ニフクラ ブログ

ニフクラやクラウドの技術について、エンジニアが語るブログです。

ニフクラのウイルス・スパイウエア対策(ESET File Security for ニフクラ)を利用してみた

こんにちは、ニフクラテクニカルアカウントチームです。

クラウドサービスの利用において、セキュリティの確保はとても重要なテーマです。
ニフクラでは、クラウド事業者とお客様でセキュリティ対策における役割と責任を分担するという共同責任モデルに基づいて、システムのセキュリティをお客様自身で柔軟に設定・運用できるようにセキュリティを支援する豊富な機能・サービスやパートナーソリューションを提供しています。

今回はマルチプラットフォーム対応のウイルス・スパイウェア対策製品ウイルス・スパイウエア対策(ESET File Security for ニフクラ)を利用してみました。

本ブログは、サーバーが共通グローバルに接続できない要件がある場合等を想定しています。 共通グローバルに繋がっていないサーバーでESETを利用する際のご参考にしていただけると幸いです。

前提条件

本ブログは、以下の前提知識がある方を想定しています。

  • ニフクラの基本的なコントロールパネルの操作、サービスを利用する知識
    (サーバー作成、ネットワーク構築など)

検証概要

本ブログは、グローバルIPを持っていないサーバーに対して、以下の検証を実施しています。

① ルーターのWebプロキシ経由でESETの定義ファイルを更新する。
 (Windows/Linux)
② オフライン状態でESETの定義ファイルを更新する。
 (Windowsのみ) f:id:TechnicalAccountEngineer:20190201130147p:plain

利用リソース

本検証を実施するにあたり、利用したニフクラのリソース情報に関して以下に記載します。
※各リソースのアクセス制限に関しては、ニフクラのファイアウォール等を用いて適切に設定の上実施しています。

リソース 数量
仮想サーバー(サーバーOS:Windows Server 2016、CentOS 7.5) 2
プライベートLAN 1
ルーター 1

なお、ESETの情報に関して以下に記載します。
※本検証結果は以下バージョンでの検証結果となります。

プログラム名 ファイル名 数量
ESET File Security for Microsoft
Windows Server(Ver. 7.0.12016.1)
efsw_nt64_JPN.msi 1
ESET File Security for Linux
(Ver. 4.5.11.0)
esets.x86_64.rpm.bin 1

検証内容

準備したリソースを使用し、ESETのインストール/設定、定義ファイルの更新までの検証内容を記載します。
ここでは、ESETのお申込みに関する手順は省略させて頂きます。
※お申込み手順は、以下を参照してください。
ウイルス・スパイウエア対策(ESET File Security for ニフクラ)

リソース準備

① SSHキーの作成

SSHキーを作成します。
ここでは、設定項目や設定値は省略させて頂きます。
※詳細な作成方法は、以下を参照してください。
クラウドヘルプ(SSHキー)

② ファイアウォールグループの作成

ファイアウォールグループを作成します。
ここでは、ESETに関する設定のみでDNATに関する設定は省略させて頂きます。

本検証では、以下の設定とします。

■ ルーター(ESETRT01)用ファイアウォールグループ

項目 設定値
ファイアウォールグループ名 ESETRTFW01
ゾーン east-11
ログ取得件数 1,000 件
メモ -

■ INルール設定

プロトコル ポート 接続元種別(IPアドレス)
TCP 8080 192.168.1.10
TCP 53 192.168.1.10
TCP 8080 192.168.1.20
TCP 53 192.168.1.20
TCP 38000 <作業端末のグローバルIP>

※詳細な作成方法は、以下を参照してください。
クラウドヘルプ(ファイアウォールグループの新規作成)
クラウドヘルプ(ファイアウォール:ルールの追加)

③ プライベートLANの作成

プライベートLANを作成します。
本検証では、以下の設定とします。

項目 設定値
プライベートLAN名 ESETPVLAN01
ゾーン east-11
CIDR 192.168.1.0/24
料金プラン 従量
メモ -

※詳細な作成方法は、以下を参照してください。
クラウドヘルプ(プライベートLAN:作成)

