 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
Signal9
ConSeal PC Firewall for Windows95/98/NT
いよいよ本格的なFirewallを見てみよう。 これまでのToolはEasy InstallとEasy Configでプロトコルやポートをあまり意識しないものであったが、このConSeal PC Firewallはルール定義というセキュリティポリシーを明確にして定義をしないと思ったとおりの動作をしなくなる可能性がある。 ではさっそく入手とインストールから・・・ お試しバージョンはここ から入手が可能である。価格はUS$で50ドル弱と個人用としては妥当な値段かとおもう。
・インストール
 |
インストールする形態を一つ選ぶ Basic:インターネットにアクセスを許可する。ICMPはブロックする(推奨) Cable:ADSLなどの常時接続のとき Update:モジュールをアップデートするときに選ぶ。以前に設定したルールは残してセットアップを行う。 None:何も許可しない。高度なセットアップが必要 普通にダイヤルアップで使用するなら「Basic」でいいだろう。もしCATVやOCNエコノミー等で接続しているのなら「Cable」を選べばよいし、前からConseal PC Firewallを使用していて、新しくUpdateされたバージョンをインストールするなら「Update」を選ぶ。 |
ちなみにWindowsNTではプロトコル(ConSeal
PC FIREWALL Driver)の追加が必要になる。これはネットワークコンピュータのプロパティか、コントロールパネルのネットワークから追加する。またプログラムはConSealPC
Firewallというサービスとして登録される。したがって起動、終了はコントロールパネルのサービスで行なわないといけない。めんどくさかったら起動と終了を行うNet
Start ConSealPC Firewallっていうようなバッチファイルを2つ作るしかないかな?
起動
 |
起動するとこんな画面が表示される。 ここにインターネットにアクセスしたり、不正アクセスがあったときに情報が表示される。つまりログがどんどん表示されていく。別にログをじっと見ている必要はないので、最小化しておいてもかまわない。不正アクセスのログがどんどん溜まっていくのは見ていて楽しいものではあるが・・・ |
インストールしたまま設定を変更していないときには許可、拒否のログもすべて表示されるので、どこかのWebのページを見るたびにログが増えていく。当然メールを見に行ったり、LocalでNetBIOSが吐き出すブロードキャストなどさまざまなログが大量に出力される。
ちなみに右上の×ボタンを押して終了させようとするとこんなエラーメッセージが出てくるので、必ず最小化をおすこと。
ルールの設定
 |
ルールを設定する画面。 PersonalなFirewallであるが設定をデフォルトから変更しようとすると結構大変なようである。一応以下に変更の方法を記載するので、根性と勇気のある人はトライして欲しい。 でも、このConSealFirewallには自動でルールを設定してくれる便利な機能があるので、一定のルールが形成されるまでは、この機能を利用するのが普通なのだろうか。操作説明には普通はOFFにしといてねって書いてあったが・・・ |
現在の設定で左上から
・Firewallは起動している(ON)
・ログ出力はOnになっている。(ON)
・自動シャットダウン時に確認画面を表示する。(OFF)
右に行って
・ネットワークデバイス全てに同じルールを適用する。(ON)
・デバイスごとにルールを適用する(OFF)
・常にルールの適用を行う(ON)
・VPNコネクションに対してルールを適用する(OFF:グレーアウト)
・ルールセットの変更にはパスワードが必要(OFF)
・ルールセットの変更時のパスワード(空白)
・ルールセットの変更時のパスワードの確認(空白)
 |
筆者の環境ではNICを複数使用してCATVとLANとに使い分けているのだが、当然2枚のNICではルールの設定が異なる。LAN側ではほとんどのトラフィックを遮断することはないし、CATV側は不正なアクセスは厳重に遮断する必要がある。そんなときにはRuleset Scopeで「Separate Ruleset for Each Device」を選択してNICごとにルール設定を行えるようにする。NICが1枚だけという環境や、ダイヤルアップだけでLANがない環境やRouterが設置してあるのなら「One for All network devices」を選ぶ。Separateにすると上にあるタブが「ALL Network Device」からLANカードの名称に変わっている。RealtekがCATV(Internet)側のNICでMelcoがLAn側のNICになっている。ではルールの内容を見てみよう。筆者は前述のとおりCATV環境なので先にCATV用の設定をLoadしておいた。ルールのLoadは最初の画面で「File」→「Change Ruleset File」でCATV用のCable.fwrを選んだ |
