【UTM】統合脅威管理スレ
LinuxベースのUTMディストリの情報やノウハウを共有しましょう Untangle http://www.untangle.com/ ・オープンソースのセキュリティソフトを自社のフレームワークで管理 ・2007年からオープンソース化 ・無償、一部機能制限のUntangle Lite Packageダウンロード可能 ・日本語対応 ・公式サイト内に日本語フォーラムあり ・公式サイト内にサポートWiki(英語)あり Endian UTM http://www.endian.com/jp/ ・本社イタリア ・公式サイトに日本語ページあり ・オンラインデモ(要登録)あり ・無償、一部機能制限のcommunity editionダウンロード可能 ・日本の公式ディストリビュータ、プラムシステムズ ・プラムシステムズ社から日本語マニュアルとインストール方法解説ページが公開されている Astaro Security Gateway http://www.astaro.com/jp/ ・本社ドイツ、7月にsophosに買収されてる ・公式サイトに日本語ページあり ・オンラインデモ(登録不要)あり ・無償、一部機能制限のEssential Edition/Home Use Editionダウンロード可能 >>149 >次回は「公式サイトのブロックを解除」です まだこの記事書かれてねえのなw Sophos XG Firewallを直接インストールしたSSDをWindowsのcmdでclean allして Windowsをインストールしようとしても出来ないんですが 何をすればSSDをインストール可能な状態に戻せるのでしょうか? >Windowsをインストールしようとしても出来ないんですが ちゃんとwinのインスコメディアから起動してるか? インスコ出来ない症状を具体的にしっかり書かないとアドバイスできんぞ 例えばSSDが見えんとか 一旦linuxのインスコメディア(鳥は何でもイイ)から fdisk起動してパーティション全削除してみてどうよ >>152 ありがとうございます WindowsのインストールDVDからの作業でした もう一度精査して正確な情報でうかがうべきですね 出直します >>153 いやそんなかしこまらなくてもw bootrec /fixboot bootrec /fixmbr winのインスコメディアから起動して今すぐインストールを選ばず コンピューターを修復する->コマンドプロンプト起動して この辺のコマンドも試してみて >>154 ありがとうございます 無事インストールできました >>156 亀レスしつれい Windows8.1のインストールディスクだと何故かすんなりいきました >>157 そうだったんだ いずれにしてもうまくSSDにwin再導入できてよかったなw XGの後ろにNASにVPN接続するのに丸一日も掛かった UTMより設定分かりづらい Sophos XG Firewallなんだけど LAN側の無線LANルーターからプリンターが見えなくなって印刷に苦労するように 2、3ヶ月前からなりまして どこか設定いじったらまた繋げられるようになるんでしょうか? 多分な つか無線LANルータを再起動してみてどうよ もしあればファームのアップデートとか >>161 再起動はしましたが変化なしです 10年位以上昔の無線LANルーターなんでファームは無理ですね 便利でしたが有線でいくことにします 10年前のルータでも最終版になってるんならイイんじゃね>ファーム xgの本体機能のvpnやsshをアクセス制限かけたい時はローカルサービスACLじゃないと駄目なんだな ファイアウォールルール必死に弄ってた Sophos UTM Home Editionを ルータ(192.168.0.1/24)とパソコン群(172.16.0.0/24)の間に入れてセキュリティを強化してみたのですが ルータのsyslogをパソコン側に送りたいのですがどのような設定をすれば良いのでしょうか? とても素人な質問ですみません ルータのLAN側のIPアドレスからパソコン群(または特定のPC)への514/udpポートを通過設定にして あとルータでパソコン群の中でsyslogdを動かしてるPCのIPを指定してやる こんなカンジでどうよ? ttp://buffalo.jp/download/manual/html/bro180/manual/ ルータ何使ってるか分からんので一例としてダメルコのBBR-4HG >ログ情報転送 >ログ情報転送機能 > ログ情報転送機能を使用するかどうかを設定します。 >Syslogサーバー > Syslogサーバーのアドレスを設定します。 >>166 レスサンクス! でもごめんなさい、UTMスレなのでSophos UTM9設定の質問でした ESXiやアライドSWなどLan側(172.16.0.0/24)のsyslogは centos上のrsyslogで拾えて、毎日ローテーションでログ圧縮までなんとか出来てます ネットワークプロテクション―NAT―新規NATルールから ルールタイプ:DNAT、トラフィック送信元:ルータ(192.168.0.1)、サービス;SYSLOG(514)、 トラフィック宛先:Internal(172.16.0.0/24)、変更後の宛先:syslogサーバ と、それっぽいのを入れてみたのですが・・・ syslogサーバで、tcpdump -i any --nn port 514と打っても Lan側にあるESXiなどからのsyslogのパケットしか見えません ファイアウォールのルールも色々イジってもダメでした 何か大きな見落としをしてそうなのですが、初心者なので理解が足りてないと思います ちなみにルータはヤマハのNVR510です >>167 >syslogサーバで、tcpdump -i any --nn port 514と打っても >Lan側にあるESXiなどからのsyslogのパケットしか見えません ルータ(192.168.0.1/24)のサブネットからパソコン群(172.16.0.0/24)のcentos鯖の514番ポート狙って投げてみないとダメじゃねえの centosからルータにsyslogを取りに行くのではなくルータから送り付けるんだよな? >>168 syslog host 172.16.0.xxxとsyslogサーバへ投げる configはルータに入れてます 試しにsyslogサーバをUTMを通さず、ルータに繋いで(172→192に変更) 動作確認をしたら、syslogを受け取ってるのでルータ側はok やはりUTMの設定に問題があるようです >>169 繰り返しにはなるが まずはルータのIPアドレスからcentos鯖の514番ポートへ通る設定に出来てるのか UTMの設定を再度確認汁 >>170 う〜ん、レスしてくれるのはありがたいんですが・・・ syslogに関する、UTMの設定が分からないから、使用してるUTMを>>165 で書いて質問しています 業務で必要ならコンサル雇う手もあるけどソレではいかんの?w 家庭でUTMを使う人は居ても、家庭でコンサル雇う人は少ないかと せめてこう設定しましたとか設定画面のスクショ貼るとかすればイイのになと思うわ カワイクナイヤツw >>174 具体的な設定内容を書いてますよ? >>167 > ネットワークプロテクション―NAT―新規NATルールから > ルールタイプ:DNAT、トラフィック送信元:ルータ(192.168.0.1)、サービス;SYSLOG(514)、 > トラフィック宛先:Internal(172.16.0.0/24)、変更後の宛先:syslogサーバ esxiでデータストアはSSDにして debianでsamba動かしてるんだけど同じセグメントだとwindowsのエクスプローラの表記で100MB/sec以上出るけどXGfirewall越しの別セグメントにすると5MB/secまで落ち込んだり40MB/secだったり不安定になる さすがに5MB/secは落ちすぎよね Sophos XG使ってる人でMTAモードのスパム使えてる人居る? いくら設定してもマルウェアは駆除できてもスパムメールはじかないんだけど。。 SMTP隔離も機能してくれないしなんでなんだろ。 Celeron j1900でsophos xg使ってる人いる? XCYってとこが出してるミニPCに入れたいのだけどもまともに動くか心配なので うちは1.5GHz2コアのセレロン3205Uで問題なく動作しているからJ1900は無問題じゃない sophos xgのvpnスループットってどのぐらいかね 家庭内でXGfirewall通してセグメント越える時スループットをなるべく維持するには何か調整するべきところある? 余計なチェックしない。 