無償でできるネットワークセキュリティ対策  Untangle 16.3.2

ルータ配下で稼働

Untangle もだいぶ新しくなったようです。

現在のバージョンは16

さて、試しに使ってみようと思います。

インストール時のIPアドレス

今回はルータ配下に設置したかったのですが、インストール時に聞かれることなくルータモードになってしまいました。

ルータモードでは、内側のIPアドレス(Internal)は192.168.2.1 となり、こちら側のネットワークからリモートアクセスが可能となります。

http://192.168.2.1

ちなみにWAN側はDHCPでIPアドレスを取得しています。WAN側からはアクセスできない仕様になっています。WAN側は Externalと表現されます。

Internalに設定されているNICをEdit Interfaceし、Bridgedモードにします。

右下に現れる Saveボタンを押さないと反映されないので注意。Doneだけではまだ設定は有効になっていません。

ブリッジモードでのリモートアクセス

ブリッジモードでリモート管理の場合も、Internal側にLANケーブルをつなげます。すると、Externalとブリッジされているので見た目上はExternalと同じサブネットにいることになります。Externalと同じネットワーク体系上のIPアドレスを取得します。ちゃんとDHCPも通してIPアドレス取得可能です。

Internal側のNICに接続し、Externalに割り振られたIPアドレスにアクセスする事でリモート管理可能です。

日本語表示

設定 → 言語 → Japanese

アプリのインストール

無料で使えるものだけを有効にします。

Firewall

IPアドレス、プロトコル、ポートでトラフィックをフィルタ
透過ブリッジ動作(既存ファイアーウォールを補完)
受信と送信コントロール
レポートやイベントログでブロックしたウィルスを表示

Intrusion Prevention

ハッカーによる侵入を未然に防止
うるさい誤検知は最小化
数1000シグネチャによる検知機能

Phish Blocker

HTTP, SMTP, POP, IMAPによるID詐称を検知しブロック
シグネチャは自動更新
ブロックしたフィッシュはイベントログに表示
レポートでブロックしたEmail、受信者、送信元を表示

Virus Blocker Lite

HTTP, FTP , SMTPについて、ウィルスから守ります。
その他トロイの木馬型、マルウェアも検知します。
zip,rar,tar,gzip,bzip2形式もスキャンします。
有名なオープンソースアンチウィルススキャナー Clam AV をエンジンとしています。

Ad Blocker

オープンソースAdBlock Plusによる広告ブロックとネットワーク負荷低減
バナー広告リンクによるマルウェアやスキャムブロック
カスタムルールや除外機能
自動更新
イベントログで詳細表示

Application Control Lite

P2P、オンラインゲームなどの邪魔なアプリケーション制御による生産性向上
シグネチャベースのレイヤー7フィルタリング
プロトコルシグネチャによる記録・ブロック選択
時間ベースポリシー
プロトコルと利用者レポート

Spam Blocker Lite

ゲートウェイでSMTP, POP, IMAPスパムメールをブロック
SMTPスキャンでは個人別の隔離機能
ベイジアン、Razor, RBL, OCRによるフィルタ
個人別通過リスト
スパムの総合的な表示のためのレポート

Web Monitor

Webトラフィックを見える化
ウェブサイトへのリクエストをカテゴリごとに分ける事が可能

Captive Portal

制定プロセス終了までインターネットアクセスブロック
ローカルディレクトリ、RADIUS、ADによるユーザー認証
BYOD環境のための異なるポリシーのラック

OpenVPN

内部ネットワークとリモートユーザー・サイト間の安全なアクセス
セットアップウィザードによる設定メールによる定義済みクライアントソフト配布
イベントログによるVPNログイン/ログアウト表示

Reports

ユーザー、クライアント、インシデントレベルの挙動監視
トラフィックとネットワーク利用パターンの理解
PDF, HTMLフォーマットによるレポート共有
サマリー、詳細、ユーザー単位レポート
メールによるレポート自動配信
CSVによるレポートデータ

Application Control Lite シグネチャの設定

このサイトにシグネチャファイルが置いてあります。

これを利用します。

この中で、P2Pとビデオゲームとワームをブロックするようにしました。

FastTrack P2P filesharing (Kazaa, Morpheus, iMesh, Grokster, etc)
GnucleusLAN LAN-only P2P filesharing
Gnutella P2P filesharing
Soulseek P2P filesharing – http://slsknet.org
iMesh the native protocol of iMesh, a P2P application – http://imesh.com
Hotline An old P2P filesharing protocol
Apple Juice P2P filesharing – http://www.applejuicenet.de
100bao a Chinese P2P protocol/program – http://www.100bao.com
Bittorrent P2P filesharing / publishing tool – http://www.bittorrent.com
Napster P2P filesharing
Tesla Advanced Communication P2P filesharing (?)
MUTE P2P filesharing – http://mute-net.sourceforge.net
Freenet Anonymous information retrieval – http://freenetproject.org
Ares P2P filesharing – http://aresgalaxy.sf.net
OpenFT P2P filesharing (implemented in giFT library)
GoBoogy a Korean P2P protocol
Soribada A Korean P2P filesharing program/protocol – http://www.soribada.com
Direct Connect P2P filesharing – http://www.neo-modus.com
The Circle P2P application – http://thecircle.org.au
POCO and PP365 Chinese P2P filesharing – http://pp365.com http://poco.cn

Half-Life 2 Deathmatch Life 2 Deathmatch – popular computer game
XBox Live Console gaming
Guild Wars online game – http://guildwars.com
Counterstrike (using the new Source engine) network game
Medal of Honor Allied Assault an Electronic Arts game
Doom 3 computer game
Half Life 1 engine games Half Life 1 engine games (HL 1, Quake 2/3/World, Counterstrike 1.6, etc.)
Quake 1 A popular computer game.
World of Warcraft popular network game – http://blizzard.com/
Day of Defeat: Source game (Half-Life 2 mod) – http://www.valvesoftware.com
Subspace 2D asteroids-style space game – http://sscentral.com
Battlefield 2142 An EA game.
Battlefield 1942 An EA game
Team Fortress 2 network game – http://www.valvesoftware.com
Battlefield 2 An EA game.
Runes of Magic game – http://www.runesofmagic.com

Code Red a worm that attacks Microsoft IIS web servers
Nimda a worm that attacks Microsoft IIS web servers, and MORE!

