1-3b-1:SophosUTMを準備する

ここでやること

VPC内にSophosUTMサーバを立てます。プライベートIPは192.168.101.14 とします。
またインターネットからこのSophosUTMへアクセスできるようにします。


手順はSophos社公式サイトにありました。↓
合わせてお読みください。

初期設定

これまでEC2インスタンス作成時に、Amazon社製のAMI(Amazon Machine Image)を使っていました。
ここでは、Sophos社が作ったAMIを利用します。

1,Sophos社製のAMIを探します。

 Sophosと偽る野良かもしれないので、裏付けはしっかりと!
AWS Marketplace から 検索ボックスで”Sophos”と入力した結果がこれです。
無印とBYOLの2つあります。この違いは・・・
無印の方は、ソフトウェアライセンスも一緒にAWS請求に含まれます。(確認していないですが。。)
BYOLは、Bring Your Own Licenseの略です。ライセンスファイルを入れないと機能しません。って感じです。
今回はBYOLを選びます。


2,ステップ2

インスタンスタイプ選択では、選択肢に制限がかかっているようです。
公式ではm3インスタンスを推奨していますが、今回は評価起動なので
コスト抑える目的で、m1.small を選択します。( 【すべての世代】を選択すると表示されます)

3,ステップ3

詳細設定では、作業用サーバと同じですが、IPアドレスだけ192.168.101.14とします。

4,ステップ6

セキュリティグループの設定は、ローカルネットワーク(192.168.101.0/24)からすべてOKとしておきます。
セキュリティグループ設定は、後でさらに変更します。

あとは進めていき、インスタンスが作成されるのを待ちます。

ここからは作業用Windowsサーバ内での作業となります。
SophosUTMインスタンスが作成されるのを待ちます。
(ping 192.168.101.14 で応答があるまで待つ)


5,Sophos管理コンソールを開きます

https://192.168.101.14:4444  を開くと、PC名・adminパスワード・メールアドレスなどを聞かれるので入力する
ログインページが表示されるので、Username:admin Password:↑で設定したものを入れログインします。

6,日本語化しておきます

 英語で見にくいので日本語に変更する。
 左メニューリストからManagement -> WebAdmin Settings  を開くと、WebAdmin LanguageがEnglishになっている→Japaneseへ変更。Applyボタン。
 再度ログインページに戻る。(日本語になっている)。adminでログイン。

7,ライセンス設定

ライセンス状態の確認すると・・・当然すべて無効になっています。

Sophos社サイトから、Home Userライセンス登録をして、メール添付のライセンスファイルを取得します。
ライセンス→インストールタブでアップロードします
適用を押すと、
”内容はデフォルトにリセットされます。”のメッセージが出ますが、
インストール直後なので特に問題ありません。OKを押します

ライセンス適用後↓期間限定ですべて有効になっています。

8,セキュリティ設定をします

気になるところを書いておきます。
システム設定→シェルアクセス タブ がデフォルトで有効になっています。
シェルアクセスとはSSHを利用するものですが、SophosUTMはWeb GUIでほぼすべてできますのでOFFにしておきます。
右上の緑のスイッチをOFFにしておきましょう。
また、念のため許可ネットワークをAny→Internal(Network)つまりプライベートIPからのみ受け付けとしておけばよいです。

WebAdmin設定→一般タブ
WebAdminコンソールをインターネット経由で利用してよいかどうかの話です。
デフォルトではAnyとなっているのでグローバルIPで管理サイト接続できる状態です。
最後に詳しく説明するので、とりあえずこのままとしておきます。

9,SophosUTMをインターネット接続します。

ここまでの作業は、VPC内つまりローカルネットワークで行っています。インターネットにはつながっていません
サポート→ツール のpingチェック タブで www.google.com を入力しても・・・つながっていない。

理由は、SophosUTM用サーバ(192.168.101.14)にElastic IPが設定されていないからです。
手順1-2の12番の方法で、Elastic IPを取得しこのサーバに付与してください。
するとすぐにつながります
これでインターネットとの出入りが可能になりました。

10,外部からの接続確認

管理コンソールは、プライベートIPで接続していました。https://192.168.101.14:4444
同じものがインターネット経由で接続できるかを確認します。

自分のパソコンのブラウザから・・・https://[Elastic IPのアドレス]:4444
を見てみます・・・接続できませんね?

WebAdmin設定→一般タブの許可ネットワークを見てみると、Anyとなっています。
つまり、制限はなくどこからでもこの管理コンソールへアクセスができる状態です。
しかし、接続することはできません。

セキュリティグループで絞っているからです。これを解放します。
EC2管理コンソールから、SophosUTM(192.168.101.14)に割り当ててあるセキュリティグループを選択し、
ルールを追加しておきます。
インバウンドタブで、【ルールの追加】ボタンをクリックし、左から
”カスタムTCPルール”・ポート4444  ・マイIP(=現在接続されているIPアドレス)
保存ボタンを押したのち、もう一度管理用パソコンから
https://[Elastic IPのアドレス]:4444
→ログインページが表示されます。

・・・とこんな風に外部からのアクセスを許可することができます。
SophosUTM自体がセキュリティ製品なので、セキュリティグループはポートを限定して全開にしていてもよいかもしれません
ポート限定の全開→”カスタムTCPルール”・ポート4444  ・カスタムIP:0.0.0.0/0

このあたりは、管理者のセキュリティポリシーによって調整してください。

Comments