Linux/CGP作業メモ

■スマートフォン対応検疫システムCounterACT + NetAttest LAP
　ITPro EXPOで興味深い製品を見かけたのでメモ。エージェントレスでスマートフォンの検疫システムを構築でき、多拠点型のビジネスモデルでも比較的導入コストを低く抑えられそうで、以前在籍した会社に導入したいなぁと思われたので要点を箇条書きにて整理しておく。

・CounterACTは検疫＋IPSの組み合わせで動作する
・スマートフォンの検疫はMACアドレスベース
　→PCはOSやAntiVirusなど詳細な条件設定可能
・デバイスの識別はHTTPヘッダ上のUser-Agent
・インライン設置でなくミラーポート設置でOK
・CounterACTのみでは同一セグメントしか検疫できない
　→L3スイッチのARPテーブルの参照やARP・NBT・DHCPリレーの監視等他機器連携で可能だそうです
　　関係者の方から訂正をいただきました、ありがとうございます
・今回のケースでは他セグメントはNetAttest LAPをCounterACT連携させて検疫を可能に
・CounterACTが検疫ルールを一元管理
・NetAttest LAPは自管理セグメントの端末検出時にCounterACTに通知
・CounterACTの応答に対応してNetAttest LAPが接続を制御する
・検疫をパスしても不正なパケットはIPS機能で遮断可能という２重防御
・通常IPSは外部からのアクセスに対して設置されることが多いがこれは内部通信向けを想定
・社内でウイルス感染した端末が不正通信を行った場合に検知可能
・対象端末の通信の遮断や遅延（ハニーポット機能あり）をさせることが可能
・ActiveResponse機能はなかなか面白い
・業務システムがDC集中で拠点が多数分散しているようなケースで非常に有効
・NetAttest LAPは小型のアダプタサイズのアプライアンスで非常にコンパクト
・小さい拠点でも設置に困らない←重要
・NetAttest LAP自体もインライン設置でなくミラーポート設置でOK
・５年前に存在していたら当時在籍の会社に即導入提案してたな
・1000ユーザ導入＆３年間維持コストで800万くらい？w
・説明員さんが今は亡きリコース社のManHunt IDSを知っててびっくりした
・その説明員さんがこのblog読んでて更にびっくりしたw

　過去にManhunt IDSを在籍企業で導入していた時には、インターネットからのアクセス部分と社内から社外へアクセスする部分の両方を同時監視できるネットワーク構成にして最小のライセンスで運用可能にし、IDSの機能をフルに活用する工夫をしていたが、この場合多数ある拠点とDC間におけるWLAN通信監視が事実上行えず社内側に一部リスクを残す構成になってしまっていた。今回のこの仕組みがあれば全拠点で各セグメント単位にデバイスを配置し、制御は１ヶ所で集中できることから、社内側ネットワークの監視レベルが高く維持でき、比較的運用的にもコスト的にも抑えられそうな印象があり非常に興味をそそられた。少人数の拠点が多い企業では目の行き届かない部分も多く、こうした仕組みは非常に有効だと思われる。エージェントレスなのでキッティングも不要。httpのヘッダが必要という部分はやや気になるが、Untangleのような無償利用可能なUTMのCaptive Portal Webと組み合わせるなど必ずhttp通信を必須とする環境を作ることで対応は可能だと思われる。CounterACTが更に小さくなればサーバラックのない中小企業でも容易に導入できると思うのでぜひコンパクト化を期待したい。

(1 投票, 平均値/最大値: 5.00 / 5)

Loading...

■endian UTM のアップデート方法メモ
　endian UTM (endian Firewall) Communityバージョンのアップデート方法メモ。残念ながらGUIの管理画面からは自動アップデートできず、手順を踏む必要がある。

■Endian Communityにレジストする
　以下のURLからEndian Communityにレジストする
　http://www.endian.com/en/community/efw-updates/

　登録すると確認メールが送信されてくるので、URLをクリックしてActivateする
　Welcomeメールに書いてある手順に従う

　メール記載の手順は以下。対訳（意訳）で紹介。

■アップデート手順
１）Enable SSH access on your firewall
　　使用中のUTMでsshサービスを有効にする

２）Open your favorite SSH terminal and connect to the firewall (On Windows you may use putty)
　　任意のsshクライアントで接続する

