コンテンツにスキップ

デバイスのアクセス

ローカルサービス ACL (Access Control List) を使用して、カスタムゾーンおよびデフォルトゾーンから Sophos Firewall の管理サービスへのアクセスを制御できます。

ローカルサービスとは、Sophos Firewall の内部設定を行うための管理サービスを指します。たとえば、Web 管理コンソールや CLI コンソール、認証サービスなどがあります。「管理 > デバイスのアクセス」で、ローカルサービスへのアクセスを許可またはブロックできます。

  • 各種ゾーンからローカルサービスへのアクセスを許可するには、該当するチェックボックスをオンにします。サービスについて詳しくは、ゾーンからローカルサービスへのアクセスを参照してください。
  • 特定のホストおよびネットワークのみにサービスへのアクセスを許可するには、「ローカルサービス ACL 例外ルール」までスクロールダウンして、「追加」をクリックします。

ローカルサービス ACL: デバイスのアクセス制御について

ローカルサービスへのアクセスを制御するにあたって、把握しておくべき点を以下に示します。

  • ファイアウォールルールを使用してローカルサービスへのトラフィックを制御することはできません。「管理 > デバイスのアクセス」からのみ制御できます。
  • カスタムゾーンの場合は、「ネットワーク > ゾーン」からアクセスを許可またはブロックすることもできます。

  • ホストのサブネット、ゾーン、またはインターフェースを共有するローカルサービスにアクセスするには、ゾーンを選択する必要があります。たとえば、Sophos Firewall が DNS サーバーの場合は、LAN ゾーンから DNS サービスにアクセスするために、LAN の DNS をオンにする必要があります。

  • ローカルサービスへのアクセスに使用されるデフォルトポートの宛先 IP アドレスは Sophos Firewall に設定されています。
  • SSL VPN やユーザーポータルなどの一部のサービスのデフォルトポートは、それぞれの設定ページから変更できます。ポートを変更する場合、SSL VPN ポートを他のサービスに使用しないことを推奨します。そうすると、デバイスのアクセスでオフに設定したゾーンから、そのサービスにアクセスできるようになります。

ローカルサービス ACL のデフォルト設定を以下に示します。

ローカルサービス ACL のデフォルト設定

推奨の方法

管理サービスとユーザーポータル: WAN ゾーンおよび SSL VPN ポートから Web 管理コンソール (HTTPS)、CLI コンソール (SSH)、ユーザーポータルへのアクセスを許可しないことを推奨します。アクセスを与える必要がある場合は、以下の表に記載されている推奨の方法に従うようにしてください。

SSL VPN ポート: デフォルトでは、すべての管理サービスが一意のポートを使用するように設定されています。SSL VPN は TCP ポート 8443 に設定されています。

警告

デフォルトポートを手動で変更する場合は、サービスごとに一意のポートを使用することを強く推奨します。一意のポートを使用すると、サービスへのアクセスをオフにした場合でも WAN ゾーンに公開されてしまうような状態を回避できます。例: ユーザーポータルと SSL VPN の両方にポート 443 を使用すると、デバイスのアクセスのページで WAN ゾーンからユーザーポータルへのアクセスをオフにした場合でも、WAN ゾーンからユーザーポータルにアクセスできてしまいます。

コンソール WAN からの安全なアクセス
Web 管理コンソール Sophos Central を使用します。詳しくは、Sophos Central で確認してください。
  • ローカルサービス ACL の例外ルールを作成し、WAN ゾーンの特定の送信元 IP アドレスからコンソールへのアクセスを許可します。
  • IPsec VPN を使用します。
  • リモートアクセスクライアントを使用します。
CLI コンソール ローカルサービス ACL の例外ルールを作成し、WAN ゾーンの特定の送信元 IP アドレスからコンソールへのアクセスを許可します。
  • セキュリティを強化するには、「管理 > デバイスのアクセス」から、公開鍵認証を使用するように設定してください。
  • IPsec VPN を使用します。
  • IPsec VPN を使用します。
ユーザーポータル 外部ネットワークからのアクセスを保護するには、VPN を使用して、以下の推奨の方法に従ってください。
  • VPN を設定していないユーザーに対し、VPN クライアントや設定をダウンロードするための一時的なアクセスのみを与えるようにします。
  • IPsec VPN を使用します。
  • リモートアクセスクライアントを使用します。
  • Sophos Connect リモートアクセスクライアント: ユーザーポータルで、接続ポリシーの自動プロビジョニングと、接続の更新後の再プロビジョニングを許可するように設定します。
  • ユーザーポータルに SSL VPN ポートを使用していないことを確認します。

