考文献が豊富にある事。また、iptabalesを用いるにはkernelの最構築が必要であることから、今回はipchainsにした。よくよく調べてみると、設定方法はたいして変わらない。変更点としてアドレス変換がことなることである。今回はまだそこまでは行う予定ではないので、今度NATを用いる際にはiptablesを使うつもりである。 IDS snortの使用。rulesファイル(何を検出するかの約束ごと) をDLし、その設定を行った。具体的なテストは内部ネットワークが運営できるようになってからになる。 IPSec FreeS/WANの導入。今回は内部ネットワークの暗号化に SSHではなく、IPSecを採用するとのことでLinux上で動作する FreeS/WAN を使うことにした。設定等は明日からになる。