| Copyright © 2000-2005 eazyfox. All Rights Reserved. | |||||
|
|
|||||
| HOME > Firewall製品紹介 > Sygate Personal Firewall 5 | |||||
| Copyright © 2000-2005 eazyfox. All Rights Reserved. | |||||
|
|
|||||
| HOME > Firewall製品紹介 > Sygate Personal Firewall 5 | |||||
SygateのPersonal Firewallの4を紹介してからしばらくたつが、今ではVer.5.5になっている。どの程度変わったのか画面の紹介と共に検証してみた。旧バージョンの4の説明はこちら。全体的に見てVer.4→Ver.5で大きく変わった点は
上記の違いは画面の説明のところで行うが、Ver.4に比べてより細かな設定ができるようになっている。またVer.4で好評だったログも変わりなく使える。Downloadaはhttp://smb.sygate.com/download_buy.htmから。ではさっそく基本画面から見ていこう。
なんとなくBlackICEに似たような感じの画面だが、グラフは
左上が「Incoming」:入ってくるトラフィック
下が「Outgoing」:出て行くトラフィックの現在の値
右側に「History」:経過
が表示される。そして右側のグラフはAttack Historyつまり外部からの攻撃のトラフィックを示すグラフとなっている。
下にある2つのリストは
上側が現在動作中のアプリケーションを表すもので、今はtmproxyとPOP3Trapの2つが動いている。
その下がメッセージ履歴で画面に表示されたメッセージや操作の履歴が表示される。
アプリケーション一覧の2つのチェックボックスは
「Hide Broadcast〜」:ブロードキャストという問い合わせのトラフィックを表示しない
「Hide Windows〜」:Windowsサービスで実行しているアプリケーション(Kernel32など)を表示しない
両方ともチェックを入れておいたほうがよい。下の「Hide Message〜」はメッセージ履歴を隠すボタンで、メッセージ履歴も通常は隠しておいたほうが見やすいと思う
実行中アプリケーションリストの内容は下記の通り
| Large Icons | 大きなアイコンで実行中のアプリケーションとサービスを表示する。 |
| Small Icons | 小さなアイコンで実行中のアプリケーションとサービスを表示する。 |
| List | 小さなアイコンで縦に実行中のアプリケーションとサービスを表示する |
| Application Details | アプリケーションとサービスの詳細を表示する。IncomingとOutgoingのAllowd、BlockとTotalはそれぞれ許可された、ブロックした、許可+ブロックの合計のトラフィックのバイト数を表示する。ChecksumはアプリケーションまたはサービスのFingerprint(指紋)を示す |
| Connection Details | アプリケーションとサービスのコネクションごとの詳細を表示する。Protocolはプロトコル(TCP、UDPなど)、StatusはTCP/IPの状態、ProcessはWindowsのプロセス番号(タスクマネージャのプロセスで表示される番号と同じ)。Statusはここの図にあるTCP/IPの状態遷移表の状態になる |
次にアプリケーションのアイコン表示について。アイコンには下記のように4種類の表示がある。
| Allowに設定されているアプリケーションまたはサービスを表す。 | Block:遮断設定になっているアプリケーションを表す。 | ||
| Ask:実行時に問い合わせの指定になっているアプリケーションまたはサービスを表す。 | 左下の青ドットは受信中を表し、右下の青ドットは送信中を示す。(Ver5.5では無くなった) |
実際に動かしてみた画面でみてみよう
左からApplicationで実際にネットワークに接続しているプログラムが表示される。tmproxyやIEXPLOREが動いている。ProtocolはTCPかUDPで、Statusが現在に状態。Connectは接続中、Listenは受信待ちの状態だ。LocalとRemoteのPort番号があって、80はHTTP。IPアドレスで->で相手先のIPがわかる。あとはProcess番号とアプリケーションのパスとなっている。
テストした環境ではTrendMicroのVirusBasterがインストールされているのでIE→tmproxyの経路でWebサイトからのデータを受けているのが良く分かる。またIEも同時に複数のコネクションを張ってデータを受けている。しかしDoubleClick(216.73.83.11)に繋がっているのがちょっと哀しい。
ではアプリケーションの登録と編集を見てみよう。
左では既にDounut〜tmproxyが登録済みとなっている。これはアプリケーションを初めて起動したときに次に示すダイアログが表示されて許可/不許可を指定したからだ。このアプリケーション一覧では左からファイル名(アプリケーション名)、バージョン、許可/不許可の設定、パス名が表示される。左端のチェックボックスが×は不許可(遮断)、チェックが許可、?が問い合わせになる。SygateはアプリケーションがインターネットにアクセスするときにMD5チェックサムを検査して変更が無いか(許可されたアプリケーション名を詐称していないか)をチェックする。したがってアプリケーションのバージョンアップを行ったときなどは一度この一覧から削除してから再登録したほうが良いと思う。下にあるボタンは「Advance:詳細設定」、「Remove:削除」、「Remove All:全て削除」である