確認→Fwd: 【バージョンアップ】メンテナンス作業のお知らせ(2021年9月16日木曜日) 詐欺に気を付けて

巧妙な詐欺メール

 お客様各位

                   2021年9月16日木曜日  

         

平素は 【TechliveNET 】

インターネットサービスをご利用いただき誠にありがとうございます。

サーバーは現在メンテナンス中です。メールアドレスはhanako@teclive.tokyo で、削除のフラグが付けられています。

サービスの詳細は以下のURLをご参照ください。

会社ドメインと同じ名前

巧妙なのが、ドメイン名の一部が使われているところ。

teclive.tokyo

ドメインを利用しているのですが、TechliveNET という名前でメールが届くので、人によっては何か関連があるのか?といった事で心配になってしまうようです。

普通のサイトがのっとられてるっぽい

このサイト一見普通のサイトに見えるのですが、

Home

ここに、

http://techlive.tokyo.bestjpbsformoms.net

としてアクセスすると、詐欺サイトに誘導されます。幸いChromeにのセーフブラウジング機能に登録されていたようでこんな警告がでてくれました。

自分のサイトものっとられないようにしないと。

ドメインごとのっとられているのかなぁ。ドメインがもうちょっとましな感じだと、かなりの確率で騙されてしまいそうです。サイト乗っ取られないように。

サブドメインすべてが、偽サイトに飛ばされてしまう現状なので、ドメイン系が侵されてる感じします。

サイト管理はもちろんですけど、ドメイン管理も怠らないように気をつけましょうね。

Microsoftアカウントを使用してボリュームライセンスサービスセンターへログインすることはできなくなります

Microsoftアカウントではログインできない

今までMicrosoftアカウントでログインしていたのですが、

引き続きサイトを使用するには、職場または学校アカウントを使用する必要があります。という警告が出るようになりました。

職場アカウントってどのように作成したらいいのでしょうか?

Microsoftアカウントとは

Microsoftのサービスを利用するために個人が作成したメールアドレス。

職場アカウントとは

職場のドメインで、マイクロソフトに職場ドメインとして登録している場合に割り当てられるアカウント(メールアドレス)

2022 おすすめUSB 広角webカメラ

独断と偏見で選ぶ、おすすめ広角USBカメラです。

やっぱり会議用webスピーカマイクはYAMAHA製だと思っています。特に人数が多くなってくると、雑音を拾わずに広範囲に音を拾いたい要件になると、他社はYAMAHAの集音機能の高さに他は追随できていません。

そこで、スピーカマイクはYAMAHAに任せるとして、きれいな画質でweb会議を行いたいといった要件でおすすめを探します。

また、購入を進めようと選ぶ際に画角表示やっかいです。広角レンズを採用しているものがいいのですが、画角についても表記がまちまちで評価しづらい。

こちらに自動計算ツールがあるので、これを参考にしました。

おすすめ1 2K超広角WEBカメラ

超広角126度の広角カメラを採用しています。なかなか120度を超えるカメラを搭載している製品にはいきあたりません。それも価格もかなりリーズナブルです。

●センサー:2K CMOSセンサー
●解像度:2560×1440
●フレームレート:25fps
●顔認識補正:自動
●回転角度:上下75°, 左右360°
●視角:D126°, H104°, V55°
●マイク:内蔵式
●ドライバー:不要
●動作電圧/電流:4.5〜5.5V/160mA
●本体重量:約86g
●商品サイズ:約75×53×49mm
●ケーブル長:約1.3m

日本商社 TOKAIZが取り扱っている製品で、どこかのOEM製品かなと思います。日本人の目で見て販売してくれていると思うと、なんだか安心感あるんですよね。

世界中の工場と連携を図りながら、常にお客様に最上のご満足を頂くため日々邁進し続けており、またさらなる高品質、低価格化を実現するため研鑽しております。

TOKAIZについて

この製品、口コミがいいんです。

画質も広角なのでしっかりと自分を撮してくれます。四角がなんとなく歪んで見えますが角なのでこんなものだろうと思っています。

いやいや、視野角126度の広角レンズだから、四隅がゆがむのは当たり前ですよね。だけど、それだけ拡くしっかり撮影できてるって事だと思います。

ノートパソコンに内蔵されているカメラの映りが非常に荒かったので、購入しました。USBをさすだけで起動するので、使い勝手がいいです。内蔵カメラより明るく、昔のプリクラ程度のの映りでシワは映りません。

古いパソコンを利用していて画像が荒かったのかなとも思いますが、明るく映りそうでいいなと。

広角でコスパ、ZOOM で利用していますが画質も充分。重たくなくいい感じです

画像は結構鮮明ですね。

年末、友達と会えないのでPCでLINEビデオ通話をしたのですが、画質があまりにも良くて驚きました。

この製品解像度も高いのですが、私はあまり解像度を気にしていません。CMOSセンサーの大きさにより、いくら解像度が高くても暗くて映りが悪い製品をたくさん目にしてきました。

しかし、この製品の評価は、肌もクリアに映るです。

まとめ

視野角126度の超広角レンズ採用

肌もクリアに見えるという画質の良さ

5,000円未満で購入できるコスパの高さ

おすすめ2 BSW505MBK

画角120度の広角レンズを採用!

