WindowsUpdateだけを許可する
この記事では、Paloaltoファイアウォールを使って、WindowsUpdateだけを許可する方法について記載する。
しかし設定方法だけを説明されても、おそらくなぜこんな設定が必要なのか全く理解できないはずだ。
実は、WindowsUpdateだけを許可するなんて、とてもシンプルは話なのだが、実は非常に難しい。
大量にある課題をクリアしていく為に、あらゆる対策を施す必要があるのだ。
この記事では最初に、どんな課題があるのかを解説していく。
なお、この記事では、Paloaltoファイアウォールのアプリケーション機能、そしてURLカテゴリ機能について知っていることも重要だ。
どちらもライセンス不要で、標準機能で使えることがポイントだ。
詳細は別の記事に記載しているので、事前に確認しておくことが望ましい。
アプリケーションについては、最新リストを取得できるよう初期設定は済ませておこう。
WindowsUpdateだけを100%許可するのは難易度スーパー高
WindowsUpdateだけを許可したい、それはかなりシンプルなニーズの一つだ。
しかし言葉で言うほど容易いものではない。
具体的には、大量にある更新先の全てを漏れなく許可し続けることが難しいのだ。
設定方法を解説する前に、今やろうとしていることがなぜ難しいのかを解説する。
何故なら、難しい理由・ポイントを押さえておくことで、解決へ大きく前進できるからだ。
WindowsUpdateを許可し続けることが難しい理由
microsoft公式情報ではWildcard(ワイルドカードを多用している)
まず公式サイトを確認してほしい。
大量にURLがワイルドカード付きで並んでいるのがわかる。
ワイルドカードを含む宛先については、前述のURLカテゴリ機能を使えば解決は可能だ。
しかし、この接続先URL一覧は、今後も変わり続けるものだ。
普遍的なURLではない。
つまり普遍的ではないものに対する予防策をセットで仕込む必要性があることをここでは示唆しておく。
microsoft公式情報ではそもそも足りない
シンプルに、microsoft社公式の宛先だけ許可すればいいと思いがちだ。
結論から書く。
実は全く足りていない。
何が足りていないか、それはakamaiなどの、CDNが含まれていないからだ。
CDNへWindowsUpdateの更新がかかった場合は、microsoft.comといったURLではなく、”akamai”系の宛先に通信しようとする。
もうわかっただろう。
microsoft公式情報には、CDNを考慮して許可するといった視点が一切ない。
よって、MS公式情報では、全く足りていないのだ。
CDNへ更新取得しようとする割合
では、CDNへ更新しようとする割合は、どうだろうか。
これは、可変的なもので、一定の統計的な数字があるわけではない。
接続元の国や、ネットワークの状況、WindowsUpdateサーバ(MS社のデータセンター)の混雑具合によっても、CDNがどれだけ使われるか、常に変動するものだ。
しかし、CDNが一切使われないということも、ない。
通常時でも、全体の1~3割程度はMS社のサーバではなく、CDNと通信しているのだ。
WindowsUpdateは途中で通信が遮断されると、受信側で不整合を起こし、Update自体が失敗する
WindowsUpdateが途中で失敗しても、他の通信できる宛先へ更新がかかれば解決すると思いがちだ。
実際、思い通りに機能することもある。
しかし多くの場合ではそうならない。
何故なら、途中で更新が失敗する=中途半端にWindowsUpdateを取得できてしまっているからだ。
この中途半端な状態が、受信側のPC・サーバに異常を引き起こすのだ。
多くの場合、PC・サーバを再起動するか、WindowsUpdateのサービスだけを再起動するか、そういった処置が必要になることがおおい。
名前解決できない宛先へ更新を取得しにいく
仮に、akamai系のURLを追加で許可したとしよう。
実はそれでも足りていない。
WindowsUpdateの通信先にはなぜか、名前解決ができないグローバルIPアドレスへ更新を取りに行く。
正体はCDNなのだが、CDNでは全てのグローバルIPアドレスにDNS設定が施されるわけではないようだ。
しかもこの宛先IPは、当然ではあるが一定ではない。
むしろ変わり続ける。
だから、そこだけ追加で許可するような作業は一時的な効用はあっても持続的な効用はないのだ。
Paloaltoのアプリケーション(MS-UPDATE)識別でも不十分
Paloalto社のアプリケーションで、「MS-UPDATE」というのがある。
一見、これを許可すると万事解決する気がする。
実は全くそうではない。
Paloalto社も公式で、合わせて「Web-browsing」アプリも許可する必要性があると公開している。
このWeb-browsingとは、要はHTTP通信のことだ。
ここで勘の鋭い人は気付いただろう。
Web-browsingを許可してしまったら、WindowsUpdateとは無関係のWebサイトにも通信できてしまう。
これでは何の意味もない。
しかし、MS-UPDATEアプリについては、WindowsUpdateを遮断するには有効だ。
MS-UPDATEも100%ではないが、前述の通り、一部の通信でも遮断できれば、WindowsUpdateは失敗する。
中途半端にWindowsUpdateを取得できても更新は成功しないからだ。
遮断したいのであれば、MS-UPDATEだけを遮断するポリシーを一行かけばそれで事足りるのだ。
さいごに
ここまでで、WindowsUpdateだけを許可するのが何故困難なのか、ある程度理解頂けただろうか。
次回、この困難な壁を突破しにかかる。
最新コンソールケーブル事情
最近、通称キシメンケーブルと呼ばれる、平たいコンソールケーブルを愛用する往年のエンジニアが驚く製品が登場した。
それが、USBコンソールケーブルである。
名前の通り、最初からUSBタイプのコネクタなので、わざわざキシメンケーブルとUSB変換アダプタ2つを用意する必要がない。
もう、2つ繋げて長すぎて邪魔なコンソールケーブルとはおさらばできるのだ。
最近では、USBポートが標準で備わっているコンソールケーブルがあるのでおススメだ。
といっても、従来のキシメンケーブルは、ネットワーク機器を購入すると、段ボール箱に同梱して送られてくるのが常である。
そういった場合には、従来通りUSB変換ケーブルがあればいいので、その方が安価であるため、それで十分であろう。
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント