Juniper MAGシリーズ ハンズオントレーニング

やっと念願のMAGのセミナーを受講できた。。本当は4/25に受ける予定だったのにずいぶん遅くなってしまった…_| ̄|〇

  • Juniper MAGの基礎知識(モデル・構成・初期セットアップ)
  • Juniper MAGの管理コンセプト
  • Juniper MAGの機能説明(NC, SAM,Core)
  • SSL-VPN基本設定
  • クライアント証明書認証
  • 端末のセキュリティチェック Host Checker
  • 一般的な運用方法
  • スマートフォン連携

全部ハンズオンなのかと思ったら、スライドによる説明の座学も多くやや残念。期待はずれ?設定もあらかじめ用意されてたり、MAGを用意するのが大変だったのか仮想環境だったし
初期セットアップからやらせるべきだと思うが、これも講師が自分で操作して説明してるだけ
まあ何回もやってるみたいなので講師もマンネリ化してきて、だんだん手抜きになってきてるんだろうな
まあでもそれなりに収穫はあったし、やはり他の会社の技術者の考えを学べるのはかなり有用。特にクライアント証明書認証はよく使うからか力を入れていて、実際にどうやって設定するのかよくわかった。やはり証明書関連はよくわかっていない人が多いらしい


以下メモ

  • セミナーのIVE OSは8.0、Network Connectは今後廃れ、Junos Pulseが主流になるとのこと
  • SSL処理は、MAG2600,4610はソフトウェアだが、MAG6610,6611はSM360というモジュールを挿せばハードウェア化できる(試験にも出た)
  • Internal Port:LANへのアクセス、管理系の通信 External Port:ユーザのアクセスのみを受け付け、このポートからリソースへのアクセスは行わない
  • MAG4610にはこれ以外に管理系の通信に利用されるManagement Portがある(NICの有効化が必要)
  • 日本ではInternalをDMZに接続する1本足構成が多いが、海外ではExternalをDMZ、InternalをLANに接続する2本足構成が多い
  • Realm、Role、Resource Policyの関係を表す図が実にわかりやすかった
  • SAMはメール、Web閲覧、ファイル共有など主にTCPを利用するアプリケーションであり、JunosPulseに含まれる
  • Push Configでコンフィグを他の機器へプッシュできる
  • Realmを作るとき、Role Mappingを忘れる人が多く、これをしないとログインが失敗する。このため、□ When editing, start on the Role Mapping page にチェックを入れることが推奨される
  • IEでファイル > 新規セッションを選ぶことでクッキーなどを無視して入れる(複数ウインドウで同時接続できる)。てか新規セッションでよかったんかい…_| ̄|〇 今までわざわざFirefoxを立ち上げてた努力は・・(ノ∀`)


〔証明書〕
やっと各証明書の意味がわかった

Device Certificates SSLサーバ証明書
Trusted Client CAs クライアント証明書用のCA証明書
Trusted Server CAs MAGがリバースプロキシでSSLクライアントとしてSSLサーバにアクセスするときに使うチェインなどの信頼済み証明書
Code-signing Certificates NC、SAMのデジタル証明書(基本的にデフォルトで既にNC、SAMにデジタル証明書が入っているが、セキュリティの関係などで新たに作りたいとき)
Client Auth Certificates MAG自体が持つクライアント証明書
  • User Name Templateは、どれをユーザIDとして使うかを指定
  • クライアント証明書を入れるときは念のため「個人」を指定して入れる。入れたらその既にログイン失敗したセッションでは何度やってもダメなので、新規セッションで試す


VPN-Tunneling 2つのクライアントソフト

  JunosPulse NetworkConnect
機能 VPNトンネリング
ホストチェッカー
WSAM(VPNトンネリングとの併用は不可)		 VPNトンネリング
サポートプラットフォーム PC版、Mobile版JunosPulse モバイルには非対応
IVE OSバージョン バージョンには依存しない バージョンごとにクライアントモジュールのアップデートが必要
  • VPN-Tunneling Proxy割り当て機能は、Webアクセスが社内のプロキシ経由になっている場合に、VPNトンネリング接続後にユーザに使わせるプロキシサーバを指定できる
  • デフォルトでハイパフォーマンス(SSLモードと比べて2,3倍)のESPモードを選択しておき、接続できないときにハイアベイラベリティのSSLモードにfallbackさせる設定がオススメ
  • Resource ProfilesとResource Policiesは字も似ていて紛らわしいが、Resource ProfilesはWebサーバを便利に使うイメージ
  • JunosPulse Connectionsはアプリケーションの詳細設定、Componentsはインストール時のConfig及びパッケージファイル
  • JunosPulseの右クリックの「高度な接続の詳細」情報はトラシューに使えて便利


〔Host Checker〕

  • 他の Mac Linux Solaris Mobile などの項目も空にしないこと
  • Windowsは充実しているが、Macに対しては弱い
  • Evaluate Policies はモジュールがインストールされているかどうかだけを見る
  • Realmでは弱いHCにしておき、Roleで強いHCを用意するケースが多い
  • ESAPはOS(Windows8.1など)、ウイルスの一覧


クラスタ構成〕
てっきり2人1組でやるのかと思ったら、やりたい人は後で言ってくれとのこと…_| ̄|〇 うーん・・
とりあえず終了後アシスタントの人に手伝ってもらってやってみた

  • クラスタに参加する側のバージョンが合わなかったが、Clusterに加入する処理のときにバージョンアップもやってくれるらしい
  • 最初両方Activeになり、次にmember2がTransittingで黄色くなり、Enabldedで見事にActive/Active完了
  • バージョンアップも伴うとえらく時間がかかる(15分くらい?)のがわかったのも収穫
  • フェイルオーバーの切り替え時間は約30秒


iPhoneiPadからJunos Pulse for Mobileクライアントで接続する2通りの方法〕

  • Junos Pulseを起動してMAGにログインし、VPN接続を行う
  • ブラウザからMAGにログインし、ブラウザからJunos Pulseを起動し、VPN接続を行う


〔Juniper MAGで管理する3つのログ〕

イベントログ ・システムエラー及び警告
・サーバーの接続状態チェックの要求
・IVEサービス再起動通知
ユーザーアクセスログ ・1時間ごとの同時ユーザー数
・ユーザーのサインイン及びサインアウト
・ユーザーのファイル/Web要求
管理者アクセスログ ・セッションのタイムアウト
・URLブラウジング
・ユーザー作成ブックマークの有効化/無効化
・コンピュータ情報及びサーバー情報
・管理者によるサインイン/サインアウト
アプライアンスのライセンス変更


〔W-SAM基本設定順序〕

  1. RoleのAccess featuresで □ WSAM にチェックを入れる
  2. RoleのWSAMタブで、利用サーバの登録、オプションの設定などを行う
  3. Resource PoliciesでACLの設定を行う