画面上部のメニューバーで[サービス]を選択します。
このセクションでは、 Endian Firewall が提供するさまざまなサービスの設定を行えます。特にここでは、ClamAVアンチウィルスのようないくつかのプロキシで使用されるサービスが設定できます。侵入検知(IPS/IDS)や高可用性(HA)、トラフィックモニタリングなどもここで設定できます。画面左側のサブメニューの中に以下のリンクが表示されます。
各リンクについて以下のセクションで解説します。
画面上部のメニューバーで[サービス]を選択し、画面左のサブメニューから[DHCPサーバー]を選択します。
DHCP (Dynamic Host Configuration Protocol) サービスを使用すると、ネットワーク上のすべてのデバイスのIPアドレス設定を Endian Firewall で集中管理することができます。
クライアント(PCやネットワークプリンタなどのデバイスを含む)がネットワークに参加すると、DHCPサービスで設定されたアドレス範囲などの設定に基づき、適切なIPアドレスが自動的に割り振られます。この際、クライアントはDHCP(「自動ネットワーク構成」などと言われることもあります)を使用するよう設定されている必要があります。この設定がデフォルトになっている場合もあります。DHCPはGREENゾーンだけで有効にすることもできますし、ORANGE (DMZ) や BLUE (WLAN) ゾーンでも有効にできます。ゾーンごとの有効/無効の切り替えは、チェックボックスのON/OFFだけで切り替えることができます。
[設定]リンクをクリックすると、以下のようなDHCPパラメータが設定できます。
さらに細かい設定をしたい上級者の場合は、下の[カスタム設定]テキストエリアの中に、 dhcpd.conf の記述を追加することができます。ただし、 Endian Firewall はここで記述された内容の構文チェックは行いません。 構文に問題があった場合、DHCPサーバーが起動できなくなる可能性がありますので、注意してください。
例: VoIP電話機がブート時にHTTPサーバーから設定を取得するように指定する場合は、以下のように記述できます。
option tftp-server-name "http://$GREEN_ADDRESS";
option bootfile-name "download/snom/{mac}.html";
$GREEN_ADDRESS はファイアウォールのGREENインターフェイスのアドレスに置き換えられるマクロです。
DHCPを使用していても、特定のデバイスには常に同じアドレスを割り当てたい場合があります。[固定割り当ての追加]リンクをクリックし、デバイスに固定のアドレスを割り振ることができます。デバイスはMACアドレスによって識別されます。デバイスに直接IPアドレスを指定する場合との大きな違いは、 ここで指定したデバイスも自分のアドレスを取得するためDHCPサーバーにアクセスする、ということです。
この設定を使用する典型的なケースの一つは、PXE (Preboot Execution Environment) を使用してネットワークサーバからOSイメージを起動するシンクライアントなどです。
固定割り当てを設定する際に以下のパラメータが指定できます。
各固定割り当てごとのアイコンをクリックすると、有効化/無効化、編集、削除が行えます(アイコンの説明は表の下の説明をご覧ください)。
DHCPセクションの最後にあるのは、現在割り当てられている動的IPアドレスの一覧です。
画面上部のメニューバーで[サービス]を選択し、画面左のサブメニューから[ダイナミックDNS]を選択します。
DynDNSなどのダイナミックDNSサービスは、IPアドレスに対してグローバルにアクセス可能なドメイン名を割り当てます。このサービスは、ADSL接続など、アドレスが動的に変化する場合でも利用できます。この機能を利用するには、IPアドレスが変更されるたびに、新しいIPアドレスをダイナミックDNSサーバーに通知する必要があります。
Endian Firewall には、14のダイナミックDNSサービスに対応したダイナミックDNSクライアントが組み込まれています。有効になっている場合は、IPアドレスが変わるたびに自動的にダイナミックDNSサーバーにIPアドレスを通知します。
[ホストの追加]リンクをクリックしてアカウントを追加します。それぞれのアカウント(複数のアカウントも利用できます)で以下の設定を行います。
LAN内のシステムをインターネットからダイナミックDNSを使って接続できるようにするには、REDゾーンでサービスを公開する必要があることに注意してください。ダイナミックDNSプロバイダは単にドメイン名解決のサービスを提供するだけです。サービスを外部公開するには、ポート転送などを利用します(ファイアウォール、ポート転送/NATの説明を参照してください)。
画面上部のメニューバーで[サービス]を選択し、画面左のサブメニューから[アンチウィルスエンジン]を選択します。
New in version 2.3.