３）If your Endian Firewall Community is older than version 2.2 please run
　　root@efw-2:~ # rpm -ivh http://updates.endian.org/upgrade.rpm
　　version2.2以前を使用中の場合は上記rpmコマンドを実行する

４）Run the efw-upgrade script
　　root@efw-2:~ # efw-upgrade
　　efw-upgrateスクリプトを実行する

　　Please choose the appropriate channel for your environment and hit [ENTER]:
　　1) Production (stable releases)
　　2) Development (bleeding edge)
　　安定版か開発版か選択肢が出るので１の安定版を選択する

　　Please enter your username and hit [ENTER]:
　　usenameとして登録したメールアドレスを入力する

５）Life is too short to be serious! Become our fan on Facebook and have some fun!
　　Facebookでファン登録して楽しんでねw

5番の手順はともかく、シンプルにアップデートできる。１と２についてはsshを開けなくてもコンソールからログインすることでアップデートが可能。管理画面からもできていいんじゃないかと思われるが、UTMのadminとマシンのrootは違う人間が担当するという前提での設計なのかも。

(まだ評価されていません)

Loading...

■Androidウイルス対策
　初のAndroid向けウイルスが発見されたということで、現在できることで一応効果がありそうな対策を考えてみる。十分予見されていたAndroidウイルスの出現ではあるので、以前取り上げたように基本的なアンチウイルスソフトは複数製品として存在しており、これらを導入することはもちろん効果的だと思われる。しかしアンチウイルスソフトはウイルスデータが更新されるまでは後手になるケースが多いので、今回のウイルスの挙動から利用できそうな対策ソフトを検討してみる。

Android向けアンチウイルスソフトのまとめ記事は以下。
http://blog.isnext.net/issy/archives/276

１）SMSの挙動を確認する
　今回のウイルスはトロイの木馬タイプで別アプリに潜んでAndroid端末に進入し、SMSを勝手に送りまくるというものだそうだ。ということで、SMSを送信する場合必ずユーザが送信確認を行うソフトがないか調べてみた。…が、残念ながら後述する電話発信の確認を行うソフトはあったが、SMSの発信確認ができるソフトはちょっと検索した程度では見つからなかった。SMSソフト自体は多数存在するので、標準のSMSをアンインストールして置き換えることで、勝手送信を防ぐことが可能なパターンは存在するかもしれない。ただSMSはキャリアの仕様等で動作の互換性に問題が発生するケースも多いので、SMSの入れ替えで安定した環境を構築するのは多少困難が予想される。

　そこでSMSの発信確認ができないのであれば、せめてSMSの送信量を規制したり状況確認を行うことができないものかと探したところ以下のアプリが該当するようだ。

Credit Alarm $1.67
http://www.cyrket.com/p/android/com.cellcrowd.creditalarm/

Credit Alarmは通信料金が超過してしまわないように、設定した値になると通話やSMS利用を制限してくれるアプリ。これを設定しておけばウイルスにSMSや電話を勝手に発信されても一定量で抑えることが期待できる。

Data Tracker 無料
http://www.cyrket.com/p/android/com.fvd.datatracker/

Data Trackerは通話及びSMS送信量のチェックを可能にするアプリ。テザリングの通信等は対象外のようだが、これで記憶にない通話やSMS送受信データが著しく増加していたりする場合にはウイルス感染などを疑うことが可能になる。

２）通話発信を規制する
　古くから感染したウイルスが国際電話や有料課金電話番号に勝手に発信するという事例がある。Android端末も多くが3G携帯電話として利用されているので、遠からずこうしたウイルスが出てくることは想像に難くない。そこで、電話発信をする場合必ずユーザの発信確認を必要とするソフトをインストールしておくことで対策とする。

Call Confirm 無料
http://www.cyrket.com/p/android/net.nanabit.callconfirm/

　Call Confirmは電話発信する際に必ず「本当に発信しますか？」という確認ダイアログを出して確認ボタンを押すことで初めて発信が可能になるというアプリ。うっかり操作の防止のために導入したのだが、アプリによっては稀に操作中に自動発信してしまうものがあり、そういう挙動を防ぐのにも重宝している。これをインストールすることで勝手な国際電話発信等の防止を期待できる。日本語対応。

