FortigateでIPSec VPNの設定

IPsec用のアドレス追加

では、実際にFortigateを使って社員が自宅など外部のPCからVPNで、会社のサーバにアクセスできるように設定をします。

まず、会社のIPSec-VPN用のアドレスを作成します。

① 「ファイアウォール」→「アドレス」→「アドレス」を選択します。

② 「Create New」ボタンをクリックします。

③ 任意のアドレス名を入力します。ここでは、「IPSec-VPN」としておきます。

④ タイプは「サブネット/IP範囲指定」を選択します。

⑤ 「サブネット/IP指定」にVPNで使用するFortigateのアドレス範囲を指定します。ここでは、「192.168.1.0/24」を指定します。

⑥ インタフェースは「Any」を選択します。

⑦ 「OK」ボタンを押せば、会社のIPSec-VPN用アドレスが作成されます。

Fortigate側のIPSec VPNトンネルの設定

AutoIKEを使って、社員PCと会社のサーバのIPSec-VPNを確立します。

① 「VPN」→「IPSec」→「自動鍵(IKE)」を選択します。

② 「フェイズ1を作成」ボタンをクリックします。

③ 名前を決めます(任意)。ここでは、「IPSec_Phase1」としておきます。

④  リモートゲートウェイは、「ダイアルアップユーザ」を選択します。

⑤ IPアドレスは、グローバル固定IPアドレスを利用する場合は、グローバル固定IPを(例:210.147.147.55)、ダイナミックDNSを利用する場合は、ダイナミックDNS名(例:winroad.ddo.jp)を入力します。

⑥ ローカルインタフェースは「Wan1」を選択します。

⑦ モードは「アグレッシブ」を選択します。

⑧ 認証方法は「事前共有鍵」を選択しします。

⑨ 6文字以上の文字列を入力します。

この文字列は、クライアント側の設定をするときに必要ですので、忘れずにメモっておいて下さい。尚、第三者には絶対に見られないようにして下さい。

⑩ あらゆるピアIDを受け入れるにチェックを入れます。

⑪ 「特別オプション」をクリックします。

⑫ 「XAUTH」の「クライアントを有効にする」にチェックを入れます。

⑬ 「ユーザー名」と「パスワード」を入力します。

⑭ 「OK」ボタンをクリックすれば、Phase1が作成されます。

次にIPSec Phase 2を作成します。

① 「VPN」→「IPSec」→「自動鍵(IKE)」を選択します。

② 「フェイズ2を作成」ボタンをクリックします。

③ 名前は任意で指定してします。ここでは、「IPSec_phase2」としておきます。

④ フェイズ1には先ほど作成した名前を指定します。ここでは、「IPSec_Phase1」を選択します。

⑤ 「特別オプション」をクリックします。

⑥ 「リプレイ検知を有効にする」にチェックを入れます。

⑦ 「PFSを有効にする」にチェックを入れます。

⑧ 「DHグループ」は5を選択します。

⑨ 「鍵の有効時間」を決めます。

⑩ 「自動キーアライブ」の有効にチェックを入れます。

⑪ 「DHCP-IPSec」の有効にチェックを入れます。

⑫ 「OK」をクリックします。

VPNトンネルのためのファイアウォールポリシーの設定

VPNトンネルのための専用のファイアウォールポリシーを設定します。

① 「ファイアウォール」→「ポリシー」→「ポリシー」を選択します。

② 「Create New」ボタンをクリックします。

③ 送信元インタフェースは「internal」を選択します。

④ 送信元アドレスは先「all」を選択します。

⑤ 宛先インタフェースは「Wan1」を選択します。

⑥ 宛先アドレスは、先ほど作成したアドレス(ここでは、IPSec_VPN)を選択します。

⑦ スケジュールは「always」、サービスは、「ANY」、アクションは「IPSEC」を選択します。

⑧ VPNトンネルは、作成した「IPSec_phase1」を選択します。

⑨ 「OK」ボタンをクリックします。

これで会社側の設定は終了です。次にクライアント(社員)側のPCにFortiClientをインストールして、設定をすれば、FortigateでIPSecVPNを使った通信が構築できます。

タグ

2011年4月26日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

VPNの基本

VPNとは

拠点間(営業所と営業所)を通信で結ぶ場合、専用線を使った通信が主流でした。しかし専用線はコスト的に割高なので、インターネットを利用して安全な通信ができないのかと開発された技術がVPN(Virtual Private Network)、つまりバーチャル(仮想的)なプライベート空間です。