④ ルーターの作成

ルーターを作成します。
本検証では、以下の設定とします。

項目 設定値
ルーター名 ESETRT01
ゾーン east-11
タイプ router.small
料金プラン 従量
メモ -
ネットワーク 共通グローバル
ESETPVLAN01
IPアドレス(任意) 192.168.1.254
DHCP 有効
DHCPコンフィグ <ここでは省略>(適切に設定)
DHCPオプション <ここでは省略>(適切に設定)
ファイアウォール ESETRTFW01

※詳細な作成方法は、以下を参照してください。
クラウドヘルプ(ルーター:作成)

⑤ 仮想サーバーの作成

仮想サーバーを作成します。
ここでは、以下の項目以外は省略させて頂きます。

項目 設定値 設定値
OS Windows Server 2016 CentOS7.5
サーバー名 ESETSV01 ESETSV02
プライベートIPアドレス 192.168.1.10 192.168.1.20

※詳細な作成方法は、以下を参照してください。
クラウドヘルプ(サーバーの作成)

⑥ DNATの設定

ルーターのDNAT機能を使用し、インターネットからニフクラのサーバーへ接続するための設定をします。
本検証では、以下の設定とします。

項目 設定値(RDP) 設定値(SSH) 設定値(WebIF)
優先順 1 2 3
プロトコル TCP TCP TCP
インバウンド
ネットワーク
共通グローバル 共通グローバル 共通グローバル
送信先ポート 13389 10022 38000
変換後IPアドレス 192.168.1.10 192.168.1.20 192.168.1.20
変換後ポート番号 3389 22 38000
メモ WIN2016用 Cent7.5用 ESET WebIF用

※詳細な作成方法は、以下を参照してください。
クラウドヘルプ(ルーター:NATテーブル:DNATルール追加)

※DNATについては、以下のブログを参考にしてください。
初心者によるニフクラ講座:SSHログイン~DNATを添えて~/前編

⑦ Webプロキシの設定

ルーターにWebプロキシの設定をします。
本検証では、以下の設定とします。

項目 設定値
ルーター名 ESETRT01
受け側ネットワーク ESETPVLAN01
受け側ポート 8080
迂回側ネットワーク 共通グローバル
DNS -
メモ -

※詳細な作成方法は、以下を参照してください。
クラウドヘルプ(ルーター:Webプロキシ設定)

ESETセットアップ(Windows)

ESETのセットアップに必要なプログラムは、ユーザーズサイトからダウンロードしておきます。
※外部サイトのため、リンク切れの際はご容赦ください。
ユーザーズサイトには、「シリアル番号」と「ユーザー名」にてログインできます。「シリアル番号」と「ユーザー名」は、お申込み後に送信されたメールに記載されています。
ここでは、詳細なダウンロード手順は省略させて頂きます。

① インストール

以下の作業は、管理者権限を持つアカウントで実施する必要があります。
また、「ユーザーアカウント制御」画面が表示された場合は「はい」または「続行」をクリックしてください。

  1. ユーザーズサイトからダウンロードしたインストーラーを起動します。
    f:id:TechnicalAccountEngineer:20190201130728p:plain

  2. インストーラーが起動します。「次へ」をクリックします。
    f:id:TechnicalAccountEngineer:20190201131002p:plain

  3. 「ライセンス契約条項を受諾します」を選択し、「次へ」をクリックします。
    f:id:TechnicalAccountEngineer:20190201130821p:plain

  4. 「完全」を選択し、「次へ」をクリックします。
    f:id:TechnicalAccountEngineer:20190201130830p:plain

  5. デフォルトのまま「インストール」をクリックします。
    f:id:TechnicalAccountEngineer:20190201130837p:plain

  6. インストール完了後、「完了」をクリックします。
    f:id:TechnicalAccountEngineer:20190201130847p:plain

② プロキシサーバーの設定

プロキシサーバーの設定をします。

  1. メインメニューの「設定」>「詳細設定」をクリックします。
    f:id:TechnicalAccountEngineer:20190201131550p:plain

