カテゴリ:13.実際にやってみる > 13.4 実際の設定

(1)Burp Suiteのインストールと設定
Ubuntuに入れたので、以下を参照
https://tutorialsoverflow.com/how-to-install-and-configure-burp-suite-on-ubuntu-18-04/
入れ方は2つあり、私は2つめの.shを落としてきて(180Mくらいあり、かなり時間がかかった)、シェルを実行
・GUIのウィザードが上がってくるので、基本はNext →インストールが完了する
・アプリケーションで、Burp Suiteを検索
・いくつか質問が聞かれれるが、デフォルト(一番上)のままで次への進む。
・Burp Suiteが起動する。

(2)使い方
https://persol-tech-s.co.jp/corporate/security/article.html?id=10
①Burp Suiteによる中継のON/OFF
「Proxy」>「Intercept」 「Intercept is on」(またはOFF)で切替
※デフォルトはONになっていると思う。つまり、何もしなくても中継する

②ネットワークの設定
「Proxy」>「Options」で設定する。デフォルトだとループバック「127.0.0.1:8080」になっている。IFで実際のIPのものも設定できるが、同じ端末上でやっているならこのままで問題なかった。→別端末からやる場合には調査がいるだろうし、UbuntuのFW設定も変える必要があるだろう。

あと、ip a でIPアドレスを見ておこう

③UbuntsのPCでProxyの設定を入れる。先でみた、ProxyのIPアドレスに対して8080で接続する。

④ProxyのIntercept is onになっていると、止めてくれる。HTTP historyで接続履歴が見える。
「Intercept」タブで
・Forward:転送する →PCはページが表示される
・Drop:ページを落とす。→PCにはBurpSuiteのメッセージが出る

また、「Raw」は生データ。
HTTPリクエストなので、たいした情報はない。
一番上がGET としてURLが記載されていると思う。接続先のURLである。
「Params」や「Headers」の情報を変えることができる。変えて「Forward」を押すと、変更したものが送られる。たとえば、User-Agentを変えてみると、表示されるページが変わることもある。
以下、iPhoneのUserAgent情報を入れると、Webサイトがスマホ版の画面が表示された。
Mozilla/5.0 (iPhone; CPU iPhone OS 12_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

(3)そのた
・文字の検索は、一番左の「Raw」だけ?
一番下に検索文字を入れる欄がある。
・SSLでも証明書を復号することで、中身を見ることができる(はず)

①パケットが大量に出る
Interceptは、目的のサイト以外にも、実際に通信しているサイトがすべてInterceptされる。これは仕方がない。Targetでフィルタを絞ったとしても、これはなんともならない。TargetでScopeを絞ると、Historyによる履歴が絞られる。
※ちなみに、Targetでは、urlによる指定(example.com)という指定が可能

②過去の動きから再度実施
HTTP historyから、該当するものを右クリックで「Sendto Repeater」を押すと、上の方のタブの「Repeater」の色が変わる。ここでは、直接Requestを変更できる。たとえば、GETを勝手に123などの変な文字列にしたりである。
ただ、実際に通信をするわけではないようで、BurpSuiteが記憶している状態でResponseを表示する。

■コマンドプロンプト
一般ユーザ→ $
スーパユーザ→ #

・入力文字変換は 「Ctrl」+「スペース」
・bashと打つと、bash上で処理されるので、TABキーによる文字の補完などが行われて便利。

■インストール
・最小メモリはx86で256M、SPARCでは128M
・インストール時のソフトウェアクラスタ
SUNWCrnet(XX Reduced network) 限定的なネットワーク
SUNWCrnet < Core < EndUser <

■コマンド 
・大文字と小文字は区別されるので注意。一般的には小文字で。
・コマンドを並べて実行させるには、;を使う
・wcはWord Countで、行数などをカウントする

■パッチ
・http://sunsolve.sun.comから取得できる
・patchadd パッチの追加や確認(-pオプション)
・patchrm
・showrev -p パッチの適用状況の確認。patchadd -pでも可能。

■uname
uname -r リビジョンだけ
uname -a バージョン情報などすべてを表示

■パッケージ管理
・pkgadd:rpm -iと同じ
・pkgrm:rpm -eと同じ
・pkginfo:rpm -qaと同じ
・pkgchk
・pkgtrans フォーマット変換

■起動/終了関連
・起動時にはPOST(power on self test)というハードウェアのテストを行う。
・ブート時にSTOP+Aで停止し、boot -s でシングルユーザモードに入れる。または b -s
※Stop+Aを禁止するには kbd -a disable kdbはキーボードだと思う。または、/etc/default/kbdにてKEYBOARD_ABORT=disable

・Boot PROMコマンド
ok set-defaults  ブートパラメータの初期化
ok setenv auto-boot?false ブートをしない。
ok show-devs デバイスリストの表示
ok banner バナーを表示
ok .version Boot PROMのバージョンを表示。
nvalias 恒久的なエイリアスの設定

・ブートの流れ
1)PROMのブート: POSTによるセルフテスト、bootblkの読み込み
2)プログラムのブート:セカンダリブートプログラムのufsbootの読み込み
3)カーネルの初期化 :カーネルを初期化する。
4)initフェーズ : /etc/inittabの内容を実行
5)svc.startdが開始 : ファイルシステムのマウントなど。起動に関する情報は次のDB(/etc/svc/repository.db)に記載