そのVPNもIP-VPNとインターネットVPNに大別できます。IP-VPNは通信事業者の独自の通信網の中でVPNを構築するサービスで、インターネットVPNは、完全に開かれたインターネットの中で仮想的な空間作り出す技術です。

FortigateのVPNは、IPSec、PPTP、SSLなどの技術を使い、Fortigate本体と、クライアントPCにインストールしたソフトウエアを使って実現するインターネットVPNです。

IPSec VPNとは

IPSecとは、インターネットの標準化団体であるIETFが定めた、インターネットVPNを構築するためのプロトコル(言語又は手順書)の総称です。このIPSecを利用してVPN接続を構築する技術がIPSec VPNです。

IPSecは、OSI参照モデルの第3層(レイヤ3)であるネットワーク層レベルで暗号化、認証、改竄防止をしていますので、IPSecを実現すれば、そのままネットワークとネットワークの通信路に専用線のような安全性をもたらします。

IPSecでは、通信の始めにどんな鍵を使うかを決め、その後にその鍵アルゴリズムで作成した共通鍵を送ります。この作業は、SSLやSSHなどの鍵交換の手順よりもはるかに複雑なため、IPSecでは、この鍵交換だけを独立したプロトコルとしています。これをIKE(Internet Key Exchange)といいます。

さらにIPSecでは、暗号化の手順の為のプロトコルであるESP(Encapsulatig Security Payload)や認証とデータ改竄防止の為のプロトコルであるAH(Authentication Header)を使って暗号化通信を実現しています。

IKEによる鍵交換

コンピュータが複数の相手と同時に暗号化通信を行うためには、相手に応じた暗号鍵を作成し、使い分ける必要があります。その暗号鍵を使い分ける概念がSA(Security Association)といい、そのSAにはSPI(Security Pointer Index)が関連づけられます。

SPIはその通信で使用する暗号鍵などを示す32ビットの整数で、暗号化通信で送信される各パケットに挿入されます。 SAは手動で設定することもできますが、管理を容易にするために自動的に鍵の生成を行うシステムが必要となります。

IKEは、「ISAKMP/Oakley」という鍵交換プロトコルを元にして作成されたプロトコルで、IPSecの標準となっています。

ESPによるデータの暗号化

IKEによって作成されたSPI値を元に暗号化通信が始まります。IPSecの暗号化プロトコルがESPです。 ESPには大別して、トランスポートモードとトンネルモードという2つの暗号化モードがあります。

トランスポートモード

トランスポートモードでは、双方のホストがIPSecマシンとして機能します。ですので、トランスポートモードはイントラネットでのコンピュータ同士の暗号化通信で利用します。トランスポートモードは、ホストとホストの間の暗号化通信路の構築ですので、SSHのような使い方となります。

トンネルモード

トンネルモードでは、IPSecをインストールしたルータをゲートウェイとしてネットワーク同士を接続します。このサイトのFortigateでは、こちらを利用して暗号化通信を行います。トンネルモードでは、送信元ゲートウェイで暗号化・カプセル化したパケットを、受信元ゲートウェイでカプセルを外して中身を内部のネットワークに送ります。

SSL-VPNとは

SSL(Secure Socket Layer)とは、SSLサーバ証明書が導入されているサイトにhttpsから始まるURLでアクセスする事で通信の暗号化及び、ウェブサイトの運営者を確認する事ができるプロトコルのことです。このSSLを利用して安全にVPNを構築しようとする技術が、SSL-VPNです。

SSLが導入されているサイトでは、ブラウザに鍵マークのアイコンが表示されます。あなたの情報は暗号化され通信中の漏洩を防ぐことができます。SSLについては、私の会社のサーバにも導入する予定ですの、後日詳しく記載していきたいと思います。

SSLによるVPNはIPSecのようなネットワーク間の暗号化通信ではなく、ホストとリモートネットワークの暗号化通信の構築です。SSL-VPNの事をリモートアクセスVPNとも呼びます。

SSLサーバをVPN装置とするためには、リバースプロキシ方式が採用されます。そのためSSLゲートウエイをDMZに設置します。

リバースプロキシ方式とは、リモートアクセスからのSSL接続要求をSSLゲートウェイで解釈し、イントラネット内のサーバへのHTTP接続要求に返還してファイアウォールを通過する方式です。