ポリシー先頭に持ってくるとか? セグメント越えるトキにUTMに何も仕事させないコトだよな Sophos Firewall XG Home Editionを有料でいいから公式でサポートして欲しい 年間12,000円くらいなら払えそうだけど 個人利用と区別が付きにくいSOHOでの利用も出来たらさせて欲しいと思うけど communityでイイじゃん>Sophos XG Firewall Home Edition >>189 SOHOならNTTのBizBox UTMのSonicwallじゃない奴でも、、、って高いかw auひかりの環境でSophos XGを導入したのですが、 IPv6の設定をどうしたらいいか全く見当がつきません WAN側のインターフェイスはDHCPv6からアドレスを拾えていて、 tracertもgoogleまでとおっているのですが、 LAN側のPCが一つもIPv6のアドレスを取得できていません。 XGでDHCPv6を立ててみようかと思って、ネットワーク>DHCP>IPv6の設定に入ったのですが、 インターフェイスの選択欄が空欄で、構成できないようです。 どなたか知恵をお貸しください。 RAってなにかなと思ったらRouter Advertisementか LAN側のRAの項目に適当に設定をしてみたら、 LAN側の機器にIPv6が振られて、LAN無いでの通信はできるようになりました。 ただ、>>138 を入れてみても外部への通信はできていないようです。 XGでRAアナウンスをするのではなく、auのHGWからのRAを通過させるべきなのかな とは思いつつも、設定方法が全く見当つきませんでした。 untangleもEndianも試したのですが、何とか実用できそうな気配を感じたのはXGなので もう少し頑張ってみたいとは思います。これがだめならpfsense入れて全部主導で構築 しないといけないのかな? 私はauひかりだけどipv6で通信できてますよ。ipv6は最低限度の接続にしたいので、スタティックで1台だけip振ってますけどね。 >>196 HGWとxgの設定晒してくれないでしょうか? 自分もxg配下のホストからv6でインターネットに出たいです。 ぐぬぬSophos Firewall XG Home EditionのVPNの設定がよくわからん これができればお金かけずにUTM通した通信ができるはず >>198 Sophos Connectだと、以下のようつべが参考になるかな #昔のCisco ipsec https://www.youtube.com/watch?v=-QfZmW5U1vU このプロトコルを使う場合は、ルーター側でESP(ipプロトコル50)、IKEのudp500とudp4500を通す必要があるよ Sophos XG FirewallでV6プラスを試してみて、IPv4のみのV6プラス通信はできるようになった (単純に上流にRT-500MIがあってV6プラスが繋がるから、下流のUTMとスタティックIPで繋げただけ) しかしここから先、下流のクライアントからIPv6の通信まで出来るようにするにはどーしたらいいのやら 特に困る事があるわけではないけど、どうせならIPv6の通信もしたいものだ UTMを無視してRT-500MIと繋げばIPv6通信できるんだけどもいやはや 苦肉の策でブリッジモードを構築してみたけど、ブリッジモードだとDHCPサーバー機能が使えなくなるしなぁ RT-500MIのDHCP機能はあまり良くないし Sophos XG Firewallだと確かDHCP-PD対応してないと思うからブリッジしかないんじゃないかと うーん、そっか ブリッジモードだとDHCP使えなくなるから、SophosXGでIPv6は相性悪そうね V6プラスにしても大して速くならなかったし(むしろ遅い事も)、ポート開放が面倒になるし IPv6は発展途上でややこしい仕様だらけだし(何年議論してんだ) 自分が現役の間はIPv4が主流のままだな…と感じたので従来のPPPoEで運用するのがベストな気がしてきた 今はSo-netだけど@niftyの頃は酷すぎる遅さだったので、そういう人にはV6プラスはいいのかもね そもそも速度求めるならSophos使うという選択肢はないんじゃないか? @nifty V6プラスにしたら600M余裕になったよ まとめ 赤:リーヴ、伝承エリウッド、ベレス 青:伝承エフラム、伝承ルキナ、ピクニックルカ 緑:伝承ヘクトル、ユンヌ、ヒルダ 無:伝承リーフ、ロキ、カイネギス ロキはかなりのまさかだったな >>201 XGのIPv6の考え方は一般的なものとは異なる。 LAN側のIPはプライベートIPで、WAN側に対してはNATが必要。 