価格.com では売れ筋5位の製品です。

web会議をすると、端が見切れてしまうのが問題でできるだけ画角が拡い製品が欲しいです。この価格帯で、120度の広角レンズを採用している製品はなかなかありません。

  1. 約120度の広視野角レンズ搭載
  2. 盗撮を防止できるプライバシーシャッター
  3. Web会議に便利 マイク内蔵タイプ
  4. カクカクしない滑らかな動画を撮影できる!

120°の広角レンズで部屋などが広くダイナミックな映像撮影が可能ですが、4隅が少し歪んだ映像になります。

BUFFALO 200万画素WEBカメラ『BSW505MBK』入門機にオススメしたい1台

色合いはコントラストが高めで赤や青、黄色などの原色は鮮やかですが、全体的に暗く写ります、人の顔は若干疲れているように見えてしまうかもといった印象です。

BUFFALO 200万画素WEBカメラ『BSW505MBK』入門機にオススメしたい1台

ちょっと赤っぽく映ってしまうのが難点ですが、Buffalo製品というメーカの安心感というものがあります。選んでも大きな間違いはないって商品です。

まとめ

視野角120度と広角製品

なじみ深いBuffalo製だから間違いない

おすすめ3  フルHD LifeCam Studio

【画質】
画質は非常にキレイ

【機能性】
オートフォーカスやTrueColorテクノロジーが良いです。

【設置性】
土台の形をかなり柔軟に変形させれるので、カメラ部分が縦長で不安定そうに見えるが、がっちり固定出来る。

使う人を選ぶかも

Webカメラ フルHD LifeCam Studio

画質の検証での評価が高い

音が雑音が入る

広角レンズを採用しているので、人数が多い会議でも大丈夫

値段が上昇傾向、以前の最安は3,000円台だったんですが、最近の最安は5,000円台になっています。マイクロソフトもこの分野は手放してしまったのか後継機種がないので2014年発売と古いモデルになっています。

【システム要件】
●コンピューター:Microsoft Windows 10、Windows 8.1、Windows 8、Windows 7

【本体仕様】
●センサー:ビデオ センサー/HD 1080p
●オート フォーカス:10 cm から無限大まで
●レンズ:高精度ガラス レンズ・広角レンズ
●マイク:広帯域Hi-Fi 内蔵マイク
●長さ:4.45″ / 113mm
●幅:1.57″ / 40mm

激安Dellでサーバを選ぶ

サーバの見積もり

攻めのデジタル化キャンペーン PowerEdge T340 スタンダード2モデル

を選んでみました。

業者から見積もりをもらうと、3倍以上の値段がつくのですが、Dellサイトにおいて、購入するとショッピングカートでクーポンが利用でき激安になります。

現在、サーバは、

オンライン限定】ショッピングカートでクーポン適用すると総額45% OFF

どのCPUがコスパがいいか?

CPUも選択肢があります。どれが一番コスパがいいのか。これはベンチマークを見て決めました。

CPUベンチマークの結果と比べながら、スコアが良くて安いものを選んでいきます。価格は高くなるのに、ベンチマーク結果は悪くなるCPUも存在するので注意です。

Xeon E-2226G

が、8,448円アップでパふぉーまんしうも良い事がわかります。逆に、

Xeon E-2234

はさらに高いのに、ベンチマークは低い事がわかりました。CPUの特性が生かされたベンチマークではないという事もできると思いますが、クロック周波数よりも、コアの数の方がベンチマークに反映されやすいのではと思います。

つめていくと

コア数が多く、スレッド数が多いものがベンチマーク結果がよくその中で一番コストパフォーマンスが高いのは

インテル® Xeon® E-2226G 3.4GHz, 12M キャッシュ, 6C/6T, ターボ (80W) 

もう少しお金出してもいいなら

インテル® Xeon® E-2236 3.4GHz, 12M キャッシュ, 6C/12T, ターボ (80W) 

という選択肢になりました。サーバは、一度購入したら5年以上は確実に使うので、今回は、 E-2236 をチョイスします。

SSDを選ぶ

5年前に利用したサーバも、SSDで選択しました。かなり快適なアクセス速度です。

Write Intensive SSD
書き込み頻度の高い用途において高い応答性が期待できる

Mixed Use SSD
読み書きが混在するような用途においてコスト、性能、耐久性のバランスが考慮されている

Read Intensive SSD
動作の大部分が読み出しに集中するタイプのシステムで経済的なSSDです。

今回はRead Intensive SSDで決めたいと思います。

iDRACって何?

iDRACはサーバーの情報を集めて、Webベースの画面に表示してくれます。

メンテナンスアプリケーションですね。

PowerEdgeで簡単システム管理 ~iDRAC編~ はじめの一歩

保守は5年を選択

まず5年は絶対だという感覚です。さらに、7年も選択できるProSupportがあります。Basicの標準サポートと比較すると、24時間365日のサポートが入り、7年サポートが可能となるという点が大きな違いになります。

Basicでは5年サポートまでです。

UPSはオムロン BW100T

LCD採用の正弦波出力UPS(出力容量1000VA/610W)

Dellサーバ電源定格490Wなので、

5分くらいはもちそう。

日本オムロン製で、3万円を切る価格で購入できるので、これくらいがいいかな。まずは瞬時停電に対応できれば文句ないし。

今回は、Windows2019 Server で利用する予定。ちゃんと、対応してます。シャットダウンアプリケーションは無償ダウンロードできます。

PowerAttendant Lite

バックアップ用NASドライブ

NASドライブも耐久性があるものを選びたいと思いましたが、なかなかその情報にいきあたるものがなく。

ただ、この表からいくと、Synology 社のNASはセキュリティの問題が少ないかもしれません。

RAID1が組めて、そこそこ使えればいいかと。

HDD は Western Digital WD60EFZX を選定。 WD Red Plus で、NAS用に開発されているRED のうち、CMR方式を採用しているのがPlusです。

“NAS向けHDDはCMR”のコダワリ派も納得。「WD Red Plus」実力検証!CMRとSMRの違いも教えます!!

