Linux/CGP作業メモ

■endian UTM のアップデート方法メモ
　endian UTM (endian Firewall) Communityバージョンのアップデート方法メモ。残念ながらGUIの管理画面からは自動アップデートできず、手順を踏む必要がある。

■Endian Communityにレジストする
　以下のURLからEndian Communityにレジストする
　http://www.endian.com/en/community/efw-updates/

　登録すると確認メールが送信されてくるので、URLをクリックしてActivateする
　Welcomeメールに書いてある手順に従う

　メール記載の手順は以下。対訳（意訳）で紹介。

■アップデート手順
１）Enable SSH access on your firewall
　　使用中のUTMでsshサービスを有効にする

２）Open your favorite SSH terminal and connect to the firewall (On Windows you may use putty)
　　任意のsshクライアントで接続する

３）If your Endian Firewall Community is older than version 2.2 please run
　　root@efw-2:~ # rpm -ivh http://updates.endian.org/upgrade.rpm
　　version2.2以前を使用中の場合は上記rpmコマンドを実行する

４）Run the efw-upgrade script
　　root@efw-2:~ # efw-upgrade
　　efw-upgrateスクリプトを実行する

　　Please choose the appropriate channel for your environment and hit [ENTER]:
　　1) Production (stable releases)
　　2) Development (bleeding edge)
　　安定版か開発版か選択肢が出るので１の安定版を選択する

　　Please enter your username and hit [ENTER]:
　　usenameとして登録したメールアドレスを入力する

５）Life is too short to be serious! Become our fan on Facebook and have some fun!
　　Facebookでファン登録して楽しんでねw

5番の手順はともかく、シンプルにアップデートできる。１と２についてはsshを開けなくてもコンソールからログインすることでアップデートが可能。管理画面からもできていいんじゃないかと思われるが、UTMのadminとマシンのrootは違う人間が担当するという前提での設計なのかも。

(まだ評価されていません)

Loading...

■UTM専用マシンの静音化
　以前書いた以下のエントリーの続き。夏から稼働させるネットワーク用のUTMとして試験的にEndian UTMで常時稼働させる前提で考えた際に、電源とCPUファンが近接しすぎていることによるノイズが（比較的耳障りでないとはいえ）やや気になったので、ACアダプタ化することで静音化したメモ。

UTM専用マシンを低予算で組む（Astaroのインストール）
http://blog.isnext.net/issy/archives/232

■ACアダプタ化キット 日本PCサービス SRD2D080SATA2-24
　購入したのは日本PCサービスのSRD2D080SATA2-24。テクノハウス東映で7880円。1000円安価なSRD2D080V21-24と少し悩んだが、5VSBでのPEAKの値が2.0Aと3.0Aと差があり、気持ち余裕のある値の大きいSRD2D080SATA2-24にしてみた。常時起動前提なのであまり問題ない気もするが、少しでも電源が安定してくれる方が安心感がある。
　このキットのコネクタ構成はMX1202-BK付属のSFX電源とほぼ同じなので、延長や分岐用ケーブルは不要だった。（電源を取り外したバックパネルの穴はダンボールをカットしてはめ込み）

電源の詳細は以下へ。
http://pc.j-pcs.info/cn12/SRD2D080SATA-24.html

■現状の構成

　ケース：岡谷 MX1202-BK Mini-ITX
　電源：日本PCサービス SRD2D080SATA2-24
　マザーボード：Intel DG41MJ LGA775 Mini-ITX Giga Ethernet RTL8111D
　CPU： Intel Celeron DC E3400
　メモリ：PQI DDR2-800 1G x2
　HDD：Western Digital WD800BEVT
　PCIカード：Corega CG-LAPCITXY 100M Ethernet RTL8139D

　この構成でSFX電源使用時に最大52W 常時31W程度となっていたものが、最大54W（起動時各種プロセスが起動中の時）常時26Wとなった。常時使用電力が5Wも下がったのは非常に大きい。使用電力量からACアダプタ化しても大丈夫ではないかと推測して今回試してみたが、動作にも問題なく音もほぼ無音（Intelのリテールクーラーは非常に優秀）になったことで効果はとても大きかった。
これだけ静かでパフォーマンスもそこそこ出るようだと、メンテナンス用サーバにもう１台組んでみたいと思ってしまう。

(まだ評価されていません)

Loading...

■Endian UTMにおける複数固定IPアドレスの設定
かもめインターネットの固定8IPサービスを利用する場合に行った設定。
他のサービスで同様に設定可能はわかりません。
設定を確認するためにEndian UTMの代理店プラムシステムズの山崎様にアドバイスをいただきました。ありがとうございました。

■接続の前提条件（かもめインターネット固定8IPサービス）
　　　PPPoEでの接続
　　　Ethernetは２口（DMGなし）
　　　割当IPアドレスは 211.xxx.xxx.16/29 とする（固定8IPの場合を想定）
　　　211.xxx.xxx.16はネットワークアドレス
　　　211.xxx.xxx.23はブロードキャストアドレス

■「システム」＞「ネットワークの設定」で「ネットワーク設定ウィザード」を使う場合

ステップ１：レッドインターフェースの種別を選択
　PPPoE

ステップ２：ネットワークゾーンを選択
　なし

ステップ３：ネットワーク設定
　グリーン
　IPアドレス　192.168.0.1 network mask /24-255.255.255.0
　追加アドレスの登録：なし
　インターフェース：１(eth0）にチェック（LAN側の結線が内蔵イーサネットの場合）
　ホスト名：efw-xxxxxxxx（任意）
　ドメイン名：example.local（任意）

ステップ４：インターネットアクセスの設定
　インターフェース：２(eth1）にチェック（Internet側の結線が外付けイーサネットの場合）
　ユーザ名：プロバイダ指定のアカウント
　パスワード：プロバイダ指定のパスワード
　認証方式：プロバイダ指定の方式
　MTU：空白
　DNS：automatic（プロバイダ指定の値があればmanual）
　サービス：空白
　Concentrater name：空白

ステップ５：DNSサーバの設定
　DNS: automatic（manualを選択した場合ここで値を入力）

ステップ６：Configure default admin mail
　Admin email address：管理者のメールアドレス（宛先）
　Sender email address：送信者のメールアドレス（送り主）
　スマートホストのアドレス：送信に使うSMTPサーバのアドレス

ステップ７：設定変更の適応
　設定の適応ボタンを押す

ステップ８：完了

これでダッシュボードに戻って「Uplinks」で「主アップリンク」のステータスがUPになればOK。

同様の設定は「ネットワーク」＞「インターフェース」から「主アップリンク」の編集ボタンを押すことでも変更可能。

この設定を行った上で、「ファイアウォール」＞「ポート転送/NAT」＞「Port forwarding / Destination NAT」にて各グローバルIPとLAN内IPの紐付けを行う。

内部に設置するサーバはゲートウェイ/DNSアドレスに192.168.0.1を設定する。
これでUplinkが成立すれば、外部から指定のIPで指定サーバにアクセス可能になる。

以上。

ちなみに…
ステップ４において以下の設定をしても同様に動作します。
　追加アドレスの登録：
　211.xxx.xxx.17/29
　211.xxx.xxx.18/29
　211.xxx.xxx.19/29
　211.xxx.xxx.20/29
　211.xxx.xxx.21/29
　211.xxx.xxx.22/29

最初こちらを追記していたのですが、プラムシステムズの山崎様より書かなくても動作するとのことで、上記設定の通り確認したところちゃんと動作しました。追加アドレスを各場合と書かない場合ではネットマスク値の扱いが変わるとのことでしたが、外部からアクセスしてみたところ何か動作上に変化があるのかどうかわかりませんでした。

Endianの内部的には追加アドレスを記述した場合、「ファイアウォール」設定等で追記アドレスが選択項目にリストされるので多少分かりやすいというメリット？はあるかなと思います。

【7/13追記】
使用用途にもよりますが、上記の追加アドレスは設定した方がよいと思います。追加アドレス登録しない場合、ソースNAT設定においてLAN IPとグローバルIPの割り付けができないので、全て211.xxx.xxx.16のネットワークアドレスから外部発信することになります。サーバとグローバルIPを１対１で対応させたい場合には追加アドレス登録は必須だと思います。

(まだ評価されていません)

Loading...

これまでuntangleやAstaroのUTM話をしてきましたが、先日行われた情報セキュリティEXPOでEndian社の方（日本人）と直接製品についてお話することが出来たので、インターフェースが若干わかりにくいなぁとは思っていたのですが、評価して試験的にAstaroの代わりに実家に導入してみました。今回はEXPOで聞いたお話とuntangle/Astaroとの簡単な比較を紹介します。

Endian UTM (Endian Firewall)は基本OSSで構成されているのでCommunity Editionが存在し、その利用は無料です。Endian社からはアプライアンス製品が数種類提供されており、Community Editionよりもバージョンが新しいものが採用されているそうです。国内ではプラムシステムズさんがサポートするとのこと。

Endian UTM
http://www.endian.com/jp/

プラムシステムズ
http://www.plum-systems.co.jp/endian/index.html

Endian UTMはヨーロッパで広く導入されているそうで、Endian社としてはサポートやカスタマイズが収入源になっているとのことでした。カスタマイズについてはそもそもOSSで構成されているのでかなり自由に行うことが可能で、アプライアンス製品についてもユーザがroot権限を持っていろいろな操作が可能とのこと。RHELベースなのでカスタムも容易で、Endian社としてはアンチウイルス商用製品の組み込みや管理画面のカスタマイズなどをよくやっているそうです。

Endian社に日本人がいて日本語対応を積極的に行っていることや、ユーザのカスタマイズに寛容なことなどから、システム的な使い勝手は非常に期待できる製品と思われました。関連する日本語リソースもそこそこあったので以下に紹介しておきます。