・who -r
ランレベルを調べる。 数字で表示されるが、シングルモードの場合はSと表示される。

・run levelごとに/etc/rc1.d(この場合はrun lever1)ディレクトリにスクリプトが入れられている。実際にはシンボリックリンクであるが

・init X 0はシャットダウン
・reboot リブート
・shutdown
 shutdown -i5 -g0 -y ランレベル5に0秒後に移行し、すべてyesで答える。init 5が楽だと思う。※type any key to continue でキーを押してしまうとリブートしてしまうので、ここで電源をOFFにする。
・reboot poweroffなども使えるはず

・ハングアップしたとき
 stop+A そして halt -d
 
■SMF(service management Facilty)によるサービス管理
Solaris10からかも
・svcadm
 enable
 disable
  restart 再起動
 clear 

・svccfg 
 import 設定情報の読み込み(xmlファイル)
 export 設定情報をxmlで出力

・svcs 状態の表示
 -a すべて
 -D 依存しているサービスの表示
 -p プロセス情報を含めて表示

■ユーザ管理
・/etc/passwd ユーザ名のほかにUIDも記される。rootのUIDは0
・/etc/shadow パスワード
・/etc/group グループ情報
ユーザ名は2~8文字

・useradd
 -d (ホーム)ディレクトリの指定
 -m ホームディレクトリの自動作成
 -s シェルの指定
・usermod
・userdel
  -r フォルダごと

groupadd
groupmod

SMC(Solaris Management Console)によるGUIにて操作も可能
/usr/sbin/smc & にて起動する

・who 現在のログインユーザの表示
 ※who -r はランレベルの表示

■ファイルシステム
・ファイルシステムはUFS(Unix File System)である。
・fsckによってファイルシステムのチェックを行える
・ファイルの容量確認コマンドには、df,du,quotなどがある
・quotはWindowsにもあるクウォータで、ユーザごとの使用率を表示
・dfはファイルシステム毎、duはファイル毎の使用率を表示する。
・du に-sをつけると、合計表示できる。よってdu -sh /export/home/*とすれば、ユーザ毎の使用量の合計が分かる。hはhuman
・UDF ・・・ DVD用
 HSFS ・・・ CD-ROM用
 UFS ・・・ Unix File System 通常のハードディスク
 PCFS ・・・ PC用。フロッピー

■リンク関連
・リンク作成 ln -s
sはシンボリックリンクで、ショートカット。-sを指定しないとハードリンク
ハードリンクは実体と同じなので、ショートカットを削除しても実体は削除されないが、ハードリンクを削除すると実体も削除される。
※ただし、ハードリンクは該当するものをすべて消さないと消えない。
※リンク削除はファイル削除と同じくrmで。

■mount
マウントされている情報を見るには/etc/mnttab

mount
umount にてマウントポイントを指定する。-f(force)で強制的
mountall
umountall
※CD-ROMを取り出すのはeject

・CDのマウント 
mount -F hsfs -r ro /dev/dskc0t6d0s0 /cdrom/cdrom0
roはRead Only、hsfsはISO9600のfilesystemをさす
※デバイスがどれか難しい。
※最初にデバイスを指定し、次にマウントポイントを指定する。

r />このプロセスを一度消して、再起動するとマウントされることがある。
/usr/sbin/vold & ←&を入れることで、バックグラウンドで処理。そうしないとプロンプトが返ってこない可能性があり、コマンドが入力できなくなる。
※volcheckでもできるかもしれない。
※/etc/init.d/volmgt stopとstartがSCSA的に出題されている様子。

■unzip
zipファイルの展開
unzip ファイル名
-d で展開するディレクトリを指定できる

Telnet
デフォルトでインストールされている(と思う)
サービスの起動はSMF(Service Management Facility)から
svcadm enable telnet
停止は svcadm disable telnet
Linuxなどと同様に、rootユーザからはtelnetできないので、ユーザを作る必要がある。

ftpのアクセス制御
/etc/ftpd/ftpusers ここに記載されたユーザは、FTP利用できない。(面白い。逆だよね。)
/etc/ftpd/ftphosts
/etc/shells

chgrp グループの変更。chmodのグループ版

ps プロセスの表示 -fはすべてのプロセスを表示。
pgrep psのあとにgrepするようなもの。条件を指定することで、条件にあったプロセス状態を表示する。

■KILL
SIGHUP 1 ハングアップ(再起動)
SIGINT 2 initializeではなくinterupt(割り込み)
SIGKILL 9 強制終了
SIGTERM 15 通常の終了(Terminate)

kill プロセスID
pkill プロセス名

■crontab
-e 編集
-l リスト
-r 削除(remove)

アクセス制御
・/etc/cron.d/cron.allow  ここに記載されているユーザのみがcrontabの制御を行える。
・/etc/cron.d/cron.deny  上記のcron.allowファイルが存在しない場合、ここに記載されたユーザ以外が制御できる。 REDHATでは/etc/cron.deny

■at
1回だけ実行する。

■アクセス制御
setfacl
 ファイルへのACL(アクセスリスト)を制御する
 -m オプションはModify(変更)   -x(削除)
 ;で複数の変更を並べることができる。

■プリンタ関連
・svcadmにてサービスの開始と終了を行う。
・lpadm プリンタの追加など
・lpstat LPサービスの確認
・lpmove ぷりんたのジョブを移動

