 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
Sygate
Personal Firewall 4
Sygateは新バージョンが出ています。製品紹介から新バージョンの記事を参照してください。
SygateのPersonal Firewallが2から急に4にバージョンアップした。バージョンアップといっても、すごい変わりようである。いままでのPersonal Firewallの中では一番面白いかもしれない。とりあえず変わった点は
旧Ver2はこちらに移動しました。まだSygateのサイトでは旧バージョンはDownloadできるようです。
インストールのときに名前、会社名、部署、電話番号とメールアドレスを入力するところがあるが、個人で使うときにはメールアドレス以外は適当でもいいかもしれない。筆者はお得意のBillGates名で登録してしまった・・・
 |
ボタンやメニューの説明は後にして、3つのバーは上から受信トラフィック、送信トラフィック、防止しているトラフィックとなっている。下の「Running
Applications」はApplicationsに登録していて現在実行中のアプリケーションが表示されている。Ver2のような3段階のセキュリティレベル設定や鍵穴による警告の表示などはなくなっている。 ボタンは左から「全てのトラフィックを阻止する」、「アプリケーションの追加」、「ログの表示」、「セキュリティテスト」、「ヘルプの表示」となっている。セキュリティテストはVer2からあったが、これを評価した時点ではSygateのサイトでエラーとなって正しく動作していないようだ。全てのトラフィックを阻止する「Block All」はZAにあるSTOPボタンと同じ働きで、怪しい動きを見つけたときに一切のコネクションを切断するためのボタンだ。真中にある「Hide Windows Service」はWindowsのサービスとして起動するアプリケーションを表示しないときにチェックする。 |
多く変わった画面だがZAと表示内容はほぼ同一の内容となっている。悪い意味ではなくZAのGUIが如何に洗練されているかということだろう。上の画面はトラフィックバーを表示したいがためにIEを登録してYahoo.co.jpのトップページを表示させたときにキャプチャしたのだが、初めて使用するときにはIEも何も登録されていないのでRunning Applicationsは空白になっているはずである。ではさっそくIEを登録する作業を見てみよう。
 |
IEを起動するとこんな画面が表示される。左から「Remember my〜」はYes/Noの設定を覚えておくときにチェックする。つまり日頃使うものはチェックを入れてから「Yes」をクリックする。 |
アプリケーションがInternetにアクセスするのを許可するときには「Yes」、許可しないときには「No」をクリックする。またダイアログの表示にはプログラム名や接続先のURL,IPアドレスとポート番号まで表示されるので、木馬などの知らないプログラムが勝手にアクセスしたときにはすぐに気が付くはずだ。
 |
「Dertail」をクリックすると詳細な情報が表示される。プログラムの名前からプロセスIDなど、接続元と先のIPやホスト名、アダプタの情報、IPのヘッダ情報、TCPのヘッダ情報など詳しく表示されている。ここまで詳細に表示されていると、どのアプリケーションがどこに何をしようとしているのかが判るはずだ。 |
それで登録が終わったらRunnning Applicationsに表示が出てきた。一番下の表示がIEがYahoo.co.jpに接続しているよっていう表示だ。
 |
IEが複数のプロセス(コネクション)を使っているときには同じIEのアイコンがいっぱい出てくる。 表示方法はこのように5種類のあって左の画面はConnection
Detailsの表示だ。これだとアプリケーションが接続している先やプロトコルまでが表示されている。その他の表示形態はWindowsのExplorerと同じで大きなアイコン〜詳細の表示となっている。 |
登録したアプリケーションの一覧は「Applications」のクリックで出てくる。がここで更に詳細な設定が出来る。
 |
