簡単にできる Sophos UTM 9 評価導入手順書 ( ブリッジモード ) ( 初期設定 ~インターネット接続まで ) 第 1.2 版 本ドキュメントに関する注意事項 このドキュメントは 一般的な評価環境を簡単なステップで構築するための補助資料です 導入に際して必要な全てのトピックについての網羅的な解説は意図しておりません 個々のトピッ クについての詳細は 弊社 Web に公開されております製品マニュアル およびレッジベース記事を ご確認頂くようお願い致します 尚 弊社テクニカルサポートでは 本ドキュメントについてサポ ートはいたしません 本ドキュメントに関するご質問は セールスエンジニアリング部にご連絡頂 くか 該当箇所をマニュアルで確認のうえ テクニカルサポートへご質問ください - ソフォス株式会社 http://www.sophos.com/ja-jp/ - マニュアル http://www.sophos.com/ja-jp/support/documentation.aspx - ナレッジベース http://www.sophos.com/ja-jp/support/knowledgebase.aspx 1/31
評価対象製品バージョン :Sophos UTM 9.3 作成日時作成担当者変更内容改訂版数 2015/11/20 新規作成第 1.0 版 2016/01/18 Sales Engineer 4.1 許可する通信を追加する を修正第 1.1 版 2016/02/23 Sales Engineer 1. はじめに 3. インタフェースとルーテ 第 1.2 版 ィング 4. ファイアウォール を修正 2/31
目次 1 はじめに... 4 2 初期設定... 6 2.1 Sophos UTM の初期設定... 6 2.2 UTM セットアップウィザード... 8 2.3 Sophos UTM 管理画面 (WebAdmin) の日本語化設定... 18 3 インタフェースとルーティング... 20 3.1 ブリッジの設定... 20 4 ファイアウォール... 23 4.1 許可する通信を追加する... 23 4.2 ICMP を設定する... 28 5 システム設定... 29 5.1 日付と時刻 タイムゾーンを設定する... 29 5.2 シェルアクセスを設定する... 30 6 バックアップ... 31 7 設定手順で不明点の場合... 31 3/31
1 はじめに このたびは Sophos UTM をご評価いただきまして誠にありがとうございます 評価導入における本手順書の位置づけは以下のとおりです 目的 : Sophos UTM を評価導入頂く際 下図のような上位の既存ルータとブリッジモード の Sophos UTM を介してインターネット接続できるまでのわかりやすい初期設定手順を ご提供すること 本手順書ではシンプルにただ順番に沿って設定を進めて頂くことにより 下記のようなシステ ム構成環境にて 端末から UTM を介してインターネット接続できるようになります なお 本構成を実現するためには 下記が前提となります 下記管理端末には Windows など Web ブラウザを使用できる PC をご用意頂くこと 既存ルータに IP アドレス ルーティング 参照先 DNS NAT DHCP サーバが正しく設定されてい ること 4/31
本手順書により習得できる内容は以下になります Sophos UTM のセキュリティ機能を使用する前に必要になる設定方法 Sophos UTM を介してインターネット接続を行うための設定方法 サブスクリプションにより利用可能となる各種プロテクションの手順については 本書には記 載しておりません 別紙の ベースシステム編 ネットワークプロテクション編 Web プロテク ション編 Email プロテクション編 Web サーバープロテクション編 をご参照ください 5/31
2 初期設定 2.1 Sophos UTM の初期設定 Sophos UTM は工場出荷時の状態で LAN インタフェース (eth0) に 192.168.0.1/24 の IP アドレ スが割り当てられています 次の手順で初期設定を行います (1) PC 端末と Sophos UTM の LAN インタフェース (eth0) を製品に同梱されている LAN ケーブルで接続します (2) PC 端末の IP アドレスを次のように設定します IP アドレス 192.168.0.10 サブネットマスク 255.255.255.0 デフォルトゲートウェイ 192.168.0.1 (3) Sophos UTM の電源を投入してシステムを起動します (4) PC 端末のブラウザを起動して https://192.168.0.1:4444/ を開きます (5) 接続に成功しますと SSL の警告画面が表示されますので続行します (Mozilla Firefox の表示例 ) 6/31