このセクションは、オプションのSophos Antivirusモジュールをインストールしている場合のみ利用できます。各サービスごとにSophosとClamAVのどちらを使うか指定できます。以下のサービスがサポートされています。
保存するには、ページ下部にある[保存]ボタンをクリックします。設定の保存後、[適用]ボタンをクリックして設定を適用することを忘れないでください。
このセクションでは、ClamAVでのアーカイブボムの処理方法(後述します)や、新しいウィルスパターンのダウンロード頻度などを設定します。また、最後に更新された日時を確認したり、手動で更新を開始したりすることもできます。
アーカイブボムとは、さまざまな仕組みを組み込んだアーカイブファイルで、 アンチウィルスに大きく負荷をかけてファイアウォールのリソースを大量に消費させるDoS攻撃の一種です。使用されるトリックとしては、圧縮率の高い、データを繰り返した巨大なファイルを圧縮した小さなアーカイブ(たとえば、大量のゼロだけを含んだ1GBのファイルをZIP圧縮すると1MBになります)や、何度も入れ子になっているZIPアーカイブ(ZIPファイル内にZIPを格納する)、大量の空ファイルを含んだアーカイブなどがあります。
これらの攻撃を防止するため、ClamAVは特定のアーカイブをスキャンしないよう設定することができます。
ClamAVの運用で重要な別の点は、アンチウィルスのシグネチャの更新です。最新のウィルス情報をClamAVのサーバーから定期的にダウンロードする必要があります。右上にある設定ペインで、どの程度の頻度で更新するかを指定できます。デフォルトでは毎時更新します。ヒント: 各選択肢の横にあるクエスチョンマークにマウスカーソルを合わせると、更新が実際にいつ行われるかが表示されます。
このセクションでは、最後の更新がいつ行われたか、またClamAVの最新バージョンについての情報が表示されます。
[すぐにシグネチャをアップデート]をクリックすると、スケジュールの設定に関わらず、すぐにシグネチャの更新を実行します(更新には数分かかります)。また、特定のウィルスに関する情報を検索するためのClam AVオンラインウィルスデータベースへのリンクも表示されています。
このページでは、新しいシグネチャをいつSophosからダウンロードするかを指定します。以下のオプションが利用できます。
保存するには、ページ下部にある[保存]ボタンをクリックします。
画面上部のメニューバーで[サービス]を選択し、画面左のサブメニューから[NTPサーバー]を選択します。
Endian Firewall はNTP (Network Time Protocol) を使用して、インターネット上のタイムサーバーと時刻を同期しています。
初期状態で、インターネット上のいくつかの時刻サーバーと同期できるよう設定されています。特定の時刻サーバーを使用したい場合は、[デフォルトNTPサーバを置き換え]チェックボックスをチェックしてください。これは、インターネットへの接続が禁止されている Endian Firewall をセットアップしている時などに必要です。1行に1つのホストを記述します。
また、このセクションでタイムゾーンも変更できます。
このセクションの最後のフォームでは、システム時刻を手動で変更できます。これは、システム時刻が大きくずれていて、時刻を早く合わせたい場合に便利です(自動での時刻サーバーとの同期は即時には行われません)。
画面上部のメニューバーで[サービス]を選択し、画面左のサブメニューから[スパムトレーニング]を選択します。
SpamAssassinでは、スパムメールやそれ以外のメール(ハムメール)から自動的に学習するよう設定できます。学習を実行するには、IMAPホストへの接続と、スパム/ハムそれぞれのフォルダのチェックが必要です。
デフォルト設定はトレーニングには使用されません。デフォルト設定とは、ここで追加できる実際のトレーニングソースに引き継がれる標準設定です。[デフォルト設定の編集]リンクをクリックすると、デフォルト設定を行うためのペインが表示されます。
スパムトレーニングソースはこの下のセクションで追加します。[IMAPスパムトレーニングソースの追加]リンクをクリックすると、新しいペインが表示されます。スパムトレーニングソースの追加は、デフォルト設定の編集とほぼ同じです。スケジュール設定のみがありません。スケジュール設定はデフォルト設定から継承されます。3つの追加フィールドがあります。
