Endian Firewall 座談会

(2009年12月3日開催)

Endian Firewallとは?

ながえそれでは、本日のお題でEndian Firewallのご紹介をさせていただきます。私は運用の方で、プログラム言語とかコンピュータサイエンスとかとは関わりが薄いかもしれませんが、よろしくお願いします。 Endian Firewallなんですけども、オープンソースのUTMでして、UTMというのはUnified Threat Management−統合脅威管理というものなんですけども、それをするアプライアンスソフトウェアです。Endian FirewallはイタリアのEndian社によって開発・サポートされています。 ここらへんは、オープンソースカンファレンスのときに受けたEndian Firewallの紹介がありまして、そのときの受け売りなんですけど、Endian社というのはイタリアの田舎、北のオーストリアに近い方にあります。 Endianのトップページとかですと大体ダウンロードが先に来ているんですけど、Endian社としてはこんな感じで、日本語化できてるのかなぁと思うと上の方の見えるところ、概要と言っても概要があるのかなぁと思うとこんな感じで英語になっちゃうんですけど。 チームとしては、こんな感じのイタリアの人たちがやっているようです。会社としてはまだ小さいですけどヨーロッパでは結構売れてるそうです。この人は日本で売る人だそうです。

ヨーロッパではこういったハードウェアを出してまして、サポートもやっているそうです。サポートはメールによるサポートらしいんですけど、ちょっと親切ではないかもしれません。製品としてはここでも見られまして、ハードウェア・アプライアンスとして載っているのがこれだけありまして、4iとかMiniとか、これとかは本当にスモールオフィス用のやつで5人から20人用とからしいんですけど、中身は普通のマシンです。ハードディスクも内蔵しているんですけど、そんなたいした機械(ハード)ではないと思います。ちゃんとした有名なところのファイアウォールですとか、ジュニパーとかみたいにすごいマシンではないと思います。

そもそもUTMってなに?

ながえそもそも「UTMとは?」ということなんですけど、UTMとはファイアウォールですとかVPNですとかゲートウェイアンチウィルスですとかアンチスパイウェアですとかIPS、これは後で説明します。それからコンテンツフィルタ、こちらも後で見ていただきたいと思っているんですけど、複数の機能が1台に統合されたネットワーク機のことを言います。最近のPC用の総合セキュリティソフトウェアですと、デスクトップファイアウォールですとか侵入検知機能ですとか、アンチウィルスソフトですとか、プログラムの起動ですとか通信監視もおこなっていますので、UTMというのはネットワークエンドポイントにおける総合セキュリティシステムと言っていいと思います。参考としましてIDSですけど、こちらはご存知の方も多いと思うんですけど、IDSというのはIntrusion Detection Systemの略でして、日本語では侵入検知システムと呼ばれています。あと、IDSはコンピュータやネットワークに対する不正行為を検出して通知するためのシステムのことです。こちらですと、センサ部分で侵入を検知しまして、コンソールで検知結果を出します。

しおやUTMの一機能がIDSってことですか?

ながえそうですね。IDSのみっていう製品もあるんですけど、あんまり調べていないのでよくわかりません、すみません。最近は、次のIPSっていう製品の方が多いと思います。IPSっていうのはIDSが発展したものでして、IPSっていうのはIntrusion Prevention Systemの略なんですけども、不正侵入予防/保護システムのことを言います。受身的発想のIDSを発展させまして、不正アクセスに対して自動的に通信断やサーバシャットダウンをおこなう能動的発想で構築されているのがIPSです。こういう風にファイアウォールからインターネットに通信が来て、それが不正な通信だとここでそのパケットをドロップしちゃうですとか、サーバをシャットダウンしちゃうですとか、そういったものがIPSです。

Endian Firewallの機能

ながえEndian FirewallはUTMとしてどういう機能を持っているかというと、ウェブインタフェースの設定管理があり、ファイアウォールはLinuxのiptables、アンチウィルスはClamAV、アンチスパムはSpamAssasin、侵入検知についてはオープンソフトウェアのSnort、コンテンツフィルタについてもオープンソースのDansGuardian、VPMはOpenVPM、HTTP ProxyについてはSquidというように、全部オープンソースのもので構成されてます。

みや IPSとIDSを両方含めて侵入検出?

