【AWS】Sophos UTM リモートアクセスVPNのIP制限せず、ユーザーポータルのIP制限する方法

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コカコーラが大好きなカジです。

Sophos UTMのSSL-VPNを利用して、リモートアクセスVPNする場合、各ユーザのパスワード変更や、アクセスに用いる設定ファイル、鍵ファイルなどをダウンロードするユーザポータルを使います。

ユーザーポータルログイン後の画面 kaji-Sophos-UserPortal-limited-00

そのユーザポータルだけ、アクセス制限を行いたい場合ときの方法についてご紹介します。

構成図

kaji-Sophos-UserPortal-limited-Fig

なぜ?

ユーザポータルを保護するため、以下を考えると思います。

  • Sophos UTMのSSL-VPNを利用して、リモートアクセスVPNする場合はすべてのアドレスを許可
  • Sophos UTMのユーザポータルへアクセスする場合は、会社のグローバルIPアドレスのみ許可
  • しかし、Sophos UTMのSSL-VPNを利用して、リモートアクセスVPNの接続とユーザポータルへアクセスもSophos UTMの同じSSL(TCP:443)を利用します。

    対処方法

    対処法として2つありますので、お好みに方法で実施してください。

  • 方法1:Sophos UTMのユーザポータルのアクセス制限設定する。(簡単)
  • 方法2:Sophos UTMのユーザポータルのTCPポート番号を変更し、AWSのSecurity Groupで制御する。
  • 方法1

    管理ポータル「https://<Sophos UTM>:4444」から、 Sophos UTMのユーザポータル設定を開きます。 マネジメント>ユーザポータルをクリックし開きます。

    kaji-Sophos-UserPortal-limited-01

    グローバル(右側)の許可ネットワークに「+」を押して、アクセスさせたいグローバルを登録します。 *すでに「定義とユーザ」で登録済みの場合は、「フォルダアイコン」をクリックして登録済みのものを適応しします。

    IPアドレスを「指定したいのグローバルIP」を設定し「保存」し「適応」をクリックします。

    方法2

    管理ポータル「https://<Sophos UTM>:4444」から、 Sophos UTMのユーザポータル設定を開きます。 マネジメント>ユーザポータルをクリックし開きます。 詳細タブで、ポート番号を変更します。

    kaji-Sophos-UserPortal-limited-02

    セキュリティグループも合わせてInboundを許可することを忘れないようにしましょう。

    kaji-Sophos-UserPortal-limited-03

    まとめ

    セキュリティ向上のためのTipとなりますが、構築しているとお客様より問い合わせがあるところなので社内情報共有の意味も含め、ブログを書きました。今後の設定時のご参考までに利用ください。