これまでuntangleやAstaroのUTM話をしてきましたが、先日行われた情報セキュリティEXPOでEndian社の方(日本人)と直接製品についてお話することが出来たので、インターフェースが若干わかりにくいなぁとは思っていたのですが、評価して試験的にAstaroの代わりに実家に導入してみました。今回はEXPOで聞いたお話とuntangle/Astaroとの簡単な比較を紹介します。
Endian UTM (Endian Firewall)は基本OSSで構成されているのでCommunity Editionが存在し、その利用は無料です。Endian社からはアプライアンス製品が数種類提供されており、Community Editionよりもバージョンが新しいものが採用されているそうです。国内ではプラムシステムズさんがサポートするとのこと。
Endian UTM
http://www.endian.com/jp/
プラムシステムズ
http://www.plum-systems.co.jp/endian/index.html
Endian UTMはヨーロッパで広く導入されているそうで、Endian社としてはサポートやカスタマイズが収入源になっているとのことでした。カスタマイズについてはそもそもOSSで構成されているのでかなり自由に行うことが可能で、アプライアンス製品についてもユーザがroot権限を持っていろいろな操作が可能とのこと。RHELベースなのでカスタムも容易で、Endian社としてはアンチウイルス商用製品の組み込みや管理画面のカスタマイズなどをよくやっているそうです。
Endian社に日本人がいて日本語対応を積極的に行っていることや、ユーザのカスタマイズに寛容なことなどから、システム的な使い勝手は非常に期待できる製品と思われました。関連する日本語リソースもそこそこあったので以下に紹介しておきます。
Endian UTM Appliance v2.3 日本語ドキュメント
http://oss.infoscience.co.jp/endianfirewall/
EFWセットアップ
http://matzjiro.at.webry.info/theme/d833c1e61d.html
EFWリファレンス
http://matzjiro.at.webry.info/theme/cc4b381c36.html
EFW TIP
http://matzjiro.at.webry.info/theme/025ce09f41.html
今回実家に試験導入するに当って、以前untangleなどを評価した際と同じように、Dell D600 PenM1.8GHz 1Gメモリのマシンに導入してみました。EthernetはUSBタイプのバッファローのLUA3-U2-ATXが問題なく利用できました。インストールしたのはCommunity Edition v2.3のiso版です。
インストール後の起動直後でメモリ使用量は30%程度、CPU負荷も数%、実際にEndianを経由したWeb接続ではuntangleよりも体感でよいレスポンスが得られました。PenM1.8GHzでも小規模のネットワークであれば十分なパフォーマンスを発揮してくれます。インターフェースがわかりにくいと感じていたのは、各種proxyやフィルタが稼働しているかどうかサマリを見るページはあっても、実際に機能をどこで設定するのか直感的にわかりにくく、設定を有効にするインターフェースがまちまちで統一感に欠け、Web管理画面の全体デザイン自体が美しいのと対照的に、機能的な把握がしにくいという点につきると思います。個々の機能は適切な日本語訳と相まって比較的よい印象にも関わらず、UTM全体の印象はあまり良くないという不思議な感覚になります。せめて機能稼働状況のページから各設定にわかりやすく誘導して欲しいなと思います。
Endian社はデザイン専門の人を1名確保しているそうで、HPも含めて鮮やかな緑でまとめられた製品コンセプトは、セキュリティ製品にはあまり見られない取り組みで、イタリアの会社らしい素敵なアイデアに感じられ非常に好感が持てます。イタリアでセキュリティ製品というのは珍しい感じもしますが、Zone-Hなども存在する国ですし優れたハックスキルを持つ人材が実は多いのかもしれませんね。
Community Editionはuntangle同様、https等の暗号化通信のVirus Scanには対応していませんが、アプライアンス製品は対応しているそうです。また無線LANにも積極的に対応しているため、USBやPCMCIAに非対応のAstaroと比較して、ノートPCなど底コストのリソースも非常に活用しやすい素地を持っています。更にインターフェースが洗練されて、使いやすくなることを期待したいと思います。
とりあえず実家で使い始めてみたので、また気付いたことがあれば書きたいと思います。
こんにちわ。
私はUntangleをVirtualBoxのVMとして稼動させ、別のVMにUbuntuを稼動させています。UntangleとUbuntu間は内部ネットワークでブリッジさせ、UntangleのVMにはインターネット接続用の仮想イーサをNICにマップして透過型ブリッジモードで利用しています。DHCP/DNSはブロードバンドルータ(BR)に持たせています(下記の構成)。
(Internet)—BR—Untangle—Ubuntu
同様な構成をEndianでも試そうとしたのですが、最新の2.4.1でもブリッジモードの設定方法が見当たりません。Communityのサポートページを見ても、同様の要望はありますが、回答は見つかりませんでした。マニュアルにもインターフェイスには別々のIPアドレスを振らなければならないという記述があります。
Endianではこのような設定はできないのでしょうか?
もしなにかご存知であれば、ぜひご教示いただきたくお願いいたします。
コメントありがとうございます。
EndianではUntangleのようなブリッジモードはできなかったと思います。
最初私も検討しましたが方法が見つからなかったので、ルータ設定で使っています。
ひょっとして出来る方法はあるのかもしれませんが、公式サポートに問い合わせしないと回答は得られないと思います。
お役に立てずすいません。
先日、SkypeでEndianのCEO(Raphael Vallazza)と話をしてアドバイスを頂きました。
Endianは基本的にIPCopのZONEプロテクションを踏襲しているので、ZONE間はルーティングになるそうです。しかし、GREENインターフェイス間(RED以外のすべてのZONEでも)はブリッジ・モードになるので、これを利用して下さいとのことでした。
実際にGREENインターフェイスを2つ用意すればIntra-Zone Firewall機能で利用することができました(VirtualBox上でシミュレーションしました)。
それにしてもこんな機能がフリーで利用できるのは嬉しいというかオソロシイというべきか、メーカ各社にとっては大変な時代になったものです。
情報ありがとうございます。
GREENを2つですか…なるほど、目からウロコでした。
Internet側は常にREDにすべしと思っていたので、その発想には至りませんでした。
Endianの方とは情報セキュリティEXPOでお話したくらいですが、非常にフレンドリーで嬉しいですね。
機能的なI/Fはまだまだ改善の余地があると思いますが、本当に素晴らしい製品だと思います。
私は、Windows7(64bit)上にVirtualBoxを走らせて、EndianとUntangleを必要に応じてUTMとして利用しています。
バックエンドのアプリケーションはUbuntu10.04ですが、PentiumのE5400で4GBメモリなので、特に性能上の問題は感じていません。
恐らく今後もハードウェアの性能向上競争は続くでしょうから、どちらかといえばGUIなどの管理機能を重視しています。
特にクライアントは零細企業が多いので、透過的ブリッジとしての機能は事実上必須と感じています。
運用面や設置の容易さなどを考えるとVM+ブリッジ機能はとても重要ですよね。
割とメールサーバなどI/Oに厳しい案件が多いので仕事でVM使うことは少ないのですが、Web系中心の時はVM採用を推進してました。
エンドユーザが管理を行う想定の時はGUIは本当に大きな要素になると思います。
実際UntangleやEndianを見つけた時はこれは使える!と思って嬉しかったです。
もうちょっといろいろと設定や機能を紹介できるようにしたいのですが、筆無精なので…。
ぜひ今後とも情報交換をお願いできればと思います。