 |
ここではデフォルトで設定されているルールが一覧で表示されている。
左から ・ルール番号 ・内容 ・許可、阻止の設定 ・Inboundに対して有効か ・Outboundに対して有効か ・リモートアドレス ・リモートマスクアドレス ・リモートポート ・ローカルアドレス ・ローカルマスクアドレス ・ローカルポート ・設定が有効となる状態 ・プライオリティ ・属性 |
またルールの自動学習機能の指定できる。 ここでは自動学習機能は「Checked」になっているので、勝手にルールを追加する前に確認が入る。通常の使用ならDefaultのルールかxDSLやCATVならCableのルールで使用していれば問題ないと思う。
ここで設定されているルールを上から順に簡単に説明すると
30 Landアタックを阻止する(Landアタックは過去のアタック方法だがWindows95をアップデートしていないと有効かも?)
15 インターネットへのアクセスを許可する
5 NBTのファイル共有とプリンタ共有のポートへのアクセスを拒否する
31 BOOTPとDHCPの使用を許可する(CATVやxDSLのIPアドレスの割り当てを許可する)
9 DNS(ネームサーバ)へのアクセスを許可する
6 NBTの使用を拒否する。
36 UDPのブロードキャストを拒否する
1 ARPを許可する 許可 InとOut 全てのアドレス
2 Pingその他 許可 InとOut 全てのアドレス
3 ICMP Nukeは拒否する 拒否 InとOut 全てのアドレス
5 WinNukeのファイル共有、プリンタ共有への攻撃を拒否する
拒否 InとOut 全てのアドレス
このルールのセットはデフォルトだが、その他のルールセットも数多くあり、ここにいけばより沢山のルールセットを入手することができる。
このデフォルトの値を整理すると Firewallの下にはWeb,DNS,メールサーバがいて、それらサーバが提供しているサービスへのパケットは通過させる。またNetBIOSはダイヤルアップからは拒否するが、ダイヤルアップ以外は許可する。といった設定となっている。
ちなみに、このルールセットはTxtに出力が可能である。
5番のルールは
| Block WinNuke, fileshares and printshares during dialup | ダイヤルアップ中にファイル・プリンタ共有へのWinNukeのアタックを拒否する |
| Description: This rule blocks access to your hard drive while you have a dialup connection active. The WinNuke attack attempts to connect (to port 139) to make your system crash. The rule is intended to protect people while dialed out to the Internet | ルールの説明。ダイヤルアップ接続中にハードドライブへのアクセスをBlockするルールであるWinNukeは139番のポートを使ってシステムのクラッシュを試みる。うんぬんかんぬん・・・ |
| Details: This rule blocks TCP port 139. It is only active during dialup. To change this, click the Next button below to see the Usage page and change when the rule applies | 細かい説明。TCPの139番ポートをダイヤルアップ中に遮断する。これを変更するには・・・ |
| Service: Fileshares-TCP | TCPのファイル共有 Block in and out InboundとOutboundの両方で有効 |
| Remote Address and Mask: 255.255.255.255 / 0.0.0.0 This is all remote addresses | 相手側のアドレスは全アドレス |
| Remote port range 0-65535 All Ports | そして全てのポート番号 |
| Local Address and Mask: 127.0.0.1 / 255.255.255.255 This local address is 'My Address' | ローカルのアドレスは自分のPCだけ |
| Local port 139 NetBIOS | ポート番号は139番のNetBIOS |
| Priority 100 | 処理プライオリティは100(標準) |
