幸せのログ確認【2021年3月26日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのログ確認をするという内容になります。

前回ではポリシーを作成してFortigateを通しての通信ができるようにしましたが
実際に許可した通信だけが通っているかは不明です。
Fortigateではパケット通信などのログをGUI画面上で確認することができます。

GUI画面左側のメニューから[ポリシー&オブジェクト]→[モニタ]の[ポリシーモニタ]を選択することでポリシーで許可されているポート間のパケットのログを確認することができます。

今は何もログが表示されていませんが、ポリシーで許可されている通信の疎通を行うと
パケットのログが表示されます。
前回に作成したPort9からport1へのPINGを許可するポリシーのログを確認してみます。
コマンドプロンプトからPINGを送信します。

port9につながる端末からport1につながる端末にPINGを飛ばすと…
作成したポリシーが適用されて、許可した通信のみが通ります!

このように通信のログをとることで必要な通信以外が通っていないかを確認することができます。
ログの確認は監視業務でも使う機会が多いと思うので活用できるといいかもしれません。

本日の記事は以上となります。
次回の記事はFortigateのバックアップを予定しております。
次回の記事もお楽しみに!

初心者が語る無線LANアクセスポイント(AP)について【2021年3月25日】

こんにちは!
今回の記事はたみさんがお送りします。


現在、N社のネットワーク構築案件で使われる無線LANアクセスポイントの説明をしたいと思います。
まずは無線LANアクセスポイントにと言う単語について、名前を知らない人でも
オフィス内の部屋の上や壁などで見たことがあると思います。
気になった方は探してみてはいかがでしょうか。

引用元:press
サイト名:https://www.atpress.ne.jp/news/185897

次に無線LANアクセスポイントとは
無線LAN通信(ノートパソコンやスマートフォン)の無線の端末同士を接続させたり
有線LANと接続したりする無線機の一つです。
また、無線LANアクセスポイントは「ワイヤレスLANアクセスポイント
ワイヤレスアクセスポイント」「アクセスポイント」などと呼ばれています。
Wi-Fi通信が行えるようになったのは、さまざまな場所に無線LANアクセスポイントが
設置されるようになったからです。

アクセスポイントを利用できる機器は何があるのか?
パソコンやノートパソコン、スマートフォンにタブレット、プリンターにゲーム機等々が利用できます。
一部ではデジタルカメラも利用できるみたいです。

引用元:Meraki
サイト名:https://www.cisco.com/c/m/ja_jp/meraki-go/access-point.html

逆にアクセスポイントが無いと、どうなるのか
電波の届く範囲の拡大などができなくなり、電波の届かない所や遠い所は
通信状況が遅くなり酷い状況になります。
また、パソコンからプリンターに印刷機能ができなくなる可能性もあります。
快適なインターネット環境には、アクセスポイントが必要不可欠なのが調べてて分かりました。

今回の記事は以上となります。
最後まで読んで頂きありがとうございます。
次回の記事もお楽しみに!

ポリシーは、作れる【2021年3月24日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのポリシーを実際に作成するという内容になります。

Fortigateを介しての通信ですが標準の状態では通信の許可がされておらず通信が通りません。
なのでポリシーを作成、適用して通信が取れるようにしなければいけません。

今回はGUIでポリシーを作成していきたいと思います。
まず、GUIの左側にあるメニューから「ポリシー&オブジェクト」→IPv4を選択します。
すると現在適用されているポリシーの一覧が表示されるので上部にある「Create New」で
新規のポリシーの作成をします。

ポリシーの新規作成に移ると送信元アドレスや宛先アドレス、入力と出力インターフェースを選択する画面が表示されるので各項目を選択していきます。
今回はport9からのすべてのアドレスからPort1のすべてのアドレスへのPINGの疎通が通れば良いので下記画像のように選択します。

選択が完了したらOKを押し、ポリシーを作成します。
以下の画像のようにポリシーの一覧に新たに作成したポリシーが並んでいれば作成ができています。

今回の記事は以上になります。
次回の記事はを予定しております。
次回の記事もお楽しみに!