■システム管理系
・kdmconfig 構成変更

・fomatコマンド
ディスクのフォーマットだけでなく、ラベル表示(Verify)、スライスサイズの変更(Partition)などが行える。
※従来のVTOCラベルに変わり、EFIラベルが用いられるようになった。

・newfs
新しいファイルシステムとの言葉通り、新しいファイルシステムを作る。
-i  iノードの指定をする。

・inode
ls -i により、各ファイルのiノード番号が表示される。
ハードリンクの場合は、iノード番号が同じで、ファイル名が異なる。

・/etc/hosts.equiv
rloginやrcpなどのリモートログインに対する制御を行う。ホスト名とユーザを管理できる。基本はノンパスでログインできるようになるはず。
ただし、このファイルよりも強いのが/.rhosts 
このファイルによって/etc/hosts.equivは上書きされると思ってよい。

・/etc/default/login
rootのログインを管理するのは、CONSOLE=部分(/dev/consoleデフォルトで、ローカルログオンのみ許可。=の後ろを空白にすると、rootからも入れない。)
SYSLOG_FAILED_LOGINS=3とすると、ログインに3回失敗した記録を残す。

・prstat
プロセスステータスという名のとおり、プロセスのステータス表示

■デバイス
・/etc/path_to_inst
物理デバイスとドライバの関連が記載されている。

・/devices/は物理デバイスで、/dev/は論理デバイス。ただ、/devは/devicesのリンク。

■バックアップ、リストア
・バックアップするには、通常であれば稼働中のものは難しい。fssnapを使うとマウント中のファイルシステムのスナップショットがとれる。それをtarやufsdumpなどでバックアップすればよい。

・fssnap -d スナップショットの削除
・スナップショットのリストアにはufsrestoreを使う。-iをつけると対話的。

■ネットワークの設定 
※設定が無い場合にはファイル自体が存在しないことが多い。
・ネットワーク設定の根本的な変更
sys-unconfig

ドメイン名の設定・・・DNSサーバの設定ではない。
/etc/defaultdomainに記載
このファイルがなかったら、ドメインが設定されていないということ
結果はdomainnameコマンドで表示される。

IPアドレスの表示
ifconfig -a

IPアドレスの設定
/etc/inet/hosts  ホスト名とIPアドレスを記載。
または、/etc/hostname.IF名 に記載。ただし、こっちの場合はHost名だけの場合もある。

サブネットマスク
/etc/inet/netmasks

・デフォルトGW
/etc/defaultrouter

DNSサーバ
/etc/resolv.conf

・名前解決の方法の決定
/etc/nsswitch.confに記載する。DNSを使う場合はnsswitch.dnsがサンプルとして置かれてある。

・ルーティング
route add 10.0.0.0 1.1.1.1 2←この値はMetric

■snoop
snoop -d ネットワークIF名 ホスト名
-o filename ファイルとして保存
-f filename ファイルを読み込む
-v    詳細表示  大文字(-V)の場合は要約
-ta 時刻を記入
port  ポート番号
host  ホスト名(またはIPアドレス)  

dumpadm クラッシュダンプ情報の管理
coreadm コアファイルの管理
metadb メタデータベースの作成

NFS
/etc/dfs/dfstab 共有するshareコマンドを並べる
/etc/vfstab
クライアントからはnfsdを使う。設定ファイルは/etc/default/nfs
rpcinfoでサーバ状態のテスト

■syslog

・syslog.conf
@loghost loghostサーバへログを転送

*.err err以上のログという意味
.none 除外する場合はnone

・logadm :Linuxでいるlogrotate
 logadmによって /var/adm/messageはローテーションされる。

LDAPクライアント
(1)設定ファイル
ldap_client_cred 認証関連
ldap_client_file LDAPの構成情報
 
(2)設定
ldapclientコマンド

NIS
NISは昔Yellow Pageと言われていた。そこで、NIS関連のコマンドにはypがつく。 ypcat、ypstartなど

■RBAC
プロファイル
/etc/user_attrの内容→/etc/security/policy.confの内容を順に検索

LDAP
1)検索
ldapsearch -h 10.1.1.1 -b 'dc=test,dc=com' uid=use1
※-hはhostを差す

2)Solarisの起動
/usr/sbin/directoryserver start
/usr/sbin/directoryserver start-admin

3)GUI
/usr/iplanet/consoleXX/startcosole


DHCPクライアントの設定
びっくりするほど簡単で、以下のコマンドにて該当するIFの空ファイルをつくる。
# touch /etc/dhcp.hme0


DHCPサーバの設定
LinuxだとISCのDHCPであるが、Solarisは独自のDHCPサーバ。この辺はLDAPなども同じ。
・dhcpmgrというGUIツールがある。これは非常に便利
CUIはdhcpconfig
・pntadm -C スコープ作成
・pntadm -p /var/dhcp -A 10.1.1.101 10.1.1.200 払い出すIPアドレスの付与

■IPMP
Solaris版のチーミング。(Redhatではボンディングかな?)
Solaris8からはリンクベースでIPが1つでよくなった。
旧バージョンでは検査ベースであり、IPが実と仮想とそれぞれが必要で、ICMPによる検出を行っていた。

