ASAでIPsecが複数張られた環境で気をつけること | ライタス株式会社

ASA5505で多拠点に張られたVPN間で通信を行いたいという要望があり、設定してたところ、思いっきりハマりましたので、今後のために記録しておきます。

[やりたいこと]
IPsecで外部からログインしてきたユーザーに、プライベートクラウド環境へのアクセスを提供したい。

[ハマったこと]
VPNセッションは正しくconnectしているのに、VPN外部ユーザーからプライベートクラウド環境へアクセスできない。

[原因]
ASAの設定ミス

「等位セキュリティ レベル間の通信のイネーブル化」項参照
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/AdaptiveSecurDeviceMGR/CG/004/15463_01_5.html?bid=0900e4b1825295c0

ASAでは、インターフェイス間通信はデフォルトで許可されておらず、ASAを踏み台にして行う通信は、個別の設定を行う必要があります。

Configuration > Interfacesの画面で、下の方に
 "Enable traffic between two or more hosts connected to the same interface"というチェックボックスがあるので、これをチェックしてApplyすることで、インターフェイス間通信が許可されます。

IPsec間でASA越しに通信するときには気をつけたい項目ですね。
他にも、NATの設定も必要になる場合もあるので、そちらも注意して設定したいところです。

ESENT 906 326 327が大量に出る対策 | ライタス株式会社

Windows Server を長期間運用していると、少しずついろんなものに警告が出ることがあります。

今回は、そんなESENTの警告についての紹介です。
遭遇したのは、SENT イベント 906とイベント326/327が繰り返し発生するというものです。
ちなみに、OSバージョンはWindows Server 2012で、Hyper-Vだけ導入しているサーバーです。




気にしなくても良いように思いますが、やはり気になるので調べてみました。

https://support.microsoft.com/ja-jp/help/2900773

サービス [User Access Logging]を停止した後、
"%SystemRoot%\system32\LogFiles\Sum\" 内のすべてのファイルを削除すれば良いとのこと。
削除したら、サービス [User Access Logging]を再開しておきましょう。


ユーザー アクセス ログの管理を行う必要がない場合、サービスを停止しておいても良いかもしれませんが、以下に詳しく記載があるので、停止したままにする場合は、よく確認されたら良いかなと思います。
https://msdn.microsoft.com/ja-jp/library/hh849634(v=ws.11).aspx

古いバージョンのJRE/JDKをダウンロードする方法 | ライタス株式会社

古いバージョンのJavaは脆弱性を抱えている可能性があるものの、諸般の事情で使用しないといけない状況がままにしてあります。

今回は、JRE 7 が急遽必要になり、ダウンロードしようとしたところ、ちょっとハマってしまったので、記録です。


これまでは、そうは言っても、Javaのダウンロードページにアーカイブへのリンクが張ってあったので、
そちらから入れました。

http://www.oracle.com/technetwork/java/archive-139210.html

時々必要になることがあるのですが、セキュリティ上問題がある場合もあるので、
注意して使いたいところです。

WindowsのSmartScreenを回避できない | ライタス株式会社

SmartScreenフィルターと言うものがあります。

Internet Explorerに搭載されているセキュリティ機能で、怪しいプログラムやフィッシングサイトを防いでくれるものですが、
普通に開発したプログラムをインターネットを介して展開しようとすると、SmartScreenフィルターが警告を発します。

警告画面の参考
グローバルサイン　Microsoft SmartScreenの警告表示
https://jp.globalsign.com/service/codesign/knowledge/signature/smartscreen.html

https://jp.globalsign.com/service/codesign/knowledge/smartscreen.html

この警告を回避する方法として、EVコードサイニング証明書を購入して、
署名を付けてコンパイルする（*Visual Studioの場合。それ以外はコンパイラの仕様によると思います）方法が紹介されています。

また、Windowsストアの開発者登録をして、Windowsストアからアプリケーションを配布することでも回避可能なようです。

EVコードサイニング証明書ではなく、通常のコードサイニング証明書を導入したとしても、SmartScreenフィルターからは、「ダウンロードしたユーザー数が少ないため、PCに問題を起こす可能性があります」という警告が出ることがあるようです。

秀まるおのホームページ　デジタル署名の確認方法
http://hide.maruo.co.jp/software/chktrust.html


TechNet　スマートスクリーンフィルターの挙動が変わった？
https://social.technet.microsoft.com/Forums/ja-JP/cef3929f-c13d-41fb-9d2a-ec357cd97d52?forum=internetexplorerja




コードサイニング証明書を取得するには、どのベンダーを選択すると良いかについては、下記のサイトが詳しいです。（ちょっと古い記事ですが）

ダイアモンドアプリコット電話研究所　コードサイニング証明書を買う前に
http://www.nda.co.jp/memo/codesigning/index.html

このサイトで紹介されているアールエムエスという会社は、Digicertという会社の正規代理店です。
弊社でもリセラー契約をしていますので、弊社にてご案内することが可能です。

Cisco VPN Clientの代わりに使えるソフト | ライタス株式会社

Windows標準でもL2TP over IPsecは設定できるのですが、IPsecは対応出来ないので、VPN Clientソフトで対応します。

IPsecとL2TPについては、以下がわかりやすいです。

アライドテレシス VPNソリューション技術解説
https://www.allied-telesis.co.jp/solution/vpn/vpn_type.html

Cisco VPN Clientというソフトがありますが、開発が既に終了しており、Windows 10やその他OSで使いたいときに、困ってしまうという事態になっています。

http://www.cisco.com/web/JP/product/hs/security/vpncl/index.html


そこで、今後のことを考えて、どのようなソフトが存在するか、簡単ですが調べてみました。
（いまのところWindowsで使えるものだけです）

ソフト名	開発元	制限
TheGreenBow IPSec VPN Client	TheGreenBow	30日試用
Shrew Soft VPN Client	Shrew Soft Inc	オープンソース
YMS-VPN8	YAMAHA
SoftEther VPN Client	筑波大学(オープンソース)	GNU GPL

使い心地については、機会があれば検証してみたいと思います。


-参考-
9 Free Open Source VPN - Compatible OpenVPN Client Alternatives
https://www.geckoandfly.com/5710/free-vpn-for-windows-mac-os-x-linux-iphone-ubuntu/



追記[2017.2.7]

SoftEther VPNが使えるかなと思って試したところ、IPsec/L2TPの対応になっており、IPsecでの通信ができるように設定できませんでした。

できるのかもしれないのですが...