IPv6のプライベートIPは、ユニークローカルアドレスを使う事になる。 この定義は、fc00::/7だが、実際にユーザが利用すべきはfd00::/8。 40ビットのランダムな16進数を用いて fdxx:xxxx:xxxx::/64〜fdxx:xxxx:xxxx:ffff::/64までを使う事になる。 細かい話はともかく、自分の端末のNICのmacアドレスを用いて、以下のURLで 設定すべきULAを導く事ができる(必須ではなく、あくまで守るべきルール)。 https://cd34.com/rfc4193 (続き) XGはブリッジモードではなく、ルータモード前提で設定する。 ネットワークのWanインターフェース(恐らくPort2)でIPv6のDHCPを選択するとともに、 DHCPから他の設定の承認のチェックボックスをOnにする。 まず、WAN側は、RT-500MI(自分はauなので、この機械は全く知らないが)からv6のIP割り当ては 行えていると思う。XGの診断メニューからPingでipv6.google.com宛にpingが通る事を確認してほしい。 次に、LAN側のIP(恐らくPort1)のIPv6は前述したスタティックでIPを設定する。 XG自身のアドレスとしてfdxx:xxxx:xxxx::1/64 とする。プレフィックスはとりあえず64で良いのではなかろうか。 次はDHCPの設定。追加ボタンを押す。 IPv6を選択し、インターフェースのプルダウンでは、fdxx:xxxx〜のIPが選択できると思う。 DNSについては、XG自身のDNSを設定し、fdxx:xxxx:xxxx::1を指定しておく。 次に、IPv6ルーターアドバタイズド(RA)を選択し、追加ボタンを押す。 ここでは、インターフェースはプルダウンからPort1(LAN側)を選択。 マネージドフラグ(M Flag)はOff、アザーフラグ(O Flag)はOn、デフォルトゲートウェイも有効に。 プレフィックスは、先ほどのIPのfdxx:xxxx:xxxx::を入力する。 (続き) あとは、Firewallルールのところで、IPv6の設定で全て許可するルールを作る。 IPマスカレードはデフォルトのMASQを使えばよい(別に作成する必要はない)。 基本はこのような設定でIPv6の通信は可能になる。 但し、RAでのIPアドレスの確定は、端末を特定できないという問題がある。 恐らく、201氏はUTMに期待する事として、IPSの設定もしているだろうから、SSLインターセプトのために、 ルート証明書をインストールできる端末とできない端末とで区別する必要があるだろうとは思う。 そうなると、M FlagをOnにしてDUID(端末固有情報)を元に、端末を区別したくなる。が、IPv6の実装として 一時IPアドレスとかのややこしい話が出てきてしまい、うまく端末管理が出来ない。 長くなったので一旦はこの辺で。 >>210 感謝!確かにipv6で通信できました! >>210 うおぉ、知りたかった事が一気に書かれてて感謝しかない ホントにIPv6は調べれば調べるほど不可解な仕様だよなぁ…と思う まして今もまだ新しい仕様や機能を加えているようだし 詳しく解説してくれて本当にありがとう! きちんとメモ取ってやってみるよー v6の基本仕様はとっくの昔から変わってない すでにv6は君が思っているより広い範囲で、既に、使われている (XGのIPv6の続き) さて、IPSで端末を固定する必要があると書いたが、M FlagがOff、O FlagがOnの状態だと、ネットワーク>DHCPでIPv6のリース状態が分かるが、 さて、IPSでSSLインターセプトを使うには、端末を固定する必要があると書いたが、M FlagがOff、O FlagがOnの状態において、ネットワーク>DHCPでIPv6のリース状態を参照すると、 IPv6の端末について、DUIDがリストされると思う。DHCPv6の設定でDUIDマッピングによるIPv6のアドレスを固定で設定可能なので、 固定IPアドレスとDUIDの組み合わせを登録しておくと、DUIDを元にした固定IPが配布可能となる。次に、IPv6ルーターアドバタイズドの設定で、M FlagをOn、O FlagをOnとし、 アドバタイズ設定のプレフィックスの項で記載されている「匿名」のチェックを外す。これで一時IPアドレスは割り振られず、端末に1つの固有IPv6が割り当てられる。 