はじめに

はじめまして、さくらインターネット様のパートナー企業となります、株式会社ハイパーボックス -HYPER BOX- の相原と申します。

少し弊社の紹介をさせて頂きますと、ITシステム導入のご提案から、構築、監視、保守、運用、管理業務までワンストップで行い、オンプレミス環境からクラウドへのマイグレーションやデータベースのシングル構成から冗長化構成への変更、VPN環境の構築等、様々な案件をお任せ頂いております。

今回は 2018/01/25 より、さくらのクラウドで提供が開始されました Sophos UTM について投稿します。

Sophos UTM は、ファイアウォール、IPS、WAF、ロードバランサー、SSLアクセラレータ、VPN 等、1台で何役もこなしてくれる優れもので、基本的にインターネットとプライベートネットワークの境界線に設置し、セキュアな環境を提供します。

早速ですが、Sophos UTM のWebAdminの画面を見てみましょう。

左側のメニューには、下記のように色々な項目が並んでいます。 UTM(総合脅威対策)なので多機能ぶりが見てとれますが、すべての項目で設定を行い、すべての機能をONにして使用する必要はありません。

  • ダッシュボード
  • マネジメント
  • 定義とユーザ
  • インターフェイスとルーティング
  • ネットワークサービス
  • ネットワークプロテクション
  • Webプロテクション
  • Eメールプロテクション
  • 高度な防御
  • エンドポイントプロテクション
  • ワイヤレスプロテクション
  • Webサーバプロテクション
  • REDマネジメント
  • サイト間VPN
  • リモートアクセス
  • ログとレポート
  • サポート
  • ログオフ

 

クラウド上でどの様なサービスを構築しているのか、ネットワーク構成やサーバー構成を考慮し、何から何を守るのかを考察しますと必要になる機能が見えてくると思います。

ありがちな前置きですが、基本的に必要になるのはインターネット上から来る攻撃への対処です。クローズドな環境でサービスできるものは良いのですが、Webサービスやメールサービス等は、インターネットに公開してサービスをおこない、脅威に晒さざるをえない状況が殆どです。

今回の連載では、Sophos UTM に搭載されている、IPS、WAF、ファイアウォール の3つの機能を用いた、Webサーバのセキュリティー対策とその設定を紹介していきたいと思います。

連載は、下記のように全5回を予定しております。

第1回 UTMの作成から初期設定まで
第2回 簡易的なネットワーク構成の構築、ファイアウォールの設定、DNATの設定
第3回 ネットワークプロテクション 侵入防御(IPS)の設定、高度な脅威防御(ATP)の設定
第4回 Webサーバプロテクション WAFの設定
第5回 Webサーバプロテクション WAFとロードバランシングの設定

 

第1回 UTMの作成から初期設定まで

まず、Sophos UTM のサーバを作成します。マニュアルと内容が被る部分もありますが、説明していきます。

※Sophos UTM をルーター+スイッチ下に作成するか、共有セグメント下に作成するかで作業手順が若干異なります。本記事では共有セグメント下に Sophos UTM を作成する手順について紹介しています。

サーバの作成

 

クラウドのコントロールパネルから、サーバの追加

  1.  仮想コア 2、メモリ 4GB
  2. 新規ディスクを作成、SSDプラン、ディスクソースはアーカイブで Sophos UTM を選択し、ディスクサイズは100GB
  3. 「インターネットに接続」で共有セグメントに接続、ライセンスはデフォルトでIPアドレス5個分あるので今回は追加しません。

    編集部注:Sophos UTMは保護対象(IPアドレス)数によるライセンス体系となっており、さくらのクラウドで提供しているSophos UTMはIPアドレス5個分のライセンスがバンドルされています。
  4. 名前は任意ですが、今回は「test-utm」とします。右下の「作成」のボタンをクリックします。
  5. 「同意して作成」のボタンをクリックします。
  6. 作成が開始されるので暫く待ちます。
  7. ステータスがすべて成功になりましたら、「閉じる」ボタンをクリックします。
  8. マップにてサーバの存在を確認したら「test-utm」をクリックし、「コンソール」をクリックします。

