ビジネスセキュリティ

ソート順:
ct-cache%d.f-secure.comへの接続ログについて教えて下さい   Q: この接続は何のための接続ですか? A: スパム検査エンジンのスパムチェック機能により利用される接続です。   Q: 接続はいつ行なわれますか? A: ローカルにSPAM判断として利用可能な、以前のスキャンキャッシュが残っていない場合に   問い合わせが発生します。   Q: 問い合わせが行なわれるための条件、設定は? A: 以下2つの設定が共に有効になっている事により、ct-cache%d.f-secure.comが利用されます > [SMTP設定]>[スパム検査]:有効 (spam_check=yes) > [共通設定]>[Spam Detection Engine]:有効 (spam_commtouch=yes)   ※上記設定に関わらず、弊社より依頼致します診断情報の取得時にもct-cache%d.f-secure.com   への問い合わせ確認のスクリプトが動作致します。
記事全体を表示
現象 SMTP でメールの送信時に送受信が拒否される。   また、以下のエラーメッセージがメーラ上に表示されるか、Linux ゲートウェイの直前のメールサーバからエラーメールとして送信者などに送られる。    550 Relaying denied. (F-Secure/virusgw_smtp/223/hostname) 診断 受信先 (RCPT) ドメインの制限を有効にしているため、中継が拒否された場合に表示されます。 解決策 インターネットからの特定ドメインあてのメールを受信する場合、該当ドメインを受信先 (RCPT) ドメインの制限に指定してください。   社内のクライアントから送信する場合など、特定のクライアントからの中継を許可する場合、接続元の該当クライアントを [LAN内のホスト] に指定し、[LAN内からの接続時の設定] を有効にしてください。 NAT ルータなどで接続元アドレスが変換されている場合や、他のメールサーバを経由して接続している場合、Linux ゲートウェイから見た接続元アドレスを指定してください。 なお、接続元アドレス (又はホスト名) は Linux ゲートウェイのアクセスログで確認いただけます。   例: (192.168.xx.xxからの中継を許可する場合)      LAN 内からの接続時の設定: チェック        LAN 内のホスト: 192.168.0.0/255.255.0.0   インターネット上のクライアントから接続する場合、IP アドレス/VPN/SSH/SMTP認証/PbS(POP before SMTP) 認証などのご利用も検討いただけます。
記事全体を表示
質問 FTP で、接続、及び、ログインはできるが、ファイル一覧表示・ファイル送受信で停止する、又は、拒否される。(FTP プロトコルの LIST, NLST, RETR, STOR, STOU コマンドが実行できない) 他のプロトコル (HTTP, SMTP, POP) では問題なく動作する。 回答 [原因と対応] FTP プロトコルでは、接続・ログイン時は一つの TCP 接続 (コントロールセッション) のみを利用します。 しかし、ログイン後、ファイル一覧表示・ファイル送受信 (FTP プロトコル のLIST, NLST, RETR, STOR, STOU コマンド実行時) は、別のセッション (データセッション) を利用します。 そのため、ファイル一覧表示・ファイル送受信を行うには、コントロールセッションとデータセッションの両方について、クライアント => Linux ゲートウェイ => サーバ の間で通信ができる必要があります。 ファイアウォールの設定でこのような通信を拒否していないかご確認ください。 特に、ファイアウォール等で Passive モードでの通信のみ許可している場合、Active モードでの通信ができないことがあります。 この場合、ファイアウォールの設定を確認するか、Passive モードでご利用ください。   また、透過型でご利用の場合、FTP クライアントからのコントロールセッションの接続先は FTP サーバに、FTP サーバから見たコントロールセッションの接続元 IP アドレスは FTP クライアントになります。 しかし、通常、FTP のデータセッションについては、Passive モードではクライアントからの接続先アドレスと Linux ゲートウェイからサーバへの接続元アドレス、Active モードではサーバからの接続先アドレスと Linux ゲートウェイからクライアントへの接続元アドレスが Linux ゲートウェイのアドレスになります。 FTP の通信ができない場合、このような場合にファイアウォールが拒否していないかご確認ください。   Linux ゲートウェイからサーバへの接続時、および、FTP のデータセッションで IP アドレスを保持する必要がある場合、tproxy パッチ適用済みカーネルが必要になります。
記事全体を表示
質問 fetchmail で POP によりメールを受信した場合、ウィルス・スパム検査が行えません。 回答 [原因] fetchmail はデフォルトでは "TOP" コマンドによりメールの取得を行います。 一方、"TOP" コマンドは通常ヘッダ部分の取得に用いられるため、Linux ゲートウェイでは検査対象としていません。そのため、ウィルス・スパム検査が行われません。   [対応方法] fetchmail コマンドは、-a (-all) オプション、又は、-k (-keep) オプションを付けて実行することで、通常の "RETR" コマンドを発行するようになります。 (設定ファイル (.fetchmailrc) 中では、それぞれ "fetchall", "keep" キーワードを用います。) ウィルス・スパム検査を行う場合、いずれかのオプションを付けて受信していただきますようお願いいたします。
記事全体を表示
質問 NIC (LANカード) の TSO (TCP Segmentation Offload) オプションが有効な場合、サーバからの応答がない、又は、応答が遅いことがあります。 また、パケットキャプチャ結果に以下のエラーが発生し、直前のパケットのサイズがMTU (通常 1500 程度) より大きいです。    Destination unreachable (Fragmentation needed) NIC の TSO オプションが有効な場合、dmesg (診断情報の system/dmesg.txt) に以下の ようなメッセージが表示されます。   eth0: ... TSO ON   回答 [原因] NIC の TSO が正常に動作していない可能性があります。   [対応] 以下の手順で TSO を無効にして動作するかご確認ください。   1. TSOを無効にし、エラーが表示されないことを確認する。      # /sbin/ethtool -K eth0 tso off      (TSO機能がサポートされていない場合、以下のエラーが表示されます。)      (Cannot set device tcp segmentation offload settings: Operation not supported)     2. 起動時に無効にするため、以下のコマンドを/etc/rc.d/rc.localに追加する       # /sbin/ethtool -K eth0 tso off     3. サーバを再起動し、dmesgコマンドにて以下のようにTSOが無効になって        いることを確認する。       例: eth0: ... TSO OFF
記事全体を表示
現象 アンチウイルス Linux ゲートウェイで、HTTP プロキシ設定での検査除外設定を IP アドレスで指定すると検査除外されない 診断 Linux ゲートウェイの上位に別のプロキシが有る場合、又はセルフプロキシとしている場合には、Linux ゲートウェイから見て接続先 IP が上位プロキシのアドレスとなります。このため、検査除外対象のホスト名に設定したサーバ IP と一致しないために、検査除外が機能しないように見えます。   Linux ゲートウェイの上位にプロキシが無い場合には、検査除外対象設定のホスト名に IP アドレスを設定しても、対象ホストに対する通信でのウィルススキャンの除外が機能します。 解決策 検査除外対象設定のホスト名は名前解決される FQDN で設定をすることで正常に動作します。   また、Linux ゲートウェイの稼動マシン上で利用環境に適合した DNS が正しく設定されていることが重要になります。   【参考ログ】 検査除外されない場合(GETとDIRECTのIPアドレスが同一でない) 1327996843.799   9153 192.51.16.1 TCP_MISS/200 227 GET http://100.100.100.100/ - DIRECT/127.0.0.1 text/html DETECT-STAT:CLEAN::::: ACTION:NONE: PROXY-STAT:http:0:5547:192.51.16.1:1:1:0:: PROTOCOL-STAT::: PROXY-ERROR::   検査除外される場合 1328058010.794    494 10.70.72.46 TCP_MISS/200 98204 GET http://203.216.243.240/ - DIRECT/203.216.243.240 text/html DETECT-STAT:CLEAN::::: ACTION:NONE: PROXY-STAT:http:3:5962:10.70.72.46:1:0:0:PASS_TO: PROTOCOL-STAT::: PROXY-ERROR::
記事全体を表示
質問 スパム検査のカスタム設定で、件名や本文に日本語を指定した場合に検出されないことがある。 回答 日本語で設定した場合、文字列の比較は JIS コードで行います。 そのため、他の文字コード (Shift-JIS, UTF8 等) のメールの場合はそのままでは検出できません。 他の文字コードで検出する必要がある場合、直接文字コードを指定する必要があります。 例えば、Shift-JIS で書かれた「完全無料」を検出する場合、以下のように指定してください。 \x8a\xae\x91\x53\x96\xb3\x97\xbf
記事全体を表示
質問 Linux ゲートウェイ利用時に、/var/log/messages に以下のメッセージが出力されます。   fsasd[4xx6]: Threat for virus could not be determined at this time. (unknown) 回答 メッセージそのものはスパムエンジンによる検知プロセスにて、クラス付けをする際に「unknown」クラスと判断される場合に出力されるログとなりますが、残念ながらクラスのレーティング基準についての情報を公開しておりません。   本メッセージによる、スキャン動作そのものには影響はありません。本メッセージは製品のデバッグログレベルのメッセージに近いもので、本来はお客様にてご確認頂く必要性は無い性質のものとなりますが、現時点ではこちらの出力を停止する機能はありません。
記事全体を表示
質問 スパム検出エンジンでウィルスと判断されたメールは、どのような処理がされますか? 回答 スパム検出エンジンでウィルスと判断されたメール(ThreatLevel が 2 (ウィルスの可能性あり) と 3 (ウィルス) として判定されたもの)については検査結果についても [INFECTED] (ウィルス検出) として分類されるため、スパム検査の動作設定ではなく、ウィルス検出時の動作設定に従って処理されます。   下記ログは「ウィルス検出時の動作:削除」「スパム検査:件名変更」と設定した場合、下記のように [SPAM_CT] でウィルスと判定され、メールは削除 (blackhole) となり、スパムと判定されたメールは件名変更 (CHANGE_SUBJECT) となります。   