３）アプリの勝手なデータ送信を規制する
　こちらは先日個人情報漏えい関係で記事にしたので、そちらを参照。

Androidでの個人情報漏えい対策
http://blog.isnext.net/issy/archives/339

おそらくまだできることはあると思われるが、それはまた思いついた時に追記したい。
先日調べた時にも思ったがAndroidアプリの市場では、端末から外部へ情報が出ていく方向への対策が非常に不足しており、PCとほぼかわらないOSであるにも関わらず、ビジネスとしてセキュリティに関して取り組んでいる開発者が多くないように感じる。アンチウイルスソフトの開発企業ですらウイルスそのものの対策と紛失対策が主たるターゲットであり、パーソナルファイアウォールやコンテンツフィルタ等の開発はまだされていないように見える。今回のウイルスの発見でAndroidにもPCと同様の本格的なセキュリティ対策が望まれてくると思うので、セキュリティベンダにはぜひ期待をしたい。

Androidのユーザ側で短期的に自衛できる手段としては、UTMを積極的に導入しUTM配下のネットワーク経由でアクセスするか、3G接続時もUTMにVPN接続した上でネットワーク利用するなどの方法が考えられる。バッテリー等の問題もあるので最適な解決方法とは言えないが、端末に余計なソフトをゴテゴテ入れなくても比較的安全に利用する手段のひとつとして検討には値すると思われる。個人でも導入可能な無償UTMのリストは以下。

無償利用可能なUTM(Security Gateway)製品リスト
http://blog.isnext.net/issy/archives/218

(まだ評価されていません)

Loading...

■Android専用アプリで設定可能な無償UTM GB-Ware
　たまたま見つけたのでメモ。無償利用は2Userまでというところが微妙だけど、Home利用なら十分かもしれない。またAndroid専用アプリが用意されているのは珍しいということで紹介。いずれ試してみたい。GB-Wareは主にアプライアンスで販売されているUTM。AstaroやEndianと同類。

GB-Ware（2Userまで無償）
http://www.gta.com/firewalls/gbware2user/

GB-Auth（GB-Ware用Androidアプリ）
http://www.cyrket.com/p/android/com.gta.android.gbauth/

以前調べた無償利用可能UTMの一覧にも追記。
http://blog.isnext.net/issy/archives/218

(まだ評価されていません)

Loading...

■UTM専用マシンの静音化
　以前書いた以下のエントリーの続き。夏から稼働させるネットワーク用のUTMとして試験的にEndian UTMで常時稼働させる前提で考えた際に、電源とCPUファンが近接しすぎていることによるノイズが（比較的耳障りでないとはいえ）やや気になったので、ACアダプタ化することで静音化したメモ。

UTM専用マシンを低予算で組む（Astaroのインストール）
http://blog.isnext.net/issy/archives/232

■ACアダプタ化キット 日本PCサービス SRD2D080SATA2-24
　購入したのは日本PCサービスのSRD2D080SATA2-24。テクノハウス東映で7880円。1000円安価なSRD2D080V21-24と少し悩んだが、5VSBでのPEAKの値が2.0Aと3.0Aと差があり、気持ち余裕のある値の大きいSRD2D080SATA2-24にしてみた。常時起動前提なのであまり問題ない気もするが、少しでも電源が安定してくれる方が安心感がある。
　このキットのコネクタ構成はMX1202-BK付属のSFX電源とほぼ同じなので、延長や分岐用ケーブルは不要だった。（電源を取り外したバックパネルの穴はダンボールをカットしてはめ込み）

電源の詳細は以下へ。
http://pc.j-pcs.info/cn12/SRD2D080SATA-24.html

■現状の構成

　ケース：岡谷 MX1202-BK Mini-ITX
　電源：日本PCサービス SRD2D080SATA2-24
　マザーボード：Intel DG41MJ LGA775 Mini-ITX Giga Ethernet RTL8111D
　CPU： Intel Celeron DC E3400
　メモリ：PQI DDR2-800 1G x2
　HDD：Western Digital WD800BEVT
　PCIカード：Corega CG-LAPCITXY 100M Ethernet RTL8139D

　この構成でSFX電源使用時に最大52W 常時31W程度となっていたものが、最大54W（起動時各種プロセスが起動中の時）常時26Wとなった。常時使用電力が5Wも下がったのは非常に大きい。使用電力量からACアダプタ化しても大丈夫ではないかと推測して今回試してみたが、動作にも問題なく音もほぼ無音（Intelのリテールクーラーは非常に優秀）になったことで効果はとても大きかった。
これだけ静かでパフォーマンスもそこそこ出るようだと、メンテナンス用サーバにもう１台組んでみたいと思ってしまう。

(まだ評価されていません)

Loading...

