1read 100read
2011年10月1期セキュリティ[Check Point] VPN-1/FireWall-1 CF1 TOP カテ一覧 スレ一覧 削除依頼
・ 次のスレ
Gladiator AntiVirus
祝! 山口先生就職先決定
【実はプロバイダーがハッカーだったら?】
日々変化するセキュリティの「常識」YES/NOクイズ


[Check Point] VPN-1/FireWall-1 CF1


1 :03/02/07 〜 最終レス :11/01/10
 
CheckPoint VPN-1/FireWall-1(FW-1)について、
本格的な運用や技術に関する討論を展開して参りたく、
本スレッドを存分にご活用ください!!
♪ VPN-1/FireWall-1 を利用するにあたっての心構え ♪
其の壱 英語の(エラー)メッセージにくじけない!
其の弐 ログはためても 100MB くらいまでにしましょう。
其の参 本番運用で SecurityServer の機能は使わない!
其の四 AIX, HP での運用はサポート外とさせて頂きます。
其の伍 Motif GUI のライセンスを買うなら、Windowsマシンを買おう!

2 :
 
チェックポイント 日本法人 ウェブサイト
http://www.checkpoint.co.jp/
Check Point Headquarters' website
http://www.checkpoint.com/
OPSEC - FireWall-1 との連携動作認定に関する公式サイト
http://www.opsec.com/
SecureKnowledge - 開発元が提供している、くデータベース
http://support.checkpoint.com/
一般の方には "Public Access" をクリックして頂くことで、
こちらのデータベースへのアクセスが可能となっております。

3 :

   ∧△∧
  < `∀´>
  │∪  つ 果たしてどれだけのユーザがこの板にいるニダ?
  ∠___丿

4 :
>>1
サポート入ってないとパッチもらえない
というのはホントですか?

5 :
 
>>3 さん
私がこのスレッドを立てたことで、うちわの人間や FireWall-1 ユーザの
方々が、続々と集まってくるとの情報が得られておりますので、最低でも
“5人”くらいはいらっしゃるかと思います。
>>4 さん
はい、本当だと思います。
私の知る限りでは、保守(サポート)契約を結んでいるお客様だけが、
パッチを提供してもらえています。
念のために、FireWall-1 の販売代理店さんや、サポートサービスを
提供している会社さんへ、問い合わせてみるのが良いかと思います。

6 :
>>4
ほんとです。契約してるとパッチやらサービスパックやらの
お知らせメールが届く。そのメールに記載されたID/PASSで
ないと落とせない。
もーね、なんつーか一時期のCISCO以上の殿様商売。

7 :
ログ吐かせるとき -n オプションをつければIPアドレスになることを最近知ったんですが、ポート番号を吐かせるにはどうすれば?

8 :
セッションの維持が1時間ですが、無制限にでいますか?

9 :
(・3・) アルェー 誰もいないYA!

10 :
今後はNG(Ver5.0)でもHP-UXをサポートしていくみたいだね
ただしIA64だけらしいけど

11 :
 
>>7-8 殿様商売の顧客さん
ポート番号を吐かせるということは、FireWall-1 で定義されている
Service名をポート番号に変換して…
たとえば、"http" を "80" というように…
ログに表示させるということでしょうか!?
マニュアルにその方法が掲載されていないようでしたら、出来ないと思います。
Service名をポート番号に変換してログ出力するということは、
私も試してみたことがありませんので、ちょっと調べてみたいと思います。
ご存知の方がいらっしゃったら、教えて下さいませ。m(_ _)m
セッションの維持を無制限にすることですが、これはたとえ設定出来たとしても
セキュリティ上好ましくないと思いますので、設定しないことをお勧めします。
ちなみに、"TCP Session Timeout" の "3600s(1時間)" を変更することは、
[Global Properties] の [Stateful Inspection] から設定可能です。
上限値は、"86400s(1日)" だったと思います。

12 :
1さん、丁寧なご回答ありがとうございます。
殿様商売の顧客(7のほう)です。(8さんとは別人です)
まさに1さんがお書きの通りのことをやりたくて、
-a, -b, -c, ... とでたらめにやってみたのですが、
悪あがきに終わり、力尽きました。
もしおわかりになれば、教えてください。
FW-1は圧倒的なシェアのはずなのに...
個人向けではないせいか、このスレ寂しい...

13 :
あれっていくらぐらい?PFWとの違いは?機能面での。
だいたいでいいので教えてください。

14 :
 
>>7 さん
8 さんと混同してしまい、申し訳ありませんでした。(;^_^A
ログのポート番号表示出力の可否ですが、出来るかどうかも含めて、
引き続き調べてみたく思いますので、しばしお待ちの程…
>>13 さん
検索エンジンで、“Check Point VPN-1/FireWall-1 価格表”といった
キーワードから検索してみたら引っかかると思いますのでお試し下さい。
あとは、管理されるネットワーク構成やご要望のセキュリティポリシーと
照らし合わせて、どのライセンスを購入するか決められたらよろしいかと。
PFW(Personal Firewall、パーソナル・ファイアウォール)との違いは、
パーソナル・ファイアウォールが1台のパソコンを守るのに対し、
FireWall-1 を含む企業向けファイアウォール専用装置は
ネットワーク全体を守ることが出来る、といったところではないでしょうか。
上記の他にも異なる点は多々あると思いますので、
>>2 に貼ったリンク先ウェブサイト等を参照してみて下さいませ。