削除 ログの例 1364446311.151 10755 xxx.xxx.xxx.xxx TCP_MISS/000 110825 GET mail:xxxxx@xxxxx.xx.xx - DIRECT/127.0.0.1 multipart/related DETECT-STAT:INFECTED:VIRUSGW/SPAM_CT/3/3/str%3d0001.0A3C0009.5153CC75.001A%2css%3d3%2cvtr%3dstr%2cvl%3d3%2cfgs%3d16:::: ACTION:BLACKHOLE: PROXY-STAT:smtp:3:12296:xxx.xxx.xxx.xxx:1:0:214:: PROTOCOL-STAT:xxxxx@xxxxx.xx.xx:<8c3401ce2baa$a8548870$90b01dca@Jordon_Briggs>: PROXY-ERROR::   件名変更ログの例 1364446317.876 5482 yyy.yyy.yyy.yyy TCP_MISS/000 966 GET mail:xxxxx@xxxxx.xx.xx - DIRECT/127.0.0.1 text/plain DETECT-STAT:SPAM:VIRUSGW/SPAM_CT/4/0/str%3d0001.0A3C0009.5153CA7C.0006%2css%3d4%2csh%2cpt%3dR_291279%2cfgs%3d0:::: ACTION:CHANGE_SUBJECT: PROXY-STAT:smtp:1:12294:yyy.yyy.yyy.yyy:1:0:7:: PROTOCOL-STAT:xxxxx@xxxxx.xx.xx:: PROXY-ERROR::
記事全体を表示
現象 アンチウイルス Linux ゲートウェイを利用していると、https サイトのアクセスが遅い感じがします。 診断 お客様の環境によっては、RFC1323 の TCP ウィンドウ スケーリング (一度に送れるウィンドウの大きさを決める) を無効/有効に変更することで、調整出来る場合があります。   デフォルトではこの設定は有効になっていますが、理論上は以下のような効果が期待されます。   ・有効にすると、64K 以上の TCP window を使えるようになる。   ・無効にすると、window size が最大でも 32768 に制限されるため、伝送速度が落ちることがある。   ・大きいサイズのファイルを FTP/SCP/HTTP などでやりとりする際、うまく転送出来ない場合にはこの設定を無効にすると改善されることがある。 解決策 /etc/sysctl.conf に以下設定値追加することで無効になります。 net.ipv4.tcp_window_scaling = 0
記事全体を表示
アンチウイルス Linux ゲートウェイ製品 (LinuxGW) の FTP プロキシ設定で、親サーバにダミーアドレスを指定してクライアント側の FTP アプリケーションを下記のように設定することで、任意の FTP サーバへアンチウイルス Linux ゲートウェイ経由で接続することができます。 ※LinuxGW の上位に FPT サーバが複数ある場合、FTP サーバ側の待ち受けポートを統一する必要があります。   LinuxGW の設定  「FTP設定」-「親サーバ」    ・ホスト名:ダミーのIPアドレスを設定    ・ポート番号:接続先サーバのポート番号を設定 クライアント側(FFFTPの場合)  「接続」-「ホストの設定」       ・ホストの設定名(T)       :任意のホスト名       ・ホスト名(アドレス)        :LinuxGWのIPアドレス       ・ユーザ名(U)            :ユーザ名@接続先FTPサーバのIPアドレス       ・パスワード/パスフレーズ(P):パスワード    クライアント側(コマンドプロンプトの場合)  >ftp     ftp> open [LinuxGWのIPアドレス] [ポート番号]   User:[ ユーザ名]@[接続先ftpサーバのIPアドレス]   Password:[ パスワード]
記事全体を表示
質問 Linux ゲートウェイ製品の rpm 形式インストールした環境において、インストールした rpm パッケージ名を忘れてしまいました。 どの rpm パッケージをインストールしたのかを確認方法はありますか? 回答 Ver 5.xx では下記コマンドで確認することが可能です。 # rpm -qa | grep fsigk   上記コマンドを実行して rpm パッケージが確認できた場合は、rpm 形式でインストールされたことが分かります。一方、rpm パッケージが確認されなかった場合は、tar 形式でインストールされたと判断することができます。  
記事全体を表示
質問 Linux ゲートウェイのカスタム条件のメールアドレスに正規表現を使用出来ますか? 回答 Linux ゲートウェイのスパム判定ではメールアドレスに正規表現が使用できませんので、任意の文字列の指定ができません。   半角スペースに関しては、文字列の途中であれば、そのままスペースを記載して頂くことで半角スペースを認識します。また、16 進表記でも記載可能です。 但し、アドレスの先頭文字が半角スペースの場合は 16 進表記で記載して頂いても認識できません。   例)共通設定 - スパム条件の検査文字列 test @
記事全体を表示
質問 スパムエンジンのキャッシュ及び動作について、教えてください。 回答 ■スパムエンジンのキャッシュはどのように使用されますか?   キャッシュは、インターネット経由でデータセンターから分類結果を受け取ってからローカルキャッシュに保存されます。 Linuxゲートウェイでデータを受け取ると、スパムエンジンにメッセージが渡され、最初にローカルキャッシュをチェックします。 ローカルキャッシュにマッチしなかった場合にインターネット経由でデータセンターにアクセスします。   ■スパムエンジンのデータベースはいつダウンロード・アップデートされますか?   データベースは使用されていません。基本的にコムタッチデータセンターにリアルタイムでアクセスする仕組みになっていて、分類に関してはローカルキャッシュにデータが保存されています。   ■どのような場合にキャッシュが使用され、どのような場合にネットワークリクエストが発生しますか?   メッセージがスパムエンジンに渡されると、最初にローカルキャッシュによって分類され、ローカルキャッシュに相当する分類データがなかった場合には、ネットワーク経由でデータセンターに送信されます。 データセンターからのレスポンスがあると、Linux ゲートウェイに結果を渡し、その後ローカルキャッシュにデータが蓄積されます。   ■基本的にスパムエンジンはローカルキャッシュを使用しますか、それともネットワークリクエストによる結果を使用しますか?   約 85 %程度はローカルキャッシュが使用されています。
記事全体を表示
