YAMAHA業務向けルーター運用構築スレッドPart22
■ このスレッドは過去ログ倉庫に格納されています
あー、何の脅威があるか分からない人向けの話であって、わかってる人に向けた話じゃない。
UTMである事を差し引いても、fortigateの機能とweb GUIはコスパに優れてる。
単独でnetflowを実行でき、nat66, 内側ポート毎に仮想ルータ割り当て, セッション管理からモードレスでポリシーの追加が出来るとか良く出来ている。
まぁ、保守費用を払い続ける財力があれば、ってとこだ。 Web GUIはかっこいいけど、結構バグもあるんだよな。
CLIでやろうとしても、大量にコマンドが投入されており、結構敷居だ高い。
まあ、機能に応じて、大量コマンドは仕方ないところなんだけど。 >>13 そういう素人さん向きな話なら
NTT東日本がやってる「おまかせサイバーみまもり」とかにすればいいんでは?
月1万で高いだの言われたらあれだけど、アンチウイルスソフト各クライアント
に入れるよりは十分やすいでしょ
https://business.ntt-east.co.jp/service/cybermimamori/charge.html まとめると
RTX では TeamViewer みたいなのを阻止できないけど
UTM だったら阻止できる(もしくは利用を可視可できる)
って感じの理解でいいっしょ
外部のハッカー攻撃の話じゃなくて
TeamViewer が脅威がとうかは判断する人によって変わるだけの話
脅威だという人にとっては RTX では役不足 つまり彼らにとっての脅威とは、外にいるハッカーじゃなくて、中にいる行儀悪いやつ、と 内部のアホをいかに引っかけてきっかけ作って侵入するかだから当然だろ。
今時IPS/IDS/WAFすら無いルーター配下にサービス提供する機器置く企業も無いからな。 Fortigateを入れたら「リモートアクセス出来へん」ってお客さんに怒鳴られた
申し訳ない振りをして聞き流していたら右フックが飛んできた 見れないけど、誰がSSLをどれだけ使ってるか判るから
突出してれば気が付くよ >>20
SSLの中身みれなくなってきてるから、結局はエンドポイントセキュリティの時代に回帰してる
ウイルスバスター!!!!!!! >>24
満員座ミドルすればいいと思うよ。
ブラウザへのドメイン違いの警告は無視するようにすれば?
ブラウザに特定の証明書と接続先とのドメインのズレは許容するというようなそういうポリシー設定できないのかな。 もう、いいかげんshift jisデフォルトはやめてほしいな。
いつも文字化けする。 最初にやるのが文字コード変更、行数拡大、タイムアウト調整やろ・・・
あとパスワード変更とログインポートとGUIポート変更か・・・ >>15
トレンドマイクロのCloud Edgeかぁ >>32
RTXを英語モードにできるのか?
>>33
1行あたりの文字数がちいさくて、おさまらずに、
折り返される。
コピペすると2行以上にわかれてしまうので、
編集と貼り付けが大変になる。
telnetとhttpのポートを変えておけば、
ローカルネットからの不用意なアクセスを防げますね。 そういうリスクがあるなら
sshオンリーにすればいいのに
ポート変えたところで大した効果あるとは思えない >>36
いや英語モードを搭載して、それを初期値にすべきだということ。
ごうせいたいしたメッセージ出さないし、RTX使う人なら英語でも困らないでしょ。 >>36
console linesはいじらないなぁ
console columns 200、console info onはやっちゃうけど。
RTX1000時代と違ってWebでいい感じに設定できちゃうから素人は開く必要もないしな
よそのなんとかStartと違って よそのCisco Startは変態が自宅用に買うもんだぞ
一般向けではなく、逸般向けだぞ RTXやNVRは拠点ルーターとしてよく使われてるけど
直接インターネット出れるようにしてるとこは少ないでしょ。
本社とかDCにいったんトラフィック集めて
FortiなりPaloなり通してるんじゃないの? >>42 そんなことはない、RTXで各拠点Internetに出てる設定も多い
UTM導入率とは別だね
固定回線が従量制じゃないので、UTMを導入してても流量確認は実際はほとんどしてないよ RTXで直インターネットって零細自営だけでしょ
