無償UTM untangleのWeb Monitor機能

untangle Web Monitorを利用してみます。

Web Monitor

Webトラフィックを完全に把握する事が出来ます。140のカテゴリと、5億サイトが分類されており、クラウドベースで検索して動的に分類されます。webトラフィックのブロック機能は持っておらず、webトラフィックをブロック・フラグするにはWeb Filter(有償)が必要です。

リクエスト数により、どんなサイトへのアクセスが多いか可視化できます。

時系列での推移をみる事も可能です。

どのホストからの要求でウェブサイトコンテンツがどのくらいの大きさになっているのかも可視化可能です。

回線圧迫時など、どのホストがwebサイトに多くアクセスしているのかなど分析に役立ちそうです。
あと、bittorrentを防ぐようにアプリケーション制御の設定をし、bittorrentファイルを探してみたらマルウェア配布サイトにあたりました。ホームページを遮断はしてはくれないものの、検知はしていてくれました。

検知した際にはメールも一緒に送付してくれます。

The following event occurred on the Untangle Server @ 2017-07-26 10:50:01.981

Malware Distribution Point website visit detected:
Web Monitor flagged http://engine.spotscenered.info/link.engine?guid=760d8dbc-b726-4132-8e3e-6a6035c3ab27&Hardlink=true&time=0&subid=400413 (Malware Distribution Point)

Causal Event: WebFilterEvent
{
    "timeStamp": "2017-07-26 10:50:01.981",
    "reason": "BLOCK_CATEGORY",
    "flagged": true,
    "blocked": false,
    "appName": "web_monitor",
    "requestLine": "GET http://engine.spotscenered.info/link.engine?guid=760d8dbc-b726-4132-8e3e-6a6035c3ab27&Hardlink=true&time=0&subid=400413",
    "category": "Malware Distribution Point",
    "sessionEvent": {
        "entitled": true,
        "CServerPort": 80,
        "hostname": "192.168.0.55",
        "protocol": 6,
        "protocolName": "TCP",
        "localAddr": "/192.168.0.55",
        "serverLatitude": 33.9164,
        "SServerAddr": "/69.89.74.102",
        "remoteAddr": "/69.89.74.102",
        "serverIntf": 1,
        "CClientAddr": "/192.168.0.55",
        "serverCountry": "US",
        "sessionId": 98367084510286,
        "SClientAddr": "/192.168.0.55",
        "clientCountry": "XL",
        "CClientPort": 53647,
        "policyRuleId": 0,
        "timeStamp": "2017-07-26 10:50:01.753",
        "serverLongitude": -118.4041,
        "clientIntf": 2,
        "SClientPort": 53647,
        "policyId": 1,
        "bypassed": false,
        "SServerPort": 80,
        "CServerAddr": "/69.89.74.102",
        "tagsString": ""
    }
}

This is an automated message sent because the event matched the configured Event Rules.

 

止めたい場合は、有償の Web Filterを導入しないとダメですね。

Web Filter

月間25$です。