ながえはい、そうです。で、ここからはEndian寄りの話になるんですけど、Endian Firewallではネットワークを“ゾーン”というものに分けています。どういう分け方をしているかというと、レッドが外部ネットワーク、ISP等でいかにも危なそうなネットワーク。グリーンは安全そうなということで信頼されたネットワーク。オレンジはちょっと危ないかなぁということでDMZのサーバ用。ブルーについてはよくわかんないんですけど、WLAN (Wireless LAN)とかそういうのがくっついてるゾーンということだそうです。

しおやWANじゃなくてWireless LANなんだ。

Webインターフェースでの設定、管理

ながえそうです、Wireless LANです。今回は検証用のPCとして自分のPCにvirtualboxというSunの仮想環境のやつを入れまして、その上にEndian FirewallとクライアントとしてCentOSを入れました。Webインタフェースでの設定管理ということで、Endian Firewallではすべての設定管理をWebインタフェースでおこなうことが可能です。ということで、実例をお見せします。 こんな感じで今virtualbox上にあるEndian Firewallを見ています。こういった感じでWebインタフェースは日本語化されていて、一部されていないなくて英語のところもあるんですけど、例えばシステムとかですと、ダッシュボードが出るんですけど結構いい加減な値が出てくるのですが、こんな感じでダッシュボードとしてネットワークインタフェースの状態ですとかハードウェアの状態ですとか、ハードウェアの状態と言ってもLinuxで出せるpsですとかvmstatとかdfの情報から引っ張ってきた簡単な情報なんですけど。

しおやこれはこのEndian Firewallが動いているマシンのハードウェア情報?

ながえはい、そうです。今は仮想環境上で動いていますが。

しおや隣のはさっき言ってたエリア分けの色ですか?

ながえそうです。これがグリーン、これがオレンジ、レッドが外部、紫がOpenVPMだったんですけど、ちょっとこれはすいません、紫になってます。こういった感じですべてウェブから情報が見られます。設定としては簡単で、ここの[ネットワークの設定]というところからイーサネット、PPPoE、ADSL、ISDNとかを指定する。それから次に、オレンジのゾーンを使うかですとか、グリーンのゾーンについてはインターフェースでどういうIPアドレスを指定してネットマスクを指定するか、オレンジについても同じように設定します。それからホスト名とドメイン名の設定。レッドについてもインターフェースのIPアドレスとかネットマスク、デフォルトゲートウェイ、DNSサーバの設定。ここはメールの設定をしています。で、[設定を適用]を押せば設定は簡単に終わります。

Firewall機能

ながえファイアウォール機能についてですけども、ファイアウォールについてはWebインタフェース画面から設定します。どんなものかというと、ここで[ファイアウォール]というところをクリックしますと、[ポート転送/NAT]というところに[incoming routed traffic]というところがありまして、これは内部に向かってくるもののトラフィックのルールなんですけど、こういった感じで、オレンジでしたら送信元<ANY>ですからどこからでもOKで、送信先についてはオレンジのゾーン、それからどういったポリシーかを設定できます。[新規ファイアウォール追加]っていうのを選んでみます。そうしますと、こんな感じで送信元についての設定、送信先についての設定、サービス/ポート、プロトコルですとかポート番号ですとか。それからポリシーについては許可するかですとか、リジェクトするですとかDENY(拒否する)ですとか、そういったものが指定で出てきます。 こちらの[送信トラフィック]というのは、内部のゾーンから外部のゾーンに対するファイアウォールの設定になっています。送信元がグリーンもしくはブルー、もしくはオレンジからレッド、外部のゾーンに対する送信を設定しています。

しおやカラーの単位でルールを…

ながえそうですね、カラーの単位で設定しています。IPアドレス単位で設定、例えばここで各プロトコルのhttpのルールの作成といったこともできます。この場合は適用するために[適用]っていうボタンを押すと作成するになりまして、こんな感じで。

いぬい特定の相手先っていうのはできないんですか?