■ルーティング
・routeadm
IP転送やルーティングの設定を行う。
-u すぐに反映
-e Enable
-d Disable
・RDSIC(Route Discovery)
・デフォルトルート
 route add default 10.1.1.1
  または、 /etc/defaultrouterに記述
・route monitorルーティングテーブルをリアルタイムに見る
・in.routedが動いている。設定は/etc/gateways

■NTP
1)NTPサーバ
 /etc/inet/ntp.confを設定
 svcadmにてntpをEnableに
2)NTPクライアント
・ntptrace
・ntpdate NTPの同期

■ndd
ネットワーク関連の状態表示や設定

■IPフィルター
・Linuxでいうiptable
・Acitiveなフィルタリングルールを見るには ipfstat -io
・ipf -Fa フィルタリングルールの再読み込み
・ipf -f /etc/ipf/ipf.conf フィルタリングルールの読み込み
・pass in quick from ・・・ ※quickがあると、そこでおしまい。通常のFirewallと同じ。quickがなければ最後のルールまで読まれ、おそらくもっとも厳しいルールが適用される

・管理者Colsoleへ
> administrator
#

・Configを見る
#show config

・セッションの表示
#show status pp1

・初期化
#cold start

・保存
#save

・再起動
#restart

・ホスト名を設定する(単なる表示だけだと思うが)
#console prompt hostA
hostA#

■機材
tp-linkのRE205を使います。
https://www.tp-link.com/jp/home-networking/range-extender/re205/
※11acに対応しているのかとか、5Gと2.4Gの両方使えるとか、スピードなどによっていろいろなモデルがあります。
■設定
①まずは初期化しておきましょう。
電源を入れて、裏のRESETボタンを1秒以上長押しします。

②TP-LINKに接続
WiFiでTP-Link_extender_xxという電波に接続してもいいですが、私は有線LANで接続しました。
PCをDHCPでIPアドレスを取得する設定にし、TP-LINKに接続すると、192.168.0.xのIPアドレスをもらってきます。
ブラウザでhttps://192.168.0.254にアクセスします。


③管理者PWを設定します。

④設定から「ワイヤレス」「ネットワークに接続」を選択。
「ワイヤレススキャナー」で、WiFiを探します。
セキュリティ設定などが自動で入るので、パスワードを入れます。
2.4Gと5Gで、必要な設定を入れ、保存します。

⑤この時点で、設定は完了しているはずです。TP-LINKはただの中継器になっているので、おおもとのWiFiからのIPアドレスをDHCPで取得し、インターネットに接続できる状態になっていることでしょう。


■ログイン
(1)接続方法
MGT(管理)ポートに接続後、https://192.168.1.1/にアクセス。
デフォルトでは192.168.1.1/24のIPアドレスが割り振られている。DHCPでは割り当ててくれなかったので、設定用PCには固定IPを設定して接続する。
ブラウザにて、証明書のエラーが出るが、継続して接続。

(2)ログイン画面
ユーザID:admin
password:admin

でログイン

全般的に、以下のサイトにもいろいろ書いてある。
https://www.my-technote.com/palo-loginout/

■CLIからの設定
(1)2つの設定モード
CiscoなどのNW機器と同様に、モードがある
①>
・operational mode(オペレーショナルモード)
・状態を見たりする
 
②#
・設定モード(コンフィグレーションモード)
・設定変更をする
・以下のコマンドでコンフィグレーションモードに

> configure 
#

(2)CLIでのコマンド
以下の本家サイトも、意外に(と言っては失礼だが)わかりやすい
https://docs.paloaltonetworks.com/pan-os/7-1/pan-os-cli-quick-start/get-started-with-the-cli/change-cli-modes

・set や show などを使う
・たとえば、show deviceconfig system でMGTポートのIPアドレスなどの状態を確認できる。
・pingを実行するには
> ping host 8.8.8.8

送信元を指定する(たとえば、送信元を10.1.1.1)には、
> ping source 10.1.1.1 host 8.8.8.8

※MGTポートからは、デフォルトでは外部への通信などができないような設定になっている 
→設定変更の方法は後半に記載

・IPアドレスの設定
# set deviceconfig system ip-address 10.1.1.21 netm…

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClN7CAK

※設定を確定するにはcommitが必要。これをしないと設定が反映されない。

■初期化
(1)PWがわかる場合
初期化コマンド
request system private-data-reset

admin@PA-xxx>request system private-data-reset
ここで、以下が問われるのでyを押すと初期化される
Are you sure you want to continue? (y/n) (y or n)

→ランセンスも消えてしまうが、ライセンスはインターネットに接続して取得できる。
 ※機器情報とリンクしているので、何かを入力する必要はない。

(2)PWがわからない場合
コンソールから接続し、途中でmaintと入力できる場面がある。
そこで、FactoryResetを選択する。

■ライセンスの取得
初期化すると、ライセンスが消えてしまう。
Device>ライセンス
「ライセンスサーバからライセンスキーを取得」をクリックして、ライセンスを取得
→そのままだとエラーになる可能性がある。
それは、MGTポートからはインターネットにアクセスできないから。設定を変更する(後述)