ファイアウォール無しは流石に有り得んよ RTXの売れ行き考えたら、RTXだけでインターネット接続している会社のほうが
多いような気がする(想像)。
多少の金ケチって、UTMを入れないのは不可解だが、
導入ベンダーや担当者のUTMへの習熟が足りないから
そうなっているんじゃないかな(想像)。 認識として、サーバーサービスを全てアウトソーシングしている場合
防火壁・UTMの導入はしないよ
必要と思うほどITリテラシィは高くないし
小規模ならエンドポイント対策で済むんだよ
またSKYSEA/LanScopeといった漏えい対策をする場合、
UTMよりも高い監視力・防御力もあるのでUTMはいらないという話にもなる
UTM以上の事がエンドポイント対策でできるなら
UTMにコストを掛けなくてもいいという判断
多段防御こそ絶対だ! なんてのは逆にコスト意識のない馬鹿情シスだけでしょ >>48 がまさに零細の発想
世間知らず度合いが酷い >>48
俺もそういう認識
エンドポイント対策もしないでUTMの話持ち込む営業多いしあほかと >>49 つうか、1PCに年間1万円超えるエンドポイント導入してる環境にUTM入れても
無駄というか
・可視化:対策済み
・漏えい:対策済み
・マルウェア:対策済み
・不正利用:対策済み
・ランサム:対策済み
だからね、劣る機能ばかりのUTMの導入提案なんかできないし
コスト削減のために、既存のエンドポイントをやめてUTMに乗り換えなんかしたら、
ほぼ全てのセキュリティ強度が確実に落ちるから、怖くてそんな提案できない
アンチウイルス程度の認識しかない人には判らんだろうけど、
高いエンドポイントの強度は高いよ
そういうお高いエンドポイント使ってる会社ならRTXルーターで十分な場合もある
まぁ、本気の標的型DDOS攻撃とかされたらきついけど、サーバーサービスないなら
攻撃受けることもそうそうないでしょ 営業がバッファロー提案してくるときもあるから、RTXならマシだと感じてしまう じゃぁ上流・下流って言おうか?
下流対策の方が当然だけど情報量は多い
下流域だけで行われる不正行為は上流には届かないから判らない
RTXをUTMに交換しても下流域の監視は十分にはできない
上流だけで下流を含めた全域対策できるなんて思ってはいないだろ? >>52
>コスト削減のために、既存のエンドポイントをやめてUTMに乗り換えなんかしたら、
前提がおかしい。
どんな環境面倒みてんの。どうせ数人か数十人でしょ?
規模に応じた対策も結構だけどそれを普通だと思ってるのは痛い 自分の経験上でもいいから具体的な事例を挙げて
批判しないと説得力ないね。
単なるしったかにしか見えない。 >>51
営業「UTMで迷惑メールが止められます!」 自称パソコンの先生が管理している客の場合、DHCP無効、無線は禁止またはMACアドレス認証(固定IP)、
意地でもWindows7、時計表示は和暦 あたりが共通項だな。 ログオンが固まるのと
起動して30分使い物ならないのも追加でw >>58
営業が、こちらは何も知らないと思ってUTMをすすめるので、
UTMで具体的にどうできるのか、ネットワークのどこに設置するのかとか、
監督レイヤーはどこなのか、いろいろ突っ込んだ質問したら、答えられなかった。
それを考えると、ミカカの社長洗脳CMがとても気持ち悪い。 >>59 UTMがUTMらしく可視化機能があれば、AD連携してDHCPでもユーザー判別できるけど
それが無い場合、マシンの命名規約すらないとIPだけではユーザー特定できないしね
このスレはRTXのスレなんで、RTXしかない環境で可視化をするならDHCPはダメだろう
IPもマシン名も規約ベースで縛るしかないし、それは悪い事でも何でもない
パソコン先生は知らんけど、情シスが限られた予算の中で管理するのを馬鹿にするのは
人間性を疑う
Win7に関しても今年中はサポートがあり、セキュリティパッチの提供もされているのに
見下すのもどうかと
和暦・西暦も職種によるもので、良い悪いの差はない
コストも手間も無限にかけていいなんていう夢みたいな会社の情シスには判らんだろうけど
そういうエア管理者様の発言は軽いよ SKYSEAやLanScopeが高い防御力なんて無いんだよなぁ。余計なことをさせないポリシー設定と何かあった時の証拠集めツールだな。コレと所謂従来からのウイルス対策系を組み合わせるエンドポイント対策が働き方対策にも使えて流行りだな。
