仕事でもUTMは使うので勉強を兼ね導入。
仕事だと有名所のFortigateですが、今回ハードさえ用意すれば個人は無償で利用できるSophos社「Sophos XG Firewall Home Edition」を使ってUTMを構築したのでメモ。
Fortigateなどの中古も考えましたが、ライセンス(有料)が切れた際が面倒なので却下。
導入にあたり下記サイト様を参考にしました。
<参考サイト>
・N-LAB -次世代FIREWALLを2万円で導入した話-
・ダンデライオン -おうちでUTM F/W-
https://000dandelion000.blog.fc2.com/blog-entry-264.html
・雑踏より愛をこめて -おうちFirewall導入やってみた2018(DS67U+EXSi Hypervisor+Sophos XG Firewall)-
http://husigiyt.hatenablog.com/entry/2019/04/07/171100
1.まずSophosでのUTMの建て方を考えた
調べると以下のパターン(そもそもヒット数がかなり少ない)
パターンA:ハイパーバイザ型OS(Hyper-V、ESXi等)の仮想環境上で建てる方法
パターンB:ベアボーンPCなどに直接インストールし建てる方法
録画サーバーの更新が近いので録画サーバーと仮想環境上で同居したパターンAを考えたが、ファイアウォールを次回サーバーリプレイスに巻き込みたくなかったし、ハードごと切り離して考えたかったので「パターンB」で進めることにした。
(もちろんパターンAでも独立させりゃあいいのですけど、仮想環境で若干パフォーマンス落ちますし、今回は仮想環境にする程の理由が無いので。。。)
2.利用したハードウェア
→低電圧4コアCelelon J1900(Bay Trail世代)搭載で空冷、LANポート4つ搭載。
※XG Firewall実行にはx86-64 CPU搭載でLANポートが2つ最低限必要です。
※vlan切ったりするのであれば3~4個のLANポートがあったほうが良いです。
②Dogfish SSD Msata 120GB 内蔵型 ミニ ハードディスク SATA3 Mini Sata (120GB)
→キットがmSATAなのでこれにしました。MLCというのも理由。
※Sophos社の推奨は64GB(最小10GB)
2020年9月追記:結局1年後の夏終盤に天に召されました。。。熱対策ともっと高耐久モデルにすればよかったと後悔。結局Transcend社の産業用耐久モデルへ交換しヒートシンク設置。
③CFD販売 ノートPC用 メモリ PC3-12800(DDR3-1600) 8GB×1枚 1.35V対応 SO-DIMM
→私の環境だと利用率は30%なので4GBでも良いと思いました。
※Sophos社の推奨は2GB(最小も2GB)
合計:2万5千円位(中国からの送料込)
ベアボーンキットは深セン市から発送され、到着までに約2週間かかりました。
3.ファイアウォールOS入手
SOPHOS社からXG Firewall Home Edition 無償ライセンス版のISOをダウンロード。私の時はバージョン17.5.6_MR-6でしたが実機初期設定中に17.5.7へアップデートされました。
本来法人向けクラスの機能を個人利用限定で無償で利用が可能です。
<以下、ダウンロードページ> ※要アカウント登録
https://www.sophos.com/ja-jp/products/free-tools/sophos-xg-firewall-home-edition.aspx
4.ISOファイルをメディアにマウントし、インストール
私は「balena Etcher」というソフトでUSBメモリにマウントし、USBメモリからインストールしました。
5.初期設定
インタフェースのIPアドレス設定時になんか変だと思ったら、ベアボーンの筐体にプリントされているLAN1~LAN4という印字されたラベルとシステム上で認識しているポートが逆だった。
「本体ラベル:LAN1 = システム上:port4」~「本体ラベル:LAN4 = システム上:port1」といった具合になっており、FWへLANケーブルを挿してもポート4444番の管理者WEBコンソールにアクセスできず、工場初期化を繰り返し実施し2~3時間くらい悩んだ(涙)
管理者WEBコンソール画面はLAN側から4444番ポートでのみアクセスできます。実はもう一つユーザー用WEB画面(管理者は入れません)がポート番号指定なしであり、これはLAN及びWANポート側からアクセスできます。で、これもまた混乱した一因でした(WEB画面にアクセスできてるっぽいのに管理者ログインできない!という)(笑)
6.WEB管理コンソールへアクセス
再起動してIP振ったLAN側ポートにLANケーブルを挿して「http://IPアドレス:4444」でWEB管理コンソールに入れるのでユーザー:adminと5で設定したパスワードでログインし、案内に従って初期設定を行う。
途中ブリッジモードかゲートウェイモードか選択を迫られるが、私はゲートウェイにする予定だったのでゲートウェイモードを選択。(殆どの人はゲートウェイだと思う)
(細かいのはSOPHOS社の初期設定ドキュメントを参照して下さい)
7.一応完了
まだすべての機器の検証をしていないので、完全な状態ではない。
【発生した障害と対応】
①外出先からSoftEther VPN Serverへアクセス不可
→VPNサーバーからの通信のみFWの上り下りポート開放(IKE,L2TP)。VPNサーバーからのDDNSで利用している為、HTTPS,HTTPは上りのみポート開放。
②セキュリティ対策ソフトESET Internet Securityのアップデートが動作しない
→FWの特定アドレス向け(*.eset.com)のWEB通信は例外リストへ追加
③PlayStation4のストア、システムアップデート等のダウンロードができない
下記のSophosコミュニティスレッドを参照。WEBの例外にURLを追加すると動作するようになります。
④DMM Game Playerもソフトウェアアップデートが進まなくなる現象を確認。
【対応】
→LANからWANへ上り通信のファイアウォールルール[ネットワークルール]を追加
172.217.0.0/16、216.58.192.0/19、111.119.0.0/16の範囲でHTTP、HTTPSの通信許可。
DMMのサイトで通信先を公開されている様子が無いので、DMM GAME PLAYERの更新ボタンを押下した際にどこのIPアドレス宛に通信をしているかをネットワークトラフィックから調べ上記をIPアドレス範囲を追加。
【余談】
ただ調べてて判明したのがDMM GAME PLAYERがAWSサーバーへ向け常に通信しているのがなんか気持ち悪い。。。それも毎回このアプリは管理者特権を要求し起動しているので嫌な感じだ。セキュリティ的にどうなのよ・・・
元々MMOのWarThunderをSteamから起動していたが、運営製作元のGaijin(ロシア企業)とDMMが数年前から提携し、支払い等を中継するアプリの移行を余儀なくされたので仕方なく使っている。 ただDMMはロシアにあるGaijinに変わり日本国内での広報や旧軍の航空機や戦闘車両、艦船など日本側資料の収集・提供をGaijinに行っているようなのでプレイヤーにとってもメリットは一応ある(はず)。ただDMM GAME PLAYERはいい加減作り直せと言いたい。
>>2022/3/26追記
DMM Game Playerリニューアル版は管理者権限要求しない仕様となった。
◎新旧ネットワーク図
設置したファイアウォールは以前のWiFiルータの役割を引き継ぎつつ、出入りするすべての通信を監視をしてます。
以前利用していたWi-Fiルーターはブリッジモードに変更し、無線アクセスポイントとして余生を送っています。