  2. 「ツール」>「プロキシサーバ」をクリックします。
    f:id:TechnicalAccountEngineer:20190201131601p:plain

  3. 「プロキシサーバを使用」オプションを選択します。
    「プロキシサーバ(IPアドレス)」、「ポート」を入力し、「OK」をクリックします。
    本検証では、ルーターの作成で設定したIPアドレスと、Webプロキシの設定で指定したポートを設定します。

項目 設定値
プロキシサーバを使用 チェック
プロキシサーバ 192.168.1.254
ポート 8080

f:id:TechnicalAccountEngineer:20190201131608p:plain

③ アクティベーション

以下の作業は、事前にユーザーズサイトから「製品認証キー」を控えておく必要があります。
また、製品認証キーを使用して、アクティベーションするためには、コンピューターがESET社のライセンスサーバーと通信できる必要があります。

  1. メインメニューの「ヘルプとサポート」>「製品のアクティベーション」をクリックします。
    f:id:TechnicalAccountEngineer:20190201132212p:plain

  2. 「製品認証キーを入力」をクリックします。
    f:id:TechnicalAccountEngineer:20190201132223p:plain

  3. 「製品認証キー」を入力して、「続行」をクリックします。
    f:id:TechnicalAccountEngineer:20190201132236p:plain

  4. アクティベーションが完了したら、「完了」をクリックします。
    f:id:TechnicalAccountEngineer:20190201132245p:plain

ESETセットアップ(Linux)

ESETのセットアップに必要なプログラムは、ユーザーズサイトからダウンロードしておきます。
※外部サイトのため、リンク切れの際はご容赦ください。
ユーザーズサイトには、「シリアル番号」と「ユーザー名」にてログインできます。「シリアル番号」と「ユーザー名」は、お申込み後に送信されたメールに記載されています。
ここでは、詳細なダウンロード手順は省略させて頂きます。

① インストール

以下の作業は、root権限(スーパーユーザー)で実施する必要があります。
また、ここでは「/tmp」にインストーラーが保存されている場合を例にインストール手順を記載します。

1.プロキシ経由でパッケージをインストールするために、yumのプロキシ設定を行います。

# vi /etc/yum.conf
<最終行に以下を追加>
proxy=http://192.168.1.254:8080

2.ESETのインストールに必要なパッケージ(glibc)をインストールします。
 64bitのLinuxサーバーの場合は、32bitのglibcが必要になります。

# yum -y install glibc.i686

3.ユーザーズサイトからダウンロードしたインストーラーを実行します。

# sh /tmp/esets.x86_64.rpm.bin 

4.仕様許諾規約書が表示され「Enter」キーを押します。
 画面が以下のように表示されたら「y」キーを押します。

Do you accept this End User License Agreement and acknowledge Privacy Policy? (y/n) 

5.インストール完了後、以下の画面が表示されます。

<省略>
To UNINSTALL the Product:
   * Uninstall the package: rpm -e esets

To KEEP your KNOWLEDGE Up-To-Date:
   * Read the User's Guide in /opt/eset/esets/share/doc.
   * Read manual page esets.cfg(5) (use 'man esets.cfg').

To REPORT Bugs or Problems:
   * Please, visit: www.eset.com/support

② ライセンスキーファイルのインポート

以下の作業は、事前にユーザーズサイトから「ライセンスキー(nod32.lic)」をダウンロードしておく必要があります。
ファイルのインポートは、root権限(スーパーユーザー)で実施する必要があります。
また、ここでは「/tmp」にライセンスファイルが保存されている場合を例に手順を記載します。

1.ライセンスキーファイルのインポートをします。

# /opt/eset/esets/sbin/esets_lic --import /tmp/nod32.lic 

2.インポートしたライセンスキーファイル情報を確認できます。

# /opt/eset/esets/sbin/eesets_lic --list
/etc/opt/eset/esets/license/esets_2b1215.lic: ESET File Security, 2019-05-31 09:00:00, CANON IT SOLUTIONS INC.