 

Sophos UTM の初期設定

 

コンソール から作業

  1. loginユーザーにroot、そしてrootの初期パスワードを入力します。初期パスワードはマニュアルに記載されています。
    ※IPアドレスは黒く塗りつぶしてあります。
  2. システムIDのリセット
    「cc reset_system_id」と入力、戻り値「1」を確認します。

    ※コンソールからの入力時、USキーボード配列になっているので「_」(アンダーバー)の入力に注意してください。アンダーバーは Shift キーを押しながら以下のキーで入力することができます。

WebAdmin から作業

  1. WebAdminへログイン
    https://割り当てられたグローバルIPアドレス:4444 へ
    デフォルトのユーザーとパスワードを入力し、「ログイン」ボタンをクリックします。
    ユーザ名: admin パスワード: rootの初期パスワードと同じ
  2. ホスト名の設定
    画面左側のメニューから、マネジメント > システム設定 > ホスト名 タブ へ移動します。
    ホスト名は任意ですが、今回は「test-utm」と入力します。
  3. WebAdminのパスワード設定
    画面左側のメニューから、定義とユーザ > ユーザとグループ > ユーザ タブ へ移動します。
    「編集」ボタンをクリックします。
  4. メールアドレスと新しいパスワードを入力し、「保存」ボタンをクリックします。
  5. WebAdminへのアクセス制限設定
    左側のメニューから、マネジメント > WebAdmin設定 > 一般 タブ へ移動します。
    許可ネットワークの「 + 」をクリックします。
  6. 「ネットワークオブジェクトを追加」で 名前は任意ですが、今回は「webadmin-login」 とします、
    タイプ でホストを選択し、接続元のIPアドレスを入力して「保存」ボタンをクリックします。
  7. ゴミ箱のアイコンをクリックして、許可ネットワークからAnyを外します。
  8. 「適用」ボタンを押して、設定を反映させます。
  9. ログイン後の「利用規約」表示を解除
    左側のメニューから、マネジメント > WebAdmin設定 > 詳細 タブ へ移動します。
    「ログイン後「利用規約」を表示」のチェックを外し、「適用」ボタンを押します。
    ※このチェックを外さないと、WebAdminにログインするたびに利用規約が表示されます。

 

 

Sophos UTM のライセンスサーバに接続

  1. 画面左側のメニューから、マネジメント > 集中管理(SUM) とクリックし、画面右上のトグルスイッチをクリックします。
  2. SUM設定にあるフォルダアイコンをクリックします。
  3. 左メニューよりライセンスサーバ情報「license.owlook.ne.jp」をドラック&ドロップし、「適用」ボタンを押します。
  4. 画面上部のリロードをクリックします。
  5. SUMのステータスで、メッセージに「Login for [1] successful.」と表示されれば成功です。
    ※ライセンスが有効になるまで暫く時間がかかります。

その他

WebAdmin で、作業中に「バックエンドの接続に失敗しました」のメッセージが表示される場合があります。

Knowledge Base より、抜粋
「このメッセージが表示されることは特別なことではなく、UTM で問題が発生していることを必ずしも示すものではありません。UTM 上でのリソースの使用量が多い場合に、このメッセージが表示される頻度が高くなります」

今回はここまで

初期設定はこれで完了です。WebAdminのデフォルトポート番号4444/TCPの変更や、シェルアクセスの制限等、行ったほうが良い設定は他にもありますが、記事が長くなり過ぎるので今回は省き最低限の設定に留めました。

システムIDのリセット以外は、GUIでの作業になりますので、サーバ作成から初期設定まで簡単に行える印象を持って頂けたと思います。

次回は、Sophos UTM の配下に L2スイッチとWebサーバ(WordPressをインストール予定)を設置し、ファイアウォールの設定、DNATの設定 等を紹介させていただく予定です。