画面上部のメニューバーで[サービス]をクリックします。
Endian UTM Appliance が提供する各種の便利なサービスは、このセクションで設定することができます。これらのサービスには、ClamAV アンチウィルスなど、さまざまなプロキシによって使われるサービスも含まれています。また、侵入検知、ハイアベイラビリティ (High Availability)、トラフィックの監視 (Traffic Monitoring) もこのセクションで有効にすることができます。画面左のサブメニューには以下のリンクが表示されます。
以下では、各リンクについて順に説明します。
画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[DHCP サーバ]をクリックします。
DHCP (Dynamic Host Configuration Protocol) サービスを使うと、すべてのネットワークデバイスの IP アドレス設定を Endian UTM Appliance から集中管理できます。
クライアント (ホスト、またはネットワークプリンタなどのデバイス) は、ネットワークに接続されると、一定範囲のアドレスの中の有効な IP アドレスとその他の設定を DHCP サービスから自動的に取得します。クライアントは DHCP を使用するよう設定しておく必要があります。この設定は「ネットワークの自動設定」などと呼ばれることが多く、ほとんどの場合、デフォルトの設定になっています。DHCP サービスの対象は、グリーンゾーンのクライアントのみに制限したり、オレンジ (DMZ) ゾーンやブルー (WLAN) ゾーンのクライアントを含めたりすることができます。特定のゾーンを対象にサービスを提供するには、該当するゾーンの[有効]チェックボックスをオンにします。
[設定]をクリックし、以下に説明する DHCP の各種パラメータを定義します。
熟練ユーザは、 dhcpd.conf に追加する独自の設定内容を[カスタム設定]ボックスに入力できます。 Endian UTM Appliance の管理インターフェースは、入力された内容の構文チェックを一切行いません。入力内容に間違いがあると、DHCP サーバが起動しないことがあるので十分に注意してください。
設定例: 起動時に HTTP サーバから設定ファイルを取得する必要のある VoIP 電話に対応するには、以下のような行を追加できます。
option tftp-server-name "http://$GREEN_ADDRESS";
option bootfile-name "download/snom/{mac}.html";
上の例では、アプライアンスのグリーンインターフェースのアドレスに置換される $GREEN_ADDRESS というマクロを使用していることに注意してください。
一部のデバイスでは、DHCP を利用しつつ、常に同じ IP アドレスを使う必要がある場合があります。このような場合、[固定割り当ての追加]をクリックすると、スタティック IP アドレスをデバイスに割り当てることができます。デバイスは、そのデバイスの持つ MAC アドレスによって識別されます。なお、ここで設定する固定割り当てでは、各デバイスが DHCP サーバに接続して IP アドレスを取得します。したがって、各デバイス上で手動でアドレスを設定する操作とは根本的にしくみが異なることに注意してください。
典型的な使用例として、PXE (Preboot Execution Environment) を使ってネットワークサーバからオペレーティングシステムイメージをブートするシンクライアントがネットワーク上にある場合を挙げることができます。
固定割り当てを定義するために指定できるパラメータは以下のとおりです。
追加した固定割り当ての一覧で、目的の行の右側にあるアイコンをクリックすると、該当する固定割り当ての有効/無効の切り替え、編集、または削除を行うことができます (画面の下部にアイコンの凡例があります)。
DHCP セクションの最後には、現在割り当てられているダイナミック IP アドレスの一覧が表示されます。
画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[ダイナミック DNS]をクリックします。
DynDNS などのダイナミック DNS プロバイダは、グローバルに利用可能なドメイン名を IP アドレスに割り当てるサービスを提供しています。こうしたサービスは、家庭で利用している ADSL 接続など、ダイナミックに変わる IP アドレスでも利用することができます。こうした仕組みを利用するには、IP アドレスが変わったら、そのたびにダイナミック DNS プロバイダにアドレスの変更を通知する必要があります。
Endian UTM Appliance には、14 のプロバイダに対応したダイナミック DNS クライアントが組み込まれており、このクライアントを有効にすると、IP アドレスが変更されるたびにダイナミック DNS プロバイダに自動的に接続し、新しい IP アドレスを通知します。
使用するアカウント (アカウントは複数使用できます) ごとに[ホストの追加]をクリックし、以下のパラメータを指定します。
インターネットからドメイン名を使って自宅またはオフィスのシステムに接続できるようにするには、レッドゾーンにサービスをエクスポートする必要があることに注意してください。ダイナミック DNS プロバイダが代行してくれるのは、名前解決の部分だけです。サービスをエクスポートするには、一般にポート転送を設定します ([ファイアウォール]メニューの[ポート転送 / NAT]を参照してください)。
画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[Antivirus Engine]をクリックします。
バージョン 2.3 で追加.
このセクションは、オプションの Sophos アンチウィルスモジュールをインストールしている場合にのみ表示されます。サービスごとに、Sophos と ClamAV のどちらを使うかを指定できます。以下のサービスがサポートされています。
設定を保存するには、ページ下部の [保存] をクリックします。その後、必ず [適用] をクリックしてください。
このセクションでは、ClamAV でアーカイブボム (説明については次のパラグラフを参照してください) をどのように処理するか、および新しいウィルスに関する情報をどれくらいの頻度でダウンロードするか ([Clamav シグネチャアップデートスケジュール]) を設定します。スケジュールされたアップデートが最後に実行された日時も表示されます。また、アップデートを手動で開始することもできます。
アーカイブボムとは、巧妙な手段を使い、ファイアウォールのリソースのほとんどを使い尽くしてしまうほど (いわゆるサービス拒否攻撃に相当)、アンチウィルスソフトウェアに大きな負荷をかけるアーカイブのことです。使われる手段としては、圧縮効果の高い反復的な内容の大きなファイル複数から構成される小さなアーカイブを送り付けたり (たとえば、0 だけを含む 1 GB のファイルを zip で圧縮すると 1 MB になります)、複数のアーカイブを入れ子にしたアーカイブ (たとえば、zip ファイルの中にまた zip ファイルを入れてあるアーカイブ) や膨大な数の空のファイルを含むアーカイブを送り付けるなどといったものがあります。
ClamAV では、こうしたタイプの攻撃を回避するために、一定の属性を持つアーカイブをスキャン しない ようあらかじめ設定されています。ここでは、この属性を指定します。
ClamAV を実行するときにもうひとつ重要なのが、アンチウィルスシグネチャのアップデートです。すなわち、新しいウィルスに関する情報を ClamAV サーバから定期的にダウンロードする必要があります。設定ペイン (画面上部右側) では、このアップデートを実行する頻度を選択できます。デフォルトは、1 時間毎です。ヒント: 各項目の横のクエスチョンマークにマウスのポインタを置くと、該当する項目を選択したときに正確にはいつアップデートが実行されるかが表示されます (デフォルトは毎時 01 分です)。
このセクションには、最後にアップデートが実行された日時と、ClamAV アンチウィルスシグネチャの最新バージョンが表示されます。
[直ちにシグネチャをアップデート]をクリックすると、(スケジュールされたアップデートとは無関係に) ただちにアップデートが実行されます。アップデートにはいくらか時間がかかる場合があることに注意してください。このセクションには、特定のウィルスに関する情報を検索できる ClamAV のオンラインウィルスデータベースへのリンクも用意されています。
このページでは、新しいシグネチャをどれくらいの頻度で Sophos からダウンロードするかを選択できます。選択できるオプションは以下のとおりです。
最後に、ページ下部の [保存] をクリックして設定を保存します。
画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[NTP サーバ]をクリックします。
Endian UTM Appliance は、NTP (Network Time Protocol) を使って、システムの時刻をインターネットのタイムサーバホストと同期します。
Endian UTM Appliance では、あらかじめインターネット上のいくつかのタイムサーバホストが設定されており、システムはこれらのサーバを使います。独自のタイムサーバホストを指定するには、[デフォルト NTP サーバを置き換え]チェックボックスをオンにします。この指定は、インターネットにアクセスできない環境で Endian UTM Appliance を使用する場合に必要になることがあります。独自のタイムサーバホストは、1 行に 1 つずつ登録します。
このセクションでは、現在のタイムゾーン設定を変更することもできます。
このセクションの最後のフォームでは、システムの時刻を手動で変更できます。この操作は、システムクロックの時刻が不正確で、時刻の同期をスピードアップしたい場合に有効です (タイムサーバを使った自動的な時刻の同期は、すぐに行われるわけではないためです)。
画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[スパムトレーニング]をクリックします。
SpamAssassin は、どのメールがスパムメールで、どのメールがそうでない (いわゆるハムメール) かを自動的に学習するよう設定することができます。学習を可能にするには、SpamAssassin が IMAP ホストに接続し、あらかじめ定義されたフォルダでスパムメッセージとハムメッセージをチェックする必要があります。
デフォルト設定は、トレーニングには 使われません 。デフォルト設定の役割は、実際のトレーニング元が引き継ぐデフォルト設定値を提供することだけです。実際のトレーニング元は、以下で追加できます。[デフォルト設定の編集]をクリックすると、デフォルト値を設定するための新しいペインが表示されます。
スパムトレーニング元は画面の下のセクションで追加できます。[IMAP スパムトレーニング元の追加]をクリックすると、新しいペインが表示されます。追加のトレーニングホストのオプションは、デフォルト設定のオプションとほぼ同じです。ただし、スケジュールの設定オプションはありません。スケジュールの設定は、常にデフォルト設定から引き継がれます。以下では、3 つの追加オプションについて説明します。