(1) Basic system setup の画面が表示されますので必要項目について入力します 必要項目 Hostname Company or Organization Name City Country admin account password Repeat password admin account email address 機器のホスト名を入力企業名 または組織名を入力都市名を入力 Japan を選択 admin アカウントのパスワードを入力 admin アカウントのパスワードを再入力 admin アカウントのメールアドレスを入力 (2) 画面下部にある I accept the license agreement のチェックボックスをオンにして [Perform basic system setup] ボタンをクリックします 7/31
2.2 UTM セットアップウィザード UTM の初期設定後 WebAdmin のログイン画面が開きます WebAdmin は Sophos UTM を管理するための Web ベースの管理インタフェースで Sophos UTM の全ての機能について設定ができます WebAdmin への初回ログイン後に自動実行されるセットアップウィザードを設定することで 基本設定をスムーズに実施できます (1) Basic system setup で設定した値を使った SSL サーバ証明書が適用されるため 再度 SSL の警 告画面が表示されますので続行します (Mozilla Firefox の表示例 ) (2) WebAdmin のログイン画面が表示されますので Basic system setup で設定したパスワードを入力してログインします Username admin Password (Basic system setup で設定したパスワード ) 8/31
(3) Welcome to Sophos UTM Setup wizard の画面が表示されます セットアップウィザードは Sophos UTM を簡単に設定するため ステップ方式で完了する自動設定手順です 本画面では Continue を選択して [Next] ボタンをクリックします ([Cancel] ボタンをクリックしセットアップウィザードをスキップできます ) 9/31
(4) License Installation 評価版は 30 日無償にてご利用頂けるため 本画面では 入力せずに [Next] ボタンをクリ ックします 10/31
(5) Internal(LAN)Network Settings 本画面では LAN インタフェース (eth0) に割り当てるアドレス設定を入力して [Next] ボタンをクリックします Internal (LAN) firewall IP 192.168.0.1 Netmask /24(255.255.255.0) 11/31
(6) Internet Uplink(WAN) Settings 本画面では WAN インタフェースは設定しないため Setup Internet connection later をチェ ックし [Next] ボタンをクリックします 12/31
(7) Allowed Services 下記のとおり ファイアウォールで LAN インタフェース WAN インタフェースへの許可す る通信について選択し PING 設定についてオプションを選択して [Next] ボタンをクリッ クします ファイアウォール設定 Web Web アクセス (HTTP, HTTPS) チェック File transfer ファイル転送 (FTP) チェック Terminal services Citrix, Apple Remote Desktop, RDP, SSH, Telnet チェック Email メール (SMTP, POP3, IMAP) チェック DNS DNS(outgolng) チェック ICMP 設定 UTM responds to Pings ICMP エコー要求パケットに応答する チェック UTM forwards Pings 内部ネットワーク 送信される ICMP エコー要求およびエコー応答パケットを転送する なし 13/31
(8) Advanced Threat Protection Settings 下記のとおり IPS 機能で対策するルールを選択して [Next] ボタンをクリックします IPS 設定 Intrusion Prevention Engine 侵入防御エンジンを有効にする チェック Command & Control/ Botnet Detection Engine ボットネット検知エンジンを有効にする チェック 14/31
(9) Web Protection Settings 下記のとおり Web プロテクション機能でブロックしたいカテゴリー全てにチェックせず [Next] ボタンをクリックします 15/31
(10) Email Protection Settings 下記のとおり Email プロテクション機能で有効化したい機能を選択して [Next] ボタンを クリックします Email 設定 Scan email fetched over POP3 POP3 プロキシ機能を有効化 なし Configure internal mail server 内部メールサーバ設定 なし 16/31
