Sophos UTMでHTTPSプロキシしてみた。コンテンツ、ファイル種別、URLでざくざくフィルター

sophos

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Sophos UTMのプロキシ機能を試してみました。 VPC内のWindowsマシンのHTTP/HTTPS接続を、UTM経由にします。 UTMではコンテンツのフィルタリングを行い、ツイッターへの接続をブロックしてみました。

Sophos UTMのローンチ

UTMをEC2として作成します。 AMIはライセンス込みのものと、ライセンス持ち込みのものがあります。 今回は、ライセンス込みのAMIを利用しました。検証目的なので、すぐに捨てられることを重視しました。 aws marketplaceに接続し、"Continue to Launch"を選択します。

AMI、リージョン、セキュリティグループ、EC2キーなどを指定すると、EC2として起動されます。

セキュリティグループ

管理用のSSHとTCP:4444について、拠点のIPアドレスからの接続を許可します。 プロキシ用のTCP:8080について、VPC内からの接続を許可します。

Elastic IPアドレスの付与

EC2のstop,startでPublic IPが変更されないように、Elastic IPアドレスを付与します。

初期設定

https://ElasticIP:4444に接続します。 ホスト名、会社名、都市名、国、管理者パスワード、管理者メールアドレス、インスタンスIDを入力します。

再起動されるので、adminユーザでログインします。

言語設定

[Management]-[WebAdmin Settings]-[General]にて日本語に変更します。

タイムゾーン

[マネジメント]-[システム設定]-[日付と時刻]でタイムゾーンをAsia/Tokyoにしました。

アップデート

[マネジメント]-[Up2date]でファームウェアを更新します。

Webフィルタリングの有効化

Webフィルタリングを有効化することで、Sophos UTMをHTTP/Sキャッシングプロキシとして利用できます。 [Webプロテクション]-[Webフィルタリング]-[グローバル]で、スイッチをスライドし有効化します。 許可ネットワークに、VPCネットワークを登録し適用します。 元々あるlocal(Network)は削除します。

プロキシ動作テスト

VPC内にWindowsマシンを起動し、Chromeをインストールします。 Chromeの[設定]-[プロキシ設定を開く]-[接続]-[LANの設定]-[プリオキシサーバー]にSophos UTMのIPアドレスとポート番号を入力します。

SNSに接続できるか確認します。 https://twitter.com/classmethodにアクセスすると、弊社のツイッター公式アカウントに接続できます。

[Webプロテクション]-[Webフィルタリング]-[ライブログ]では、リアルタイムにログを確認できます。

フィルタアクションの作成

SNSへの接続を禁止する社内ポリシーを持つ企業も多いかと思います。 フィルタアクションを指定し、ツイッターへの接続を禁止します。

[Webプロテクション]-[Webフィルタプロファイル]-[新規フィルタアクション]を選択します。 フィルタ名を"Block SNS"にします。 カテゴリごとに許可、不許可を設定できます。ここでは全て許可としました。

ブラックリストを作成し、twitterへの接続を禁止します。

拡張子やMIMEに応じて、フィルタできるようです。 今回はデフォルトのままとします。

ウイルススキャンもデフォルトのまま無効にします。

検索エンジンのセーフサーチの有効化などを指定できます。 無効にしました。

フィルタアクションを適用します。 [Webプロテクション]-[Webフィルタリング]-[ポリシー]-[Base Policy]を選択し、フィルタアクションを"Block SNS"にします。

Windowsマシンからツイッターに接続すると、証明書の警告が表示され接続できなくなります。 他のサイト例えば、Developers.IOやInstagramは通常通り閲覧できます。

Webブラウザに証明書の警告がでる形では、ユーザーにとってわかりづらいですね。 [Webプロテクション]-[フィルタリングオプション]-[HTTPS CA]-[ダウンロード]から、PEM形式で証明書をダウンロードします。

ユーザーのブラウザに証明書をインポートします。 Chromeの場合、[設定]-[詳細]-[証明書の管理]-[信頼されたルート証明書]-[インポート]です。 インポートができると、Sophos UTMの警告画面が表示されるようになります。 ブラックリストに登録されているので、管理者に連絡するよう記載されています。

ログ、レポート機能

Sophos UTMは、ログやレポート機能が強力です。 ユーザーごとにブロックされたURLを確認するなど、できます。 結果をPDFにすることもできます。

おわりに

Sophos UTMをAWS環境に構築し、HTTP(S)プロキシとして利用してみました。 今回はURLを指定しフィルタリングを行いましたが、コンテンツやファイルの種類によってのフィルタリングも出来そうです。 ログやレポート機能も充実しているため、クライアントPC用のHTTP(S)プロキシとして十分利用できそうです。