ETERNUS NR1000C series FAQ
7. セキュリティ

Answer

1. NR1000Cのセキュリティ対策はどのようにされていますか？

   以下のような対策が考えられております。

   1. NR1000Cのカーネルは、ファイルサーバNR1000Fでも実績のある独自の「DataOntap」カーネルがベースになっており、TCP/IPスタックは一般的なネットワーク攻撃から防御するように強化されています。
   また、仮に侵入されたとしてもtelnetなどのツールが存在しないため、 NR1000Cを踏み台にして他の装置に侵入することはできません。

   2. NR1000C自身がCode Redに感染することはありません。
   NR1000CでCode Redウイルスに感染したサーバからのリクエストを拒否するには、以下のACLを記述してください。ただし正規表現を用いているので、それなりの負荷がかかります。

   deny server-name www.worm.com
   deny url matches “/default¥.ida¥?NNNNN”
   deny url matches “/default¥.ida¥?XXXXX”

   3. プロトコル、ポート、IPアドレスなどの使用制限について、ACLで設定できます。

   allow http
   allow server-port 8080
   allow client-ip 10.0.0.0/8
   deny any
   など、使用するもののみ許可してください。

2. 対応しているプロキシ認証方法を教えてください。

   NR1000Cの内部データベース、LDAP、RADIUS、NTLM、Windows2000のKerberosで認証可能です。

3. NR1000Cをインターネットに直接接続する場合の留意点や問題点を教えてください。

   FirewallやNR1000C自身の機能によりNR1000Cを適切に保護しないまま、インターネットからアクセス可能なところに設置すると、第三者が世界中のサーバにアクセスする際のフリーなProxyサーバとして自由に利用されてしまいます。
   Proxyサーバは、クライアントの代理としてサーバにアクセスするため、サーバからクライアントの身元を隠す性質をもっています。
   このためフリーなProxyサーバは、他社のサーバへ不正なアクセスをする時の踏み台として利用される可能性があります。従って、Firewallの外、あるいはFirewallの存在しないセグメントにNR1000Cを設置する場合は特に注意をはらって、不要な機能はdisableにし、必要な機能は第三者から不正に利用できないように制限してください。

   また、NR1000CではAccelerator（リバースプロキシ）としてのみ使用したい場合でも、デフォルトでCache（フォワードプロキシ）機能もenableになりますので、明示的にCache機能を制御してください。下記に例を示します。
   ・Accelerator機能のみ使用し、Cache機能を全く使用しない場合は、ACLに「deny not accel」の文を設定してください。
   ・社内ユーザーには両方の機能を許可し、社外ユーザーにはAcceleratorとしてのアクセスのみ許可する場合は、次のようなACLを設定してください。

   allow client-ip 10.0.0.0/8
   allow not client-ip 10.0.0.0/8 and server-ip 10.0.0.4
   deny any

   この例では10.0.0.0/8は社内ネットワークアドレスで、10.0.0.4はAcceleratorのWWWサーバです。
   以上のように、必要最低限の機能で使用し、かつ、ACLを設定してください。

4. NR1000Cでアクセス制御はできますか？

   はい、できます。NR1000CでACLを設定することで、アクセス制御ができます。ただし、よりセキュリティを高めるにはICAPサーバとの連携をお勧めします。

5. アクセスが禁止されているURLを参照した際に表示する画面をカスタマイズすることは可能でしょうか?

   エラーメーセージ画面をカスタマイズする方法とRedirect 機能を用いて 別URL を参照させる方法があります。

   【 エラーメーセージ画面のカスタマイズ方法 】
   1) Appliance Manager のMaintenance > Software - Error Pages を開きカスタマイズしたいページを選択し、自マシンにコピーします。

   ここでは対象エラーメッセージが、
   Forbidden
   You were denied access because:
   Access denied by access control list.
   ですので、対象ページは、403.htmlです。

   2) 対象ページをカスタマイズします。

   3) カスタマイズした後、同じファイル名（403.html）でUploadします。

   【 Redirect 機能でのカスタマイズ方法 】

   1) Appliance Manager のsetup > Access Control > Access Control Listsを
   開きます。

   2) HTTP ACL にアクセス禁止URLを指定します。
   redirect url "http://mycorp.com/index.html"

   3) Default ACL URL にアクセスした際の表示画面のurlを指定します。
   http://mypage.com/index.html

6. Web Accelaration(リバースプロキシ)の構成でHTTPS に対してICAPによるウイルス対策を行えますか？

   可能です。
   Web Acceleration 構成でも ICAP ウイルスチェックサーバとの連携が可能です。
   
   ただし、HTTPS の Web Acceleration 設定につきましては、NR1000C上で HTTPS を終端させる必要があるため、別途HTTPS制御機構が必要となります。 なお、HTTPS は負荷がかかりますので事前検証を行うことをお勧めします。

