YAMAHA業務向けルーター運用構築スレッドPart21
■ このスレッドは過去ログ倉庫に格納されています
昔から思うが非武装地帯なんて言うから悪い
公開用ネットワークとかもっとましな表現があったろう 軍事用語だから分かり難いかもしれないけど元来の意味としては正しい使い方なので、そこは何とも…… >>485 そういうこと言い始めるとIT・ネットワーク用語はいろいろおかしいだろ
問題はさ、言葉の意味 ではなく 実装の効果 で記憶すれば良い
言葉の意味 とかケチをつけるニワカが世間を混乱させる
お前の先入観とか考えなんか知るか!
規格を考えたその場にいなかった奴は黙って従え! くだらないことはどうでもええわ
>>483 のファイヤーウォールのイメージがなにを指してるか判らないことにはなぁ
いま使ってる機材の型番と機能毎のライセンス(があるならそれも)を書いて貰った方が早い
10年前でもUTMは有ったしな
UTM買ってたけどAVやIPSやらのライセンスは買ってなくて、結局L3レベルの制御しかしてないとか有り得るし UTMを自宅用に買ってたときあるけど
結局、eicarをwgetして遊んだくらいだったな 俺は自宅でエロサイトと2chを完全に遮断したことはあるけど
翌日元に戻した httpsのサイトならUTM使っても素通りじゃね?
最近のUTMは証明書入れるのデフォなの? UTMで可視化とアンチウイルスしたいなら
入れるでしょそりゃ
要件無けりゃやらんわ。 >>485
確かにそのほうがわかりやすいよな。グローバルIPアドレス振って矢面に立つサーバなんて怖すぎる
そういや、ネットワーク(セグメント)も「セグメント」って略すようになっちゃったよな
192.168.0.0/24のネットワーク っていうと違和感もたれるし >>494
ノースキンっていやあ分かりやすくてええねんけどな >>493
スマホが増えてきてるし、今の製品で完全に対応できる製品あるかな? >>489
SonicWallPRO230を使用中。オプションは・・・使用してないなあ。ちなみに同メーカーではTZ300が導入候補でYAMAHAならFWX120かしら。
予算が取れるならFORTINETのFortiGate100Eかな。このレベルになると業者に構築丸投げが安全な気がする・・・
489はプロっぽいので聞きたいけど、あんたなら俺にどのメーカーの型番をお勧めする? ものによってはあんたんところから購入してもよいかも。 >>499
や、うちは代理店とかじゃないから他の人に任せるよ
L3パケットフィルタだけでいいなら、安いのでもいいんでね
仕様見比べてNATのスループット速けりゃええやろ
あとは社内のニーズ満たせるようにするとか色々有るだろうけどそこまで面倒はみれないな オレはUTMはNTTさんが面倒みてくれるでトレンドマイクロさんとこのを導入した。
性能はいいんだけど、接続方法が気に入らない。
RTX1210(VPN担当)→UTM→NVR510(インターネット担当) とルーターが増えたんだよ。ルーター1台で運用できないかな。 FortiGateでVPNとPPPoE接続とUTM全部やらせてるとこもあるぜ。
カネかかるがな 色んな所から買うとなー
お抱えのSIerに投げて一本化したいわな フォーチーゲートのいんちきなやつだけど、それなりに効いてる >>501
他所様が設定した機械に触りたくない(デフォルトゲートウェイすら弄るのは憚れる)からそんな構成はよくあるw >>507
遠慮は仕方がないが、そういう変な構成ができるんだろうな >>501 100ユーザーの方?
もし100ユーザーなら大塚が同じ価格・同じサービススタイルで
たよれーる EasySOC Plus for Palo Alto
パロアルトのPA-220(WildFire付き) 推奨200デバイス
https://www.otsuka-shokai.co.jp/products/security/internet/soc/easy-soc-plus-paloalto/
https://www.paloaltonetworks.jp/products/secure-the-network/next-generation-firewall/pa-220
を提供してたんだけどね
こっちならルーターを交換するモードも選べる
まぁもう契約しちゃったらどうにもならないんだが・・・
クラウドエッジは一切の変更をユーザーにさせないので、
フィルター解除とかも、いちいちNTTに連絡しないといけないので面倒
あと、クラウドエッジの最上位300ユーザーモデルは終売らしいので
これがサービス全体の終焉の始まりじゃないことを願う
うちも顧客に何セットか導入しちゃったので、今後はパロアルトに切り替えていく予定 >>509
そういうのって、サービスが終了したら後で困らない? >>512 さすがに、契約日〜5年は終了はしないんじゃないかな
それをやったら、NTTにしろ大塚商会にしろ瑕疵になるので
補償するなり代替サービスを提案するんじゃないかな 5年で契約満了じゃないかな?
