 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
LockDown Corp.
LockDown2000
LockDown2000はBlackICEと同じようにFirewallという製品ではなく、セキュリティ対策の製品となっている。従ってポート毎のアクセス制限やプロトコルの指定といった設定はないが、インターネットやLANを経由した不正なアクセスやトロイの木馬の動作を未然に防ぐツールとして威力を発揮する。試供版はここから入手できる。では、さっそく設定と動きを見てみよう。
 |
起動させるとこんな画面が表示される。メニューバーの下には6個のボタンが並び、その下のタブは現在の各種状況表示を選べるようになっている。「Main」のタブではLockDownの動作ログが表示され、左下には設定状況表示されている。上から順にトロイの木馬の自動スキャンがActive、ICQ,Nuke,Trojanのプロテクトや追跡の指定がそれぞれOff,Off,On、PCにアクセスしてきた侵入者のトレースがActiveの設定になっている。 あとはinfomationに表示されているログを保存するボタンと、ログをクリアするボタンがある。 |
次にOptionsボタンを押して、各種設定を行ってみよう。
 |
オプションの画面例はほとんどがデフォルトのままなので、必要があれば変更していただきたい。 左上から先ほどのMain画面で表示されるログ(インフォメーション)の再表示間隔が1000ミリ秒。接続先の情報保持件数が100件。PC起動時にLockDownを起動するがOn。誰かがPCに接続してきたときにポップアップして知らせるがOn。IPC$(Windowsの共有)のログがOn.LockDownの終了時に警告を表示するがOn。 右上に行って、新しい接続があったときにサウンドを鳴らせるがOn。接続してきたPCを特定するためのWhoisサーバの名前設定となっている。 |
ここはデフォルトの設定のままでいいように思う。IPC$のログは採ってもいいと思うのでOnにしたほうがいいかな?
LockDownの動作で注意しないといけないことは、Windowsの共有のアクセス時の警告と相手の表示とトロイの木馬のチェックが主な機能であり、インターネット接続時にFTPやHttpで自PCに接続してきた侵入を目的とする相手を防ぐ機能はないということ。つまりポートやプロトコルを指定して自PCのサーバ機能に制限をかけることはできない。
もっと簡単に機能を並べると
・Windowsのシステムの変更をチェックし、トロイの木馬となる不正な操作を防ぐ
・Windowsの共有機能をチェックして不正な接続者や、侵入を阻止する
この2点の機能しかない。というかそれだけあれば充分という思想なのか?
では引き続き設定について・・・
 |
ここでは実行時にコネクションを切るプログラムを指定する。たとえばRegeditやSpeedDiskを実行しているときには他からのアクセスは避けたいといったときに指定すると、指定プログラムを起動したときにプッつりとコネクションが切断される。大きなファイルをCopy中にテストしてみたが、「相手側から切断されました」とのメッセージが出ていたので、ちゃんと機能しているようだ。 もう一つの使い方として、怪しげなソフトをDownloadして初めて実行するときなんかも指定したほうがいいかもしれない。 Disconnect all when〜にすると全てのコネクションが切断される。チェックが入っていないとメニューのViewにあるDisconnectの設定に従う。 あとは繋いだままなんにもしないと何分で切断するか?、最大接続数はいくらにするかの設定がある。 |
次はちょっとだけFirewallらしいIPアドレスでのフィルタリングの設定。
 |
IPフィルタはIPドライバの下位に存在して、IPアドレスでのフィルタリングを行っている。通常のIPフィルタと異なる点は個々のIPアドレスの指定はできない。なぜかサブネット単位での指定になる(テストしたのはクラスCだが)。つまりLANアドレスが192.168.0.0〜192.168.0.255の範囲だとすると、ここで指定できるのは「192.168.0」という形になる。このときIPフィルタを通過できるのは192.168.0.0〜192.168.0.255で、個別に192.168.0.1だけ通過させたいとして「192.168.0.1」と指定してもフィルタとして判断しているのは3オクテット目までで、最後のオクテットは無視される。つまり192.168.1と指定すれば192.168.0.Xのアドレスを持つPCは全てシャットアウトされるのだ。う〜む、これは・・・使い方の意味がわからない?なぞだな。本来は個別で指定したいほうが多いのではないだろうか? |
蛇足だが、左下にあるチェックを入れておかないと、IPフィルタは有効にはならないのでご注意を!
