【CheckPointR77.30】検証記④(ファイアーウォールゲートウェイサーバ構築)
ファイアーウォールで有名なCheckPoint社の R77.30について、少し検証する必要があったため、その備忘録。
なお、以降記載の手順は、検証目的のため、必ずしも正規の手順ではないかもしれませんので、ご了承ください。
目次
前回までの前提
前回までで、構成の概要を決めながら、
Gaiaのインストールを3台実施し、
さらに、マネージメントサーバを構築した。
以降では、ファイアーウォールゲートウェイを構築する。 ここでは、後でファイアーウォールゲートウェイをクラスタ構成にするため、 下記、2台のゲートウェイを構築する。
なお、ここでは、「gaia1」(1台目)の構築時の手順のみ、 記載するが、「gaia2」(2台目)も同様の手順となる。
ファイアーウォールゲートウェイサーバ構築
ファイアーウォールゲートウェイサーバにeth0に「192.168.1.71」 がすでに振られているため、同セグメント上のPC「192.168.1.45」 からWEBブラウザでマネージメントサーバにhttps接続して設定を行う。
同セグメント上のPCから、マネージメントサーバにhttps接続を行う。 ここでは、https://192.168.1.71がアクセス先となり、 接続すると、下記のように、adminでログインする。
下記の画面で、[Next]
下記の画面で、デフォルトで[Next]
すでにeth0には、Gaiaインストール時に設定したIPアドレスが 設定されているため、このまま下記の画面で、[Next]
下記の画面で、デフォルトで[Next]
ホスト名(ここでは「gaia1])を設定し、 DNSサーバは、既設のDNSサーバお設定し、[Next]
時刻の設定画面で、検証環境のため、ここではNTPサーバは設定せず、 マシンローカルの時刻を使うことにし、[Next]
下記を選択し、[Next]
機能の選択。ここでは、マネージメントサーバを単独で 構築するため、「Security Gateway」のみを選択し、
さらに、[Clustering]-[Unit is a part of a cluster type]にチェックを行い、 [CluseterXL]を選択し、[Next]
adminのパスワード(ここでは、「Gaia321」)を設定し、[Next]
確認画面で、問題なければ、[Finish]
以下で[Yes]、設定が開始される。
インストールが開始されるため、しばらく待つ。(15分程度)
インストールが終了すると、以下の画面となり、 [OK]を押下すると、設定が完了する。
上記と同じ手順で、もう1台のゲートウェイ(ここでは、「gaia2」) を構築しておく。
【CheckPointR77.30】検証記③(Managementサーバ構築)
ファイアーウォールで有名なCheckPoint社の R77.30について、少し検証する必要があったため、その備忘録。
なお、以降記載の手順は、検証目的のため、必ずしも正規の手順ではないかもしれませんので、ご了承ください。
目次
前回までの前提
前回までで、構成の概要を決めながら、
Gaiaのインストールを3台実施した。
以降では、後で設定するファイアーウォールゲートウェイを管理するために必要となる マネージメントサーバを構築する。
なお、CheckPointR77.30上、ファイアーウォールゲートウェイとマネージメントサーバ を共用させることは可能となるが、ここでは、単独でマネージメントサーバを構築する。
また、ここでは、マネージメントサーバにeth0に「192.168.1.70」 がすでに振られているため、同セグメント上のPC「192.168.1.45」 からWEBブラウザでマネージメントサーバにhttps接続して設定を行う。
Managementサーバ構築
同セグメント上のPCから、マネージメントサーバにhttps接続を行う。 ここでは、https://192.168.1.70がアクセス先となり、 接続すると、下記のように、adminでログインする。
下記の画面で、[Next]
下記の画面で、デフォルトで[Next]
すでにeth0には、Gaiaインストール時に設定したIPアドレスが 設定されているため、このまま下記の画面で、[Next]
下記の画面で、デフォルトで[Next]
ホスト名(ここでは「gaia3])を設定し、 DNSサーバは、既設のDNSサーバお設定し、[Next]
時刻の設定画面で、検証環境のため、ここではNTPサーバは設定せず、 マシンローカルの時刻を使うことにし、[Next]
下記を選択し、[Next]
機能の選択。ここでは、マネージメントサーバを単独で 構築するため、「Security Management」のみを選択し、[Next]
adminのパスワード(ここでは、「Gaia321」)を設定し、[Next]
GuiClientの接続元を指定するが、ここでは、一旦[Any IPAddress]で 許可し、[Next]
確認画面で、問題なければ、[Finish]
以下で[Yes]、設定が開始される。
しばらく待つ。(15分程度)
設定が完了すると、以下の画面となるため、[OK]
[OK]を押下すると、以下の画面に遷移し、ここでの設定は完了。
以降で、ファイアーウォールゲートウェイを構築していく。