ちゃんと説明して売っていればいいが >>509
横からで申し訳ないけど、このPalo Altoのってハードウェアと導入費込みなんですかい?
例えば、PA-820は100万円くらいだよね。
大塚のは月額2万とある・・・5年で120万だから、そんなに安い訳ないと思うんだけど。
#2万ぽっきりなら導入するわ・・・
#NTTのクラウドエッジの価格は全部込みで17,000円/月、で良いんだよな 中小企業向けなんかだと、本体価格の中にUTM機能が使えるライセンス料金(契約年数分) が含まれて結構高くなってる。
大塚商会のやつだと、載ってるのはあくまで保守料のみ。 そもそも、そんなUTMなんて必要だろうか?
いままで困ったこと一度もないなあ。
サーバーへの外部からのアクセスは許していないが。 >>515 WildFireはアンチウイルス同様使用料が必要なんで
買い切りで済む製品じゃないんだよ
RTXのURLフィルターみたいなもの
だからそんなに高くは無いし、毎月の保守 >>517
マイナンバーがらみでやたらコンサルが煽ってきたぞ
ファイアウォール等のセキュリティ確保する装置は設置されていますか?
>>518
いや、そういう事じゃなくてだな。
>509 が
・ハードと導入の初期費用や保守等も全て月額に含むサービス
・ハードと導入の初期費用が高額(で多分UTMライセンスも別)なサービス
を同等の価格として比較してるっぽいので、それってホント?ってツッコミを入れてるんだいね。
#後者の推奨台数が倍なので、それを考慮するなら?
ちょっと話をヤマハに寄せて・・・
FWX120のメールセキュリティー機能の「アンチスパム」が2020年3月31日で終了。
https://network.yamaha.com/news/news_nw_20181210_02
後継どうするのかな。あるなら開発中のDPIは乗せるのだろうけども。 FWX120を純粋に買った客なんてそうそう多くないんじゃね。あやしい電話業者のOEMのほうが市場に多そう
ヤマハのUTM戦略もなんか中途半端なんだよなぁ。フィルタ設定もSRT100のわかりづらいUIのままだったし
FortiGate丸パクリみたいなUIで作れば中小のネットワーク屋にも売りやすい商材になったと思ったんだが。 >>519
マイナンバーをDLPで解析すると負荷かかるから
必要ないなら切れって、構築ベンダーから念を押されるっていうオチが待ってそうだぜ 過去に一度だけ、内部限定サーバーがポートスキャンされたことがある
その時は、サーバーに導入していたポートスキャン対策ソフトが検知して弾いた、しかも2日続けて計2回。
RTX1200は内部発呼の通信以外は許可していないし、踏み台にされたPCも見つからなかった
VPNも張ってないし、どうやって内部迄侵入されたか未だに不明
UTMやファイアウォール入れるとこんなケースも対応可能なものなの? 90年代じゃないんだからポートスキャンにめくじら立てるもんでもないと思うけどなあ
そのポートスキャン対策ソフトとやらのログに送信元書かれてたろ
ほぼ100%内部からの攻撃だと思う。複合機のスキャナドライバとか勝手にネットワーク見に行くのあったような
サーバとネットワーク間に挟めばログは取れると思う サーバ屋がNW起因じゃないの?とか文句いってきたときに
ポートスキャンして当該サービスが落ちてるだけだろハゲとか言い返すのに使うけど
目くじら立てるやついたのか ログに残ってるIPを逆引きしたら千葉からのアクセスだったので、外部からのアクセスだと思う
トラブル中ならいざしらず、通常運転中に勝手にポートスキャンする人もいないと思う >>523
ポートスキャンのシグネチャで落とせる
こんなのはIPSだが >>528
IDS/IPSって不正アクセス防止ぐらいでしか認識してなかったけど、ネットで色々調べてみました
IPS機能は欲しいけど、スループットの高いFW機種は値段も高い
RTX1200はIDSのみ、かつ破棄しか出来ないけど、
対策ソフトは検知すると該当IPからの接続を自動的に拒絶するから疑似IPSにはなってる
当面は現状のまま様子見ます >>523
内部犯ではないか?