ほとんどのWebブラウザはSSLに対応していますので、Webベースのアプリケーションであれば、SSL-VPNが利用できます。

タグ

2011年4月23日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigaeでファイアウォール設定

ファイアウォールとは

ファイアウォールとは読んで字の如し(防火壁)です。火事(インターネット)から家(LAN)を守るための防火壁です。インターネットには、色々な情報が飛び交っています。しかし、飛び交っているのは情報ばかりではありません。色々な悪意が飛び交っているのです。

  • コンピュータウイルス
  • スパイウェア
  • 不正アクセスと不正侵入
  • DoS攻撃
  • スパム
  • フィッシング詐欺

コンピュータウイルスは、今やほとんどの人に認知されるようになっていますので、知らない人はほとんどいないと思います。悪意のプログラマーは時として、自分の力を誇示するためにコンピュータウイルスを作り、ばらまいています。

コンピュータウイルスは認知度が高まっていますので、ウイルス対策ソフトの導入などで、一応対応できるようになってきていますが、それ以外の不正侵入や盗聴、データ改竄、Dos攻撃などの対策を施している人はまだまだ少数といえるのでは無いでしょうか。

UTM(統合脅威管理システム)

Fortigateはこれらの脅威(インターネット)から家(LAN)を守るためのUTM(統合脅威管理)システムです。UTMはネットワークを流れる通信を監視して、必要に応じて内容をチェックするためのハードウエア、OS、UTMとして機能するためのソフトウエアから構成されています。

ですからFortigateは小さいながらも、ネットワークの脅威に対処するために特化した専用のマシン(コンピュータ)であるともいえます。

ファイアウォールの概要

Fortigateでは、サービスやスケジュールに従ってパケットの流れを制御します。ファイヤーウォールとはソース(入り口)からデスティネーション(出口)に流れるパケットを一定の条件によって制御することです。

実際問題として、知人や親戚は無条件で玄関を開け、家に招き入れますが、業者の人(宅配や点検業者)は身分をチェックしてから玄関の扉を開けるはずです。又、知人でも時間によっては玄関先で応対することがあると思います。

これらの日常のセキュリティと同じようにインターネットの脅威から家(LAN)を守るのがファイアウォールの役目です。

基本的な設定条件

Fortigateでは、ファイアウォール設定をするために、あらかじめ決めておかなければならない最低限のパラメータがありますので、設定前にきちんと決めておいて下さい。

  • 送信元インタフェース
  • 送信元アドレス
  • 宛先インタフェース
  • 宛先アドレス
  • スケジュール
  • サービス
  • アクション

送信元インタフェースとは、データの入口で、宛先インターフェースは出口の事です。送信元アドレスや宛先アドレスをallに設定すると、すべてのアドレスからのすべてのアドレスへパケットを送信することができます。又、特定のアドレスから特定のアドレスへパケットを送信することもできます。

スケジュールの設定では、時間帯や曜日によって通信を制御することができます。サービスで、ANYを指定するとあらゆるプロトコルを通過することができますし、通過するプロトコルをHTTPだけとかFTPだけとか指定することもできます。

内部から外部への接続

それでは、実際に内部インタフェース(internal)から外部(Wan1)に、すべてのアドレスで指定したサービスグループを常に(allways)パケット通過させる設定を作成してみましょう。

1. まず先にサービスグループを作成します。

2. 「ファイアウォール」→「サービス」→「グループ」と選択します。

3. 「Create New」ボタンをクリックします。

4. 「サービスグループの追加」画面でグループ名に「Basis」(任意)と入力します。

5. 「利用可能なサービス」から、複数の項目を選択しますので、[Ctrl]キーを押しながら、DNS、FTP、FTP_GET、FTP_PUT、HTTP、HTTPS、IMAP、NNTP、POP3、SMTP、SSH、UDPをクリックします。

6. 右矢印(→)をクリックして、右のメンバの中に選択した項目を入れます。

7. 「OK」ボタンをクリックすれば、新しいサービスグループが作成されます。

8. 次に、「ファイアウォール」→「ポリシー」→「ポリシー」と選択します。

9. 「Create New」ボタンをクリックします。

10. 「ポリシー追加」画面で以下のように設定します。

11. 「送信元インタフェース/ゾーン」は、「internal」を選択します。

12. 「送信元アドレス」は「all」を選択します。

13. 「宛先インタフェース/ゾーン」には、「wan1」を選択します。

14. 「宛先アドレス」は、「all」を選択します。

15. 「スケジュール」には、「always」を選択します。

16. 「サービス」には先ほど作成した(一番下に作成されている)「Basis」を選択します。

17. 「アクション」には「ACCEPT」を選択します。

18. NAT以下の項目を今は設定しません。

19. 「OK」ボタンをクリックします。

これで、内部から外部へすべてのアドレスでBasisというサービスグループを使って常にパケットを通すファイアウォールの設定が完成しました。

タグ

2011年4月20日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

レンタルサーバーについて

レンタルサーバーとは

さて、今日は私が使っているレンタルサーバーについて少し書いてみたいと思います。レンタルサーバーとは「Webサーバーのディスク領域を貸し出し、顧客に代わってWebページの公開を行うサービス」のことです。