んで、これらをすり抜けてC&Cサーバーと通信したりしているから検知、監視するのにUTMが有効。と言うか上記をやっていてキャリア側のUTM使ったりローカルに設置するのが普通。RTXで良いなんてノリ見たことが無い。
金かけられないって所は、安いんだからUTM位入れろよとは思う。総務部門なんかと一緒にGUI眺めるだけで考えさせられる物があるとは思うよ。 なんか必死な人がいる
初期にRTX1200入れた会社はそろそろ壊れる頃だから予算取りしておきなー
稟議のキーワードは「外出先からVPN接続」
これでいけるぜ SKYSEA触ったことないけど、そんなにセキュリティ的に有能なんかいな
LanScopeとやらはベネッセ事件のときに、隣の部署のやつが燃えてたけど あれは資産管理ソフトだ。
Lanscopeよりも一般人が導入できる設計になってておすすめ。社長とかは新幹線でおなじみの会社 かんたんで分かり易いGUI操作が売りだな。Windowsのポリシー相当をを簡単に操作できたりするね。元は学校の教室で先生が使っていた製品の派生。 セキュリティリスクは結局人だからなw
できることを制限すればリスクは一気に減る グローバルIP環境下でSKYSEAが使うポートに攻撃を受けるとフリーになるってやつだっけ
グローバルIP環境って大学かよ!っておもったらSIMドングル使ってる時が狙い目だったんだな。 ONUフレッツ小型ONUの提供開始について
NTT西。おっそ コンシューマ用途ならともかく、業務用途に限ったらWin10なんて百害あって一利なしだろ >>78 どうした? いきなり
WindowsServer使えってこと? さあ?
アップデートでの帯域負荷のことかな?
セキュリティ的には10だけどな 企業ならWSUS入れるだろ
まぁ問題多い機能だが仮想で立ててトラブったら再構築すれば割と楽に運用できる WSUS立てるのはいいけど、管理はおまえらがちゃんとやれよ
こっちにすがるなよ 回線負荷よりもUPDATEの管理面だろうね。とは言う物のWindows使う限りは10に移行するしか無い訳だが…
O365使っていれば、Windows Virtual Desktopって逃げ道もあるね。 VDI:DaaSは逃げ道にならんよ
Win7までは何とかなったが、Win10はその手のは無理
古いVDIは、Win10で全滅してるよ
誤算というか、5年ぐらいWin7@VDIを回せたらそこそこ元は取れたかもしれないけど
1〜2年しかWin7@VDI回してないなら、今年でサポート切れるし
Win10化は不可能だし、大損だろうね
Win7@VDI推してた管理職はみんな首じゃね WSUSあるなら帯域制御は問題ないとか言うけど
ところがどっこい、金をケチって帯域保証10Mbps+ベストエフォート回線(糞混雑)で
制御してどうにかなるほど帯域無くて逼迫とか草生えますよ >>86 何が何でもケチ付けたいって感じだね
精神おかしくなってない? >>85
Windows Virtual Desktopは従来のとはコストが違うぞ。O365を使っていれば超お得だ。Win7の延長に使うのもオススメだよ。 >>89 あのさ、Windowsアップデートの帯域不足を心配してる連中が
WVDの帯域を確保できると思ってんのか? >>89
365がお得じゃないし、Azureも所詮クラウドなのでお得じゃないw
オンプレミスにコスト面で勝てるクラウドは無いぐらいそろそろ理解しとけよ
まぁ「常に最新のOfficeを使わなければ行けない」コンプライアンスでもあれば多少は違うけど
・Officeはサポート期間内なら最新じゃなくていい
なら365は高いよ、ボリュームライセンス買った方がはるかに安い
アシュアランスは完全に崩壊したし嘘つきまくってたからな・・・ Office365とYamahaは相性悪いだろ
妙にセッション数食うから占有してる帯域だけチェックして問題無しとか思ってるとハマる >>91 Win10のDaaS(VDI)って事なら食うよ
たぶん、WEBで見かけるWindows Virtual Desktopの記事は
実用を無視したステマかな
コスト掛ければ使い物になるけど、Win7の2倍じゃ済まないよ?
CPU・メモリのリソースはさ クラウドなので結構自由に増やせるけど
VGAリソースが厳しい(それもVDI用に)のは想像できてないんじゃね?
