サーバー構築 セキュリティ TCP/IP基礎 TIPS 書籍 ブログ

Web全体 サイト内検索

 セキュリティ予備知識
セキュリティの必要性
攻撃のパターン
トロイの木馬の種類と仕組み
 ファイアーウォール導入編
ファイアーウォールとは?
セキュリティポリシーの策定
パケットフィルタリングとその凡例
Zone Alarmのインストール
Zone Alarmの設定
SygatePersonal Firewallのインストール
SygatePersonal Firewallの設定
SPF 「Advanced Rules」の設定
 セキュリティ強化実践編
NetBIOS over TCP/IPを無効にする
ブラウザのセキュリティ対策
Microsoft Outlookのセキュリティ強化
Spybotによるスパイウェアの駆除
スパイウェアの駆除(文献古いです)
プロキシ(代理)サーバーを利用する
トロイの木馬の駆除
診断サービスを利用する
 ウィルス対策編
ウィルスの基礎知識
 最新ウィルス情報
IPAセキュリティセンター
Symantec Security Response
Trend Micro
McAfee
 セキュリティ診断 関連サイト
PC Flank
Sygate Online Services
Symantec Security Check
Shields Up!!
パーソナルセキュリティ研究所
 FIREWALL DOWNLORD
Zone Alarm
Zone Alarm(日本語化)
ZoneLog Analyser
Sygate Personal Firewall
Agnitum Outpost Firewall
Tiny Personal Firewall
Tiny Personal Firewall(日本語化)
Norton Personal Firewall(体験版)
Kerio Personal Firewall
BlackICE Defender
At Guard
 関連 DOWNLORD
Ad-Aware
Ad-Aware(定義アップデート)
Spybot -S&D
The Proxomitron(日本語サイト)
AVG Anti-Virus
 


SPF「Advanced Rules」の設定


それでは、最後にSPFの核ともいえるアドバンスド・ルールについて解説していきます。この設定を行うにはある程度のネットワークの知識が必要となってきますが、慣れてしまえば決して難しいものではありません。使っていくうちに徐々に慣れていくでしょう。それでは、「Tools」→「Advanced Rules」を選択してください。以下のような画面が現れます。ただし、アドバンスド・ルールを初めて行う場合は空っぽの状態になっています。




※なお、上記の図の設定を参考にはしないで下さい。


まず、アドバンスド・ルールを追加していくには「Add」をクリックします。すると以下のような画面が現れます。アドバンスド・ルールでは「General」「Hosts」「Ports and Protocols」「Scheduling」「Applications」タブの5つの画面に分かれており、1つのルールに対して5つのタブ画面を使って設定を行っていきます。





■ブラウザでの設定例

では、まずわかりやすい例で、ブラウザでの例を考えていきましょう。まず、アドバンスド・ルールで設定を行っていく前に、SPF初期画面で「Internet Explorer」を「Block」の設定にしておきます。これで、当然、Internet Explorerを使用してはインターネットに接続することができない状態になりました。




次に「Tools」→「Advanced Rules」→「Add」をクリックします。その前に、理解しておいてもらいたいのが、例えば、特定のWebサイトを閲覧する場合、過程としてクライアントマシンは、「あるホストのWebサイトを閲覧したい」という接続要求を発信します。そのためには、「ブラウザが外部(WAN側)に対して接続しても良いよ!」というルールをSPFで追加してあげる必要があります。仮に、これを最初のルールとして「ブラウザ送信許可」という名前にしましょう。次に、接続要求を受け取ったインターネット側にあるサーバーはその要求に応答し、再び、接続要求をクライアント側に対して送り返すことになります。その時に、「外部から来た要求を内部に通しても良いですよ」というルールをSPFで追加しなければWebサイトを閲覧することはできません。そこで、ブラウザの第2のルールとして「ブラウザ受信許可」というルール名でルールを作成することにします。つまり、Webサイトを閲覧するためには「ブラウザ送信許可」と「ブラウザ受信許可」の2つのルールを作成してあげる必要があるのです。





■ルール1「ブラウザ送信許可」(LAN→WAN)

Description Action Remote Host Direction Protocol Remote Local
ブラウザ送信許可 Allow All Outgoing TCP 21,70,80,443 1024-4999

◎General

ブラウザの基本動作が理解できたところで、さっそく設定の解説をしていきます。「Tools」→「Advanced Rules」→「Add」をクリックします。まず、「General」タブで「ブラウザ送信許可」ルールの設定を行います。以下の画面を参考にしてください。



 Rule Description ルール名を自分が判りやすい名前で記述します。ここでは、「ブラウザ送信許可」と名前を付けます。
 Action 「Block this traffic」(トラフィックの拒否)と「Allow this traffic」(トラフィックの許可)の2つのチェックボックスがあり、ここではブラウザをインターネットに接続する許可を与えるわけですから、「Allow this traffic」にチェックを入れます。
 Advanced Settings

ルールを適用したいNIC(ネットワークカード)を選択します。複数のネットワークカードを挿している方は「All network interface cards」を選択しておくと良いでしょう。

「Apply this rule during Screensaver Mode」ではスクリーンセーバーモードの際にこのルールを有効にするかどうかを指定します。「On」「Off」「Both on and off」の3種類の中から選択することができ、ここでは、スクリーンセーバーモードが有効・無効に関わらず、このルールを適用するために「Both on and off」を指定しています。