現在、私は3社のレンタルサーバーを利用させていただいています。

  1. 大塚商会のアルファメール
  2. さくらインターネット
  3. ファイアバード

大塚商会のアルファメール

大塚商会のアルファメールは会社の公式ホームページ用に利用していますが、サーバーの設定とかドメイン管理とかすべて大塚商会の営業マンに任せていますので、あれこれサイトをいじろうとしても、なかなか制約があって、面倒くさいものです。

ただ、長年使っていますし、会社の公式ホームページも一定のアクセス数がありますので、他社のレンタルサーバーに変更するには難しいものがありますので、とりあえずこのまま利用し続けることになると思います。

さくらインターネット

次がさくらインターネットです。これは私個人で長年利用しています。レンタルサーバーの大手ですので、回線は安定していますが、初めての人には、管理画面が非常に使いづらいですので、使い方を少し説明したいと思います。

1.さくらインターネットのトップページから会員メニューログインをクリックします。

2.ログイン画面からプロバイダーから配布された会員IDと入会するときに決めたパスワードを入力します。

3. さくらインターネットが使いづらいと感じるのは、会員専用ページにログインする会員ID、パスワードとサーバーをコントロールするためにサーバーコントロールパネルにログインするための、パスワードが違うところにもあります。

4.下が会員専用のページですが、私は最初ここで躓きました。

5.どこを探しても、サーバーにアクセスする事ができないのです。しょうがなくトップページに戻ってよく見ると、レンタルサーバーのメニューバーをクリックすると左のメニューバーに小さく「コントロールパネル」とあるではないですか。

6. 早速、ログインしようとしたらこちらは自分で作成したパスワードではなくて、プロバイダから配布されたパスワードで、書類をひっくり返しながらやっとログインすることができました。

7.  私の思いこみかもしれませんが、会員専用ページにログインすれば、そこからすべて操作出来ると思うのが、普通ではないでしょうか。その辺の仕様は変更してほしいところだと思います。

8. さてこれがサーバーのコントロールパネルですが、プロバイダから配布されたパスワードはいちいち覚えていられませんので、パスワードを変更をした方がいいと思います。

9.それ以外の使い方は、機会があれば紹介したいと思います。

Firebird(ファイアバード)

最後は、現在私が最も利用しているFirebirdを紹介します。Firebirdは名前が気に入って入会したというのも多分にあるとおもいます。

Firebirdはネットオウル株式会社が運営しているレンタルサーバーで 、ほかにもミニバードクローバーというレンタルサーバーがあります。

私が一番気に入っているのは、ほかのサービス(ドメイン取得サービスのスタードメインやSSL証明取得サービスのSSLボックス)との連携がとてもよくて、使い勝手がいいということです。

ただ一つ、初めて利用するときにわかりづらいのが支払い方法です。 ネットオウルでは利用料金の決済方法がネットオウルプリペイドという特殊な方法であるということです。そして、ネットオウルポイントというポイント制度でユーザーに還元しようとしていますが、これが一層わかりづらくしていると思います。

そこで、簡単に決済方法の手順を説明したいと思います。

  1. まず、新規会員登録をします。
  2. 次に、決済登録情報を記入します。
  3. ネットオウルプリペイドを購入します。
  4. それから本契約をします。

※この契約前にネットオウルプリペイドを購入するという方法が、契約前のユーザーにはわかりにくいと思います。又、銀行振り込み以外の決済方法が500円単位ということも、当初使用していない金額が発生する可能性がありますので、新規ユーザーには敷居が高いと思います。ただ、「マンガでわかるネットオウルポイント」とか、理解してもらおうとの努力は見えます。

一度利用してしまえば、簡単なのですが、初めて利用するのにネットオウルポイントを先に購入するのはためらう人が出るのではないかと思います。2週間のお試し期間がありますので、試してから決めるのがいいと思います。

