Linux/CGP作業メモ

これまでuntangleやAstaroのUTM話をしてきましたが、先日行われた情報セキュリティEXPOでEndian社の方（日本人）と直接製品についてお話することが出来たので、インターフェースが若干わかりにくいなぁとは思っていたのですが、評価して試験的にAstaroの代わりに実家に導入してみました。今回はEXPOで聞いたお話とuntangle/Astaroとの簡単な比較を紹介します。

Endian UTM (Endian Firewall)は基本OSSで構成されているのでCommunity Editionが存在し、その利用は無料です。Endian社からはアプライアンス製品が数種類提供されており、Community Editionよりもバージョンが新しいものが採用されているそうです。国内ではプラムシステムズさんがサポートするとのこと。

Endian UTM
http://www.endian.com/jp/

プラムシステムズ
http://www.plum-systems.co.jp/endian/index.html

Endian UTMはヨーロッパで広く導入されているそうで、Endian社としてはサポートやカスタマイズが収入源になっているとのことでした。カスタマイズについてはそもそもOSSで構成されているのでかなり自由に行うことが可能で、アプライアンス製品についてもユーザがroot権限を持っていろいろな操作が可能とのこと。RHELベースなのでカスタムも容易で、Endian社としてはアンチウイルス商用製品の組み込みや管理画面のカスタマイズなどをよくやっているそうです。

Endian社に日本人がいて日本語対応を積極的に行っていることや、ユーザのカスタマイズに寛容なことなどから、システム的な使い勝手は非常に期待できる製品と思われました。関連する日本語リソースもそこそこあったので以下に紹介しておきます。

Endian UTM Appliance v2.3 日本語ドキュメント
http://oss.infoscience.co.jp/endianfirewall/

EFWセットアップ
http://matzjiro.at.webry.info/theme/d833c1e61d.html

EFWリファレンス
http://matzjiro.at.webry.info/theme/cc4b381c36.html

EFW TIP
http://matzjiro.at.webry.info/theme/025ce09f41.html

今回実家に試験導入するに当って、以前untangleなどを評価した際と同じように、Dell D600 PenM1.8GHz 1Gメモリのマシンに導入してみました。EthernetはUSBタイプのバッファローのLUA3-U2-ATXが問題なく利用できました。インストールしたのはCommunity Edition v2.3のiso版です。

インストール後の起動直後でメモリ使用量は30%程度、CPU負荷も数%、実際にEndianを経由したWeb接続ではuntangleよりも体感でよいレスポンスが得られました。PenM1.8GHzでも小規模のネットワークであれば十分なパフォーマンスを発揮してくれます。インターフェースがわかりにくいと感じていたのは、各種proxyやフィルタが稼働しているかどうかサマリを見るページはあっても、実際に機能をどこで設定するのか直感的にわかりにくく、設定を有効にするインターフェースがまちまちで統一感に欠け、Web管理画面の全体デザイン自体が美しいのと対照的に、機能的な把握がしにくいという点につきると思います。個々の機能は適切な日本語訳と相まって比較的よい印象にも関わらず、UTM全体の印象はあまり良くないという不思議な感覚になります。せめて機能稼働状況のページから各設定にわかりやすく誘導して欲しいなと思います。

Endian社はデザイン専門の人を１名確保しているそうで、HPも含めて鮮やかな緑でまとめられた製品コンセプトは、セキュリティ製品にはあまり見られない取り組みで、イタリアの会社らしい素敵なアイデアに感じられ非常に好感が持てます。イタリアでセキュリティ製品というのは珍しい感じもしますが、Zone-Hなども存在する国ですし優れたハックスキルを持つ人材が実は多いのかもしれませんね。

Community Editionはuntangle同様、https等の暗号化通信のVirus Scanには対応していませんが、アプライアンス製品は対応しているそうです。また無線LANにも積極的に対応しているため、USBやPCMCIAに非対応のAstaroと比較して、ノートPCなど底コストのリソースも非常に活用しやすい素地を持っています。更にインターフェースが洗練されて、使いやすくなることを期待したいと思います。

とりあえず実家で使い始めてみたので、また気付いたことがあれば書きたいと思います。

(まだ評価されていません)

Loading...

■UTM専用マシンを低予算で組む
せっかく無償のUTMを利用するのにマシンが高価ではあまり嬉しくないということで、できるだけ低予算でUTMに必要なスペックが動作するように組んでみる。そして手元にあったDellのノートPC D600 PentiumM1.8GHz 1Gメモリのマシンでの動作報告も。ターゲットはuntangleとastaro。ブリッジモードで動作させることを前提とする。

■Dell D600 での動作
まずは軽くD600の動作報告。D600のスペックはPentiumM1.8GHz 1Gメモリ 40GHD 100MEthernet x1 カードスロットx1 USB2.0 x2。ブリッジモードで動作させるためにはEthernetの口が２つあると便利なので追加しないといけない。手元にあるLinuxの動作実績のあるバッファローのLUA3-U2-ATXを利用した。

１）untangle
　問題なく動作。untangle自体がDebianベースということもあり、Debianでの動作実績のあるLUA3-U2-ATXはドライバなどを用意しなくてもスムーズに認識された。もうひとつ手元にあるPlanexのUE-200TX-Gでも同じチップなのでたぶん大丈夫。おそらくDebian(lenny)で動作するものは（無線LAN除く）動作すると思われる。
　インストール直後のメモリ使用量は65%程度。CPU負荷も30%程度あったが落ち着いた後は数％程度になった。Webの管理画面はやや重い感じ。

２）astaro
　インストール自体はできるものの、LUA3-U2-ATXは認識されず。astaroのフォーラムやハードウェア互換リスト確認したところ、astaroはUSB及びPCMCIAのデバイスは一切サポートしていないとのこと。サポート外で使えるとか使えないとかはなく、そもそも認識しないようになっているらしい。インストール後コンソールからシステム構成を覗いてみても、ほとんどのサービスがchroot化されていて/var/log等も一般的なLinuxの構成とかなり違うため、外部から勝手にいじられないように相当しっかりカスタマイズされているようだ。セキュリティ製品としては安心感の高い造りになっているように感じる。ただその反面利用可能なデバイスが極めて限定されることになる。事実上Ethernetの口がひとつしかないノートPCや小型PCではastaroの利用はできないと思った方がよいということに。
　インストール直後のメモリ使用量は30%程度。CPU負荷は数%。Web管理画面は最初の読み込みに時間がかかるが操作は快適。

■専用マシンを組む
untangleは実際に試すことができたが、動作はやや重い印象だったことと、astaroをちゃんと動作させてみたいと思ったので、実家用に導入する前提で専用マシンを１台組むことにしてみた。予算はできるだけ低予算にしたいところだが、置き場所等の関係もあり低価格＆コンパクト＆静音のバランスを取ってトータル３万〜４万程度で検討。結果以下の構成になった。

　ケース：岡谷 MX1202-BK Mini-ITX 200W SFX電源付き（5800円 テクノハウス東映）
　マザーボード：Intel DG41MJ LGA775 Mini-ITX（7480円 テクノハウス東映）Giga Ethernet RTL8111D
　CPU： Intel Celeron DC E3400（5400円 テクノハウス東映）
　メモリ：PQI DDR2-800 1G x2（手持ち）
　HDD：Western Digital WD800BEVT（手持ち）
　PCIカード：Corega CG-LAPCITX（840円 T-ZONE PC DIY）100M Ethernet RTL8139D

一部手持ちのパーツを流用したので購入額は約２万。全部新規調達でも３万円程度ということでまずまず。光学ドライブは手持ちの外付けを利用。
実際組み上げてみるとケースの電源がCPUファンにちょっと当ってしまうのだが、ケースのフタが閉められないというレベルではなく異音もしないので、無理やりそのまま組んでしまった。CPUファンはリテールのまま、音はあまり気にならない。電源ファンの音は多少気になるが比較的低い音で耳障り度は低いのでそのまま利用できそう。組み上げてまずはUbuntu10.04で動作確認。USBメモリからの起動でも十分快適に動作。CPUコアも２つ、Ethernetもちゃんと２つ認識されている。消費電力はインストール途中のMAXで52W、インストール後のアイドル状態で31W程度。十分省エネかな。

このケースを選んだのは一応電源がSFX規格なので交換が容易と思われたから。ATX電源を搭載可能なものもあったが値段が高目だったりオプション購入しないとPCIスロットが使えなかったりで微妙だったため除外。余裕のある時にまた試してみたいところだが…。

■専用マシンにastaroをインストール
Astaroの公式ページで必要事項を入力しHomeライセンスを取得する。
http://www.astaro.com/landingpages/en-worldwide-homeuse__register

レジストすると「Astaro Security Gateway Home Use Firewall」というメールが送られてきて、そこにダウンロードURLと「astaro_home_license.txt」というライセンスファイルが添付されている。指定されたダウンロードURLから最新のisoをダウンロードする。（４月末時点でasg-7.504-100318-1.iso）

isoファイルをCDに焼き、組んだマシンにつないだUSB CD/DVDドライブから起動する。（USBメモリ起動でもたぶんOK）
起動後は英語の画面でWizardが表示されるので、それに従ってENTERとF8を押していく。
インストール先のHDDのデータは完全消去されるので注意（デュアルブート設定などはできない）。

Wizardに従うだけでこの時点では多くの設定はしないが、注意が必要なのはマネージメントに利用するEthernetデバイスを指定してIPアドレスを設定する画面で、必ず上記で紹介したハードウェア互換リストにあるデバイスを指定すること。今回のマシンには内蔵GigaEthernetにRTL8111D、PCIバスに100MEthernet RTL8139Dが接続されていて、どちらもインターフェースとしてastaroのインストーラで認識される。しかしRTL8111Dは互換リストになく、こちらをマネージメントデバイスとして設定しIPを設定すると、インストール完了後にデバイスが有効になっておらず指示されるURLにアクセスできない状態に。この場合には互換リストにあるPCI側のRTL8139Dをマネージメントデバイスとして設定する必要がある。

マネージメントデバイスを設定してインストール完了したら、画面に表示されたURL（https://host-IPaddress:4444/）に別マシンからアクセスする。
そこで管理者のパスワードを設定して、ログイン後各種設定をする。ログイン後はRTL8111D側も適切に設定できるようになる。
　
　
Astaroのインストール自体は本当にシンプルですが、ハードウェアの選択が非常に重要になりますので注意が必要です。untangleに比べて高機能なこともあり、設定等がやや複雑なのでAstaroの設定はまた別に書きたいと思います。

(まだ評価されていません)

Loading...

■UTM導入のメリット・デメリット

無償のUTMがあるということで導入を検討するに当り一応UTM自体の導入メリット・デメリットを整理してみる。個人のみならず、SOHOや中小企業向けという視野で思いついたことを書いておく。

自サーバを導入する際に同時にUTM製品を導入するメリット

・アンチウイルス＆アンチスパムをUTMに任せられるので自サーバの負荷が軽減できる
・UTM製品の仕様にもよるがSMTPだけでなくWeb/POP/IMAP/FTP等も対象になる
・受信送信の双方向で透過的にチェックができる
・透過的にチェックされるのでヘッダの修正等が最小限になる
・透過的故に自サーバに導入するソフトウェアの機能的メリットがスポイルされない
・構成によるがネットワーク全体が包括的に保護されるので安心感が高い
・Bridgeモードであれば導入も容易
・ネットワーク上で起きている攻撃等セキュリティ問題の把握が容易になる
・トラフィック状況などがより視覚的に把握できる
・ロードバランス機能が含まれている場合冗長化構成時にも有利

自サーバを導入する際に同時にUTM製品を導入するデメリット

・UTM自体の運用管理が増える
・構成要素が増えて障害ポイントが増えることになる
・障害が複雑化する可能性がある（透過的故に見えない＆再現や比較が難しい）
・暗号化された通信は対応していないプロトコルが多くチェックできない（結局サーバにも対策が必要）
・UTMは比較的高価かつランニングコストも高め（商用製品はSOHO利用キツイ…）
・サーバへのスループットは下がる（チェックするから。Firewall100M,UTM35Mのスループットくらい）
・管理しなければいけない事象が増えることになる（本来デメリットではないが…）
・心理的安心感でサーバ自体のセキュリティ設定がおろそかになる（ありがち(‘A`)）