【CheckPointR77.30】検証記②(Gaiaインストール×3台分)
【CheckPointR77.30】検証記②(Gaiaインストール×3台分)
ファイアーウォールで有名なCheckPoint社の R77.30について、少し検証する必要があったため、その備忘録。
なお、以降記載の手順は、検証目的のため、必ずしも正規の手順ではないかもしれませんので、ご了承ください。
目次
Gaiaインストールについて
CheckPointR77.30をインストールにあたり、 まずは、OSである「Gaia」をインストールする
CheckPoint社のOSは従来、「SecurePlatform」と呼ばれるものであったが、 CheckPointR75.40あたりから、OSを再設計し、OSが刷新された(はず)。
そのため、ここでもCheckPointR77.30のOS「Gaia」をインストールする。
インストールする順番
計3台インストールするが、基本的に手順は一緒。 ただし、順番としては、以下の順番で、まずマネージメントサーバをインストールする。
ライセンス
ここでは、評価版の14日間限定ライセンスを使用する。
ダウンロード先
CheckPoint社のサイトから、事前にダウンロードする。
(ダウンロード先)
サイトに行ったら、以下のファイルをダウンロードする。
(ダウンロードファイル)
Check_Point_R77.30_3000_5000_15000_23000_Sandblast_Appliances.iso
なお、ダウンロードには あらかじめ、CheckPointのサイトのアカウントを作成しておく必要がある。
ダウンロードしたISOファイルをブータブル形式でCDに焼くか、 ISOファイルをVmwareのデータストア上にアップロードしておく。(ここでは、データストア上にアップロードした)
インストール手順
ここらは、3台インストールうち、1台目のマネージメントサーバの インストール時の手順を記載するが、基本的には、2台目(ファイアーウォールゲートウェイ)以降の 手順についても、IPアドレスの設定の箇所を除けば一緒となる。
ISOを指定して起き、仮想マシンの電源をONする。
以下の画面が表示されたら、[Install Gaia on this system]を選択し、Enter
ファイルのロードが始まるので待つ。
[OK]を押す。※カーソルはタブキーで移動。
言語はJapaneseを選択し、[OK] ※カーソルはタブキーで移動。
そのまま(デフォルト)で[OK]
管理者「admin」のパスワードを入力(ここでは「Gaia321」)
下矢印で、[eth0」を選択し、タブキーでカーソル移動し、[OK]
問題なければ、[OK]
インストールが開始される
インストール途中。
ログイン画面が表示される。
取り合えず、これでGaia(マネージメントサーバ)のインストールは終わり。 これを、ファイアーウォールゲートウェイ分(2台)もインストールしておく。
【CheckPointR77.30】検証記①(概要)
ファイアーウォールで有名なCheckPoint社の R77.30について、少し検証する必要があったため、その備忘録。
目次
経緯
仕事上、ファイアーウォール老舗である「CheckPoint社」の R77.30も含めた様々なファイアーウォールの導入を検討しなくては ならず、いろいろ検討している。
FortiGateやパロアルトネットワークなど社など 様々な選択候補などがあるものの、やはり自分的には、 ファイアーウォールはといったら、「元祖ステートフルインスペクション」たるCheckPoint社の ファイアーウォールである。
昔は、英語のマニュアルをベースに学習するしかなかったが、 いまでは、YouTubeなどで設定方法などが紹介されていることや Vmware環境で、環境が構築できてしまうので、ここでは、以下の機材を使用し、 CheckPointR77.30の検証を行っていく。
なお、物理的な機材としては、
- VmwareEsxi5.1(HP Proliant360G5 メモリ6GB)×1台
- Windows10のクライアントPC×1台
となり、ここでは、VmwareEsxi5上に以下のCheckPointR77.30の仮想サーバを構築していく。
また、Windows10のクライアントPCには、CheckPointSmartConsoleをインストールして、ポリシーインストールなどを行っていく。 ※Windows7(内部用PC)にCheckPointSmartConsoleをインストールしたら、エラーとなったため、 ここでは、Windows10にインストールした。
ライセンス
14日間の評価来仙を利用する。
パスワード設定など
今回の環境で設定するパスワードの類は、 すべて「Gaia321」とする。
ネットワーク構成
まずは、検証用途のネットワーク構成。
我ながら、よくわからないネットワークであるが、一応こんなイメージ。 自宅のネットワークと限られた機材で行うため、とりあえず、検証が行えることを 優先しているため、設計の良し悪しはこの際、度外視。
ネットワークセグメント
ネットワークセグメントはセグメントは以下の通り。 構築対象のファイアーウォール(ゲートウェイは) 下記すべてのセグメントを割り当て、そのほか疎通用のサーバは、 該当するセグメントのIPをそれぞれ割り当てる。
IPアドレスなど
IPアドレスなどのそれぞれのホスト情報は下記の通り。
ファイアーウォール用仮想マシンVmwareの設定
それぞれ、以下の設定を行う。
- CPU:1つ
- メモリ:1G
ディスク:30GB
gaia1:ファイアーウォールゲートウェイ(主系)
- gaia2:ファイアーウォールゲートウェイ(副系)
- gaia3:マネージメントサーバ
ここからの構築シナリオ
おおむね、以下の順で構築を行う。
①OSのインストール(CheckPointR77.30 GaiaOS) 順番は以下の通り。
②ルーティングの設定
③クラスタの構築
④オブジェクトの設定
⑤各種オブジェクトの作成
⑥ポリシーインストール
docker上で「 Splunk 」を動かす
引き続き、dockerに関する備忘録。
仕事でも、セキュリティの一環として、 ログの相関分析やビッグデータ活用などをキーワードに、 SIEM(Security Information and Event Management) 装置の類の 検討が行われている。下記の書籍なんかでも
Splunkではじめるビッグデータ分析基本操作からTwitterのログ分析まで
- 作者: 関部然
- 出版社/メーカー: 秀和システム
- 発売日: 2015/09/28
- メディア: 単行本
- この商品を含むブログを見る
紹介されている「Splunk」の学習環境をdokcerを使用して、 簡単に構築できないかものかと考え試してみた際の備忘録。
目次
参照URL
手順においては、下記のURLの通り。
https://hub.docker.com/r/splunk/splunk/
docker imageの取得
Splunkのdockerイメージを取得する。
[root@docker docker]# docker pull splunk/splunk
Splunkのコンテナ起動
以下の通り、Splunkのコンテナを起動する。
[root@docker docker]# docker run -d -e "SPLUNK_START_ARGS=--accept-license" -e "SPLUNK_USER=root" -p "8000:8000" splunk/splunk df315d4555e4672602e5bbfae85c752b53944cfdcbaccd5c8a92830b59d18f62 [root@docker docker]#```
Splunkの管理画面からの設定
Splunkの管理画面にアクセスする。
http://dockerホストのIP:8000/
「admin」と初期パスワード「changeme」を入力し、
とりあえず、DashBoardに行き着く
SplunkのDashBoardを日本語化するには、
上記のように、SplunkのDashBoardが英語表記となっている。 大抵、アカウントの設定などで、言語環境を変えらえれるのかと思って、 いろいろ調べたところ、下記の方の記事の通り、 URLそのものを変えてアクセスすればよいとのこと。
あとは、実際にいろいろなデータを食わせながら、 先述の書籍などでお勉強。
docker上でOSSのeラーニング「 Moodle 」を動かす
引き続き、dockerに関する備忘録。
現在所属する会社では、セキュリティ技術に関する人材育成やスキルアップに関する 施策が議論されており、それらの解決施策として、eラーニングシステムが 利用できないかと思慮。システム部門以外の業務部門にはすでに有償の eラーニングシステムを導入しているものの、無償で気軽に使える eラーニングシステムがdockderで簡単に構築できないかものかと考え試してみた際の備忘録。
調べた限り、eラーニングシステムとしては、以下のものがdockerでイメージとして 提供されており、
[iroha Board] https://irohaboard.irohasoft.jp/intro/
[Campus] http://www.campus-elearning.info/
[iroha Board]がUI的に好みだったものの、ここでは、 老舗の「Moodle」をdocker上で動かしてみることに。
目次
参照URL
手順においては、下記のURLの通り。 https://hub.docker.com/r/jauer/moodle/
手順のイメージは
docker imageの取得
MySQLのdockerイメージを取得する。
[root@docker ~]# docker pull jauer/moodle
MySQLのコンテナ起動
以下の通り、「MYSQL_DATABASE」「MYSQL_USER」 「MYSQL_PASSWORD」を指定したうえで起動する。
[root@docker ~]# docker run -d --name DB -p 3306:3306 -e MYSQL_DATABASE=moodle -e MYSQL_USER=moodle -e MYSQL_PASSWORD=moodle centurylink/mysql
Moodleのコンテナ起動
以下の通り、CMDBuildのコンテナを起動する。
[root@docker ~]# docker run -d -P --name moodle --link DB:DB -e MOODLE_URL=http://192.168.3.72:8080 -p 8080:80 jauer/moodle