タグ

リモートデスクトップとは

リモートコントロール

リモートデスクトップの設定方法を記載してきましたが、基本に立ち戻って「リモートデスクトップとは何?」というところから書いていきたいと思います。

パソコンから他のパソコンを操作できるのを「リモートコントロール」と言います。リモートコントロールは、コントロールされる側を「ホスト」、コントロールする側を「クライアント」と言います。

この「リモートコントロール」の中で、Windows OSに標準機能としてついているのが、「リモートデスクトップ」です。但し、これは利用できるWindows OS(Professionnal以上)が限られていますので、フリーウェアの「Real VNC」を利用する方法もあります。「Real VNC」を利用したリモートコントロールでは、Windows OSを選ばず動作させることができます。「Real VNC」についてはそのうち利用する機会があれば書いていきたいと思います。「Real VNC」を利用したい方は、こちらのサイトからどうぞ。

リモートコントロールのメリットとデメリット

「リモートデスクトップ」はリモートコントロール機能としていくつもの優れた機能を持ちますが、最大のメリットはレスポンスの良さです。プログラムそのもの(描画エンジン)が優れているほか、Windows OSの標準機能なので親和性が高いといえます。

また、「リモートデスクトップ」はWindows OS設定の「ユーザーアカウント」と完全に連動しますので、ホストコンピューターにログオンするのと同様の感覚で、リモートコントロールができますし、接続ユーザーがあらかじめデスクトップ装飾や解像度設定を行うことができます。

リモートコントロールはローカルエリア内では優れた機能ですが、社内サーバーなどに外部から接続する「遠隔リモートコントロール」では、セキュリティの面でかなりのデメリットを含んでいることを認識して下さい。たとえば、ルーター設定画面にアクセスすることも可能ですし、他のパソコンの共有フォルダにアクセスすることも可能です。

そのため、以前書いたようにリモートデスクトップの接続ポートは変更するようにして下さい。又、接続ポートの番号もパスワードをきちんと管理できる者にのみ教えるようにして下さい。

リモートデスクトップの接続

さて、リモートデスクトップが理解できたところで、リモートデスクトップの接続方法を説明したいと思います。

1. 「スタート」メニューから「すべてのプログラム」 → 「アクセサリ」 → 「リモートデスクトップ接続」と選択します。

2. 「リモートデスクトップ接続」ダイアログのコンピューター名のところにローカルエリア内で使用する場合は、「【ホストのコンピュータ名】:【ポート番号】」と入力します。レジストリでポート番号を変更していない場合は、:(コロン)から先は省略して構いません。

3. ログオン画面が出ますので、ユーザー名とパスワードを入力します。

4. リモートデスクトップ接続が実現します。

ホストで別のユーザーがログオンしている場合

別のユーザーが既にログオンしている場合は、クライアント側ではまず接続を続行するかどうかの警告画面が表示されます。続行する場合は「はい」ボタンをクリックします。

この時、ホスト側でも「切り替えてよいか」の警告が表示されます。ホスト側の接続を許可するか、そのまま放置しているとクライアントから「デスクトップ接続を行うことができるようになります。

リモートデスクトップの操作

Windows OSの操作は通常のデスクトップと同様ですが、ホストが「フルウィンドウ表示」の場合、デスクトップの上部にマウスを近づけるととコンピュータ名を表示したタイトルバーが表示されます。

ホストパソコンの電源操作

「リモートデスクトップ」では、「電源操作」を行うことができません。これは、「クライアントから勝手にパソコンをシャットダウンしてしまうと困ることが起こるので、制限をかけています。しかし、この状態でも「SHUTDOWN」コマンドは有効ですので、コマンドプロンプトから「SHUTDOWN」コマンドによる電源操作は可能です。

リモートデスクトップの終了

「リモートデスクトップ」を終了する場合は、「切断」と「ログオフ」の二つの方法があります。

「切断」は「スタート」メニューの「切断」ボタンをクリックするか、ウィンドウの閉じるボタンをクリックします。「ログオフ」は「スタート」メニューの「ログオフ」をクリックします。

「切断」と「ログオフ」の違いはクライアントユーザーの状態を保持するかどうかの違いがあります。「切断」はクライアントの状態を保持しますので、セキュリティの面を考えると「ログオフ」が好ましいと思います。

インターネット経由でのリモートデスクトップ接続

ローカルエリアでリモートデスクトップ接続するには「ホストのコンピュータ名」を指定しましたが、インターネット経由でリモートデスクトップホストに接続するには「【ドメイン名(又は、グローバルIPアドレス)】:【ポート番号】」と言う形で指定します。