ながえはい、特定の相手先の場合も、こちらでネットワークIPとして指定して...

いぬいなるほど。特定のIPは気にするとかそういうのは?たとえばブラックリスト方式のファイアウォールとホワイトリスト方式のファイアウォールのどっちもできる?

ながえその場合はこちらのポリシーっていうのをREJECTなりDENYなりにしてやって[Update Rule]ってやると、[適用]ってやって、こんな感じでお願いしますよと出ます。ファイアウォール機能については以上になります。

アンチウィルス機能(ClamAV)

ながえアンチウィルス機能についてはClamAVというのがあるんですけど、ClamAVはシグネチャによるパターンマッチング方式を採用したオープンソースのアンチウィルスソフトウェアになります。こちらですと、[サービス]の[Antivirus Engine]というのがありまして、ここでClamAVの設定ができます。最大アーカイブサイズですとか最大圧縮回数ですとか最大ファイル数、最大圧縮率等の設定ができます。 最大圧縮回数ですと、zipを5回以上やっていたらウィスルとみなすとか、最大圧縮率は1,000とかと言いますと、例えば0ばっかりの…

いぬいそれってわかるんですか?

ながえ拡張子を変えているとわからない。例えば圧縮しておいてテキストとか。

しおやまぁ、fileコマンドを使えば結構わかるのはわかっちゃいますからねぇ。

みや これ初めて見たんですけど、メールのアンチウィルスってこと?

ながえそうですね、メールで添付されている。例えばこれだとSpamghettiの方でもこんな感じで最大圧縮で…

しおや同じ機能でありますねぇ。

みや ここでMTAをインストールするっていうことになるのかな。ファイアウォールの中にMTAがあって、いったん受け取ってから、フォワードする際にこれをチェックをするっていう意味ですかね。

ながえSMTPのプロキシを用意してまして、代わりに受け取って、そこで…

みや プロキシっていうのはMTAとしての中継、またはSpamghetti的な、パケットを中継ぎしているような?...(知りたいのは)MTAは何を使うのかなと。

ながえPostfixが入っているので、多分それを使っているんじゃないかなと。Endian FirewallにSSH経由で入って、その中のサービスを見てるんですけど、例えばおなじみのsshdですとか、Linuxのsyslog-ngですとか。

いぬいEndian Firewallを使うときはこいつをメールサーバにしないといけないということですか?

しおやこれがどこかに中継してくれるんですよね?

ながえそうですね、内部のDMZのSMTPサーバに中継してあげれば...

いぬいそのときどうやってこのアンチウィルスを使うのかな...一回キャッシュっていうか取り込んで調査して、それが終わったら同じプロトコルで内部のSMTPサーバに内容をつなぐとか?

ながえそうですね。ここら辺にメールルーティングとか送りたい先を設定しまして、それからブラック/ホワイトリストでブラックリストのドメインですとかホワイトリストのドメインですとか、Senderですとかを設定したりします。あとは外部からそういったブラックリストを提供しているようなところから情報をもらって、そこからきたら即ドロップとか、そういうこともできます。例えば、スパムグレーリスティングですとかも可能です。あとは自分でホワイトリスト/ブラックリストのSenderを決めることも可能です。例えばSMTPのプロキシをonにしますと、スパムセッティングというのでさっきのClamAVを使うかSpamAssassinを使うかを設定できるんです。

かわのすみません、それって自分で設定しないといけないというか…お任せでいいフィルタを勝手にダウンロードしてくれるとか、そういうことではないんですね?

ながえそうですね。今回のアンチウィルスエンジン、ClamAVっていうのがあるんですけど、そちらだとこんなかんじでシグネチャをアップデートってすると外部のフリーのシグネチャを公開しているところにアクセスして…

かわのそこから持ってきてくれるという。

みや 基本的なこと聞いていいですか?このディストリビューションっていうのはどっからどこまでを指しているんですか?OSの部分を全部?その状態からインストールするんですか、これって?