+ソフトの最新化をしましょう。
ダイナミック更新から実行する

■初期設定
・デフォルトだと、ethernet1、2はVirtual wireに設定されている。(スイッチのポートの役割)
 不要な場合はこれを消しましょう。NETWORK>バーチャルワイヤーから、デフォルトのvireをチェックして「削除」 
 ※もちろん、COMMITが必要
・言語の設定は、画面右下の欄外にある
・一般設定
上メニュの「Device」>左メニューの「セットアップ」>管理>一般設定
 -タイムゾーンをAsia/Tokyoにする。
・管理ポートの設定
 Device>セットアップ>インターフェースにて、「インターフェース名」が「Mangaement」で設定。
 MGTポートのIPアドレスなどの設定ができる
 管理ポートにアクセスできる送信元IPアドレスは制限しておいたほうがセキュリティ面でいいだろう。
・Device>セットアップ>サービスから、NTPやDNSの設定を行う
・管理者(admin)のパスワード設定
 Device>管理者 から設定する。
 
■設定の保存
commitをする必要がある。忘れずにね。
以下が画面つきで説明がわかりやすい。
https://www.my-technote.com/palo-config-mgt/

■設定ファイルのバックアップ(エクスポート)とインポート
デバイス>セットアップ>操作から
・外部へ保存(エクスポート)
 もちろんcommitした上で
 エクスポート:名前付き設定のエクスポート
 「running-config.xml」を選択して「OK」
 
・逆にインポートは
 インポート:名前付き設定スナップショットのインポート
 ※running-config.xmlの名前だと、うまくいかない気がした。名前を変えれば成功する?(→いちおう、成功した)

■Panoramaの設定
(1)概要
こちら
https://www.paloaltonetworks.jp/products/management/panorama

(2)PaloAlto側の設定
・Device>セットアップ>管理
「Panoramaの設定」からPanoramaサーバのIPアドレスを入れる。
・Object>ログ転送 でログ転送のプロファイルを作成する。
ログタイプを「traffic」「脅威」「URL」などを選んで、転送方式で、「Panolama」をチェックする。
※全てのログを転送することはできず、個別に設定する。
・作成したプロファイルをポリシーに適用する。
「アクション」で「ログ転送」でプロファイルを入れる

(3)Palolama側の設定
・Paloと同じ。ブラウザにてhttps://IPアドレス/を指定し、ユーザ名とPWを入れてログインする。デフォルトは同じくadmin/admin
・画面もPaloとほぼ同じ。
・Panoramaタブから管理対象デバイス>サマリー。下の欄外にある「追加」で対象デバイスを追加する。
 ここで、PaloAltoとの接続状態も確認できる。

■NW設定
Networkタブから設定する。 例を紹介します。
①ゾーンの設定
・名前:LAN、タイプ:レイヤ3、インターフェース:e4
・名前:WAN、タイプ:レイヤ3、インターフェース:e3
※ゾーンのIFはIFの設定で自動で入る。
②IFの設定
・e4 タイプ:レイヤ3、仮想ルータ:default、セキュリティゾーン:LAN IPv4:10.1.1.254/24 ※その先の設定は入れない
・e3 タイプ:レイヤ3、仮想ルータ:default、セキュリティゾーン:WAN IPv4:PPPoE

③仮想ルータ default に設定したIFを入れる。e1、e2
・仮想ルータで、スタティックルート
  0.0.0.0/0をWANのIFに向ける。ネクストホップのルータのIPアドレスも入れた。(入れる必要あり?)

⑤LAN側にDHCPで割り当て
NETWORK>DHCP DHCPサーバーを欄外下の「追加」ボタンで追加
インターフェースを選択(LAN側)、モードはauto、
リースにIPプールとして、払い出すIPのセグメントを記載する
172.16.1.0/24
オプションとして、継承ソースを選ぶWANがPPPoEの場合は、DNSなどを持ってくるはず(★取れてなかった気が)。→DNSはinheritedを入れたら取得できた。
・デフォルトゲートウェイのIPアドレスとサブネットは設定する必要がある

⑥LANからMGTさせるには?
・NETWORK>ネットワークプロファイル>インターフェース管理
 追加で、利用させたいサービスを選ぶ。
・NETWORK>インターフェース>該当のIFを選択
「詳細」の管理プロファイルで、作成したプロファイルを選択する。

⑦ポリシーの設定
Policies>セキュリティ で追加
LANのゾーンからWANのゾーンを許可する
サービスはanyにしておこう

⑧NATの設定
Policies>NAT 追加
・全般で名前をつける
・「元のパケット」 送信元ゾーンを指定(LAN)
宛先ゾーンも指定(WAN)、宛先IF(を指定すると思う)。サービスはANY
「変換済みパケット」変換タイプが「ダイナミックIPおよびポート」
アドレスタイプが「インターフェースアドレス」
インターフェースをインターネットに出るIF(WAN)

■MGTポートの設定
このままだと、インターネットに出れず、ライセンスUPdateやソフトウェアのUpdateも失敗する可能性がある。
→①デバイス>SETUP>サービス タグ
DNSを設定する。
②サービス機能のサービスルートの設定
「カスタマイズ」を選択して
「DNS」と「PaloAltoNetworkサービス」を
外部に出られるIFにする(PPPoEのWANは選べない)

■ソフトウェア(OS)のアップデート
DEVICE>ソフトウェア
ダウンロードしてから、インストール

■その他
・複数のポートを同一LANのポートにするには?
→VLANをまずは作成する。同一LANのポートにしたいIFをL2モードに設定し、VLANに入れる。このとき、VLAN用の専用のセキュリティゾーンを作成する必要ある。

