gorosuke5656の日記

ネットワーク好きで個人で色々勉強しています😀 ですので内容はメーカーの公式見解ではありません🙇‍♀️

NEEDLEWORKを使用してみました!!【ネットワーク通信テスト編:修正Ver】

お疲れさまです!!

今回はテスト自動化ツールであるNEEDLEWORKを使用したネットワーク構成及びネットワーク疎通テストの要領について紹介したいと思います!!

実はもっと前にブログを書こうかなと思っていたのですが。。

バタバタしていてこの時期になってしまいました。。

 

すでに分かりやすい記事もあるので。。。

またまだ出遅れ感が否めませんが。。(;^_^A

 

参考になる記事

ネットワークのおべんきょしませんか?
ネットワークテストを自動化!NEEDLEWORKがスゴイ!

www.n-study.com

お品書きです~

1 NEEDLEWORKとは??

2 NEEDLEWORKの入手方法

3 NEEDLEWORKを使用したネットワーク通信テスト
 (1) 構成図
 (2) Fortigate間のネットワーク通信テストを実施
  【事前準備】
  【NEEDLEWORKの設定】
  【NEEDLEWORKのテスト】

以上になります。

 

 

では始めますね~

 

1 NEEDLEWORKとは??

( https://www.ap-com.co.jp/ja/needlework/ )は、エーピーコミュニケーションズのテスト自動化ツールです!!
本来であれば有償のソフトウェアですが太っ腹な感じのエーピーコミュニケーションズさんが無償版を提供しています~(すごい!!)
下記のサイトでメアドを登録すればダウンロードリンクを送付いただけます(^^;)


皆さんも是非ダウンロードを~

www.ap-com.co.jp

無償版と有償版の機能の違いはこちらに!!

www.ap-com.co.jp

今回は第1弾ということで ”Ping / Tracerouteテスト機能” を使用しました~

Ping / Tracerouteテスト機能について


検証端末が不要になります
NEEDLEWORKがバーチャルホストを生成するため端末を用意する必要がなくなり、
Ping、トレースルートを一括で簡単に行うことが可能です。

エビデンスはテスト完了後に実行結果をまとめて自動で保存されますので、
面倒なエビデンス取りまとめ作業は不要となり、取り漏れによる

再テストといった無駄も未然に防げます。

 

www.ap-com.co.jp

3 NEEDLEWORKを使用したネットワーク通信テスト
  今回はFortigate間通信をNEEDLEWORKのネットワーク通信テスト機能で

       確認しました~

(1) 構成図
 以下のようになります。
 今回はUSB対応のNICを追加して、Fortigateの両端に挟み込む形を

     構成しています!!

 

(2) Fortigate間のネットワーク通信テストを実施
  【事前準備】
  ① Fortigateのinternalインタフェースの設定変更
    (DHCPからStaticにIP設定)

Fortigateにログインしてネットワーク→インタフェースを選択

               →Internal(ハードウェア)を選択

 

② FortiagteでのStaticルートを設定
    (Fortigateから仮想ルータ(VR1)のセグメントに対してStaticルート設定)

ネットワーク → スタテックルーティングを選択 → 新規作成

↑ 192.168.2.0/24 → ネクストホップ 192.168.1.1 で設定

設定後の経路情報を確認します~

 

【NEEDLEWORKの設定】
  ① テスト対象ネットワークとNEEDLEWORKの物理的な接続

今回は内臓NICとUSB増設NICを使用しました!!

イーサネット(内臓NIC)とイーサネット6(USB NIC))はUPしています!

 

② NEEDLEWORK インタフェースの設定

NEEDWORKを起動(network_networktest.exe)を起動します!

NEELDWORKの設定メニューになります!!

 

起動後、インタフェース設定を実施します!

 

設定画面 → インタフェース設定に移行

 

インタフェース設定を選択

該当のインタフェース(eth1/eth2)をホストのNICに対応付けをして更新を押します

 

更新をおすと以下のように反映されます!



 

 

③ NEEDLEWORK 仮想ルータの設定

メニューで仮想ルータを選択 →仮想ルータを追加

まず仮想ルータVR1を作成します!

 

 

仮想ルータ(VR1)に対応するインタフェースとExternal及びinternalを設定します

(externalはFortigateをネクストホップとするデフォルトルートを記述)

  → 必ず更新を押しましょう!!

 

【更新後の設定確認!】

 

 

 

同様に仮想ルータ(VR2)も追加

(スクショは省略します。。。)

 

設定ファイルは保存しておくとよいでしょう!!

設定ファイルを保存

 



拡張子はtomlとなります

ダウンロードフォルダに格納されるようですね!!

 

【NEEDLEWORKのテスト】
 ① ネットワーク通信テストシナリオの作成

 

サンプルシナリオを読み込み!!

