Feb 26, 2015

SSHD_CONFIGと、Log Level メモ

LogLevelについて

QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG,DEBUG1, DEBUG2 および DEBUG3。
デフォルトでは INFO です。


DEBUG2、DEBUG3 はそれぞれさらに冗長

参考
 http://www.unixuser.org/~euske/doc/openssh/jman/sshd_config.html

以上、2014.08のメモから抜粋

中間CA証明書のマージ


背景

   シマンテックの証明書をdelegated環境で使用する場合は
   中間CA証明書・クロスルート設定CA証明書を、サーバ証明書に
   組み込む必要がある。手順を以下に記す。

手順

    1.シマンテックから証明書受領。

    2.delegatedでSSLリバースプロキシの場合は、
      「X.509形式 (Apacheを代表とするサーバ(Microsoft IIS以外)用)」を
      エディタで server01-cert_verisign_public.pem として保存。

    3.グローバル・サーバID用中間CA証明書(クロスルート設定CA証明書込み)の

      取得用サイトにアクセスする。
      https://www.jp.websecurity.symantec.com/repository/intermediate.html

    4.「グローバル・サーバID」の「2枚1組」から申し込み時期に一致する

      リンクをクリックする。

    5.「CN = VeriSign Class 3 International Server CA - G3」を確認

    6.取得(画面からコピー)する。

    7.エディタで VeriSign_Class_3_International_ServerCA-G3.txt を新規作成、
      先ほどコピーした内容を貼り付けて保存する。

    8.# grep -i cert VeriSign_Class_3_International_ServerCA-G3.txt
      で 「-----BEGIN CERTIFICATE-----」~「-----END CERTIFICATE-----」が

      二組そろっていることを確認。

  9.サーバ証明書とマージ
     (1) 
         # cat server01-cert_verisign_public.pem > test1

     (2)
         # cat VeriSign_Class_3_International_ServerCA-G3.txt >> test1

      ・メモ
          手順4で「1枚毎」を選択した場合は、さらにエディタで*G5.txtを

    作成し、次のコマンドでマージすれば良い。
         # cat VeriSign_Class_3_Public_Primary_Certification_Authority-G5.txt >> test1
          面倒なだけなので、「2枚1組」で良い。

   10.形式変換
          # openssl pkcs12 -inkey server01-nopasskey.pem  \
             -in test1 -export -out server01-merged.pkcs12
          # openssl pkcs12 -in server01-merged.pkcs12 -nodes  \

           -out server01-merged.pem

   11.証明書のありかを設定して、delegated起動準備

     ・Windowsサーバの場合は、
        copy server01-nopasskey.pem [DGROOT]\bin\server-key.pem
        copy server01-merged.pem      [DGROOT]\bin\server-cert.pem  

     ←2015/03/22訂正(server01.pemをserver01-merged.pemに)。
      見てくれた方は意味不明だったと思います。済みません。

     ・ Linuxサーバの場合は、delegated起動スクリプトに、

    証明書のありかを記載。


   12.証明書の実装状態を確認
     ・ブラウザで確認


     ・Symantecのチェックツールでも確認しておくと良さそう
          Certificate Chainが構造化されている事が確認できる。
          チェックツールのサイトアドレスはこちら

参考

   Certificate Chaining
   http://help.globalscape.com/help/eft6/Certificate_Chaining.htm

   APサーバに中間証明書付のSSLサーバ証明書をインポートするには?
   (2011/12/31)
   http://acro-engineer.hatenablog.com/entry/20111231/1325314832

   How to configure SSL

   http://docs.codehaus.org/display/JETTY/How+to+configure+SSL

   SSL証明書ファイルのエンコードタイプとopensslでの変換方法
   http://www.digicert.ne.jp/howto/basis/file_types.html


以上

Feb 25, 2015

Fortigateのメモ

■SSL

Strong authentication with security certificates
http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%25205.0%2520Help/SSLVPN_FortiGate_41.161.09.html
>The client browser must have a local certificate installed

FortiGate SSL VPN 2 Factor Authentication Using Open SSL Self Signed

Certificates
http://community.spiceworks.com/how_to/93311-fortigate-ssl-vpn-2-factor-authentication-using-open-ssl-self-signed-certificates
←専用クライアント "FortiClient"で、クライアント証明書を利用できるようにする手順紹介

Fortigate – Generate a certificate request and import a signed certificate back into the Fortigate.

https://stuff.purdon.ca/?page_id=21


■VRRP


VRRP 設定手順書 Ver. 1.1 - TEC-World
https://hds.networld.co.jp/faq/fortinet/00002498-1.pdf

Configuring VRRP

http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%25205.0%2520Help/HA_VRRP.089.4.html


■MTU


Interface MTU packet size
http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%25205.0%2520Help/interfaces.100.20.html
> To change the MTU size, use the following CLI commands:
> config system interface
>   edit <interface_name>
>     set mtu-override enable
>     set mtu <byte_size>
>   end

Change MTU to support Jumbo Frames in FortiOS

http://www.mylesgray.com/hardware/change-mtu-support-jumbo-frames-fortios/
←FortiOS v5.0+からはGUIの当該メニューは無いらしい

Changing the MTU size to improve network performance

http://www.manualslib.com/manual/53201/Fortinet-Fortigate-Fortigate-800.html?page=144
←以下、GUI?→
> To change the MTU size of the packets leaving an interface
> 1 Go to System > Network > Interface.
> 2 Choose an interface and select Modify
> 3 Select Override default MTU value (1500).
> 4 Set the MTU size.

■DMZ


FortiGate-60D / FortiWiFi-60D
http://www.fortinet.co.jp/products/fortigate/60DSeries.html
> 1.5 Gbpsのファイアウォールスループット

FortiGate-60D/FortiWiFi-60D

www.fortinet.co.jp/doc/FGT60DSeriesDS.pdf
> 2つのGbE WAN、7つのGbE LAN、1つのGbE DMZインタフェース


■ビデオ


Fortigate IPsec VPN for a secure connection using IOS ...
http://www.youtube.com/watch?v=5Up3cHyAuxM

How to Install and Configure Fortinet FortiClient IPSec VPN ...

http://www.youtube.com/watch?v=rn_5_NTYZrg


--- 2015.03.07 追記ここから ---
FortiGate Quick Start Guide ( Wizard Configuration ) (2013/06/12)
https://www.youtube.com/watch?v=rh49qROujlE
ますは、ここを見れば、Fortigate/Fortiwifiの初期セットアップは大体分かる。

FortiGate Cookbook - Basic FortiGate Installation (5.2)
https://www.youtube.com/watch?v=LdGQBwYlbts&list=PLLbbcH8MnXJ5UV22hUQRIv0AHSqp81Ifg
こちらも初歩的な LAN→外部ネットワークの設定手順。

FortiGate Cookbook - Using the FortiClient VPN to set up a VPN between a user and a private network (2012/05/11)
https://www.youtube.com/watch?v=ay4IDD36hdM
FortiClient VPN (ipsec) で、内部LANへ、さらにFortiGate経由で外部へアクセスするための設定手順が紹介されている。

Setup IPSec VPN Access to Work Network for Remote Users using FortiClient
https://www.youtube.com/watch?v=BpexjgfsD34&t=133
此方もipsec設定手順。
remote LDAPでの認証や、split tunnelなど、さらに踏み込んだ内容。
特定グループにのみ外部から内部LANにアクセスさせたいが、残念ながら言及無し。

FortiGate Cookbook - Site-to-Site IPsec VPN (5.2)
https://www.youtube.com/watch?v=sZC0AldHi34&list=PLLbbcH8MnXJ5UV22hUQRIv0AHSqp81Ifg
Site to Site IPsec VPNの設定手順

FortiGate Cookbook - High Availability [HA] (5.2)
https://www.youtube.com/watch?v=Zn5rDN1YjSE&index=4&list=PLLbbcH8MnXJ5UV22hUQRIv0AHSqp81Ifg
Hot Standby機を用意して、冗長構成にする手順。

その他参考
  http://www.fortinet.com/

--- 2015.03.07 追記ここまで ---

■参考、VPN


リモートアクセス型VPNの構築ポイント (1/2) (2003/05/31)
http://www.atmarkit.co.jp/ait/articles/0305/31/news002.html

//


二月のメモ、その2

13 best privacy tools for staying secure (2015/02/03)
http://www.zdnet.com/pictures/the-best-privacy-tools-for-staying-safe-secure-online/


テレビは話を聴いている? スノーデン事件後の世界における音声起動技術 (2015/02/24)
http://blog.f-secure.jp/archives/50743654.html

ガチでヤバイと評判「25歳までに経験しておきたいUNIX管理作業での失敗」 (2015/2/25)
http://internet.watch.impress.co.jp/docs/yajiuma/20150225_689884.html

企業経営を脅かすサイバー攻撃の横行
http://www.trendmicro.co.jp/jp/security-intelligence/sr/sr-2014annual/index.html

IEのポップアップ等で、やたらIEが落ちる (2015/02/22)
http://blogs.msdn.com/b/shintak/archive/2015/02/23/10595036.aspx
> %LOCALAPPDATA%\Microsoft フォルダの Internet Explorer フォルダを削除。
        ←いきなりは怖いけど、もし起きたら試してみたい。

翻訳サイトを通じてメール本文が公開されていた件をまとめてみた。 (2015/02/21)
http://d.hatena.ne.jp/Kango/20150221/1424523632

第87回米アカデミー賞、長編ドキュメンタリー部門はエドワード・スノーデンの記録映画 (2015/02/22)
http://matome.naver.jp/odai/2142466620716720601

Using Google Cloud Platform for Security Scanning (2015/02/19)
http://googleonlinesecurity.blogspot.jp/2015/02/using-google-cloud-platform-for.html

ApacheのAddHandlerはセキュリティ上の懸念から使用すべきではない (2015/02/21)
http://d.hatena.ne.jp/tmatsuu/20150221/1424531513

「HDDファームウェア感染マルウェア」 vs. FFR yarai
http://www.ffri.jp/blog/2015/02/2015-02-20.htm
←yarai良さげ

lenovo、アドウェア Superfishの件、リンク集
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2015/02.html#20150223_lenovo