■Endian UTMにおける複数固定IPアドレスの設定
かもめインターネットの固定8IPサービスを利用する場合に行った設定。
他のサービスで同様に設定可能はわかりません。
設定を確認するためにEndian UTMの代理店プラムシステムズの山崎様にアドバイスをいただきました。ありがとうございました。

■接続の前提条件（かもめインターネット固定8IPサービス）
　　　PPPoEでの接続
　　　Ethernetは２口（DMGなし）
　　　割当IPアドレスは 211.xxx.xxx.16/29 とする（固定8IPの場合を想定）
　　　211.xxx.xxx.16はネットワークアドレス
　　　211.xxx.xxx.23はブロードキャストアドレス

■「システム」＞「ネットワークの設定」で「ネットワーク設定ウィザード」を使う場合

ステップ１：レッドインターフェースの種別を選択
　PPPoE

ステップ２：ネットワークゾーンを選択
　なし

ステップ３：ネットワーク設定
　グリーン
　IPアドレス　192.168.0.1 network mask /24-255.255.255.0
　追加アドレスの登録：なし
　インターフェース：１(eth0）にチェック（LAN側の結線が内蔵イーサネットの場合）
　ホスト名：efw-xxxxxxxx（任意）
　ドメイン名：example.local（任意）

ステップ４：インターネットアクセスの設定
　インターフェース：２(eth1）にチェック（Internet側の結線が外付けイーサネットの場合）
　ユーザ名：プロバイダ指定のアカウント
　パスワード：プロバイダ指定のパスワード
　認証方式：プロバイダ指定の方式
　MTU：空白
　DNS：automatic（プロバイダ指定の値があればmanual）
　サービス：空白
　Concentrater name：空白

ステップ５：DNSサーバの設定
　DNS: automatic（manualを選択した場合ここで値を入力）

ステップ６：Configure default admin mail
　Admin email address：管理者のメールアドレス（宛先）
　Sender email address：送信者のメールアドレス（送り主）
　スマートホストのアドレス：送信に使うSMTPサーバのアドレス

ステップ７：設定変更の適応
　設定の適応ボタンを押す

ステップ８：完了

これでダッシュボードに戻って「Uplinks」で「主アップリンク」のステータスがUPになればOK。

同様の設定は「ネットワーク」＞「インターフェース」から「主アップリンク」の編集ボタンを押すことでも変更可能。

この設定を行った上で、「ファイアウォール」＞「ポート転送/NAT」＞「Port forwarding / Destination NAT」にて各グローバルIPとLAN内IPの紐付けを行う。

内部に設置するサーバはゲートウェイ/DNSアドレスに192.168.0.1を設定する。
これでUplinkが成立すれば、外部から指定のIPで指定サーバにアクセス可能になる。

以上。

ちなみに…
ステップ４において以下の設定をしても同様に動作します。
　追加アドレスの登録：
　211.xxx.xxx.17/29
　211.xxx.xxx.18/29
　211.xxx.xxx.19/29
　211.xxx.xxx.20/29
　211.xxx.xxx.21/29
　211.xxx.xxx.22/29

最初こちらを追記していたのですが、プラムシステムズの山崎様より書かなくても動作するとのことで、上記設定の通り確認したところちゃんと動作しました。追加アドレスを各場合と書かない場合ではネットマスク値の扱いが変わるとのことでしたが、外部からアクセスしてみたところ何か動作上に変化があるのかどうかわかりませんでした。

Endianの内部的には追加アドレスを記述した場合、「ファイアウォール」設定等で追記アドレスが選択項目にリストされるので多少分かりやすいというメリット？はあるかなと思います。

【7/13追記】
使用用途にもよりますが、上記の追加アドレスは設定した方がよいと思います。追加アドレス登録しない場合、ソースNAT設定においてLAN IPとグローバルIPの割り付けができないので、全て211.xxx.xxx.16のネットワークアドレスから外部発信することになります。サーバとグローバルIPを１対１で対応させたい場合には追加アドレス登録は必須だと思います。

(まだ評価されていません)

Loading...

これまでuntangleやAstaroのUTM話をしてきましたが、先日行われた情報セキュリティEXPOでEndian社の方（日本人）と直接製品についてお話することが出来たので、インターフェースが若干わかりにくいなぁとは思っていたのですが、評価して試験的にAstaroの代わりに実家に導入してみました。今回はEXPOで聞いたお話とuntangle/Astaroとの簡単な比較を紹介します。

Endian UTM (Endian Firewall)は基本OSSで構成されているのでCommunity Editionが存在し、その利用は無料です。Endian社からはアプライアンス製品が数種類提供されており、Community Editionよりもバージョンが新しいものが採用されているそうです。国内ではプラムシステムズさんがサポートするとのこと。

Endian UTM
http://www.endian.com/jp/

プラムシステムズ
http://www.plum-systems.co.jp/endian/index.html

Endian UTMはヨーロッパで広く導入されているそうで、Endian社としてはサポートやカスタマイズが収入源になっているとのことでした。カスタマイズについてはそもそもOSSで構成されているのでかなり自由に行うことが可能で、アプライアンス製品についてもユーザがroot権限を持っていろいろな操作が可能とのこと。RHELベースなのでカスタムも容易で、Endian社としてはアンチウイルス商用製品の組み込みや管理画面のカスタマイズなどをよくやっているそうです。

Endian社に日本人がいて日本語対応を積極的に行っていることや、ユーザのカスタマイズに寛容なことなどから、システム的な使い勝手は非常に期待できる製品と思われました。関連する日本語リソースもそこそこあったので以下に紹介しておきます。

Endian UTM Appliance v2.3 日本語ドキュメント
http://oss.infoscience.co.jp/endianfirewall/

EFWセットアップ
http://matzjiro.at.webry.info/theme/d833c1e61d.html

EFWリファレンス
http://matzjiro.at.webry.info/theme/cc4b381c36.html

EFW TIP
http://matzjiro.at.webry.info/theme/025ce09f41.html

今回実家に試験導入するに当って、以前untangleなどを評価した際と同じように、Dell D600 PenM1.8GHz 1Gメモリのマシンに導入してみました。EthernetはUSBタイプのバッファローのLUA3-U2-ATXが問題なく利用できました。インストールしたのはCommunity Edition v2.3のiso版です。

インストール後の起動直後でメモリ使用量は30%程度、CPU負荷も数%、実際にEndianを経由したWeb接続ではuntangleよりも体感でよいレスポンスが得られました。PenM1.8GHzでも小規模のネットワークであれば十分なパフォーマンスを発揮してくれます。インターフェースがわかりにくいと感じていたのは、各種proxyやフィルタが稼働しているかどうかサマリを見るページはあっても、実際に機能をどこで設定するのか直感的にわかりにくく、設定を有効にするインターフェースがまちまちで統一感に欠け、Web管理画面の全体デザイン自体が美しいのと対照的に、機能的な把握がしにくいという点につきると思います。個々の機能は適切な日本語訳と相まって比較的よい印象にも関わらず、UTM全体の印象はあまり良くないという不思議な感覚になります。せめて機能稼働状況のページから各設定にわかりやすく誘導して欲しいなと思います。

Endian社はデザイン専門の人を１名確保しているそうで、HPも含めて鮮やかな緑でまとめられた製品コンセプトは、セキュリティ製品にはあまり見られない取り組みで、イタリアの会社らしい素敵なアイデアに感じられ非常に好感が持てます。イタリアでセキュリティ製品というのは珍しい感じもしますが、Zone-Hなども存在する国ですし優れたハックスキルを持つ人材が実は多いのかもしれませんね。

Community Editionはuntangle同様、https等の暗号化通信のVirus Scanには対応していませんが、アプライアンス製品は対応しているそうです。また無線LANにも積極的に対応しているため、USBやPCMCIAに非対応のAstaroと比較して、ノートPCなど底コストのリソースも非常に活用しやすい素地を持っています。更にインターフェースが洗練されて、使いやすくなることを期待したいと思います。

とりあえず実家で使い始めてみたので、また気付いたことがあれば書きたいと思います。

(まだ評価されていません)

Loading...