・Commitは1つずつできないのか?
→一つずつCommitすればいいが、設定をあちこち変更して、Commitすると、一つでもエラーになると途中終了する。

・複数の設定をしてCommitしたが、何がエラーかわからない。
→Device>セットアップ>操作
「戻す」>「実行中の 設定に戻します」を実行すれば、元に戻せる。

・ライセンスの自動更新
→MGTポートからはインターネットに出られない。設定を調整する必要がある。

・DHCPサーバを設定したとき、継承のIFからDNSなどは持ってこないの?
→inheritedは継承するという意味で、PPPoEから取得したものを継承する。

・IFはPingが応答しない?
→設定にて、管理サービスを有効にするかを決める。インターフェース管理プロファイルを作成する。

■URLフィルタ
・Objects>セキュリティプロフィアル>URLフィルタリング
「追加」から設定を行う。
・基本はカテゴリで制御をする。
→Malware、phishing、C&C(Command & Control)のカテゴリはブロックしましょう。
・オーバーライドで、ホワイトリスト、ブラックリストの設定が可能。
・URLフィルタリング
ログの容量が多すぎるので、「コンテナページにのみロギング」がデフォルトになっている。
・URLフィルタリングのヘッダのロギングで、必要なものを取得するようにしましょう。チェックできるのは、ユーザーエージェント、Referer、X-Forwarded-For
・また、ポリシーに適用しないと、有効にならない。
 やり方は、Policies>セキュリティ>
 各ルールの「アクション」「プロファイル設定」
 で割り当てる。

■SSLインスペクション
①証明書を作成
DEVICE>証明書の管理>証明書

■AV
オブジェクトで作成して、それをプロファイルに割り当てる

■HA
「Device」>「高可用性」から設定する。
HAといっても、すべてが同期されるわけではない。もちろん通信セッションは同期される、管理系の設定は個別に入れる必要あり。
HAのリンクが2つ必要(物理ポートが2つ)
①HA1:Control Link、HeatBeatの交換 →IPアドレスを割り当てる。相手のPeerを登録する。
②HA2:Data Link、セッション情報の交換 →直結していればIPアドレスの割り当て不要。HA1経由でやってくれるのかも。
※HA1やHA2のポートがダウンしたときように、通常のポートをバックアップとして設定することも可能

ダイナミック更新は、SSL復号をしているとエラーになる可能性がある。→復号を除外すべき。

Windows

Windowsサーチサービスが入っていると、Officeなどの起動が遅くなる場合がある。ただ、これがあるとクイック検索ができるので、結構便利。Windowsアップデートをすると自動で入るので要注意だ。
・2003サーバにて、IEのセキュリティの設定が変えられないのは、プログラムと追加と削除にて、インターネットエクスプローラのセキュリティ強化のオプションが入っているから。
DNSではルートヒントを消し、信頼できるサイトにフォワーダをしたほうがよい。ルートヒントから名前解決をする場合、途中のサーバにてDNS情報が汚染されている可能性があるから。

■AD
・GPMCは使った方がいいだろう。
・Default Group Policyをデフォルトに戻すのは困難(戻せるようだけど、完全には戻らない)なので、OUを作ってその中のGroupPolicyを変更したほうがよいだろう。ただ、新規でOUを作った場合、そこで作成されるGroupPolicyはデフォルト(初期状態)のポリシーのようだ。

ASP
windows2003でASPによるスクリプトで動的HPを作るのであれば、「プログラムの追加と削除」「IIS」「WWWサービス」「AcitiveServerPage」をインストールする必要がある。
そうすれば、<% %>で囲んで、簡単にプログラムが書ける。


■Office PPT
・PPTの表の中の字がずれる場合
Wordにコピーして再度PPTにコピーすると治ることがある。

・PPTで図をペーストすると自動で配置がされる場合
2003の場合、「ツール」「オートコレクトのオプション」から
「入力オートフォーマット」「作業中に自動で書式設定する項目」「挿入したオブジェクトの自動レイアウト」のチェックをはずす

EXCEL
文字の分割するには「データ」「区切り位置」
MIDを使うと、文字の指定した位置から指定した文字を切り取れる。
置換する場合 改行コードは Ctrl+J

■ブラウザの「ツール」「インターネットオプション」「詳細設定」「ブラウズ」「HTTPエラーメッセージを簡易表示する」のチェックをはずすと、
ASPなどのプログラムの詳細なエラーが表示される。

■ブラウザでCtrl+F5で、キャッシュではなくして最新の情報を表示

 

POWERSHELL
WINDOWSでファイル名を指定して実行から、POWERSHELLと入力する。
コマンドプロンプトからPOWERSHELLと打ってもいいが、画面が違うよねー

・ADのデータベースの修復-1
 別のADから自動でAD情報がレプリケートされる。
 
・ADのデータベースの復元-2
 ディレクトリ復元モードで起動する。※セーフモードではADのサービスが起動してしまう。
 ADのバックアップファイルを復元する。

・ADのデータベースの復元-3
 ADの情報を削除してしまった場合には、上記の方法を実施してバックアップしても、削除されたものがバックアップされる場合がある。ntdsutilコマンドを利用して権威ある復元をすれば、復元する内容を指定できる。
 
・セーフモードで起動

・前回正常起動時の構成

・ASR(自動システム修復)による修復
 OSを部分的に再インストールする。

netstat
オプションなしは、Acitveなセッションのみを表示
-a UDPやListeningのセッションも含めて表示
-e イーサネットの統計情報。実際にはパケットの送受信の総数
-r ルーティングテーブル
-s Summary(統計情報)※このあたりはLinuxと同じだね。

■ntdsutil
ADの管理。FISMOの移動、ディレクトリ復元サービスのAuthorative Restoreなど

■fsutil
ハードリンクの設定、ディスクの管理など

■MTUサイズを確かめる
経路上の最適なMTUサイズを確かめるには、以下のように-fでDFビットをONにし、-l
でパケットの長さ(Length)を決めて通信をする。

ping 10.1.1.1 -f -l 1473

以下のようにフラグメントが必要と出れば、MTUは1473より小さいことがわかる。
Packet needs to be fragmented but DF set.

