 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| Home > Firewall製品紹介 > Kaspersky Anti Hacker | |||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| Home > Firewall製品紹介 > Kaspersky Anti Hacker | |||||
ロシアはモスクワから届けられたAnti Hackerツール(Personal Firewall)を紹介しよう。Kasperskyは日本ではあまりなじみが無いが、Anti-Virusの世界では有名で、その検出エンジンはF-Secure、Aladdin、Deerfield、Microworldなど各社で利用されている優れたセキュリティ会社である。
2004年に日本法人が設立されているが、Anti-Hackerの日本語版および日本語お試し版はまだリリースされていない。
Downloadはhttp://www.kaspersky.com/trials?chapter=146482218から行う。
最低限の動作スペックは最近のFirewallにしては低くなっている。旧型PCでも動作可能ということ
実際に試したのはXP(SP2)でCPU:1.4GHz メモリー:384MBと1世代前のPCだが、テスト中に重いと感じることはなかった。
さっそくAnti-Hackerを起動する。
画面構成は非常にシンプルで好感が持てる。
中央にある5段階のセキュリティレベルは
「Block all」:すべて遮断(緊急停止モード)
「High」:許可済みのルール以外は遮断
「Medium」:通常使用モード
「Low」:遮断ルール以外は全て許可
「Allow all」:全て許可
である。
右下の「Stealth mode」は外部からの接続に対して隠蔽を行う(ステルス)モードでHigh〜lowで設定が可能。通常はStealth
modeは有効にする。
5段階のセキュリティモードのうち、「Block all」と「Allow all」を除いた3段階を整理しておこう。
| 許可設定ルール | 遮断設定ルール | 設定済みルール以外 | 用途 | |
| High | 許可する | 遮断 | 遮断 | 全てのアプリケーションを設定後にHighにする。以降未設定アプリケーションは遮断される |
| Medium | 許可する | 遮断 | ダイアログ表示 | 使用を開始したときはMediumで使い、学習モードでルールを作成していく |
| Low | 許可する | 遮断 | 許可 | ネットワーク監視など特殊なアプリケーションを使用するときに使うモード |
インストール直後には既にデフォルトのルールが作成されている。IEやシステム系のアプリケーションは登録済みなので、これらはMediumで使用していてもダイアログが出てこない。
さっそくルールを作っていこう
最初はアプリケーションを起動したときに表示されるダイアログから。ここではIEのルールを一度削除して、あらためて登録している。
・問い合わせダイアログにルール作成
未設定のアプリケーションは左図のようなダイアログが表示される。
3種類のアクションが設定可能で、上から順に
「リストの設定で許可ルールを作成する」
「遮断ルールを作成する」
「カスタムルールを設定する」
である。
下にあるボタンは左から
「今回だけ許可」
「今回だけ遮断」
「設定する」
になっている。
通常は「リストの設定で許可ルールを作成する」か「遮断ルールを作成する」を選択することになるだろう。アイコンの右下にある「Click on this link for details」をクリックするとアプリケーションの詳細情報(接続先アドレス、ポート番号、プロセスIDや製造者の情報など)が表示される。
Kapersky Anti-Hackerはあらかじめ上記の様に「アプリケーションの種類」が設定されている。Web
browserを選択すればhttp、httpsが許可となる。同様にFTPやMailクライアントやチャットツールなどが登録されているので、該当するアプリケーションタイプを選択すればよい。
アプリケーションタイプの内容はその他の情報(アプリケーションタイプの設定内容)を参照のこと
・通常のルール作成
学習モード(ダイアログの表示)を使わずにルールを設定していく方法について説明する。
最初にメニューの「Service」→「Application rules」を選んでルールの一覧表示画面から。
現在登録されているアプリケーションの一覧と右側にボタンが表示されている。
右側のボタンは上から順に
「新規アプリケーションルールの作成」
「登録済みアプリケーションルールの変更」
「登録済みアプリケーションルールの削除」
「ルール判定順序の移動(優先度を上げる)」
「ルール判定順序の移動(優先度を下げる)」
である。
優先度の上下移動があることから、アプリケーションルールは表示されている上から順に判定されることが分かる。
左図で分かるようにLSAやKernelなどのシステム系コンポーネントが許可されている。これらはデフォルトで用意されているので初回起動時からダイアログが頻繁に出て追加しないとシステムが動かないという現象は無い。
リストの左端にあるチェックボックスは「ルールの有効/無効」の設定である。
アプリケーションルールのModify(変更)を行ってAnti-Hackerのルール内容を見ることにする。ここではIEのルールを変更している。新規作成でも画面は同じで、順に設定していくか既存を変更するかの違いだけ。
アプリケーションルールの最初は
「Action」:Allowルール、Blockルール、カスタムルールから選択する(新規作成時の既定値はallows)。