質問 アンチウイルス Linux ゲートウェイで、smtp プロキシを再起動すると配送中のメールへの影響はありますか? 回答 アンチウィルス Linux ゲートウェイ製品の smtp プロキシのプロセス再起動時には、プロセスが行っている処理が完了した時点でプロセス停止致しますので、メールがスキャンされなかったり、処理中のメールがロストしたりすることはありません。 プロセス起動中はクライアント側で送信が待たされ、プロセス起動後に順次処理が行われます。
記事全体を表示
質問 アンチウィルス Linux ゲートウェイ製品での管理画面ログイン時のアカウント/パスワードについて、文字数等制限事項はありますか? 回答 アンチウィルス Linux ゲートウェイ製品での管理画面のアカウントは「admin」で、変更は行えません。 パスワードの変更は、管理画面ログイン後、画面一番上の「管理パスワード」から変更することが可能です。 文字数の制限は32文字で、「'」「"」以外の文字が使用できます。
記事全体を表示
質問 Linuxゲートウェイで、bspamエンジンの適用・動作を確認する方法を教えて下さい。 回答 bspamエンジンが適用されると、以下フォルダがシステム上に確認できます。   install_dir/databases/commtouchunix.xxxxxxxxxx/libfsbts.so ※xxxxxxxxxx は、1411454529 以降の値   エンジンの動作は、/var/log/messages に出力される以下のログの有無にて確認可能です。   fsbspamd: started   bspam エンジンは 'F-Secure Commtouch Update 2014-09-23_01' (commtouchunix version 1411454529, 日本時間 2014年9月24日 12:00 以降配信開始) 以降で配信されています。 また、この時間以降にダウンロードされる fsdbupdate9.run にも含まれています。     
記事全体を表示
質問 Linux ゲートウェイで Bspam エンジンの動作状態を確認する方法を教えて下さい。 回答 以下コマンドにて確認可能です。   # cd インストールディレクトリ/databases/commtouchunix.xxxxxxxxxx # python fsbspamd-test.py --stats インストールディレクトリ/fsasd-socket   ※xxxxxxxxxxはタイムスタンプとなります。最新のものにcdして下さい。   出力例: {"format_id":"fsbspamd stats 1.0","pid":31077,"cwd":"/opt/f-secure/fsigk/databases/commtouchunix.1411454529","uptime":814.624,"curr_conn_count":1,"xact_begin":196,"xact_end":195,"spam_count":8,"error_count":0,"avg_scan_duration":2.516,"max_scan_duration":5.041}   上記では、1 通の平均スキャン時間が 2.516 秒、最大で 5.041 秒となります。   上記出力がされない場合、初回の Bspam 適用後の動作が不完全の可能性があります。 以下コマンドにてサービス再起動後、改めてご確認下さい。   # cd インストールディレクトリ # make restart   ※数秒間の遅延が生じます。
記事全体を表示
質問 Linux ゲートウェイの Bspam サーバへの接続動作と設定を教えて下さい。 回答 Linux ゲートウェイの Bspam サーバへの接続動作と設定の関連はバージョンにより異なります。   Bspam 動作を有効にするには、それぞれのバージョンの設定ファイル (virusgw.ini/fsigk.ini) にて以下が設定されている必要があります。 v4.x, v5.10 は webUI にて以下の設定が変更可能です。   v5.00 以前: spam_commtouch=yes と [smtp/pop] spam_check=yes v5.10      : [smtp/pop] spam_check=yes のみ ※spam_commtouch=yes には未依存   いずれのバージョン、いずれの設定の場合も、fsasd (スパムスキャンデーモン) 起動時には、サービス初期化のため 1 分程度の間 Bspam サーバへの接続試行を致します。
記事全体を表示
Linux ゲートウェイでは解説書に記載されている通り、ログファイルのローテーション設定ファイルが提供されています。 ここで、以下のファイルについてはデフォルトのローテーション設定ファイルに含まれていませんので、長時間使用すると、既存ファイルに情報が出力され続け、結果としてログファイルが肥大化することになります。   fsaua.log fsauadbg.log aua_api.log dbupdate.log fsupdated.log これらのログもログのローテーション設定に追加して運用してください。 既存のログのパス一覧に追加するだけで十分です。   5.x の場合 /opt/f-secure/fsigk/log/fsaua.log /opt/f-secure/fsigk/log/fsauadbg.log /opt/f-secure/fsigk/log/aua_api.log /opt/f-secure/fsigk/log/dbupdate.log なお、上記ファイルは、Linux ゲートウェイ 5.20 でログローテーションされるように変更される予定です。   注意 fsaua.log は自動更新エージェント fsaua のアクティビティログです。 fsauadbg.log は fsaua のデバッグ出力用ログです。デバッグ出力設定を行っていない通常時にもこのファイルは存在しますが、 このファイルのサイズはゼロです 。弊社からの指示で必要に応じてデバッグ出力設定を行った場合のみ、デバッグ用メッセージがこのファイルに記得されます。 aua_api.log はパターンファイル取得を行う fsaua と、取得したパターンファイルを使ったスキャンエンジンのデータベース更新を行う fsupdated との通信におけるエラー情報を記録します。 dbupdate.log はパターンファイル更新を行う処理におけるアクティビティログです。
記事全体を表示
質問 Linux ゲートウェイで open_tcp_server エラーが大量に発生しました。 回答 上位ルータ、あるいはネットワーク等に問題があった場合このような現象が発生致します。 本ケースでは TCP フィルター処理の上限を超えたため、8000 セッション以上のセッションが破棄されていました。 基本的には診断情報より個別に製品の動作を確認させて頂きますが、下記ワークアラウンドで回避できたケースも御座いました。  【ワークアラウンド】  /opt/f-secure/fsigk/conf/fsigk.ini  内の [http] セクションに以下行を追加  timeout_inactive=yes    その後、インパクトの少ない時間帯に、以下手順でサービスのリスタート   Linux ゲートウェイ 5.x の場合 (インストール先を変更していないデフォルト設定の場合)  # cd /opt/f-secure/fsigk  # make restart
記事全体を表示
現象 システム異常終了後、Linux ゲートウェイのスパム検査プロセス fsasd (fsasd-lnx32) プロセスが起動しなくなりました。 http/smtp/pop/ftp のプロキシプロセスや、パターンファイルの更新、スキャンは正常に行われています。fsasd だけが起動しません。 fsasd プロセスがいないと、メールのスパム検査が行えません (マルウェアのスキャンには影響はありません)。 診断 fsasd (fsasd-lnx32) 起動時に /var/log/messages に以下のメッセージが記録され、プロセスが終了しています。     fsasd-lnx32 : fsbspamd: failed to bind server socket (Address already in use) 解決策 システムの異常終了、および、fsasd-lnx32 の親プロセス (子プロセスを監視し、子プロセスの異常終了時には子プロセスを再起動します) の異常終了 (SIGKIL での停止等) が発生すると、fsasd-lnx32 のソケットファイル fsasd-socket が残ってしまいます。 fsasd-lnx32 起動時に fsasd-socket ファイルが残存していると、 Address already in use のメッセージで fsasd-lnx32 は異常終了します。   次期バージョンにおいてはこの fsasd-socket が残存していても適切に処理して、fsasd-lnx32 が起動できるように対応します。   暫定対処として、「診断」のメッセージが記録されて、fsasd-lnx32 が起動しない場合は、以下のように一旦 fsasd-socket ファイルを root ユーザにて削除し、fsasd (fsasd-lnx32)  を手動で起動してください (システムの再起動は不要です)。   0. fsasd-socket ファイルを確認する      5.x の場合    # ls -l /opt/f-secure/fsigk/fsasd-socket   1. fsasd-socket ファイルを削除する      5.x の場合    # rm /opt/f-secure/fsigk/fsasd-socket   2. fsasd (fsasd-lnx32) を手動起動      5.x の場合    # service fsigk_fsasd start    Starting F-Secure Anti-Spam daemon (fsasd):                   [   OK   ]    # service fsigk_fsasd status    F-Secure Anti-Spam daemon (fsasd) is runnung  (pid  XXXXX)    
記事全体を表示
質問 Linux ゲートウェイの FTP プロキシで、パッシブモード (PASV) で利用しようとすると、ログインはできるが、その後のコマンドが動作しない。 回答 一般的に、FTP は 21 番ポートを制御ポートとして利用、20 番ポートをデータ転送ポートとします。 パッシブモードの場合、クライアントからの PASV 要求を受け、FTP サーバとクライアントが 20 番のデータ転送ポートに換わるデータ転送ポートを定めます。 Linux ゲートウェイはポート番号決定をモニタし、該当ポートの転送データをスキャン致しまして、両者間で定めたポート番号の制御等を行う機能は御座いません。   パッシブモードで FTP 接続は可能だが、その後の ls コマンド等がタイムアウトするような場合、該当マシン、または経路上の FW の設定により該当ポートが塞がれている可能性が高いです。
記事全体を表示
質問 Linux ゲートウェイでのメールチェック時に、ウイルスと SPAM のチェックはどちらが先にされますか? 回答 Linux ゲートウェイのメールのスキャンは、 以下順序でチェックがされます。 1 ウイルス検査 2 SPAM 検査
記事全体を表示
現象 Linux ゲートウェイ経由で動画が再生出来ない場合がある 診断 Linux ゲートウェイは、稼動しているサーバ上に一旦コンテンツを保存することでスキャンが可能となる仕組みで動作しています。 このため、動画再生のプラグインの仕様により、動画が再生出来ない事象が発生するケースがあります。 解決策 動画配信サイトのホスト名をスキャン対象から除外する事で再生が可能です。   また、flash のコンテンツでは、ローカルのプレーヤーのプラグインバージョンがコンテンツ側よりも古い場合、上位互換機能が働くため、配信サイト側で更新された新しいコンテンツのみが再生出来ないといった事例があります。 弊社ではこの上位互換の機能の詳細は不明ですが、プレーヤーのバージョンを最新にする事で再生が可能になるケースが報告されております。  
記事全体を表示
質問 Linux ゲートウエイを使用している状態で「Too long header lines」のエラーが出力される場合があります。エラー内容について教えて下さい。 error.log 内のエラーメッセージ: "WARNING [parse_header:proxy_common.c:1735] [172.**.***.***/50014/4] [127.0.0.1/10025/11] parse_header: Too long header lines …省略 len=5551,limit=5500). ignored" 回答 5500 行以上のメールヘッダがあった場合、5500 行目以降のヘッダーが処理できなかったために今回のメッセージが出力されます。 こちらは現在の制限事項となりますので、このメッセージを無視して頂いても問題はございません。
記事全体を表示
現象 Linux ゲートウエイを経由している状態で一部のサイトが表示されず、クライアント側、及び、Linux ゲートウイサーバ側で下記のようなエラーメッセージが出力される場合があります。 ※経由しない場合、問題無く表示できます。 クライアント側でのエラー: -------------------------------------------------------------------- 指定したウェブページを表示することができません。 入力した URL 等が正しくない可能性がございますのでご確認ください。 The server refuse to browse the page. The URL or other input may not be correct. Please confirm the value. URL: http://www.TARGET-HOST.com/japanese/index.html ERROR: CONNECT(www.TARGET-HOST.com:80)/connect: No route to host -------------------------------------------------------------------- Linux ゲートウエイサーバ側でのエラー: -------------------------------------------------------------------- 2014-12-26 09:02:08 : 1419552128.199     27 192.168.1.204 TCP_MISS/503 0 GET http://www.TARGET-HOST.com/japanese/index.html - DIRECT/2xx.2xx.1xx.5x - DETECT-STAT:CLEAN::::: ACTION:NONE: PROXY-STAT:http:60:4044:192.168.1.204:1:0:0:: PROTOCOL-STAT::: PROXY-ERROR:CONNECT(www.TARGET-HOST.com%3a80)/connect%3a+No+route+to+host: -------------------------------------------------------------------- 診断 「use_http11=yes」の設定や、ホスト名による検査対象外設定等を実施しても同様の事象が発生する場合、接続先サーバ側で特定の IP アドレスによるアクセス制御が行われている可能性がございます。 ※特定のホスト(Linux ゲートウエイを経由せず、許可されている IP アドレスを持つホスト)からのアクセスのみが可能な状態です。   「use_http11=yes」の設定につきましては以下 KB もご参照下さい。 【特定のサイトに接続できなかったり、応答が遅くなることがあります】 解決策 ブラウザ側 (IE 等) でプロキシ除外設定の対応を行う必要がございます。 www.TARGET-HOST.com/japanese/index.html - DIRECT/210.2
記事全体を表示
質問 Linux ゲートウェイを通過するパケットをキャプチャする方法を教えてください。 回答 以下手順は参考情報となります。 ※将来のサードパーティコマンドの実装の変更、サードパーティソフトウェアの変更により実際に即した手順にて実施下さい。 ※サードパーティコマンド、サードパーティソフトウェア利用方法の詳細は、それぞれのベンダー様にお問い合わせ下さい。   Linux ゲートウェイで障害が発生した場合、Linux ゲートウェイのパケットキャプチャが障害の原因判明の手がかりになる場合があります。 パケットキャプチャは tcpdump コマンドで作成できます。 【tcpdump 作成方法】   Linux ゲートウェイが導入された PC 上で、root 権限で以下のコマンドを実行し、パケットキャプチャを開始します。 # tcpdump -i any -p -s 0 -l -w <file_name.cap> (<file_name.cap>には任意のファイル名(例:linuxgw-20060505.cap)を指定してください) 障害となっている事象を再現させます。 Ctrl-C を押してキャプチャを終了します。 キャプチャした結果が<file_name.cap>として保存されます。 キャプチャ後は"# tcpdump -n -r <file_name.cap>"を実行して、キャプチャした結果を参照できることをご確認ください。 コマンド実行例:     # tcpdump -i any -p -s 0 -l -w linuxgw-20070101.cap     tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes     ●●●ここで問題を再現●●●     ●●●問題再現後、Ctrl-C コマンドで終了●●●     80 packets captured     80 packets received by filter     0 packets dropped by kernel     # tcpdump -n -r linuxgw-20070101.cap     reading from file linuxgw-20070101.cap, link-type LINUX_SLL (Linux cooked)     14:46:02.087325 IP 192.168.3.110.ssh > 192.168.3.100.38877: P 3536306927:3536307055(128) ack 3370430943 win 2728     14:46:02.087331 IP 192.168.3.110.ssh > 192.168.3.100.38877: P 0:128(128) ack 1 win 2728     14:46:02.087430 IP 192.168.3.100.38877 > 192.168.3.110.ssh: . ack 128 win 19292     14:46:02.087430 IP 192.168.3.100.38877 > 192.168.3.110.ssh: . ack 128 win 19292     ... 取得したキャプチャ結果(xxx.cap)は、Windows 上の Wireshark(旧Ethereal )等でも確認・解析いただけます。 Wireshark URL:http://www.wireshark.org/   ファイルの読み込み: xxx.cap をダブルクリック。又はメニューから「File」=「Open..」で開きます。 ストリーミングの確認: パケットを選択し、右クリックから「Followin TCP Stream」を選択します