1473の値を順に小さくしていき、このメッセージが出なくなったところが最適MTUに
なる。(はず)

◆Tera Termなどで、表示件数の変更
ter len 0  ←0にすると全件表示
ter def len  ←lengthをDefaultに変更

◆PPPoEのセッションが張れているか
show pppoe session
「UP」が表示されていれば張れている。

◆ip unnumbered
インターフェースにIPを割り当てないので、IPアドレス空間を節約できる。

ルータのWAN(S0)とLAN(E0)で設定する場合
int E0
 ip address 192.168.1.1 255.255.255.0
int S0
 ip unnumbered E0 ←E0のIPを利用しますよという意味

◆STP
BPDUのやりとり
ブリッジID、ルートポート、代表ポート
ブリッジIDが最も小さいもの
MST,RSTP

■OSPFのNeighbor
Ciscoの場合show ip ospf neighborコマンドで、Neighborの状態を確認できる。
OSPFの正常状態には以下の2つがある。2-wayだからといって、異常なわけではない。どちらかであれば正常と考えていいだろう。
①2-Way DROTHER同士のNeighbor
②Full DRやBDRとのNeighbor

■SW
IPアドレスの設定
L2Switchの場合も、VlanにIPアドレスを割り当てる。

■リモートログインで、以下を設定すると、Non-Passでしかも特権モードで入れる。(ちょっと怪しい)
line vty 0 4
privilege level 15
no login

■Ciscoにてデバッグ方法
IPパケット全般を見るには
debug ip packet

止めるには
no debug all

■Ciscoルータの初期化

①Teratermでコンソールに接続し、電源をONにしてルータを起動させる

②teratermの「コントロール」タブの「ブレーク送信」を実行

③以下のような画面になる。

*** System received an abort due to Break Key ***
signal= 0x3, code= 0x500, context= 0x87d71120
rommon 1 >

④ここで、以下のコマンドを実行

rommon 1 > confreg 0x2142

⑤以下が表示
You must reset or power cycle for new config to take effect
rommon 2 > reload

⑥以下のコマンドを実行
rommon 2 > reset

※場合によってはreloadかもしれない。

⑦再起動が走り、初期化される。


■ログイン
login:manager
password:friend
※ログオフはlogoff

■Config関連
・保存
create config=ファイル名.cfg ※saveではなくcreateというところに違和感があるが、これでよい。
上書き保存の場合も面倒であるが、ファイル名を指定する。
・現在のメモリ上のConfigを表示
sh config dynamic
・現在保存されているConfigファイルを表示する
 sh file
・configファイルの設定情報を表示
 sh config
これにより、Boot時と現在ののconfigファイルが分かる。
というのも、アライドではConfigファイルを複数持つことができる。
どのファイルを使っているかを確認するのに必要なコマンド
・configファイルの指定
 set config
起動時にどのConfigファイルを読み込むかを指定する。

set configが正しくセットされていると、sh configに表示される。
再起動すると、setされたConfigが読み込まれる
■ホスト名の設定
SET SYSTEM NAME="ARrouter1"

■IFの設定
Manager> set switch port=1 speed=100mfull

■VLANの設定
create vlan="VLAN10" vid=10 ←VLAN10の作成
add vlan=VLAN10 port=1-4 ←ポートにVLANを割り当て
※タグ付けの場合はadd vlan=VLAN10 port=1-4 frame=tagged

■L3として利用
add ip interface=VLAN10 ipaddress 192.168.1.1 mask=255.255.255.0←IPアドレスの設定
enable ip ←ciscoでいうip routing

■その他
・再起動 restart reboot
・パスワード変更 set password
・設定の削除は delete

■設定を消す
設定を消すのは、基本はdeleteであるが、癖がある。
設定の該当部分を丸ごと消すにはdestroyを使う。
例えば、destroy vrrp

バージョンの表示
#perl -v  

・パールモジュール(pm)
Perl用のPathをきちんと書く。
use ABC::cd; と宣言した場合、ABCフォルダのCd.pmというパールモジュールを意味する。よって、PerlのPATHが通っているところの配下に ABC/Cd.pmを配置する。

CGI
CGIは言語名称ではないので、PerlでもシェルでもC言語でもよい。
CGIを有効にするには次の2つがある。
(1)OptionsディレクティブにExecCGIを有効化
・拡張子はcgiにする。
→厳密にはAddHandlerで指定する。
# AddHandler cgi-script .cgiコメントアウトは消す
また、plという拡張子でもCGIを有効にするには
AddHandler cgi-script .cgi .pl

<Directory "/var/www/html">
 Options Indexes FollowSymLinks ExecCGI
※サブディレクトリでCGIを実行する場合、サブディレクトリごとに設定が必要(だと思う)