有名どころを見る限り暗号化通信にUTMとして有効なのは
　Fortigate　https/smtps/pops
　Sonicwall　https
　Astaro　https
　untangle　なし

という状況なので、商用はもちろん、無償のuntangleでメッセージングをセキュアにという方向には一工夫必要になりそう。SSLラッパをうまく活用して、ブリッジモードのUTMが非暗号化通信をチェックできるような構成をちゃんと設計しないといけないかなぁと。

　[クライアント]→SMTPS→[SSLラッパ]→SMTP→[UTM]→SMTP→[メールサーバ]

みたいな構成か。やっぱり構成要素が増えるばっかりだなぁ…。
とりあえずhttpsのラッパは比較的導入が容易なのでWebMailなんかはちゃんと対策したいところ。
まだ未検証だけどAstaroの個人向け無償ライセンスがhttpsのスキャンに対応していると素晴らしいなぁ。
FortigateはさすがUTMの草分けなだけありますね。高いけどｗ

(まだ評価されていません)

Loading...

仕事で調べたのでメモ。基本はメールのアンチウイルス＆アンチスパム対応を本サーバに届く前に実行できることを要件とする。可能であればWebMail/POP/IMAPにも対応できるとよい。
とりあえず、いくつかは試験してみることにして候補を挙げておく。untangleが最も要求に近いようなので、これから試していく予定。

■無償で利用可能なUTM(SecurityGateway)製品

untangle（IMAP対応）
http://www.untangle.com/
日本語情報少ないが、製品は日本語対応。Webの管理画面は日本語で設定可能。
ただし、管理クライアントには日本語フォント設定されていないため、別マシンからアクセスが必要。
管理インターフェースは分かりやすいような気がする…。Debianベースらしい。

Astaro Linux（IMAP未対応）
http://www.astaro.com/
個人用はフルファンクション。企業向け無償版は機能限定。
アプライアンスは使ったことあり。多機能かつ安定性高い。

Endian Firewall（IMAP未対応）
http://www.endian.com/en/community/overview/
日本語の詳細な説明が商用版には有り。肝心のドキュメント類は全部英語。
若干設定がわかりにくい気がする。

Free UTM（POP/IMAP対応？）
https://free-utm.com/
多機能そう。Mailサーバを自分持ちするタイプのような記述。ターゲットと違うかも？

RedWall（include load balancer)
http://www.redwall-firewall.com/
非常にコンパクトかつ軽量。USBやCDで起動されることを想定している。
マシンパワーによってはこれはよい選択になるかも。
ロードバランサー機能にも注目。

BrazilFW Firewall and Router（include load balancer)
http://www.brazilfw.com.br/forum/
良さそうな気がするのだが、言語の壁が…。

GB-Ware (2User Only)
http://www.gta.com/firewalls/gbware2user/

■その他近しい製品

pfsence (include load balancer)
http://www.pfsense.org/
BSDベース。アンチウイルス＆アンチスパムがないので対象外だが、ロードバランサー機能とPPPoEサーバ機能に注目。

eBox
http://www.ebox-platform.com/
統合サーバを構築可能な製品。今回メインサーバが別にあるので対象外。
機能自体の統合度合は面白そうなので、そのうち試してみたい。

smoothwaill
http://www.smoothwall.org/
比較的Firewall寄りな製品。こちらもアンチウイルス＆アンチスパムがないので対象外だが、ajaxな画面でコントロールできるということで注目。

■Spam発信元ブロック用IPリストのメモ
[code]http://www.emergingthreats.net/index.php/rules-mainmenu-38.html

Spamhaus.org DROP List
http://www.emergingthreats.net/rules/emerging-drop.rules
http://www.emergingthreats.net/rules/emerging-compromised-BLOCK.rules[/code]

【7/31追記】GB-Wareを追加。2Userまで無償利用可能。

(まだ評価されていません)

Loading...