サーバー構築 セキュリティ TCP/IP基礎 TIPS 書籍 ブログ

Web全体 サイト内検索

 セキュリティ予備知識
セキュリティの必要性
攻撃のパターン
トロイの木馬の種類と仕組み
 ファイアーウォール導入編
ファイアーウォールとは?
セキュリティポリシーの策定
パケットフィルタリングとその凡例
Zone Alarmのインストール
Zone Alarmの設定
SygatePersonal Firewallのインストール
SygatePersonal Firewallの設定
SPF 「Advanced Rules」の設定
 セキュリティ強化実践編
NetBIOS over TCP/IPを無効にする
ブラウザのセキュリティ対策
Microsoft Outlookのセキュリティ強化
Spybotによるスパイウェアの駆除
スパイウェアの駆除(文献古いです)
プロキシ(代理)サーバーを利用する
トロイの木馬の駆除
診断サービスを利用する
 ウィルス対策編
ウィルスの基礎知識
 最新ウィルス情報
IPAセキュリティセンター
Symantec Security Response
Trend Micro
McAfee
 セキュリティ診断 関連サイト
PC Flank
Sygate Online Services
Symantec Security Check
Shields Up!!
パーソナルセキュリティ研究所
 FIREWALL DOWNLORD
Zone Alarm
Zone Alarm(日本語化)
ZoneLog Analyser
Sygate Personal Firewall
Agnitum Outpost Firewall
Tiny Personal Firewall
Tiny Personal Firewall(日本語化)
Norton Personal Firewall(体験版)
Kerio Personal Firewall
BlackICE Defender
At Guard
 関連 DOWNLORD
Ad-Aware
Ad-Aware(定義アップデート)
Spybot -S&D
The Proxomitron(日本語サイト)
AVG Anti-Virus
 




それでは、実際にSygate Personal Firewallの設定を解説していきます。まだ、インストール作業が済んでいない方は「Sygate Personal Firewallのインストール」を参考にしてください。




■インターフェイスの説明

Sygate Personal Firewallを起動すると以下のような画面が表示されていると思います。ここでは、主に送信トラフィック、受信トラフィック、攻撃の履歴といったパラメータが表示されています。ここでは特に説明はいらないとおもいますが、重要な項目といえば「Running Applications」の項目です。この枠の中には現在、使用しているアプリケーションが表示されており、「NT Kernel & System」「Service and Controller app」などはWindowsのサービスとして機能しているアプリケーションです。もし、このようなWindowsサービスを表示させたくない場合は「Hide Windows Services」のチェックボックスにチェックをつけてください。




■基本的な使用方法

Sygate Personal Firewallは普通に使う分でも十分にファイアーウォールとしての機能を果たしているのですが、しかし、デフォルトのままではわざわざ、このソフトを選択する必要はありません。他にもっともっと使いやすいソフトがあるのでそちらを利用した方がよいと思います。Sygate Personal Firewall、というよりもセキュリティの基本的な概念は「全ての通信を遮断し、必要なものだけ通す」というものです。ZoneAlarmと違う点は、その必要なものだけ通す場合に、特定のアプリケーションごとにポート番号、あるいはプロトコル別に通信の可否の設定をすることができるので、より細かな設定を行うことができる点です。このあたりは、アプリケーションごとにどのポート番号を指定すればいいのかとった知識が必要になりますし、またプロトコルについてもある程度理解していなくてはなりません。そういった意味で、自分のネットワーク知識を高めたいという人には一役かってくれるソフトですが、そうでなく単純にセキュリティを高めたいと思っている方にはおそらく適していないでしょう。

では、実際に解説に入るのですが、すでにインターネットに接続して、ソフトを起動している方はわかっていると思いますが、ちょくちょく以下のような画面が現れてきますよね。これは、「Internet Explorerが外部へ接続しようとしています。あなたはネットワークへのこのプログラムのアクセスを許可しますか?」と尋ねています。この場合は、「Yes」を選択しないとインターネットには接続できなくなります。ここで、「No」を選択した場合は、結果的にSygate Personal FirewallがInternet Explorerのインターネットアクセスをブロック(遮断)することになります。このように、インターネットに接続しないと使用することができないネットワークアプリケーションに関しては通信の可否のルールを設定していかなければなりません。逆にいえば、一度アプリケーションルールさえ設定してしまえばあとはほとんどいじることがなく、強固なセキュリティを常に享受することができるようになります。



このアプリケーションごとの通信を可否する設定は、上記のようなダイアログだけではなく、「Running Applications」や「Tool」→「Applications」でも再度、設定を行うことができます。設定方法は「Allw」(許可する)、「Ask」(尋ねる)、「Block」(拒否する)の3つから選択することができます。もし、「Running Applications」で、自分が見たこともないプログラムが起動していた場合は、安全のため、「Block」しておくことをお勧めします。なお、ウィンドウズのサービスとして起動しているものは、許可してもよいものもありますが、特に問題がない限りはシステムプログラムは拒否しておいても良いでしょう。もし、拒否設定をして、ある特定のプログラムが動作しないようならば許可するようにすればいいわけですから。