他のオプションはデフォルト設定と同じです。各トレーニングソースで設定された項目は、デフォルト設定に上書きされます。設定が完了したら、[トレーニングソースのアップデート]ボタンをクリックして保存します。各ソースごとのアイコンをクリックすると、テスト、有効化/無効化、編集、削除が行えます。各アイコン説明はページ下部にあります。
[すべての接続をテスト]ボタンをクリックすると、すべての接続をテストできます。たくさんのトレーニングソースが定義されていたり、IMAPサーバーへの接続に時間がかかったりする場合、このテストには時間がかかります。トレーニングをすぐに始めたいときは[今すぐトレーニングを開始する]ボタンをクリックします。トレーニングソースの数やIMAPサーバーへの接続速度、さらに最も重要な要素としてダウンロードするメールの数によって、トレーニングには時間が長い時間がかかることがあります。
受信メールに加え、送信メールでもSMTPプロキシを有効にしておくと、そちらでもアンチスパムエンジンのトレーニングが可能です。スパムメールを spam@spam.spam に送信します。スパムではないメールを ham@ham.ham に送信します。 spam.spam と ham.ham は適切に名前解決できるようにしてください。これは、 Endian Firewall の[ネットワーク]にあるホスト設定でこれらのアドレスを追加しておくことで可能です。
New in version 2.3.
画面上部のメニューバーで[サービス]を選択し、画面左のサブメニューから[侵入検知 (IP)]を選択します。
Endian Firewall には、侵入検知システム (IDS) また侵入防止システム (IPS) としてよく知られる Snort が搭載されています。これはIPファイアウォールに直接組み込まれています (Snort inline)。
[侵入防止システム(IPS)を有効にする]スイッチをクリックすると、Snortが利用可能になります。以下のオプションが利用できます。
Endian Firewall に組み込まれたルールセットと、各ルールセットごとのルール数が一覧表示されます。このページでは、各ルールセットごとのデフォルトの動作を指定できます。さらに、ルールセットの有効化/無効化も行えます。デフォルトでは、各ルールセットのポリシーは警告に設定されています。動作を変更するには、警告アイコンをクリックし、赤い盾のアイコンに変更します。変更後に[適用]ボタンをクリックすると、動作を変更したルールセットにマッチしたトラフィックは警告が生成されず、トラフィックがブロックされるようになります。ごみ箱アイコンをクリックすると、そのルールセットを削除することができます。鉛筆アイコンをクリックすると、ルールを編集するための新しいページにリダイレクトされます。
ページ上部で、編集したいルールセットを選択します。選択してから[編集]ボタンをクリックすると、選択されたルールセットに含まれるルールの一覧が表示されます。また、[検索]フィールドに検索したい文字列を入力して検索することもできます。[ルール]ページと同様、各エントリごとの動作を変更することができます。しかし、ごみ箱アイコンをクリックしてもルールが削除されることはありません。デフォルトの動作に戻されるだけです。
侵入防止 (IP) を有効にしただけでは何かが動作するわけではなく、Snortが動作するようになるだけであることに注意してください。ファイアウォール設定で、Snortにスキャンさせたいトラフィックのフィルタポリシーを[許可(IPS付き)]に指定する必要があります。
Endian Firewall は簡単に高可用性 (HA) モードで動作させることができます。HAモードでは、最低2台の Endian Firewall が必要です。1台はアクティブなファイアウォール (マスター) で、もう1台はスタンバイファイアウォール (スレーブ) です。
マスターファイアウォールが動作を停止すると、スレーブの選択が行われ、スレーブのうちの1台が新たなマスターとなり、透過的にフェイルオーバーが提供されます。
HA構成をセットアップするには、まずマスターとなるファイアウォールの設定を行います。
スレーブとなるファイアウォールの設定は以下のとおりです。
この時点で、スレーブはスタンバイモードとなり、以前のIPアドレス(工場出荷時のデフォルトアドレスや以前のGREEN IPアドレス)を使って接続できなくなります。管理ネットワークを経由したマスターへの接続のみが可能です。