グローバル固定IPを取得していない場合は、ダイナミックDNSで遠隔アクセスドメインを取得して利用する方法もあります。
遠隔アクセスドメインの取得方法はいずれ書きたいと思います。

※尚、インターネット経由での「リモートデスクトップ」の操作は絶対に他人のコンピュータ(ましてやネットカフェ)では行わないようにして下さい。リモートデスクトップ接続は、履歴が残りますので、一度ログオンすると「パスワード」のみで簡単に接続できてしまいます。又、最悪の場合、オプションの「資格情報を保存できるようにする」にチェックが入っていたりすると、パスワードも無しでアクセスすることができます。

タグ

リモートデスクトップのセットアップ

リモートデスクトップの許可

以前、Fortigateのリモートデスクトップの設定方法を記載しましたので、今回は、Windowsでのリモートデスクトップの設定方法を記載します。

Windows7 Professional,Ultimate,Enterpreiseには標準で「リモートデスクトップ」がついています。以下にリモートデスクトップのWindowsの設定方法を記載していきたいと思います。

1. Windows7のスタート画面から「コンピュータ」を右クリック、プロパティをクリックします。

2. 左のコントロールパネルから「システムの詳細設定」をクリック

3. 「システムのプロパティ」の「リモートタブ」をクリック

4. 「このコンピュータへのリモートアシスタント接続を許可する」にチェックを入れる

5. 「リモートデスクトップを実行しているコンピュータからの接続を許可する」にチェックを入れる

6. 最後にOKをクリックすれば、ホストコンピュータの設定は終わりです。

ユーザーアカウントの設定

リモートデスクトップはWindows OSの「ユーザーアカウント」でログオンしますので、既存の「管理者権限」のユーザーアカウントをそのまま利用したい場合には、特に設定を行う必要はありませんが、標準(制限)ユーザーには別途設定が必要となります。

1. 先ほどのシステムのプロパティの「ユーザーの選択」をクリックします。

2. 「リモートデスクトップユーザー」ダイアログで「追加」ボタンをクリックします。

3. 「ユーザーの選択」ダイアログで詳細設定をクリック

4. 「検索」ボタンをクリックします。

5. 検索結果から接続を許可する標準(制限)ユーザーを選択

6. OKボタンをクリックします。

7. 再び「ユーザーの選択」ダイアログに戻りますので、許可するユーザー名を確認してOKをクリックして下さい。

※尚、接続許可したいユーザーがいない場合は、ユーザーアカウントの作成から行って下さい。

ポート番号変更の必要性

「リモートデスクトップ」が利用する標準のポート番号は「ボート3389番」です。ローカルエリアでしか「リモートデスクトップ」を利用しないのなら、ポート番号を変更する必要はありません。

しかし、「リモートデスクトップ」をインターネット経由で利用したいと考えた場合は、必ず標準のポート番号を変更して下さい。標準のポートのままでは、リモートデスクトップホストの存在を知っている者は簡単に、ログオンの画面までたどり着くことができます。

実際のログオンはユーザー名とパスワードが必要ですが、世界中の不特定多数の人が「ログオンの手前」まで容易にたどり着ける状態は、セキュリティの面で好ましくありません。

ポート番号の変更方法

「リモートデスクトップ」のポート番号は、基本設定では変更できません。コンピューターのレジストリを変更する必要があります。レジストリの変更には「レジストリエディタ」を利用します。

尚、実際に変更するポート番号は、他のネットワークで利用するポート番号と重複しないようにして下さい。

※レジストリ操作について

レジストリを不用意に操作したり設定を誤ったりすると、最悪の場合Windowsが起動しなくなったりする可能性がありますので、この点を十分に理解し、リスクを承知した上で以下の設定操作を行って下さい。

1. 「スタート」メニューの「プログラムとファイルの検索」ボックスに「REGEDIT」と入力し、Enterキーを押して下さい。

2. 「レジストリエディタ」が起動したら、左ペインのツリーから「HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥Terminal Server¥WinStations¥RDP-Tcp」と展開していきます。

3. 右ペインの「PortNumber」をダブルクリックします。

4.「表記」欄で、「10進」を選択し、「値のデータ」に任意のポート番号を入力します。ポート番号は0~1023迄は標準化されていますので、1024~65535の間で選択して下さい。