「Record this traffic in "Packet Log"」のチェックボックスはこのトラフィックをパケットログに記録するかどうかの指定を行います。パケットログに記録したい方はチェックボックスにチェックを入れてください。なお、「Tools」→「Options」→「Log」で「Capture Full Packet」にチェックを入れると全てのパケットがログに記録されるようになります。


◎Hosts

以上で、「General」タブの設定は完了なので「Hosts」タブをクリックしてください。ここでは、リモートホストからのアクセスをIPアドレス、MACアドレス、サブネットマスクごとに制限を加えることができるようになります。とりあえず、ここでは「All addresses」にチェックを入れておきます。


◎Ports and Protocols

「Ports and Protocols」タブをクリックしてください。



 Protocol プロトコルを選択します。WWWはTCPプロトコルなので、ここでは「TCP」を選択します。
 Remote サーバー側のポート番号を指定します。WWWは80番、SSL による暗号通信「HTTPS」は443番なのでこれを指定します。上記のように21番、70番、80番、443番を指定しておけばほとんどの動作は正常に可能となります。21番はブラウザを使用してFTPサイトへアクセスする際に必要となります。
 Local

クライアントマシン側のランダムに割り当てられるポート番号を指定します。ブラウザは通常、1024番以降から4999番以下の値を動的に割り当てるため、「1024-4999」を指定しておけば良いでしょう。
 Traffic Direction トラフィックの方向を指定します。ここではブラウザが外部に接続する許可を与えるルールを作成するため、「Outgoing」(送信 = LAN→WAN)を指定します。なお、外部からのパケットを内部に取り込む際には「Incoming」(受信 = LAN←WAN)を指定します。なお、他にも「Both」(両方)を選択することができます・


◎Scheduling

ルールを適用するスケジュールの設定を行います。月・日・時・分単位でスケジュールを設定することができます。ここでは、スケジュールの指定は行いません。


◎Applications

最後にルールを適用するアプリケーションとの関連付けを行います。上記で行ってきた設定はブラウザに共通のものなので、Internet Explorer、NetscapeNavigator、その他のブラウザ全てにチェックを入れます。これで、ルール1「ブラウザ送信許可」は、ブラウザに対して適用されることになります。なお、今まで行ってきた設定は「Rule Summary」に全て記載されています。




■ルール2「ブラウザ受信許可」(LAN←WAN)

「ブラウザ送信許可」を参考にして、以下のようにブラウザ受信許可ルールも設定してください。

Description Action Remote Host Direction Protocol Remote Local
ブラウザ受信許可 Allow All Incoming TCP 20 1024-4999


それでは、以下にブラウザ以外のその他のアプリケーション、もしくはプロトコルについてのルールを掲載しておきますので参考にしてください。

■ルール3「FTP送信許可」、ルール4「FTP受信許可」

FTPクライアントソフトを使用する際に必要となるルールです。

Description Action Remote Host Direction Protocol Remote Local
FTP送信許可 Allow All Outgoing TCP 21 1024-4999
FTP受信許可 Allow All Incoming TCP 20 1024-4999


■ルール5「メール送受信許可」

OutlookExpress、Becky!などのメールクライアントソフトを使用する際に必要となるルールです。なお、この時、「Remote Host」には「All」ではなくプロバイダのメールサーバーのアドレスを指定しても良いでしょう。管理人の場合は、「Hosts」→「IP Address(es)」でぷららのメールサーバーのIPアドレスを指定しています。

Description Action Remote Host Direction Protocol Remote Local
メール送受信許可 Allow (Host IP) Outgoing TCP 25,110 1024-4999


■ルール6「LSA遮断」

外部から接続要求を受け取ることになるLSAもブロックする設定にしておいた方が良いでしょう。なお、LSAは「C\winnt\system32\lsass.exe」に格納されています。

Description Action Remote Host Direction Protocol Remote Local
LSA遮断 Block All Incoming TCP * *


■ルール7「ICMP遮断」

外部からのPing応答に反応させないためにも、ICMPは遮断しておく必要があります。ただし、外部からのPing応答は遮断しても良いが、外部へPingを使う場合は「Allow」のルールを設定しておく必要があります(ICMPとは?)。参考までに以下に「Message Type」の代表的な意味について掲載しておきますので参考にしてください。

Description Action Remote Host Direction Protocol Message Type
ICMP送信許可 Allow All Outgoing ICMP 8
ICMP受信許可 Allow All Incoming ICMP 0,3,11
ICMP送信遮断 Block All Outgoing ICMP 0,3,11
ICMP受信遮断 Block All Incoming ICMP 8


◎Message Typeの意味
#defineされている文字 コード 意味
ICMP_ECHOREPLY 0 エコー応答
ICMP_UNREACH 3 終点到達不能
ICMP_SOURCEQUENCH 4 始点抑制
ICMP_REDIRECT 5 リダイレクト
ICMP_ECHO 8 エコー要求
ICMP_TIMXCEED 11 時間超過
ICMP_PARAMPROB 12 パラメータエラー



 
Copyrights©KORO 2002-08 All Rights Reserved.Since 02/08/15 | サイトのプライバシーポリシー