ながえそうですね。ディストリビューションに近いですね、Linuxの。

みや OSにiptablesとか入っているわけですよね。それに合ったOSのカーネルがあるのかな…

ながえEndian Firewall自体がOSのディストリビューションみたいな感じで、カーネルもソフトウェアも全部ですね。

すとう元になっているOSというのはあるんですか?

かさいRedHatでしたっけ?エンタープライズ版の

ながえWikipediaを見ると知らないディストリビューションが書いてあるんですけど...

かさい先月の初めにEndian Firewall社が日本でこれを売り始めるという記事がどっかに...そこにディストリビューションの話がちょこっと出ていた。

ながえこう見るとLinux From Scratch (LFS)とか書いてあるんで…

しおや本当はSmoothWall?...って読むんですか?

ながえもともとはIPCopっていう、これも知らないんですけどそれに基づいていて、それからSmoothWallっていう知らないファイアウォール、多分ファイアウォールなんでしょうけど、それから今はLinux From Scratchから作ってあるらしい... アンチウィルスをどういったときに使うかというと、やっぱりウェブとかを見ているときに使うと思います。プロキシとかでもこういった感じでアンチウィルスというのはありまして。

かさいでも、製品の中も大体日本語になっちゃって。

ながえそうですね、製品は大体日本語になってます。

かさい翻訳するときはやっぱりこれに合わせないといけない、多分ね。

ともじ管理画面一覧をウェブで公開されるということはしないんですかね?自分で環境を作らないとウェブのコンソールにはアクセスできない?

かさい多分ソースはあるから、それを見てPOとかMOとか、UIのメッセージを国際化する...ソースが多分手にはいると思うんで、それを見れば何とか。

ともじそうですね。この会社に聞いてみます。

ながえここだと多分HTTP proxy経由でアクセスする場合はこんな感じでこのシグネチャをClamAVのシグネチャを使うということをやっています。あと、最大コンテンツサイズが20MB以上は開けないですとか、そういった感じですね。アンチウィルス機能は以上です。

アンチスパム機能(SpamAssassin)

ながえアンチスパム機能についてはSpamAssassinっていうので実現しています。SpamAssassinというのはテキスト解析技術と複数のインターネット リアルタイム ブラックリストを組み合わせてスパムを検知するメールフィルタです。単にヘッダのパターン認識だけじゃなくて、メール全体の特徴からスパムか否かを判断すると共に、学習して精度を上げることも可能です。実例を挙げますと、さっきのSMTPのプロキシだとこんな感じでスパムセッティングしてスパムと判断されたらスパムサブジェクトを付けるですとか、スパムマークレベルである閾値以上はスパムと判断するですとか。それから、[スパムトレーニング]というのもあるんですけど、こちらはIMAPサーバを設定しなきゃいけなくて、今回は設定してません。IMAPサーバからメールを取り出してきて、どれがスパムかそうじゃないかというのをトレーニングすることができます。

かさいちょっとずれますけど、SpamAssassinなんかは日本語のメールにも対応しているんですか? 例えばサブジェクトがMIMEエンコードされているようなものでも?

ながえEndian Firewallに入っているのが日本語対応があまりできていないそうなので、日本語パッチを入れないとあまり効果ないそうです。SSH系で入ってSpamAssassinの日本語パッチを入れてやると、そうすれば効くようにはなると言ってましたけど、試していないのでわからないのですが。

しおやソースも中に収めてあるとか?

ながえそうですねぇ、ソースまで含めているかどうか…入れ替えないといけないかもしれない。

しおやSpamAssassinってPerlでしたっけ?

ながえそうですそうです。

しおやじゃぁ、いつでもパッチは(当てられる)...