15 :
依然寂しいですね。保守age。
他にもいろいろ聞きたいことがあるので、
1さん以外にも詳しい人降臨希望。
13さんが価格を気にされていますが、ネタですか?と
問い詰めたいほど高額ですよね。このご時世、そんな
に金はたいて、果たして費用対効果はどうよ?って感じ。
パソコンにLinux入れて、NIC2〜3枚挿して、フリーの
FWソフト入れれば、パケットフィルタリングしかやらない
のなら、それで十分かつ安上がりかなと...安易かな?

16 :
(・3・) アルェー

17 :
www.phoneboy.com
なら情報交換活発ですよ。ただし英語ですが。

18 :
 
言い遅れましたが、基本的に私がここで設定等に関して書きこむ際には、
FireWall-1 の最新バージョンでの設定内容を書きこむように致します。
つまり現時点では、
FireWall-1 NG(Next Generation) FP(Feature Pack)3 での
設定内容をベースに話しているとお考え頂ければ結構です。
>>7&15 さん
fw logexport では、やはりポート番号表示できないことが判明致しました。
その代わりと言ってはなんですが、GUI:SmartView Tracker(旧 Log Viewer)
上では、Service名 ==> ポート番号と、ボタン一つで変換して閲覧できるように
なっておりますので、こちらでご満足頂ければ幸いです。
ちなみに、少々時間がなく検証していないので何とも言えませんが、
# fw log -(ポート番号変換オプションがあれば入力) > fw_20xx-1231.txt
以上から、Service名の代わりにポート番号が表示された fw logexport の
結果もどきが入手できるかもしれませんね。
>>8&11 さん
TCP セッションを維持できる上限時間は、やはり "86400s(1日)" でした。
GUI:SmartDashboard(旧 Policy Editor)上で TCP Session Timeout 値の
上限を探ってみればすぐにお分かり頂けると思いますので、お試し下さいませ。

19 :
>>14、>>15 レスサンクス。
ネットワークを守るという点でやっぱ高いのかな?
僕はPFWはたいていはアプリケーションレベルゲートウェイのタイプで
確かにPCを守るのには堅牢だと思います。パケットフィルタ
ステートフルらと比べて最高の防御能力がありますからね。でも
やっぱ企業向けはさらに細かいことができるのかなと。
なんか知らないけど。そういう面で気になったんで。
やっぱファイアウォールにIDSというのは常識になりつつあるのでしょうかね?
穴があってもIDSなら悪意あるパケット等があればはじけますし。

20 :
>>17
とにーさん、情報ありがとうございます。
のぞきはしましたが、まずは英語を...がんばります...(汗)
>>18
1さん、わざわざありがとうございます。
fw log のオプションで出来るか、もう一度あがいてみます。
NGですか...うちのは過去の遺物...
>>19
13さんの話、難しくてついていけない...(涙)

21 :
■■わりきり学園■■
コギャルからまで
素敵な
ゲイ、レズビアンなどコンテンツ豊富
http://www.geocities.jp/kgy919/deai.html

22 :
あんたたちはSOHO向けの使ってるんですか?
なぜかこういうのって公式HPにいってもなぜか価格表が
見当たらなかったりするんだよね。だけど7万ぐらいだっけ?
ソニックは14万ぐらいだけど。買おうかと思ったけど手続き等が
面倒くさそうだったのでやめた。店頭販売で3ライセンスぐらいまでで
その分4万ぐらいだったら買ってもいいけどw

23 :
>>22
まさにケタ違いです...ここなんてどうでしょう。
http://www.forvalcreative.com/jpn/pro/vpn1_fw1_ng/price.html#NG
以前某代理店に見積りを依頼したら、5番の300万円が、
値引きして225万とのこと。ふぅ...

24 :
>>19
PFWがアプリケーションゲートウェイという分類は誤りだと思います。
あるいはそれが、ステートフル・インスペクションより防御能力がある
というのも論理的には?ですね。
企業向けに細かいことができるというのはそういう見方もできるでしょうが、
細かいというよりむしろ付加価値ですね。
FW-1は純なファイアウォールとしての機能以上に付加価値機能が多いのです。
認証、NAT、VPN、ロードバランシング、コンテンツベクタリングプロトコル、
ハイ・アベイラビリティ....
全部ゲートウェイポイントにいれてしまえばいいでしょ
という発想ですね。それはそれでいいのでしょうが、何分巨大化してしまって...
すくなくともFW-1は120%企業向け製品です。使ってるヒトは限られているので、
PFWやウィルス系に比べたらこのスレに投稿が少ないのも当然で...
IDSとファイアウォールの併合は、IPSといいまして最近の傾向ではあります。

25 :
http://www.nanet.co.jp/rlytest/relaytest.htmlより
_@hyogo.mie-c.ed.jp を担当するメールサーバー
_@menmail.mie-c.ed.jp (pri=10)
<<< 220 CheckPoint FireWall-1 secure SMTP server
問題あり:不正な中継を受け付けます。
(210.236.163.18)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。