少しは理解が深まると嬉しいポリシー解説【2021年3月23日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのポリシーについてという内容になります。

ポリシーとは方針の事で、その物事に対するルールのようなものです。
例えばプライバシーポリシーですが、これは個人情報をどう扱うかという方針やルールであり
そのルールを明文化したものをさすこともあります。

Fortogateにおけるポリシーとは通信の可否の制御する設定の事です。
標準ですべての通信を拒否する設定(暗黙のdeny)がされており、基本的には許可したい通信についての通信許可設定を追加していくことになります。
ポリシー設定は、主に送信元、送信先、サービスポートを指定することで設定します。

標準の設定だとこのように拒否されます。

Aという端末とBという端末との間で FortiGate を挟んで双方向通信を実現したい場合、[AからBへの通信] と [BからAへの通信] の双方向の通信が許可されている必要があります。
FortiGate の一つのポリシーで設定できるのは片方向の通信についてのみのため、双方向通信を実現するためには 2 つのポリシー設定が必要となります。
ここで、FortiGate などのファイアウォールにはステートフル・インスペクションと呼ばれる機能があります。
ステートフル・インスペクションを有効にした場合、ある通信を許可するポリシー設定に対して、そのポリシーに該当する通信に対応する戻りの通信は自動で許可されます。
これにより一つのポリシーで双方向通信が可能になります。
また、ステートフル・インスペクションがあることによりセキュリティ面でのメリットがあります。
引用元:https://nwengblog.com/fortigate-policy/#toc2

大体の企業では、社内LAN側からインターネット側への必要な通信のみ許可しておいて、インターネット側から 社内LAN側への通信は原則として拒否するという設定がされています。
これはつまり、原則として社内LAN 側を起点とする通信のみ許可されるということになります。

今回の記事は以上になります。
次回の記事は実際にポリシーを作成して通信を行う内容になります。
次回の記事もお楽しみに!

TeraTermのマクロとは?【2021年3月22日】

こんにちは!
今回の記事はたみさんがお送りします。


現在、N社のネットワーク構築案件で使われるTeraTermのマクロについて
説明・紹介をしていきます。
そもそもTeraTermのマクロとは
ttlという拡張子を持ったファイルを使い
ttlファイルの中に、TeraTermのコマンドを記述することで
自動的にそのコマンドを打ってくれる機能です。

次にTeraTermのマクロはどんなことに使えるのか
1.SwitchやRouterなどの機器にログインをすることができます。
その為、機器のIPアドレスやパスワードを打ったりする必要がなくなり
便利になります。

2.コマンドを自動で打ってくれる為、ログを取る作業やコマンドを打つ作業などが
簡略化し、作業時間の短縮に繋がります。

3.2でも軽く触れましたが、ログなどをメモ帳に名前込みで自動的に作ってくれます。
例えば、【show ip route】が記された.ttlファイルをマクロで読み込むと
【show ip route】のコマンドを自動で打ってくれて
【show ip route】の内容が記されたメモ帳を作ってくれる
※複数のコマンドでも、一個一個メモ帳を作ってくれるので
TeraTermのファイルタグからログ、ログを閉じる手間がなくなる為、
ログ取得が多い作業ならマクロでやることを個人的にはおすすめします。
しかし、ttlファイルを作らないといけないので、頑張りましょう。

その他にも.ttlファイル次第ではメッセージボックスを表示し、格納場所や
使用するコマンドのttlファイルの指定ができたり
同じ処理を繰り返したりもできます。

私が参考にした
.ttlファイルの作り方は外部リンクを載せて置きますので、良ければ参考にしてください。
引用元:Qiita
サイト名:https://qiita.com/iguru/items/eed60bc1d969a6a0000c

今回の記事は以上となります。
最後まで読んで頂きありがとうございます。
次回の記事もお楽しみに!

ハードウェアスイッチ独立宣言【2021年3月19日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのInternalポートの独立という内容になります。

現在使用しているFortigate 200Bという機器は物理ポートが16ポートありますがそのうちポート1~8がハードウェアスイッチとして一まとめにされています。
半数ほどのポートが一まとめにされていると少々使いづらいのでポートを独立させていきます。

それではGUIを用いてポートを独立させていきます。
※今回はポート1も設定の対象になるのであらかじめGUIかCLIで9位個のポートにIPアドレスとHTTPSの許可を設定します。

ハードウェアスイッチのモードを解除すればポートを独立させることができるのですが
初期状態の機器には、ハードウェアスイッチからport9への通信をすべて許可するポリシーが設定されています。
このポリシーが設定されている状態だとハードウェアスイッチを削除できないため、まずこのポリシーを削除します。
[ポリシー&オブジェクト]→[IPv4] 画面にて、[switch→prot9] 欄の ID 1 のポリシーをクリックして選択した後[delete]をクリックし削除します。