ながえいつでもパッチを当ててやればいいんでしょうけど、そこら辺が日本で売るには大変そうですね。

IPS機能(Snort)

ながえIPS (Intrusion Prevention System) 機能というのはSnortでやっています。Snortというのはパケットスニファによって収集したデータに対してルールをもとにlogとして収集して、その内容に対してパターンマッチングをおこないます。このパターンマッチングによりバッファオーバーフローですとかステルスポートスキャンですとか、様々な攻撃を検出することができます。検出した攻撃は通知もしくは防御できます。設定方法はここにちょっと載ってますけども、実例をお見せします。 [サービス]の[Intrusion Prevention]というところにあります。ここで、[Update rules now]ってやると、再起動して外部のフリーのルールを持ってきます。ルールってどんなのかって言うと、結構あるんですけど、私がなじみ深そうだったのがemerging-game.rulesっていうぐらいしかほとんどわかんなくて、あとはP2Pっていうのがありますけど、P2Pとかだと、こういう風にクリックすると中身が見えるんですけど、こんな感じでeDonkeyですとかGnutellaですとかP2Pトレントですとか...有名なのはBitTorrentですね。あとはカーザですとか、これも全然わかんないんですけどeMuleですとか。

しおやルールはどんな風に書いてあるんですか?

ながえルールはよく見えないんですよね、こんな感じで。有効か無効かっていうのしかできないのでどうかなって思うんですけど。今は△マークが検知っていうことになっていまして、これをもう1回押すと楯(シールド)マークになりまして、これはドロップになります。△が検知で楯マークがドロップ。P2Pで最近有名なのはLimeWireで、Cabosの元になっているものです。

ともじルールの実体っていうか、ファイルそのものはやっぱりSSHで…

ながえ例えば、game rulesにして[編集]ってすると多分開くだけだと思うんですけど、こんな感じで。

しおやこの画面そのものが編集なんですね。

ながえやっぱりどんなのかって見るとするとSSHで中身を見てもらうしかないかなと。フリーのところから持ってきているので、中身については別に見ても問題ないと思うんですけど。gamesだとわかるんですけど、Battle.netのDiablo?ですとかWarcraftですとか、World of Warcraftとかが有名だと思います。World of Warcraftは会社の中からはちょっとご勘弁願います、と...

ともじフィールドログオンとかフィールド?コネクションとかインカミングチャットメッセージとか、これを装ったイントルージョンがあるってことですか? 例えば社員がこういう行為をおこなうと…

ながえ例えば会社の中からチャットをしているとそれをブロックするとか、外部の人から会社の中、もしくは自分の家の中にチャットをしてくるとそれをブロックするですとか。

かわのじゃぁ、小さい会社で、自分のところの社員を仕事中に遊ばせたくないと思ったら、このサイトはダメとかこのサービスはダメとかいうのを管理者に言ってそこを閉じさせるっていうこともできる?

ながえできます。これはIPSなのでちょっと違うところで設定するんですけど、それは次のところでお話します。

コンテンツフィルタ

ながえさっき言った特定のアクセスについてダメとか許可するとかするのはコンテンツフィルタというものになります。コンテンツフィルタはDansGuardianっていうので実現されていて、DansGuardian自体が商用使用の場合はサポートが必要とか書いてあってちょっとビビッたんですけど、まぁ検証用だったら無料なんですけど。

しおやアプライアンスに乗っけるのは商用使用にならないんですかね。ちゃんと契約は結んである?

ながえう〜ん、なりそうな気はするんで後で請求されたら怖いんですけど。まぁ、今は個人使用で問題ないんですけど...実例をお見せすると、[プロキシ]っていうところから入りまして、HTTP proxy: Contentfilterっていうところがあります。コンテンツフィルタでどのコンテントを(フィルタリング)するかということなんですけど、この[content2]っていうので制御できます。この鉛筆マークをクリックすると編集できるんですけども、DansGuardianって得点(ポイント)形式でやってまして、50が幼児向けで100が子ども向けで160は若い成人とか言っているんですけど...(笑)若い成人ってよくわかんないんですけど。 どういったのができるかというと、例えばアダルトですとか、アダルトについては会社の中ではちょっと恐ろしいので。アダルトですとかハッキングですとか広告ですとかニュースとか。

ともじ[+]をクリックするとどんなリストが表示されるんでしょうか。アダルト以外で結構なので。

ながえいやぁ。DansGuardianが決めたリストがあって、それを一元的に。これ(News)だとニュースをブロックしちゃうんですけど。

しおやURLそのものは向こうの商売道具。

ながえやっぱりこれはヨーロッパとかアメリカ向けみたいで、日本ではあまり効きにくい。

かわのじゃぁ、自分で何か追加したいときはコンテンツフィルタにルールを追加すればいいんですね?