26 :
 
>>20(7)さん
なんらかの方法で上手く結果が出ましたら、お使いの FireWall-1 のバージョン
と共に、実施された方法を教えて頂ければ幸いです。m(_ _)m
>>25さん
FireWall-1 の SMTP Security Server がメールの不正中継対策をできない!?
ということを懸念されてのご指摘とお見受け致しましたが、だと致しましたら、
2点ほど申したいことがございます。
1. 基本的に、メールの不正中継対策はメールサーバ側で設定して下さい。
2. FireWall-1 でのメールの不正中継対策は、あくまでも上記 1. の対策の
backup とお考え下さい。
その上で、設定に誤りがないか確認して頂ければと思います。

以上の認識で以って、まずは該当するメールサーバでの不正中継対策を検討して
頂くことが重要かと思います。
尚、不正中継を受け付けてしまう実在するアドレスをそのまま記載することは、
いかがなものかと思いますが… 2ch 的には OK なんでしょうか!? (;^_^A

27 :
>>26
http://www.nanet.co.jp/rlytest/faq.html
http://www.ordb.org/lookup/?host=menmail.mie-c.ed.jp
ウチのサーバは不正中継を許さないはずなのだけど、合格しません
このテストでは、第三者中継の典型的なパターンに則って検査をしています。
具体的には、FROM行を偽って弊社のアドレス向けにメールを送ろうとした時点で、
OKの肯定応答を返した場合、不正中継を許すと判断しています。
従って、肯定応答を返してメッセージを一旦受け取るが、中継しないサーバの
場合は、「不正中継を許す」と判断されてしまうことになります。
これを解決しようとすると、実際に不正中継を行わせて検査をすることになり、
他の面で様々な問題が発生することから、本テストではそこまでの判定を行わない
ことにさせて頂いております。
-----------------------
テストに合格したはずなのだけれども、ORDBからメールが来ました
本テストで行っているのは、不正中継の手段の典型的な一例に過ぎませんが、
ORBSのテストはさらに厳しく十数種類のパターンから構成されています。
このため、本テストで合格するものの、 ORBSの検査では中継を許してしまう
場合があります。
また、本テストでは、テストを行ったことを管理者に分かりやすくするために、
FROM行に様々な情報を埋め込んで、非常に長いFROM行を生成しています。
一部のサーバでは、この長いFROM行に対して否定応答を返すために、本テストでは
合格してしまう場合があります。

28 :
4.1 から NG にアップデート(アップグレード?)するってやっぱ大変?
NOKIAじゃなくてSolarisで動いてる奴なんだけども・・・。
>>27
mail from: は通って rcpt to: ではじいてるということ?
勘違いならすまんです

29 :
 
>>27さん
丁寧な説明、ありがとうございました。
もっと勉強しなければ…と思いつつ、スペランカーでたわむれていたり…(爆)
>>28さん
現在使われている Solaris のバージョンは“8”でしょうか!?
また、CPU は UltraSPARC II 以上でしょうか!?
基本的に、上の条件を満たしていれば、アップグレードは簡単に行えますよ。
アップグレードして上手く動作しなければ、pkgrm でダウングレードすれば、
v4.1 の環境は元通りになりますしね。
ちなみに、v4.1 から NG へアップグレードする方法には、大きく分けて
二通りありまして、
 1. v4.1 SP6 から NG FP"3" へアップグレードする。
 2. v4.1 のどの SP からでも NG FP"1" へアップグレードする。
 その後、適宜 FP3 なりへアップグレードが可能。
以上のようになっております。
NG FP"4" が数ヶ月以内にリリースされる予定ということを考えますと、
上の 1. の方法でアップグレードする準備:つまり、v4.1 SP6 でない
SP レベルの v4.1 を運用されている場合には、SP6 まで上げておいて、
FP4 まで一気にアップグレード(多分できると思います。多分…(笑))
する方法がスマートかもしれませんね。

30 :
内閣官房
http://www.cas.go.jp/
http://www.nanet.co.jp/rlytest/relaytest.htmlより
第三者中継調査(Third Party Relay) - 結果表示
_@cas.go.jp を担当するメールサーバーの検査結果は以下の通りです。
_@mail.cas.go.jp (pri=10)
<<< 220 CheckPoint FireWall-1 secure SMTP server
正常:中継は拒否されました。
首相官邸
http://www.kantei.go.jp/
_@kantei.go.jp を担当するメールサーバーの検査結果は以下の通りです。
_@mail.kantei.go.jp (pri=10)
<<< 220 CheckPoint FireWall-1 secure SMTP server
正常:中継は拒否されました。

31 :
NGの最近のバージョンで、TCPのサービスを作る時に
Match for Any
というチェックボックスがありますけど、これって
どう使うんでしょう・・・?
つけた時とつけない時の違いがわかんない・・・。

32 :
>>1さん
> 其の参 本番運用で SecurityServer の機能は使わない!
どうしてなんですか?

