 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
Sygate(Sybergen Networks)
Personal Firewall (Secure Desktop)
ZoneAlarmと同じく個人ユースでは無償となっているPersonal
Firewallである。SybergenからSygateに名前を変えたが内容は同じである。特徴として
ここからDownloadを行うことができる。Downloadの前にユーザ登録を行わないといけないが、このときに登録したメールアドレスにシリアル番号と認証番号が送られてくる。これをインストール時に指定しないといけないので、メールアドレスの登録は正確に行う必要がある。
 |
インストールのときに個人で使うのか、オフィスで使うのかを聞いてくるので、ここは「Consumer」を選択する。Secure Serverを使ってマネージメントするならBusinessにしないといけないのだろう。 |
 |
次にDownloadするときに登録したメールアドレスに送られてきたシリアル番号(Serial No)と認証番号(Registration Code)と名前やメールアドレスを入力する。 |
後はインストールフォルダの指定やスタートメニューの登録でインストールは完了する。では、早速起動してみよう。
なお、Security DesktopはWindows起動時にサービスとして常に起動されるので、GUI画面を出しておく必要はない。GUI画面は設定、ログの表示やステータスの監視のために起動する。
 |
起動したらこういった画面が出てくる。左からHelpボタン、Config,Test、Logsの各ボタン。中央したのスライドがSecurityレベルの設定。そして右上からステータス表示の鍵穴。△が二つ引っ付いているのが表示画面の選択ボタン。下のRemoteと書いた鍵はSecurity
Serverで定義されているときにランプがつくらしい。 Securityレベルを変えてみると中央のPCが見えているメッシュがレベルに応じて密疎がかわる。見た目はとってもかっこいい! 「Test」はSybergenのサイトに接続してポートスキャンをしてもらえる。設定を変更したときの確認に役立つ |
右鍵穴の横の△を押すと小さなステータス画面に変わる
 |
こんな感じ!。設定が済めば最小化するか、この状態にして画面の隅にでも置いておこう。鍵穴のグリーンは不正アクセスがあったときには赤に変わるインジケータになっている。その下の「High」はSecurityレベルが表示されている。 |
最初の画面から「Config」ボタンを押して設定を行ってみよう。そのまえにこのSecurity
DeskTopはレベル設定が4段階あり、それぞれのレベルで必要な設定を行う。つまりHighで設定した内容はLowでは流用されないということだ。ここで各レベルごとのポリシーを説明しておこう。
| Ultra High | 全てのインターネットアクセスをBlockする。常時接続を使用していて、インターネットを使わないときや、席を離れるときに指定する。スケジュールを組んで、たとえば親が仕事で居ない昼間は子供はインターネットを勝手に使わせたくないといったことも可能である。 |
| High | Email、Telnet、Webだけが使用可能のモード。使用したいポート、プロトコル、プログラムは必ず追加指定しないといけない。原則は「許可したものだけ使用可能」 |
| Medium | 自PCからインターネットにアクセスすることは許可(何でもOK)。したがって使用するポートが制限できないゲームのマルチプレイなどでの使用を推奨。追加設定は拒否するポート、プロトコルを設定する。つまり「拒否するものを設定する」 |
| Low | 外部からのアクセスも可能となる。WWWサーバ等として使用するPCで使用するモード。これは「外の行くのは自由。外からは否定するものを指定する」ということ。 |
それぞれのモードのポリシーがはっきりしている。使う場面によって適時切り替えるのが正しい使い方のようだ。まさにパーソナルユースにふさわしい設計になっていると思われる。では、8つあるタブをひとつづつみていこう。まずはポートの指定から。
 |
Localとは自PCが使うポートのことであり、Remoteは相手PCのポートのことになる。ここではHighモードなので許可するポートを指定していく。この例ではNBTの認証は許可するがファイルの共有は拒否ということか。下のチェックBOXではWindowsネットワークやVPN、pcAnywhereなどのポートを使用許可するか?となっている。必要なものだけをチェックすればよい。下にモード別の初期設定を記しておく。 |
 |
ポートを追加するには「Add」ボタンを押して入力する。NBT139を追加するならFromに139、Toは0か139と設定して「OK」ボタンを押せばよい。 |
ここでモードごとのプロトコルとポート番号の規定値の設定を見てみよう。上記のモード別ポリシーのとおりHighでは外のサーバは見にいけるが、自PCにアクセスは許さない。逆にLowでは自PCがサーバになって外からのアクセスを受け付ける設定になっているのがわかる。
| 許可 プロトコル |
自ポート番号 (Local) |
相手ポート番号 (Remote) |
|
| Ultra-High | − | − | − |
| High | TCP&UDP | − | FTP,Telnet,Pop3,SMTP,DNS,HTTP SecureHTTP |
| Medium | ALL | 1000〜65535 | ALL |
| Low | ALL | FTP,Telnet,Pop3,SMTP,DNS,HTTP NNTP,SecureHTTP,1000〜65535 |
ALL |
つづいてProtocolの指定画面。ここでは上記の規定値を変更するときに指定する。ここで指定するProtocolNoはRFC1700で定められた番号だと思われる。というかそれ以外にProtocol番号なんて聞いたこと無いし。