Win10の仮想化の一番のボトルネックは「グラフィック帯域」なんだよ
フレームレートってやつね、アイドル状態でもWin7の4割増しだったかな
んで、その手のは結局すべてネット帯域に依存してくる
次に来るのがストレージリソースね
Win7はさアップデートなんてKB単位じゃん、1個MBどころかKB単位の小さなものばかり
でも、Win10はKBセットだからね、無駄にでかくて、Win7の7倍以上と言われてる
半年ごとにリセットされるけど、過去5か月間は適用済みなのに過去分込みで増えていく
さらに半年ごとの大規模アップデート・・・
Win10のアップデートトラブルネタは有名でしょ?
クラウドって従量制だし、そら運営してるAzureはアップデートのたびに利用量増えて
儲かってしょうがないけど、騙されちゃあかんよw
WSUSもAzure化すればええやろ? とか思ったらそれもMSの情報詐欺だからねw
WSUSの必要とするスペックは最低、年50万からだからね
ストレージ最低2TBに4コア8GB、おまけにIIS動く関係で滅茶苦茶高く付く
シンプロビジョニングにしたら地獄を見るよ
Win10をクラウドに載せるなら、シック(固定)を選ばんと泣きを見るよ
つうか、現状Win10は仮想・DaaS向きのクライアントOSじゃないよ
そもWin7のVDIすら「利用と現実のギャップ」で乖離して、開発者は2台運用とか
バカみたいな状態だったし、Win10みたいに重いOSでVDIなんてどんなジョークだよw なんか否定的な意見しか無いな。ココのみんなはO365すら使っていないんだなぁ。
Win10で4000台規模の冗談の様なVDI商談来ているんだけどwww >>93
そうだね共有使うとガバガバセッション使うね。1人100程度は見積もらないと危ない。
元々ヤマハはリモート保守か小規模店舗とかにしか導入しないでしょ。
UTMなら10万円以下の製品でも同時90万セッション位だから… >>95
その規模感ならスレチだろ?
嘘松も大概にしろよ CPUが100%になる!!不良品だ!!って騒ぐ客が・・ 前もこのスレで聞いたけど、4000台規模の親玉をRTX3000とか5000でやるの?
怖くて提案できない >>97
ところが嘘じゃ無いんだなぁ。しかもHCIでやりたいってね動く気がしないw
ドコから吹き込まれたのやら。 O365とかいうProxy潰しに来る糞を
YAMAHAで受け切れんのか express route使わんで設計しちゃうおバカはねw
NAT挟むなんつうのも間違いのもと O365凝ったを使い方していなければ500人(同時アクティブは日中半分程度)でも1GのOCNフレッツ使ってUTMにNATで余裕。トラフィック使っているのはドコでもYOUTUBE見ている奴だな。
なお病院なんかに障害で呼ばれると医師がループさせていたり、TorrentやっていてRTXが死んでいるのは案外ある。先生さんさぁ… なんで500人とかの規模感でフレッツなんだか・・・
スレチだから消えろ気持ち悪いんだよ PPPoEで速度もレイテンシも問題無いんだからユーザーが満足してれば無問題だよ。コレが現実。 1000台超えるような環境でヤマハは無理だろうな
少なくともコアにはできない >>104
日本の中小企業の現状なんてそんなもんよ。
大企業は違うがな arp解決を待っている間にストリームの頭のパケットが廃棄されるのを防ぐためにqueが用意されていると思う、このqueは一定時間たつと初期化されてしまうの?
それとも、同じipアドレスあてのパケットが一定数たまると古いところ上書きされるの?
それとも、一定時間たち尚且つ同じipアドレスあてのパケットがたまると上書きされるの? 一定数だよipじゃなくてlan毎にキューを持ってるみたい
ip lan1 arp queue lengthって設定があるけどキュー長はこれだね
たぶんarpの返事やタイムアウトでもキューから消すと思う ありがとう
lan単位なんだ。
arpのレスポンスが悪いアドレス宛の通信は相対的に破棄されやすくなって、
tcp通信の場合は再送が発生してRTTが倍になっり、仕方ないのかな。 Interop 2019でAWS用仮想ルーターが展示されていたようですが、ブースで突っ込んだ説明受けた人いませんか? ■ このスレッドは過去ログ倉庫に格納されています