Endian UTM Appliance v2.3 日本語ドキュメント
http://oss.infoscience.co.jp/endianfirewall/

EFWセットアップ
http://matzjiro.at.webry.info/theme/d833c1e61d.html

EFWリファレンス
http://matzjiro.at.webry.info/theme/cc4b381c36.html

EFW TIP
http://matzjiro.at.webry.info/theme/025ce09f41.html

今回実家に試験導入するに当って、以前untangleなどを評価した際と同じように、Dell D600 PenM1.8GHz 1Gメモリのマシンに導入してみました。EthernetはUSBタイプのバッファローのLUA3-U2-ATXが問題なく利用できました。インストールしたのはCommunity Edition v2.3のiso版です。

インストール後の起動直後でメモリ使用量は30%程度、CPU負荷も数%、実際にEndianを経由したWeb接続ではuntangleよりも体感でよいレスポンスが得られました。PenM1.8GHzでも小規模のネットワークであれば十分なパフォーマンスを発揮してくれます。インターフェースがわかりにくいと感じていたのは、各種proxyやフィルタが稼働しているかどうかサマリを見るページはあっても、実際に機能をどこで設定するのか直感的にわかりにくく、設定を有効にするインターフェースがまちまちで統一感に欠け、Web管理画面の全体デザイン自体が美しいのと対照的に、機能的な把握がしにくいという点につきると思います。個々の機能は適切な日本語訳と相まって比較的よい印象にも関わらず、UTM全体の印象はあまり良くないという不思議な感覚になります。せめて機能稼働状況のページから各設定にわかりやすく誘導して欲しいなと思います。

Endian社はデザイン専門の人を１名確保しているそうで、HPも含めて鮮やかな緑でまとめられた製品コンセプトは、セキュリティ製品にはあまり見られない取り組みで、イタリアの会社らしい素敵なアイデアに感じられ非常に好感が持てます。イタリアでセキュリティ製品というのは珍しい感じもしますが、Zone-Hなども存在する国ですし優れたハックスキルを持つ人材が実は多いのかもしれませんね。

Community Editionはuntangle同様、https等の暗号化通信のVirus Scanには対応していませんが、アプライアンス製品は対応しているそうです。また無線LANにも積極的に対応しているため、USBやPCMCIAに非対応のAstaroと比較して、ノートPCなど底コストのリソースも非常に活用しやすい素地を持っています。更にインターフェースが洗練されて、使いやすくなることを期待したいと思います。

とりあえず実家で使い始めてみたので、また気付いたことがあれば書きたいと思います。

(まだ評価されていません)

Loading...

仕事で調べたのでメモ。基本はメールのアンチウイルス＆アンチスパム対応を本サーバに届く前に実行できることを要件とする。可能であればWebMail/POP/IMAPにも対応できるとよい。
とりあえず、いくつかは試験してみることにして候補を挙げておく。untangleが最も要求に近いようなので、これから試していく予定。

■無償で利用可能なUTM(SecurityGateway)製品

untangle（IMAP対応）
http://www.untangle.com/
日本語情報少ないが、製品は日本語対応。Webの管理画面は日本語で設定可能。
ただし、管理クライアントには日本語フォント設定されていないため、別マシンからアクセスが必要。
管理インターフェースは分かりやすいような気がする…。Debianベースらしい。

Astaro Linux（IMAP未対応）
http://www.astaro.com/
個人用はフルファンクション。企業向け無償版は機能限定。
アプライアンスは使ったことあり。多機能かつ安定性高い。

Endian Firewall（IMAP未対応）
http://www.endian.com/en/community/overview/
日本語の詳細な説明が商用版には有り。肝心のドキュメント類は全部英語。
若干設定がわかりにくい気がする。

Free UTM（POP/IMAP対応？）
https://free-utm.com/
多機能そう。Mailサーバを自分持ちするタイプのような記述。ターゲットと違うかも？

RedWall（include load balancer)
http://www.redwall-firewall.com/
非常にコンパクトかつ軽量。USBやCDで起動されることを想定している。
マシンパワーによってはこれはよい選択になるかも。
ロードバランサー機能にも注目。

BrazilFW Firewall and Router（include load balancer)
http://www.brazilfw.com.br/forum/
良さそうな気がするのだが、言語の壁が…。

GB-Ware (2User Only)
http://www.gta.com/firewalls/gbware2user/

■その他近しい製品

pfsence (include load balancer)
http://www.pfsense.org/
BSDベース。アンチウイルス＆アンチスパムがないので対象外だが、ロードバランサー機能とPPPoEサーバ機能に注目。

eBox
http://www.ebox-platform.com/
統合サーバを構築可能な製品。今回メインサーバが別にあるので対象外。
機能自体の統合度合は面白そうなので、そのうち試してみたい。

smoothwaill
http://www.smoothwall.org/
比較的Firewall寄りな製品。こちらもアンチウイルス＆アンチスパムがないので対象外だが、ajaxな画面でコントロールできるということで注目。

■Spam発信元ブロック用IPリストのメモ
[code]http://www.emergingthreats.net/index.php/rules-mainmenu-38.html

Spamhaus.org DROP List
http://www.emergingthreats.net/rules/emerging-drop.rules
http://www.emergingthreats.net/rules/emerging-compromised-BLOCK.rules[/code]

【7/31追記】GB-Wareを追加。2Userまで無償利用可能。

(まだ評価されていません)

Loading...