[On-premise][Security] Untangle NG Firewallを使う

pfsenseを入れ替えようと思ふ

我が家では、目的別でUTMをいくつか入れています。

  • Sophos UTM9:インターネットゲートウェイ
  • Sophos XG Firewall : OwncloudのWAF
  • pfsense:インタネットゲートウェイその2

本来はUTM9を退役させてpfsenseに処理を移したかったのですが、pfsenseのIPSがかなり敏感で、結構色々な必要通信がブロックされたりしまして、時々妻からクレームが上がっておりました。これをうまく抑制する操作について調べきれておらず、結局その後UTM9に戻したわけですが、これがなんとかならないものだろうか・・・?と。

そして見つけたのがUntangle XG Firewallと言う製品です。どうやら基本無償製品のようで、ベースはDebian GNU/Linuxベースのルーター機能だけを有し、そこから先の拡張機能であるアンチウイルス・アンチスパム・アドブロックなどの機能はアプリケーションとして追加実装する仕組みのようです。

Untangleのロゴ。

ちなみにこうしたアドオン形式で機能を貼り付けていくのはpfsenseに似てるんじゃないかという気がします。

Untangle Firewallの入手

Untangle Firewallは以下のウェブサイトで入手が可能です。

Untangle Network Securityホームページへのリンク
ダウンロードページ

上記画面はホームページからFreeDownloadページに進んだ所です。
ホームページ右上にある「GET UNTANGLE」のリンクからFreeDownloadの文字列を選択するとこのページに来れます。

そして、上記画面の「Create Account」をクリックしてUntangleのアカウントを作成します。その後、Untangle CommanderというWeb GUIが起動し、以下の画面にたどり着きます。

今回はOVA形式ファイルをダウンロードした。

ここで入手したい形式を選択して「DOWNLOAD」ボタンをクリックするとダウンロードできます。ダウンロードした後は一般的なVirtual Applianceと同様のデプロイメントをすることでVirtual Applianceを作成することが出来ます。

アプライアンスの構成は以下のような感じでした。なお、Firewall自身のバージョンは 14.2.1.20190813T112452.e30e7fe5ba-1stretch でした。

ゲストOSの種別 Other 3.x or later Linux (64-bit) 
VMバージョン13(vSphere6.5以降)
vCPU1
メモリ4GB
NIC0VNXNET3 / Internet接続
NIC1VNXNET3 / Internal接続
SCSIアダプターPVSCSI(準仮想化)
ディスク300GB / Thin provisioning
VMware Tools実装済み / ESXiバンドルのものを自動で組み込む模様

セットアップ

初期セットアップは以下のような感じでした。

なんと、VMコンソールから既にGUIで管理できる

上記画面ですが、VMリモートコンソールの画面です。なんとコンソール上でX11とブラウザが起動してセットアップすることが出来ます。この辺り非常に楽ですよね。まず言語設定から。一応選択肢にJapaneseというのがありますが、この設定をしても特にメニューは日本語化しません・・

言語選択

Continueをクリックすると次の画面に進みます。

セットアップウィザードの開始をクリック

取り敢えずFirewallから感謝されます。Run Setup Wizardをクリックします。

サーバの基本設定

基本設定として、管理者アカウントのパスワード、Eメール設定、Install Typeなどを確認します。今回私はHomeを選択しています。完了したら画面右下のNetwork Cardsをクリックします。

ネットワークインタフェースカードの設定

ここで注意したい(というか、ここで認識を誤った)のが、NICはデフォルトで若い番号からWANインタフェース⇒LANインタフェースの順で設定します。上記では逆に設定をしてしまって色々間違えたのですが、恐らくはデフォルト通り、eth0にExternalを、eth1にInternalを割り当てた方が良いでしょう。

WAN側インタフェースの設定

上記では私は大いなる勘違いしてLAN設定を書き込んでますが、ここではWAN側インタフェースの設定を行います。(この後修正しました・・)Internet/Internalで綴が似てるので気をつけてください。

TestConnectivityボタンを押すと疎通確認してくれて、意図した通りのセグメントにアサインできているかどうかを確認することが出来ます。

Internalネットワークの設定

次に進むとInternalネットワークの設定画面が表示されます。
ここで、このデバイスをRouterタイプで使用するのか、Transparentタイプで使用するのかを決定します。Transparentと言うのは「透過」モードを指していて、横からパケットを覗き見しながら悪質な通信を遮断するタイプのFirewallを指します。

私は使い慣れたRouterタイプを選んでいます。

なお、このInternal設定の中で「Enable DHCP Server」と言う表記があると思います。そう、DHCP設定はインタフェースの設定に紐つくので注意が必要です。DHCP Serverの設定項目がどこ探しても分からず、改めてインストールの流れを見比べてみて、まさかのインタフェース自身の設定項目に存在していたかと、正直びっくりしました。

オプション設定

オプション設定画面が上記のように表示されます。自動アップグレードするかしないか、CommandCenterというUntangleのSaaSに接続するかどうかを設定します。完了したら右下の「Finish」をクリックすると・・

できたー!