外付けUSB HDD

Western Digital社は日立のHDD製造部門 HGSTブランドを買収し、後継として作成しているのが、WESTERN DIGITAL Ultrastar になります。

HGSTはハードディスク故障が最も少ないことで有名。信頼の1台って感じ。

HUS728T8TALE6L4 [8TB SATA600 7200]

  • ULTRASTARシリーズに位置する、容量8TBの3.5インチHDD。
  • 堅ろうなストレージデバイスとして設計されている。
  • 従来のデスクトップドライブと比較して、高振動環境でのパフォーマンスが向上している。

これをチョイスしました。

USB HDDケースは、玄人志向のUSB3.0接続 3.5型 SATA HDDケース(マットブラック) GW3.5AA-SUP3/MB

アルミボディで放熱性も良く USB3.0搭載なので、転送速度も十分かと。

特定のMACアドレスを持つ機器のIPアドレスを調査するバッチファイル

MACアドレスからIPアドレス

MACアドレスがわかれば、その機器が持つIPアドレスを探すことができます。

手順

  1. 捜査対象となるセグメントを調べる
  2. 捜査対象となるセグメントにまんべんなくPINGを打つ
  3. MACテーブルを表示させる
  4. 特定のMACアドレスを探す

DOSコマンドのバッチファイルで、これを自動化したかったのですが、へたれなので、2~4までの手順を自動化する事ができました。

操作対象となるセグメントを調べる

ipconfig |findstr "IPv4 アドレス.*"

ipconfig コマンドで、自分が取得しているNICのIPアドレスを表示します。環境によって、IPv4 アドレスという表記でない場合があります。

捜査対象のセグメント入力

PINGを打ちたい範囲のネットワークアドレスを指定します。

SET INPUTSTR=

SET /P INPUTSTR=

変数INPUTSTR へ、ネットワークアドレスを格納します

PINGを打つ

対象のネットワークに対して、 1~254へPINGを打ちます。

for /l %%A in (1,1,254) do (ping -n 1 -w 200 %INPUTSTR%.%%A)

特定のMACアドレスを探す

arp -a | findstr "50-c4-dd-.*"

ベンダーによって、持っているMACアドレスの範囲が決まっているため、このNICを搭載している機器というような形で特定する事ができます。

バッチファイル

できれば、自分のNICのアドレスを判定して、そのネットワークへPINGを打つというものにしたかったのですが、文字列操作がめんどくさそうだったのでセグメントは入力いただく方とで作りました。

ECHO OFF
ECHO お使いのネットワーク環境は
ipconfig |findstr "IPv4 アドレス.*"

ECHO.

REM セグメントを入力
SET INPUTSTR=

ECHO +++++++++++++++++++++++++++++++++++++++++++++++++++++
ECHO セグメントを *.*.* の形式で入力してください
ECHO 例 192.168.0
ECHO +++++++++++++++++++++++++++++++++++++++++++++++++++++++

SET /P INPUTSTR=

echo.
echo セグメント %INPUTSTR% へPINGを打ちます

REM MACテーブル作成のため指定セグメントへPINGを打
for /l %%A in (1,1,254) do (ping -n 1 -w 200 %INPUTSTR%.%%A)

ECHO.

REM 50-c4-dd- から始まるNICのIPアドレスを調べる
ECHO ++++++++++++++++++++++++++++++++++++++++++++++++++++
ECHO 見つかったアドレスは
ECHO ++++++++++++++++++++++++++++++++++++++++++++++++++++
arp -a | findstr "fa-5f-37-.*"

pause

実行するとこんな感じです。

++++++++++++++++++++++++++++++++++++++++++++++++++++
見つかったアドレスは
++++++++++++++++++++++++++++++++++++++++++++++++++++
  192.168.100.111        fa-5f-37-??-??-??     動的

Win10のメモ帳はUTF-8だけ?バッチ実行時文字化けするけど

バッチファイルを作成するのに、Windows標準のメモ帳を利用していました。

バッチファイルを実行すると、コマンドプロンプトで表示される文字列が文字化けし、うまく動作しません。

あー、DOSコマンドはUTF8で文字エンコードしないとだめなのかなと思って、名前をつけて保存しようと思いましたら、あれ、メモ帳の保存はUTF8になってる。

しかも Shift_JIS選べません。

emeditor というエディタソフトをダウンロードインストールし、Shit_JISを選択して保存して、バッチファイルを実行したところ、ちゃんと実行できるようになりました。

まったく何なんだか。試しに

set LANG=ja_JP.UTF-8

を言語設定を入れてみましたが、状況は変わらずで

DOSのバッチファイルは、Shift-_JISしか日本語受け付けないの?って感じです。メモ帳はShift-JISで保存できなくなってるので、なんだか対応がちぐはぐな気がします。

Outlook2019 テキスト形式でメール送信・返信したいだけ-迷惑メールに騙されない

Outlook2019でテキスト形式

サーバメンテナンスもしている私は、どうもHTML形式メールが好きでないのでテキスト形式に変更します。

それが、Outlook2019になって、返信するとHTMLになってしまったり、思った通りにならないことが多く、設定探すのに時間がかかるのでメモです。

HTMLだと、リンクではられているURLがよくわからず、クリックしたらフィッシング先ってことだってあり得ます。ほんと最近の迷惑メールは巧妙なのでテキスト形式で表示しているとすぐに異常に気付くことができます。