(11) Thank you for completing the UTM setup wizard 本画面では これまでに入力したパラメータの確認を行います 問題なければ [Finish] ボ タンをクリックします 17/31
2.3 Sophos UTM 管理画面 (WebAdmin) の日本語化設定 (1) PC 端末のブラウザを起動して https://192.168.0.1:4444/ を開きます (2) 接続に成功しますと SSL の警告画面が表示されますので続行します (Mozilla Firefox の表示 例 ) (3) WebAdmin のログイン画面が表示されますので ユーザ名とパスワードを入力して [ ログイン ] ボタンをクリックします Username admin Password (Basic system setup で設定したパスワード ) WebAdmin のデフォルト表示言語は 英語 になります Sophos UTM は 日本語 の表示設定 をサポートしていますので 本設定により日本語表示で管理する事ができます 18/31
(4) 左メニューから Management WebAdmin Settings を開き 表示される画面で General タブに表示されている WebAdmin language のリストボックスから Japanese を選択し て [Apply] ボタンをクリックします (5) 適用処理が完了しますと以下のように緑色の文字で結果が表示されます 結果が表示され ない場合は WebAdmin との通信が切れている可能性があるため再度操作を行います (6) WebAdmin のログイン画面が表示されますので ユーザ名とパスワードを入力して [ ログイ ン ] ボタンをクリックします 19/31
3 インタフェースとルーティング 3.1 ブリッジの設定 Sophos UTM で以下のような構成を設定する場合は ブリッジ設定が必要になります Sophos UTM からブリッジ接続を実行するには以下の手順を実行します (1) 本検証用に管理端末を 2 台準備します ( うち 1 台は UTM 操作 / 通信確認 - 兼用 ) (2) UTM の eth1 に紐付く External(WAN) インタフェースを削除し UTM 上で 2 つの NIC(eth1,eth2) が未使用であることを確認します (3) 管理端末 1 のネットワークを UTM の Internal インタフェースと同一セグメントに設定し UTM の eth0 と LAN ケーブルで接続します ( 例 :192.168.0.10/255.255.255.0) (4) 管理端末 2 のネットワークを 自動取得 に設定します (5) 管理端末 1 から UTM の WebAdmin へログイン後 左メニューから インタフェースとルーティング - インタフェース の インタフェース タブで 新規インタフェース をクリックします 20/31
(6) 以下のように設定し 保存 をクリックします 名前 : ( 必須 ) ブリッジインタフェース名 ( 任意の 名前 例 : Bridge ) タイプ : ( 必須 )Ethernet Bridge Bridge selected NICs : ( 必須 ) ブリッジとして使 用する NIC を 2 つ選択 ( 例 : eth1, eth2 ) IPv4 アドレス : ( 任意 ) ご使用になりたい IP アド レス ( 例 : 10.1.1.1 ) ネットマスク : ( 任意 ) ご使用になりたいネット マスク ( 例 : /24(255.255.255.0) ) IPv4 デフォルト G/W : ( 任意 ) 上位ルータ LAN 側 IP アドレス ( 例 : 10.1.1.254 ) (7) をクリックし Bridge インタフェースを有効化します 21/31
(8) 設定しますと下図のように有効化ボタンが緑色に変わります 22/31
4 ファイアウォール 4.1 許可する通信を追加する 特定のプロトコルの通信を許可するルールを追加するには 以下の手順を実行します (1)~(10) の手順に従って 下記表の 4 ルールを追加します 送信元 サービス 宛先 アクション Bridge(Network) DNS Any 許可 Bridge(Network) Email Messaging Any 許可 Bridge(Network) Web Surfing Any 許可 Any DHCP-UDP67 Any 許可 DHCP-UDP68 (1) 左メニューから [ ネットワークプロテクション ] [ ファイアウォール ] を開き [ 新規ルール ] をクリックします 23/31
(2) 新規ルールの作成画面が表示されますので [ グループ ] [ 優先順位 ] [ 送信元 ] [ サービス ] [ 宛先 ] [ アクション ] の各項目が表示されることを確認します (3) をクリックし 左側に表示されるリストから追加したいオブジェクトをドラックアンドドロップで [ 送信元 ] の枠内にコピーしてください 下図では例として 内部ネットワーク となっていますが 実際は Bridge(Network) あるいは Any を選択します 24/31
