プロジェクト

全般

プロフィール

Wiki »

Sophos UTM 仮想アプライアンス(Home Edition)の導入

Sophos UTM とは

SophosUTMとは、以前Astaro Security Gatewayと呼ばれていたUTM(総合セキュリティアプライアンス)
のことです。近年では次世代ファイアウォール(Next Generation Firewall)と呼ばれているタイプの
製品となります。

SophosUTMは個人利用版となるHome Editionがフリーで公開されています。
https://www.sophos.com/ja-jp/products/free-tools/sophos-utm-home-edition.aspx

ソフトウェアアプライアンス版は下記の対象にインストールすることが出来ます。
  • intelCPU互換のPC
  • VMware vSphere環境

必須ではないですが基本的にはDMZとなるため、インターネット側とローカルネットワーク側で
計2つのNICがあるといいようです(VLANでうまくやれば1本でも大丈夫)。また、メモリは2GB
程度あれば動作しています。

上記のページでユーザ登録を行うことで、インストールイメージのダウンロードページリンクと
ライセンスファイル(添付)がメールで送付されますのでダウンロードしてください。

余談ですが、Home EditionにはUTMでの管理を想定したWindows版のアンチウィルスエンドポイントが
数ライセンス含まれます。SophosではMac版とLinux版に個人利用フリー版が存在しますが、Windowsの
個人利用フリー版は単体では配布されていません。今のところUTM版のみで利用できるようです。

インストールイメージのダウンロード

SophosUTMのインストーラは、ここではソフトウェアアプライアンス版を使用します。
UKサイトのダウンロードから「software appliance」「UTM_Software_バージョン番号」と記載
されているものをダウンロードします。

https://www.sophos.com/en-us/support/utm-downloads.aspx

バージョンは細かく分かれていますが、基本的には最新版で問題ないと思います。

インストール

isoイメージまたはDVDからブートすることでOS込みでインストールすることが出来ます。

はじめにハードウェアチェックがありますので、パスできることを確認してください。
続いて言語となりますが、インストーラは日本語が選択できませんので、「English(USA)」
で進めていきます。なお、インストール後の本体では日本語UIを選択することが出来ます。

タイムゾーンは「Asia」→「Tokyo」を選択し、日時が合っていることを確認します。
Date(年月日)は「月/日/年の下二桁」で表示されているので注意してください。

続いて管理者インタフェース(WebUI)を利用するインタフェースを選択します。ここでは
「WAN側(インターネット側)のNIC」と「LAN側(ローカルネットワーク側)のNIC」の2つを
用意している想定ですので、LAN側のNICを指定します。

引き続きそのNICのネットワーク設定を行います。本機をGatewayについてはGatewayの前に
設置するか、後に設置するかで設定不要になる場合があります。必要な場合は入力します。

カーネルを32/64bitどちらにするか選択します。CPUが64bitをサポートしている場合に
選択することが可能です。デフォルトではNoになっています。搭載メモリ量などと相談
して適宜選択してください。

Enterprise Toolkitを導入するかを選択します。導入しない場合、Astaroのパッケージを
除いたOSS代替パッケージが導入されますが、UTMの全機能を利用するには導入が必要です。

最後にインストール先ディスクのパーティショニングとインストールが行われます。
完了後、WebUIのサクセス先アドレス「https://IPアドレス:4444」が表示され、「Reboot」
を選択して再起動を行います。

初回設定

再起動後、UTMの起動画面(F2で詳細)が表示されます。起動が完了するとWebUIアドレス
とlogin応答が表示されますが、ここから先はブラウザでWebUIを操作します。

作業端末のWebブラウザから「https://IPアドレス:4444」にアクセスします。
初回ログインでは下記の設定を行います。

  • UTMのホスト名
  • 会社名
  • 都市名
  • 国名
  • 管理者アカウント(admin)のパスワード
  • 管理者メールアドレス
  • ライセンスへの同意

「Perform basic system setup」ボタンを押し確定します。設定反映に40秒ほどかかる
メッセージが表示されるのでしばらく待ちます。設定が反映されると自動的にログイン
ページに遷移します。

初回ログインではadminアカウントと、先ほど設定したパスワードを入力します。
ログインに成功すると「Setup Wizard」が起動します。

Setup Wizard

まず始めに「バックアップからのリストア」かを聞かれます。ここでは新規に設定する
ので「Continue」を選択して次に進みます。

次に、あらかじめダウンロードしておいたライセンスファイル(sophos-utm_home_license.txt)
をアップロードします。このファイルがないと30日間の試用となるので注意してください。

改めて、内部ネットワークインタフェースの設定を行います。「Enable DHCP server on
internal interface」にチェックすることで本機をDHCPサーバにすることも可能です。
この場合はDHCPの払い出しIPの開始アドレスと終了アドレスのレンジを指定します。

続いて、外部ネットワークインタフェースの設定を行います。ウィザード内で設定しない
場合は「Setup Internet connection later」をチェックすればスキップすることが出来ます。
今回は外部ネットワーク用にNICを用意しているので、そのNICを選択して「Standard Ethernet
interface」および「Static」を設定し、アドレス各種を設定します。

次に許可するサービスを選択します。(デフォルトはすべて未チェック)
  • Web
  • FTP
  • Terminal services
  • Email
  • DNS

ポリシーが決まっている場合は設定しますが、これから徐々に絞り込んでいく場合には、
既存のサービスが遮断されてしまわないように、ひとまずすべてにチェックしておきます。
Pingについてはデフォルトの「UTM responds to Pings」にチェック状態とします。

「Advanced Threat Protection Settings」はデフォルトでは無効ですが2つともチェック
します。これらは不正侵入と遠隔操作をブロックします。

「Web Protection Settings」は「Scan sites for viruses」のみチェックします。
特定カテゴリの閲覧をブロックする場合には、カテゴリ名にチェックを行ってください。

「Email Protection Settings」については既存の内部メールサーバが存在する場合は
「Configure internal mail server」をチェックすることでメールサーバのアドレス(単一)
とドメイン名(複数可)を設定することができます。

ここまで設定すると、ウィザードでの設定情報のサマリが表示されます。
問題が無ければ「Finish」ボタンを押して終了し、ダイアログに「Yes」で返答します。

設定反映が完了するとダッシュボードが表示され、全機能が利用できるようになります。

まずやっておきたいこと

各種設定については説明しませんが、まずはUIを日本語に設定しましょう。

左のメニューから「Management」→「WebAdmin Settings」を選択します。
「WebAdmin Language」を「English」から「Japanese」に変更し「Apply」ボタンを押します。
一度ログアウトしますので、再ログイン後UIが日本語になっていることを確認してください。

次に、システムのアップデートを行います。

左のメニューから「Management」→「Up2Date」を選択します。「すぐに最新バージョン
に更新」ボタンを押し、更新を行います。「利用可能なファームウェアUp2Date」の欄に
緊急度や再起動の必要有無が記載されています。

「Up2Date」の進行状況が表示されますので、確認しながら完了するまで待ちます。

以上で基本的なインストールと初期設定を完了とします。