SSG5/140での不具合 tcp-syn-check

2016/03/01 ネットワーク

ssg-tcp-syn-check
UTMってもう、ネットワーク機器の主流の一つになってますよね。最近は単純なFireWallを見つけるのが難しいくらい。UTMで以前に良く導入していた機器が Juniper NetworksのSSGシリーズ。
既に販売終了しているこのSSGですが、以前にちょっと不可解な現象が発生しました。

スポンサーリンク

結論としてはデフォルトの設定が、ネットワーク構成によって不具合を起こすことがわかりました。その不具合の内容と対応手順を経緯を残しておくことにします。
本記事はSSG140で発生した内容を元にしていますが、SSG5などSSGシリーズ全般に該当する内容です。

SSGを利用する環境は徐々に少なくなってきていると思いますが、未だに現役で利用している環境も多いはずです。もし、以前から原因不明のネットワークに関する不具合がある場合は、一度、確認して頂きたい点です。

1.不可解な現象の内容

1-1.ネットワーク構成

SSGを導入した環境で、Gatewayが二つあったとします。
例えば、default Gatewayが192.168.1.254/24とします。
これがSSGのtrust側(LAN側)インターフェイスのIPアドレス。
不具合が発生するサーバが配置されているセグメントは、172.16.1.0/24だとします。
172.16.1.0/24セグメントへのルーティングは 192.168.1.253のIPを持つルーターが行っているとします。
[構成図]
ssg-network

1-2.不具合の発生するタイミング

不具合は、上記ネットワーク環境で、Default Gatewayとは異なるゲートウェイの先にあるサーバへアクセスした場合、通信が時折停止してしまうというもの。
問題の現象は 192.168.1.0/24のN/Wから 172.16.1.10へパケットを送ると途中で、タイムアウトしてしまいます。
ssg-packet-loss
不可解なところは、最初はパケットのやり取りには問題ないところで、ある程度時間が経過すると、現象が発生するところです。

2.原因の調査

早速、ネットワークの調査を行いました。
ネットワークのいくつかのゲートウェイや対象機器でパケットキャプチャを実施、その結果、N/W経路のどこかでパケットをDROPしてしまっているように見受けられます。
172.16.1.0/24セグメント経路にあるルーター(192.168.1.253)はパケットフィルタを全く行っていませんので、怪しいのは必然的にUTMに絞られます。
対象をSSGに絞って、このような現象が無いか、ウェブを調査をしてみると、同じような現象が発生したという報告が見つかりました。
SSGのデフォルト設定で、異なるGWへアクセスをした場合、SSGのセキュリティ機能であるtcp-syn-check が有効になっているとパケットをSSG側でDROPしてしまうことがあるとのこと。
(ackだけの非synパケットをDROPする)
早速、SSGのconfigを確認してみると、このチェックがしっかり有効になってます。
有効になっている場合、ssgのconfigに以下の記載があります。

本設定が原因だと思われましたので、設定を変更することになりました。

3.tcp-syn-checkの無効化

3.項目で調査したtcp-syn-checkですが、SSGのWeb GUIからは変更ができないため、対象機器にsshでログインして、以下のように設定を変更します。

設定後、パケットのdropが発生しないことを確認しました。

4.まとめ

このようなネットワーク構成は良くありますので、本不具合に合致する可能性も高いと思われます。もし、SSGを使用していて、同様の不具合が発生したら、本設定を確認してみて下さい。解決できるかもしれません。

システムでお困りのお客様

もし、貴社で、

  • サポート切れのサーバやネットワーク機器の入れ替えをしたいが、どうしたらよいかわからない
  • サーバやネットワークの管理を行う社員がいないため困っている
  • 業務に利用している機器のセキュリティが大丈夫か心配
  • 機器の障害で、業務への影響が発生している
  • 社内の要望に対して、どのようなシステムを導入したらよいか解らない

など、サーバーやネットワーク、セキュリティでお悩みの方、新規のシステム導入を検討中の方。
多くのシステム構築を行い、成功させてきた実績をもつ弊社が、その問題を解決します。
お気軽にお問い合わせ頂き、貴社の問題解決にお役立てください。

お問い合わせ・ご相談はこちらから

Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

Twitterでフォローする Feedlyでフォローする

関連する情報

fortigate-firm-up

Fortigateのファームウェアをconfigを残したままv4.0からv5.0へアップグレードする

Fortigateのファームウェアv4.0は2014年3月でEOLを迎えます。(ファームウェアの

l2tp-vpn-setting

RTX-1200を使ってl2tp/ipsecを設定。自宅・オフィスへ接続する

今やスマートフォンやタブレットは一人に一台という勢いで普及しています。 どこにいても情報を見る

ssg-whitelist

UTM Juniper SSG利用時のホワイトリスト判定について調べてみる

UTMとして導入実績の多いSSG。UTMはUnified Threat Managementの略

rtx1210_firmware

RTX-1200/1210のファームウェアをリビジョンアップする手順

RTX-1200/1210には幾つかの方法でファームウェアを更新することが出来ます。 簡単に行

forti-security

UTM Fortigateのセキュリティを強化する設定

Fortigateを利用しているユーザーは多いと思います。その割に利用されていないのは、Fort

network-NXR2

Century Systems NXRシリーズでl2tp/ipsecリモートアクセス環境を構築

l2tp/ipsecは殆どのクライアント環境で利用できる安全なリモートアクセス用のVPNです。

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク