My Home NW Lab

逸般の誤家庭のネットワーク

BIG-IP

SSLOモジュールを用いたBIG-IP Forward Proxy構成でのMicrosoft 365 (MS365)のテナント制限

SSLO (SSL Orchestrator)モジュールを用いて、BIG-IP Forward Proxy構成でMicrosoft 365 (MS365)のテナント制限を設定する方法を整理します。 本記事ではSSLOの v17.0.0.1-10.1 で実装された Office 365 Tenant Restrictions as a service の機能を用います…

BIG-IP SSL Orchestrator (SSLO)のドキュメント リンクの体系化

BIG-IP SSL Orchestrator (SSLO)のドキュメント リンクを体系化しました。 2022年12月頃にBIG-IP Knowledge CenterがMyF5のProduct Manuals and Release Notesに移行されましたが、検索前提のシステムとなっており使い勝手が悪かったため、個人的によく使用…

BIG-IP SSL Orchestratorはv16.1.0-9.0より冗長構成時の設定同期の挙動が変更

BIG-IP SSL Orchestrator (SSLO)の v16.1.0-9.0 以前 (Older Version)では、冗長構成における設定同期がREST APIベースの実装となり、TMOS (Traffic Management Operating System)が担っているConfigSyncとは別の設定同期方法となっておりました。 旧来のRES…

BIG-IP Forward Proxy構成 (SSLO使用時)のv16.1.1にてSSL Profileの「-vht」と「-vhf」が統合

v16.1.1以前のBIG-IP Forward Proxy構成でSSLO (SSL Orchestrator)からデプロイを行っていると、名称の接尾辞に「-vht」と「-vhf」を持つSSL Client ProfileとSSL Server Profileの設定が作成され、設定条件によってVirtual Serverに適用されるProfileが異な…

BIG-IP SSL Orchestrator (SSLO)モジュールのiApps LXソース コードの展開先

BIG-IP SSL Orchestrator (SSLO)はモジュールではありますが、実体はiApps LXとなっているためソース コードがあります。 SSLOモジュールを有効化した状態でメニュー: SSL Orchestrator > Configuration を開くと、SSLO用RPMファイルの初期インストール処理…

BIG-IP SSLOのSSLO用RPMファイルの初回インストール処理をCLIから行う

BIG-IP SSLO (SSL Orchestrator)は、Web UIからメニュー: SSL Orchestrator > Configuration を押下した際にRPMファイルのインストール処理が実行されます。 BIG-IP SSLO (SSL Orchestrator)のインストール処理 しかし、検証で初期セットアップのたびにWeb U…

BIG-IP Forward ProxyのiRulesによるFirewall Policyライクな実装例

BIG-IP Forward Proxyでは標準機能による実装には限界があるため、iRulesによるコード拡張を用いざるを得ないケースがあります。 そのため、PoC (Proof of Concept)としてiRulesによるFirewall Policyライクな実装例をGitHubで公開しました。 github.com 実…

BIG-IP Forward Proxy構成でのBASIC認証のタイムアウト

BIG-IPのForward Proxy構成におけるBASIC認証のタイムアウト関連の情報を整理します。 前提情報 バージョン情報 BASIC認証の設定方法 BASIC認証の認証セッションの確認方法 BASIC認証が実質的にタイムアウトしないパターン 関連ドキュメント 前提情報 BASIC…

BIG-IP Forward Proxy構成では宛先指定による認証除外は標準機能で出来ない (v17.0.0時点)

BIG-IP Forward Proxy構成の認証の設定はPer-Session Policyで行いますが、宛先 (URL, FQDN, サブネット)を指定するのItemが存在しないため、宛先指定の認証除外が標準機能では出来ません。 v17.0.0時点の情報となります。Forward Proxyにおける必須機能な位…

BIG-IP Forward Proxy構成のBASIC認証 (LocalDB Auth版)

BIG-IP Forward Proxy構成でのBASIC認証の設定例を紹介します。 Forward Proxy構成では、SSLOの使用有無によって適用方法が異なる点に注意が必要です。 認証の連携先は、BIG-IP自身が内部的に保持しているLocal DBを使用します。 BASIC認証 (LocalDB Auth)の…

BIG-IP Forward Proxy案件における人員調達の難しさ

BIG-IP Forward Proxy案件における人員調達について、エンジニアの立場として携わった有識者の観点で話をします。 BIG-IP Forward Proxy案件の全般的な内容は下記の記事で個別に扱っております。 myhomenwlab.hatenablog.com myhomenwlab.hatenablog.com 案…

BIG-IP SSLOで設定の保持情報が崩壊した状態の例 (設定崩壊の例)

BIG-IP SSLO (SSL Orchestrator)は、BIG-IP標準機能ではなくiApps LXで動作しており、Active機からStandby機に対して設定の流し込みによる設定同期をREST APIで行います。 特記しますが、一般的なBIG-IPの設定の同期処理はConfigSyncで行われますが、SSLOはR…

BIG-IP SSLOでの設定のロック (Strict Updates)とドキュメンテーションの重要性

BIG-IP SSLO (SSLO Orchestrator)のGuided ConfigurationによりBIG-IPの標準設定としてデプロイされると、 SSLOの管理配下のオブジェクトの一部にはロックがかかります。そして、ロックがかかっていると、紐付くオブジェクトの設定変更はできなくなります。 …

BIG-IP Forward Proxy構成でのMicrosoft 365 (MS365)のテナント制限

目次 目次 概要 バージョン情報 Microsoft 365のテナント制限の概要 BIG-IPでのテナント制限の要素 BIG-IPでのMicrosoft 365のドメインのSSL復号化 テナント情報の確認 テナント制限を行うiRules iRulesのサンプル コード 実装時の備忘録 SSL Forward Proxy…