マスターに再度ログインすると、HAページに接続されているスレーブが一覧表示されます。[管理GUIへ]リンクをクリックすると、管理ネットワーク経由でスレーブのWeb管理インターフェイスにアクセスできます(マスターファイアウォールによってルーティングされます)。
画面上部のメニューバーで[サービス]を選択し、画面左のサブメニューから[トラフィックモニタリング]を選択します。
トラフィックモニタリングは ntop によって動作しており、このページのスイッチを切り替えることで有効化/無効化することができます。トラフィックモニタリングを有効にすると、ページの下部にモニタリング管理インターフェイスへのリンクが表示されます。この管理インターフェイスはntopにより提供され、トラフィックの詳細が記録されています。 ntop サマリーだけでなく、詳細情報も表示します。トラフィックはホスト、プロトコル、ローカルネットワークインターフェイス、その他さまざな情報によって分析されます。ntopの管理インターフェイスの詳細については、ntop管理インターフェイスのオンラインドキュメントを参照するか、 ntop ドキュメントページ にアクセスしてください。
New in version 2.3.
SNMP (Simple Network Management Protocol) は、ネットワークに接続された機器を監視するために使用されています。 Endian Firewall バージョン2.3から、ビルトインSNMPサーバーが利用可能になりました。SNMPサーバー設定にアクセスするには、画面上部のメニューバーで[サービス]を選択し、画面左のサブメニューから[SNMPサーバー]を選択します。
SNMPサーバーを有効にするために必要なのは、[SNMPサーバーを有効にする]スイッチをクリックすることだけです。いくつかのオプションが表示されます。[コミュニティ文字列 (Community String)] は、SNMPクライアントがデータを読み込むために必要です。[ロケーション]は自由に設定できます。通常は Endian Firewall の場所を記入しておきます。SNMPサーバーを設定するためにはメールアドレスが必要です。これはシステム管理者のメールアドレスを示します。インストール時に使用したグローバル管理者アドレスを使用する場合は、 [グローバル通知アドレスを上書きする]チェックボックスをチェックせず、 [システム管理者メールアドレス]を空のままにします。別のアドレスを使用したい場合は、 [グローバル通知アドレスを上書きする]チェックボックスをチェックし、 [システム管理者メールアドレス]にメールアドレスを設定します。最後に、[保存]をクリックして適用します。
New in version 2.3.
画面上部のメニューバーで[サービス]を選択し、画面左のサブメニューから[QoS]を選択します。
QoSおよび帯域幅管理モジュールの目的は、ファイアウォールを通過するIPトラフィックを、そのサービスに応じて優先順位付けすることです。通常、インタラクティブなサービス、たとえばSSHやVoIPなどのアプリケーションは、バルクトラフィック(ダウンロードなど)よりも優先度を高くすることが必要になります。
このページでは、作成されたQoSデバイスの一覧が表示されます。この一覧には以下の項目が表示されます。
新しいデバイスを作成するには、[QoSデバイスの追加]リンクをクリックします。各アイコンをクリックすることにより、デバイスの編集、有効化/無効化、削除が行えます。
このページでは、作成されたQoSクラスの一覧が表示されます。一覧には以下の情報が表示されます。
各アイコンをクリックすることにより、作成されたクラスの編集、移動、削除が行えます。新しいクラスを作成するには、[QoSクラスの追加]リンクをクリックします。
Note
各予約済みパーセンテージのデバイスごとの合計が100以上にならないように注意してください。
このページでは、定義済みのQoSルールが一覧表示され、 どのタイプのトラフィックが[クラス]ページで指定されたどのクラスに属するかを指定できます。新しいQoSルールを作成するには、[QoSルールの追加]リンクをクリックします。以下の項目を指定する必要があります。
[追加]または[変更]をクリックしてルールを保存、適用します。
1つのQoSクラスで複数のサービスが存在する場合、すべてのサービスで予約済み帯域幅を共有することに注意してください。