送信メールをテキストに

送信する際にテキスト形式にしたかったら、とりあえずテキスト形式にすればOKです。

ここまでは簡単にできます。

返信メールをテキスト形式に

これがやっかい。

結構HTMLメールが送られてくることが多く、それに返信すると、勝手にHTMLになってしまう。HTMLできたって、テキストで返信したいんです。

トラストセンターを開き、トラストセンターの設定ボタンをクリック

ポイントは、すべての標準メールをテキスト形式で表示する、すべてのデジタル署名されたメールをテキスト形式で表示する。にチェックを入れます。

この設定をしておくと、受信したメールはすべてテキスト形式で表示されるため、返信する際もテキスト形式になります。

テキスト形式のメッセージの行頭に次のテキストを入れるがグレーアウトしてる

こいつは困りました。返信しようと思っても、> が入ってくれない。

元のメッセージの行頭にインデント記号を挿入する

を挿入したら、テキスト入れられるようになりました。

まずい IPSec装置への攻撃!SoftEhterが攻撃受けてる?SoftEtherのアップデート

VPNに接続できないんですが?

発覚したのは、ユーザからVPN接続ができないと報告があったため。

昨日はなぜだかわからなかった。

LAN内からSoftehterに接続すると、ちゃんとVPN通信がはれるものの、WAN側から入ろうとすると入れない。

RTX1200の状況をみると、CPU使用率がほぼ100%という状態で、何らかの異常をきたしていた。

また、IPSec通信が異常に発生している状況も確認できた。

ルータとPacketixVPNサーバの間で異常なIPSec通信が発生している

グローバル IP アドレスの IPsec VPN 装置宛に、侵入試行パケットが送付

外国からのものと思われる日本の広範囲のグローバル IP アドレスの IPsec VPN 装置宛に無差別に侵入試行パケットが送付される現象により、攻撃者によって「SoftEther VPN」および「PacketiX VPN」との間で IPsec レイヤのネゴシエーションが確立されるか確立途中で、認証前の状態であっても CPU、メモリおよびネットワーク帯域が無駄に消費され、また、その結果、正規の L2TP/IPsec 等のユーザーの通信が影響を受ける現象を確認されている。

2021/08/16 日本の広範囲のグローバル IP の IPsec VPN 装置宛へのサイバー攻撃の注意喚起と「SoftEther VPN」/「PacketiX VPN」への影響を防ぐための設定の確認のお願い・新ビルドのお知らせ

Softether社のサイトに記載されているこの攻撃が影響していると思われる。

取り急ぎ侵入を防ぐ

「SoftEther VPN」/「PacketiX VPN」の「L2TP/IPsec」等の IPsec VPN 関係機能を有効化して利用されており、かつ、変更が推奨されている事前共有鍵 (Pre-shared key) を「vpn」(3 文字のデフォルト値、非推奨) のまま変更されていない。

2021/08/16 日本の広範囲のグローバル IP の IPsec VPN 装置宛へのサイバー攻撃の注意喚起と「SoftEther VPN」/「PacketiX VPN」への影響を防ぐための設定の確認のお願い・新ビルドのお知らせ

うちは、これに該当するのでとりあえず事前共有キーを変更して、利用者に周知した。

iPhoneのVPN設定

iPhoneの一般 → VPNより、i ボタンをタップ

編集をタップ

新しく設定した事前共有キーを入力

今回の影響範囲

L2TP,IPsec通信を有効にしたVPNサーバ

通常のPacketixVPN通信には影響がない模様

「SoftEther VPN」/「PacketiX VPN」をインストールし管理されている VPN サーバーの管理者様で、IPsec 機能 (L2TP/IPsec, EtherIP/IPsec または L2TPv3/IPsec) を有効にされ、かつ、以下の条件に合致する方向けのものです。

2021/08/16 日本の広範囲のグローバル IP の IPsec VPN 装置宛へのサイバー攻撃の注意喚起と「SoftEther VPN」/「PacketiX VPN」への影響を防ぐための設定の確認のお願い・新ビルドのお知らせ

SoftEhterのアップデートを行う

VPN設定のバックアップ

まずは、VPN設定のバックアップ

SoftEtherVPN , PacketixVPNはこの辺の作りがしっかりしています。

Configファイルの編集から「ファイルに保存」します。

Linuxの CPUビット数とダウンロード

ちゃんと記録しとけよって話なんですが、一応確認

getconf LONG_BIT
32

オープンソース版: SoftEther VPN 4.37 Build 9758 Beta (2021/08/16)

を選択します。

IPsec Informational Exchange パケットによる切断済みトンネル識別番号の通知の頻度が制限され、日本の広範囲のグローバル IP アドレスの IPsec VPN 装置を狙っていると考えられる攻撃者との間の IPsec 制御用パケットのピンポン現象の発生が抑制されます。

バージョン更新履歴 (ChangeLog)

更新プログラムをダウンロードする

# wget https://github.com/SoftEtherVPN/SoftEtherVPN_Stable/releases/download/v4.37-9758-beta/softether-vpnserver-v4.37-9758-beta-2021.08.16-linux-x86-32bit.tar.gz