33 :
ご丁寧にお返事ありがとうございます・・・
OSはSolaris8ですが、俗に言う嘘ラリスってやつです。
ハードウェアも満たしている(と思う)はずですし、FW-1はSP6にHotfixをいくつか・・・。
一番気にしているのは、4.1時のオブジェクトやルールがそのまんま適用されて問題なく
使用可能なのかどうかです。
NGになってから、オブジェクトのプロパティ項目が少し変わったと聞いているのですが、
だいじょーぶなのかなぁ、と。
仮に動かなかったときに、元に戻すのは29で書いていただいたとおりでいいとしても、
いずれNGにしなければならないし・・・。
まだ依頼があったわけではないですが、そのうち話が来そうでおびえてます(笑)

34 :
Provider-1スレはどこですか?

35 :
>34
そんなマニアックなスレないと思われ。

36 :
1ではないですが・・・
>>32
トラブルが多い(信用できない)からじゃないでしょうか。
>>33
Upgradeして最初にSmart DashBoard(旧PolicyEditor)で接続したときに
いろいろ警告が出たはずです.
それとUpgrade VerifierというルールのチェックツールがCheckPointから配布されているので一度チェックしてみては?
>>知ってる人
4.1からNG(FP3)へのPolicyをMigrationする方法(sk11635)で成功した人いる?
ttp://support.checkpoint.com/kb/docs/public/firewall1/ng/pdf/upgrade_mgmt_srvr.pdf
↑のpdfと記述内容が若干異なるし、うまくいかないので悩んでます。
UpgradeスクリプトはCompleteするんだけど、cpstart後SmartDashBoardで接続できない・・・

37 :
おっと、skは
ttps://support.checkpoint.com/login.jsp
からPublic Accessすれば確認できます。

38 :
 
>>28さん
36さんもおっしゃっておりますように、v4.1 で利用していたオブジェクトや
ルールが NG で問題なく使用可能かどうか、NG へのアップグレード前に判断
できるツールとして、「Upgrade Verifier Utilities」と言うツールが用意
されておりますので、一度試してみてはいかがでしょうか。
ダウンロードは下記の URL からどうぞ。
http://www.checkpoint.com/techsupport/downloadsng/utilities.html
ちなみに私はメーカーの人間ではありませんが、いつの間にやら、メーカーの
担当者のような口調になっていて…なんともはや(苦笑)
ともあれ、ややこしいバージョンアップの話が来ないことを、
わたくしも祈っております(笑)
>>31さん
Match for Any は… 以前に冷や汗を流しながら勉強して、何かに利用(検証)
した記憶があるのですが…すっかり忘れてしまいました(汗)
少々調べたく思いますが、ご存知の方がいらっしゃったら教えて下さいませ。
(他力本願過ぎますでしょうか (;^_^A)

39 :
 
>>32さん
36さんのおっしゃるように、トラブルが多い(信用できない)と言いますと、
日本国外製ソフト/ハードウェアの信用の置けないこと置けないこと(笑)、
とも思いますが、まぁ実際に SecurityServer を利用して UFP や CVP を
(同時に)使用してみれば、そのリソースの消費具合やチェックの重さが…
それはそれとしてですね、例えば、URL フィルタリング機能を導入するために
Websense を利用する場合を仮定して考えてみますと、
Websense for FireWall-1 ではなく Websense for ISA を導入して
FireWall-1 側ではなく Proxy 側に連携させて、FireWall-1 への負荷を減少
させつつ、その分 FireWall-1 のパケット検査としてのパフォーマンスに余裕を
持たせれば、何らかの攻撃や DoS のような負荷攻撃を実際に受けた際のために、
FireWall-1 に余力を持たせることが出来て better だと思っておりますので、
<其の参 本番運用で SecurityServer の機能は使わない!>
と、謳ってみた次第です。
>>36さんがおっしゃっている Migration する方法に関しましては、まだ FP3
では試してみたことがありませんので、暇を見つけて検証してみると致します。
全然話は変わって先のことだと思いますが、当分 FP4 でいてくれる(すぐに
FP5 などと聞こえてこない)ように願うばかりですねぇ。
みなさんは、FPレベルの上昇速度に付いていけてます!? 私は…うっぷ(笑)

40 :
ふーんこんなスレがあるのか。

41 :
NGのFP3ってポリシーの書き方全然違ってるよね。
従来型の書き方もサポートされてるけどよ。

42 :
>NGのFP3ってポリシーの書き方全然違ってるよね。
>従来型の書き方もサポートされてるけどよ。
先日、はぢめてNGのポリシーエディタみたんですけど… VIA IFって
行が増えてますけどきっちり設定しないとあかんの?