(2)ScriptAliasディレクティブにCGIプログラムを格納するディレクトリを指定。
この場合、拡張子は何でも良い。
ScriptAlias /cgi-bin/ "/var/www/html"

<Directory "/var/www/cgi-bin">
    Options ExecCGI

PerlでのCGI
1行目にパスを書くが、パスは以下の方法で確認する

# which perl
/usr/bin/perl

◆改行コードのエラー
改行コードの関係でエラーになることが良くある
(1)対処方法1
1行目に--をつける
#! /usr/bin/perl --

(2)変換する
perlコマンドで変換する

無料のツールについて、その触りだけ。

■1.autopsyのダウンロード
以下のサイトからダウンロードする。
https://www.autopsy.com/download/
その際に、ユーザ名やメールアドレスなどを入れる。
インストールは、入れるだけ。

■2.使い方
(1)基本
以下に記載がある。わかりやすい。
基本的には適当に進んでいけば、使える。
https://www.itseclab.jp/security_info/digital_forensic/digital_forensic_implementation/autopsy_varification/
(2)見てみよう
・ビューの中に、削除されたファイルなどが見える
・生データの見方
データソース(一番上)をクリックし、今回はUSBメモリの「E」を選択、16進数を選ぶと、生データが見える。
クイックフォーマットだと、ゼロ埋めされておらず、データが残っていることがわかる。
→フォーマットをすると、今のOSだとゼロ埋めしてくれる。
また、削除されたファイルにも出てこない。

AWSで構築すると、ある意味、電話事業者のようなこともできる。
企業内で内線通話もできるので、コスト削減としてやってみる価値はありそうだ。

以下、AWSで設定する手順が記載されている。
https://qiita.com/hamham/items/9c15ae2fa5c025dc402d

AWSはElasticIPを使っていない。これを使わなくても、再起動するまでは同じIPアドレスなので、別に問題ないだろう。
AWSでは、セキュリティグループに、インバウンドとアウトバウンドで、電話機がつながっている自分のグローバルIPアドレスからのすべてのトラフィックを許可した。

PCはX-LITE、スマホではZoiperのアプリを入れた。
①X-LITE
https://www.softonic.jp/download/x-lite/windows/post-download
ここからダウンロードしてみた。
インストールも設定も簡単だった

②Zoiper
https://clocall.jp/zoiper_setting_ios/

設定するのは、SIPサーバ(今回はAWSのグローバルIP)、ユーザID(内線番号)とPWのみ。簡単だ。

かなりすんなりとうまくつながった。でも、会話が聞こえない。必ず5秒後に通話がで切れる。RTPの通信が上手くいっていないのかもしれない。

あまり関係ないとは思うが、同じWiFi環境(つまり、同一LAN)にして接続した。もしかすると、RTPの通信は直接なので、この方がいいかと思った。実際にはNATしているので、どうなんだろう。
STUNによってNATおよび自分のグローバルIPアドレスを伝えている。なので、同一セグメントは逆にうまくいかないかと思い、一方はSIMから、もう一方はLANのWiFiからでやってみたが、同様に通話が切れてしまった。


FreePBXというISOイメージもあり、こちらはもっと簡単のようだ。
サーバはAstariskを使っている。以下からfreePBXのISOをダウンロード
https://www.freepbx.org/downloads/

以下に手順メモが記載されている。
https://wiki.freepbx.org/display/FOP/Installing+FreePBX+with+the+Official+Distro
または
https://agrimo.jp/wp/?page_id=18027

・再起動したら
rootと設定したパスワードでログイン
・表示されるIPアドレスをメモ 192.168.232.184
http://192.168.232.184 でアクセス
 adminのIDとパスワードを設定するように言われるのでadmin/adminで設定
・一番左のFreePBXAdministratioを選択しで、先のID/PWを設定
・言語を日本語に変更

「アプリケーション」>「内線」 新しいSIP(Legacy)chainsipを追加」
内線とディスプレイ名とPWを入力

https://www.voip-info.jp/index.php/FreePBX:5:%E5%86%85%E7%B7%9A%E8%A8%AD%E5%AE%9A

登録はいったが、通話ができなかった。もう一度インストールからやったら、今度は登録(Regist)からうまくいかない。一旦、保留である。
以下のようにAWSのマーケットプレースで買った方が簡単なのであろう。
https://aws.amazon.com/marketplace/server/procurement?productId=abd46a45-f2b9-45af-911e-69791ae2207b

■CPUの負荷試験ツール
かなり便利でした。
Max Cpu by Kenny Kerr
以下のURLのexecutableのリンクから取得
http://weblogs.asp.net/kennykerr/archive/2005/10/22/Max-CPU_3A00_-Another-one-for-your-developer-toolbox_2E002E002E00_.aspx

■パーティションを操作するツール
GParted
Cドライブを操作できる。RAIDやSCSIにも対応しているすぐれもの。
古いバージョンなら成功することもあるので、失敗しても色々試してみましょう。

■パス見え
パスワードを見ることができる。
Outlookなどでは可能

■文字の読み上げソフト
フリーソフトです。自動で文字を読み上げてくれます。男性と女性が選べますが、デフォルトの女性が一番いいと思います。
https://www.vector.co.jp/soft/winnt/art/se508841.html?ds

↑このページのトップヘ