[Security][Network] Sophos UTM9でHAを組む

重要性が増したSophos UTM9の担当箇所 我が家で長らく動いてるSophos UTM9。Home Editionライセンスで稼働していて、今ではかなり重要な経路を担当しています。 サーバ用デフォルトゲートウェイ Office365向けインターネットゲートウェイ メールゲートウェイ Mastodon/Misskeyインスタンス用対外部Webゲートウェイ 内部ネットワーク/DMZ間のボーダールーター(OSPFv2) IPS にも拘わらず長年シングル構成をとっていました。ってのも、なかなかHA構成を挑んでうまくいくことがなかったのです。 思い立って実行したが・・ はい。そこで思い立ってHA構成を組んでいこうと言うことでリソースを確保して実装しました。・・・が、早速初期化して間もないスタンバイノードのデータがPrimaryデータとして既存UTMに同期される始末・・・。一度は見事にUTMが全面初期化され、いろんな所に通信できなくなりました。 が、3点ほど気をつければきちんと設定できることが分かりました。取り敢えずこれを備忘録として記載しようと思います。

[Microsoft][Cloud] ローカルブレイクアウトを自宅でやってみたい

変動IPだと不都合なことが多い この前、Untangle Firewallを使ってこんなことをしました。 要は、Interlink-PPPoE回線やHomenocの回線は、サーバが主に使用しているということもあり、クライアントで扱う際に結構帯域が狭くなってるのです。特にMisskeyの受信を受け持つInterlink-PPPoEは壊滅的で、下り速度がマジに遅いです。 そこでInterlink-IPoEを恒常的に使うよう、Untangle Firewallを使用しまして、回線を固定しつつセキュリティを保つことが出来たのであります。・・・が面倒なことが起きました。 Office365のSingle SignOnが効かんのです。Azure Portalへのアクセスで常に二要素認証を求められるのです。 原因はそう、IPoE回線が変動IPアドレスだから。故に、自宅のクライアントセグメントからアクセスしようとすると大体IPが都度都度変わります。これは正直困った。事あるごとに認証をせんとイカン。

[Security][Mail] DKIMを使ってみる

メールなりすましを防止する機能の一つ DKIMってなんじゃろ?と思う人や、名前は聞いたことがあるけどよーわからん・・と言う人いるんじゃないでしょうか。実は私も先日まで名前しか知らなくて、「ああ、DKIMね」とか言ってみるものの、単なる知ったかぶりだったりしていたわけですが、この際キチンと覚えていこうということで、自宅環境に対して取り組んでみました。 図にまとめるとこんな感じのようです。 上図にあるように、所謂「送信ドメインのなりすましを防ぐ」ために、「送信ドメインDNSの所有者であるかどうかを確認する」方法なんだと思います。図の下の方にも書いていますが、実はSPFと言う方式もあり、これもDNSと連携して送信元SMTPサーバの確認を行います。 アプローチとしてはSSL証明書のDV証明に似たところがあるかな?と感じますね。

[Office365][Mail]Exchange Onlineと既存オンプレメールアーカイバを連携する

メールアーカイバは既存を使いたい つい先日Exchange Onlineにめでたく切り替わった我が家のメールインフラ。実は既存オンプレ環境から残して使い続けたい機能がひとつだけあり、それがメールアーカイバ機能です。 製品は非常に古いんですが、MailArchiva OpenSource Editionというものを使っているんですが、過去メールの検索や、ドメイン承認メールを拾うのにかなり重宝しており、これは基本的に手元においておきたいデータだったりします。 今回、Exchange Onlineとこのメールアーカイブ基盤の連携をとってみることにしました。