43 :
http://pc.2ch.net/test/read.cgi/network/1030725389/l50

44 :
 
>>31 さん
Match for 'Any' にチェックが入っている Service は、Service に
Any が設定されているルールに適用される、ということが分かりました。
実際に検証してみれば、その効果をなんとなく体感できると思いますよ。
>>42 さん
VIA IF は、VPN を利用している際に有用なカラム(行)となっていますので、
VPN を利用していないのでしたら、特に設定する必要はありませんよ。
効能のほどは、マニュアルに書いてあると思うのですが、いかがでしょうか!?
もう近日中に、FP3 の日本語マニュアルが出る(もう出ている!?)ようですね。
>>43 さん
そのリンク先の「チェックポイントスレッド」では、チェックポイント社が
扱っている・関わっている製品全般についてや、他社製品との比較等々が
良く議論されておりますので、FireWall-1 の技術系の話専用のスレッドが
欲しく、探してみたのですが無かったので、本スレッドを立ててみました。
私は、本スレッドを以上のように区別して活用出来ればなぁと考えております。

45 :
>>44
どもです。
私のつたない英語力で読んだ感じでもそうだと思って、実機で
テストはしてたんですが、変化が見えなかったのであの書き込みに
至ってます。
例えばtelnetのオブジェクトでチェックをつけたり外したりして、
サービスAnyの挙動って変わります?
またテストしてみるかな・・・。

46 :
良スレage

47 :
FW-1スレの良い子のみんな! FP3はかならずHotFix-1を当ててから運用しようね!
おにいさんとのやくそくだよ!
あと、これからNOKIA IP Seriesを買うときはIP330なんか買っちゃだめだよ!

48 :
微妙にスレ違いっぽいんだけど、Securemoteインストールしたら
msvcrt.dllがどうこうってerrorが・・・
こういう場合どうすりゃええの?

49 :
>>48
ぐぐったら。 こんなんありました。
ttp://www.checkpoint.com/techsupport/downloads/html/securemote/sr-5-0/SR_SC_FP3_RN.pdf
P4のあたまに、IEのバージョンあげてみ? って書いてます。

50 :
>>47
IP330はなぜいけないのでしょう?痛い目にあったとか?
http://www.google.co.jp/search?q=NOKIA+IP330&ie=UTF-8&oe=UTF-8&hl=ja&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja

51 :
 
>>31 さん (>>45
FireWall-1 で最初から定義されている "telnet" はそのままに、同じポートを
利用する "telnet-b" という名前ででも TCP Srevice をもうひとつ作成して
それぞれの Service に対して違う経路での通信を許可したようなルールを設定
してみます。
Rule no.1: "telnet" を許可している Service は "Any" にして、
Rule no.2: "telnet-b" は個別の経路での通信を許可するとか
…こういう設定で良いかと思います。
そして、それぞれの経路で telnet の通信を行って、SmartView Tracker を
見てみますと、適用されている Rule 番号が異なっている結果が確認できると
思います。
以上の結果から、例えばですが、それぞれの Service の Session Timeout を
個別に設定して、適用させるルールごとに Service の区別化を図ったりと…
使い方は色々あると思いますので、試してみるとなかなかおもしろいですよ。

52 :
>>50
EOLです。ディスコンともいいます。

53 :
ディスコンになっても相当の年数(5年くらい)は保守対象になりますけど、
それ以前にIP330は機体のスペック低すぎ。
古いロットだとK6-2の266。現行ロットでも400。
IP350でPen3の700、IP380でP3 900ってことを考えれば...
もひとつ330がお奨めできない理由として、内蔵HDDが
IBMタイマー(稼動1年)つきのプチ欠陥型番だということが挙げられます。
HDD障害でRMAきの多さは群を抜いてますよ。
ちなみに初期ロットのHDDはWesternDigital。
あと、HyperTerminalで初期設定すると壊れる(RMA対象)。
TeraTermとかminicom使いましょう。ネタですか? みたいなマジの話。

54 :
みんな、VPN-1/FireWall-1は何に載せて使ってる?
Win?Unix?それともノキアとかのアプライアンス?
うちはSun E450。GUIはWin。4.1の保守切れるし、アプライアンスに乗り換えるか検討中。
。。。NetScreenに乗り換えるかもナー

55 :
このスレが>>1の自作自演によって成り立ってる様に見えるのは漏れだけ?
まぁ、>>1が会社の工作員である事だけは文体より明らかだが。

56 :
>>55 多分お前だけ。
住人が20人もいない過疎板では宣伝する意味が無い。

57 :
>>55
最初の方のは全部自作自演に間違いないが、最後の方のは違うだろ。
>>1が会社の工作員なのは疑いようが無いな(w

58 :
わざわざ会社(どこの会社だい? CheckPoint?)の工作員がこんなところで
自演しても意味ないだろ。まったく個人向けじゃないし(笑
まあ貧乏人はSonicWallでも使ってろってこった。
>54 弊社はHP-UXですが何か?

59 :
>58 アズ(略

60 :
>>51
なるほど。
同じポートを指す2つ以上のオブジェクトを作った時に
効果があるわけか。
ありがとー

61 :
>>54
NECのアプライアンス

62 :
 
>>54 さん
ご参考までに、
FireWall-1 を運用するにあたって最適なプラットフォームは、順に、
 1. SecurePlatform
   - Red Hat Linux ベースで、癖があるけれども開発元のお墨付き。
 2. Unix 系(Nokia 等も含む)
   - 安定度が良いですね。
 3. Windows 系
   - 使い勝手が良い & Windows2000 なら安定度も合格点でしょうか。
と聞いたことがあったり、
今まで利用しての印象です。
2. の Unix系をさらに分割するならば、
 a) Solaris、Red Hat Linux : OS 本体にカスタマイズできる幅がある。
 b) Nokia、等の箱モノ : Unix 系 OS を一から勉強する手間が省ける。
と、
以上のように住み分けされているように思います。
>>31さん(>>60
いえいえ、どういたしまして。 m(_ _)m
また何か技術的なネタがありましたら、私の方こそ教えて欲しく思っております。
なので、その際にはよろしくお願いいたします! > 31さん & ALL

63 :
NOKIAはVRRP Monitored Circuitとかの冗長化構成が比較的簡単にできるとのもウリかと思うのだが・・・
箱モノはサポート受けやすいってのも大きいと思う。
ところでWindows版のFW-1は安定しているのか???