5. 設定を変更したらWindowsを再起動します。

6. 再起動後、コントロールパネルから「Windowsファイアウォール」を選択します。

7. 詳細設定をクリックします。

8. 左ペインの受信の規則をクリックします。

9. 右ペイン(操作)の新しい規則をクリックします。

10. 「新規の受信規則の規則ウィザード」ダイアログでポートを選択し、次へをクリックします。

11. TCPにチェック

12. 特定のローカルポートにチェック

13. 新しく作成するポート番号(先程作成したポート番号)を入力します。

14. 次へをクリックします。

15. 接続を許可するを選択して、次へをクリックします。

16. 「この接続はいつ適用しますか?」のダイアログで全てチェックがついているのを確認して次へをクリックします。

17. 「名前」は自分でわかるように適宜に付けて下さい(例:リモートデスクトップ用)。

18. 完了ボタンをクリックすれば指定したポート番号による通信が許可されます。

タグ

ファビコンについて

ブラウザのお気に入りに登録すると、サイトのタイトルの前にアイコンがついているサイトとついていないサイトがある事に気づき、ちょっと調べてみることにしました。

調べていると、そのアイコンはFaviconといい、「Favicon(ファビコン)とは、ウェブサイトやウェブページに関連づけられているアイコンの事であり、Favorite icon(お気に入りのアイコン)という英語の語句を縮約したものである(ウィキペディアより)」と書かれていた。

さて、語句はわかったが、どうすれば自分のサイトにもそのFaviconというアイコンが表示されるようになるのだろうと思い、色々調べた結果、やっと表示されるようになった。

その表示の方法をメモしておきたいと思います。

  1. まず、画像作成ソフトで16×16ピクセルの画像を作成します。
  2. 作った画像を適当なフォルダ(デスクトップでも可)に保存します。
  3. http://www.favicon.jp/favicon_create/のサイトにアクセスします。
  4. 真ん中あたりに「Favicon自動生成」という箇所があります。
  5. 選択ボタンをクリックし、先ほど作成した画像を選択します。
  6. 「Faviconを作成する」ボタンをクリック。
  7. 作成された「favicon.ico」をサイトのルートディレクトリにアップすれば、表示されます。
  8. 尚、特定のページだけに表示させたい場合は、表示させたいページの<head>タグの中に下記のタグを挿入すれば表示されます。
  9. <link rel=”shortcut icon” href=”ファビコンをアップしたパス(または、アドレス)/favicon.ico”>

※尚、設置方法の詳細は、http://www.favicon.jp/favicon_establishmentで確認してもらった方が正確だと思います。

WordPressには、Faviconを簡単に設置できるプラグインがいくつかあります。実際に導入して使い心地を試してみたいと思います。

  1. WordPressの管理画面からプラグイン→新規追加
  2. キーワードに「favicon」を入力して、検索
  3. Apple touch iconも表示できるAll in one Faviconをインストールし有効化
  4. 設定画面からAll in one Faviconを選択
  5. Frontend PNGのUpload Faviconボタンをクリック
  6. 選択箇所にICO、PNG、GIF及びApple touch icon等があるので、わざわざ.icoに変換しなくても使えるらしい。
  7. favicon用に作成した16×16画像をFrontend PNGにアップロード
  8. Frontend Apple tocuh iconのUpload Faviconボタンをクリック
  9. iphone用に作成した60×60の画像をFrontend Apple touch iconにアップロード
  10. 変更を保存ボタンをクリック

このプラグインは画像サイズを気にせず(四角形で作成した方がいいと思うが)、簡単にアップすることができる(iphone用に用意した60×60サイズの画像だけで可)ので、是非導入した方がいいと思います。

iphoneでも自分のサイトを確認しましたが、確かにiphoneのタッチアイコンも先ほどアップしたFaviconに変更されていました。

google Chorm、Fire Fox、OperaではFaviconは表示されましたが、IE(インターネットエクスプロー)では表示されませんでした。そのうち理由を見つけて修正したいと思います。

IEでの表示方法(2011/5/5追加)

IEで表示されない理由がわかりました。ChromeやFire FoxではPNGファイルやGIFファイルを自動的に変換して表示するみたいですが、IEではファビコンファイルでないと表示されないみたいです。

作成したPNGファイルやGIFファイルをICOファイルに変換して、「All in one Favicon」のFrontend ICOの箇所にアップロードして下さい。ICOファイルへの変換は、こちらのサイトで簡単にできます。