 

サンプルシナリオを修正!!

今回のテストシナリオ(送信元 192.168.2.1 → 宛先 200.200.200.1)

csvで作成

 



② ネットワーク通信テストの読み込み及び実行

 

 

テスト結果は以下のようになりました!!

 

終了を押すと試験は停止します

テスト結果は保存ボタンを押すことにより結果を保存できたり

キャプチャを押すことによりスクショもとれます!!

(すごい~)

 

テスト時におけるFortigateでセッション情報も確認できますね!!!

ちなみに。。WAN1からinternalに向けたシナリオを追加したところ。。

 

 

もちろん失敗します。。(そりゃそうですね。。)

とりあえずNEEDLEWORKの基本的な使い方はわかりました~

自宅ラボで結構使える機能が充実しているのでうれしいですね(^^;)

 

今後とも愛用していきたいと思います

エーピーコミュニケーションさんありがとうございます~

 

最後に情報

www.ap-com.co.jp

無料ウェビナー開催されています!!

 

support.needlework.jp

オンラインマニュアルも充実~(^^;)!!!!

 

 

最後までお読みいただきありがとうございました~

 

 

Fortigateでパケットキャプチャした結果をWiresharkで確認する!

皆さんこんにちは

 

今回はFortigateでパケットキャプチャを実施したいと思います!!
色々なサイトで紹介されている。。ので今更感はありますが。。(;^_^A

 

以下のサイトが一番わかりやすいかなと思います~

 

【3分で分かるFortinet】【第3回】FortiGateでパケットキャプチャ

licensecounter.jp

 

お品書きです

1 今回の構成

2 パケットキャプチャからWiresharkによる確認まで

 ① ForitgateにCLIでログインし、パケットキャプチャコマンドを実施
 ② internal配下のホスト(Ubuntu)からCiscoルータにPINGを送出
 ③ ①の出力結果をテキストファイルにコピー&ペーストする。
 ④  Fortinet社提供のPcap変換ツールにより③のテキストファイルをPcapに変換する。
 ⑤ WiresharkでPcapを確認する


以上です
では始めます~

 

1 今回の構成

 

2 パケットキャプチャからWiresharkによる確認まで

 ① ForitgateにCLIでログインし、パケットキャプチャコマンドを実施

 

② internal配下のホスト(Ubuntu)からCiscoルータにPINGを送出

 

 

変換ツールの入手サイト

https://kb.fortinet.com/kb/documentLink.do?externalID=11186

 



 

 ④  Fortinet社提供のPcap変換ツールにより③のテキストファイルをPcapに変換する。

⑤ WiresharkでPcapを確認する

 

今後のLabにおける確認とかにも使用できそうです~(^^;)

ではまた

お読みいただきありがとうございました!!

 

 

Fortigate-60Dの稼働点検を実施しました~(^^;)

皆さんご無沙汰しています~

職場の異動に伴う引っ越し等があり。。ここしばらくは超バタバタしていました~(^^;)

今回、知り合いの方からFortigate-60Dを譲っていいただきましたので
稼働点検兼ねてブログに残そうかと思います!!


お品書きです!

1 Fortigate-60Dとは
2 今回の構成
3 今回の設定
4 通信確認

以上になります!
それでは始めます~

 

1 Fortigate-60Dとは?

FortiGate-60Dは、小規模な拠点、支社、顧客構内設備(CPE)、

および小売業のネットワークに最適なエンタープライズ クラスの包括的な

セキュリティ保護機能を提供します。

 

https://www.nvc.co.jp/pdf/product/fortinet/FGT60DDS.pdf

 

ヤフオクなどで検索していただければけっこうお安く入手できますね~

あとフォロワーさんから情報提供いただいた
Fortigateの機種毎による対応OS一覧もこちらのございます!

gold.nvc.co.jp

★以下の書籍も良さげだと思います!(私も持ってます(^^;))

Fortigateで始める企業ネットワークセキュリティ  日経BP

bookplus.nikkei.com

2 今回の構成

今回の構成は以下の通りです!
基本的な構成になってます

【今回の構成図】

具体的にはinternal側に接続されているホスト(今回はVMのUbunto)からWAN1側

にあるCiscoルータのループバックインタフェースと通信できるかを確認しています
(ちなみにNAT接続です)

 


3 今回の設定

① ホストからFortigateにWebログインします。

  ホスト(Windows)からFortigateにログインします。

  接続するポートはInternalポート(今回は1番ポート)に接続します。

  デフォルトでDHCPによりIPが払い出させるためホスト側はDHCP設定にします。

  ブラウザでhttps://192.168.1.99 にアクセス

   (警告画面がでますがそのままアクセスしましょう~)

  

【ログイン完了画面】

② 基本設定をします。

  ホスト名、時間、タイムゾーン、言語を設定します

【基本設定画面】

③ WAN1のIPアドレスを設定します。

  対向のCiscoルータとの同一セグメント(100.100.100.0/24)に設定します

  

 ④ 以下の設定を確認します。
  (1) ルーティング情報の設定

今回はデフォルトルートを設定

 

(2) Policyの設定

⑦ ホストからCISCOルータのループバックにPINGを送信します。
    Fortigateでセッション情報をCLIで確認します。
              ⇒ NAT経由で接続されていることに注目!!