■UTM専用マシンを低予算で組む
せっかく無償のUTMを利用するのにマシンが高価ではあまり嬉しくないということで、できるだけ低予算でUTMに必要なスペックが動作するように組んでみる。そして手元にあったDellのノートPC D600 PentiumM1.8GHz 1Gメモリのマシンでの動作報告も。ターゲットはuntangleとastaro。ブリッジモードで動作させることを前提とする。

■Dell D600 での動作
まずは軽くD600の動作報告。D600のスペックはPentiumM1.8GHz 1Gメモリ 40GHD 100MEthernet x1 カードスロットx1 USB2.0 x2。ブリッジモードで動作させるためにはEthernetの口が２つあると便利なので追加しないといけない。手元にあるLinuxの動作実績のあるバッファローのLUA3-U2-ATXを利用した。

１）untangle
　問題なく動作。untangle自体がDebianベースということもあり、Debianでの動作実績のあるLUA3-U2-ATXはドライバなどを用意しなくてもスムーズに認識された。もうひとつ手元にあるPlanexのUE-200TX-Gでも同じチップなのでたぶん大丈夫。おそらくDebian(lenny)で動作するものは（無線LAN除く）動作すると思われる。
　インストール直後のメモリ使用量は65%程度。CPU負荷も30%程度あったが落ち着いた後は数％程度になった。Webの管理画面はやや重い感じ。

２）astaro
　インストール自体はできるものの、LUA3-U2-ATXは認識されず。astaroのフォーラムやハードウェア互換リスト確認したところ、astaroはUSB及びPCMCIAのデバイスは一切サポートしていないとのこと。サポート外で使えるとか使えないとかはなく、そもそも認識しないようになっているらしい。インストール後コンソールからシステム構成を覗いてみても、ほとんどのサービスがchroot化されていて/var/log等も一般的なLinuxの構成とかなり違うため、外部から勝手にいじられないように相当しっかりカスタマイズされているようだ。セキュリティ製品としては安心感の高い造りになっているように感じる。ただその反面利用可能なデバイスが極めて限定されることになる。事実上Ethernetの口がひとつしかないノートPCや小型PCではastaroの利用はできないと思った方がよいということに。
　インストール直後のメモリ使用量は30%程度。CPU負荷は数%。Web管理画面は最初の読み込みに時間がかかるが操作は快適。

■専用マシンを組む
untangleは実際に試すことができたが、動作はやや重い印象だったことと、astaroをちゃんと動作させてみたいと思ったので、実家用に導入する前提で専用マシンを１台組むことにしてみた。予算はできるだけ低予算にしたいところだが、置き場所等の関係もあり低価格＆コンパクト＆静音のバランスを取ってトータル３万〜４万程度で検討。結果以下の構成になった。

　ケース：岡谷 MX1202-BK Mini-ITX 200W SFX電源付き（5800円 テクノハウス東映）
　マザーボード：Intel DG41MJ LGA775 Mini-ITX（7480円 テクノハウス東映）Giga Ethernet RTL8111D
　CPU： Intel Celeron DC E3400（5400円 テクノハウス東映）
　メモリ：PQI DDR2-800 1G x2（手持ち）
　HDD：Western Digital WD800BEVT（手持ち）
　PCIカード：Corega CG-LAPCITX（840円 T-ZONE PC DIY）100M Ethernet RTL8139D

一部手持ちのパーツを流用したので購入額は約２万。全部新規調達でも３万円程度ということでまずまず。光学ドライブは手持ちの外付けを利用。
実際組み上げてみるとケースの電源がCPUファンにちょっと当ってしまうのだが、ケースのフタが閉められないというレベルではなく異音もしないので、無理やりそのまま組んでしまった。CPUファンはリテールのまま、音はあまり気にならない。電源ファンの音は多少気になるが比較的低い音で耳障り度は低いのでそのまま利用できそう。組み上げてまずはUbuntu10.04で動作確認。USBメモリからの起動でも十分快適に動作。CPUコアも２つ、Ethernetもちゃんと２つ認識されている。消費電力はインストール途中のMAXで52W、インストール後のアイドル状態で31W程度。十分省エネかな。