「アプリケーション名」:IEXPLORE.EXEをクリックしてルールを設定するアプリケーションを選択する(新規作成時の既定値はSpecify
the application name)。
次にWeb Browserタイプになっているアプリケーションタイプを変更する(新規作成時の既定値はAllow
all)。
これだけでアプリケーションルールの作成が終わる。
新規作成でも登録が必要なのは、上記の3つだけである。
アプリケーションタイプの設定は一覧から選択する。
Allow allでは全てのポートでの通信が可能になる。
それ以外はプログラムの種類によって選択すればよい。
繰り返しになるが、アプリケーションタイプの内容はその他の情報(アプリケーションタイプの設定内容)を参照のこと
これで通常のルール作成は終わり。とても簡単だ。
通常のルール作成をまとめると
この3点を設定するだけでアプリケーションルール(アプリケーション名と使用するプロトコルやポートの設定)が完了する。初心者が必要となる知識はブラウザ・FTP・メールクライアントなどのアプリケーションタイプだけだろう。
| 余談だが Outpostのインターフェイスと非常に似ている。同じロシア系ということでOEMか技術者の交流があったのだろうか? |
・カスタムルール
通常のアプリケーションは通常のルール作成で充分だが、該当するアプリケーションタイプが無いときさらに詳細なルールを作成するときには「カスタムルール」でルール作成を行う。ただしカスタムルールは上級者向けなのでFirewallのルールに精通していないと設定は難しい。
通常ルールの作成画面で「Customize the rule」を選択する。
これでカスタムルールの作成が開始される。
次にRule Discriptionで「allows」、「Specify the application name」と「to
establishi connections」の3箇所を設定する。
「allows」のところは「Allow」か「Block」を選択する。これは通常ルールと同じでリンク(下線部)をクリックすると選択ダイアログが表示される。
| Allow | 許可ルールを設定する |
| Block | 遮断ルールを設定する |
次に「Specify the application name」で該当するアプリケーションをダイアログから選択する。
次が選択したアプリケーションのタイプを指定する。
| Eatablishing network connection〜 | 自PCのクライアントアプリケーション(IEなど)の設定 | to establishi connections |
| Receiving an incoming network connection〜 | 自PCでサーバとして外部PCからの接続を受け付けるアプリケーションの設定 | to accept incoming connections |
「Establishing〜」がOutgoingの設定と戻ってくるレスポンスを自動許可(ステートフル)であり、「Receiving〜」がIncomingの設定と出て行くレスポンスの自動許可(ステートフル)となる。
次にプロトコルの設定
Protocolでは「通常ルール」をさらに細分化したプロトコルの一覧が表示される。代表的なものだけでも
・HTTP
・SMTP
・POP3
・IMAP4
・NNTP
・DNS
・WHOIS
・Daytime
とその他を示す「Other TCP based protocol」と「Other UDP based protocol」がある。
今回はIEのルールをカスタムルールで変更するので「http」と「https」を選択すればよいのだが、2つは選択できないので「Other TCP based protocol」を選ぶことにする(これは筆者の趣味によるもので、通常ならこんな設定しなくても通常のルールでWeb Browserを選択するれば良い)。
Propertiesでは
「Remote address」:相手先のアドレス
「Remote port」:相手先のポート番号
「Local port」:自PCのポート
を設定する。設定したい項目にチェックを入れる。
設定内容が「Rule description」に表示される。アンダーラインがついている項目は編集可能な項目
IEの設定なのでリモートポートにhttpとhttpsの設定を行ってみる
リモートポートにチェックを入れて、Rule descriptionの「specify the port」をクリックする。
ポートの指定方法は
「Specify the port number」:一覧からポート番号を選択する
「Specify the port range」:ポート番号の範囲を指定する
である。
httpとhttpsを指定したいので一覧から[HTTP(80)]を選択する。
httpsとProxyのポートも設定したいので、ポート番号の追加を行う。追加は「Ctrl」キーを押しながらRemote
port:HTTP(80)の下線部をクリックする。すると下図の画面が表示されるので、「Add」をクリックすると追加するポート番号の指定が可能になる。
追加を行うときに「Ctrl」キーを押しながらクリックするのは他の項目でも同じ。
IE用にhttpとhttpsと8080ポートを設定したところ。
これでIEのリモートポートの設定は終わり。
Rule discriptionを見るとremote portにhttp,httpsと8080がちゃんと設定されている。
相手先アドレス指定の「Remote address」は単一のIPアドレスかURL(http://www.yahoo.comのような指定)とIP範囲(From〜To)とサブネットでの指定が可能。