3.ESET File Security for Linuxを起動させます。

# /etc/iniit.d/esets start
Starting esets (via systemctl):  [  OK  ]

③ Webインターフェースの初期設定

LinuxでESETの各種設定をするには、Webインターフェースを利用します。
Webインターフェースを利用する場合は、「esets.cfg」ファイルの[www1]セクションの以下の5項目を設定します。
この作業は、root権限(スーパーユーザー)で実施する必要があります。
本検証では、以下の設定とします。

項目 設定値 内容
agent_enabled yes Webインターフェースの
利用有無の設定
listen_addr "192.168.1.20" 接続を受けつけるネットワーク
インターフェースのIPアドレス
listen_port 38000 接続に利用するポート番号
username "user" ログインに利用するユーザー名
password "*******" ログインに利用するパスワード

1.設定ファイルの編集をします。

# vi /etc/opt/eset/esets/esets.cfg
<省略>
[wwwi]
agent_enabled = yes
listen_addr = "192.168.1.20"
listen_port = 38000
username = "user"
password = "<任意のパスワード>"
<省略>

2.設定ファイルの変更内容を反映させるために、ESETを再起動させます。

# /etc/init.d/esets restart
Restarting esets (via systemctl):  [  OK  ]

④ プロキシサーバーの設定

プロキシサーバーの設定をします。

1.作業端末のWebブラウザから以下のURLを入力します。
  https://<ルーターのグローバルIPアドレス>:38000

2.「esets.cfg」ファイルで設定したユーザー名とパスワードを入力して、「login」をクリックします。
f:id:TechnicalAccountEngineer:20190201132933p:plain

3.「Configuration」>「Global」>「Daemon optins」をクリックします。
f:id:TechnicalAccountEngineer:20190201132943p:plain

4.「Proxy address」と「Proxy port」にチェックを入れます。
プロキシサーバのIPアドレスとポートを入力し、「Save changes」ボタンをクリックします。
本検証では、ルーターの作成で設定したIPアドレスと、Webプロキシの設定で指定したポートを設定します。

項目 設定値
Proxy address 192.168.1.254
Proxy port 8080

f:id:TechnicalAccountEngineer:20190201132952p:plain

5.設定を反映させるために、「Apply changes」ボタンをクリックします。
f:id:TechnicalAccountEngineer:20190201133000p:plain

6.問題がなければ「Yes」をクリックします。
f:id:TechnicalAccountEngineer:20190201133009p:plain

検証作業

① ルーターのWebプロキシ経由でESETの定義ファイルを更新する
(Windows/Linux)

ESETインストール後は、デフォルトで定期的に自動アップデートする設定になっていますが、ここではWebプロキシ経由で定義ファイルの更新ができるか確認を行うため、手動アップデートを実施しています。

■ 手順(Windows)

1.手動でアップデートするために、メインメニューの「アップデート」を選択し、「最新版のチェック」をクリックします。
f:id:TechnicalAccountEngineer:20190201140251p:plain

2.アップデートが開始されます。
f:id:TechnicalAccountEngineer:20190201140410p:plain

3.「前回の成功したアップデート」に記載された日時と、「すべてのモジュールを表示」をクリックして表示される画面より「検出エンジン」のバージョンが更新されたことを確認します。 f:id:TechnicalAccountEngineer:20190206165955p:plain
f:id:TechnicalAccountEngineer:20190201140443p:plain
特に問題なく、定義ファイルの更新ができました。

■ 手順(Linux)

1.手動でアップデートするために「Control」>「Update」を選択し、「Update」ボタンをクリックします。
f:id:TechnicalAccountEngineer:20190201155355p:plain

2.アップデートが開始されます。
更新状況を確認するには「View」をクリックします。
f:id:TechnicalAccountEngineer:20190201155557p:plain

3.「End」に記載された日時と、「Virus database」のバージョンが更新されたことを確認します。 f:id:TechnicalAccountEngineer:20190201155657p:plain
特に問題なく、定義ファイルの更新ができました。

② オフライン状態でESETの定義ファイルを更新する
(Windowsのみ)