64 :
http://www.pink-angel.jp/betu/linkvp2/linkvp.html
★その目で確認すべし!!★超おすすめ★

65 :
NOKIAたんは配備期間が最短で済むね。バックアップレストアもワンタッチ、
IPSO(OS)もパッケージも最近のはえらく更新が簡単になってきた。
VRRPが簡単かつ追加ライセンス要らずなのもアドバンテージだね。
問題は近い将来の目玉となるIP Clusteringなわけだが今のところ(´・ω・`)だ。
ちなみにNOKIAのKBはとても充実している。SIerとしてはこれもポイントだろう。
まあそこらへんはアz(略 とかソフ(略 みたいなNOKIA一次店の営業が
強調しているところなわけで、あまりここで強調すると激しくまわしものっぽくなるが。
・・・まあ事実漏れはNOKIA使いなのでまわしものなわけだが。
ときに>>62よ、
 1. SecurePlatform
これって売れてますか? ろくに実績を聞かないのだが。
>>63
Windowsについては・・・
64の言ってる通り(笑
SC(MC)兼GUIとしてならいいんじゃないのかな?
規模と顧客のポリシーによるね。Winだからだめってことはないと思う。
Enforcement Moduleとしての利用は・・・それってメリットあるか?

66 :
FP3から色々呼び名が変わったでしょ。
慣れないねぇ...

67 :
FP4からまた呼び名が変わります。
とかだったらす。

68 :
DQN作業でまだ仕事中。。。
おへんじくれた人どーも。
Sun   1
HP-UX  1
Nokia  1
NEC   1
うー。。。いまのところなんとも捉えどころのない結果。
UNIX系とアプライアンスで半々。
NECのってExpress5800+Linuxですか? >61

69 :
 
>>54 さん (>>68
本当に、おつかれさまです。m(_ _)m
も〜、そういった作業は、ホッタラカスのが吉かと思いますが、
なかなかそうもいかないものなのでしょうか…
私が言うのもなんだか…とは思いますが、体調にはご注意いただければ幸いです。
 > 54さん & 遅くまで作業している皆様
>>66 さん & >>67 さん
確かに慣れるまで、Smart って? Dashboard って… なに?
って〜な、感じですよねぇ。 ┓( ´ー`)┏ ヤレヤレ
「ダッシュ」とか「ボード」とかいった響きに、いちいちツッコンでいた頃が
なつかすぃ…
さて、ここだけの話、NG FP3 ==> NG FP3 Hotfix-1 とリリースされてからも、
細かい修正パッチである HAxxx シリーズがリリースされ続けているわけでして、
それら Hotfix-1 も含めたパッチの集大成が、FP4 と思われます。
(HAxxx を簡単に入手できるかどうかは不明です… 代理店まではできる!?)
FP(Feature Pack)とは、修正パッチ(だけでなく)+機能強化もする!という
スタンスで連続投入され続けてきたわけですが、FP1、FP3 は機能強化色が強く、
FP2 では修正パッチ色が強かったと思います。
ですから FP4 は、FP1 にとっての FP2 のように、FP3 にとっての修正パッチの
集大成版という位置付けなのだと思います。(FP4 β版を触っての私の印象です)
ということで、FP4 で、各モジュールの名前がまたまた変わるなんて〜ことは
今のところなさそうですので、ご心配には及ばないかと思いますよ。

70 :
    ここの
サ ポ セ ン の 奴 ら 
   カナーリのヴァカ
  な の れ す
もっと教育汁!

71 :
 
>>65 さん
残念ながら、SecurePlatform が売れているのか私には分かりません。
ご存知の方がいらっしゃったら教えて下さいませ。
ある程度普及するまでは… というか、IPSO が『導入し易い!』と、採用され
がちな!?状況下では、Red Hat Linux ベースの SecurePlatform が受け入れ
られる機会って、ますます減っているんじゃないでしょうか。