NAT 動的フィルタかましているのに、
外部からスキャンされることはないでしょう。
うちのところでもそういうことがあって、
見つけたので厳正に処分した。 で、結局、UTMっているの?
UTMのことよくわかっていない営業マン(有名メーカー)が社にやってきて、
導入するように迫ってきたが追い返したことがある。
「うちではサーバーは内部に置いていないので不要です」と断った。 >>526
動的NATや動的フィルタをしているのに、
しかしどうやって、フィルタを突破されたんだ?
その解明の方が先だと思う。 >>524
複合機とか怖いよな。
会社なんかではリモートで保守されているんだけど、
複合機が踏み台にされて内部へアクセスし放題だったら怖すぎる。
複合機撤去しようかな。 >>519
大切なことは、自分で判断する力だと思うよ。
営業マンの口車に載せられていてはダメだ。
UTMの特性を勉強して、本当に自社に必要かを判断することが必要で、
その問に答えられないような営業成績を上げるためだけの素人営業マンの言う事なんて無視しなければならない。 >>531
例えば業務で勝手にクラウドストレージを使われると情報漏洩とか内部統制の絡みでNGになる。
そんな所なら中からの漏洩防御にUTMを使ったりするよ。
社内のデータや端末をどう守りたいのかの棚卸しが必要だったりする。理想論は。 >>533
最近はカメラだな。なぜか監視カメラのセキュリティはうるさく言わないんだよな。
社長がスマホで見るから必要とかそういう次元になっちゃって・・・ >>509,515
EasySOCは監視と通知
運用支援てのがAV/IDSパターン更新(基本ライセンス)とオンサイト保守、WFは知らんがあってもオプション
FMSが物(レンタル)を含むプラン
https://www.otsuka-shokai.co.jp/products/security/internet/firewall-utm/fms.html
どれにしろ初期導入費用は別途
>>529
何を調べたかしらんけど
IDSは検知(と通知)、IPSが防御
夏頃見つかったなんたらSmackとか新たな脆弱性、攻撃に対応するパターン更新ないのは
IDPSと言えるものじゃなくルーターのオマケでしかない UTMとかで社員がどこのWeb見たとか検索履歴とかの記録取れるのある? >>537
レスありがとう。やっぱそうだよね。
そんな美味いはなしは無いんや・・・・。 >>543
url filter 1 pass-log * *
pp select 1
url pp filter out 1
syslog notice on
でいけるんじゃね?っておもったけど、HTTPSがらみは制御できないだけじゃなくてログすら取れないんだな
show log | grep URL_FILTER
>2018/12/22 13:28:28: [URL_FILTER] Passed at TUNNEL[90] OUT(1) filter: 192.168.9.3 : http://xvideos.com/
こんな感じでログは吐ける >>544
squid proxy で、
代わりにおれおれ証明書を手渡す方法ならいけるんじゃないか フレッツにNVR700W直結してるんだけど
(ひかり電話契約してるからHGW支給されてるけど使ってない)
この状態でフレッツテレビ契約したらNVR使えない?
HGW必須になんのかな? >>546
ひかりテレビのHGWって、
同軸端子がついているんでしょ。
光ファイバをHGWに直結するんだと思う。
テレビデータは、ISPとの通信で使うものとは異なった波長のもので配信されたと思う。
したがって、HGWは必須になるのでは?
もちろん、HGWでなくて、テレビ映像を分岐するONU的なものが手前にあるのなら、
HGWが必須になることはないね。
それから、HGWって、中身はルーター+ONUでLANケーブルで内部で接続されているから、
もしテレビ映像がONU部分で分岐されて同軸端子に供給されるのなら、
その内蔵LANケーブルをRTXに接続することもできるのでは?