「Local port」はRemote portと同じ設定画面なので省略する。
プロトコルの設定が終われば、後はログや警告の設定
Additional actionは
「Log event」:ルールに一致したときログに出力する
「Display warning」:ルールに一致したとき警告を表示する
である。
IEなどのクライアントでは両方とも不要。
トロイの木馬などの遮断ルールを作ったときなどはログ出力か警告表示にチェックを入れるとよい
「Display warning」にチェックを入れると、ルール一致時に左図のようなダイアログが表示される。
「user defined rule」をクリックすると該当するルールが表示される。
「Donot show this warning」チェックを入れると以降表示されなくなる。
以上でアプリケーションのルール設定は終わり。
Anti-Hackerの特徴はアプリケーションに依存しないパケットフィルタがアプリケーションルールとは別に作成できること。
画面表示はアプリケーションフィルタと同じ。
DNSやNBT系の定義のほかにkerberosやLDAPなどがあらかじめ定義されているのが分かる。
ちゃんとデフォルトでNBTはローカルのサブネットからだけ接続可能なように設定されている。
パケットフィルタルールも既存のDNSのルールを参考にしながら機能をみていこう
DNSのルールではUDPでRemote Portが53の指定になっている。
Propertiesに全てチェックを入れて指定方法を見ることにする。
Protocolで選択可能なのは
・TCP
・UDP
・ICMP
・Other IP Protocols
である。
下表にそれぞれ指定可能な項目の一覧を示す。
| TCP | UDP | ICMP | Other | 説明 | |
| Packet Type | ○ | ○ | ○ | ○ | 方向(Incoming,Outgoing)を指定する |
| Protocol | ○ | プロトコルの種類を指定する | |||
| Remote address | ○ | ○ | ○ | ○ | 相手先アドレスを指定する |
| Remote port | ○ | ○ | 相手先ポート番号を指定する | ||
| Local address | ○ | ○ | ○ | ○ | 自PCのアドレスを指定する |
| Local port | ○ | ○ | 自PCのポート番号を指定する | ||
| ICMP message type | ○ | ICMPのメッセージタイプを指定する |
Protocol typeは複数指定できなかった(当然だが)
設定の方法はアプリケーションルールのカスタムルールと同じだ。非常に柔軟な設定が可能なのがお分かりいただけるだろう。
ログは3種類用意されている
| Security | アタックレポート(IDS機能)のログ |
| Application activity | アプリケーションのルールでログ出力を選択したときのログ |
| Packet filtering | パケットフィルタのルールでログ出力を選択したときのログ |
・Securityログ
ポートスキャナで攻撃してみたのだが、ローカルサブネットからの攻撃だったのか、筆者のテスト環境ではSecurityログを出すことができなかった。このため左図はKasperskyのPDFから借用している。
日付時間とともにアタックの内容が出力される。右クリックで「新規ルールの作成」も可能。
・Application activity
アプリケーションルールでログ出力指定を行うと出力される。
日付時間とアプリケーションごとの接続先のアドレスとポート番号など。右クリックで「新規ルールの作成」も可能。
・Packet filtering
パケットフィルタルールでログ出力指定したときに出力されるログ。
日付時間とルールごとの接続先のアドレスとポート番号など。右クリックで「新規ルールの作成」も可能。
ステータス表示も3種類。SygateやKerio4の状態表示と同じものがメニューから選択するようになっただけの機能。
| Active applications | アクティブなアプリケーションの一覧 |
| Established connections | 接続中のアプリケーションと接続先の一覧 |
| Open ports | ポートを開いているアプリケーションの一覧 |
・Active applications
アクティブ(動作中)のアプリケーションの一覧。
ポートを使用しているときにはポート番号があわせて表示される。
この一覧から右クリックで「新規ルールの作成」、「コネクションの強制切断」と「アプリケーションの詳細情報の表示」が可能。
・Established connections
接続中のアプリケーションと接続先の一覧。
接続先はURLとポート番号が表示される。
この一覧から右クリックで「新規ルールの作成」、「コネクションの強制切断」と「アプリケーションの詳細情報の表示」が可能。
・Open ports
ポートを開いているアプリケーションの一覧。
たとえばトロイの木馬が待機中なら、この表示に現れる。
この一覧から右クリックで「新規ルールの作成」と「アプリケーションの詳細情報の表示」が可能。
やっぱりコネクションの状態はメイン画面起動時に直ぐに判るSygateやKerio4など他の製品のほうが見やすく感じる。
オプションの設定は3つに分かれている
| 基本の設定 | Anti-Hackerの起動や表示に関する設定 |
| IDSの設定 | IDSの基本設定とIDSのルールに関する設定 |
