DeepSecurity考察ブログ(C1WSもあるよ!)

DSとかSecurity関連をメインにしたい感。あと豆腐メンタルだから許して・・・・

【NATにおいての注意】Trend Micro Deep security【iptables】

どうも、こんばんは、こんにちは。

 

今回、Deepsecurityを導入する方、される方への注意喚起です。

 

というのは、NATを使用してる或いは、iptablesを使用している環境へ

DeepSecurityAgentを導入してManagerに登録する際、注意が必要です!

※本件はDeepSecurityAgentのインストールまでは平気です。

 

 

何故なら?

 

iptableのルーティング設定がぶっ飛ぶ!!

 

といっても/etc/rc.d/init.d/iptablesに記述したルーティング自体はちゃんと保存していれば、設定自体は消えないです。

ただ、とある空ファイルを配置しないと、侵入防御ルールに関連する変更などが行われた際に毎回iptablesのルーティングがぶっ飛ぶ可能性があります。

 

現時点で確認できたこと※誤りあったら指摘ください。修正します。。。

 

・侵入防御ルールをオン

ファイヤーウォール機能をオン

・ルールアップデートを実施する。

・上記を既にオンにしている場合でも、設定変更等行うと再現するかも?(未検証)

 

 

※現時点では憶測ですが、上記に関する変更(アップデート)が行われた場合、

 iptablesのルーティング設定が飛ぶ可能性があると思われます。

 

201507/10現在において資料は以下のように記述してますが、

 食い違いがあるようなので注意!

 

 資料:Deep Security 9.5 SP1インストールガイド 基本コンポーネント
 項目:Linuxiptables
 内容:Deep Security 9.5以降では、インストール中にLinuxiptablesが無効になりません。
 http://files.trendmicro.com/jp/ucmodule/tmds/95Sp1/Deep_Security_95_SP1_Install_Guide_basic_JP.pdf

 

 

【回避方法】

※既にやらかした方は【やらかした場合】を参照!

 

空ファイル:「/etc/use_dsa_with_iptables」を作成する。


コマンド
# touch /etc/use_dsa_with_iptables

# /etc/rc.d/init.d/iptables restart

 

さらに詳しい解説は、↓こちら↓ 我が師の記事です!

DeepSecurity - NATサーバにDSAをインストールする(Deep Security 9.5 / DSaaS) - Qiita

 

【やらかした場合】

まずは、念のため、本当にルーティングが吹っ飛んだのか確認。

#service iptables status

 

吹っ飛んでたら・・・↓のコマンドでiptableの設定を確認。

#cat /etc/sysconfig/iptables

 

・ルーティング設定を保存している場合

 

iptablesを再起動してステータスを確認してルーティング設定が読み込まれることを確認。

#service iptables restart

#service iptables status

 

②該当サーバを経由して外に出るサーバよりcurlを叩きこみ応答があるか確認して、応答があれば復旧!

#curl --dump-header - http://www.w3c.org/

 

・ルーティング設定を保存していない場合・・・

 ⇒iptablesの再設定/(^o^)\ナンテコッタイ

 

 

同じ過ちを繰り返さないためにも、【回避方法】の手順で空ファイルを作りましょう。

 

 

 

 

natだけに納得の対応を。

なんとなく言ってみただけです。

 

皆さんごめんなさい。λ....