TDR Host Sensor Enforcement をトラブルシューティングする

TDR Host Sensor Enforcement をトラブルシューティングする場合は、以下の構成の設定を確認します。

TDR アカウント

  • TDR にログインするFirebox への VPN 接続に対する Host Sensor 強制を有効化するオン になっていることを確認します。
  • 登録サービス > Threat Detection の Firebox で指定されているキーと TDR 認証キーが同じであることを確認します。

Firebox

TDR 構成

登録サービス > Threat Detection の Firebox で以下を確認します。

  • Host Sensor Enforcement が有効になっていることを確認する。
  • TDR 認証キーが TDR アカウントの TDR 認証キーと同じであることを確認する。
  • オペレーティング システム要件が指定されている場合は、ユーザーのデバイスがその要件を満たしているかどうかを確認する。

TDR Host Sensor Enforcement では、Fireware リリース ノートオペレーティング システム互換性マトリックス セクションに記載されている Windows と macOS オペレーティング システムがサポートされています。

任意 以外のオペレーティング システム オプションが選択されている場合に、Mobile VPN 経由で Firebox に接続するには、モバイル デバイスでそれ以降のバージョンのオペレーティング システムを実行している必要があります。

オペレーティング システム強制は、Windows Server オペレーティング システムには適用されません。ユーザーが、サポートされている Windows Server オペレーティング システムから Mobile VPN に接続する場合、Windows Server システムが他すべての TDR Host Sensor Enforcement 要件を満たしていれば、Firebox ではオペレーティング システムの強制設定に関係なく接続が許可されます。

Mobile VPN 構成

Mobile VPN with IKEv2、Mobile VPN with L2TP、および Mobile VPN with SSL の場合は、以下を確認します。

  • Host Sensor Enforcement が少なくとも 1 つの Mobile VPN グループで有効になっていることを確認する。
  • ユーザーがそのグループに属していることを確認する。

Mobile VPN with IPSec の場合は、認証 > ユーザー&グループ の順に移動して、以下を確認します。

  • Host Sensor Enforcement が少なくとも 1 つの Mobile VPN グループで有効になっていることを確認する。
  • ユーザーがそのグループに属していることを確認する。

Mobile VPN グループの場合は、以下の点に注意してください。

  • ユーザーが同じ Mobile VPN 構成の一部である複数のグループに属しており、そのグループのいずれかで Host Sensor Enforcement が有効になっている場合は、そのユーザーに強制が適用されます。たとえば、ユーザーが 2 つの Mobile VPN with IKEv2 に属している場合で、そのグループの片方にのみ強制を有効化した場合は、強制がそのユーザーに適用されます。
  • 異なる Mobile VPN 構成の一部である複数のグループにユーザーが属している場合で、その一部のグループで Host Sensor Enforcement が有効になっていると、強制が有効になっている VPN 接続タイプでのみそのユーザーに強制が適用されます。たとえば、ユーザーが IKEv2 ユーザー および SSLVPN ユーザー グループに属しており、IKEv2 ユーザー のみで強制が有効化されている場合は、Mobile VPN with IKEv2 接続の場合にのみそのユーザーに強制が適用されます。Mobile VPN with SSL 接続の場合は、そのユーザーには強制は適用されません。

グループの 選択 チェックボックスを選択すると、Firebox でそのグループが既定グループ (IKEv2 ユーザーSSLVPN ユーザーL2TP ユーザー、または IPSec ユーザー) に追加されます。既定グループに属している一部のグループのみで Host Sensor Enforcement を有効化する場合は、既定グループの強制は無効のままにします。

ログ レベルを変更してログ メッセージを表示するには、以下の手順を実行します。

  1. VPN ログ レベルをデバッグに変更します
  2. Web UI または Firebox System Manager でログ メッセージを表示します。
  3. vpn_enforcer を検索します。これは、VPN 接続で Host Sensor Enforcement を処理するプロセスです。

モバイル デバイス

Windows

Mobile VPN に接続する Windows デバイスでは、以下を確認します。

  • オペレーティン グシステムが Windows または macOS であり、オペレーティング システムのバージョンが Firebox の Host Sensor Enforcement 設定で指定されている要件を満たしていることを確認する。
  • ホストで実行されている TDR Host Sensor が、Firebox の Host Sensor Enforcement 設定で指定されている TDR アカウント UUID に関連付けられていることを確認する。
  • TDRSensorService サービスが実行されていることを確認する。
  • 受信 TCP 33000 を許可する WatchGuard HostSensor のルールが Windows ファイアウォールに設定されていることを確認する。
  • デバイスで使用されているサードパーティのファイアウォールで、受信 TCP 33000 が許可されていることを確認する。
  • TDR Host Sensor が TCP 33000 でリッスンしていることを確認する。これを確認するには、TCP endpoint のステータスが表示される Windows ツールである TCPView を利用することが勧められます。TCPView で、プロセス 列を並べ替えて、host_sensor.exe を探します。