ちなみに0:HOPOPT 1:ICMP 2:IGMP 3:GGP 4:IP
5:ST 6:TCP 7:CBT 8:EGP 9:IGPとかが決められている
 |
下にはVPNを許可するのかって指定がある。Medium以下ではVPNは許可になっているのでHighだけこの指定Boxがでてくる。 RFC1700はここからDownloadできる。 ここでもポート番号と同じようにHighでは許可するプロトコルを、Medium以下では拒否するプロトコルを指定する。 規定値を見てわかるが、よほどのことが無い限りプロトコルを追加することは無いだろう。 |
続いてICMPの設定。ICMPはPingやネットワークの障害などのいろいろなことに使うが、一般的に管理者以外は役に立たない。またむやみに許可するとクラッカーに狙われることになる。
 |
MessageTypeのICMPを許可するにチェックを入れると、下のリスト全部にチェックが入る。よほどISPのルータが怪しくて、よく落ちるので何とかしたい!なんて以外は許可しないほうがいいだろう Meduim以下では全部許可になっているので、ちょっと気にしておいたほうがいいだろう。不正Pingメッセージなんて喰らいたくないなら許可しないことだ |
まだまだ続く設定。つぎはスケジュールの設定。Ultra-Highモードになる時間帯を設定できる。
 |
たとえば夜間に子供が勝手にインターネットで遊んで危険なサイトに入らないようにするためや、スクリーンセーバが起動中はUltra-Highにするなんてことができる。上から時間指定の開始と終了時間、この機能を無効にするかの指定Box、下はスクリーンセーバ起動時の機能の指定だ。米国では子供がチャットで性犯罪に巻き込まれることが少なくないので、この機能は必須なのだろう |
つづいてほんとのオプションの設定
 |
上からSecureDesktopのGUI画面ををWindows起動時にスタートするか?手動でスタートするかの設定。そして設定変更にパスワードが必要か?の設定。ログの詳細、サマリの選択がある。上のスケジュールでUltra-Highになるようにしているときにはパスワードの設定が必要だろう。 |
起動の選択は通常はAutomaticallyでいいとおもう。SecureDesktopのサービスはWindows起動時に動いているのだから。
まだ、続く設定。つづいてアプリケーションの設定。
 |
インターネットに使用可能な、使用しないアプリケーションを指定する。Learning
ModeをEnableにしておくと初回使用時に「使ってるけどいいのか?」てなメッセージBoxが出てくる。そこでOKを押すと左の使用可に、Noを押すと右の使用不可のリストに上がる仕掛けだ。だから通常はLearning
ModeはEnableで仕様するほうがいいだろう。 なお、このアプリケーションの設定は全てのセキュリティモードで共通して利用される。つまりモードごとに設定する必要は無い |
つづいてアクセスを許可する外部のIPアドレスの指定
 |
外部のインターネットから接続を許可するIPアドレスを指定する。SecureDesktopは筆者の環境ではLANカードに対しては機能していない。つまりダイヤルアップアダプタだけに機能しているのだ。だからホンとにインターネットからアクセスがある場合だけ許可を与える場合だけに使用する。 このIPアドレスもモードごとに設定する必要がある。 |
最後に不正アクセスがあったときにメールでお知らせする機能の設定
 |
なんかあったときにメールでお知らせする機能を設定する。上から差出人名、あて先、件名、メールサーバ名、そして送るタイミング、メールサーバの認証の設定がある。 筆者はログを見るから別にメールで通知はいらないが、複数のSecureDesktopを管理するとか、自宅で常時接続していて不正アクセスがあったときに会社にメールが欲しいのならこの機能は必要となるのだろう。なお、設定値は筆者の環境での値なので、あまり参考にはならないかな? 真中のNotificationの選択はDon'tにしておくと何も通知が無い。Immediatelyではすぐに、After・・・では指定分後に通知が来るしかけになっている。 なお、送ってくるのは「シンプルなほうのログ」である。 |
以上で設定はおわり。
実際に動かしてみると、さっそくお客さんが来た
Pingを送ってきたようだ。鍵穴も赤く光っているので一目瞭然。ICMPなのでPort番号は出ていないがTCP/IPならPort番号もちゃんと出てくる。
なお、ログのToolでネットワークインターフェイスを選ぶとSecurity
Desktopが動作しているインターフェイスが表示される。ハードコピーを取ったときはどこにもつながっていないときなので、N/Aと出ているがダイヤルアップで接続しているときにはダイヤルアップ先の名前が表示される。
・ZoneAlarmとの比較
機能としてはSecurityDesktopのほうが高機能である。これはZoneAlarmがPro仕様を新たに出してきて対抗していることからもわかるが、Management
Serverで一元管理できる機能やモード(Security
Level)毎の指定、VPNへの対応なとZoneAlarmには無い機能がたくさんある。またそのことは一般のホームユースに限った使用方法のユーザには必要ない機能であり、設定が難しいということでもある。この紹介をよく読んでいただいて間違いの無い設定をすることができるのならSecurity
Desktopはいま無償で利用できるPersonal Firewallでは一番高機能なのかもしれない。ただし通常使われる目的がネットサーフィンやメールということならデフォルトの設定で一切触らなくても十分であることを付け加えておく。
・注意点!
SybergenのFAQからかいつまんでみると下のような注意点があった
まぁ問題となるようなことは無いかな?どしどしDownloadして使ってみて欲しい