【通信確認(ループバックアドレス向け)】

ここではCiscoルータに割りあてたループバックインタフェースに対してのセッションを監視するため
以下のようにしました

get system session list | grep 200.200.200.1


CLIによるセッション情報の確認方法は以下にも記載されています!

community.fortinet.com

CLIによるセッション情報の確認】

無事稼働点検できました~

実はxのフォロアーさんからもFortigate2台を譲り受けたので、こちらも活用していきたいと思います!

 

お読みいただきありがとうございました~(^^;)

 

SRXにおけるFirewall機能の説明資料を作成してみました~

皆さまお疲れさまです(^^;)

色々バタバタしていてブログ更新できてません。。
(検証したいことは色々あるのですが。。仕事その他が忙しくて~(^^;)・・)

とある方からSRXFirewall機能を使用したいのですが、Junosが難しい。。との
お話しをいただいたので、つたない知識と経験で恐縮ですが、作成してみました~

 

 

以下に格納しました~

github.com

名称
Juniper SRXにおけるFirewall機能の概要説明.pdf

中身はこんな感じです。。

 

以下資料もご参考にされると良いかと思います

Juniperさん作のFirewall機能の説明

https://www.juniper.net/assets/jp/jp/local/pdf/others/firewall_configuration.pdf

 

juniperさん主催のSRXハンズオンセミナー資料

https://www.juniper.net/content/dam/www/assets/additional-resources/jp/ja/junos-training-srx-course.pdf

 

ハンズオンセミナーは定期的に開催されているみたいなのでお近くの方は是非~

https://register.events.juniper.net/jp-junos-handson

 


どちらもわかりやすい!!!

Ciscoさんも好きですが、Juniperさんもやっぱり良いですね~

ではまた~(^^;)

 

 

 

落ち着いたらしっかり検証してブログ書きます~

自動的にパケットキャプチャを実施するWindowsバッチを作成してみました~(^^;)

皆さまお疲れさまです~

新年早々眠れずに。。夜中にブログを書いてます。。

 

今回はWiresharkを使用して自分のPCから送出されているパケット
を自動で取得するためのWindowsバッチを作成してみました~


今回参考にさせていただきた記事は以下の通りです!

qiita.com


 今回なんだかこの通りに動かなかった(;^_^Aので若干改造。。

 

qiita.com

今回のお品書きです。
 1 今回のバッチ実行イメージ
 2 Tsharkとは?
 3 dumpcapとは?
 4 今回作成したバッチ
 5 バッチ実行例


では始めます~

1 今回のバッチ実行イメージ

2 Tsharkとは?


3 dumpcapとは?

4 今回作成したバッチ

5 バッチ実行例

 

このバッチは今後の自宅ラボでもボチボチ使用していきたいと思います~(^^;)

 

ではまた~

 

 

Cisco IOS-XEでパケットキャプチャを実施する

皆さん新年あけましておめでとうございます~

今年もブログを細々と継続していきたいと思います~(^^;)


今回はCiscoCSR1000Vでパケットキャプチャの機能であるEPC機能を

確認してみたいと思います~

 

正規なドキュメントは以下になるかなと~

www.cisco.com

今回はCisco IOS-XEでの設定例を参考に~

【お品書きです】
 ① 今回の構成紹介
 ② EPCの機能確認及びWiresharkでの確認
 ③ OSPFv3における経路広告をWiresharkで確認

では始めます~

 

① 今回の構成紹介
3台のCiscoCSR1000vでOSPFv3のアドレスファミリー設定によりv4/v6での

動的経路広告を実施してます

② EPCの機能確認及びWiresharkでの確認

今回はR1のGiインタフェースにおいてOSPFv3のパケットに注目してみました~

 

 

OSPFv3はv4/v6ともプロトコル番号が89ですので。。”89”でフィルターします~

 

では取得したパケットをWiresharkで確認してみましょう!

ホスト側にTFTPサーバを立てて、取得したパケットをエクスポートしてみました!!

Wiresharkによりパケットを見てみましょう!

パケットが取得できていますね!!

 

設定した内容については使用しないのであれば削除しておきます!!

