ささの備忘録

ITインフラSEの備忘録です ITインフラを中心に、 日々忘れないがちな事を、つぶやいていきます

2019年03月

「FortiGate60D」をUSB経由で管理

こんにちは。

家の近くの公園でも、桜が見ごろになりつつあります
暖かかったら、絶対に花見に行くのですが、昨日から「とにかく寒い」です
この間まで、暑い日もあったのですが、これから花見というタイミングで、
寒くなるんて・・早く暖かくなって欲しいですね

話は変わりますが、先日、Fortinet社主催の「Webiner」に参加しました
「Wienerとは」
ウェビナーは、ウェブとセミナーを組み合わせた造語であり、Webセミナーやオンラインセミナーとも呼ばれる。インターネット上で行なわれるセミナーそのもの、もしくはインターネット上でのセミナーを実施するためのツールを指す


お話をされていたのは、「左門 至峰さん」です

私自身、”ネットワークスペシャリスト”を取得する際に、書籍やWebで良く見かけていましたし、1月にFortiGateの設定本を出版されていたので、是非聞きたいと思ってました

内容は、「 今、必要とされる企業ネットワークセキュリティの勘所」です
おおよそ知っている話が多かったのですが、その中で、

「FortiGateはUSB経由でiphoneで管理ができます」と・・

「えっ。。知らなかった」

という事で、早速試してみました


ipadを使ってFortiGateに接続する

本当は、iphoneを使いたかったのですが、私のスマホはandroidなので、娘のZ会用ipadを使います
ちょっと型は古いですが、まぁ大丈夫でしょう

ipad1

まずは、FortiGate管理用のアプリをダウンロードします
AppStoreで「Fortiexplorer」で検索すると、2個出てきますが、機能が多そうな「Fortiexplorer」をインストールします。ただ、機能制限を解除するには、課金が必要との事・・制限って、嫌な予感がします

ipad2

インストールが完了したら、ipadとFortiGateをUSBケーブルで接続します
ipad4

「Fortiexplorer」を起動すると、自動的に接続しているFortiGateが認識されます
ipad5

接続方式でUSBをクリックします
ipad6

ログイン情報を入力して「Done」をクリック
ipad7

無事接続できました。なんかいい感じのビューです
ipad8


「FortiExplorer」を使ってみる

設定変更はできるのでしょうか

インターフェイスのIPアドレスは変更出来るみたいです。
ipad9

ipad10

但し、ポリシーなどは設定変更や追加は出来ない感じですね
恐らく、このあたりが課金をすれば使用出来るようになるのでしょうか
ipad11

セッション情報をみたいと思い、FortiViewを開きましたが、こちらも思うように見えませんでした
ipad13

課金してみようかと思いましたが、Apple idが娘のものだった為か、ダメでした
ipad12

もし、本当に必要となったときに、制限なしで試してみようと思います。

ちなみに、「FortiExplorer Lite」も同じ感じでした
こちらの方が、見える範囲が狭い感じですね
ipad14


コンソールケーブルからCUIだと、分かりにくい部分を、補足する感じで使える気がします

FortiGate「プロキシモード」と「フローモード」の違い

おはようございます。

この頃、暖かいのは良いですが、花粉のつらい季節になりました。
鼻水は出るし、常に眠い・・
「はぁ~、早く終わってほしい」

今回は、FortiGateの「プロキシモード」と「フローモード」の違いについてメモします

ちなみに、家のFortiGate60Dは「フローモード」で動かしています

なぜかというと・・
最初は「プロキシモード」動かしていたのですが、遅い・・つながらない・・
がたびたびありました。

全てのUTM機能を、internal->wan1ポリシーに適用しているので、60Dの貧弱なスペックでは無理があるのでしょう。本当は、「プロキシモード」にしたいのですが・・

プロキシモード

フローベースよりセキュアで検知率が良い
パケット一旦バッファしてファイルを組み立ててからスキャンするため、多少の遅延がある。
スキャン可能なファイルサイズに制限がある。
デフォルトでは10MB※モデルにより変わります

フローモード

プロキシベースより検知率が低め。
パケット単位でスキャンするため、
ドキュメント、圧縮ファイルにマルウェアが組み込まれていると検知できない場合が多い。
感染したファイルを完全にブロックすることは不可。
スキャン可能なファイルサイズに制限がない。

補足

モードを変更することで、各UTMプロファイルの設定項目が変わります
プロキシモードは、その名前の通り、FortiGateがパケットをプロキシ(代理)してくれるので、より細かな設定が可能です

ですので、推奨は「プロキシモード」

ちなみに、プロキシモードで上限10MBは、以下コマンドで変更可能です

※この上限値は変更可能ですが、負荷やパフォーマンスに影響するため
値を大きくすることについては推奨されません。

■上限値の変更方法
===========================
config firewall profile-protocol-options
edit 【profile_name】
config 【protocol_name】
set oversize-limit 【size_integer】
end
===========================


このモード変更ですが、業務で使用している機器で、実施する場合は、影響が大きいので、皆さんの使っていない時間に実施し、実施後は直ぐに切り戻せるように、慎重に実施しましょう