Win10、iPhone、mac、Linuxについては配布されるIPの管理が可能になり、IPSの管理も捗ると思う。残念ながらAndroidはDHCPv6に対応してないので、この設定を行うとIPv6の設定がうまくいかない。 はっきりいって、ここまで面倒な事をやるなら、RAやDHCPは使わず、最初からStaticでIP設定した方が良いのかもしれない。 いろいろ余計な事を書いたが、頑張ってチャレンジしてほしい。何かのお役に立てれば。 (何度か書き込みミスってしまい、皆には申し訳ない) Sophos Firewall XG Home Editionにログイン出来ない ウィルス対策も機能してない サービス終了してますか? SOHOで仕事用のデータアップロードしたりしてるので規約違反判定されたのかな どちらにしても全くの素通り状態だ やっちゃたかなこれは 無償ツールとしてまだ配布されてるしダウンロードもできるのに ウィルス対策が機能していないというより全部機能してない 規約違反ですねたぶん そうかこうなるのか家庭用有償版UTMください たまに仕事に使うぐらいの UTM二台とも死んでる 警告やなんかがメールでくるんじゃなく削除されるんだ まあこちらのやらかしたこと文句は言えません いままでありがとうございました UTM再起動させたら普通に機能しました スレ汚し失礼致しました ホントに素通り状態だったら無償とはいえ、UTMとしては致命的じゃん。 二台ともなので何かの理由で再起動が必要だったみたいです 私も使い始めていままで経験してない初めての状態だったので焦りました スルーしてたのは何日かわかりませんがこの程度なら大丈夫です 某国家プロジェクトで採用されていたからねぇアプライアンスはwその為か日本語マニュアルしっかりしてるよね。 仕事で使ったかどうかまで判定するなんて高度なプログラムすぎんだろ さらに通信内容全部チェックして送信してるなんてUTMは嫌すぎんぞ 自宅でHomeEdition導入してるけど、職場ではさすがにXG135をちゃんと購入した 単品で100万くらいしたけど、RED50買えば安価に別拠点もUTMの恩恵受けられるのは良かった それ以前は拠点毎にオンボロUTM(設定も何もできないブラックボックス)置いてすげー金かけてたようだし… あ、ところでHyper-VでSophos XG Firewall Home Editionを導入してるけど HDDの割当ってどのくらいにしてる? とりあえず20GB割当にしたけど、これ超えてくる事あるかな VHDXの実使用量が解れば良いんだが…それかGUI上かコンソールでHDD使用量を確認できれば ゴメン、自己解決 GUIの監視&分析 ⇒ 診断 ⇒ システムグラフ から見れたのね パーセント表示だけど、25%を上回った事ないから、5GB未満、という考えでいいのかな SOPHOS通すとデフォルトだと出来ない通信がありますね Officeのインストールやアップデートとかエラーになる 他でもアプリが通信出来ませんでしたってなる LANを繋ぎ直してその時だけ直接通信させてます Officeなんてそんなに怪しい通信じゃないでしょうにね 確かにOffice2019でアップデートできないのは確認してるけど わざわざ繋ぎ替えなくても、ファイアウォールで全スルー通信設定作って そこに一時的にアップデートしたいPCを登録すりゃいいんじゃないか アップデートが終わったら外せばいいし 物理線をいじるのは面倒でしょ 手の届くところにあるんで 設定いじるより抜き差しの方がはやい ID:eBamDK/X は神だ。ipv6通信できるようになった。 追加で教えてほしいです。 同じURLで、ipv6アドレスを持ってるなら、v4よりv6を優先する方法。 今のままだと、ipv6で通信出来るけど、普段の通信は全部ipv4。 上部ネットワークがipv6通信出来るとちょっと悲しい… クライアントにV6のDNS設定されてる? Windowsならば変更していなければv6通信がv4よりも優先なので外までV6通るならそれくらいじゃないかな? >>232 返信ありがとうございます。 因みに上部はV6プラスです。 クライアントのV6DNS設定は問題なさそうで、XGで設定したipv6 DNSがipconfig/allで表示されているのを確認。 気になるのは、ipv6宛先にping飛ばすと1回目だけタイムアウトして、2回目以降pingが飛ぶ症状が出ているのが気になっています。 