ファイルの解凍

tarコマンドでダウンロードした更新プログラムを解凍します。

# tar -xvvzf softether-vpnserver-v4.37-9758-beta-2021.08.16-linux-x86-32bit.tar.gz
drwxrwxrwx 0/0               0 2021-08-16 00:51 vpnserver/
-rwxrwxrwx 0/0            3569 2021-08-16 00:51 vpnserver/Makefile
-rwxrwxrwx 0/0             503 2021-08-16 00:51 vpnserver/.install.sh
-rwxrwxrwx 0/0            3587 2021-08-16 00:51 vpnserver/ReadMeFirst_License.txt
-rwxrwxrwx 0/0              82 2021-08-16 00:51 vpnserver/Authors.txt
-rwxrwxrwx 0/0           52554 2021-08-16 00:51 vpnserver/ReadMeFirst_Important_Notices_ja.txt
-rwxrwxrwx 0/0           37747 2021-08-16 00:51 vpnserver/ReadMeFirst_Important_Notices_en.txt
-rwxrwxrwx 0/0           32256 2021-08-16 00:51 vpnserver/ReadMeFirst_Important_Notices_cn.txt
drwxrwxrwx 0/0               0 2021-08-16 00:51 vpnserver/code/
-rwxrwxrwx 0/0         3427252 2021-08-16 00:51 vpnserver/code/vpnserver.a
-rwxrwxrwx 0/0         3427522 2021-08-16 00:51 vpnserver/code/vpncmd.a
drwxrwxrwx 0/0               0 2021-08-16 00:51 vpnserver/lib/
-rwxrwxrwx 0/0            5362 2021-08-16 00:51 vpnserver/lib/libcharset.a
-rwxrwxrwx 0/0         3618612 2021-08-16 00:51 vpnserver/lib/libcrypto.a
-rwxrwxrwx 0/0          203416 2021-08-16 00:51 vpnserver/lib/libedit.a
-rwxrwxrwx 0/0          954114 2021-08-16 00:51 vpnserver/lib/libiconv.a
-rwxrwxrwx 0/0           28154 2021-08-16 00:51 vpnserver/lib/libintelaes.a
-rwxrwxrwx 0/0          471866 2021-08-16 00:51 vpnserver/lib/libncurses.a
-rwxrwxrwx 0/0          744328 2021-08-16 00:51 vpnserver/lib/libssl.a
-rwxrwxrwx 0/0          103560 2021-08-16 00:51 vpnserver/lib/libz.a
-rwxrwxrwx 0/0           40585 2021-08-16 00:51 vpnserver/lib/License.txt
-rwxrwxrwx 0/0         2009248 2021-08-16 00:51 vpnserver/hamcore.se2

コンパイルする

makeします

以前は、ライセンスアグリーメントへの承諾操作があったと思いますが、今回は何も聞かれずにvpnserverプログラムが作成されました。

# make
--------------------------------------------------------------------

SoftEther VPN Server (Ver 4.37, Build 9758, Intel x86) for Linux Build Utility
Copyright (c) SoftEther Project at University of Tsukuba, Japan. All Rights Reserved.

--------------------------------------------------------------------


Copyright (c) all contributors on SoftEther VPN project in GitHub.
Copyright (c) Daiyuu Nobori, SoftEther Project at University of Tsukuba, and SoftEther Corporation.

Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at

    http://www.apache.org/licenses/LICENSE-2.0

Unless required by applicable law or agreed to in writing, software distributed under the License is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and limitations under the License.


DISCLAIMER
==========

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

THIS SOFTWARE IS DEVELOPED IN JAPAN, AND DISTRIBUTED FROM JAPAN, UNDER JAPANESE LAWS. YOU MUST AGREE IN ADVANCE TO USE, COPY, MODIFY, MERGE, PUBLISH, DISTRIBUTE, SUBLICENSE, AND/OR SELL COPIES OF THIS SOFTWARE, THAT ANY JURIDICAL DISPUTES WHICH ARE CONCERNED TO THIS SOFTWARE OR ITS CONTENTS, AGAINST US (SOFTETHER PROJECT, SOFTETHER CORPORATION, DAIYUU NOBORI OR OTHER SUPPLIERS), OR ANY JURIDICAL DISPUTES AGAINST US WHICH ARE CAUSED BY ANY KIND OF USING, COPYING, MODIFYING, MERGING, PUBLISHING, DISTRIBUTING, SUBLICENSING, AND/OR SELLING COPIES OF THIS SOFTWARE SHALL BE REGARDED AS BE CONSTRUED AND CONTROLLED BY JAPANESE LAWS, AND YOU MUST FURTHER CONSENT TO EXCLUSIVE JURISDICTION AND VENUE IN THE COURTS SITTING IN TOKYO, JAPAN. YOU MUST WAIVE ALL DEFENSES OF LACK OF PERSONAL JURISDICTION AND FORUM NON CONVENIENS. PROCESS MAY BE SERVED ON EITHER PARTY IN THE MANNER AUTHORIZED BY APPLICABLE LAW OR COURT RULE.