記事全体を表示
質問 Linux ゲートウェイに FSC-2015-2 のセキュリティパッチを当てる手順を教えて下さい。 回答 製品のバージョン毎に以下の手順でパッチ作業が可能です。 作業の前には必ず各パッチのリリースノート(英語)もご確認下さい。   ●Linux ゲートウェイ5.xx 1. パッチをダウンロード、解凍して下さい。 2. 解凍ディレクトリに移動し、以下コマンドを実行します。-i  はインストールディレクトリを指定します。 # ./fsigk-5.xx-hf1.sh -i /opt/f-secure/fsigk ※上記はデフォルトインストールパスでご利用の場合のコマンド例です。 3. 以下各ファイルのサイズで、パッチ作業完了の確認が可能です。 パッチ前 (5.20) -rwxr-xr-x. 1 root root 445236 Nov 10 23:50 /opt/f-secure/fsigk/fsaua/bin/fsaua -rwxr-xr-x. 1 root root 193752 Nov 10 23:50 /opt/f-secure/fsigk/fsaua/bin/fsauasc パッチ後 -rwxr-xr-x. 1 root root 387172 Mar 25 09:14 /opt/f-secure/fsigk/fsaua/bin/fsaua -rwxr-xr-x. 1 root root 174996 Mar 25 09:14 /opt/f-secure/fsigk/fsaua/bin/fsauasc オリジナルの fsaua および fsauascはカレントディレクトリにfsaua.BAK  および fsauasc.BAK  として保存されます。   注意: 本セキュリティパッチ適用に伴うシステムの再起動や、Linux ゲートウェイの各サービスの再起動は不要です。
記事全体を表示
質問 Linux ゲートウェイ (インターネットゲートキーパー) で、特定のドメインからのメールを後方一致のルールで除外したいのですが、うまく動作しません。 回答 カスタム条件による SPAM 設定を利用して、特定のドメインからのメールをすべてSPAM、あるいは、すべて非 SPAM にする場合、「後方一致」による設定において、メールヘッダ内では該当メールアドレスが最後方に位置しない可能性があるため、正常に動作しない可能性がございます。   設定時は「比較方法」で「前方一致」、「後方一致」を利用せずに設定する (これにより全文検索のような動作となります) ことで期待された動作となります。   5.xx 設定例: ルール範囲:   送信者ヘッダ 文字列を一致:  @non_spam.com 一致オプション: 無設定 処理:       許可
記事全体を表示
質問 スパム検査で、件名などでカスタム条件を設定しましたがスパム検査結果に反映されません。 回答 カスタム設定で "スパム" と設定したのにスパムとして検出されない場合、または "非スパム" と設定したのにスパムとして検出されない場合は以下をご確認ください。   SMTP でご利用の場合、Linux ゲートウェイを通過しているかご確認ください。 Linux ゲートウェイを通過している場合、通常メールヘッダに以下のような文字列 "F-Secure" を含む Received フィールドを付加します。 但し、匿名プロキシを有効にした場合は付加しません。また、上級者向けオプションの "product_name" を設定した場合、文字列 "F-Secure" は変更されます。 以下のような行が正しく付加されているかご確認ください。        Received: from mail-from.example.com (10.1.1.1)         by linuxgw.example.com (F-Secure/virusgw_smtp/223/linuxgw.example.com);         Mon, 3 Jul 2006 17:51:27 +0900 (JST)   スパムのカスタム条件を設定した後は、サービスの再起動が必要です。 設定後にサービスの再起動を行っていない場合、再起動していただきますようお願いいたします。 なお、診断情報 (diag.tar.gz) では、カスタム設定の更新日時はファイル conf/spam/custom.txt の更新日時、再起動時刻はファイル log/{http,smtp,pop,ftp}/startstop.log で確認いただけます。   From/To,CC フィールド等にアドレスを設定する場合、比較方法に前方一致・後方一致を指定していないかご確認ください。 前方一致・後方一致を指定した場合、以下のようにアドレスの前後の文字列により、条件に一致しない場合があります。       "Myoji Namae"  アドレスを指定する場合、基本的には前方一致・後方一致オプションを利用しないように設定してください。
記事全体を表示
