pfsenseを入れ替えようと思ふ
我が家では、目的別でUTMをいくつか入れています。
- Sophos UTM9:インターネットゲートウェイ
- Sophos XG Firewall : OwncloudのWAF
- pfsense:インタネットゲートウェイその2
本来はUTM9を退役させてpfsenseに処理を移したかったのですが、pfsenseのIPSがかなり敏感で、結構色々な必要通信がブロックされたりしまして、時々妻からクレームが上がっておりました。これをうまく抑制する操作について調べきれておらず、結局その後UTM9に戻したわけですが、これがなんとかならないものだろうか・・・?と。
そして見つけたのがUntangle XG Firewallと言う製品です。どうやら基本無償製品のようで、ベースはDebian GNU/Linuxベースのルーター機能だけを有し、そこから先の拡張機能であるアンチウイルス・アンチスパム・アドブロックなどの機能はアプリケーションとして追加実装する仕組みのようです。
ちなみにこうしたアドオン形式で機能を貼り付けていくのはpfsenseに似てるんじゃないかという気がします。
Untangle Firewallの入手
Untangle Firewallは以下のウェブサイトで入手が可能です。
上記画面はホームページからFreeDownloadページに進んだ所です。
ホームページ右上にある「GET UNTANGLE」のリンクからFreeDownloadの文字列を選択するとこのページに来れます。
そして、上記画面の「Create Account」をクリックしてUntangleのアカウントを作成します。その後、Untangle CommanderというWeb GUIが起動し、以下の画面にたどり着きます。
ここで入手したい形式を選択して「DOWNLOAD」ボタンをクリックするとダウンロードできます。ダウンロードした後は一般的なVirtual Applianceと同様のデプロイメントをすることでVirtual Applianceを作成することが出来ます。
アプライアンスの構成は以下のような感じでした。なお、Firewall自身のバージョンは 14.2.1.20190813T112452.e30e7fe5ba-1stretch でした。
| ゲストOSの種別 | Other 3.x or later Linux (64-bit) |
| VMバージョン | 13(vSphere6.5以降) |
| vCPU | 1 |
| メモリ | 4GB |
| NIC0 | VNXNET3 / Internet接続 |
| NIC1 | VNXNET3 / Internal接続 |
| SCSIアダプター | PVSCSI(準仮想化) |
| ディスク | 300GB / Thin provisioning |
| VMware Tools | 実装済み / ESXiバンドルのものを自動で組み込む模様 |
セットアップ
初期セットアップは以下のような感じでした。
上記画面ですが、VMリモートコンソールの画面です。なんとコンソール上でX11とブラウザが起動してセットアップすることが出来ます。この辺り非常に楽ですよね。まず言語設定から。一応選択肢にJapaneseというのがありますが、この設定をしても特にメニューは日本語化しません・・
Continueをクリックすると次の画面に進みます。
取り敢えずFirewallから感謝されます。Run Setup Wizardをクリックします。
基本設定として、管理者アカウントのパスワード、Eメール設定、Install Typeなどを確認します。今回私はHomeを選択しています。完了したら画面右下のNetwork Cardsをクリックします。
ここで注意したい(というか、ここで認識を誤った)のが、NICはデフォルトで若い番号からWANインタフェース⇒LANインタフェースの順で設定します。上記では逆に設定をしてしまって色々間違えたのですが、恐らくはデフォルト通り、eth0にExternalを、eth1にInternalを割り当てた方が良いでしょう。
上記では私は大いなる勘違いしてLAN設定を書き込んでますが、ここではWAN側インタフェースの設定を行います。(この後修正しました・・)Internet/Internalで綴が似てるので気をつけてください。
TestConnectivityボタンを押すと疎通確認してくれて、意図した通りのセグメントにアサインできているかどうかを確認することが出来ます。
次に進むとInternalネットワークの設定画面が表示されます。
ここで、このデバイスをRouterタイプで使用するのか、Transparentタイプで使用するのかを決定します。Transparentと言うのは「透過」モードを指していて、横からパケットを覗き見しながら悪質な通信を遮断するタイプのFirewallを指します。
私は使い慣れたRouterタイプを選んでいます。
なお、このInternal設定の中で「Enable DHCP Server」と言う表記があると思います。そう、DHCP設定はインタフェースの設定に紐つくので注意が必要です。DHCP Serverの設定項目がどこ探しても分からず、改めてインストールの流れを見比べてみて、まさかのインタフェース自身の設定項目に存在していたかと、正直びっくりしました。
オプション設定画面が上記のように表示されます。自動アップグレードするかしないか、CommandCenterというUntangleのSaaSに接続するかどうかを設定します。完了したら右下の「Finish」をクリックすると・・