③ OSPFv3における経路広告をWiresharkで確認

 

 

 

 

LSAが生成されているのを確認したので早速EPCでパケットを取得してみます!!

 

ではパケットを先ほどの手順でTFTPサーバに送り込み

 その後、Wiresharkで確認してみます!

 

10進数変換と16進数変換は以下の表を参照(;^_^A

 

www.tamatech.co.jp

これでCiscoルータの通信もパケット取得できます~

しばらくCISCO触ってなかったですが、、今後はJunosだけでなくCiscoも触っていこうと思います!!(;^_^A

 

JuniperSRXによるカスタムシグニチャ作成及び適用例

お疲れさまです(^^;)


今回はカスタムシグニチャ作成及び適用例について紹介したいと思います~

 

なんとなくネットでJuniper関連の資料を探していたらこんな資料を発見~


https://www.juniper.net/content/dam/www/assets/additional-resources/jp/ja/idp.pdf

 

資料の中に。。

IDP シグネチャアップデートは、ライセンスが必要なサブスクリプションサービス

です。

シグネチャをダウンロードして使用するには、IDP ライセンスをインストールする必要があります。
カスタムシグネチャのみを使用している場合は、IDP ライセンスは必要ありません。

 

→ え~ カスタムシグニチャ適用ってIDPライセンスが必要と今まで勝手に思ってた   

        ~ビックリ・・


てなわけで。。
自宅ラボのVSRXで早速確認してみましたとさ(;^_^A

 

以下お品書きです。。

① カスタムシグニチャ作成~適用までの流れ
② カスタムシグニチャ作成及び適用例(その1)
  【事前準備】
  【シグニチャ作成及び適用】
  【検知確認】
③ カスタムシグニチャ作成及び適用例(その2)
  Wiresharkによる確認

 

では始めます!!

 

① カスタムシグニチャ作成~適用までの流れ

  ざっくりまとめるとこんな感じかと~(^^;)

 

   〇 事前確認(必要により)

  Wireshark等を使用して検知したい通信内容をキャプチャし、

   特徴的な文字列等をあらかじめ確認しておく

  → カスタムシグニチャ検知条件を作成する際に必要

 

 〇SRXにおいてカスタムシグニチャを作成、投入する

  ・カスタムアタック定義で検知対象とする文字列/条件等を指定する

  ・検知した場合におけるSRXの動作条件を設定し、作成した動作を有効にする

  ・定義した動作でセキュリティポリシーに反映する

     (Syslogに残したい場合はLog設定も忘れずに。。)

  ・対象通信が通過した際にSRXが検知できるかを確認

    確認はコマンドまたはログ

 

 

② カスタムシグニチャ作成及び適用例(その1)

【事前準備】

以下の環境を作りました~

 これでようやく完成~と思ったところ。。

VSRX-2をWebサーバに見立てた通信がうまくいかない。。(Webサイトみれない。。)

 

VSRXの設定やSecurityFlowを見ましたが問題なさげで。。

さてはTCPにおけるMSS値関連かな??(VSRX間はタグVLANで接続しています)
と思い早速、以下の資料を参考にMSS値を設定!

 

セキュリティデバイスのフローベースおよびパケットベース処理ユーザーガイド
 tcp-mss (Security Flow)
https://www.juniper.net/documentation/jp/ja/software/junos/flow-packet-processing/topics/ref/statement/security-edit-tcp-mss.html


で上手く見れました~(^^;)

 

 

シグニチャ作成及び適用】

 



SRXのログ設定についてはこちらもご参照くださいませ~

www.naitwo.me

 

【検知確認】

 

 

 

 

 

 

 

 

〇 検知ログをSyslogサーバに転送する設定及び確認

検知ログを内部ログに残しつつ外部のSysylogサーバ(今回はUbunto)に

ログを転送する設定も実施しました

 

以下のようなイメージです~

 

 

Syslogサーバ(Ubunto)における設定は以下のように

(今回は簡易的な形で(;^_^A)・・・)

 



 

VSRXの設定は以下のような設定を実施しました!!

 

検知ログの再確認前にSyslogサーバを再起動~

(設定ファイル /etc/rsyslog.conf の内容を反映するため)

 

 

無事、Syslogサーバにも検知ログが転送されました~(^^;)

 

③ カスタムシグニチャ作成及び適用例(その2)
  Wiresharkによる確認

 

カスタムシグニチャ適用ってIDPライセンスが必要と今まで勝手に思ってました。。
思い込みは決めつけはだめですね(^^;)

 

とはいえカスタムシグニチャ作成の要領ってあまり公開されてないみたいですかね。。
(どこかにあるのかな??)

 

これからも調べながら手を動かして確認していきたいと思います~

 

ではまた!!

 

最後までお読みいただきありがとうございました~(^^;)(^^;)