sidetech

インフラエンジニアの寄り道メモ。

Cato Networksで無駄なトラフィックを削り取る

いや、果たして、無駄なのだろうか・・・。
仕事中にまさかアダルトなサイトを見に行く人は居ないと願いたいが、性欲を持て余した人々は、ついつい誘惑に誘われてみたくなるものである・・・。

 

と、いうことで、昨今のご時世であれば、中々社内ネットワークからアダルトサイトを見に行こうなんて事は思わないと思うんですけどね。昔はスマフォもなかったしで社内から見ていた人は居たかもしれないけど。私はインフラの人だったのでね・・・そんなログも抑えておりましたよ(笑)。誰が見ていたかっていうのは調べたらすぐわかっちゃう。あー怖い怖い。

 

と、いうことで今日はCatoで「Internet Firewall」の設定です。
領域的には次世代ファイアウォールなんて言われているLayer7解析だったりURLフィルタリングだったりの部分のお話です。

 

f:id:hunter1014:20210211232647p:plain

ま、簡単にさらさらっとね。初期時はFirewall Enabledがオフになっているのでオンにして、あとは書きたいポリシーを書いていくだけです。

で、どうやらポリシーがない状態の時は無条件でAllowみたいですね。

f:id:hunter1014:20210211232939p:plain

ちゃんとAllowも明示的に書けますけど。最近の流行りなのかな、止めたいものだけ書くのって。

f:id:hunter1014:20210211233039p:plain

今回は「Internet Firewall」なので、Destination(To)はInternet固定で、Source(From)が色々とアレンジできます。今回はFromをAnyとしたので全てという扱いになります。
なので、拠点だろうがVPNユーザーだろうが関係なく、全てに共通したルールが書けるというわけですね。
そして、今回のブロッキングターゲットは「ポルノ」です。世界中の男性を敵に回します。余計に犯罪助長するんではないか(考えすぎ)。
まぁ、分かりやすいところでという事で。

f:id:hunter1014:20210211233354p:plain

そして、Catoには「Track」というのがありまして、ここでアラートにしたり、そのままメールを飛ばすことも出来るみたいです。自〇警察みたいな?
「いまみましたね?みようとしましたね?」と、尋問できますね。

「証拠はあがっているんですけど、それでも白をきりますか?」と・・・。

f:id:hunter1014:20210211233728p:plain

こんな感じで、証拠がみられます。

さて、わざとVPN接続中にやったスマフォの方はというと。。。

f:id:hunter1014:20210211234110p:plain

あれれ、証明書エラー? httpsのサイトだったはずなんだけどなぁ・・・(これはちゃんと訳がありますが今回は触れません)。
兎に角詳細を押して危険を承知で進んでみましょう。

f:id:hunter1014:20210211234259p:plain

ちゃんと止められましたね。これで性的なフラストレーションが溜まった事でしょう。

と、ポルノをネタにしましたが、昨今は本当に危険なサイトが多く、マルウェアの感染も怪しいサイトから大抵病気をもらってきます。メールかサイトアクセスかが大半でしょう。思わずクリックしてしまったとか、嘘誘導に引っかかったとかそう言う事が多いので、気が付いたら身代金を要求するランサムウェアに掛かって社内システムが全て人質・・・人じゃないけど・・・そういった故意ではない事故を未然に防ぐためにも、自由奔放な社員がセキュリティという難しい規約を覚えていられるわけでもなく、犯罪者の心理を考えろ・・・と言えるわけでもなく、かといってITシステムをガチガチに守りすぎると人が利用出来なくなるぐらい強固になってしまうので、社内の安全は網で守っときますよ~というのが、こういった仕組みですね。
ウィルスを持ち込まない・撒き散らせないの部分は社内インフラのお仕事になっています。でも膨大な端末、常に更新していくマルウェア定義ファイル、その間に眠っているPCもあったりで最新になっていない状態で使われる時もあったりで。最後の防波堤はインターネットへ抜ける出口の所です。

あの出口は、あっちの出口は、こっちはどうだったっけ?と、出口の数の分、セキュリティを管理し続けてきたインフラ運用者の皆様。
1か所書き換えて全て適用される時代となりましたのでご安心ください。
まぁだからと言って過信はだめですよ。
ちなみにこの対策はですね、帯域へのダイエットにもなるんです。ビジネスアプリケーション帯域として使いたいのに娯楽に帯域使われて、映像が音声が途切れるのを文句行く前に娯楽を止めましょう(笑)止められないなら・・・てことで次はQoSですね。