 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > Firewall製品紹介 > Outpost Personal Firewall 1 | |||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > Firewall製品紹介 > Outpost Personal Firewall 1 | |||||
Agnitum
Outpost Personal Firewall 1.0
ついに寒い国からPersonal Firewallがやってきた。しかも個人、ビジネス、教育で無料!でもサポートは無しというこれまでにない設定である。とりあえずここからDownloadするのだが、キリル文字が並んでいるので下のほうに"Загрузить
версию "とあるところでLinkがOutpost.exeになっているところがDownloadのサイトだ。
では、さっそくインストールをする。インストール時に作業はフォルダの指定くらいなのですぐに終わる。早速リブートして起動させると、最初にアップデートのモジュールが有るか探しに行くので「OK」をクリックする。では起動画面から見ていこう。
 |
左に並んでいるのはステータス表示の項目で、右がその選択した内容を表示するエリアになっている。この図では「All
Connections」を選んでいる。つまり現在接続中のステータス表示だ。ここではまだ何もインターネットに接続していないので表示は無いが、接続するとTinyのようにリアルタイムのステータスが表示される。 ただ、接続が完了しても古い内容がそのままになっているようだがいずれ解消されるだろうし、Firewallの機能としては関係ないところだ。 |
では、さっそくIEを起動してインターネットに接続してみよう。IEのスタートページにはwww.yahoo.co.jpが指定してある。
 |
接続を許可するのかというダイアログが表示される。上からサーバへ接続するサービス(HTTP)、サーバのアドレス(www.yahoo.co.jp)、そして動作(このプログラムの要求をすべて許可する、すべて遮断する、既定値を使ってルールを設定する)。下にあるボタンは左から「今回のアクセスだけ許可する」、「今回は遮断する」、「設定」になっている。この例ではIEなので「Internet Explorer」の既定ルールを利用してるルーを作成している。 |
ここでルールを作成するを選ぶとアプリケーション情報に登録されるが、その内容を順に見ていこう。まずメニューから「Options」→「Application」→IEXPLORERを選んで右クリックで「Modify Rules...」を選ぶか右のボタンから「Edit」→「Modify Rules...」で出てくる。
 |
これでIEXPLORERには「Default Browser connection」、「FTP
connection」、「Secure connection」が割り当てられていることが分かる。Preset(既定値)は 右のようにいろいろと設定してあるので利用すれば簡単だろうし、大抵はこのなかから選択すればちゃんと動作する設定になるはずだ。 |
上の設定をみるとそれぞれHTTPやFTPとHTTPSにProxyで使うポートも設定されているので、Proxyを利用しないときは外すほうが良い。Firewallの設定とは使わないものは設定せず、出来るだけ許可するものを少なくするのが鉄則だ。つづいて、これらのルールを変更してみる。
 |
ルールを選んでダブルクリックするか、右のボタンで「Modify」をクリックするとそれぞれのルールが編集できる。ここでは「Default
browser connection」を編集する。3つあるリストは上から「ルールの特定」、「許可、遮断等の設定」、「ルールの再確認」になっている。Where
the specified〜は specified protocol is(特定のプロトコル) specified destination is(特定の方向) specified remote host is(特定の相手ホスト) specified remote port is(特定の相手ポート) specified local host is(特定の自ホスト) specified local port is(特定の自ポート) specified time interval is(特定の時間) と指定できるようになっている。 チェックを入れるとRule Descriptionに項目が追加されるので青文字のところをクリックして設定を編集する。 |
ちょっと一覧にしてみると
| Event | Protocol | TCP,UDP,IPから指定する。TCPとUDPの両方は指定できないので、そのときはIPを選択する。IPにはICMP,IGMP,TCP,UDP等があるので一覧から必要なものにチェックを入れる。 |
| destination | InboundかOutboundを指定する。指定が無ければ両方で有効になる。 | |
| remote host | ドメイン、ホスト名かIPアドレス(サブネットで範囲指定が可能)で相手先の指定を行う | |
| remote port | 一覧にあるAliasのNameを指定するか、番号を直接入力する。複数指定するときには",":カンマで区切る。"-"で範囲指定も可能 | |
| local host | remote hostと同じように自PCのアドレスやホスト名を指定する | |
| local port | remote portと同様に自分のPortを指定する。 | |
