XG Firewall自身を防御する

この記事で実現すること

ホームユーザー向けにXG Firewall自身を防御する、ベストプラクティスとなる設定をします。

Best practices for securing your firewall

2020-6-24にSophos Communityのお勧め記事に「Sophos XG Firewall: Best practices for securing your firewall」というタイトルの文書が投稿されました。以下の記載があります。

このドキュメントの焦点は、Sophos XG Firewallを最低限のレベルでセキュリティを確保するための基本的なガイダンスを提供することです。この文書では、内部ネットワークデバイスやリソースを保護する個々のファイアウォール機能についてのガイダンスは提供しません (詳細な Sophos XG Firewall ベストプラクティスガイドは後日公開される予定です)。

XG Firewall v18の設定におけるベストプラクティス」で記載した通り、ルールやポリシーについてのベストプラクティスを記載していますが、将来Sophosから詳細なベストプラクティスガイドが公開されるとの事です。今回公開されたものはルールやポリシーではなく、運用について記述されたものであり、どのようにしてFirewallを守るかに言及されています。IPSの設定については、過去記事をアップデートしています。

Sophos XG Firewall: Best practices for securing your firewall
https://community.sophos.com/products/xg-firewall/f/recommended-reads/121461/sophos-xg-firewall-best-practices-for-securing-your-firewall

Firewall自身のセキュリティ強化

まずこのガイドの先頭には以下の説明があります。

管理者は、ファイアウォール自体の安全性を確保する前に、内部ネットワークやリソースを保護するために、ファイアウォールの機能や機能を設定することに集中してしまうことがよくあります。

これはご指摘の通りで、確かにXG自身にログインするパスワードもLAN内からのアクセスだからという理由で単純なパスワードにしがちです。業務で利用するほど厳格では無いにせよ、ホームユーザーとしてもFirewall自身の管理をしっかりと行うべきです。具体的なドキュメントについては、上記のページにあるPDFを参照いただくのが一番ベストですが、ここではホームユーザーにとって重要と思われるものを紹介します。

ローカルサービスACL

XGの左ペインメニューの管理の”デバイスのアクセス”でWANなど外部ゾーンからのすべてのサービスを削除します。使わないサービスはオフにするのが原則であり、SSHを利用しないのであればLANゾーンのSSHもオフにしてしまうのがお勧めです。

このSophosのドキュメントではSSHのために、公開鍵認証を行う事を勧めています。もし、LANやVPNからSSHを使うのであればこのデバイスのアクセスの画面の下部に管理者の公開鍵認証の項目があるので、そこで公開鍵を追加できます。

DDoS防御

これまでも特にDDoS防御については説明してきていませんでした。ホームユーザーには不要と考えているためです。ping関連のDDoS防御の勧めが記述されていますので紹介します。しかしこの設定を行うとダウンロードのスループットが低下するので確認しながら利用の判断可否が必要です。XGの左ペインメニューの侵入防御の”DoS/スプーフ防御”のタブにてICMP/ICMPv6フラッドの項目を以下の図のように設定します。

このドキュメント上で”XG550”、”XG650”および”XG750”のハードウェア提供モデルのDDoS防御の設定が記載してありますが、XG Home(ソフトウェアバージョン)はこのDDoS防御の機能は持っていません。

管理者ID

XGの左ペインメニューの管理の”管理の設定”で以下のように管理者のログイン失敗時のブロック、パスワードの複雑性の登録を行います。新しい管理者アカウントを作成し、2要素認証の設定は可能ですが、デフォルト管理者のadminアカウントは無効に設定できません。業務上利用する場合は担当者が変わる場合など意味がありますが、ホームユーザーが利用する場合は定期的なパスワード変更も不要であり、2要素認証の設定は現時点ではあまり魅力はありません。adminアカウントの無効化対応を期待します。

XG Firewallの通知設定を行う」で記載した通り、通知設定を行う事でログイン失敗の状況も迅速にキャッチが可能です。

HotFixの自動インストール

XGに脆弱性が見つかった場合に、過去の事例では極めて迅速にパッチが自動適用されます。具体的には下記の図のように、左ペインメニューのバックアップ&ファームウェアの”ファームウェア”タブの画面にある、”ホットフィックスの自動インストールを許可する”にチェックが付いている事を確認してください。

また、定期的な設定のバックアップが推奨されています。このバックアップ&ファームウェアメニュー上でのバックアップを取得されると共に、仮想環境をお使いの方は仮想環境上でのバックアップを取得される事をお勧めします。