なお、以下の図を見ると「Internet Explorer」を「Block」の設定にしてあるので不思議に思う方もいると思いますが、これはSygate Personal Firewallのコア部分とも言える機能で「Advanced Rules」の設定を行っているためです。「Advanced Rules」に関しては後述してありますので、ここでは特に気にする必要はありません。



許可してよいプログラム
Generic Host Process for Win32 Services
Services and Controller app
EnterNet(NTT提供のフレッツ接続ツールを使用の場合)



「Tools」→「Applications」で表示される画面。今までに起動したことのあるプログラムの全てがこのウィンドウに登録されるようになっています。チェックボックスのチェックを何回かクリックすると「Allow」「Block」「Ask」の3段階で切り替えられます。現在、起動していないプログラムの通信可否の設定を行う際にはこのウィンドウを活用すると良いでしょう。





■ログを活用する

Sygate Personal Firewallはログ機能が非常に充実しています。このログ機能を見ているだけでもかなり勉強になるので是非、活用してください。ログの出力には「Security Log」「System Log」「Traffic Log」「Packet Log」の4つの形式が用意されています。以下にそれぞれのログ出力形式を解説していきます。なお、ログは「Tools」→「Logs」→・・・で、開きたいログを選択すれば開くことができます。

■セキュリティログ

セキュリティログは自分のコンピュータに対して潜在的に危険のある攻撃(例えば、ポートスキャン、DoS攻撃など)を受けた際に表示されるもので、Sygate Personal Firewallのログの中でも特に重要な役割を果たすログです。以下の図がセキュリティログの画面ですが、上のウィンドウが実際にどのような攻撃を誰から、どのポートに、どのプロトコルを狙ったものなのかとかいった詳細な情報が表示される画面です。そして、下にある2つのウィンドウは選択した攻撃に対してのより詳細な情報が表示されます(例:Somebody is scanning your computer.)。

ここで、まだSygateをインストールしたばっかりだから何も表示されてない方は、セキュリティ診断サービスを利用してポートスキャンしてもらえば、このセキュリティログに攻撃と見なされて、表示されるようになるので試してみてください。セキュリティ診断サービスについてよくわからないという方は「診断サービスを利用する」を参照してください。因みに以下の図に表示されているログは「Shields Up!」でポートスキャンをしてもらった時のものです。



では、ここで実際にログの意味について説明していきましょう。

◎セキュリティログの見方

※下表は、ポートスキャンを受けた例です。時と場合によって解説の意味が異なることがありますのでご注意ください。あくまで一例です。
項目名 表示例 解説
Time 07/01/2002 01:27:45 文字通り、ログに出力した時間です。
Security Type Port Scan クラッキング(攻撃)のタイプ。例:ポートスキャン、DoS攻撃、トロイの木馬
Severity Minor 危険レベル。「Critical」(危険度大)、「Major」(危険度中)、「Minor」(危険度小)の3つに分けられます。なお、このログに表示されている一番左のアイコンを見ても判断することができます。

 アイコンの意味
Critical 危険度大
Major 危険度中
Minor 危険度小

Direction
Incoming 攻撃を受けた場合(WAN→LAN)、第3者が侵入を試みようとした場合は、「Incoming」です。逆に、自分のコンピュータから特定のプログラムが外部へ接続を確立した(しようとした)場合は、「Outgoing」です。

Protocol
TCP 攻撃を試みようとする際に使用されるプロトコル。例:TCP、UDP、ICMP
Destination Host
218.47.155.XXX これは、LAN側からWAN側へとプログラムが接続しようとした際に、どのアプリケーションが関わっているのかが表示されます(例:C:\Program Files\Internet Explorer\IEXPLORE.EXE 4)。ここでは攻撃を受けた例なので、何も表示されません。

Source IP
207.71.92.XXX 攻撃を仕掛けてきた側のIPアドレスを表しています。
Application Involved
  これは、LAN側からWAN側へとプログラムが接続しようとした際に表示されます。ここでは攻撃を受けた例なので、何も表示されません。

Count
3 攻撃を受けた回数
Begin Time
07/01/2002 01:27:40 攻撃を始めた時間
End Time 07/01/2002 01:27:40 攻撃を終えた時間


■BackTrace機能


実は、このログ機能には「BackTrace」という非常に便利な機能が実装されています。この「BackTrace」機能を使用すると、その攻撃元を追跡することができるようになり、さらにWhoisデータベースを使用して、犯人を特定するための手がかりを得ることができます。「BackTrace」は、ログを右クリックして「BackTrace」をクリックするか、ログを選択して「Action」→「BacTrace」をクリックして使用することができます。つまり、ネットワークコマンドで言うところの「TRACERTコマンド」と同様のことを実現しています。なお、ログが多すぎて見にくいといった場合に、「Filtering」メニューを利用することで、1日別、2日前、3日前、1週間前、2週間前、1ヵ月前、全てのログと7段階で表示方法を変えることができます。