ポリシーの削除が完了したら次はハードウェアスイッチを削除しポートを独立させていきます。
[ネットワーク][インターフェース]画面にて[switch]を選択し右クリック、モード変更を選択します。

すると下記画像のようなウィンドウが出てくるのでインターフェースモードにチェックを入れてOKを押します。
その後物理ポートの数が16に増えていたら成功です。

今回の記事は以上になります。
次回の記事はFortigateのポリシーについての内容を予定しています。
次回の記事もお楽しみに!

現場でよく使ったショートカットキー一覧【2021年3月18日】

こんにちは!
今回の記事はたみさんとがわさんの2人でお送りします。
今回は現場でよく使うショートカットキーを紹介致します。

1.Windows標準ショートカット
【Ctrl+Z】1個前に戻る
【Ctrl+X】切り取り
【Ctrl+C】コピー
【Ctrl+V】貼り付け
【Ctrl+A】全選択
【Ctrl+S】保存(Excel、メモ帳)
【Ctrl+F】検索
→探す手間が省け、時間短縮になります。
【Ctrl+N】同じエクスプローラーが新しく出現します。
→違う所にあるファイルを比較する時に時間短縮できます。

【Windows+shift+S】スクリーンショット

【Shift+Del】完全消去
→ゴミ箱にいかない為、2度手間にならない

2.Excel限定
【Alt+;】日付
【Alt+:】時間と分

今回紹介したショートカットキーは現場で
使用する頻度が高いものなので覚えておくと便利です。
現場で培った知識は他の現場で活かせるようこれからも頑張っていきます。

今回の記事は以上となります。
次回の記事もお楽しみに!

現場で知ったAPRESIA機器とCisco機器の違い【2021年3月17日】

こんにちは!
今回の記事はたみさんとがわさんの2人でお送りします。
こちらの記事は現場で知ったAPRESIA機器とCisco機器の違いを紹介したいと思います。

まず、見た目に関してですが、あまりCisco機器と変わりはありません。
性能面だと現場で使用したAPRESIA機器は起動時の騒音はなかったです。(※騒音がある機器も一部有り)
Cisco機器は一部騒音が大きい機器もあります。

引用元:APRESIA
サイト名:https://www.apresia.jp/products/apresialight/

次にコマンドの違いについて説明します。
TeraTermを活用して機器を設定する際に
Cisco機器の場合は必要な設定を終えたあとに【exit】を使い、抜けますが
APRESIAだと【exit】ではなく【logout】を使用して抜けなければなりません。
exit】コマンドを投入しても1つ前のモードに戻るだけ
その機器自体から抜ける事ができないので
APRESIA機器を使う際は注意して下さい。

また、その他のコマンドでは、機器を起動した際に設定内容を保存する【show statup-config】の代わりに
APRESIAの場合は【show config_in_nvram 】を使用し
機器の動作中に設定した内容を自動的に保存する【show runniing-config】の代わりに
show config current_config】を使用しなければなりません。
間違えてCisco機器で使うコマンドを投入しても機能しないので
機器の設定に詰まった際はマニュアルなどを見ながら理解を深めて下さい。
一部コマンドが違うものの、性能や役割自体は変わらないので
Cisco機器とAPRESIA機器を同時に使う前に
事前に覚えておくと便利です。

ちなみに【show config_in_nvram】と【show config current_config】は
機器の現時点の設定情報を全て表示するコマンドなので
自分が設定変更した情報がどの部分で表示されているのかが非常に分かりにくいです
その時に便利なオプション機能として【modified】コマンドが用いられます。
このコマンドは元の状態から変更された設定情報のみを表示するコマンド
自分がどの設定を変更したのかを効率よく確認する事ができます。
是非覚えておくと後々業務の効率化に繋がります!

