 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
ZoneLABS
ZoneAlarmPro
ZoneLABSから個人ではFreeとなっているPersonal FirewallのZoneAlarmのプロフェッショナル版のZoneAlarmProです。設定項目が増えており、より柔軟にセキュリティの設定が行えるようになっています。ZoneAlarmのユーザ登録を行っていると$10おまけして購入できるようです。インストールの方法から設定まで、無償版のZoneAlarmと異なる点を中心に説明していきます。初めにZoneAlarmの説明を見ていただいた後で、このProの説明をご覧ください。
 |
インストール時に設定するユーザ環境の設定。上からインターネットに接続する環境(ここではモデムを使ったダイヤルアップ)。個人で使用するのか、会社などの組織で使用するのかの選択。自サイト(LAN)にあるPCの台数。以上を設定してインストールは完了です。 |
基本動作や画面をZoneAlarmとほぼ同様です。高度な設定を行わないで使用するのなら、まったく同じだと思っていただいて差し支えないでしょう。ではセキュリティの設定から見ていきましょう。
 |
セキュリティのセッティングも同様に3レベルで設定できるようになっています。ここでの違いはHighとMediumの設定がより細かく行えることです。またメールの添付ファイルのチェックも設定できるようになっています。 Configを押すと下のようなオプションの画面が出て、HighとMediumを設定時に通過を許可、遮断するプロトコルの選択を行うことができる。 |
セキュリティのオプション画面を見てみよう
 |
ここで見えているのはLocalのHighで設定するプロトコルの一覧で、この続きにMediumの選択が同じようにある。上から順に ・LAN内へのDNSの通過を許可する(ポート53) ・LAN内へのDHCPの通過を許可する(UDPでポートは67) ・LAN内へのブロードキャストを許可する ・LAN内からのICMP Echo(Ping)を受け付ける その他・・・となっている。 ZoneAlarmではこういった細かい設定はできないがProでは可能だ。ただしここに無いプロトコルを指定しようとしても出来ないようだ。まぁここに出ているもので充分ということも言えるだろうが、マニアックに設定したい方には不満が出るかもしれない。例えばHighレベルでもネット対戦のポートは開けておきたい・・・とか。でもZoneAlarmでのHighレベル位置付けと要求とが合っていないからな・・・仕方ないとあきらめるしかない。 |
メールセーフの機能だが、これはZoneAlarmでは「VBScript」は勝手に起動させないとだけアナウンスされていたが、Proでは指定された拡張子の添付ファイルを「隔離する」という行為を行っている。
 |
これはメールで添付したDOSのedit.comなのだが、受信したときに拡張子が変更されている。つまりMailSafe機能は実行可能な拡張子の添付データなら拡張子を変更して受信時に自動実行されるといった動きからPCを守るという機能だ。添付ファイルの中身をチェックして危険なら削除するといった機能ではない。中身のチェックと削除機能はVirusチェッカの仕事だから、そっちに任せますってことだろう。 |
メールセーフの機能もオプションがあり、隔離する拡張子を指定できる。これはZAでは無かった機能だ。
 |
ここでチェックされている拡張子の添付ファイルはすべてPopやIMAP4で受信するときに拡張子が変更される。つまりメール受信時には変更されているので、受信後に自動実行してしまうといったことは無くなる。ウィルスチェッカでしっかりと中身を検査した後、元の拡張子に変更すればいいのだ。なお拡張子は追加ボタンも用意されているので、新しいウィルスが発見されたときにはあらかじめその拡張子を登録しておいたほうがいいだろう。ちなみに最近の事例から「DLL」は即追加しておいていただきたい。 |
下表が元の拡張子とメールセーフ機能が変えた拡張子の関係である。
| 元拡張子 | 新拡張子 | 元拡張子 | 新拡張子 | 元拡張子 | 新拡張子 | 元拡張子 | 新拡張子 |
| .ADE | .zl0 | .HLP | .zla | .MSC | .zlj | .URL | .zlt |
| .ADP | .zl1 | .HTA | .zlb | .MSI | .zlk | .VB | .z1 |
| .BAS | .zl2 | .INF | .zlc | .MSP | .zll | .VBE | .zlu |
| .BAT | .zl3 | .INS | .zld | .MST | .zlm | .VBS | .zlv |
| .CHM | .zl4 | .ISP | .zle | .PCD | .zln | .WSC | .zlw |
| .CMD | .zl5 | .JS | .z0 | .PIF | .zlo | .WSF | .zlx |
| .COM | .zl6 | .JSE | .zlf | .REG | .zlp | .WSH | .zly |
| .CPL | .zl7 | .LNK | .zlg | .SCR | .zlq | ||
| .CRT | .zl8 | .MDB | .zlh | .SCT | .zlr | ||
| .EXE | .zl9 | .MDE | .zli | .SHS | .zls |
Proは無償版に比べて明らかに上級向けに設定の変更や追加が可能となっている。まだまだ設定の説明は続く!
