firewall logに大量のログが出力されるので抑制した
問題内容
red0のルーターからのIGMPプロトコルで224.0.0.1宛のパケットのdropログが大量に記録される
red0のルーターからのUDPで192.168.x.255宛のパケットのdropログが大量に記録される
邪魔で仕方がない
対処1
Firewall ==> Firewall Rules から、ルーターからのIGMPを宛先anyでRejectするルール追加
対処2
Firewall ==> Firewall Rules から、ルータからFirewallへの特定ポートでのUDPをRejectするルール追加
対処3
port=137 のnetbiosのlogに関しては、接続されているwindows pcでwinsでのnetbios over tcp/ip
を無効にする
ipfireの設定イメージ
letsencryptのcertbotがrenew失敗した。ipfireを導入前は問題なかった。その対応メモ
トラブル内容
letsencryptの自動renewを設定していたが、もうすぐexpireするとのメールが届く。サーバーにssh接続して、certbot renewを行うも、failで返ってしまったあ。
対処
検索してこのやりとりを見つけた。
そこで、Location blockのEnable Location based blockingのチェックを外して、certbot renewを行ったところ、renewできた。その後、location blockをenableに戻した。
上述のやりとりを見ていると、location blockにおいて、A3(Worldwide Anycast Instance)のチェックを外してlocation blockを有効にしておくのが良いみたい。
minipcにIPFireを入れたのでついでにOpenVPNも導入してSSH接続とリモートデスクトップ接続を可能にした。
前提
- ミニPCにIPFireを設置
- 想定使用はwindowsタブレット、接続先はgreen内のサーバー
ステップ1(Global Settings)
Services --> OpenVPN でGlobal Settingsのエリアを設定する。注意点は以下
- local vpn hostname/IP の部分:FQDN(グローバルドメインネーム or グローバルIP)を設定
- openvpn subnet 部分:private IPアドレスの範囲設定(192.168.xxx.0/255.255.255.0)
- tls channel protection をチェックする
- encryption を aes-gcm(256 bit) に変更する
これでsaveする
ステップ2(Generate Server certificates and keys)
Generate Root/Host certificates ボタンをクリック
注意点
- ipfire's hostname 部分:FQDN(グローバルドメインネーム or グローバルIP) ?
- country : Japan
Generate Root/Host certificates ボタンをクリック
ステップ3(Connection Status and Control)
Addをクリックし次に進む。 以下注意点
・Client configuration
coneection type: roadwarrior
Addをクリック
connectionエリア
Authentication/Generate a certificate エリア
- user's full name or system hostname:使う予定のタブレットの実際のhostnameを入力した
- PKCS12 file passwordも入力した
ここまでしたら、Saveする
ステップ4(firewall rulesの調整)
- source: openvpn any , destination: green any , accept , log
add , apply change
- source: any , destination: red any , accept , log
add, apply change
ステップ5(タブレットPCにopenvpnを導入)
タブレットPCにclientソフトとして、openvpn GUI for windowsをインストール
ダウンロードサイトは例えばここ
ステップ6(関連ファイルをclient PCに入れる)
- Dynamic OpenVPN IP address pool のところのdownload client packageをクリック
- ダウンロードしたファイルを展開
- client pcに展開したファイルを移動
- clientpcのc:\program files\openvpn\config配下に上記ファイルを格納
ステップ7(openvpn用のポート開放とポート転送)
ルータで行った
ステップ8(openvpnの起動とテスト)
- start openvpn serverをクリックして起動
- 別ネットワークからクライアントPC上でopenvpnを起動し接続する
- ssh接続可能か、リモートデスクトップ接続可能かテストする
※理由はまだ不明だがリモートデスクトップ接続で画面が真っ暗な事がある。問題ない場合もあり
前提環境
ipfireをインストールと基本設定が完了している事
IPS(Intrusion Prevention System)導入のステップ
1. IPSルールセットのprovider登録
「https://wiki.ipfire.org/configuration/firewall/ips/rulesets」を参考にして選ぶ。
Firewall -> Intrusion Prevention 箇所のRule Setingsで、Add providerをクリックし、
rule set providerを選ぶ
無料かつ登録不要の「Emergingthreats.net Community Rules」と「Snort/VRT GPLv2 Community Rules」を選んだ。