| Applies when dialup is active | ダイヤルアップ中に有効 |
| Options: F - block fragments (takes effect only on allow rules) l - Log Once (log blocked packets, no more than once every 2 seconds) | オプションで分割フレームはブロックする。 何度も攻撃されても2秒以内ならログには1行だけだす(floodに対応するため) |
| UDP rules: Traffic using this protocol that does not match a rule will be blocked | UDPを使ってきてもルールに無いのでBlockされる |
 |
さらに詳細を設定するときにはAdvanceボタンでIPより上の層でのプロトコルごとに設定が可能となる。通常この設定を行うことは少ないと思うが、あたらしいアタックが出てきたときで、現状のルールでは対処できないときに変更が必要となることもあるだろう。 |
 |
ちょうどチェック中に“カモ”がきたので、さっそくサンプルのデータとさせていただいた。 ECHNA-NET(Echna Systems Co.,Ltd.)さん経由の暇な人感謝しますm(__)m うちは8080とか探られてもProxy立ててないので、このように「変なやつが来た」って表示されるだけですので、あきらめてください。 こんな表示が出るのは、ルールで設定していないポートを対象としたアクセスを発見したということである。 |
Firewallはこの不正なアクセスに対してどのように対処するかを質問してきているのだ。
| Allow | 許可する。ただし筆者のPCにはProxyは入っていないので、TCP/IPのレベルで拒否される |
| Allow During this session | このセッションの通過を許可する。つまりパケット単位ではなく、このポートに対する相手との一連の通信を許可する |
| Block | 文字通りこのパケットをFirewallで拒否する |
| Block During this session | このセッションの通過を拒否する。つまりパケット単位ではなく、このポートに対する相手との一連の通信をブロックする |
| Ignore It | このパケットを無視する |
| No new rules | 新しいルールに追加しない |
| Show Details | 詳細を表示する。下のような詳細表示の画面が表示される |
| Explain Risk | 危険性の説明。この不正アクセスがどの程度危険性を持っているのかを表示する |
ルールに追加するかのメッセ-ジが表示された。
ルールの設定(2)
実際にルールをを追加するにはルールを適用するデバイスの選択からはじめる。ここでは「ALL
Network Devices」とすべてのデバイスで共通のルール設定を行うことにする。
 |
「Rule Change Applies to These Devices」と聞いているので、変更しないから「次へ」を押す。 |
「ダイヤルアップネットワーク」と「LANカード」が入っていてルールをそれぞれ分けて設定するなら、ここで適用するデバイスを選択するようになる。
 |
通過か遮蔽するフィルタの設定を行う。簡単な設定から高度な設定まで可能だが、ここではサービスの種類から選択するか、プロトコルから選択するかで、指定できる。 たとえばメールサーバーへのアクセスを通過させるときにはServiceでE-mail(POP3)を選べばよい。 Inbound、Outboundは入ってくるとき出て行くときの指定。 Allowは許可するって意味で、拒否するはBlock、Neitherは他の条件と組み合わせでフィルタリングを行うときに指定する。 あと、内部に接続を試みたときに拒否するとか、分割パケットできたときには拒否するとかの指定がある。 |
ここらへんまでくると、ほんとにプロトコルの知識が必要なので、ちょっと説明も簡単するには難しいかな。
 |
次に対象となる相手と適用する機種の指定を行う。 IPアドレスとマスクの組み合わせ。また相手側のPort番号の指定 さらにLocal側で適用するIPアドレスとマスク、Port番号の指定がある。 127.0.0.1は自PCの内部アドレス?なのでLANカードが複数入っていても、すべてのLANカードに適用されるという意味である。 |
最後に適用する状況を指定する。
常に適用するのか、ダイヤルアップ時だけ適用するのか、何かのAPが動作中だけ適用するのか・・・といろいろ設定が可能となっている
 |
上から ・常に適用 ・ダイヤルアップ中だけ適用 ・xxxにダイヤルアップしたときだけ適用 ・Plinkで繋がっている時だけ適用 ・xxxが実行中のときだけ適用 下はログの出力の指定 |
以上だが、やはり本格的Firewallだけあって設定がややこしい。でもはじめて触るには勉強になるかも。