設定項目が多くなっているZAPro。次の項目はOptionのGeneralだ。
 |
上の3つの選択はインターネット接続共有(ICS)に関する設定。Win98SEやWin2KのPCをダイヤルアップルータのように使う機能のことだ。上からICSは使わない、ZAProが動いているPCのICSを利用するクライアントとして使う、ICS機能を提供するサーバとして使う、となっている。このうちからどれかを選んて使用する。ICSのクライアントとすると、下にある「ICSサーバのアドレス」と「警告をICSサーバのZAProに転送する」が指定可能となる。またICSサーバとして動作するを選択すると「ローカルPCからの転送された警告メッセージを表示しない」が選択可能となる。 下にある3つの機能選択は上から、「分割されたパケットはブロックする」、「ローカルのPCからのアクセスはブロック」「インターネットからのアクセスはブロック」が選択できる。ただしこの2つのオプションを選択しても、プログラム単位でサーバになる許可は与えられる。つまりデフォルトでは拒否するが個別のプログラムへのアクセスは設定可能ということだ。だから普通はチェックを入れるべきだろう。 |
特に下の2つの設定「Block local server」と「Block Internet server」だが、通常木馬はサーバとして機能する。つまりクラッカーからの接続待ちで待機している。クラッカーが接続してくれば処理を行うという形態となる。これはサーバ機能とみなすことが出来るので使用するPCがファイル共有もWWWなどのサーバも立ち上げていないのなら他のPCからの接続は拒否するためにもチェックを入れるべきだろう。この辺がサーバとして使用することも可能なZAProらしい設定項目といえる。でも一番下のInternet server禁止にしたらFTPでサイトの情報をUPできなくなった。それにInternetにチェック入れるとLocalも入れないといけないようだ。そりゃ安全だと認めるZoneは禁止して危ないほうを許可するってのは矛盾するからだろう。次にLocalZoneの設定。ここでZoneAlarmのZoneというものを整理しておこう。
| Local | 信頼できるPC、インターネットから侵入されない安全なネットワークなどを指定する。つまり会社内のLANでも侵入される危険があるのなら、LAN内のPC経由で侵入されるのでLocalに指定してはならない。基本的にLocalとはファイル共有などが可能なPCを指定する。ポートやプロトコルの制限を設けてより厳密に守ることもできる。 |
| Internet | インターネット全体を指す。インターネットでのデータの送受信を行うPCで、個別の指定などはできない。ポートやプロトコルの指定はデータを受信、送信ともに必要となる。 |
| Restricted | ZAProから採用されたZoneで、侵入を試みてくるような敵意を持ったPCを指定する。サイト名やIPアドレスで指定し、指定した先は、相手先からも自PCからも接続できなくなる。 |
でわ、Localの設定から
 |
この画面は変わっていないと思うが、ローカルネットワークに接続するアダプタを選択する。あれ?間違ってPPPを選択してしまってるぞ!。ほんとはIBMのISAのアダプタを選ぶのが正解ですね。で、その他にホスト名やIPアドレス、IPの範囲、サブネットでもLocalを指定できる。つまりアダプタ+個別指定が可能となっている |
設定はOR条件になることに注意してもらいたい。つまりLANボードを指定するとルータ経由でInternetをしているときにはInternet全体がLocalになってしまう。そんなときはIPアドレスを個別に設定しないと行けない。次は絶対に拒否するRestrictedの設定
 |
 |
Localと同じようにHost/SiteでYahoo.comを登録してみた。「Next」を押すとIPアドレスを引いてきてくれて、これでいいか?ときいてくるので「Finish」を押すと登録される。登録されるのは表示されているIP全部のようだ。これでYahoo.comにはつながらないし、もし仮にYahoo.comから繋いできでもだめ |
登録したらこういうふうになる。
 |
 |
ちゃんとはじいてくれてるぞ。Alartログにも出てくるしね。
まだまだ設定は続くのである。なんとなく・・このペースでいくと「その5」くらいまで行っちゃいそうだが、気を取り直してどんどん行くぞ
続いて警告(Alerts)ログの設定。
 |
ZAと同じようにAlertログを残せるし、警告のPopアップも表示できる。 |
では、追加になったログのプロパティを見てみよう。
 |
これはLogファイルの設定。上からログ保存の先の指定。現在のログサイズとログ削除のボタン。左はログの保存形式の指定でログファイルを同じファイルに書くのか、1日ごと、1週間ごと、1ヵ月ごとにファイル書き換えるのかを指定できる。また右はログの項目の区切り方法でTabか「,」か「;」を指定する。普通はTabかCommaにして表計算やDBで保存したログを扱えるようにするのがいいだろう。 |
ZAで嫌われた機能に「頻繁にAlertのPopアップがでる」というものがあった。これを解消するためのオプションとしてAlertを出す攻撃を選択することができるようになっている。
 |
チェックが入っている警告はPopアップしなくなる。ちなみに下にボタンが3つあるが、左から「全部チェックする」「全部チェックをはずす」「デフォルト」のボタンだ。 気になる警告だけPopアップしたいのなら自分で必要なものだけチェックすればいい。ちゃんとブロックしているしログには出力されているのだから、Popアップがうっとうしい人にはいいだろう。 |