このケースを選んだのは一応電源がSFX規格なので交換が容易と思われたから。ATX電源を搭載可能なものもあったが値段が高目だったりオプション購入しないとPCIスロットが使えなかったりで微妙だったため除外。余裕のある時にまた試してみたいところだが…。

■専用マシンにastaroをインストール
Astaroの公式ページで必要事項を入力しHomeライセンスを取得する。
http://www.astaro.com/landingpages/en-worldwide-homeuse__register

レジストすると「Astaro Security Gateway Home Use Firewall」というメールが送られてきて、そこにダウンロードURLと「astaro_home_license.txt」というライセンスファイルが添付されている。指定されたダウンロードURLから最新のisoをダウンロードする。（４月末時点でasg-7.504-100318-1.iso）

isoファイルをCDに焼き、組んだマシンにつないだUSB CD/DVDドライブから起動する。（USBメモリ起動でもたぶんOK）
起動後は英語の画面でWizardが表示されるので、それに従ってENTERとF8を押していく。
インストール先のHDDのデータは完全消去されるので注意（デュアルブート設定などはできない）。

Wizardに従うだけでこの時点では多くの設定はしないが、注意が必要なのはマネージメントに利用するEthernetデバイスを指定してIPアドレスを設定する画面で、必ず上記で紹介したハードウェア互換リストにあるデバイスを指定すること。今回のマシンには内蔵GigaEthernetにRTL8111D、PCIバスに100MEthernet RTL8139Dが接続されていて、どちらもインターフェースとしてastaroのインストーラで認識される。しかしRTL8111Dは互換リストになく、こちらをマネージメントデバイスとして設定しIPを設定すると、インストール完了後にデバイスが有効になっておらず指示されるURLにアクセスできない状態に。この場合には互換リストにあるPCI側のRTL8139Dをマネージメントデバイスとして設定する必要がある。

マネージメントデバイスを設定してインストール完了したら、画面に表示されたURL（https://host-IPaddress:4444/）に別マシンからアクセスする。
そこで管理者のパスワードを設定して、ログイン後各種設定をする。ログイン後はRTL8111D側も適切に設定できるようになる。
　
　
Astaroのインストール自体は本当にシンプルですが、ハードウェアの選択が非常に重要になりますので注意が必要です。untangleに比べて高機能なこともあり、設定等がやや複雑なのでAstaroの設定はまた別に書きたいと思います。

(まだ評価されていません)

Loading...

■UTM導入のメリット・デメリット

無償のUTMがあるということで導入を検討するに当り一応UTM自体の導入メリット・デメリットを整理してみる。個人のみならず、SOHOや中小企業向けという視野で思いついたことを書いておく。

自サーバを導入する際に同時にUTM製品を導入するメリット

・アンチウイルス＆アンチスパムをUTMに任せられるので自サーバの負荷が軽減できる
・UTM製品の仕様にもよるがSMTPだけでなくWeb/POP/IMAP/FTP等も対象になる
・受信送信の双方向で透過的にチェックができる
・透過的にチェックされるのでヘッダの修正等が最小限になる
・透過的故に自サーバに導入するソフトウェアの機能的メリットがスポイルされない
・構成によるがネットワーク全体が包括的に保護されるので安心感が高い
・Bridgeモードであれば導入も容易
・ネットワーク上で起きている攻撃等セキュリティ問題の把握が容易になる
・トラフィック状況などがより視覚的に把握できる
・ロードバランス機能が含まれている場合冗長化構成時にも有利

自サーバを導入する際に同時にUTM製品を導入するデメリット

・UTM自体の運用管理が増える
・構成要素が増えて障害ポイントが増えることになる
・障害が複雑化する可能性がある（透過的故に見えない＆再現や比較が難しい）
・暗号化された通信は対応していないプロトコルが多くチェックできない（結局サーバにも対策が必要）
・UTMは比較的高価かつランニングコストも高め（商用製品はSOHO利用キツイ…）
・サーバへのスループットは下がる（チェックするから。Firewall100M,UTM35Mのスループットくらい）
・管理しなければいけない事象が増えることになる（本来デメリットではないが…）
・心理的安心感でサーバ自体のセキュリティ設定がおろそかになる（ありがち(‘A`)）