「BackTrace」処理中の画面です。




「Whois」をクリックするとより詳細な情報を得ることができます。




■トラフィックログ

トラフィックログは自分のコンピュータから特定のプログラムがWAN側へと接続しようとする場合と、WAN側から自分のコンピュータへ接続を試みようとする場合の全てのパケット情報を記録します。例えば、ブラウザであるWebページを見るだけでも記録されますし、第3者が自分のコンピュータにアクセスを試みた場合でも記録されるようになります。ここで表示されるログに関しては、ただ単に通信トラフィックを記録するだけで危険度はないということを表しています。ただし、特定のIPアドレスの人をブロック(遮断)したい場合や、特定のアプリケーションが外部に接続しないようにちゃんとブロックされているのかといった情報はまさに、トラフィックログに記録されるようになります。また、セキュリティログ同様に「BackTrace」機能を使用することができます。

トラフィックログでもアイコンが表示され、それぞれに意味があるので、きちんと理解しておきましょう。

 アイコンの意味
Incoming ファイアーウォール透過(許可)
Incoming ファイアーウォール非透過(拒否)
Outgoing ファイアーウォール透過(許可)
Outgoing ファイアーウォール非透過(拒否)
方向が不明 ファイアーウォール透過(許可)
方向が不明 ファイアーウォール非透過(拒否)

◎トラフィックログの見方
※トラフィックログでは外部から内部への接続と、内部から外部への接続の両方ともログに記録します。下表の例は、内部から外部へアクセスした例(ブラウザを使用して特定のサイトを閲覧した例であって)、外部から内部へのアクセスがあった場合は、解説の意味を逆に捉えるようにしてください。下表はあくまで一例です。
項目名 表示例 解説
Time 07/01/2002 03:14:20
文字通り、ログに出力した時間です。
Action Allowed Sygate Personal Firewallが取った処置。例:「Blocked」もしくは、「Allowed」
Protocol TCP プロトコルの種類。例:TCP、UDP、ICMP
Direction
Outgoing 外部からのアクセスがあった場合は場合(WAN→LAN)は、「Incoming」です。逆に、自分のコンピュータから特定のプログラムが外部へ接続を確立した(しようとした)場合(LAN→WAN)は、「Outgoing」です。

Destination Host
210.157.154.XXX 目的のホスト名。ここでは、相手のコンピュータのホスト名、もしくはIPアドレスを表示します(つまり、ここでは宛先IPアドレスのことです)。

Destination Port/ICMP Type 80 目的のポートナンバー、もしくはICMP。相手のコンピュータのどのポート番号を使用しているのかが表示されます(つまり、ここでは宛先ポート番号のことです)。

Source IP
218.47.155.XXX 通信元のIPアドレス。ここでは、自分のIPアドレスが表示されています(つまり、ここでは送信元IPアドレスのことです)。

Source Port/ICMP Type
2190 ここでは、自分が使用しているポート番号を表示しています(つまり、ここでは送信元ポート番号を表しています)。

Application Involved
C:\Program Files\Internet Explorer\IEXPLORE
.EXE 1
これは、LAN側からWAN側へとプログラムが接続しようとした際に、どのアプリケーションが関わっているのかが表示されます。ここではWebページを閲覧した例なのでInternet Explorergが表示されています。

Count
1 イベントの回数。訪れた回数ではなく、ダウンロードしたファイルの総数を表しています。画像等が多いサイトはここのカウント数に、何十回とカウントされるようになります。「確認くん」ではHTMLファイルひとつのみダウンロードしているので「1」とカウントされています(自信はありませんが、カウント数から判断したところ、当たらずとも遠からずといったところです。)

Begin Time
07/01/2002 03:12:48 イベントを始めた時間
End Time 07/01/2002 03:13:15 イベントを終えた時間
Rule Name
GUI%GUICONFIG#SRULE
@ADVRULECONFIG#Norm
al_105
通信を許可するか、それとも拒否するかのルール設定名。もし、仮に特定のアプリケーションを遮断する設定にしていた場合には「Block_All」と表示されます。また、Sygate Personal Firewall を初期設定のまま使用していた場合は、「Ask all running apps」と表示されます。「Advanced Rules」で細かく設定している場合は左記のように表示されます。(しかしながら、ここも自信はないのでもう少し検証してみる必要がありそうです・・・)。

※この表の説明に関してだいたいは合っていると思いますが、細かい部分で間違っている可能性があるので気づいた方はご指摘お願いします。


■パケットログ、システムログ

なお、この他にもパケットログとシステムログが用意されていますが、ここでは敢えて解説を割愛させていただきます。ここで、興味深いのはパケットログでネットワークの稼動状況をキャプチャリングできるので是非、活用したいところです。けれど、もっと詳しくキャプチャリングしたいという方は「tcpdump」(フリー)や「Ethereal」(フリー)、日本語では「PacMon」(シェアウェア)、「network Sniffer VIGIL」(フリー)などを活用したほうが勉強になるし、より詳細な情報も表示してくれるので便利です。ただし、これらのキャプチャリングソフトを活用すると見てはいけないものまで間違って見てしまう恐れもあるので使用する際にはくれぐれも悪用しないようにしましょう。



 

Copyrights©KORO 2002-08 All Rights Reserved.Since 02/08/15 | サイトのプライバシーポリシー