つぎにAlertが出たときにどういった攻撃なのか?相手は誰か?といった情報をNetworkICEのHPに情報を送って解析するための「MoreInfo」の機能が追加になっている。このとき画面上に表示される自IPアドレスの表示方法に関する設定だ。
 |
チェックボックスは上から「IPアドレスは表示する」、「IPアドレスを表示しない」、「最後のオクテットだけ隠す」から選ぶことができる。 |
それで、表示されるサンプルがこれ
 |
これは210.237.194.133から筆者のPCの139番ポートに向かって送ってきてましたよ。でも筆者のPCではそれに該当するプログラムは動いていなかった(File Name)。下の説明には「ZAは送られたデータを破棄しました。ステルスモードになっているのでレスポンス(Resetなど)は返していません」と書いてある。それで、DestinationのIP Addressの最後がxxxになっている。前の3オクテット分は本当は表示されているけど、消しておいただけです。 |
やっと基本設定が済んだところで、ZAから継承されている使いやすい(わかり易い)機能であるプログラムの登録。これはBlackICEなんかよりはとってもいいと思っている。
 |
筆者環境のメーラーのBeckyを指定している。指定といってもはじめて使うときにPopアップが出てきて使うか?って聞いてくるので「Yes」を押すだけだ |
オプションのカラムが増えているがこれについては後述する。見た目はZAとあんまり変わっていない。
 |
これは筆者のHTMLエディタであるホームページビルダの行で右クリックをしたときに出てくるPopアップだ。上の「Allow connect」や「server」の指定がこれでもできるようになっている。またオプションや削除といった指定もこのPopアップメニューからできるのだ。 |
ではオプションを見てみよう。右クリックの「Options」を選んでもいいし、行の「Options」を押してもいい。どっちも同じ
 |
4つのトグルスイッチはLocalとInternetでどういう動作をさせるかという設定で左が普通に見に行くとき。右側がサーバとして外にサービスを提供するときの設定だ。 「Always Allow access」は常に許可する。「Always deny access」は常に禁止する。「Always ask permission」はアクセスがある度にどうしますか?って聞いてくるって設定だ。FTPやWWWサーバを立ち上げていなくてもプログラムでサーバの機能をするものがある。つまりPCのデータを友人に転送するようなプログラムはサーバ機能を許可しないと動かないのだ。ICQが動かないという人はこのあたりを変えてみてもらいたい。 下の2つのチェックボックスは「Lockをかけているときもアクセスを許可する」っていう指定と「フルパス指定したものしかダメ」って指定だ。このフルパス指定はFTP.exeというトロイの木馬が仕掛けられたとしたら本来Windows\commandにいるはずのFTP.exeが違うパスで動いてるぞ!怪しい!って識別するためなのでチェックは入れておくのがいいだろう |
つぎにPortタブの設定。これはプログラムが使うポート番号が指定できるようになっている。
 |
これはBeckyの指定なのだが、上から「どんなポートでもこのプログラムが使うのは許可する」、「下のボックスで指定したポートだけ許可する」、「下のチェックボックス以外は許可する」から選べる。3つ目の以外って設定には「ICMPでPingを含む」と「IGMP」が選べる。 BeckyはメーラーなのでSMTP(メールを送るときのプロトコル)とPop(メールを受けるときのプロトコル)を使用許可にしている。これは「Add」ボタンを押せば出てくる。 |
それでAddボタンを押したときのPopメニューが出てきてメーラーならMail Serversを選ぶだけだ。
 |
Web Serverを選ぶとHTTP(ポート:80)とHTTP拡張(ポート:8080つまりプロキシやね)とHTTP拡張(ポート:8000これもプロキシとかでつかうね)が追加される。ここに無いようなプロトコルはCustomで追加してやるしかない。でもこの指定はあくまで使うポートを制限するって指定をしたときだけなので、わからなければ上の指定で「どんなポートでもこのプログラムが使うのは許可する」を選んでおけばいい。 |
「Custom」を選ぶとこんな画面が出てくる
 |
ここではPCAnywhereを追加してみた。ポート番号は1〜65535まで指定できる。またTCPとUDPのプロトコルも指定できる(両方も選べる)。例ではTCPで5632と5631を許可するとしている。ここでつけた名前(Description)は忘れないようにするメモ程度なので他のプログラムでCustomを選んだときに出てくるわけではない。ちょっと寂しいがしかたないかな?高級Firewallではプロトコルの追加とかでこれを覚えさせることができるのだが、ZAProではできないのだ。 |
まだ設定の続きがあるんですね。デフォルトでのプログラム設定。
 |
Access Permissionsは個別の指定と同じで、普通追加されたプログラムのデフォルトの動作を指定しておく。この警告とファンクションでは「インターネットのアクセスをとめたときに警告を出す」って指定と「ZAが起動していないときでもドライバ(TrueVector)が動作中でアクセス指定が「毎回聞く」なら許可しない」ってのを選べるようになっている。 |
最後まで読んでいただいてありがとうございます。プロトコルの指定はTCP/IPという魔物を知っていないとわかりにくいと思いますが、いろいろと試してみてください。動かなければ全部許可にすればいいのですから!