左から順に説明すると、最初のチェックボックスは「〆」が許可(Allow)で「×」が阻止(Block)、「?」が毎回ダイアログを表示して許可、阻止を選択する(Ask)になっていて、変更も出来る。次のアイコンとアプリケーションのファイル名、バージョン、Allow、Block、Askの設定内容で左端のチェックボックスを変更するとAccessの欄が設定内容に変わる。最後にアプリケーションのパスとなっている。下にあるボタンは左から「詳細設定をする(Advance)」、「設定を削除する(Remove)」、「全ての設定を削除する(Remove All)」となっている。 |
詳細設定をクリックすると下のような画面が出てくる。
 |
上から詳細設定をするアプリケーション。上の一覧でAdvanceをクリックしたアプリケーションが表示されるがここでも選択出来る。 次にアプリケーションの制限内容を設定する。「Allow during Screen〜」はスクリーンセーバのモードになっているときにアクセスを許可するときにチェックする。「Trusted IPs〜」は信頼するIPアドレスを設定する。ここで指定したIPからは何がきてもOKとするときに指定する。ちなみにカンマで区切って複数指定も出来るし、でFrom-Toと範囲してもできる。つぎは相手先(Remoto)と自PCのポート番号の指定。コンボにはHTTP〜LDAPまでが表示されているがポート番号を数値で直接指定も出来る。IriaなどのDownloadツールではHTTPとFTPの両方が使えないといけないのでRemoteのTCPポートに「80,20,21」と指定しないといけない。またUDPも指定できるのでストリーミングやICQ等を利用するときにには指定が必要になるだろう。自PCのLocal側も指定できるがサーバ用途以外は指定はいらないはず。 |
スクリーンセーバーのチェックを入れていないとスクリーンセーバ起動後しばらくすると阻止されてしまう。これは操作者が居ないときに勝手に動き出すのを防ぐための機能だ。下にある「Enable Scheduring〜」は動作する期間を指定するときに設定する。「Month」は月、「Day」は日、「Hour」は時間、「Minutes」は分なのだが「During the period〜」が設定の期間だけ実行可能で、「Excliding〜」がその期間を除いて実行可能となっている。例えば昼間の時間ICQは動かさないよっていう設定をしたいときにICQサーバのIPアドレスと使い始めたい時間(例えば22時とか)を指定する。「Duration」は実行可能な時間を指定する。「Minutes」で1を指定すると1分ほど動いた後で阻止されてしまう。知らない間に長時間動いては困るようなものだと指定するのがいいようだ。
 |
Securityの設定は全てを阻止する「Block All」と通常のリストの設定に従う「Normal」、全てを許可する「Allow All」となっている。Normal以外では最初に接続するときのウィザードは出てこない。通常はNormalにしておくのがいいだろう。Allow Allにすると全ては許可されるが、ログにも記録されるようになっている |
ではVer4で大きく変わり機能が増えたLogを見てみることにしよう。最初はSecurityから。このログには不正と認めて阻止した内容が表示される。
 |
左端のアイコンはアタックの頻度によって色が変わるらしい。日時とアタックの種類、危険度、外からのアタックならIncoming、中からならOutgoing、プロトコルの種類、相手先のアドレス、アタックの回数、開始と終了の時間となっている。下の2つの欄には簡単な説明が出てくるときがある。ここではSymantec.comのセキュリティチェックサイトでポートスキャンをかけてもらった結果で約200種類のポートをスキャンしているのがわかる。 |
 |
次はトラフックのログ。これはWebを見てまわった時のログではなく、全てのアクセスのログである。メールサーバへのアクセスもあればどこからともなく送られて阻止されたPingの内容といったものまですべて記録されている。上のSecurityログでは主に外部からのアタックが記録されるが、トラフィックログでは内部からのアクセスの阻止といった内容も記録される。強化されたログの内容はまだ続く・・・ |
一番面白いと思われるのはこのパケットログである。LANモニタ等を見てTCP/IPのパケットの中身の解析を行ったことがある方なら、この使い道はすぐにわかってもらえるはずだ。またどういったメッセージのやり取りをしているのか勉強したい向きにもお奨めできる機能だ。ただし後述するOptionでパケットモニタを記録する設定にしていないとこのログは取られない。