質問 「telnet」のコマンドでアンチウイルス Linux ゲートウェイに接続すると、Linux ゲートウェイの製品情報が表示されますが、製品バージョンなどの情報を公開しないように設定することは可能でしょうか。 telnetでの出力例: > telnet ***** 25 220 localhost.localdomain F-Secure/fsigk_smtp/522/localhost.localdomain quit 221 2.0.0 Bye 回答 以下の手順にてアンチウイルス Linux ゲートウェイの上級者向けオプションの「表示製品名変更機能(product_name)」を使用することによって対応可能です。 バージョン5.xx の場合: 1.以下の設定ファイルを開きます。   /opt/f-secure/fsigk/conf/fsigk.ini 2.「fsigk.ini」に下記パラメータを追加します。   product_name=<表示の文字列> 3.弊社サービスを再起動し、設定が反映されます。  # cd /opt/f-secure/fsigk; make restart ※上級者向けオプションに関する詳細情報は、以下のファイルをご参照下さい。 バージョン5.xx の場合: /opt/f-secure/fsigk/doc/expert-options-fsigk_JP.txt 上記ファイルから抜粋: ---------------------------------------------- ●表示製品名変更機能 項目名: product_name=sss (sss: 文字列(0〜100文字)) デフォルト値: product_name=F-Secure/virusgw_サービス名/バージョン番号/ホスト名 説明:   本製品での表示製品名を設定します。製品名は以下の表示で用います。    - FTP over HTTPでの応答ヘッダの"Server:"フィールド    - HTTPのViaヘッダフィールド    - SMTP/POPのX-Virus-Status, X-Spam-Statusヘッダフィールド    - SMTPのグリーティングメッセージ、中継拒否メッセージ、Receivedヘッダ、その他       本製品が生成する応答メッセージ   空白文字、空の文字列は避けることをおすすめいたします。 ---------------------------------------------- 注意: 本設定を変更すると、上記「説明」にもありますように、各応答ヘッダの情報が変更されますので、ご注意ください。
記事全体を表示
POP プロキシでは検出されず、同じメールを Web メールで開く事によって HTTP プロキシでマルウェアが検出される場合が御座います。   このような検出の場合(ローカルで動作しているスキャンでは、受信したメールにマルウェアが検知されない 場合)、メールそのものにはウイルス・悪意のあるコードは存在せず、Webメ ールでの HTTP GET リクエストによる外部サーバからのデータのスキャンでの 検知の可能性が非常に高いと判断されます。   同じメールが POP プロキシ及び SMTP プロキシでマルウェアが検出されないのは、弊社製品のメールプロトコルでの 検出と HTTP での検出に検出能力の差異があるという事では無く、本メールそのものとは直接関連 しない特定のマルウェア、あるいは意図しないコードの動作により、HTTP レスポンス内部に 悪意のあるコードが埋め込まれる場合(偶然によるものも含めて)があるためとなります。   該当のメールの HTTP レスポンスによりマルウェアが検知がされました場合、例え同一EMLファイルであったとしても、それは MTA 経由でのスキャンではマルウェアの検知を 再現する事ができません。   ご心配が御座います場合には、弊社にて確認させて頂きますので、該当のファイル(メール) を以下弊社ラボまで、以下のパスワード付で圧縮しました後、ご送付下さい。   ※パスワードは「infected」にて御願い致します。   japan-samples@f-secure.com   ※2016年7月11日12:00より検体送付窓口が下記アドレスに変更となります。  新アドレス:japan-samples@file-samples.f-secure.com
記事全体を表示
Question 質問:  特定のサイトに接続できなかったり、応答が遅くなることがあります。 原因は何でしょうか?   対象 OS: 当該製品がサポートするすべての Linux オペレーティングシステム Answer 回答:  他の Web サイトアクセスでは発生しないが、特定の Web サイトアクセス時のみ接続に問題が出る場合など、Linux ゲートウェイが中継送信した HTTP/1.0 リクエスト が接続先 Webサーバの設定等により、処理できないケースがございます。   このような HTTP のバージョンが問題となるケースでは、以下の手順をお試しいただくことで、改善が期待できる可能性がございます。   ○  Linux ゲートウェイ エキスパートオプションの use_http11=yes を設定する(デフォルト:無設定)   Linux ゲートウェイでは、デフォルトでは HTTP/1.1 リクエストに対して HTTP/1.0 に変換してサーバに送信しますが、下記の手順で HTTP/1.1 透過機能 を用いることで改善が期待できる可能性があります。 また、この機能についてはバージョンアップで随時改善されていますので、最新版にアップデートいただく事をお勧めいたします。   <インストールディレクトリ> /conf/fsigk.ini の [http] のエントリ内に use_http11=yes という記述を入れて # <インストールディレクトリ>/rc.fsigk_http restart にて、HTTPプロキシプロセス の再起動を行ってください。   ○ Windows ブラウザ側で設定を変更する   インターネットオプションの詳細設定タブ 「HTTP 1.1を使用する」 「プロキシ接続でHTTP 1.1を使用する」のチェックボックスを外す。設定後はブラウザを再起動してください。   ○  Linux ゲートウェイのkeepalive=yes設定をnoにする。 その後、設定の反映のため # <インストールディレクトリ>/rc.fsigk_http restart にて、HTTPプロキシプロセス の再起動を行ってください。   ○ Linuxゲートウェイにipv6=no設定を追記する。  (IPV6での名前解決を行なわないように設定) <インストールディレクトリ>/conf/fsigk.ini [http] ipv6=no その後、設定の反映のため # <インストールディレクトリ>/rc.fsigk_http restart にて、HTTPプロキシプロセス の再起動を行ってください。   ※ なお、接続の問題につきましては、サーバ負荷やイーサネットの MTU 値、名前解決の失敗など、多種の要因が考えられますので、厳密にはパケットログを採取するなどで原因の特定を行ってください。 ※通常インストールディレクトリは/opt/f-secure/fsigkになります。
記事全体を表示