NSA、SIM企業ハッキングの件、リンク集
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2015/02.html#20150222_NSA

SIMカードを標的に - 米NSAと英GCHQ、ゲマルト製品の暗号キーを不正入手(The Intercept報道)(2015/02/20)
http://wirelesswire.jp/Watching_World/201502201112.html

//

Feb 19, 2015

SSH protocol 1.99 のメモ

SSH protocol 1.99
  http://tools.ietf.org/html/rfc4253#section-5.1

delegateと SSLv3対策メモ

delegateでSSL3を使用できなくする
http://d.hatena.ne.jp/iww/20141231/sslway

確認手段
(1)
  wget --no-check-certificate --secure-protocol=SSLv3 https://web-server/dir01/
  wget --no-check-certificate --secure-protocol=TLSv1 https://web-server/dir01/

(2)
  openssl s_client -connect web-server:443 -ssl3
  openssl s_client -connect web-server:443 -tls1

DNSいろいろ

技術解説:「DNS Reflector Attacks(DNSリフレクター攻撃)」について (2013/04/18)
http://jprs.jp/tech/notice/2013-04-18-reflector-attacks.html

「大紀元」へのDNS攻撃と DNS水責め攻撃の対処方法の案
http://togetter.com/li/779827

DNSいろいろ
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2014/06.html#20140619_DNS

8.8.8.8と8.8.4.4のチェックサイト
http://www.e-ontap.com/blog/20150109.html

二月のメモ いろいろ

97%の企業がセキュリティ対策をしてもマルウェアに侵入されている (2014/05/21)
http://gigazine.net/news/20140521-97-percent-hacked/

HDDのファームウェアに感染するマルウェアが登場、逃れる術はないことが判明 (2015/02/18)
http://gigazine.net/news/20150218-hdd-firmware-malware/
←これはきつい。背後に やはりNSAか。

露カスペルスキー社、ハッカー集団「Equation Group」に関する報告書発表―高度なスパイウェアを駆使
http://blog.livedoor.jp/intel_news_reports/archives/42825974.html

Carbanak: 銀行の顧客ではなく銀行自体を狙うサイバー犯罪グループ (シマンテック, 2/17)
http://www.symantec.com/connect/ja/blogs/carbanak

特集一覧(自宅ルータのセキュリティ設定を見直そう  (2015/01/29) 他)
http://www.is702.jp/special/list/

4万台以上のHDDを運用して得たモデル別故障率の「生データ」が公開されダウンロード可能に  (2015/02/05)
http://gigazine.net/news/20150205-hdd-crash-raw-data/

ネットに自分の痕跡を残さない方法(前) (2015/02/10)
http://itpro.nikkeibp.co.jp/atcl/idg/15/020200011/020200001/

インターネットに接続されたガソリンポンプ監視システムへの攻撃を米国で確認、「アノニマス」が関与か (2015/02/12)
http://blog.trendmicro.co.jp/archives/10922

特集:失敗しない! 賢い仮想デスクトップ導入術
http://www.bizcompass.jp/original/bu-growth-021-1.html

トランスアジア航空機墜落・エンジン異常を認知してのフライトにタイの航空関係者は唖然 Global News Asia 2015/02/06
http://headlines.yahoo.co.jp/hl?a=20150206-00000006-gnasia-asia

GoogleやAmazonは広告を消す拡張機能「AdBlock Plus」にお金を払って広告を表示させていることが明らかに  2015/02/03
http://gigazine.net/news/20150203-adblock-plus-google-amazon/

個人情報保護法改正案が波紋…海外の顧客データ活用 遠のく? 2015/01/30
http://www.yomiuri.co.jp/it/report/20150130-OYT8T50176.html

Bootable USB を作っておく 2015/01/30
http://blogs.msdn.com/b/shintak/archive/2015/01/31/10590057.aspx

脆弱なIoT機器が一目瞭然の検索エンジン「SHODAN」(前)2015/02/03
http://itpro.nikkeibp.co.jp/atcl/idg/15/012600009/012600001/

パスワードの変更間隔、16日でも27年でも効果は大差なし? 定量的評価の結果が話題に  2015/2/5
http://internet.watch.impress.co.jp/docs/yajiuma/20150205_686981.html

クイズで覚える!日本人が知らないネイティブ英会話
https://www.blwisdom.com/skillcareer/series/englishlear/item/9952-05/9952-05.html

【ITガバナンス】「"情報セキュリティ元年" ~日本の情報セキュリティの夜明けゼヨ!~」
http://www.ogis-ri.co.jp/rad/webmaga/1227956_6728.html

特集:NFVを活用した「次世代ネットワーク」始まる!
http://www.bizcompass.jp/original/bu-cost-025-1.html

新着記事:危機感の薄い経営陣を、たった一言で変える方法
http://www.bizcompass.jp/original/re-management-029-1.html

注目記事1:“日本一”の次なる目標はメガネの歴史を変えること
http://www.bizcompass.jp/interview/110-1.html

注目記事2:レガシー脱却のカギは、技術よりロジック
http://www.bizcompass.jp/cio/049.html


//