上記のような画面が表示され、初期設定が完了します。「Go to Dashboard」をクリックすると、Dashboard画面へ移行します。

ダッシュボード画面を見てみる

いざダッシュボード画面!とおもったら・・・あら?

どうやらその後の設定をする準備ができたよ!と言うメッセージが表示されます。おいおい、まだダッシュボード画面じゃないんかい・・・・と愚痴りながらCONTINUEを押下。

Untangleアカウントをセットする

次は上記のような画面が表示されます。今回Untangle Commanderの接続をするため、事前に作成したアカウントの設定をこちらにもして上げる必要があります。

ここで、アプリケーション追加を自動でやるかどうかを問われる

実は、先のUntangle アカウントは追加機能であるFirewall/IPS等のアプリケーションを入手するためのサブスクリプションアカウントも兼ねているようです。今回Yesをクリックしてみました。細書に組み込まれるアプリケーションについては後述します。

ダッシュボード画面がついに現れる!

はい、上記の通りダッシュボード画面にたどり着きました。ダッシュボードの構成はpfsenseよりずっと直感的にわかりやすいんじゃないかなと思います。

アプリケーションの追加・整理など

この時点では、Untangle FirewallはFirewallですらない、単なる仮想ルーターみたいなものになっています。これにアプリケーションを追加することで色々な機能を搭載します。もちろんFirewallもね。
というわけで、以下画面にて「Apps」をクリックすることで、アプリケーション画面が表示されます。

ダッシュボード画面

アプリケーション画面はこちら。

デフォルト状態だと上記のようなアプリケーションが組み込まれる

ここで、アイコンの上に赤い文字で14日間評価可能と書かれているアイコンは有償アプリとなっています。安価なものでおよそ$108、ちょっと高めなApplication Controlは$250程度のようです。もしかしたら単機能で良ければ有償版を組み込んでも良いかもしれません。

が、評価期間も短いし費用捻出の余裕がないので、有償プロダクトに制限をかけたFREE版を組み込もうかなと思います。「Install Apps」をクリックすると、追加することが出来ます。

アプリケーション選択画面

上記のように、Untangle側でオプションを準備しているわけですが、ここで

  • Virus Blocker
  • Spam Blocker
  • Application Control

に対してLITEと書かれたものがあるかと思います。このLITE版が先述した有償アプリの無償版です。今回私の環境ではこれらLITE版への差し替えと、有償アプリの削除を行っています。

また、Intrusion Prevention(IPS)機能は無償アプリのようなのでこれは組み込んでいます。アイコンをクリックしていくと、導入対象となり、アイコンにチェックが付きます。こんなふうに。

選択と導入画面

その後、インストールされたアプリケーション画面へ戻り、各アプリケーションをクリックし、設定を実装していくことでそれらの機能が働くようになります。

一点だけ、Application Control Liteに関しては、初期段階ではSignatureが何も設定されていません。というのも、フォーラムを見る限り、どうやら昔はLite向けのSignatureがある程度組み込まれていたようなのですが、精度が悪かったのか想定外のブロックなどが発生し、トラブルの温床となっていたことから適用しなくなったんだそうで。

ただ、まだデータとしては残っていて、以下のサイトからJSONファイルをダウンロードし、これをインポートすることで動かすことができるようになります。ただ、前々からあまり良い品質ではないとのことから、どういうふうに検知するのかぐらいを確認するにとどめたほうが良いように思います。

https://wiki.untangle.com/index.php/File:Application_Control_Lite_Bad_Signatures.json

Untangle Commander

さて、Untangle CommanderというのがSaaS提供されていることは先に書いたのですが、実は自身の持つFirewallを複数配置した場合に、これを統合管理できるダッシュボードが提供されています。

Untangle Commander

これがそのダッシュボードですが、複数のFirewallに対するメトリック情報を参照できるようになっていますし、GeoIPに基づいてIPアドレスの位置情報が掲載されていたりします。ただ、ご存知のようにGeoIP情報はあくまでプロバイダが保持している情報に基づくので、厳密なロケーションを特定できるようなものではないことを予め認識したほうが良いとは思います。

制限事項

これは有償無償関係なしの制限だと思うのですが、いくつか注意点があるので書いておきます。

  • Dynamic Routingがうまく機能しない
    Dynamic Routingを適用しようとしたら、保存時にエラーが発生する。Java Exceptionが発生していたのだけど、エラー詳細を確認することが出来なかった。
  • Policy Base Routeが構成できない
    もともとPBRを使うことを想定してないようです・・。なので、Firewallの構成を一部見直す必要が出たりしました。
  • いわゆるIP マスカレード設定はWANインタフェース設定にあるようです。

おわりに

恐らくはこの製品の醍醐味はアプリケーション、そしてレポート機能にあるのかなと思います。レポート機能それ自体は非常に優秀かなと思っていて、結構色んな情報が見える化します。どんな通信が大半を占めるのかなどを見てみると色々気づかないところが拝めたりしてそれはそれで楽しいかなと思います。

機会があればお試しあれ。

タイトルとURLをコピーしました