(特殊事例) BIG-IP Forward Proxy構成でAPMの機能を使わずに HTTP::host で通信先を評価した際にアクセス制御がバイパスされるパターン

目次 目次 概要 対象バージョン情報 脆弱な実装の例 アクセス制御がバイパスされるシナリオ 実装の改善案 根本的な対策 概要 BIG-IP Forward Proxy構成でAPMモジュールの機能を使わずにURLフィルタリングを行う際に、 iRulesで HTTP::host コマンドを用いてH…

BIG-IP Forward Proxyの作成資料一覧

筆者が作成したBIG-IP Forward Proxy関連の資料の一覧です。 新たに作成した資料は適宜リストに更新していきます。 目次 目次 スライド資料 ブログ記事 BIG-IPカテゴリの記事リスト 導入検討フェーズ向け アーキテクチャや製品特性 機能のサポート可否 構築…

BIG-IPのsyslog-ng (sys syslog include)設定のサポート状況

BIG-IPは内部的にsyslog-ngが使用されており、tmsh の sys syslog include の設定項目で編集が可能ですが、 下記のドキュメントを参照すると、「F5 Technical Support teamからの支援なしに使用しないでください。」の旨の記述があります。 sys syslog https…

BIG-IP Forward ProxyはFTP over HTTPに対応していない (Version 16.1.2 時点)

BIG-IP Forward Proxy構成は、BIG-IPの Version 16.1.2 の時点ではFTP over HTTPには対応していません。(FTP over HTTP not supported.) HTTP ProfileのExplicit ProxyでFTP over HTTPがサポートされていないためです。 ちなみにFTP over HTTPは、Web Browse…

BIG-IP Forward Proxy構成でのWebキャッシュの設定 (Web Acceleration Profile)

目次 目次 前置き 設定の仕方と注意点 Web Acceleration Profileの適用の比較表 標準実装の適用箇所 SSLO実装の適用箇所 Webキャッシュのチューニング Webキャッシュの除外 関連ドキュメント 設定方法 対象バージョン情報 Web Acceleration Profileの作成 Vi…

【基本要素】BIG-IP Forward Proxy構成を実現するための2つのVirtual Serverと通信フロー

目次 目次 概要 補足資料 対象バージョン情報 実装方式 SSLOの未使用時 (標準実装時 / LTMのみ使用) SSLOの使用時 (SSLO実装時) 最後に 概要 BIG-IPでForward Proxy構成を組むには、基本的には2つのVirtual Serverを設定する必要があります。 便宜上の名称 …

BIG-IP SSLO (SSL Orchestrator)により生成される設定群の確認方法

BIG-IP SSLOのConfiguration画面で設定した内容は、BIG-IPの標準的な設定としてデプロイされています。 どのような設定が生成されたかを把握するのはSSLOの理解を深めるのに繋がるため、確認方法を記載します。 まずは下記にサンプル画面を掲載します。 サン…

BIG-IP SSLO (SSL Orchestrator)のアーキテクチャに関する資料

BIG-IP SSLO (SSL Orchestrator)を扱うにあたって、一度は目を通しておいた方がよいアーキテクチャに関する資料があります。 資料の対象バージョンが v14.0.0 と古いですが、 アーキテクチャが大幅に変わらない限りは、SSLOに関する理解を深めるのに通用しま…

BIG-IP SSLOでL3 Explicit Forward Proxy構成の基本的なセットアップを行う

BIG-IP SSLO (SSL Orchestrator)で、L3 Explicit Forward Proxy構成をセットアップする際の基本的な設定例を紹介します。 内容をできるだけ簡潔にするために、URLフィルタリングや認証、SSL復号化などの個別設定は含んでいません。 SSLOモジュールは冗長化構…

ProxySGからBIG-IP Forward Proxy構成への乗り換え時の考慮点

ProxySGからBIG-IP Forward Proxy構成への乗り換え時の考慮点を、筆者の経験に基づいて記します。 目次 目次 ProxySGからの更改の難しさ 設定データの保持構造の観点 通信フローの制御要素の観点 プロジェクトを円滑に進めるための案 体制の構築と維持 最後…

BIG-IP Forward Proxy構成で得た教訓

筆者がBIG-IP Forward Proxy構成の導入において経験した内容を元に、BIG-IP全般に通ずる点をまとめました。 BIG-IP Forward Proxy構成のスライド資料と合わせてご覧ください。 speakerdeck.com 目次 目次 構成とモジュールの観点 コード拡張の観点 PoC (Proo…

F5 BIG-IP APMのExplicit Forward Proxy構成 No.03 - Kerberos認証

F5 BIG-IP APM (Access Policy Manager)のExplicit Forward Proxyの検証構成を作成した際のメモ書きです。 本記事ではExplicit Forward ProxyにてKerberos認証の設定を行います。 本記事は下記の No.01 と No.02 の記事をベースとしています。 myhomenwlab.h…

F5 BIG-IP APMのExplicit Forward Proxy構成 No.02 - Explicit Forward Proxyの基本設定

F5 BIG-IP APM (Access Policy Manager)のExplicit Forward Proxyの検証構成を作成した際のメモ書きです。 本記事ではExplicit Forward Proxyの基本的な設定を行います。 本記事は下記の No.01 の記事をベースとしています。 myhomenwlab.hatenablog.com 本…

F5 BIG-IP APMのExplicit Forward Proxy構成 No.01 - 下準備

F5 BIG-IP APM (Access Policy Manager)のExplicit Forward Proxyの検証構成を作成した際のメモ書きです。 本記事ではExplicit Forward Proxyの設定までの下準備となります。 目次 目次 検証構成の概要 検証時の情報 設定方針 環境依存の設定 BIG-IP Virtual…