| ログの設定 | ログの基本設定 |
・基本の設定
基本の設定での設定は下記の3つ。
「Windows起動時にセキュリティシステムを起動する」
「プログラムを閉じたときシステムトレイにアイコンを表示」
「侵入を検知したときメイン画面に表示する」
セキュリティシステムとはAnti-Hackerのドライバのことを指すらしい。マニュアルを見るとOS起動時にサービスとして起動するにはチェックを入れる。チェックを入れないとユーザログイン時に起動するらしい。
この設定はセキュリティレベルとルールの設定内容に関係してくる。たとえばルールでDHCPを無効にした状態でサービスで起動するとIPアドレスが割り当てられないということもありうる。
・IDSの設定
IDS機能の設定はここにあった。
「IDS機能を有効にする」
「侵入を検知したアドレスをブロックする時間(分)」
と各IDSルールの詳細設定である。
各IDSルールの有効/無効と判定時間などが設定できる
IDSで定義されているルールを下表に示す
| The Ping of death | 64Kを越えるICMPの受信 |
| The Land attack | 送信元IPと相手先IPが同じアドレスになったパケットの受信 |
| The Scanning TCP ports | TCPを使ったポートスキャン |
| The Scanning UDP ports | UDPを使ったポートスキャン |
| The SYN Flood | SYNパケットの連続送信攻撃。相手先のアドレスとコネクション数と時間で判定する |
| The UDP Flood | UDPパケットの連続送信攻撃。Incomingパケット数と時間で判定する |
| The ICMP Flood | ICMPパケットの連続送信攻撃。Incomingパケット数と時間で判定する |
| The Helkern | 「Slammer」として流行した攻撃。特殊なUDPパケットを送信してVirusを実行する |
| The SmbDie | SMBのバッファオバーフローを利用した攻撃 |
| The Lovesan | 「Sasser」として流行した攻撃。DCOM RPCを利用して攻撃する |
IDSルールの定義や検出能力については不明。Kerio4のIDSはルールの定義がSnort互換なので、変更や削除がテキストエディタでルールファイルを編集することで可能だが、この製品は設定変更のみ。
このあたりは、上級者への懐の深さを示すKerio4と初心者をターゲットとするKasperskyの志向の違いだろう。
・ログの設定
最後はログの設定。
「プログラムスタート時にログをクリアする」
「ログサイズの指定」
である。
プログラム起動時にログをクリアする設定は疑問が残る。
・アプリケーションタイプの設定内容
| Web browser | IE、Netscape、OperaやFirefoxなどのブラウザの設定 | HTTP, HTTPS, FTP | Proxy可 |
| File transferring | RegetやGozillaなどのファイルDownloadツールの設定 | HTTP, HTTPS, FTP, TFTP | Proxy可 |
| MS Outlook、MS Outlook Express等のメールクライアントの設定 | SMTP, NNTP, POP3, IMAP4 | ||
| News | Forte Agentなどのニュースリーダの設定 | SMTP, NNTP | |
| Instant messaging | ICQやAIMなどのチャットツールの設定 | 他のPCとの直接接続 | Proxy可 |
| Internet Rely Chat | mIRCなどのリレーチャットの設定 | IRCサーバへの接続とユーザー承認 | |
| Business Conferences | MS NetMeetingなどのコミュニケーションツールの設定 | HTTP, HTTPS, LDAP(LAN内) | Proxy可 |
| Remote Management | Telnetなどのリモートメンテツールの設定 | Telnet, SSH | |
| Time Synchronization | Timehookなどの同期時刻ツールの設定 | time, daytime |
Trial版の試用期間は1ヶ月です。試用後、引き続いてご利用いただくためにはライセンスの購入が必要になります。
下記のボタンからライセンスの購入画面へ移動してください。複数ユーザ分をまとめて購入いただくとお得です。(なぜか3ユーザより2ユーザのほうが安い)
| 注意 当サイトからご購入いただいた製品はkaspersky.comのオンライン販売でご購入いただいた英語正規版購入のユーザと同じ扱いになり、日本法人でのサポートが受けられない可能性があります。ご了承ください。 |
| 1user(1年間のUpdateライセンス) | 32.5ドル(3,500円くらい) |  |
| 2user(1年間のUpdateライセンス) | 56.88ドル(6,200円くらい) | |
| 3user(1年間のUpdateライセンス) | 86.13ドル(9,400円くらい) | |
| 4user(1年間のUpdateライセンス) | 108.89ドル(11,900円くらい) | |
Kaspersky Anti-Hackerは単体での販売以外に、Anti-Virus + Anti-Hacker + Anti-Spamの3製品がセットになった「Kaspersky Personal Security Suite」があります。
| Personal Security Suite 1User | 79.95ドル(8,750円くらい) | |