72 :
NOKIAのIPシリーズにWindows突っ込んだツワモノ居ませんかぁ〜?
居たらレポートキボン(w

73 :
遅ればせながらFP3 HotFix-2 age

74 :
>>71 お返事ありがとう。
PC Unixが投入されるような場面と、NOKIAのミドル〜ハイエンド機種が
投入される場面とでは確かに条件が異なるかも。
後者ではUnixの運用も商用Unix主体だろうし、オープンソースソフトウェアってだけで
「サポートへの懸念」という例のお題目から無条件で忌避されてしまったり。
え、Linuxなの? とか言われそう。
そんなこと言ったらNOKIAの中の人はFreeBSDですよゴルァ?
さらに考えてみればSecurePlatformはまるごとCheckPointサポート対象なわけで、
おそらくサポート環境はNOKIAと変わらない。
ただ、そういったことをいちいちユーザに説明する手間が著しく面倒ですな...
見た目が普通のPCサーバにしかなんないのもデメリット。
「アプライアンス」というありがたい魔法の言葉が使えないので。
まあ自分としてはRedHatって時点で激しく好みから外れるのだが。
純粋に好みの問題で、もののいい悪いではないんだけど。

75 :
>>68
亀レスすまん
>NECのってExpress5800+Linuxですか? >61
Express5800+LinuxとCX5000(SUN鯖のOEM)+Solarisがある
あとなんのことかわからんが住基ネット対応モデルなんてのもある
どうやら機種は上記と同じらしい

76 :
 
FireWall-1 をよく利用されている方と偶然お話させていただける機会が
ありまして、その方がご存知のお客様のご利用形態を聞いてみますと…
v4.x とか… SP が最新のものでないとか…
多くはいらっしゃらないそう!?ですが、現実にいらっしゃるそうです。
FireWall-1 を使って少々検証を行ってみれば分かると思いますが、
日々、刻一刻と新しいアタック方法等が生み出されております昨今、
v4.x では対応しきれないと思われる点が、少なからずあると思います。
最新版へといきなりアップグレードして人柱になる必要は無いと思いますが、
少なくとも、最新版の一つ前あたりのバージョンにはアップグレードを試して、
どのようなセキュリティ強化機能が追加されているのか、一管理者として
知っておいた方が良いと、個人的には思っております。
上記の例で言いますと、現時点では FP3 が最新ですから、せめて FP2 を
使いたいものですね。
ですが、FP3 では SmartDefense という機能でセキュリティ強化が施されて
いるようですので、FP3 か FP4 を使ってみたいところですね。
わたしの場合には、検証してみて FP3 を使うことに決めまして、ですが少々
既知の問題も残っているようですので、FP4 がリリースされたらすぐに適用
する予定にしています。
といったところで、みなさんはこのような利用されているバージョンに関して、
どのようにお考えでしょうか!?

77 :
>>76
安定稼動してナンボだからね。
あげる必要があるなら上げてみる。
VerUpは検証に検証を重ねて(人柱含)やっとこさ上げる感じ。

78 :
>76
4.1→NGは仕様変更がたくさんあるので、NGにするといままでの通信に影響がでることがよくあります。
(ICMPリダイレクション、PoolNAT等)
なので既存の通信がちゃんと行えるかどうかの調査は必須ですね。
Smart DefenceはDropしてほしくないパケットまで落とされて困ることがよくあります。
設定もわかりにくいし、Smart Defenceに関してはあまり良い印象はないです。
77さんのいう通り、検証に検証を重ねてからでないと怖くて上げられないですね。
OSバージョンとのからみもあるのでLinuxなんかは大変だと思います。

79 :
sec 板にこんなスレあったのか。
ユーザ層を考えるとむしろ network 板のほうがいいような気がするでつ。ここは
事実上ホームユーザがターゲットになっちゃってるんで。

80 :
NOKIAのFirewall製品のスレはここですか?

81 :
ところで、FV931ってどうなんでそ。
VPN-1/FireWall-1 プレインストールで、RainWall-S 標準装備
98万円と書かれてるけど。
ttps://www.netsecurity.ne.jp/article/10/7736.html
NetScreen とかを意識した製品なんでしょうか?

82 :
>81
さすがにVPN-1/FireWall-1のライセンスは別途じゃないでしょうか?

83 :
 
>>77 さん & >>78 さん
どうもご回答ありがとうございます。大変参考になりました!
特に、78さんのおっしゃっている SmartDefense は確かに謎が多いような…
ともあれ、FireWall-1 は最新バージョンを、特に FP3 以降を使われる方が
良いと思いますよ。
理由は、non-SYN packet 等を 同一 SrcIP,port から DstIP,port 等へ
何度か dummy packet 等も混ぜつつ、送信などなど検証お試し下さいませ。
ボヤかして言及しておりますのは、大人の事情と汲み取っていただければ…
>>79さん
ご指摘ありがとうございます。そのような背景があったのですね。
ですが、(network)ネットワーク板には既に「チェックポイント」スレッドが
あるようですし、FireWall-1 の技術的な話だけを細々と、身内が確認に来るか
ドキドキしながら(笑)展開させたかったことから、こちらに立てた次第です。
>>80 さん
「Nokia」ではなく、「FireWall-1」のスレッドと認識いただければよろしいの
ではないかと。1 に記載いたしましたお題目も参照していただければ幸いです。
でもまぁ、あまり堅苦しく考えているわけでもありませんので、お気軽に♪

84 :
>>82
FireWall-1のライセンスは別途でした。
ttp://www.asgent.co.jp/Products/Celestix/price_fv931.pdf
結局、それなりのお値段になるんですね・・・。

85 :
この板でボロクソに言われてるIP330ユーザです。
eth3がWAN、eth4がLAN、eth5がDMZで、DMZにおいたWebサーバから、LAN上のDB(PostgreSQL)
に接続できるようにしとります。
ところが、4.1までは全く問題なかったんですが、NGにageてから、WebサーバからDBに接続
できなくなるというトラブルが多発するようになりました。
最初はOKで、誰も使わなくなる夜になると発生する、という状態なので、コネクションの
数の問題では無いようなんです。どうもTCPセッションのタイムアウトか何かの問題の様な
気がしているんですが、同じような症状が出た方っていらっしゃいますか?

