アカウント名:
パスワード:
ランサムにやられた系のニュースの99割がFortiGateの脆弱性突かれてんだけど何なの知らないところでVPN鯖市場を独占でもしてんの?
しかもやられたニュースの大半が「パッチを当てていなかった」だよね。いい加減これでやられる方がどうかと思ってくるわ。
# 弊社もFortiClient VPNとか使ってるからたぶんこれ。
ファームの自動更新機能無いのかな?デフォルトONで出荷すればいいのに。
そんな自動障害発生装置のついた機器なんか怖くて使えない。
更新時刻をずらして多重化すればいいじゃん。
Fortigate製品を知らない人なんですが、適当に検索した感じたと製品のHigh Availability構成を記事にしてくれてる人がいて、https://www.secuavail.com/kb/practical-post/fortigate-high-availability/ [secuavail.com]
HA構成はWeb情報では同機種同OSバージョンでないといけないとよく書かれるが、公式ドキュメントにはそんなこと別に書かれていないみたいなことが書いてあって、OSバージョン多重化のために製品のHA構成を利用していいのかどうか迷うな。
そりゃ同一機種同一バージョンにするのは「暗黙の了解なので、書かんでもわかるやろ」ってやつ。なお、基本的にハードウェアアプライアンスのHA構成は同一機種/異バージョンは"ある程度"考慮されている。(x.y.zのyまでは一緒であればOKとか、xやyが変わる時もzが特定のバージョン以上であればOK 等、じゃないとローリングアップデートができない)件のサイトは異機種/同一バージョンなのでサイトにも書いてあるが、ハードウェア構成の違いから予期しない不具合が発生しやすいので、実質使えない。(異機種/異バージョンなんか言わずもがな)どうしてもやりたければバーチャルアプライアンスにして、その下のハイパーバイザレイヤで異機種HAにするのが一般的かと。それでもハイパーバイザのバージョンは合わせる必要があるけど。
オープンなプロトコルで構成すれば、そんな必要ないだろ
オープンなプロトコル、クローズドな実装なのがネットワーク機器業界でして。オープンなプロトコルでも、メーカーの解釈の違いや元からある機能の流用とかするから、異メーカーや異機種、異バージョンだと単なる博打になる。で、商売だとそんな博打打てないのよ。
自分が遭遇した具体例だと、IPSec VPNのトンネルとか、鍵交換の時間とかのパラメータ違い(しかも調整不可)みたいなので、直後は繋がるのに数時間後に切れるみたいな不具合とかね。ファームのバージョンアップで互換性が無くなったりするとかも稀に起きる。
結局ベンダとか機種の世代とか色々揃える羽目に。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
ランサム=FortiGate (スコア:0)
ランサムにやられた系のニュースの99割がFortiGateの脆弱性突かれてんだけど何なの
知らないところでVPN鯖市場を独占でもしてんの?
Re: (スコア:1)
しかもやられたニュースの大半が「パッチを当てていなかった」だよね。
いい加減これでやられる方がどうかと思ってくるわ。
# 弊社もFortiClient VPNとか使ってるからたぶんこれ。
Re: (スコア:0)
ファームの自動更新機能無いのかな?
デフォルトONで出荷すればいいのに。
Re: (スコア:1)
そんな自動障害発生装置のついた機器なんか怖くて使えない。
Re: (スコア:0)
更新時刻をずらして多重化すればいいじゃん。
Re:ランサム=FortiGate (スコア:1)
Fortigate製品を知らない人なんですが、適当に検索した感じたと製品のHigh Availability構成を記事にしてくれてる人がいて、
https://www.secuavail.com/kb/practical-post/fortigate-high-availability/ [secuavail.com]
HA構成はWeb情報では同機種同OSバージョンでないといけないとよく書かれるが、公式ドキュメントにはそんなこと別に書かれていない
みたいなことが書いてあって、OSバージョン多重化のために製品のHA構成を利用していいのかどうか迷うな。
Re: (スコア:0)
そりゃ同一機種同一バージョンにするのは「暗黙の了解なので、書かんでもわかるやろ」ってやつ。
なお、基本的にハードウェアアプライアンスのHA構成は同一機種/異バージョンは"ある程度"考慮されている。(x.y.zのyまでは一緒であればOKとか、xやyが変わる時もzが特定のバージョン以上であればOK 等、じゃないとローリングアップデートができない)
件のサイトは異機種/同一バージョンなのでサイトにも書いてあるが、ハードウェア構成の違いから予期しない不具合が発生しやすいので、実質使えない。(異機種/異バージョンなんか言わずもがな)
どうしてもやりたければバーチャルアプライアンスにして、その下のハイパーバイザレイヤで異機種HAにするのが一般的かと。それでもハイパーバイザのバージョンは合わせる必要があるけど。
Re: (スコア:0)
オープンなプロトコルで構成すれば、そんな必要ないだろ
Re:ランサム=FortiGate (スコア:1)
オープンなプロトコル、クローズドな実装なのがネットワーク機器業界でして。
オープンなプロトコルでも、メーカーの解釈の違いや元からある機能の流用とかするから、
異メーカーや異機種、異バージョンだと単なる博打になる。で、商売だとそんな博打打てないのよ。
Re: (スコア:0)
自分が遭遇した具体例だと、IPSec VPNのトンネルとか、鍵交換の時間とかのパラメータ違い(しかも調整不可)みたいなので、直後は繋がるのに数時間後に切れるみたいな不具合とかね。
ファームのバージョンアップで互換性が無くなったりするとかも稀に起きる。
結局ベンダとか機種の世代とか色々揃える羽目に。