7. NR1000Cにてユーザー・グループ認証を行う場合、クライアントIPアドレスとユーザー・グループ認証を組み合わせたアクセス制限は可能ですか？

   可能です。以下の例を参考にしてください。

   allow client-ip 206.79.5.0/24 and user testuser
   allow client-ip 206.79.5.0/24 and group testgroup

8. 特定クライアントに対してのみ認証を行う場合の設定方法を教えてください。

   特定クライアントに対して個別にACLで設定してください。

   Setup > Access Control - Access Control ListsのHTTP ACLにて以下のような設定を行います。

   【例】
   auth client-ip 192.168.1.0/24
   （注）client-ip 192.168.1.0/24のリクエストに対して認証を行います。

   auth not client-ip 128.48.37.17
   （注）client-ip 128.48.37.17以外のリクエストに対して認証を行います。

   Setup > Authentication - General
   のRequire authentication for HTTP and HTTPS requestsの設定をONにしてしまうと個別に設定ができませんので、OFFにしてください。

9. HTTPSリクエストに対してNR1000Cで認証させることはできますか？

   できません。

   HTTPSの場合、NR1000Cは"トンネリング"してリクエストをサーバに転送します。
   この際みているのは TCPヘッダー部分のみであり、データ部分に関しては解析しません。従ってトンネリングのリクエストは認証できません。

10. WebServerのIPアドレスをインターネットに公開したくありません。NR1000Cで対応できますか？

    はい、対応できます。
    NR1000Cの接続形態としてAccelerator(ReverseProxy)を用いる場合、インターネットから見てWebServerのIPアドレスは NR1000CのIPアドレスになります。

11. HTTPのX- Forwarded-Forヘッダー(クライアントのIPアドレスを示すヘッダー)をNR1000Cからオリジンサーバ(Webサーバ)へ通知しない方法を教えてください。

    以下の設定を行うことにより、X-Forwarded-Forヘッダーが付加されません。

    5.x 系:
    Appliance ManagerのSetup -> HTTP -> GeneralのClient Privacy Enable: に チェックをいれると、X-Forwarded-Forヘッダーが付加されません。

    6.x 系:
    Appliance ManagerのSetup -> HTTP -> Header and Caching BehaviorのRequest Rulesにおいて、New Ruleを次のように作成します。

    1) Use Wizard Modeにチェック
    2) Rule Enableにチェック
    3) Action(s)にてDelete Headerに"X-Forwarded-for"と記述する
    4) Commit Changesボタンを押下する

12. HTTPのViaヘッダー(Proxyを経由したことを示すヘッダー)をNR1000Cからオリジンサーバ(Webサーバ)へ通知しない方法を教えてください。

    NetCache ManagerのSetup -> HTTP -> GeneralのSuppress Writing to ViaHeader request: にチェックするとリクエストにViaヘッダーが付加されず、Suppress Writing to Via Header response: にチェックするとレスポンスにViaヘッダーが付加されません。

13. 第三者がNR1000CをSpamメールの踏み台にしようとする行為を拒否するための対処方法を教えてください。

    下記のACL欄でアクセス制限を行ってください。
    Setup -> HTTP -> Generalの中のHTTP ACL
    Setup -> HTTP -> Tunnelingの中のHTTP Based Tunneling ACL

    信頼するクライアントだけを許可するACL:
    allow client-ip 192.168.1.0/24
    deny any

    リバースプロキシ (=Accelerator) 以外のアクセスをすべて拒否するACL:
    deny not accel

14. NR1000C経由でWindowsUpdateができません。どのような原因が考えられますか？

    OSがWindows2000以降の場合、Windowsのシステム上の問題により、NR1000Cに限らずProxyを設定していると自動アップデートができないことがあります。

    ICAP連携でウイルスチェックを実施している場合は、ICAP製品の問題でWindows Updateに失敗することがあります。以下の情報を参考に、Windows Updateの際にウイルスチェックを行わない設定をして、回避できるかどうかをお試しください。
    
    Setup -> ICAP -> Access Control List 中のHTTP ACL:欄でHTTPのアクセス制限を行ってください。
    
    icap (req-mode) any
    icap (resp-mode) not server-domain update.microsoft.com and not server-domain windowsupdate.com and not server-domain windowsupdate.microsoft.com