その他のオプションは、デフォルト設定の場合とまったく同様に指定できます。オプションが定義されている場合、そのオプションの値がデフォルト値に代わって使われます。追加したトレーニング元を保存するには、目的の値をすべて設定してから、[トレーニングソースの追加]をクリックします。追加したトレーニング元の一覧で、目的の行の右側にあるアイコンをクリックすると、該当するトレーニング元のテスト、有効化、無効化、編集、または削除を行うことができます。アイコンの凡例はページ下部にあります。
[すべての接続のテスト]をクリックすれば、すべての接続をチェックすることもできます。トレーニング元が多数定義されていたり、IMAP サーバへの接続が低速な場合、この操作には時間がかかる場合があることに注意してください。すぐにトレーニングを開始するには、[今すぐトレーニングを開始する]をクリックします。トレーニング元の数、接続速度、および特にダウンロードされるメール数によって、この操作には非常に時間がかかることがあることに十分注意してください。
受信メールと送信メールで SMTP プロキシが有効になっている場合には、手動でアンチスパムエンジンをトレーニングすることもできます。それには、 spam@spam.spam 宛にスパムメールを送信します。スパムでないメールは、 ham@ham.ham 宛に送信します。トレーニングを機能させるには、 spam.spam と ham.ham が解決できるようになっている必要があります。通常、そのためには Endian UTM Appliance 上で[ネットワーク]メニューの[ホストの編集]の[ホストの追加]を使って、これら 2 つのホスト名をホストの設定に追加します。
バージョン 2.3 で追加.
画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[Intrusion Prevention]をクリックします。
Endian UTM Appliance には、有名な IDS/IPS (侵入検知システム・不正侵入予防/保護システム) である Snort が組み込まれています。Snort は IP ファイアウォールに直接ビルトインされています (Snort インライン)。
[Enable Intrusion Prevention System]スイッチをクリックすると、Snort を有効にすることができます。以下のオプションが設定可能です。
Endian UTM Appliance にルールをロードすると、このページにルールセットの一覧と各ルールセットに含まれるルールの数が表示されます。このページでは、各ルールセットのデフォルトの動作を変更することもできます。ルールセットは有効にしたり無効にしたりできます。デフォルトでは、すべてのルールセットのポリシーは警告に設定されています。この動作は警告アイコンをクリックすることで変更でき、警告アイコンは赤い盾のアイコンに変わります。[適用]をクリックすると、選択されたルールセットでは警告は発せられず、ルールにマッチするトラフィックはブロックされます。ごみ箱アイコンをクリックすると、ルールセットを削除できます。鉛筆アイコンをクリックすると、新しいページにリダイレクトされ、各ルールを編集できるようになります。
このページの上部では、編集するルールセットを選択できます。目的のルールセットを選択してから[編集]をクリックすると、選択したルールセットに含まれるルールの一覧が表示されます。選択されたルールに対して検索を実行するには、[Search]ボックスに検索する語を入力します。このページでは、[Rules]ページの場合と同様に、各エントリの動作を変更できます。ただし、ごみ箱アイコンをクリックしてもルールは削除されず、そのルールのデフォルトの動作がリストアされます。
Intrusion Prevention System を有効にしただけでは何も行われず、ただ Snort が実行されているだけであること (すなわちトラフィックのスキャンは行われていないこと) に注意してください。[ファイアウォール]メニューに用意されたさまざまなページでは、[Filter policy]で [Allow with IPS] を選択することで、どのトラフィックを Snort によってスキャンするかを指定できます。
Endian UTM Appliance は、簡単にハイアベイラビリティ (High Availability: HA) モードで動作させることができます。HA モードで動作させるには、少なくとも 2 台の Endian UTM Appliance マシンが必要で、このうち 1 台がアクティブ (マスター) ファイアウォールの役割を引き受け、ほかのマシンはスタンバイ (スレーブ) ファイアウォールになります。
マスターファイアウォールがダウンすると、スレーブ間でエレクションが行われ、スレーブの中の 1 台が新しいマスターになり、透過的なフェイルオーバーが行われます。
HA モードを使用するには、まず マスター となるファイアウォールをセットアップします。
スレーブとなるファイアウォールをセットアップします。
この時点で、スレーブはスタンバイモードになるので、以前の IP アドレス (工場出荷状態のアドレスまたは以前のグリーンアドレス) ではスレーブに接続できなくなります。スレーブは管理ネットワークを介してのみマスターと接続されています。