タグ

2011年4月9日 | コメント/トラックバック(0) |

カテゴリー:WordPress

Fortigateでリモートデスクトップ接続

バーチャルIPの設定

Webサーバーの設定と同様に、バーチャルIPを設定しwan(外部PC)からinternal(LAN)へファイアウォールポリシーを適用できるようにします。

  1. ファイアウォール→バーチャルIP→バーチャルIPを選択します。
  2. Create Newボタンをクリックします
  3. バーチャルIP名を記入します(任意)。
  4. 外部PCからアクセスできるようにインタフェースはWan1を選択します。
  5. 外部IPアドレスにはプロバイダからリース(配布)されたグルーバールIPアドレス(固定IP)を指定します。
  6. マップ先IPアドレスにはローカル固定IPアドレスを指定します。
  7. ポートフォワーディングにチェックを入れます。
  8. プロトコルはTCPを選択
  9. サービスポートは標準なら3389を指定
  10. マッピングするボートも3389を指定
  11. OKをクリック

リモートデスクトップはサーバーのアドレスさえ知っていれば、入り口(認証画面)まで誰でも簡単にいくことができますので、できればポート番号は変更しておいた方がいいと思います。ポート番号の変更の方法は後日アップしたいと思います。

リモートデスクトップ接続のアドレスを追加

  1. ファイアウォール→アドレス→アドレスを選択します。
  2. Create Newボタンをクリックします。
  3. アドレス名を記載(任意)
  4. サブネット/IP範囲指定では、グローバル固定IPを指定します。
  5. インタフェースはAnyを選択
  6. OKをクリック

リモートデスクトップ接続のファイアウォールポリシーの設定

最後に、外部PC(Wan)から、LAN(internal)にアクセスできるように、ファイアウォールポリシーを設定します。

  1. ファイアウォール→ポリシー→ポリシーを選択
  2. Create Newボタンをクリック
  3. 送信元アドレスはwan1を選択
  4. 送信元アドレスは、allを選択
  5. 宛先アドレスはバーチャルIPの設定で作成したIP名を指定
  6. スケジュールはalwaysを選択
  7. サービスはTCPを選択
  8. アクションはACCEPTを選択
  9. OKをクリック
  10. Fortigateの本体を再起動すればFortigate経由でリモートデスクトップができるようになると思います。

タグ

2011年4月7日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

FortigateのWebサーバー設定

バーチャルIPの設定

まず最初にバーチャルIPを設定し、あとでwan→dmz1(又は、internal)→ファイアウォールポリシーを適用します。

  1. ファイアウォール→バーチャルIP→バーチャルIPを選択。
  2. Create Newボタンをクリック。
  3. バーチャルIP名をつけます。
  4. ExternalインタフェースをWan1に設定
  5. 外部IPアドレスにプロバイダーから配布してもらったグローバルIPアドレスを設定
  6. マップ先IPアドレスにWebサーバーのローカル固定IPアドレスを設定
  7. ポートフォワーディングにチェックを入れる
  8. プロトコルをTCPに設定
  9. サービスポートとマッピングするポートの両方に80を入力
  10. OKボタンを押す

Webサーバーのアドレス追加

  1. ファイアウォール→アドレス→アドレスを選択
  2. Creat Newボタンをクリック
  3. 任意のアドレス名を設定
  4. タイプはサブネット/IP範囲指定を選択
  5. アドレスの範囲を指定(例:10.10.10.1-10.10.10.1)
  6. インタフェースを選択
  7. OKボタンを押す

Webサーバーの公開ファイアウォールポリシーの設定

最後に、インターネット(wan1)のユーザーが、公開サーバーのWebサイトにアクセスできるようにwan→dmz(internal)のポリシーを設定します。

  1. ファイアウォール→ポリシー→ポリシーを選択
  2. Create Newボタンをクリック
  3. 次のように設定します。
  4. 宛先アドレスはバーチャルIPで設定したIP名を選択します。
  5. サービスはHTTPを選択
  6. OKボタンをクリック

タグ

2011年4月7日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

動画プラグインの導入

Viper’s Video Quicktags

以前、freevideocoding.comという、動画の埋め込みタグを作成するサイトを紹介しましたが、今回は、Viper’s Video QuicktagsというWorPressで動画作成するためのプラグインを紹介します。

プラグインを有効にすると、投稿画面に動画挿入のクイックタグボタンが追加されます。

右はViper’s Video Quicktagsの設定画像です。使用する動画形式と動画サイズを選べます。

ここで選んだ画像形式のクイックタグボタンが、ダッシュボードの投稿画面に追加されます。

タグ

2011年4月6日 | コメント/トラックバック(0) |

カテゴリー:WordPress

このページの先頭へ