86 :
>>84
まあNOKIAの安いモデル買うのと大して変わりないかも。
VRRPの代わりにRainWall入れたってとこですかな。

87 :
>>85
とりあえずログみておかしなところでDropしてないか確認したら?

88 :
>>86
なるほど、価格的にはそんな感じですね。
性能はNOKIAよりも良さげな印象を受けているんですが、
まだあんまり売れてないんですかね〜。

89 :
>>85
NGはFPいくつ? HotFixは当たっているのか?
あと87の言うようにログだね。
SpoofingなのかClean-upルールに引っかかってDropなのか、
Out-of-Stateなのか、はたまたAcceptなのか(笑
Webアプリケーション側やDB側のログは確認してみた?
…例のSmartDeffenceが織り成す不思議現象かもな。
>>88
まあなんだかんだ言ってカタログ性能より実績かと。
NOKIAはIP SwitchingにIP Clusteringという独自技術もあるしな。
どっちも買収したIpsilon NetworksとNetwork Alchemyの技術だそうだが。
IPSO3.7公開を待ってIP350買うべし。3.5.1FCSxはいまいちだから。
と、NOKIAの手先っぽい漏れなら推奨するわけですが。
          ∧_∧
    ∧_∧  (´<_`  ) 兄者、日曜日なのに営業必死だな。
   ( ´_ゝ`) /   ⌒i
   /   \     | |
  /    / ̄ ̄ ̄ ̄/ |
__(__ニつ/  DMZ  / .| .|____
    \/____/ (u ⊃

90 :
>>87
>>89
早速ログを確認してみました。
(言われるまで見ていないところが厨マルダシですが)
すると、
th_flags: 18;message_info: TCP packet out of state
PolicyName Standard
なるエラーがずらーーーーっと。なんじゃこりゃ?
テスト期間だったので、SrcもDstもぜーんぶAcceptにしっぱなしだった
のですが、これが問題なんでしょうか?
厨に救いの手をキボンヌ

91 :
>>90
ほれ。
ここはサポセンじゃないんで、ヒントだけ。
ttps://support.checkpoint.com/public/idsearch.jsp?id=sk14316&QueryText=%28%28tcp+AND+packet+AND+out+AND+of+AND+state%29%29&resultStart=1
保守入っているなら、問い合わせりゃ即答えてくれそうなログですな。
自称厨は叩かれるので、がんばって勉強してから出直してください。

92 :
ずばり、tcpセッションタイムアウトです。
          ∧_∧
    ∧_∧  (´<_`; ) 兄者は真顔で嘘言うからな。最近顧客に不評だぞ。
   ( ´_ゝ`) /   ⌒i
   /   \     | |
  /    / ̄ ̄ ̄ ̄/ |
__(__ニつ/ S-box / .| .|____
    \/____/ (u ⊃

93 :
>>91
>>92
むー、情報サンクソ。
つーことは、Firewall-1でDB-WebAP鯖間のコネクション
プーリングをしようとおもたら、SessionTimeoutの時間内に
コネクションの張り直しをしなくちゃいけないということで
しょうか?
こういう構成って一般的だと思うんですが、みなさんどうやって
解決してるんでしょうか?

94 :
http://www2.leverage.jp/start/

95 :
(^^)

96 :
良スレage

97 :
>>93
ちゃんとサポートに問い合わせた?
Grobal Propaties>>Stateful InspectionでOut of Stateのチェックをはずすか、
使用するポートが限られているのなら、そのサービスオブジェクトのプロパティ>>Advacedで
セッションタイムアウト時間を長く取るかすればいいんじゃないの?
ただし、この操作がどういう結果をもたらすかはちゃんと調べてからやらないと
場合によっては問題になることがあるかもね。
そこは自己責任で。

98 :
NGさわる事になりそうです。Solaris 上でですが。
板/スレ違いっぽいですが、詳しい方が多そうなので質問します。
皆さん、ファイアウォールのテストにはどんなツール使われていますか?
pen-test ML に丁度それらしいスレッドがあったので眺めていたんですが
firewalk
ftester
filterrules
nemesis 等、色々あるみたいですね。
今まで私は、hping 使ってました・・・。
ところで、Firewall Informer って日本でも買えるんでしょうか?
$5,000 というのが微妙ですが。

99 :
何をどうテストしたいのかによっても変わってきますね。
厨な質問してすいません。

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 削除依頼
・ 次のスレ
Gladiator AntiVirus
祝! 山口先生就職先決定
【実はプロバイダーがハッカーだったら?】
日々変化するセキュリティの「常識」YES/NOクイズ