| time interval | 特定の曜日や時間を指定する。通常はEverydayでいいと思う | |
| Action | Allow | この指定で許可する |
| Deny | この指定で遮断する | |
| Reject | この指定でResetを返す | |
| Report | レポートとダイアログを表示する。右のようなダイアログが出てくる |
|
| Run Application | 指定したアプリケーションを起動する。引数を与えて処理するようなときにはBatファイルを作ったほうがいいだろう。 |
アプリケーション毎のルールの設定は以上だ。いろいろと細かいことまで指定できるが、だいたいはデフォルトで指定すればいいと思う。引き続いてログやステータス画面の設定とオプションを見てみよう。画面の表示されるステータスとログも結構充実している。
 |
これが標準の接続状態の表示。2つのコネクションがある事がわかる |
接続状態はアプリケーション、自ホスト、自ポート、方向、相手ホスト、相手ポートのグループ化表示が可能となっている。表の中の項目も指定が可能で、さらにホストの名前表示、ポートを番号か名前で表示するかの指定もできる。このステータスの表示はTiny Personal Firewallとほぼ同じと見ていいだろう。左のツリーで右クリックすればEstablishedも表示できるので木馬などの待ち受け状態のアプリも見ることができる。
 |
ここでは許可されたトラフィックの状態が表示される |
アプリケーションの設定で許可になっているものの履歴が表示されている。「Undefined」は定義されていないがオプションの設定などで許可になっているトラフィックなので、この行を選んでルールを作成することもできる。
 |
こkでは遮断したトラフィックが表示される |
MSNのMessangerを起動してDenyしたときの状態だが、相手先や方向が表示されているのが分かる。Allowedと同じように「Undefined」はここからルールの作成を行うことができる。
つぎにオプションを見ていこう。プラグインの設定も含まれるので設定項目は多いが、見るべきものはたくさんある。結構マニアックな設定が可能だ。
 |
上から設定変更時にパスワード入力を必要として保護するか(Enable:保護する、Disable:保護しない)。「Set
Password」をクリックして旧パスワードと新パスワードの入力を行う。真中がログファイルの設定で「Log
file setting」をクリックして最大ファイルサイズと上書きの設定(ファイルサイズに到達すれば古いデータから順に消して新しいデータを追加する、古い日付のデータを保持する期間)を行う。 ログサイズはデフォルトで512Kだが7日間で消えてしまうのは少し短いように思うのでできればサイズを大きくして2週間くらいは保持するようにしたほうがいいだろう。 下がその他の設定で「Windows起動時にOutpostを起動する」、「ルールの設定で確認ダイアログを出さない」、「システムトレイにアイコン格納」、「×で最小化にする」の設定がある。 |
次にアプリケーションの設定だが、これは前ページのルール作成したデータの参照、追加、変更ができる。
 |
ここではIexplorer.exeは規制したルールを持つアプリケーション(Partially allowed application)になっているが、規制を無くして全面的に許可するアプリケーション(Trusted application)にするにはIexplorer.exeをDrag&Dropすればよい。またADwareなどはここでBlocked applicationに入れておくといいだろう。またTrustedからPartiallyに移すとルールを作れ!とルール設定のダイアログが出てくる。どんなプロトコルやポートを使うのかが分からないアプリケーションはTrustedにするが、それ以外はPartiallyで使うほうがいいと思う |
オプションにはこれまでの製品にはないICMPの動作など面白い設定がある。順に見ていこう。
 |
上からNetBIOS(Windowsのファイル、プリンタ共有)を許可するか?ここで許可を選ぶと許可する相手をIPアドレスやホスト名で指定する「Setting」を行う必要がある。設定方法はルールの設定で行った相手先や自PCのホスト指定と同じダイアログで行う。 2段目はICMPの設定を行う。ICMPはInternet上で機器間のエラー情報のやり取りやPingなどで使用する。これは次に設定を示す。 3段目はICMPメッセージに対して無視するか、応答するかを指定する。「Stealth」は応答しないで無視する。「Normal.Send」はICMPメッセージに対してClose応答を返す。これはStealthがいいだろう。 4段目はDNS,DHCPなどのシステムで使用するトラフィックを許可するか指定する。ここはデフォルトで使用して問題ないと思う。 |
2段目で指定するICMPの設定を見てみる。
 |
これはデフォルトの設定状態だが、上から順に ・Echo ReplayはICMP Echo(Ping)の応答、 ・Destination Unreachableはルータ機器などから相手先接続不可の信号 ・Source Quenchは発信元へ送信の抑制要求 ・Redirectはリダイレクト ・Echo RequestはICMP Echoの要求 ・Time Exceeded for a Datagramは時間(Hop数)の超過 ・Parameter Problem on a DatagramはIPヘッダのパラメータに問題あり ・Timestamp Requestはタイムスタンプ要求 ・Timestamp Replyはタイムスタンプ応答 ・Address Mask Requestのアドレスマスク要求 ・Address Mask Replyのアドレスマスク応答 |