USE ONLY IN JAPAN. DO NOT USE THIS SOFTWARE IN ANOTHER COUNTRY UNLESS YOU HAVE A CONFIRMATION THAT THIS SOFTWARE DOES NOT VIOLATE ANY CRIMINAL LAWS OR CIVIL RIGHTS IN THAT PARTICULAR COUNTRY. USING THIS SOFTWARE IN OTHER COUNTRIES IS COMPLETELY AT YOUR OWN RISK. THE SOFTETHER VPN PROJECT HAS DEVELOPED AND DISTRIBUTED THIS SOFTWARE TO COMPLY ONLY WITH THE JAPANESE LAWS AND EXISTING CIVIL RIGHTS INCLUDING PATENTS WHICH ARE SUBJECTS APPLY IN JAPAN. OTHER COUNTRIES' LAWS OR CIVIL RIGHTS ARE NONE OF OUR CONCERNS NOR RESPONSIBILITIES. WE HAVE NEVER INVESTIGATED ANY CRIMINAL REGULATIONS, CIVIL LAWS OR INTELLECTUAL PROPERTY RIGHTS INCLUDING PATENTS IN ANY OF OTHER 200+ COUNTRIES AND TERRITORIES. BY NATURE, THERE ARE 200+ REGIONS IN THE WORLD, WITH DIFFERENT LAWS. IT IS IMPOSSIBLE TO VERIFY EVERY COUNTRIES' LAWS, REGULATIONS AND CIVIL RIGHTS TO MAKE THE SOFTWARE COMPLY WITH ALL COUNTRIES' LAWS BY THE PROJECT. EVEN IF YOU WILL BE SUED BY A PRIVATE ENTITY OR BE DAMAGED BY A PUBLIC SERVANT IN YOUR COUNTRY, THE DEVELOPERS OF THIS SOFTWARE WILL NEVER BE LIABLE TO RECOVER OR COMPENSATE SUCH DAMAGES, CRIMINAL OR CIVIL
RESPONSIBILITIES. NOTE THAT THIS LINE IS NOT LICENSE RESTRICTION BUT JUST A STATEMENT FOR WARNING AND DISCLAIMER.

READ AND UNDERSTAND THE 'src/WARNING.TXT' FILE BEFORE USING THIS SOFTWARE. SOME SOFTWARE PROGRAMS FROM THIRD PARTIES ARE INCLUDED ON THIS SOFTWARE WITH LICENSE CONDITIONS WHICH ARE DESCRIBED ON THE 'src/THIRD_PARTY.TXT' FILE.


--------------------------------------------------------------------


make[1]: Entering directory '/home/vpnserver'
Preparing SoftEther VPN Server...
ranlib lib/libcharset.a
ranlib lib/libcrypto.a
ranlib lib/libedit.a
ranlib lib/libiconv.a
ranlib lib/libintelaes.a
ranlib lib/libncurses.a
ranlib lib/libssl.a
ranlib lib/libz.a
ranlib code/vpnserver.a
gcc code/vpnserver.a -fPIE -O2 -fsigned-char -pthread -m32 -lm -lrt -lpthread -L./ lib/libssl.a lib/libcrypto.a lib/libiconv.a lib/libcharset.a lib/libedit.a lib/libncurses.a lib/libz.a lib/libintelaes.a -ldl -o vpnserver
ranlib code/vpncmd.a
gcc code/vpncmd.a -fPIE -O2 -fsigned-char -pthread -m32 -lm -lrt -lpthread -L./ lib/libssl.a lib/libcrypto.a lib/libiconv.a lib/libcharset.a lib/libedit.a lib/libncurses.a lib/libz.a lib/libintelaes.a -ldl -o vpncmd
./vpncmd /tool /cmd:Check
vpncmd コマンド - SoftEther VPN コマンドライン管理ユーティリティ
SoftEther VPN コマンドライン管理ユーティリティ (vpncmd コマンド)
Version 4.37 Build 9758   (Japanese)
Compiled 2021/08/16 00:45:58 by buildsan at crosswin
Copyright (c) SoftEther VPN Project. All Rights Reserved.

VPN Tools を起動しました。HELP と入力すると、使用できるコマンド一覧が表示できます。

VPN Tools>Check
Check コマンド - SoftEther VPN の動作が可能かどうかチェックする
---------------------------------------------------
SoftEther VPN 動作環境チェックツール

Copyright (c) SoftEther VPN Project.
All Rights Reserved.

この動作環境チェックツールを実行したシステムがテストに合格した場合は、SoftEther VPN ソフトウェアが動作する可能性が高いです。チェックにはしばらく時間がかかる場合があります。そのままお待ちください...

'カーネル系' のチェック中...
              [合格] ○
'メモリ操作系' のチェック中...
              [合格] ○
'ANSI / Unicode 文字列処理系' のチェック中...
              [合格] ○
'ファイルシステム' のチェック中...
              [合格] ○
'スレッド処理システム' のチェック中...
              [合格] ○
'ネットワークシステム' のチェック中...
              [合格] ○

すべてのチェックに合格しました。このシステム上で SoftEther VPN Server / Bridge が正しく動作する可能性が高いと思われ ます。

コマンドは正常に終了しました。


--------------------------------------------------------------------
The preparation of SoftEther VPN Server is completed !


*** How to switch the display language of the SoftEther VPN Server Service ***
SoftEther VPN Server supports the following languages:
  - Japanese
  - English
  - Simplified Chinese

You can choose your prefered language of SoftEther VPN Server at any time.
To switch the current language, open and edit the 'lang.config' file.


Note: the administrative password is not set on the VPN Server. Please set your own administrative password as soon as possible by vpncmd or the GUI manager.


*** How to start the SoftEther VPN Server Service ***

Please execute './vpnserver start' to run the SoftEther VPN Server Background Service.
And please execute './vpncmd' to run the SoftEther VPN Command-Line Utility to configure SoftEther VPN Server.

Of course, you can use the VPN Server Manager GUI Application for Windows / Mac OS X on the other Windows / Mac OS X computers in order to configure the SoftEther VPN Server remotely.

*** For Windows users ***
You can download the SoftEther VPN Server Manager for Windows
from the http://www.softether-download.com/ web site.
This manager application helps you to completely and easily manage the VPN server services running in remote hosts.


*** For Mac OS X users ***
In April 2016 we released the SoftEther VPN Server Manager for Mac OS X.
You can download it from the http://www.softether-download.com/ web site.
VPN Server Manager for Mac OS X works perfectly as same as the traditional Windows versions. It helps you to completely and easily manage the VPN server services running in remote hosts.



*** PacketiX VPN Server HTML5 Web Administration Console (NEW) ***
This VPN Server / Bridge has the built-in HTML5 Web Administration Console.