ながえそうです。例えばこんな感じでカスタムブラックリスト、ホワイトリストというのがあります。今の例だとYouTube.com。あとはgoo.ne.jpとか。

いぬい若い成人っていうのは26歳以上とか、そういうんでしょうかね。

ながえ20歳以上だと思いますけどね。

いぬい某歌舞伎町には26歳以上しか入れないみたいな店があるんですけど(笑)。なぜかは言いませんが。(R-25指定!?)

ともじコンテンツフィルタということは、URLを指定したりIPアドレス範囲でブロックするんじゃなくて、中身を見て?

ながえ中身を見てDansGuardianが「ここはダメ」というところを持っているみたいで、こちらからは制御できないので、例えばNewsだめって言ったらニュースだめしかできないんですけど。

しおや日本だと、こういうのをi-FILTERとかがやってますよね。あと1つか2つくらい、やっぱりURLを分類するデータベースのサービスみたいな会社が。オープンソフトからフリーで使えるかどうかはわかりませんけど。

かわのDansGuardianはフリーなんですよね?

しおやソフトウェアはフリーだけど、データベースはフリーじゃないというか。

いぬいDansGuardianは英語版なんですよね?

かわの日本でそういうのはないのかな。

いぬい商用はあると思いますけど。

かわのフリーではないのかな。それこそ公共でやるような仕事だと思うけど...

みや 聞いたことはありますけどね。子どもに有害なサイトを調べるような。

かわのNPOではありますよね。

ながえ中国もフィルタリングはしているみたいですよね。

しおや国がやると「検閲だ」とか大事になるから、NPOあたりがやるのが無難といえば無難なような気もしますね。

みや 話は逸れるけど、YouTubeが遮断されてるって聞いて中国でアクセスしてみたらちゃんと見られたから、結構情報が錯綜しているような。

ともじ最近、中国の知り合いが何かのVPNか何かを介すかしてやっとTwitterにつなげるようになったっていう書き込みがありましたね。

ながえ今回、この例で言うとEAとか。EAっていうのは海外のゲーム会社なんですけど、なんかもう検索した時点でダメって言われる。

ともじ検索するのも許さない?

ながえ許さない。さっきYouTubeを不許可にしましたけど、YouTubeってやると出てきはするんですけど、アクセスしたらダメって言われます。あとはニュースをダメにしたのでBBCとかは…ダメですね。朝日は日本語だから生きてるかもしれない…あっ、BBCはダメですね。

ともじ検索結果のページの中にBBCとかそういう文字列があるとアウトなんですか? それともBBCというURLのクエリ文字列を見て禁止してるんですかね? 例えば、普通の業務の検索をしていて、検索結果の中にたまたまBBCとかが含まれていて、それでこのページが出ちゃうということはあるんですか?

ながえよくわからないですけど...

みや “あさひ○○”とかという会社ってたくさんありますけど、旭化成とかやるとどうなるんでしょうかね。

ながえ「あさひ自転車」は大丈夫、拾っているみたいですね。

しおやasahi.comだと?

ながえasahi.comは…ダメですね。

しおやちゃんとニュース扱いなんですね。

かわのそれはDansGuardianの機能なんですよね? やるなぁ。

ながえでも、さっきゲームもダメにしたんですけど、日本の会社のカプコンとか…(ダメ)

みや これはどのルールに引っかかっているのかというのは、ここには出していないんですか?

ながえそれはログを見ればわかるかもしれない。

ともじ禁止しなくてもログを取ることはできるんですよね?

