2020/08/04 自宅にUTM導入してみた

最近なかなか更新できていない。

色々と勉強をしてはいるが、アウトプットができていない、、、、、

ネタはいくつかできているので少しずつ書いていく。。

今日は自宅にセキュリティ機器を導入しようということで、UTMを導入。

UTMってなあに？

UTMとはUnified Threat Managementの略で、日本語で「統合脅威管理」

名前だけ見るとなにこれわからんって感じだが、簡単に言うとセキュリティ専門機器。

例）

・FortiGate

・CheckPoint

・watchGuard

・Palo Alto

UTMのできること

UTMにはセキュリティ機能がモリモリ。

・ファイアウォール

・IPS/IDS

・アンチウイルス

・Webフィルタリング

・VPN

・WAF

・(ワイヤレスLANコントローラー)

様々な分野のセキュリティをこれ一台で設定できるため、

それぞれの機器を購入して設定するよりもお得。

問題点

・単一障害点となり得る。

これはUTMだけに限った話ではないが、高機能であるが故に故障時のダメージが痛い。

冗長化するように構築する必要がある。

・高い

当然高機能なので高い。

高いのに買うのか？

家にはESXiの入ったサーバーがある。

このサーバはLANポートが10個程ついているため、様々なルーティングが可能。

VyOSなんていれてもおもしろいかもしれない。

で、今回はUTMを入れたいわけだが、OSSないかなぁなんて探しているといいもの発見。

その名も…

Sophos XG Firewall

Sophosはイギリスに本社を置くメーカー。

実績のある企業でUTMを販売している。

そして、今回選んだ理由としては、

個人利用無償

控えめに言ってすごい。

ただ、イメージでDLする形なので、ハードウェアは別で用意する必要がある。

LANとWANに挟む形なので、RJ45ポートが2つ以上必要になる。

これはうちのPRIMERGYなら問題なし。

さっそく、どうやって導入するか考える。

やっぱりUTMを活用するならDMZも作りたい。

幸いESXiなので仮想NICを作って仮想Switchに繋げばいくつもセグメントを作れる。

それを考慮してネットワーク構成図をdraw.ioで作成。

こういうのあんまり公開するのよくないかなぁなんて思ったけれど。

まぁいいでしょう。アドレスや機器名は伏せておきます。一応。

https://gyazo.com/8de0f1ae16e073c318b85c33bbbd88e9

簡単に言うと、VLANできって、デフォルトゲートウェイをSophosにします。

違うVLANポートに刺すと、Sophosを経由せずにそのままネットに繋がります。

さっそく、ESXiで仮想Switchを作成して準備。

マシンを作成しSophosのインストールを始める。

Sophos XG Firewallのインストール

ESXiのページから、メモリ、CPU、NIC等の設定を行う。

イメージを光学ドライブに設定し、インストール。

https://gyazo.com/933915459b2ca18f15be12f729dfa338

こんなかんじでインストールが進み、、、

https://gyazo.com/f60a690b9b9db4a6d9d1440643d66fa8

インストールが完了すると、Rebootされる。

次はWebベースで設定を行う。

SophosのデフォルトのIPアドレスは172.16.16.16なので、

PCからもアクセスできるように設定する。

また、WebGUIの待ち受けポートは4444で、LAN側のNIC宛なので注意。

アクセス成功するとこのようになる。

https://gyazo.com/396560a4d3a086237117a72e2e682174

きれい。。。

https://gyazo.com/e427f24a44c399d3d5bed461c2029d64

管理者パスワードの設定

https://gyazo.com/c21800c988c22c9ee47245e686e2299f

タイムゾーンとホスト名をFQDNで設定

次のページでライセンスの認証を行う。

イメージのダウンロードの際に入力したメールアドレスに

ライセンスキーが届いている。

それを使って認証と、会員登録を行う。

ライセンスが認証されると、

https://gyazo.com/8835a282ac116242083613d57b0c5f22

次に進む

https://gyazo.com/938fd84fa455ccc51cb2a4abc68535b0

LAN側のアドレスを決める。

これは自分でポリシーによって決めていく。

デフォルトで172.16.16.16だったが、変更するとそのアドレスに変わるので、

アクセスする際はPCのアドレスもセグメントを戻し、設定する。

https://gyazo.com/4f9d6ecc818049dcf6daf57b451282e1

このあたりはせっかくのUTMなのでオンにしてみようと思う。

ダメなところを後から修正していく。

実際はどうするのだろう。

未設定から一つ一つ項目を洗い出して、ポリシーを作ってから設定するのかな？

知らない。

続いて、通知設定。

メールアドレスを指定する。

設定が完了し、ログインする。

一度ログアウトし、再ログイン

https://gyazo.com/9bd720e7f8f502d7874d931e5d0c2f7a

GUIはこのような画面。

左のタブにたくさんの設定項目があることが確認できる。

実際、すでにSSL-VPNの設定、DMZのNAT設定、など行っているが、それはまた今度

https://gyazo.com/795fc6ffd78b2554bb0d7305114ff323

初めてのセキュリティ機器でわくわくする。

今のうちに色々触っておこう。

次はSSL-VPNの設定方法あたりを書く予定