After you start the server daemon, you can open the HTML5 Web Administration Console is available at

https://127.0.0.1:5555/
or
https://ip_address_of_the_vpn_server:5555/

This HTML5 page is obviously under construction, and your HTML5 development contribution is very appreciated.

--------------------------------------------------------------------

make[1]: Leaving directory '/home/vpnserver'

更新ファイルへの置き換え

vpnserverをストップします

# /etc/init.d/vpnserver stop
Stopping the SoftEther VPN Server service ...
SoftEther VPN Server service has been stopped.

フォルダ名のリネーム

/usr/local# mv vpnserver/ vpnserver-old

新しくできたvpnserverフォルダを移動します

/usr/local# mv  /home/vpnserver/ .

vpnserverの起動

起動スクリプトは以前のまま使えるようですが、コンフィグファイルはリセットされています。

/usr/local# /etc/init.d/vpnserver start
The SoftEther VPN Server service has been started.

Let's get started by accessing to the following URL from your PC:

https://192.168.***.**:5555/
  or
https://192.168.***.**/

Note: IP address may vary. Specify your server's IP address.
A TLS certificate warning will appear because the server uses self signed certificate by default. That is natural. Continue with ignoring the TLS warning.

起動スクリプト詳細はこちらから

コンフィグのリストア

新しくインストールしたvpnserverへ以前のコンフィグをコピーします。

サーバ管理ツールでポート番号443でアクセスするとサーバとして認識します。

新しくパスワードを設定するよう要求されます。

管理マネージャにログインしたら、Config編集を行います

コンフィグを読み込みます

CPU負荷はかかっていない状態へ

vmstat でCPUやそのほか憑っている負荷を見ると、CPUもアイドル状態へ。

# vmstat 2
procs -----------memory---------- ---swap-- -----io---- -system-- ------cpu-----
 r  b   swpd   free   buff  cache   si   so    bi    bo   in   cs us sy id wa st
 0  0      0 3104932 127016 701364    0    0     1     4   54  135 16  9 75  0  0
 0  0      0 3104988 127016 701392    0    0     0     0  544  832  1  1 98  0  0
 0  0      0 3104924 127016 701392    0    0     0     0  529  792  1  1 99  0  0
 0  0      0 3104892 127024 701392    0    0     0    20  542  792  1  1 98  0  0
 0  0      0 3104924 127024 701392    0    0     0     0  536  793  1  1 98  0  0
 0  0      0 3104956 127024 701392    0    0     0     0  545  810  0  1 99  0  0
 0  0      0 3104860 127024 701392    0    0     0     0  544  786  1  0 99  0  0
 0  0      0 3104876 127024 701392    0    0     0    12  554  820  1  1 98  0  0
 0  0      0 3104844 127024 701392    0    0     0     0  555  816  1  1 98  0  0
 0  0      0 3104812 127024 701392    0    0     0    14  551  786  1  1 99  0  0

ルータのCPU負荷も落ちています

ドメインが利用できないため、この資格情報ではサインインできません-解決方法

Windows2016Srvへの共有フォルダへのアクセスができない

ある日、突然Windows2012 Serverの共有フォルダにアクセスできなくなりました。

WindowsUpdateが悪さをしている?

今までアクセスできていたのに、「アクセスできません」は困ったもの。

試行錯誤して、資格マネージャにサーバ情報を入れたりすると、以下のようにメッセージが変わりました。

ドメインが悪さをしてる?

私が利用しているパソコンは Win10 Proが入っていますが、ドメインには参加していません。

ドメイン参加しないまま

\\サーバ名

で共有フォルダを利用しておりましたが、ユーザ名・パスワードの確認なくアクセス拒否されるようになり、途方にくれる状態に

資格情報マネージャを利用して解決

まずは、認証画面を表示させなければ。

資格情報マネージャーを開きます。

コントロールパネルの検索ボックスに文字列を入力

Windows資格情報に追加

サーバ名

ユーザ名@ドメイン名

パスワード

という組み合わせで入力します。ドメイン参加していないパソコンで、ドメインログインができなくなったときによく利用するのがこのユーザ名の書き方です。

ユーザ名@ドメイン名

こののちパソコンを一度再起動します。

再起動すると、無事に共有フォルダへアクセスできるようになりました。

Microsoft アカウントを作成せずにWindows10をインストールする方法 パスワードなしのアカウント作成もできる

強制?Win10インストールを進めるとMicrosoftアカウント作成から免れない。

Windows10のインストールを進めていると、Microsoftアカウントを求められます。

一時的に貸し出しするためのパソコンを作成しており、パスワードなし、ローカルアカウントで利用できるWindowsとして設定したいのですが、なんか、アカウントを作成しなければならず厄介だとおもっていました。

どうにかできないものかと、試行錯誤。以前はできていたのに、どう設定をしていっても、ローカルアカウント作成画面自体が出てきません。

あーとうとうMicrosoftアカウントが強制になってしまったのかと、、、。

解決!ネットに接続しない

ところが、方法がありました。

それはネット接続を行わない!という方法です。Microsoftアカウントはネットのデータと照合します。このネットへの問い合わせができなくしてしまえば、Microsoftアカウントを作成しなくてもセットアップができることがわかりました。

つまり、インターネットに接続しないでセットアップを続けます。

ネット接続をしない形でセットアップを続けると、左下に「インターネットに接続していません」と表示されますので、そちらをクリックします。

ローカルアカウント作成画面

ローカルアカウント作成画面が表示されます。

このままパスワードなしのローカルアカウントの作成可能です。

まとめ

ネット接続しないでWin10セットアップを行う

パスワードなしのローカルアカウント作成可能