無償でできるネットワークセキュリティ対策  Untangle 16.3.2

ルータ配下で稼働

Untangle もだいぶ新しくなったようです。

現在のバージョンは16

さて、試しに使ってみようと思います。

インストール時のIPアドレス

今回はルータ配下に設置したかったのですが、インストール時に聞かれることなくルータモードになってしまいました。

ルータモードでは、内側のIPアドレス(Internal)は192.168.2.1 となり、こちら側のネットワークからリモートアクセスが可能となります。

http://192.168.2.1

ちなみにWAN側はDHCPでIPアドレスを取得しています。WAN側からはアクセスできない仕様になっています。WAN側は Externalと表現されます。

Internalに設定されているNICをEdit Interfaceし、Bridgedモードにします。

右下に現れる Saveボタンを押さないと反映されないので注意。Doneだけではまだ設定は有効になっていません。

ブリッジモードでのリモートアクセス

ブリッジモードでリモート管理の場合も、Internal側にLANケーブルをつなげます。すると、Externalとブリッジされているので見た目上はExternalと同じサブネットにいることになります。Externalと同じネットワーク体系上のIPアドレスを取得します。ちゃんとDHCPも通してIPアドレス取得可能です。

Internal側のNICに接続し、Externalに割り振られたIPアドレスにアクセスする事でリモート管理可能です。

日本語表示

設定 → 言語 → Japanese

アプリのインストール

無料で使えるものだけを有効にします。

Firewall

IPアドレス、プロトコル、ポートでトラフィックをフィルタ
透過ブリッジ動作(既存ファイアーウォールを補完)
受信と送信コントロール
レポートやイベントログでブロックしたウィルスを表示

Intrusion Prevention

ハッカーによる侵入を未然に防止
うるさい誤検知は最小化
数1000シグネチャによる検知機能

Phish Blocker

HTTP, SMTP, POP, IMAPによるID詐称を検知しブロック
シグネチャは自動更新
ブロックしたフィッシュはイベントログに表示
レポートでブロックしたEmail、受信者、送信元を表示

Virus Blocker Lite

HTTP, FTP , SMTPについて、ウィルスから守ります。
その他トロイの木馬型、マルウェアも検知します。
zip,rar,tar,gzip,bzip2形式もスキャンします。
有名なオープンソースアンチウィルススキャナー Clam AV をエンジンとしています。

Ad Blocker

オープンソースAdBlock Plusによる広告ブロックとネットワーク負荷低減
バナー広告リンクによるマルウェアやスキャムブロック
カスタムルールや除外機能
自動更新
イベントログで詳細表示

Application Control Lite

P2P、オンラインゲームなどの邪魔なアプリケーション制御による生産性向上
シグネチャベースのレイヤー7フィルタリング
プロトコルシグネチャによる記録・ブロック選択
時間ベースポリシー
プロトコルと利用者レポート

Spam Blocker Lite

ゲートウェイでSMTP, POP, IMAPスパムメールをブロック
SMTPスキャンでは個人別の隔離機能
ベイジアン、Razor, RBL, OCRによるフィルタ
個人別通過リスト
スパムの総合的な表示のためのレポート

Web Monitor

Webトラフィックを見える化
ウェブサイトへのリクエストをカテゴリごとに分ける事が可能

Captive Portal

制定プロセス終了までインターネットアクセスブロック
ローカルディレクトリ、RADIUS、ADによるユーザー認証
BYOD環境のための異なるポリシーのラック

OpenVPN

内部ネットワークとリモートユーザー・サイト間の安全なアクセス
セットアップウィザードによる設定メールによる定義済みクライアントソフト配布
イベントログによるVPNログイン/ログアウト表示

Reports

ユーザー、クライアント、インシデントレベルの挙動監視
トラフィックとネットワーク利用パターンの理解
PDF, HTMLフォーマットによるレポート共有
サマリー、詳細、ユーザー単位レポート
メールによるレポート自動配信
CSVによるレポートデータ

Application Control Lite シグネチャの設定

このサイトにシグネチャファイルが置いてあります。

これを利用します。

この中で、P2Pとビデオゲームとワームをブロックするようにしました。

FastTrack P2P filesharing (Kazaa, Morpheus, iMesh, Grokster, etc)
GnucleusLAN LAN-only P2P filesharing
Gnutella P2P filesharing
Soulseek P2P filesharing – http://slsknet.org
iMesh the native protocol of iMesh, a P2P application – http://imesh.com
Hotline An old P2P filesharing protocol
Apple Juice P2P filesharing – http://www.applejuicenet.de
100bao a Chinese P2P protocol/program – http://www.100bao.com
Bittorrent P2P filesharing / publishing tool – http://www.bittorrent.com
Napster P2P filesharing
Tesla Advanced Communication P2P filesharing (?)
MUTE P2P filesharing – http://mute-net.sourceforge.net
Freenet Anonymous information retrieval – http://freenetproject.org
Ares P2P filesharing – http://aresgalaxy.sf.net
OpenFT P2P filesharing (implemented in giFT library)
GoBoogy a Korean P2P protocol
Soribada A Korean P2P filesharing program/protocol – http://www.soribada.com
Direct Connect P2P filesharing – http://www.neo-modus.com
The Circle P2P application – http://thecircle.org.au
POCO and PP365 Chinese P2P filesharing – http://pp365.com http://poco.cn

Half-Life 2 Deathmatch Life 2 Deathmatch – popular computer game
XBox Live Console gaming
Guild Wars online game – http://guildwars.com
Counterstrike (using the new Source engine) network game
Medal of Honor Allied Assault an Electronic Arts game
Doom 3 computer game
Half Life 1 engine games Half Life 1 engine games (HL 1, Quake 2/3/World, Counterstrike 1.6, etc.)
Quake 1 A popular computer game.
World of Warcraft popular network game – http://blizzard.com/
Day of Defeat: Source game (Half-Life 2 mod) – http://www.valvesoftware.com
Subspace 2D asteroids-style space game – http://sscentral.com
Battlefield 2142 An EA game.
Battlefield 1942 An EA game
Team Fortress 2 network game – http://www.valvesoftware.com
Battlefield 2 An EA game.
Runes of Magic game – http://www.runesofmagic.com

Code Red a worm that attacks Microsoft IIS web servers
Nimda a worm that attacks Microsoft IIS web servers, and MORE!

