ここでやること
VPC内にSophosUTMサーバを立てます。プライベートIPは192.168.101.14 とします。
またインターネットからこのSophosUTMへアクセスできるようにします。
手順はSophos社公式サイトにありました。↓
合わせてお読みください。
これまでEC2インスタンス作成時に、Amazon社製のAMI(Amazon Machine Image)を使っていました。
ここでは、Sophos社が作ったAMIを利用します。
1,Sophos社製のAMIを探します。
Sophosと偽る野良かもしれないので、裏付けはしっかりと!
AWS Marketplace から 検索ボックスで”Sophos”と入力した結果がこれです。
無印とBYOLの2つあります。この違いは・・・
無印の方は、ソフトウェアライセンスも一緒にAWS請求に含まれます。(確認していないですが。。)
BYOLは、Bring Your Own Licenseの略です。ライセンスファイルを入れないと機能しません。って感じです。
インスタンスタイプ選択では、選択肢に制限がかかっているようです。
公式ではm3インスタンスを推奨していますが、今回は評価起動なので
コスト抑える目的で、m1.small を選択します。( 【すべての世代】を選択すると表示されます)
3,ステップ3
詳細設定では、作業用サーバと同じですが、IPアドレスだけ192.168.101.14とします。
4,ステップ6
セキュリティグループの設定は、ローカルネットワーク(192.168.101.0/24)からすべてOKとしておきます。
セキュリティグループ設定は、後でさらに変更します。
あとは進めていき、インスタンスが作成されるのを待ちます。
ここからは作業用Windowsサーバ内での作業となります。
SophosUTMインスタンスが作成されるのを待ちます。
(ping 192.168.101.14 で応答があるまで待つ)
5,Sophos管理コンソールを開きます
https://192.168.101.14:4444 を開くと、PC名・adminパスワード・メールアドレスなどを聞かれるので入力する
ログインページが表示されるので、Username:admin Password:↑で設定したものを入れログインします。
6,日本語化しておきます
英語で見にくいので日本語に変更する。
左メニューリストからManagement -> WebAdmin Settings を開くと、WebAdmin LanguageがEnglishになっている→Japaneseへ変更。Applyボタン。
再度ログインページに戻る。(日本語になっている)。adminでログイン。
7,ライセンス設定
ライセンス状態の確認すると・・・当然すべて無効になっています。
Sophos社サイトから、Home Userライセンス登録をして、メール添付のライセンスファイルを取得します。ライセンス→インストールタブでアップロードします
適用を押すと、
”内容はデフォルトにリセットされます。”のメッセージが出ますが、
インストール直後なので特に問題ありません。OKを押します
ライセンス適用後↓期間限定ですべて有効になっています。
8,セキュリティ設定をします
気になるところを書いておきます。
システム設定→シェルアクセス タブ がデフォルトで有効になっています。
シェルアクセスとはSSHを利用するものですが、SophosUTMはWeb GUIでほぼすべてできますのでOFFにしておきます。
右上の緑のスイッチをOFFにしておきましょう。
また、念のため許可ネットワークをAny→Internal(Network)つまりプライベートIPからのみ受け付けとしておけばよいです。
WebAdmin設定→一般タブ
WebAdminコンソールをインターネット経由で利用してよいかどうかの話です。
デフォルトではAnyとなっているのでグローバルIPで管理サイト接続できる状態です。
最後に詳しく説明するので、とりあえずこのままとしておきます。
9,SophosUTMをインターネット接続します。
ここまでの作業は、VPC内つまりローカルネットワークで行っています。インターネットにはつながっていません
サポート→ツール のpingチェック タブで www.google.com を入力しても・・・つながっていない。
理由は、SophosUTM用サーバ(192.168.101.14)にElastic IPが設定されていないからです。
手順1-2の12番の方法で、Elastic IPを取得しこのサーバに付与してください。
するとすぐにつながります
これでインターネットとの出入りが可能になりました。
10,外部からの接続確認
管理コンソールは、プライベートIPで接続していました。https://192.168.101.14:4444
同じものがインターネット経由で接続できるかを確認します。
自分のパソコンのブラウザから・・・https://[Elastic IPのアドレス]:4444
を見てみます・・・接続できませんね?
WebAdmin設定→一般タブの許可ネットワークを見てみると、Anyとなっています。
つまり、制限はなくどこからでもこの管理コンソールへアクセスができる状態です。
しかし、接続することはできません。
セキュリティグループで絞っているからです。これを解放します。
EC2管理コンソールから、SophosUTM(192.168.101.14)に割り当ててあるセキュリティグループを選択し、
ルールを追加しておきます。
インバウンドタブで、【ルールの追加】ボタンをクリックし、左から
”カスタムTCPルール”・ポート4444 ・マイIP(=現在接続されているIPアドレス)
保存ボタンを押したのち、もう一度管理用パソコンから
https://[Elastic IPのアドレス]:4444
→ログインページが表示されます。
・・・とこんな風に外部からのアクセスを許可することができます。
SophosUTM自体がセキュリティ製品なので、セキュリティグループはポートを限定して全開にしていてもよいかもしれません
ポート限定の全開→”カスタムTCPルール”・ポート4444 ・カスタムIP:0.0.0.0/0
このあたりは、管理者のセキュリティポリシーによって調整してください。