Moodleの管理画面からの設定
Moodleの管理画面にアクセスする。
http://dockerホストのIP:8080/
インストールの設定画面が表示されたら、[Continue]
設定の確認が行われ、しばらくすると確認が終了し、[Continue]
タイムゾーンを[Asia/Tokyo]に設定し、[Save changes]
続いて言語選択するため、[Site administration]-[Language]-[Language pack] を選択し、[日本語]を選択し、[Install selected ~]を押下。
[Site administration]-[Language]-[Language setting]で [Default language]で[日本語]を選択し、
[Save changes]
ログインできることを確認する。
雑感
Moodleについても、残念ながら、使い方がわからないため、 下記の書籍なんかで紹介されているようなので、これから、いろいろ調べていくつもり。
eラーニングは教育を変えるか―Moodleを中心としたLMSの導入から評価まで (広島修道大学学術選書 64)
- 作者: 大澤真也,中西大輔
- 出版社/メーカー: 海文堂出版
- 発売日: 2015/09
- メディア: 単行本
- この商品を含むブログを見る
Moodle 2ガイドブック―オープンソースソフトウェアでオンライン教育サイトを構築しよう
- 作者: 井上博樹
- 出版社/メーカー: 海文堂出版
- 発売日: 2013/08
- メディア: 単行本
- この商品を含むブログ (1件) を見る
ただし、いちから構築する労力に比べると、 やはり、dockerでは、サクッと構築できてしまうため、 dockerでの構築の容易さを改めて実感した次第。
docker上でOSSのCMDB「 CMDBuild 」を動かす
引き続き、dockerに関する備忘録。
www.slideshare.net
ここでは、上記の記事などで利用されているOSSのCMDB「 CMDBuild 」を 動かしてみる。
目次
参照URL
手順においては、下記のURLの通り。
https://hub.docker.com/r/terminalvelocity/cmdbuild/
GitHub - rsilva4/docker-cmdbuild: CMDBuild Docker image and docker-compose with GIS, BIM and DMS
手順のイメージは
PostgressのDB用コンテナを起動する。
その後、DB用コンテナを利用し、CMDBuildのコンテナを起動する。
docker imageの取得
postgresのdockerイメージを取得する。
[root@docker ~]# docker pull postgres:9.3.9
postgresのコンテナ起動
以下の通り、「POSTGRES_PASSWORD」にパスワードを指定したうえで起動する。
[root@docker ~]# docker run --name cmdbuild-db -e POSTGRES_PASSWORD=postgres -d -p 5432:5432 postgres:9.3.9
CMDBuildのコンテナ起動
以下の通り、CMDBuildのコンテナを起動する。
[root@docker ~]# docker run --name cmdbuild -p 8080:8080 -d quentinv/cmdbuild:latest
docker imageの確認
下記の通り、docker コンテナの起動状態を確認する
[root@docker ~]# docker ps -a CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 155012f298d3 quentinv/cmdbuild:latest "catalina.sh run" About a minute ago Up About a minute 0.0.0.0:8080->8080/tcp cmdbuild f4902066f4fa postgres:9.3.9 "/docker-entrypoint.s" 4 minutes ago Up 4 minutes 0.0.0.0:5432->5432/tcp cmdbuild-db [root@docker ~]#
CMDBuildの管理画面からの設定
CMDBuildの管理画面にアクセスする。
http://dockerホストのIP:8080/
言語を[日本語]として、[次へ]
以下の設定を行う。
- タイプ:Empty
- 名前:任意の名前(cmdbuild-db)
- ホスト:cmdbuildをインストールしたホスト
- ユーザー:postgres
- パスワード:先述のpostgresコンテナを起動した際の「POSTGRES_PASSWORD」の値
雑感
CMDBuildについては、残念ながら、まだ使い方がわからないため、 これから、いろいろ調べていくつもり。
Redmineのチケットとの連携もできるようなので、 使いこねせば、システム運用の効率化なんかが行えそう。