今回の記事は以上になります!
最後までお読みいただき、ありがとうございました。

使える気になれるCLI解説【2021年3月16日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事は前回の記事の引き続きという形になります。
前回はGUIでポートにIPアドレスとSSHの設定を施したので今回はSSHでCLIに接続してポートに設定をしていきたいと思います。

前回はPort9にIPアドレス「192.168.2.1」とSSHの管理者アクセス許可を設定したので
tera termを使用してSSHでCLIに接続します。
検証用端末のPCとFortigateのPort9をLANケーブルで接続し、tera termを起動します。
tera termを起動したらTCP/IPにチェックを入れホストの欄にPort9に設定したIPアドレス「192.168.2.1」を入力しOKをクリックします。
この時イーサネットのIPアドレスがPort9のアドレスと同じセグメント(グループのようなもの)でなければ接続することができません。
今回の場合Port9のIPアドレスは「192.168.2.1」なので「192.168.2.1~254」のうち、重複していないアドレスを設定すれば問題ないです。
IPアドレスの設定については下記URLを参照してください。
BUFFALO:https://www.buffalo.jp/support/faq/detail/15257.html

するとSSH認証というタブが出てくるのでGUIにログインした時と同様ユーザ名に「admin」と入力してOKをクリックするとCLIの画面に入ることができます。

CLIの画面に入ることはできましたがCLIは設定を行う際にコマンドを用いて設定します。
つまりコマンドを知っていなければ設定をすることができません。
しかしキーボードの「shift」と「?」を同時に押すことでコマンドのリストを表示することができます。

それではインターフェースにIPアドレスを割り当て、PINGの管理者アクセス許可を設定していきます。
cinfig system interface」と入力することでインターフェースの設定を行うことができます。
インターフェースの設定モードに移動したら「edit」で設定したいポートの選択をします。
ポートの選択をしたら「set」コマンドで設定をしていきます。
今回設定したコマンドの詳細についてですが、
set mode static → アドレッシングモードをマニュアルに設定
・set ip ○○ → IPアドレスを設定
・set allowaccess ○○ → 管理アクセスをどのプロトコルで許可するかを設定
となっております。
設定が完了したら「end」コマンドでインターフェースの設定モードから戻ることができます。

それでは設定ができたか確認していきます。
今回はPort10に設定をしたので「show system interface port10」と入力すれば余分な情報を省いてみたい情報だけを見ることができます。
先ほど入力した通りのIPアドレスになっていれば成功です。

CLIではGUIでできることはもちろんCLIでしか設定できない項目も存在します。
設定をコマンドで行う以上、GUIより難しい印象ではありますが、慣れてしまえばGUIより
使い勝手が良くなったりもします!

今回の記事は以上となります。
次回はFortigateのInternalポートの分割という内容になります。
次回の記事もお楽しみに!

ほんのりとわかるかもしれないGUIとCLI【2021年3月12日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回はFortigateのGUI,CLIでの操作について説明をしていきたいと思います。

最初にGUIについての説明です。
GUIとはグラフィカル・ユーザ・インターフェースの略で、グラフィックベースの操作体系を持つUI(ユーザ・インターフェース)のことです。
情報の表示にグラフィックを用いておりマウスでの直感的な操作が可能です。
下記画像のように視覚で情報を得られるのでどの部分を選択したら自分の望む設定が行えるのかがわかりやすいというのが利点です。
GUIへのアクセス方法はブラウザから「https://機器のアドレス」を入力してHTTPSでアクセスすることができます。

社内検証で使用しているFortigateのGUI画面

次にCLIについて説明していきたいと思います。
CLIとはコマンドラインインターフェースの略でありすべての操作をキーボードのみで行う
UIになります。
簡単に説明すると無地の背景に文字だけが表示されているいかにもプログラム関連のような見た目の画面で、コマンドを打ち込むことで操作ができます。
CLIの操作はGUIと比べて難しいですがGUIで行える設定はもちろんもちろんCLIでしか行えない設定もあるので、より深い設定施したい場合はCLIが適しています。
CLIへのアクセス方法はSSH,Telnet,コンソール接続がありターミナルアプリを用いてCLIにアクセスすることができます。
またFortigateのGUI内からもCLIを操作することができます。
例ではありますが下記画像がCLIの様子です。

いかにもエンジニアといった感じの画面です。

ここまでCLIとGUIについて話してきましたが要約すると、
直感的に操作できるのがGUI、コマンドを入力して操作するのがCLIです。
設定する内容によってGUIが適していたりCLIのほうが設定しやすかったりするので
両方扱えるとスムーズに設定が行えるようになります。

今回の記事は以上になります。
次回の記事はFortigateを実際に使いGUIで設定を行うという内容になります。
次回の記事もお楽しみに!