2. 「https://wiki.ipfire.org/configuration/firewall/ips/rule-selection」を参考にして、
Customize rulesetをクリックし、実際に適用するルールセットを選択する。
3. IPSを有効にする
「 Enable Intrusion Prevention System」、「Enabled on RED」、「 Enabled on GREEN」
をチェックしてsaveしIPSを有効にする
4. ログで必要なアクセスがブロックしていないかを確認する。
dual lan構成のミニPCにipfireを実装し、既存webサーバー用のutmに仕立てる
背景
最近intel n100搭載のミニPCが話題になっている。dual lan搭載の品もあったので、セキュリティ強化のためにutmの構築を試してみようと考えた。 記録として残す。
ミニPCの仕様概略
CPU: Intel n100 メモリー: DDR5 16GB Lan: 1G x 2 wi-fi(※): 2.4G/5G
追加でSSD増設済み
※ 技適マークがついている事確認済み
現構成イメージと予定構成イメージ
事前に確認必要な点
1. ミニPCのLANポートのMACアドレス 及び wifiカードのMACアドレス
(ミニPCのwindowsから、ipconfig /all にて確認)
2. wifiカードの品名・サポートするwifi規格・サポートするwpa種別
・品名は直接目視か、デバイスマネージャーから調べる
・wifi規格は、wifiカードだけでなく制御用PCについても確認
・wpa種別についても、wifiカード及び制御用PCについても確認
(netsh wlan show driversで、ノートPCがwpa3を未サポートであった)
3. SSD増設
(ipfireのインストールでデバイスをまるまる使うので増設が必要)
ipfireのインストール
一般的な手順にて増設したSSDにインストール
書き込みツール: rufus
ダウンロードサイト: https://www.ipfire.org/
ipfireのsetup
ブートから始める
ローカルドメインネームは何でも良さそう。rootパスワードはコマンドやSSH用、adminパスワードはWebUI用 ファイルシステムはext4を選択する。
初期設定中に次のネットワーク設定に進む。
ネットワークの最初の設定
初期化中もしくはその後のrootからのsetupコマンドで設定
1. Network configuration type
Green + Red + Blue を設定。 最初はGreen + Red でしておいと後から変更も可
2. Drivers and card assignments
MACアドレスでどれがどれか確認しながらGreen, Red, Blueに対してアサインしていく
3. Address settings
Red, Greenに対して下記ページを参考に設定する
( https://wiki.ipfire.org/installation/step5 )
ネットワーク追加設定
1. hostapd addonを導入
webuiから、Ipfire -> Pakfire と進みhostapd addonをインストール
参考:https://teklager.se/en/knowledge-base/ipfire-wifi-blue-interface-configuration-instructions/
:https://wiki.ipfire.org/addons/wireless
2. Blue用のwifiアクセスポイントの設定を行う
webuiから、Ipfire -> WlanAP
以下の様に設定していった
SSID:
HW Mode: 802.11gn とした。 最初、802.1acで失敗したため。
HT Caps : [HT40-][HT40+][SHORT-GI-20][SHORT-GI-40][DSSS_CCK-40] とした。
https://wiki.ipfire.org/hardware/networking/mpcie を元に類推して設定
SSHアクセスを可能にする
webuiで、System -> SSH access から、SSH Accessを有効にする。
なお、greenへのSSHアクセスは、blueのgatewayにSSH接続後そこからSSH接続する。
制御用PCからのwebui制御を可能にする
1. DHCPサーバーの設定
Network -> DHCP Server からIPの範囲 等を設定する
参考:https://wiki.ipfire.org/addons/wireless
2. blueゾーンにPCを登録する
Firewall -> Blue Access から、MACアドレスとアサインするIPアドレスを登録する
3. BlueからGreenにアクセス可能にする
Firewall -> Firewall Rules から、Incoming Firewall Accessの設定する。
制御用PCのIPアドレスからGreenへのアクセスを許可する
参考:https://wiki.ipfire.org/configuration/firewall/accesstoblue
サーバーへポート転送を行う
Firewall -> Firewall Rules から転送ルールを設定する
参考:https://wiki.ipfire.org/configuration/firewall/rules/port-forwarding/red_to_server_on_green
その他調整
1. サーバー側のIPアドレスを調節する。
固定アドレスからDHCPによる設定に変更し、ipfire側からMACアドレスから新しく設定するIPアドレスを割り当てる様にする
2. サーバーのIPアドレスの変更に伴い、apacheの’.httaccess’ファイルでのアクセス制御を調整
3. サーバーのIPアドレス変更に伴い、サーバーへのアクセス用ファイルを調整(例:hosts)
各機を再起動してテストして終了。
次は、firewall機能を設定していく。