ログ レベルを トレース に変更して、ログを表示するには、Windows で以下の手順を実行します。

  1. タスク マネージャーで、TDRSensorService という名前のサービスを停止します。
  2. Threat Detection and Response インストール フォルダの管理者のコマンド プロンプトで、以下のコマンドを入力して、ログ レベルをトレースに変更します。
    host_sensor.exe /setLogLevel=trace
  3. ログを表示するには、Windows システム トレイで、TDR Host Sensor アプリケーションを右クリックして、ログ ファイルの場所を表示する を選択します。Threat Detection and Response インストール フォルダに、[devicename]_host_sensor.log ログが表示されます。
  4. ログ ファイルで、以下を探します。
    sensor.query.server — Host Sensor 構成が TDR アカウントで期待されている構成と一致していることを確認します。
    SensorQueryServer — 接続作成アクティビティが表示されます。これには、接続を介したメッセージの tx および rx エラーが含まれます。
    ConfigManager — 構成に関連するイベントが表示されます。
    このトピックの ログ メッセージの例 セクションで例をご覧ください。
  5. トラブルシューティングを実行した後、ログ レベルを既定設定の 情報 にリセットします。
    host_sensor.exe /setLogLevel=info
  6. Threat Detection and Response サービスを開始します。

macOS

Mobile VPN に接続する macOS デバイスでは、以下を確認します。

  • macOS バージョンが Firebox の Host Sensor Enforcement 設定で指定されている要件を満たしていることを確認する。
  • ホストで実行されている TDR Host Sensor が、Firebox の Host Sensor Enforcement 設定で指定されている TDR アカウント UUID に関連付けられていることを確認する。
  • TDRSensorService が実行されていることを確認する。コマンド プロンプトで、以下を入力します。
    ps -ef | grep host_sensor
  • TDR Host Sensor が TCP ポート 33000 でリッスンしていることを確認する。コマンド プロンプトで、以下を入力します。
    netstat -a -p tcp | grep 33000

ログ レベルを トレース に変更して、ログを表示するには、macOS で以下の手順を実行します。

  1. TDRSensorService サービスを停止します。コマンド プロンプトで、以下を入力します。
    sudo lauchnctl (un)load /Library/LaunchDaemons/com.watchguard.tdr.hostsensor.plist
  2. ログ レベルを トレース に設定します。コマンド プロンプトで、以下を入力します。
    sudo /usr/local/watchguard/tdr/amd64/hostsensor --setLogLevel=trace
  3. ログで、以下を探します。
    sensor.query.server — Host Sensor 構成が TDR アカウントで期待されている構成と一致していることを確認します。
    SensorQueryServer — 接続作成アクティビティが表示されます。これには、接続を介したメッセージの tx および rx エラーが含まれます。
    ConfigManager — 構成に関連するイベントが表示されます。
    このトピックの ログ メッセージの例 セクションで例をご覧ください。
  4. トラブルシューティングを実行した後、ログ レベルを既定設定の 情報 にリセットします。
    sudo /usr/local/watchguard/tdr/amd64/hostsensor  --setLogLevel=info
  5. TDRSensorService サービスを起動します。

ログ メッセージの例

認証キーが有効の場合は、Windows または macOS デバイスに以下のメッセージが表示されます。

2019-12-02 06:43:37.050 [Information] [thread:8980] [SensorQueryServer] Creating connection
2019-12-02 06:43:37.051 [Information] [thread:8980] [SensorQueryServer] readEchoRequest start
2019-12-02 06:43:37.109 [Information] [thread:8980] [SensorQueryServer] Received echo request
2019-12-02 06:43:37.118 [Information] [thread:8980] [SensorQueryServer] Echo response sent

認証キーが無効の場合は、以下のメッセージが表示されます。

2019-12-02 06:48:52.158 [Information] [thread:8980] [SensorQueryServer] Creating connection
2019-12-02 06:48:52.158 [Information] [thread:8980] [SensorQueryServer] readEchoRequest start
2019-12-02 06:48:52.158 [Error] [thread:8980] [SensorQueryServer] HMAC verification failed

関連情報:

TDR Host Sensor Enforcement について

TDR Host Sensor Enforcement を構成する

TDR について