「Softbank光」をやめたいが・・やめられない理由

最近、自宅のインターネット環境がイマイチ・・遅い・・時が多い

4年くらい前に、「AsahiNet」から、「Softbank光」に切り替えました。

理由は簡単で、当時ソフトバンクの携帯電話を、家族4人で契約していたので、
割引になると思って切り替えたのですが、なんだかんだ理由をつけられ、

「500円」しか割引にならなかった。

「何だよ。ソフトバンク、話が違うじゃん!!」

と思ったけど、まぁ、よく確認しなかった私も悪いので、しょうがなくしぶしぶ「Softbank光」を使うことになりました。

文句は言いながらも、最初はインターネットもかなり早く、まぁ満足してました。

でも、最近、「遅い」特に夜が・・
インターネット上のアドレスにPingを打っても、時々Timeoutになるレベル・・

そんな中、先月こんなはがきが届きました
hagaki1

これは「Softbank光」を切り替えるチャンス!!

今、スマホも家族全員「格安スマホ」を使っているので、問題なし

切り替えに向けて、いろいろと調べていたところ、切り替えが大変な事がわかってきました

「Softbank光」は光コラボだった

「光コラボ」とは ------- 光コラボ(光コラボレーション)とは、各事業社がフレッツ光の回線を借りて提供しているインターネットサービスのこと

光コラボのメリットとしては、

・独自のサービス(月々のスマホ代が安くなるなど)が受けられる
・フレッツ光の回線をそのまま使えるので、手間がかからない
・同じ通信速度・安定性でネットができる
・回線とプロバイダが一つになるので、問い合わせ先が一本化される
などがあります。

しかし、デメリットもありました。
いろいろありますが、大きくは2つです。

・フレッツ光には戻せない、戻すには再申し込みが必要※別回線になってしまう
解約すると電話番号が変わる
・ 解約するタイミングにより違約金がかかる

ぜひ、今回はフレッツ光に戻して、再度プロバイダを選びたいとおもってましたが、
戻すと、電話番号が変わってしまう。

かといって、フレッツ以外の回線にすると、「フレッツテレビ」を解約しなくてはならない・・

う~ん、家は周りに高層マンションがあり、ゴーズトの影響がでるので難しい・・
地デジのアンテナつけたくないし・・

で、やっぱり、そのまましかないのかなぁ

自分の見通しの甘さにがっかり

もうすこし、考えよ~。で、また2年がまんかな・・
はぁ・・

「光コラボ」なんて大嫌いだ!!


そろそろ自宅で『10GbpsEther』は使えるか

この頃暖かくなってきて、休みの日に家でごろごろしているもの、良くないなと思いつつ、

自宅のLANも年数が経って、古くなってきたのと、
この頃、ネットで調べものをしていても、ネットワークも1Gから10Gへ変わってきたような・・

家でもそろそろ、まぁ、そんなに必要ないけど、「一足先に1GオーバーのLANにしてみたい」

そんな思いから、切り替えを進める前に、ひとまず、いろいろと調べてみました。

「10GbpsLAN」について

10Gbps対応のLANケーブルには、大きく2種類ある「銅ケーブル」「光ファイバーケーブル」
 ・「銅ケーブル」--- よく使うLANケーブル(UTP、STP)、100mまで
 ・「光ファイバーケーブル」--- 企業などでフロア間やサーバー間で使用、100m以上可能

utp

fiber

ただ、自宅で使うのは「銅ケーブル」一択です。

なぜなら、100mも距離は必要ないですし、光ファイバーケーブルは、「コストがかかりすぎる」のと、「取り回しがしにくい(折れる)」ので、自宅での使用は難しい

参考までに、光ファイバーケーブルの規格は以下があります
・【10GBase-SFP+】※主にサーバー用途
---10GBASE-CX4をSFP+サイズに縮小するためにSFP+ Direct Attachケーブルが販売されている。SFP+のインターフェイスを銅線(通常は同軸ケーブル)でクロス直結したものである。配線長は10m以下
・【10GBase-SR】※主にスイッチ間で使用
---マルチモード光ファイバーを使って短距離をサポートする。配線長はOM3ケーブル使用で最大300m

「10Gbps銅ケーブル(UTP, STP)」について

10Gbps銅ケーブルの規格といえば・・
・【10GBase-T】
---アンシールデッド(UTP)またはシールデッド(STP)のツイストペアケーブルにより最大100mを10ギガビットで接続する。Cat6A,Cat7

これですね。

自宅のLANケーブルは、全て「Cat5e」なので、「Cat6A」に変えつつ、

スイッチも10Gbps対応に変えて・・

無線APも・・

PCのNICも・・

わ~っ。お金がかかる

ひとまず、ひとつづつ試していこうと思います。

試したら、また、報告いたします!

スポンサードリンク
プロフィール

ささ

名前:ささ
関東地方に住む40代、子供2人と妻と猫とで暮す
主に「ITインフラ系」の構築に携わる。今の会社は転職の末、お世話になり早20数年。保有資格は、「ネスペ」「セスペ」など
最近、「ソロキャンプ」「DIY」を趣味にするため、いろいろと準備中