■ オフライン用検出エンジン(ウイルス定義データベース)のダウンロード

  1. Webブラウザーにて、ユーザーズサイトにアクセスします。

 ※外部サイトのため、リンク切れの際はご容赦ください。

  1. 「ログインページに移動」をクリックします。
    f:id:TechnicalAccountEngineer:20190206171814p:plain

  2. 「シリアル番号」と「ユーザー名」を入力し、「同意する」にチェック後、「ログイン」をクリックします。
    ※「シリアル番号」と「ユーザー名」は、お申込み後に送信されたメールに記載されています。
    f:id:TechnicalAccountEngineer:20190206171829p:plain

  3. 画面上にあるメニューより「検出エンジン」をクリックし、「検出エンジン ダウンロードページ」をクリックします。
    f:id:TechnicalAccountEngineer:20190206171845p:plain

  4. 最新の検出エンジンファイルをクリックし、ダウンロードします。
    ※任意の場所(例:デスクトップ)に保存します。
    f:id:TechnicalAccountEngineer:20190206171855p:plain

  5. ダウンロードしたオフライン用検出エンジン(ウイルス定義データベース)をサーバー上の任意の場所に配備し、展開します。
    f:id:TechnicalAccountEngineer:20190207112658p:plain

  6. ファイルの展開先を指定します。
    ここでは、デスクトップに展開します。
    f:id:TechnicalAccountEngineer:20190208155439p:plain

  7. 検出エンジン(ウイルス定義データベース)ファイルが展開されたことを確認します。
    f:id:TechnicalAccountEngineer:20190207112723p:plain

■ オフライン更新手順

  1. デスクトップ画面右下の通知領域内の「ESET Endpoint Security」アイコンをダブルクリックします。
    f:id:TechnicalAccountEngineer:20190207104012p:plain

  2. メインメニューの「設定」を選択し、「詳細設定」をクリックします。
    f:id:TechnicalAccountEngineer:20190207095438p:plain

  3. 「アップデート」>「プロファイル」を選択し、「編集」をクリックします。
    f:id:TechnicalAccountEngineer:20190207095453p:plain

  4. テキストボックスに「オフライン更新」と入力し、「追加」をクリックします。
    f:id:TechnicalAccountEngineer:20190207095508p:plain

  5. 「OK」をクリックします。
    f:id:TechnicalAccountEngineer:20190207095517p:plain

  6. 「プロファイル」から、「オフライン更新」を選択します。
    f:id:TechnicalAccountEngineer:20190207095526p:plain

  7. 「プロファイル」>「アップデート」を選択します。
    自動選択を無効(×)にして、カスタムサーバーに検出エンジン(ウイルス定義データベース)ファイルの展開先を入力します。
    (例「C:\Users\******\Desktop\essupd190128-1513」)
    f:id:TechnicalAccountEngineer:20190208155656p:plain

  8. 「基本」から「オフライン更新」を選択します。
    f:id:TechnicalAccountEngineer:20190207100337p:plain

  9. アップデートキャッシュを削除の「削除」をクリックし、「OK」をクリックします。
    ※「OK」をクリック後に、アップデートが開始されます。 f:id:TechnicalAccountEngineer:20190207095601p:plain

  10. メインメニューの「アップデート」を選択し、「前回の成功したアップデート」に記載された日時と、「すべてのモジュールを表示」をクリックして表示される画面より「検出エンジン」のバージョンが更新されたことを確認します。
    ※バージョンが更新されていない場合は、「最新版のチェック」をクリックしてください。
    f:id:TechnicalAccountEngineer:20190207100353p:plain
    f:id:TechnicalAccountEngineer:20190207095626p:plain
    特に問題なく、オフライン状態で定義ファイルの更新ができました。

    これで、本検証は終了となります。

まとめ

ルーターのDNAT機能を使用し、インターネットからニフクラのサーバーへ接続(RDP/SSH接続)できました。
また、ルーターのWebプロキシ経由でESETの定義ファイルを更新することができました。
共通グローバルに繋がっていないサーバーを構築する際のご参考にしていただけると幸いです。


※注意事項