2015年05月05日(火) - 15:31 | カテゴリ:
Network
企業で使用していたサーバを破棄する時に、
「情報破棄証明書=HDD初期化証明書」の発行している業者に頼む事は多いと思う。
HDDとか記録装置自体が物理的に目に見えやすく消去ソフトを使える物はそれで良いのだが、
結構問題なのがNW機器のデータ消去とかだったり。
というのも、先日購入したCisco ASA 5520の中に、
前オーナーの設定したコンフィグがそのまま残っていて、
「情報破棄概念とか何処行った…」と実感した為、今回題材にしてみた。
Ciscoルータは[# write erase]を打つとコンフィグが消去されるという十八番があるのだが、
CiscoASAに限っては[# config factory-default]を打たないと完全消去されなくて、
リブートするとstartup configをそのまま読み込む仕様となっている。
その為「Cisco製品なんだから、とりゃえず "write erase" すれば良いかヘ(゚∀゚ヘ)」と思っていると、
設定が削除されない為、本番環境のコンフィグが残ったまま中古市場に出回る事になりうる。
また、パスワードなどは起動時のブレーク信号を送れば、簡単に回避できてしまい、
ターミナルへのログインが可能な為、簡単に中身を覗く事が出来てしまう。
………
廃棄機器をローカル環境で使用していた物ならまだ被害は少ないのだが、
FWの様にインターネットとローカルの境界に設置したり、
専用線を引き込む箇所とかに設置するルータとかだと、結構マズイ情報が載っていたりする事も…
例えば、FWの場合はFWポリシーが乗っている訳なので、
そのスジの人が中身を見るとFW突破方法を編み出される可能性があるし、
ルータの場合はグローバルIPアドレスや、
さらにはルータログインパスワードとかもわかる可能性があるので、
インターネット側から好き勝手されるリスクも出てしまう。
上記は、今回購入したASAの中から出てきたコンフィグの内、本当にやばそうな所を潰した物。
コンフィグレジスタを弄った後に出力した物なので、
コンフィグ上とターミナルのホスト名に違いが出ている。
※現在は上記コンフィグを実機・ターミナルログから削除いたしました
こんな感じに、機材廃棄というのはそれなりのリスクを伴っており、
結構マズイレベルの情報とかが流出する可能をはらんでいる。
なので機材を廃棄する時は一人で全作業(コンフィグ消去)を実施するのではなく、
設定削除した事を2人以上で確実にチェックするか、何かしらの消去証明を出力出来る、
記録媒体消去ツールを使って作業する事を強く推奨する。
…IPAでは、こういう事の注意喚起やっていないのかなぁ(´・ω・`)
« 続きを隠す
2015年05月05日(火) - 15:20 | カテゴリ:
Network
いや、だって… 安かったんだもん(´・ω・`)
という事で"ns-lab BB"で絶賛稼働中のCisco ASA 5510上位機種にあたる、
Cisco ASA 5520を買ってしまった。
筐体自体はASA 5510と同じ物。
ただし、中身は結構変更されていて↓みたいな差分がある。
※ASA 5510はBaseとSecurityPlusで仕様が異なっている
|
ASA 5510(Base)
|
ASA 5510(SecurityPlus)
|
ASA 5520
|
FWスループット
|
300Mbps
|
300Mbps
|
450Mbps
|
同時セッション数
|
50,000
|
130,000
|
280,000
|
インターフェース
|
Fa[x5]
|
Fa[x3], Gi[x2]
|
Fa[x1], Gi[x4]
|
最大VLAN数
|
50
|
100
|
150
|
ハイアベイラビリティ
|
Act/Act
|
Act/Act, Act/Sta
|
Act/Act, Act/Sta
|
という事で、既存環境と入れ替えるとかなりのスペックアップになるのだが、
その分排熱も大きいのでどうしようか考え中。
…知り合いの家にどっちかのASAを設置して、
拠点間VPNでワイワイとラボやるのも面白そうだが、賛同してくれる人を見つけるのが(´・ω:;.:…
筐体内部はASA 5510の時とほぼ同じ。
唯一違う点はASA 5520のリビジョンが初期ロットだった為、メモリスロットが4つある。
また、ASA 5520ではメモリを最大3GBまで積めるらしい。
今回はメモリ入手の関係で2GBにしてみた。NW機器に2GBもメモリ積む事自体がなんか違う気もするが
………
本来なら、ASA 5510を購入してH/A構成の演習とかもやりたかったのだが、
ASA 5520の方が安いという謎な状態だったので、迷わず5520にしてしまったヘ(゚∀゚ヘ)
これからの時期は室温的に常時起動は無理だが、
大規模VPNネットワークを組んで色々と実験をしたい欲が出てきた昨今でした。
« 続きを隠す
2015年04月04日(土) - 22:29 | カテゴリ:
Network
この度、初代"ns-lab BB"のメインスイッチとして頑張ってた「CenterCOM GS908M」と、
2代目"ns-lab BB"サーバセグメントスイッチとして頑張ってた「DGS-3100-24」を手放す事に。
特にGS908Mの方はインテリジェントスイッチとして、
自分は初めて使った機種という事もあり色々と感慨深く(´;ω;`)
と言っても、GS908Mは手元にあと2台(うち1台は現役)あるので、
1台を手放すしても問題は小さいだろう。
今回手放す事にした経緯は、単純に未使用なL2SWの在庫整理をしたかったから。
しかし、対象がかなり古い物である事と、内部を魔改造している為に
オークションに出すのも気が引ける(というよりも面倒くさい)ので、
ギガスイッチを必要としていた知り合いに譲る事にした。
正直、GS908Mは台数持っていても意味無いし… いやはや、昔はRSTPで遊んでいたな~
AlliedTelesis製品は現在進行形で無線APの中継に挟んでいるGS908Mと、
3代目(現)"ns-lab BB"のメインスイッチで使用しているAT-X900-12XT/Sがいるので、
急なAlliedTelesisコマンド復習も問題無いと判断。
DGS-3100-24は、2代目メインスイッチだったので今はいらない子に…
本当ならCatalyst2950と入れ替えてサブサーバセグメントのギガ化に使うべきなのだが、
自宅からCiscoCatalystを全て無くすのは気が引けるので、
やはりDGS-3100-24の使い道がなくなってしまう(´・ω・`)
という事で、2台が次オーナーの元へと行く事になりましたとさ。
コンデンサーとか、排気ファンとか、ヒートシンクとか取っ替えたりで使い込んだ2台。
次のオーナーの元でも元気にパケットのスイッチングをしてほしい所。
« 続きを隠す