ここでマスターにログインすると、接続されているスレーブの一覧が HA ページに表示されます。[Go to Management GUI]をクリックすると、管理ネットワークを介して (マスターファイアウォール経由でルーティングされて) スレーブの管理用ウェブインターフェースを開くことができます。
画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[Traffic Monitoring]をクリックします。
トラフィックの監視は ntop によって行われ、このページのメインスイッチをクリックすることで有効と無効を切り替えることができます。トラフィックの監視を有効にすると、ページ下部に管理インターフェース (administration interface) へのリンクが表示されます。管理インターフェースは ntop が用意しているもので、トラフィックに関する詳細な統計情報が表示されます。 ntop では、詳細な情報だけでなくサマリーも表示されます。トラフィックは、ホスト、プロトコル、ローカルネットワークインターフェース、およびその他の多くの種類の情報別に分析できます。ntop の管理インターフェースの詳細については、ntop 管理インターフェースで[About]メニューの[Online Documentation]を参照するか、または ntop のドキュメントのページ にアクセスしてください。
バージョン 2.3 で追加.
SNMP (Simple Network Management Protocol) は、ネットワークに接続されたデバイスを監視するのに使われます。バージョン 2.3 以降の Endian UTM Appliance には、SNMP サーバが組み込まれています。 SNMP サーバの設定を行うには、画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[SNMP Server]をクリックします。
SNMP サーバを有効にするには、[Enable SNMP Server]スイッチをクリックします。いくつかオプションが表示されます。[Community String]は、SNMP クライアントのデータを読み取るのに必要なキーです。[Location]には任意の値を指定できます。 Endian UTM Appliance の設置場所を指定することを推奨します。SNMP サーバでは、メールアドレスを設定する必要があります。このメールアドレスは、システムの連絡先として使われます。インストール中にグローバルな警告メール送信先アドレスを設定していて、このアドレスを使いたい場合は、[Override global notification email address]チェックボックスをオフのままにしておきます。独自のメールアドレスを使用する場合は、[Override global notification email address]チェックボックスをオンにし、使用するメールアドレスを[System contact email address]に入力します。最後に、 [保存] をクリックして設定を適用します。
バージョン 2.3 で追加.
画面上部のメニューバーで[サービス]をクリックし、画面左のサブメニューで[Quality of Service]をクリックします。
Quality of Service (QoS) および帯域幅管理 (Bandwidth Management) モジュールは、アプライアンスを経由する IP トラフィックに対し、サービスに応じて優先順位付けを行います。ダウンロードのようなバルクトラフィックよりも優先順位を一般に高く設定する必要があるアプリケーションとして、Secure Shell (SSH) や VoIP などのインタラクティブなサービスがあります。
このページには、作成されたすべての Quality of Service デバイスの一覧が表示されます。一覧に表示される列は、デバイスの作成時に指定した以下の値にそれぞれ対応します。
新しいデバイスを設定するには、 [Add Quality of Service Device] をクリックします。作成したデバイスの一覧で、目的の行の右側にあるアイコンをクリックすると、該当するデバイスの有効/無効の切り替え、編集、または削除を行うことができます。
このページには、作成されたすべての Quality of Service クラスの一覧が表示されます。一覧には以下の情報が表示されます。
作成されたクラスの一覧で、目的の行の右側にあるアイコンをクリックすると、該当するクラスの編集、移動、または削除を行うことができます。新しいクラスを追加するには、 [Add Quality of Service Class] をクリックします。
注意
予約された帯域幅の割合の合計は 100% を超えることができない点に注意してください。
このページには、定義済みの Quality of Service ルールの一覧が表示され、どのタイプのトラフィックが、[Classes]ページで作成したどのクラスに属するかを指定できます。新しい Quality of Service ルールを追加するには、 [Add Quality of Service Rule] をクリックします。以下のパラメータを指定する必要があります。
設定を保存して新しいルールを適用するには、 [Add]/[Change] をクリックします。
Quality of Service クラスに複数のサービスが存在する場合、これらのサービスは予約された帯域幅を共有することに注意してください。