ユーザーアカウントに基づく保護:
  • Sophos Firewall に保存されているユーザーアカウント: ワンタイムパスワードを設定し (「認証 > ワンタイムパスワード」)、多要素認証 (MFA) を使用します。
  • 外部ディレクトリサービス: 外部ディレクトリサービスから提供される MFA を使用します。

デフォルトの管理者パスワードの設定

Sophos Firewall の工場出荷時の設定では、デフォルトのスーパー管理者に以下の認証情報が設けられています。

ユーザー名: admin

パスワード: admin

この認証情報を使用して、Web 管理コンソールや CLI にサインインできます。Sophos Firewall を初めて設定するときに、デフォルトのパスワードを変更する必要があります。パスワードには、推測されやすい言葉や、辞書に載っている単語は使用しないでください。Sophos Firewall では、ユーザーが指定したパスワードを、よく使用されるパスワードおよび辞書の単語を含むデータベースと照合します。指定されたパスワードがこのデータベース内の用語と一致する場合は、パスワードを変更するように求めるメッセージが表示されます。

Sophos Firewall は、デフォルトのスーパー管理者向けに高度なパスワード機能を備えています。18.0 MR3 以前または17.5 MR14 からアップグレードする場合、この機能を利用するには、パスワードを変更する必要があります。1回変更すると、以後変更は必要ありません。

現在のパスワードは安全な場所に保管してください。現在のパスワードを使用している以前のファームウェアバージョンに移行した場合、このパスワードは、サインインする際に必要になります。

デフォルト管理者に対する多要素認証 (MFA)

デフォルトの管理者アカウントに MFA を設定し、ハードウェアトークンまたはソフトウェアトークンの使用を強制できます。

  1. デフォルト管理者に対する MFA」をオンにして、「適用」をクリックします。
  2. 以下のいずれかの OTP (ワンタイムパスワード) トークンを選択してください。

    1. ハードウェアトークンを使用するには、「ハードウェアトークンを設定する」を選択し、「次へ」をクリックします。
    2. ソフトウェアトークンを使用するには、「ソフトウェアトークンを生成する」を選択し、「次へ」をクリックします。
  3. ハードウェアトークンを使って検証するには、以下の手順に従います。

    1. 次の情報を入力します。

      情報 説明
      シークレット トークンのシークレットを入力します。次の制限事項があります。
      • 16進数文字のみ。
      • 文字数が偶数であること。
      • 32文字以上。
      • 120文字以下。
      説明 トークンの説明を入力します。
      タイムステップ ハードウェアトークンの設定と同じタイムステップを入力します。

      次へ」をクリックします。

    2. デフォルトの管理者パスワードに続けて、ハードウェアトークンに表示されている検証コードを入力し、「検証」をクリックして、「適用」をクリックします。

  4. ソフトウェアトークンを使って検証するには、以下の手順に従います。

    1. お使いの認証アプリで、表示されている QR コードをスキャンします。
    2. デフォルトの管理者パスワードに続けて、認証アプリに表示されている検証コードを入力し、「検証」をクリックして、「適用」をクリックします。

管理者の公開鍵認証

公開鍵を使用して、CLI へのアクセスを保護できます。SSH 鍵を追加、編集、削除できます。

  1. 認証の有効化」をオンにして、SSH 鍵を使った CLI への安全なアクセスを有効にします。
  2. SSH ツール (PuTTYgen など) を使って、公開鍵と秘密鍵のペアを生成します。
  3. 管理 > デバイスのアクセス」に移動して、「管理者の公開鍵認証」までスクロールダウンし、公開鍵を追加します。
  4. CLI にアクセスする管理者に、秘密鍵を共有します。

    CLI にアクセスする管理者は、SSH ツール (PuTTYgen など) に秘密鍵を入力する必要があります。

    この方法によって、トラブルシューティングのためにソフォスサポートに安全にアクセスすることもできます。

トップへ