全て想像なので確かめてください。
ルーター フレッツテレビはONU側に同軸端子が付いてる
光ファイバにRF信号が重畳されててインターネットではない。 やはりそうなのか。
今は小型ONU(てかSFP)でNVRに直収してるけど、
どちみちそれは使えなくなるんだな。
HGWのルータ部分を使わずNVRに接続ってできんのかな?
情報が無いんよね。。。 HGWにPPPoEパススルー機能とかあれば使えそうだけど ONU(HGW)より回線側に入れるV-ONUと云う装置が有り、既設回線にフレッツ・テレビを導入する時に使います。 HGWのUNIポートからスイッチで分岐させて
HGWのひかり電話と、ひかりTVも使えてるよ
物理1回線にプロバイダ多重契約してPPPoEセッションも張れてる
インターネット回線を受けてるのはYAMAHAではないけど >>549
HGWには内蔵結合LANケーブルはもうないのか? いや、フレッツ・テレビじゃひかりTV見れないしその逆もできないし >>552
PPPoEは良いとして分岐させてもIPv6は両方使えんでしょ。
V-ONUは光in/光outなのかな? フレッツテレビは電波の波形そのものを光に変調して
通信とは別に多重化して送り出す変態技術だからな
ファイバーの中にアナログ電波通ってるようなもんだ 変態なのはFM一括変調
これでFMキャリアとかぶって4K8Kが伝送出来ない! >>560
フレッツ光はこの先も、4K、8Kが非対応ってこと? なのはさんは変態じゃないです
まぁ伝送予定はあるから、何らかの形でやるんじゃない?
V-ONU交換必要かもしれないが 専用アダプターとやらで、変調した複数チャンネル束ねる感じなのかねえ >>564
おお、フレッツ光があれば、
アンテナ増設とか、配線の変更はいらないじゃないか。 フレッツ料金と一緒にスカパー払えるようにして欲しい。
ひかりTVでできるのになんでフレッツテレビはできないのか。 書き込むスレが違うし
5chで愚痴言っても何も変わらない ヤマハでひかりTV見るのはめんどくさくなってやめちったな https://www3.nhk.or.jp/news/html/20190125/k10011791591000.html
調査は家庭や会社などにあるルーターやウェブカメラなどのIoT機器およそ2億台を対象に来月中旬に開始し、無差別に侵入を試みて、初期設定のままになっているなどセキュリティー対策の不十分な機器を洗い出し、ユーザーに注意を促すとしています。 RTX810 Rev.11.01.28でsh log やると操作できなくなっちゃう・・・ clear logかけたらとりあえずログ表示でハングするのはなおった rtx1210の仕様にWANは任意のLANポートを使用可能って書いてあるけど、IP2つ契約してWAN側に2回線用意するみたいなことってできるの?その場合やっぱり(NATセッション数が飽和しない範囲で)端末の台数増やしたりした時の処理能力は上がる?
素人質問でスマン できる
何の処理能力かわからんけど処理能力はしらん
たいしたかわらん気がするけど >>576
サンクス
たとえば多人数の社員がブラウザで大量にタブ開いて調べ物してたりしたらレスポンス遅くなったりしない?そういう時に2回線用意できれば改善できるかなって話 それこそNATセッション数が飽和する状態なら
改善されると思う >>578
帯域が足りて無いのは改善するだろうけどNATセッション数が飽和するような使い方だと改善は無理じゃね? 帯域も2倍になるし、両方の回線でNATセッション張れるようになるわけだからどっちにしろ改善するかなって思ったんだが…
それとも仕様の最大NATセッション数って機器全体でって事?それだと飽和してたら回線増やしても無理だけど どこにボトルネックあるか調べてからのが良くね
その手の中小企業のオフィスの話は大抵、Wifiがパンクしてるだけだし 何重にも要因が重なってるっぽくて、確かにwifiもボトルネックぽかったから何台か置いて部署ごとに分散させたら多少は良くなったんだけどまだ遅いんや
光回線のはずなんだけど Office365は最近問題になるケースが多いようだね
業者に相談すると別回線引くの勧められる ■ このスレッドは過去ログ倉庫に格納されています