有名どころを見る限り暗号化通信にUTMとして有効なのは
　Fortigate　https/smtps/pops
　Sonicwall　https
　Astaro　https
　untangle　なし

という状況なので、商用はもちろん、無償のuntangleでメッセージングをセキュアにという方向には一工夫必要になりそう。SSLラッパをうまく活用して、ブリッジモードのUTMが非暗号化通信をチェックできるような構成をちゃんと設計しないといけないかなぁと。

　[クライアント]→SMTPS→[SSLラッパ]→SMTP→[UTM]→SMTP→[メールサーバ]

みたいな構成か。やっぱり構成要素が増えるばっかりだなぁ…。
とりあえずhttpsのラッパは比較的導入が容易なのでWebMailなんかはちゃんと対策したいところ。
まだ未検証だけどAstaroの個人向け無償ライセンスがhttpsのスキャンに対応していると素晴らしいなぁ。
FortigateはさすがUTMの草分けなだけありますね。高いけどｗ

(まだ評価されていません)

Loading...

■DebianベースのUTM untangleのインストール
諸事情でUTMの検証をすることに。最終的に採用するかどうかは未定ながら、一応特徴を把握しておくために実際に使ってみる。要件は前日記の通り。あまりシステムに詳しくない担当者でも状況把握がしやすいとベター。ということで管理GUIが日本語対応しているuntangleから試す。

とりあえずインストールの記事を書こうと思ったが、DebianベースにしてはインストールGUIが非常に良くできていてWizardの通りに進めればインストール完了まではほとんど苦労はないものと思われる。
なので、ここでは気付いた点をいくつか付記する。

以下よりuntangle-7.2.isoをダウンロード。
http://www.untangle.com/

500M以下くらいのサイズなので、isoをCDに焼く。
untangleは基本的にEthernetが２口必要なので、対象マシンには必要に応じてEthernetカードを増設。
無線LANカードもDebianで認識できるものはInterfaceとしてリストされるが、無線LANの設定を行うGUIが一切ないので、Terminalから設定ができるスキルがないと使えない。ちなみにDebianはlennyらしい（aptのsource.listのコメントアウト部が全てlennyだった）。

CDを対象マシンに挿し込んで、CDから起動しGUIのインストールを選択すればほぼ後はWizardで。
インストール時点から日本語を選択して進めることが可能。
インストール完了後、Web管理画面が自動的に開き言語選択を迫られるが、ここで日本語を選択するとフォントの関係で正しく表示されないため、最初はEnglishのまま進めること。難しい英語ではない。

初期設定が終わってuntangleのラック状管理画面が開くと、設定した各モジュールのラックが追加されていく（ダウンロード時間が必要なので少し待つ）ので、全てが完了したら別のマシンから以下のようにしてアクセスする。

https://host-IPaddress/

これでWeb管理画面にアクセスできる。ログインには初期設定で付けたパスワードが必要。
ここで日本語設定にすれば問題なく日本語表示に変更可能。

untangleのインストールされたマシンにはterminalからログイン可能なアイコンが表示されるが、一番最初にクリックした際にパスワードを設定するよう求められる。ここで設定したパスワードがrootのパスワードになるので必ずインストール直後にやっておくこと。untangleのコンソールはなぜかパスワードロックがかからなかった（何か設定があるのか？）ので、rootのパスワード＆コンソールへのアクセス管理はとても注意が必要。

インストール後メモリ使用量を見ると1Gのメモリ搭載マシンでは直後で7割近く使ってしまっているので、最低でもメモリ2Gは欲しいと思われる。CPUもPCMark05で3000以上はあった方がいいと思う。まだ具体的な動作評価はしていないが、PentiumM1.8GHzのマシンではCPU負荷が結構ある。untangleは重いという噂だったが、確かにそうかもしれない。インストールの内容を見る限りDebian上にuntangle専用のVMを動作させているようで、若干オーバーヘッドがあるのかもしれない。CPUパワーのあるマシンを利用することをオススメ。

インストール後の検証評価はまた後日。

(まだ評価されていません)

Loading...