Firewallと森で遊ぼう(Firewall：ZoneAlarm3)

・インターネットから不正アクセスがきたら

ZoneAlarmは「あ、へんなアクセスがあったぞ！」と警告のバルーンを出してくれる。

これはIPアドレスが147.208.171.139の相手から筆者のPCのFTPのポート(21)にアクセスがありました。相手のポート番号は1501です・・ってな内容が書いてある。TCP FlagsはS:Syn A:Ack R:RST F:Finになるんじゃないかな。またICMPの時には(type:8/subtype:0)なんてでてくる。これはEcho Requestのコードを表している。ここで「Don't show this dialog again」にチェックを入れるとバルーンでの表示はなくなるが「ALART」ボタンを押して不正アクセスの履歴を見ることができる。
2.6からはダイアログの上に警告は赤の×、注意は黄色の！がつくようになった。

筆者もけっこうテレホの時間は繋ぎっ放しでいるが、ダイヤルアップ接続にもかかわらず案外こういったアクセスはあるものである。ちなみにPPPアタプタの設定でファイル共有もプリンタ共有もしていないので、中を見られることはないかな？とも思うのだが破壊されては困るし、ましていっしょうけんめいDownloadしているPC君に変な負担をかけて止められるのもいやだし・・・そんなときはFirewallで安心してつないだまま寝られるのだ。

上のバルーンの表示の履歴が「ALARTS」ボタンを押すと表示できる。
ここでLOGファイルに出力するのか？といった設定も可能。「More info」ボタンを押すとZoneLabsサイトに接続してAlartの詳細を表示してくれる。画面はZAProの方に挙げているので参考にして欲しい。また下にはログファイルをテキスト形式で保存するときのファイル名とPopアップ表示をするか？といった指定がある。

・Alert LogとMore Infoを見る
Symantecのsecurityチェックサイトでテストしてみた。
「The firewall has blocked Internet access to your computer (ICMP Echo Request ('Ping')) from 147.208.171.139. Time: 01/02/11 10:01:50」
これはto your computerなので外部から自分のPCに飛んできた(攻撃してきた)。その内容はICMP Echo Request(Ping)である。相手は147.208.171.139のIPを使用しているという事がわかる。Logファイルでは
FWIN,2001/02/11,10:01:50 +9:00 GMT,147.208.171.139:0,202.225.xxx.xxx:0,ICMP
FWINが自分に来た(攻撃してきた)という事をあらわす。逆に自分のPCから出て行くのを規制したときにはFWOUTとなる。Logは普通のテキストファイルなのでメモ帳でも見ることが出来るが、次ページに紹介するLog Viewで見るほうが楽だし、相手を調べたりも出来る。
次に「More Info」をクリックしてみよう

Zonelabsのサイトに繋がって警告の内容を表示してくれる。上の表は左が送ってきた方、右が送り先。つまり外からの攻撃であれば左が「攻撃元」で右が「攻撃対象」となる。また自分のPCから外部へアクセスしようとしたときには左が「自分のPC」で右が「接続相手先」となる。「Who is this?」というのはIPアドレスから相手の情報を表示するときに使う。Port番号は今回の攻撃の種類を知ることが出来る大切な情報だ。ここでは21番のFTPのPortを突付きに来ている。ちなみにこの相手先はポートスキャンをしてくれるところなので悪意はない。
下の英文は「ZoneAlarmはyourのcomputerにIncomingするデータパケットをブロックしました。このincoming(やってきた)」パケットデータはDropされました。なぜならyourPCはステルスモードになっているからです。ステルスモードは応答を返しません。・・・
ではWhoisを見てみると

207.71.92.221というIPを誰が持っているのかが表示される。ここではVerioという会社で住所はUSのCOでenglewoodだそうだ。207.71.64.0～207.71.127.255までのIPアドレスを使用していることもわかる。NS0～NS2はDNSのアドレスである。こうやって相手のIPから所属する団体、学校、プロバイダなどがわかる。不正アクセスで困っているのなら団体の管理者やプロバイダのサポートに連絡したほうがいいだろう。
ちなみにこの情報はUSのWhoisサーバから引っ張ってきているので相手が日本国内だったときには「相手が見つからない」となる。そのときはJPNICのWHOISサーバで相手を探してみよう。IPアドレスを入れて「Query」ボタンを押すだけだ。

Whoisの表示画面の上にある「クエリーの実行」を押したときの表示。ここでは「VERIO」でクエリーを実行してみた。つまりWHoisサーバから「VERIO」を探してくれているのだ。

・それでも不正アクセスに遭遇したら

そうわ言っても、世の中の進歩は悪が先で対策があとからついていくものです。
もし目の前でデータの抜き取りや、トロイの木馬が動き出したら、迷わずに真中の「STOP」ボタンを押してください。
すべてのインターネットアクセスが中止されます。

・仕組みや技術はどうなってるの？