かわの社内の誰がどこをどれだけ見ているか全部見えちゃうわけですよね。

しおや禁止するよりたちが悪いですよね。(笑...たしかに!)

みや クライアントから見るとプロキシの設定をして、そこを経由して…

ながえそうです。プロキシで。

みや じゃぁ、Apacheの方でもプロキシのルール設定が確かあったと思うんだけど、それに似た感じなのかな?

ながえこれで言うと代わりのWebサーバを立てていて、それにリクエストがあったらクライアントの代わりに探して取りに行ってくれる。

かわのメールの中身もチェックできるんですか?

ながえ中身は多分やっていないと思います。ウィルスがあるか、スパムかぐらい。あとはアドレスくらい。

ともじhttpsでもコンテンツフィルタってできるものなんですか?

ながえhttpsでは解読の場合はできないですけど、アドレスでたぶんやるんじゃないかなと思います。

いぬいhttpsでも暗号化されていないと遮断するとか、FireWall-1とかは遮断するんですよね。そこまではないんですか?

ながえそこまでは多分ないかな。

かさいhttpsで暗号化されていないというのはどういうことですか?

いぬいhttpsというプロトコルはhttpプロキシに対して、最初にハンドシェイクだけしたら後は普通のソケットのようにデータが流せるんですよ。

かさいそのソケット自体が暗号化されている?

いぬいそうそう。どうもそれを見ているみたいで、それでうちの製品は引っかかるんですけど、うちの製品はそこはハンドシェイクして、後は我々が勝手な手順で中身を暗号化しているんですけど、それだとFireWall-1から「あなたのやつは正規のパケットじゃない」とかって言われて落とされることがあるんですよ。

ながえそこまで高機能なものはないですね。基本的なところはカバーしているということで。

いぬいIPSの機能はまた別なんですか? それはさっきのやつですか?

ながえIPSの機能はさっきのです。

いぬいこれってポートスキャニングとかそういうのはどこで設定するんですか? ルールを見たらプロトコルの中身はありましたよね。そういうのもできるんですか? さっきのゲームなんかだと中身のつながり方を見て閉じるんだと思うんですけど。

ながえポートスキャンルールズですかね…ただ、名前だけなのでどういう感じかはちょっと…。これとかだとPOP3で多量につなぐとかになるんでしょうけど。

しおやいろいろ攻撃パターンがあるもんですねぇ。

ながえポートスキャンだとここらへんですかね。ET SCAN NMAPとかでしょうかね。NMAP -sAとか。ユーザーさんの集まりが作ったようなやつなので、プロのところに比べたらどうかなぁと思いますが。

いぬいそれとあの、DoSのタグっていうのはどうなっていますか?

ながえはい、DoSルール。ここら辺とかでわかりますね。ET DOS Catalyst memory leak attackとか。

かさいこういうのは基本的に検知されると通さない、ドロップしちゃうんですか?

ながえ今は△マークなので検知ですけど、ここをクリックして楯マークにすればドロップできます。

かさい最近、DoSの前にもう1つDの付いたDDoSというのが…

ながえはい、Distributed Denial of Service。

かさいあぁ、ありますねぇ、SMTP MAIL FROM DDOSというのが。Mail fromを使って何遍も何遍もということなんですかね、繰り返しで。

ながえ複数のクライアントとかPCからとか。

いぬい遮断というのは特定のIPからのアクセスを受け付けないというようになるんですよね?

ながえそうですね。すみません、ルールの中身まで見てなくてわかっていないんですけど…。あとはちょっと数が少ないですよね。1ページしかなくてそれも20個とかですよね。そういったところは専門のファイアウォールのマシンに比べたらちょっと少ないかもしれません。

ログ機能

ながえログについてはライブログというのがありまして、こんな感じで今出てきているのを、アンチウィルスですとかコンテンツフィルタですとかウェブサーバですとか、全部のログを見ることができます。

すとう当然OSのログとして残っているんですよね?

ながえ残ってます。ファイルに残っていて、それを引っ張ってきているだけです。Pauseすることもできますし、フィルタすることもできます。

オープンソースのビジネスモデル

ながえということで、まとめですけど、Endian Firewallではすべての機能の設定管理をウェブインタフェースを介しておこないます。ここら辺はちょっとオープンソースにしては便利かなと思います。 Endian Firewallではファイアウォールとかアンチウィルスですとかプロキシ機能のすべてを既存のオープンソースを融合して実現しています。今回、参考にした資料はこのようになります。

ながえあとオープンソースのビジネスモデルとして今回Endian Firewallを調べるついでにいろんなオープンソース製品を知ることができたんですけど、ビジネスモデルとしてはいろいろなパターンがあると思います。基本的に無償・サポートなし、これは間違っていたら申し訳ありませんが、SpamAssassinは無償。で、サポート有償ですけど、「サポートなしでも商用での使用OKですよ」というのはEndian FirewallとClamAVというのがあります。ちょっと「う〜ん…」と思ったのがSnortなんですけど、公式ルールは有償というのがあります。コミュニティに入ったら無償らしいんですけど、制限があって、ダウンロードは1時間以内に2回はダメとか、そういった制限があるものもあります。それから、商用での使用は有償ですよというのものでDansGuardianというのがあります。というところでビジネスモデルに興味を持ったので、最近発売されて結構話題を呼んでいる『フリー』という本を買ってみました。

いぬいどういうところが興味深いですか? オープンソースでどうやってもうけるかということが書いてあるんですか?

ながえそうです。たとえば激安航空券がどういう風に成り立っているかとか。

いぬいフリーというのはオープンソースだけに限らず無料の…

ながえそうです。

かさいEndian社の場合のビジネスモデルというのは、ヨーロッパではハードウェアを売って、そのハードウェアがひとつのビジネスで、あとはそのハードウェアを売った後でのサポートというのがあるってことですかね。

ながえええ、サポートでも儲けている。サポートなしでもいい。その場合は、有名にするために宣伝効果を狙ってフリーの製品を使っているということだと思います。

かわのディストリビューションをタダで配っている?

ながえ配ってる。

かわのじゃぁ、自分のマシンにEndian Firewallのディストリビューションを入れたらハードを買わなくても使えるっていうことですね?

ながえええ。ただ、DansGuardianのところなんかはどうするんだとか、VPNクライアントも専用のやつがあって、そこら辺が設定しやすくなっているのかなぁというのがあります。VPNのオープンのものを持ってきてやってみたんですけど、ちょっとうまくいかなかったので。

かわのじゃぁ、使う人のメリットとしては自分でOSのインストールから始めてファイアウォールのマシンを1個作る手間を考えたら、UTM専用のディストリビューションだからそれを持ってきたら楽だよと、更に言えばハードを買ってくれればそれもいらないよ、プラグアンドプレイみたいにできるっていうことですね。

ながえ本体も10万円くらいらしいです。ミニとかだと聞いたところによると10万円くらいだそうです。

いぬい中身はただのLinuxですよね。386が入っているPCなんですよね。

ながえそうです。ハードディスクと386のCPUが入った。

かわのなんか、昔もこういうものあったよな。買った記憶があるんだけど。四角い青い機械。

ながえコバルトとか?

かわのそうそう!コバルト!かっこいいんで買ってみて…

しおやかっこいいですよね、あのマシン。

かわのコバルトキューブ買いました!

ながえええ、そんな感じです。

かわのあの流れに沿ったものなんですね。

ながえそう、似てます。

すとうでも、こういうのって基本GUIで操作して、コマンドラインでファイルを編集したらサポートしてませんよというのが多くて、もっと言うならGUIにも結構バグがあって、開発者側からしてみたらテストはするんですけど、ユーザ側も真剣にやるじゃないですか。そしたらGUIのバグが多くて、多分コバルトのGUIもPerlで書かれていると思うんですけどバグが多くて、コバルトの受け継いだやつをTurboLinuxが出していて、それも相当バグが(笑)

(以上、インフォサイエンスにて)