 |
ここではトロイの木馬のコネクション待ちのチェック、ICQのNukeの保護、WinNukeの保護が指定できる。でも、ICQやNukeにチェックをいれると、他のドライバやプログラムが干渉するかもしれないから注意しろ!って警告される。 この機能は簡単に言うと特定のPortをフィルタリングするという機能のようだ。 |
 |
ここではトロイの木馬に対する設定を行う。左上からディスク上の木馬を指紋パターン検索で行う指定。ここではバックグランドで、未知の木馬に対しても45秒間隔でスキャンを行う。ファイルの変更を監視する対象をチェックする。手動でスキャンを行う。の設定がある。ここで553の指紋パターンが登録されていることが分かる。また偶然に指紋パターンが合致したファイルに対してはIgnore(無視)することもできる。 |
常にチェックしているのはRegistryのRUNキー、Win.ini、System.ini、Autoexec.bat、Config.sysである。これに変更が加えられようとすると画面にPOPアップが表示され、変更に対して何もアクションしないか(変更を許可する)?変更を元に戻すか?の選択を行うようになる。ということは変更はすでに済んでいて、それを元に戻すことができるのだ。決して変更前に質問を発しているのではない。よくRegistryの変更を監視していて、変更のアクションをフックして、変更前にPopアップするプログラムを見かけるが、これだと気づかない場合には変更時点でプログラムが止まってしまい、気がついたときにはエラーになっていたりするので、それよりもいいかな?
ちなみにLockDownではWindowsディレクトリもプロテクトしていて、共有かけていてもネットワーク経由では参照できないようになっている。したがってデスクトップなんかに共有したいファイルを置いたりすると参照できないから気をつけないといけない。
Optionsの設定はこれで終わり。あとはWindowsのファイル共有と侵入者の追跡の操作画面である。
 |
これが侵入者の追跡画面。まぁTraceRouteとWhioIsがここでできるよっていうだけなのだが・・・ 侵入者以外でも,IPかホスト名を入れてExcuteボタンを押すと実行できる。さらに保存もできる。うーん、すばらしい・・かな? なお、Windowsの共有にアクセスしたときにもWhoIsサーバーに接続するようで、筆者の環境ではLANからのアクセスでもすぐにダイヤルアップしてInternet上のWhoIsサーバに問い合わせようとしていた。ちょっと迷惑。ただし、設定によって問い合わせを行わないようにもできるので、ご心配なく。 |
つづいてWindowsファイル共有の保護機能についての設定を見てみよう。
 |
ここではWindowsの共有の一覧を見ることができる。それだけ! |
 |
現在のWindows共有のコネクションの状態が表示される。右下にIPアドレスとユーザー名が表示されているが、ちょっと汚く消してある(あまり気にしないでください)。ここでは接続ユーザーを指定してキック(拒否)することもできる。キックリストに登録したり、AutoKickにして、接続してきたら即拒否といった指定も可能だ。 |
ただし、この画面もNTのNETコマンドをツリー形式で表示しているだけのような気がするが、まぁよしとしておこう。
 |
ちなみにキックリストへの追加は下のような画面でできる。ここでは「びる・げいつ」さんからの接続を拒否している。特定のユーザー名+IPアドレスでも指定は可能で、IPアドレスのみの指定、ユーザー名のみの指定もできる。 |
ここに表示されているユーザー名は筆者の家庭内NTドメインでの環境上でのユーザー名なので、WorkGroupなどのネットワークではユーザー名での保護が有効なのかは定かでない。むしろ、現在のような一人1台の環境ならばマシン名(ホスト名)でのフィルタの方がいいのではないかと思う。
 |
ここでは共有にアクセスしてきた履歴が順に表示される。これはNetコマンドでもないから便利ですね。Exit Statusに切断理由が表示されている。ここが「Kicked」になっていれば、蹴られたってことらしい。 |
 |
最後にコネクションを切断するときのアクションの選択画面。プログラム起動時のDisconnectなどで使用する。Disconnectしないか、リスト上のユーザーのみ、接続中のユーザ全員の指定ができる。 |
やはりLockDwonはFirewallではない。トロイの木馬の監視+Windowsファイル共有の管理といったツールだろう。これで$99はちと高いような気がする。いままで評価した中では最高価格なのだ。たしかにWindowsドメインが構成されていて、同僚や同級生などの内部からのクラッキングに脅かされている人にはいいかもしれない。しかし・・・中途半端な感は否めない。