上記のような画面が表示され、初期設定が完了します。「Go to Dashboard」をクリックすると、Dashboard画面へ移行します。
ダッシュボード画面を見てみる
どうやらその後の設定をする準備ができたよ!と言うメッセージが表示されます。おいおい、まだダッシュボード画面じゃないんかい・・・・と愚痴りながらCONTINUEを押下。
次は上記のような画面が表示されます。今回Untangle Commanderの接続をするため、事前に作成したアカウントの設定をこちらにもして上げる必要があります。
実は、先のUntangle アカウントは追加機能であるFirewall/IPS等のアプリケーションを入手するためのサブスクリプションアカウントも兼ねているようです。今回Yesをクリックしてみました。細書に組み込まれるアプリケーションについては後述します。
はい、上記の通りダッシュボード画面にたどり着きました。ダッシュボードの構成はpfsenseよりずっと直感的にわかりやすいんじゃないかなと思います。
アプリケーションの追加・整理など
この時点では、Untangle FirewallはFirewallですらない、単なる仮想ルーターみたいなものになっています。これにアプリケーションを追加することで色々な機能を搭載します。もちろんFirewallもね。
というわけで、以下画面にて「Apps」をクリックすることで、アプリケーション画面が表示されます。
アプリケーション画面はこちら。
ここで、アイコンの上に赤い文字で14日間評価可能と書かれているアイコンは有償アプリとなっています。安価なものでおよそ$108、ちょっと高めなApplication Controlは$250程度のようです。もしかしたら単機能で良ければ有償版を組み込んでも良いかもしれません。
が、評価期間も短いし費用捻出の余裕がないので、有償プロダクトに制限をかけたFREE版を組み込もうかなと思います。「Install Apps」をクリックすると、追加することが出来ます。
上記のように、Untangle側でオプションを準備しているわけですが、ここで
- Virus Blocker
- Spam Blocker
- Application Control
に対してLITEと書かれたものがあるかと思います。このLITE版が先述した有償アプリの無償版です。今回私の環境ではこれらLITE版への差し替えと、有償アプリの削除を行っています。
また、Intrusion Prevention(IPS)機能は無償アプリのようなのでこれは組み込んでいます。アイコンをクリックしていくと、導入対象となり、アイコンにチェックが付きます。こんなふうに。
その後、インストールされたアプリケーション画面へ戻り、各アプリケーションをクリックし、設定を実装していくことでそれらの機能が働くようになります。
一点だけ、Application Control Liteに関しては、初期段階ではSignatureが何も設定されていません。というのも、フォーラムを見る限り、どうやら昔はLite向けのSignatureがある程度組み込まれていたようなのですが、精度が悪かったのか想定外のブロックなどが発生し、トラブルの温床となっていたことから適用しなくなったんだそうで。
ただ、まだデータとしては残っていて、以下のサイトからJSONファイルをダウンロードし、これをインポートすることで動かすことができるようになります。ただ、前々からあまり良い品質ではないとのことから、どういうふうに検知するのかぐらいを確認するにとどめたほうが良いように思います。
https://wiki.untangle.com/index.php/File:Application_Control_Lite_Bad_Signatures.json
Untangle Commander
さて、Untangle CommanderというのがSaaS提供されていることは先に書いたのですが、実は自身の持つFirewallを複数配置した場合に、これを統合管理できるダッシュボードが提供されています。
これがそのダッシュボードですが、複数のFirewallに対するメトリック情報を参照できるようになっていますし、GeoIPに基づいてIPアドレスの位置情報が掲載されていたりします。ただ、ご存知のようにGeoIP情報はあくまでプロバイダが保持している情報に基づくので、厳密なロケーションを特定できるようなものではないことを予め認識したほうが良いとは思います。
制限事項
これは有償無償関係なしの制限だと思うのですが、いくつか注意点があるので書いておきます。
- Dynamic Routingがうまく機能しない
Dynamic Routingを適用しようとしたら、保存時にエラーが発生する。Java Exceptionが発生していたのだけど、エラー詳細を確認することが出来なかった。 - Policy Base Routeが構成できない
もともとPBRを使うことを想定してないようです・・。なので、Firewallの構成を一部見直す必要が出たりしました。 - いわゆるIP マスカレード設定はWANインタフェース設定にあるようです。
おわりに
恐らくはこの製品の醍醐味はアプリケーション、そしてレポート機能にあるのかなと思います。レポート機能それ自体は非常に優秀かなと思っていて、結構色んな情報が見える化します。どんな通信が大半を占めるのかなどを見てみると色々気づかないところが拝めたりしてそれはそれで楽しいかなと思います。
機会があればお試しあれ。
using WordPress and
Comments are closed