 |
ここではYahoo.co.jpに接続したときのログを例として示す。上はパケットの一覧で左下はパケットのヘッダ内容を解析した結果。右下は16進のダンプである。このパケットログは外から入ってくるものも中から出て行くものも全て記録するのでログサイズが小さいとすぐにあふれてしまう。通常は使うことは無いだろうが、もし何らかのアプリケーションがFirewallで阻止されてうまく動かないといったときにどういった内容のものをどこに出そうとしているのかが、どれが弾かれているのかが判れば解決の道は近くなると思う。 |
 |
ログの機能としてもう一つあるのがログに記録されているIPアドレスから相手の情報を得るためのTrace Route機能である。これはメニューにある「Action」からBackTraceを選んでもいいし、右クリックして出てくるメニュー(BackTraceしか無いのだが)から実行しても良い。実行すると上の表のようにどの経路を使って自PCに到達しているのかが判る。そして最後の行が相手先のIPである。ここで「Whois」をクリックすると相手の情報を取ってきて表示してくれる。左の例ではYahoo.co.jpのTrace情報とWhois情報を表示させて見た。会社であれば会社名が出てくるし、ISPであればISP名がでてくる。ただし日本のJPNICのWhois情報のように日本語での情報は出てこない。まぁ国内のIPだとわかればJPNICのWhoisゲートウェーで調べればいいので気にならないけど。 |
ログはこれ以外にもシステムログというものがあるが、Sygate Personal Firewallの起動終了と設定内容の変更といった内容なので省略する。つぎはオプションの設定。
 |
Generalの設定から。上から「スタートアップ時に自動起動する」、「自動アップデートとチェックを行う」、「スクリーンセーバモードで全ての接続を切断、阻止する」、「タスクトレーのアイコンを表示しない」、「設定の変更にパスワードを必要とする」が設定できる。通常は上の2つにチェックを入れていればいいと思う。ApplicationのAdvance設定でAllow During Screen SaverモードとここでのScreenSaverモードの関係はイマイチ不明。チェックを入れていなくてもScreenSaverになれば阻止されているのだが・・・もう少し検証が必要だな |
つづいてLANの設定
 |
Nerwork Interfaceで設定をしたいLANカードを選択する。下の2つのチェックは上が「自PCでの他のPCの共有ファイルとプリンタのブラウジングと使用を許可する」で、下が「自PCにある共有ファイルとプリンタのブラウジングと使用を許可する」になっている。上のチェックを入れただけでは自分は他のPCの資源を使うことが出来ても自PCの資源を提供することは出来ない。Router内でLANを構築したり、筆者のようにNIC2枚挿しの方は両方のチェックを入れておいたほうがいいと思う。ダイヤルアップアダプタやADSLやCATVのモデム接続のほうには決してチェックを入れないことだ。 |
あと2つのオプションの設定を続けて行う。
 |
ここではVer2からあった不正アクセスのログをメールで送信する機能である。複数台のPersonal
Firewallを集中管理する場合には大変便利な機能だ。上のトグルは「Do
not Notify」が通知しないで「Notify
immediately」が通知する。「After
Every」は一定の時間経過後通知するときの設定。PortScanで1件ごとにメールが来ると大変なので通知するときには10分程度を指定するほうがいいだろう。あと下のボックスはメールの内容設定である。 送られてくる内容はログの内容と同じモノがくる。 |
オプションの最後はログの設定である。
 |
それぞれのログのサイズと保存期間を設定する。またパケットログはここでチェックを入れないと中身は記録されない。「Clear Logs」をクリックするとログの中身が消されるので、表示に時間がかかるようだとサイズを小さくするか、こまめに消すしかない。 |
以上、取り急ぎSygateの新しいバージョンの説明を書いて見た。まだまだ使い込んでいないのでApplicationsの詳細設定の内容は疑問が残る。ぜひ使ってみての感想やご意見を伺いたい。