又、下記サイトで接続確認すると、「あなたのブラウザは動作するIPv6アドレスを持っています - しかし利用が回避されています。私たちはこの点を憂慮しています。」 って、表示されて、理由が「ipv6で接続した際に、ブラウザが1/3以上ipv4より遅い事が原因という記載有」 最初のpingがタイムアウトしてるのと何か関係あるのではないかと… https://test-ipv6.com/index.html.ja_JP どなたか分かる方ご教示お願いいたします… >>233 Windowsで何かのきっかけでIPv6優先でなく、IPv4優先になってしまった可能性。 コマンドプロンプトから「netsh interface ipv6 show prefixpolicies」を実行、::/0(IPv6)の優先順位が(::ffff:0:0/96)IPv4より高い(優先順位の数字が大きい)こと。 >IPv4の優先度が高いなら「netsh interface ipv6 reset」で一度リセットするか、「netsh interface ipv6 set prefixpolicy」コマンド等を調べてみてほしい。 あと、クライアントのDNSはXGのIPを指していますか?それともプロバイダのDNSを指していますか? とっても素人な質問なんですが UTM9でLan内の特定PCだけインターネットに接続不可ってできますか? Win7で使ってた設定とかファイルとかまだ移行できてないので Lan内同士は通信したいのでインターネットだけ止めたいです エロい人、よろしくお願いします ファイアウォール>ルール>新規ルール >送信元(接続不可PCのIPアドレス)/サービス(Any)/宛先(PPPoE Network)/アクション(破棄)でON、 ソート順を最上位にしても何事もなくインターネットに繋がっちゃいます どう設定すればLan内のみWan接続不可にできますか? >>236 やっぱり具体的な設定は存じ上げず、できる気がするってところだったのでしょうか? sophosのxg入れてGoogleの追跡ブロックとか過剰通信のブロックで助かってるけど、geforceのexperienceがアップデートしてないのに気がついた webの例外リストにアップデートサーバのホスト名やIPアドレス入れてもブロックされるし、ファイアーウォールのルールで送信元IPだけ入れて他の項目全部任意で許可設定してもダメ、難しい どなたか指定したIPアドレスを無条件に許可する方法教えてください! >>240 システム->ホストとサービスでIPホストを追加 保護->ファイアウォールで、先のIPホストを宛先にして、許可ルールを追加 >>241 ありがとうございます! とはいえそれでも結局ダメだったので、手動DLしてきました。 別ソフトのアップデートも止まってる、禿げそう・・・ Webの例外に入れてもファイアウォールに入れても443ブロック、HTTPSだからいけそうなもんなのに TCP443 blocked メッセージ:Could not associate packet to any connection 検索したらコミュニティに似たような事象結構あったのでちょっと調べてみます xgでvpn使ってるけどくそ遅いし数分でほぼ通信出来なくなる ログにbadtcpchecksumって出てるけどこいつのせいかもわからん 設定間違ってんのかなぁ 最近の流行りはwireguardってやつらしいですよ。 xgでのvpnと比べて2倍くらい早くなりました。 icmpは通るけどtcpがほとんど通ってない感じ キャプチャするしかねえな >>244 興味あるけどxgで一括でやったほうが楽かなと 別でvpn鯖建てるならソフトイーサでいいや >243 L2TPだったらconsole入ってshow vpn configurationでL2TPのMTU が1410のままだったりしない? >>247 MTUは1410のままだけどフラグメント云々のレベルじゃなく通信出来ない… と思ってたらesxi側の不具合(ストレージドライバの相性)直したら直った なんやねんこれ… Sophosのページから sophos antivirus for linuxがなくなったぞ サービス終了らしいが、お前ら何に移動する? Microsoft Defenderしかまっとうなの選択肢なさそうだがw read.cgi ver 07.5.4 2024/05/19 Walang Kapalit ★ | Donguri System Team 5ちゃんねる