デフォルトではICMP Echoに関して両方許可になっているが、ICMPを利用したDoS攻撃が多く発生している現状を考えると自分からPingを打って応答を確かめるという事をするときだけ両方のEchoを許可して、日ごろはEchoはRequestもReplayも禁止したほうがいいと思う。他の設定はWindowsで正しく処理できるかも不明なため、あえて触らなくていいだろう。
 |
これはOther System Settingの内容である。上から順に ・DNSの問い合わせ ・DHCPサーバへの接続 ・Secureサイトへの接続を遮断 ・IDENTの到達許可 ・ブロードキャスト、マルチキャストの許可 ・Loopbackの許可 となっている。IDENTはメールサーバやIRCサーバで利用している場合があるのでメール受信時やIRC使用時に遅いとき、切断されるときにチェックを入れてみよう。他の設定はそのままでいいだろう。 |
次はFirewallの状態設定。メニューから変更も可能だ。
 |
・Allow most:遮断すると設定しているもの以外は許可する ・Rules:許可遮断のルール設定に従う(通常モード) ・Block most:許可すると設定したもの以外は遮断する。新しくアプリケーションを起動したときには必ずルールを作成する ・Block all:すべてのトラフィックを遮断する ・Disable:Firewallを無効にしてすべての接続を切る 通常はRulesにしておく。もし接続が切られるようなときにはAllow mostにして正常に動くならルールの設定が足りないという事になる またこのアイコンはタスクトレイに  表示され、そこで変更も可能となっている。ここ例では「Rules」の設定だ。 |
次にPlug-Inの設定だ。Outpostの大きな特徴としてPlug-Inの仕様が公開されている。だれでもPlug-Inを開発することができるのだ。Ver.1.0の標準でついているPlug-Inは以下のように6つある。またインターフェイスが公開されているので自分で作ることも可能だ。
標準装備の状態でもNortonやZoneAlarmよりも強力な機能を持っている。今後新しいPlug-Inが出てくるのが楽しみだ。
 |
ここではすべてのPlug-Inが有効になっている。今後新たなPlug-Inが出てきたとき、ここから追加や削除、設定が可能となる。 |
まずは広告カット機能だが、HTML内を見ているのでNorton並に強力だ。HTMLの記述のほかに画像のサイズでカットする機能もある。もし表示して欲しい画像が表示されないときには、この画像サイズでのカット機能は切らないとダメだろう。次にDNSキャッシュ機能。
 |
DNSキャッシュ機能はwww.yahoo.co.jpとブラウザでURLを指定したときにIPアドレスを取得するための機能で、よく使うURLについてはキャッシュに記憶しておけばISPのDNSから取得するよりも速く目的のWWWサーバに接続が可能となる。 Limit DNS databaseは記憶件数で101件が既定値。もう少し増やしてもいいかな DNS records expireは保持期間で7日間。あまり多くするとIPが変更になったときに対応できない |
つづいてActive Contents制御機能。ActiveXやCookie等を制御できる。
 |
ActiveX、Cookie、Java AppletsはDisable:無効、Promt:確認する、Enable:有効となっている。その他の項目はDisable:無効、Enable:有効となっている。 また左のWeb Pagesでは「Add」をクリックしてサイトを登録できるのでサイトごとに制御が可能となる。通常信頼できるサイトでは下手に制御すると掲示板に入れなかったりカウンタが表示されないという現象が出る。また信頼できないサイトではActiveXやJAVA AppletsをPromtにしておいたほうがいいと思う。当サイトのポリシーは「IEやNNには最新のパッチを当てるのがFirewallを使うよりも重要」としているので、安易にアクティブコンテンツをDisableにしてツマラナイ画面を見るよりもパッチをあてる事をお勧めする。 |
つぎはメールの添付ファイルの制御機能
 |
最初は何も無いので取り合えずVBScriptの添付ファイルはRenameしてAntiVirusチェックを行うように設定した。真中の段の半分隠れているのは「Report It」である。ZoneAlarm Proにはたくさんの拡張子のファイルをRenameしているので、そちらの記事を参考にしてできるだけ多くのファイルを追加したほうがいいだろう。DLLやEXEは必須だと思う。 |
最後にトロイの木馬対策やポートスキャンなどの侵入対策
 |
上は警告レベルで3段階に設定できる。 Maximum:1つでもPortをスキャンしてきたら警告する Normal:いろいろなPortや特定のPortをスキャンしてきた時に警告する。 Minimum:システムが厳しい状態になったときに警告する。 下の段は侵入を検知したときの動作で ・すべてのトラフィックを指定時間遮断する ・侵入者のIPからのトラフィックを指定時間遮断する ・侵入者のサブネットの範囲内も遮断する 最後に ・DoSを検知したときローカルポートを遮断する になっている。ここはこのままでいいかと思う。 |
以上、色々と多彩な機能あるOutpostだ。これで無償だから使わないともったいない!