2009-12-08

Panda Cloud Office Protection エンジン更新後に Hyper-V 搭載サーバ機でトラブル発生

 Panda Managed Office Protection(以降MOP)がクラウド型エンドポイントセキュリティサービスの Panda Could Office Protection(以降COP) として 2009年12月1日より新サービスとして提供が始まったことに伴い、11月下旬から順次既存ユーザへのエンジンアップデートが行われました。

 今月に入ってから弊社環境でも COP エンジンの自動アップデートが行われ、つい昨日アップデート後のサーバ機の再起動を行ったわけですが、Hyper-V 搭載サーバ機では再起動時にネットワークカード(以降NIC)の挙動がおかしくなることを確認したため、今回はその現象と対応方法をまとめます。

【現象】
 COP エンジンの自動アップデート後にサーバ機の再起動を促すメッセージが出るが、ここで再起動をかけると、Hyper-V を運用中のサーバ機の NIC が正常に動作しなくなる。
 Ping チェックを行うと、実体 NIC、仮想 NIC 共に Ping 応答が断続的になったり、まったく応答がなくなったりする。

【対応方法】
 この現象は前回のMOPエンジン更新時にも発生し、当方で試したかぎりでは以下に示す方法以外では成功したことがありません。

1. Hyper-V マネージャの右ペインのメニュー項目より「仮想ネットワーク マネージャ」を選択し、稼働中の仮想ネットワークカードをすべて削除します。(削除前に設定情報はメモしておいてください)

2. Ping テストやインターネットブラウジングなどを行い、実体 NIC が正常に動作するようになっていることを確認します。
 仮想ネットワーク マネージャに戻り、左ペインより「新しい仮想ネットワーク」を選択して、右ペインで“追加”ボタンを押して新しい仮想 NIC を追加します。

3. Hyper-V マネージャの仮想マシンリストにある仮想マシンを右クリックし、表示されるサブメニューより「設定...」を選択します。
 当該仮想マシンの設定画面が表示されるので、左ペインより「レガシ ネットワークアダプタ」を選択し、上記で追加した仮想 NIC を割り当て直します。

この操作をすべての仮想マシンについて行います。
4. 仮想マシンを再起動し、Ping テストやネットブラウジングを行い、仮想 NIC が正常に動作するようになっていることを確認します。

この件については Panda にも現象を報告済みですが、もし上記の方法以外で有効な対応方法をご存じの方は情報提供していただけると大変有難いです。

2009-12-07

Microsoft Forefront Threat Management Gateway

Panda Managed Office Protection は Proxy Server が使えるらしので、 Microsoft の Proxy Server 製品を探してみた。 かつては文字どおりの Microsoft Proxy Server という製品があったが、その後継が Microsoft Internet Security & Acceleration Server となり、最新版はこの11月に Microsoft Forefront Threat Management Gateway(TMG) として、リリースされた。

ところが、このTMG、日本語ではβ版のレビューとかの記事がほとんど見当たらない。 MSのサイトからは評価版のダウンロードはできるけど、説明はほんの少しあるだけ。 しかも、 Proxy の説明は全然なし。(以下、MSサイトから引用)

【主要な利点】

多様な種類の脅威から保護
  • ネットワーク レイヤーに対する攻撃保護
  • 統合されたマルウェア対策およびウイルス対策
  • アプリケーション レイヤーへの侵入の防止
高度にセキュリティで保護された接続
  • Web アプリケーションのよる攻撃からの Web ユーザーの保護
  • リモート ユーザー向け、高度にセキュリティで保護されたアプリケーションの公開
  • サイト間およびリモート ユーザーに対する VPN 管理
シンプルな管理
  • 一元化されたネットワークのセキュリティ管理
  • 使いやすいウィザード
  • 統合された電子メールのセキュリティ管理
--------------------------- 以上、引用終わり ---------------------------

Proxy のことは一言も書いてない(もしかして、Proxy機能は無いの?)し、MSを含む業界はあんまやる気無いっぽい。

2009-11-30

SonicWALL NSA E-Class セミナー(2009/11/27)

 SonicWALL NSA E-Class テクニカルセミナーに参加してきました。
 NSA E-Class は SonicWALL 製品でも上位クラスに属する製品群で、搭載されている CPU コア数が最大 16 というだけあって、ファイアウォール と UTM を同時に有効にしても平均 1 Gbps 以上のスピードを保持できるという優れものです(ちなみに CPU が 1 個の廉価版 TZ シリーズで出せるパフォーマンスはせいぜい 50Mbps なので、その差は歴然です)。

 NSA E-Class と TZ シリーズとの大きな違いといえば、上記で述べたマルチコア構成の他に RFDPI (Reassembly Free Deep Packet Inspection) があります。
 SonicWALL に送られてきたパケットを SonicWALL 内部で一度開梱して、それをもう一度再構築して LAN に送るというのが従来の方式ですが、この再構築プロセスによって処理速度が低下してしまうのがネックとなっています。これを解決させたのが RFDPI で、パケットを開梱せずにスキャンを行う分、速度低下が発生しないようになっています。また、従来の方法では開梱したパケットを一時的にメモリに蓄えられるため、ファイルサイズが大きければそれだけメモリを消費することになり、大量のデータを一度に扱う場合はそれだけ処理速度の低下が発生したり、ファイルサイズが大きすぎるために処理不能と判断されドロップされる可能性がありますが、RFDPI なら開梱を行わずにスキャンを行うため、ファイルサイズによって処理速度が左右されることがありません。

参考:SonicWALL NSA E-Classシリーズ概要と構成例

SonicOS 5.0 以降の基本機能について

  1. Layer 2 ブリッジモード
     ネットワーク構成を変えずに、ゲートウェイアンチウィルスやIPS機能を提供

  2. アプリケーションファイアウォール
     アプリケーション別にアクセス制限をかける

  3. Active-Passive ステートシンク フェイルオーバー
     セッション情報の常時同期を行い、ハードウェア障害時にセッション情報を予備のハードウェアに引き継ぐ。

  4. パケットキャプチャ
     パケットダンプ、HTML/CAP 形式でのパケット情報出力

  5. シングルサインオン
     Microsoft Active Directory にログインするだけで SonicWALL 環境へのアクセスログインを可能に


参考:SonicWALL NSA E-Class シリーズ

SonicWALL による HA (High Availability 高可用性)構成
 現用系と予備系の SonicWALL ユニットを配置し、障害時に予備系の SonicWALL にパケット送信が切り替わるようにする構成方法です。E-Class では障害復旧時にどちらの機器に優先的にパケットを流すかも設定可能です。

構成例:Tokyo FM における HA 構成

Global Management System
 Global Management System をインストールすることにより、セキュリティポリシー一括適応、全ユニットの集中管理/監視、ライセンスの集中管理、リモート管理を可能にし、管理コスト削減を実現します。

参考リンク:
SonicWALL NSAシリーズ 価格体系
Macnica Networks

SonicWALL E-Class シリーズ紹介ビデオ(英語)
(今回の東京での講習内容がほぼ網羅されています。)

04:34 Re-Assenbly Free Inspection 解説
05:06 マルチコアデザイン解説
06:15 Active-Passive ステートシンク フェイルオーバー解説
07:10 Layer 2 ブリッジモード解説
07:19 Wireless スイッチモード解説