無料のものだけを有効にするとこんな感じ

ルート必要

私の環境では、各施設、Wifiネットワークなど、複雑なLAN構成となっておりインターネットアクセスの際にはルートを書く必要がある。

ブリッジモードでは、ルートを書く必要はないのではないかと思っていたが、甘かった。同じサブネットにいる間はアクセスできるが、違うサブネットのアクセスのパケットを通すためには、ルートを書く必要があった。

以下、設定後ネットワークトラブルを起こしたプライベートアドレスの悪い書き方

172.0.0.0 / 8

だと通常のグローバルアドレスも含まれ、ちゃんと外に出ない

以下、正しい書き方

172.16.0.0/12

172. から始まるグローバルアドレスあてもちゃんとインターネット空間に出てる

C:\Users>ping mail.google.com

googlemail.l.google.com [172.217.161.229]に ping を送信しています 32 バイトのデータ:
172.217.161.229 からの応答: バイト数 =32 時間 =13ms TTL=53
172.217.161.229 からの応答: バイト数 =32 時間 =11ms TTL=53
172.217.161.229 からの応答: バイト数 =32 時間 =12ms TTL=53
172.217.161.229 からの応答: バイト数 =32 時間 =11ms TTL=53

172.217.161.229 の ping 統計:
    パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
    最小 = 11ms、最大 = 13ms、平均 = 11ms

プライベートアドレスルートの書き方間違った

172から始まるプライベートアドレスの書き方を間違ったため、変な状態が生まれました。

  • Gmailへアクセスできる時とできない時がある。
  • Google Analyticsにアクセスできる時とできない時がある。
  • ホームページ表示にやたらと時間がかかる

172. から始まるクラスBのプライベートアドレスの戻りを、LAN内のルータへという事で考えていたのですが、クラスB は、/12 です。

それを、172.0.0.0/8 でやった関係で、172から始まるグローバルアドレスへのアクセスがおかしくなっていたというのが現状です。

C:\Users>ping analytics.google.com

www3.l.google.com [172.217.161.238]に ping を送信しています 32 バイトのデータ:
192.168.11.2 からの応答: 転送中に TTL が期限切れになりました。
192.168.11.2 からの応答: 転送中に TTL が期限切れになりました。
192.168.11.2 からの応答: 転送中に TTL が期限切れになりました。
192.168.11.2 からの応答: 転送中に TTL が期限切れになりました。

analitics.google.com のアドレスが 172から始まっており、Untangle からパケットがLAN内に戻るような事になって、さらにグローバルアドレスだからまたUntangleに戻ってしまうような事が起きたのではないかと思います。

おそらくGoogle 側ではロードバランサ―が入っていて、問い合わせする時間によって返答されるアドレスが変わる、つながるサーバが変わり、アクセスできる時とできない時があるというよくわからない状況が起こったのではないかと思います。

C:\Users>ping www3.l.google.com

www3.l.google.com [142.250.206.206]に ping を送信しています 32 バイトのデータ:
142.250.206.206 からの応答: バイト数 =32 時間 =11ms TTL=111
142.250.206.206 からの応答: バイト数 =32 時間 =11ms TTL=111
142.250.206.206 からの応答: バイト数 =32 時間 =11ms TTL=111
142.250.206.206 からの応答: バイト数 =32 時間 =14ms TTL=111

Gmailへアクセスできない

本番環境へ導入した際にGmailへアクセスできなくなった

Application Control Liteをオフにしたら、Gmailへアクセスできるようになった。

これは、タイミング的にオフしたタイミングでアクセスできるようになっただけだと思います。172から始まらないIPアドレスが返ってきたのではないかと。

ブロックされた記録を確認すると

World of Warcraft

Battlefileld2

の2つだった。もう一度、Application Control liteをオンにすると、特にブロックされる事がなかった。なぜなのか分からない。

→そりゃそうです。Application Control lite は悪くなくて、プライベートアドレスの戻りのルートの書き方がおかしかったから。

とりあえず、シグネチャのうち

該当の2つをブロックを外し、ログだけ残すようにした。

Google Driveへアクセスできない

なんだか、様々アクセスできない報告がくるようになった。

取り急ぎ、

FireWall

Intrusion Prevention

Spam Blocker Lite

をオフにした

TTL期限切れとなる。ルートの書き方が甘かったかな。

>ping analytics.google.com

www3.l.google.com [172.217.161.238]に ping を送信しています 32 バイトのデータ:
192.168.11.2 からの応答: 転送中に TTL が期限切れになりました。
192.168.11.2 からの応答: 転送中に TTL が期限切れになりました。
192.168.11.2 からの応答: 転送中に TTL が期限切れになりました。
192.168.11.2 からの応答: 転送中に TTL が期限切れになりました。

172.217.161.238 の ping 統計:
    パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、