(4) [ サービス ] を指定します ここでは Web サイトへのアクセスを許可しますので をクリ ックして画面左側にサービスのリストを表示させ [DNS] [Email Messaging] [Web Surfing] をド ラッグアンドドロップして [ サービス ] の枠内にコピーしてください [DHCP] は クして下記のとおり新規でサービスを登録します (DHCP-UDP67,DHCP-UDP68 は UDP のポート 67 と 68 を入力 ) をクリッ 25/31
(5) [ 宛先 ] を指定します ここでは 全ての Web サイトに対するアクセスを許可しますので をクリックして 画面左側にネットワークオブジェクトのリストを表示され Any を ドラックアンドドロップして [ 宛先 ] にコピーします (6) [ アクション ] を指定します ここでは Web サイトへの通信を許可しますので [ 許可 ] を 選択してください (7) 必要事項の入力が完了したら [ 保存 ] をクリックして入力内容を保存してください 26/31
(8) [ 詳細 ] をクリックすると 設定項目が表示されます ルールを適用する時間帯 トラフィ ックのログの取得 送信元 MAC アドレスについての設定することができますので 必要に 応じて入力してください (9) 保存すると [ ファイアウォール ] のルール一覧の画面に戻ります 作成したルールが一覧 に表示されていることを確認してください 画面左側に表示されるネットワークオブジェ クト等の一覧を消す場合は 右上の をクリックしてください (10) 作成したファイアウォールルールはデフォルトではオンになっていませんので オンに 切り替えるには をクリックして 表示をに切り替えます 27/31
4.2 ICMP を設定する [ICMP] に関する設定にて ping や traceroute などの ICMP パケットの処理方法を設定できます (1) 左メニューから [ ネットワーク ] [ ファイアウォール ] を開き 表示される画面で [ICMP] タブをクリックします グローバル ICMP 設定 にて ゲートウェイ上での ICMP を許可 ICMP のゲートウェイ通過を許可 Allow ICMP through Gateway from external networks をチェック Ping 設定 にて ゲートウェイは Ping で可視 ゲートウェイからの ping をチェック Traceroute 設定 にて ゲートウェイは traceroute で可視 にチェックし ぞれぞれの項目の [ 適用 ] をクリックすることで設定を反映できます (2) 管理端末 2 にて コマンドプロンプトを起動し 10.1.1.254 8.8.8.8 www.yahoo.co.jp へ Ping 疎通できることを確認します (3) 管理端末 2 にて ブラウザを起動し https://10.1.1.1:4444 http://www.yahoo.co.jp へ接続できることを確認します 28/31
5 システム設定 5.1 日付と時刻 タイムゾーンを設定する 初期セットアップで設定した日時やタイムゾーンを変更する場合には以下の手順で変更します (1) 左メニューから マネジメント システム設定 を開き 表示される画面で 日付と 時刻 タブをクリックして開く画面で Sophos UTM の時刻同期に関する変更ができます タイムゾーンの設定 にて Asia/Tokyo を選択 [ 適用 ] ボタンをクリックします 29/31
5.2 シェルアクセスを設定する Sophos UTM へのシェルアクセスを設定する場合には以下の手順で設定します (1) 左メニューから マネジメント システム設定 を開き 表示される画面で シェルアクセス タブをクリックします (2) 有効化するには画面右上の有効化 / 無効化ボタンを押して状態にします また シェルユーザパスワード にて root 用 loginuser 用のパスワードを入力し [ 入力されたパスワードを設定する ] をクリックします 許可ネットワーク にて Any をにて削除 を押し左から Internal(Network) をドラッグアンドドロップし[ 適用 ] ボタンをクリックします 30/31
6 バックアップ バックアップをただちに作成して保存するには以下の手順を実行します (1) 左メニューから マネジメント バックアップ/ リストア を開き 表示される画面で バックアップ/ リストア タブをクリックします (2) バックアップの作成 欄にある コメント( 任意 ) にて年月日時間を入力 [ バックアップを直ちに作成 ] ボタンを押してバックアップを作成します 作成されたバックアップは 利用可能なバックアップ として表示されます 7 設定手順で不明点の場合 オンラインヘルプは開いている画面上部のボタンバーにある アイコンをクリックして開く ことができます 現在選択しているメニュー サブメニュー またはタブに関するオンライン ヘルプ画面が自動的に表示され WebAdmin 言語にあわせた言語が自動選択されます ただし WebAdmin と同じ言語版が存在しない場合は英語で表示されます 31/31