ちょっと説明が前後するが、インターネットに接続するアプリケーションをはじめて実行したときのダイアログをみてみよう
このダイアログは前バージョンから変わっていない。下にチェックボックスとボタンが並んでいて、左から
「今回の設定を記憶する」
「Yes:接続を許可する」
「No:接続を許可しない」
「Detail:詳細を表示する」
通常IEを起動したときなどは左のチェックボックスにチェックを入れて「Yes」をクリックする。
Detail:詳細表示はアプリケーションの情報、インターネットに接続しようとする情報など非常に詳しい内容が表示される。とくにConnection origin〜の情報はProtocol:プロトコルやRemote〜の接続先情報からTCP/IPのフラグの状態まで、そんなに必要か?と思うくらい詳しい。
詳細情報の全てを説明するのは大変なのでここに見えている範囲だけ説明する。
File Version:アプリのバージョン
File Description:アプリの名称
File Path:アプリのフルパス
Process ID:OS上のプロセス番号
Connection origin:接続要求元(local initiatedは自PCからの接続要求ということ)
Protocol:TCPかUDP、
Local Address:自PCのIPアドレス
Local Port:自PCのポート番号
Remote Name:相手先のホスト名
Remote Address:相手先のIPアドレス
Remote Port:相手先のポート番号
Ethernet Packet details以下はパケットの詳細情報なので割愛します。
とまぁ、こちらの情報から相手先の情報まで詳しくわかるようになっているのだが、この詳細内容が理解できる方なら説明は不要かなと思う。次は登録したアプリケーションのAdvanced設定を見てみよう。ここは前バージョンと少し変更があるようだ。
左上から順に
「Name of Appli〜」:アプリケーションの名前
「Trusted IP's」:接続を許可するIPアドレス
「Remote Server Ports」:接続先のポート番号(TCPとUDPごとに指定する
「Local Ports」:ローカルのポート(これもTCPとUDPごとに指定する
「Allow ICMP」:ICMPを許可する
「Allow during〜」:スクリーンセーバ起動中の接続を許可する
「Enable Scheduling」:スケジューリング機能を有効にする
「During the period〜」:下記の指定期間だけ接続を許可する
「Excluding the period〜」:下記の指定期間以外に接続を許可する
「Beginning At」:スケージュールの年月日と時間を指定する
「Duration」:接続時間の長さを指定する
項目が多いので簡単に意味だけ列挙した。IPアドレスやポート番号に何も指定しなければ全て(ALL)の意味になる。
RemoteとLocalのポート番号を指定する右上に「Act as Client」と「Act as Server」というチェックボックスが追加されている。簡単に切り分けを行うと下表のようになる
| Act as Client | 指定したアプリケーションはクライアント(このアプリケーションから接続の要求を行う)タイプとして実行するのでRemoteのポート番号を指定する。Localポート番号は1024以上が自動で割り当てられるので指定は不要 | IE などのブラウザ メールクライアント |
| Act as Server | 指定したアプリケーションはサーバとして機能する。サーバアプリケーションがポートを開いて受信待ちを行うポートの番号をLocalのポートに指定する。Remoteポートは指定しない。 | P2Pツール Webサーバ FTPサーバ |
ここではブラウザの設定を行ってみる。
アプリケーション名がtmproxyになっているがIEXPLORERでも同じだ。
まず接続先を指定する。Trusted IP'Sは指定しない。OEなどのメーラーを使用するときはメールサーバのIPを指定しても良いがIEなどのブラウザでは不要。
次にRemote Server Portsの「Act as Client」にチェックを入れて、TCPのポートを指定する。ここでは80(HTTP)と443(HTTPS)を指定している。通常は▼をクリックしてリストから選ぶが、複数のポートを指定するときは","で区切って指定すればよい。
ブラウザをFTPクライアントとして使用する時はUDPも使うがここではFTPクライアントは別のアプリケーションを使用するので指定していない。
筆者はIEのFTPモードは嫌いなのだ。ICMPも不要だし、スクリーンセーバ実行中はブラウザが勝手に動いて欲しくないので指定していない。
こんな状態でアプリケーションを指定する。当然インターネットに接続を許可するアプリケーションだけ指定する。不許可(遮断)するアプリケーションを詳細に設定する必要はない。
アプリケーションの不許可(遮断)を指定していて、そのアプリケーションが実行されると画面の右下にこのような表示が現れて警告してくれる。
これでアプリケーションの設定は完了する。
次にSygate全体のオプション設定を見ておく。せっかくの高機能だからオプションの設定も使いこなそう。オプションはGeneral:全体のオプション、Network neighborhood:ローカルネット(LAN)の設定、Security:セキュリティチェックの設定、E-Mail Notification:Eメールによる警告、Log:ログ採取の設定、Update:製品のアップデートの設定がある。まずはGeneralから
ここでは上から
Sygateの起動方法として「システムトレイのアイコンを表示しない」
「Windows起動時にSygateを自動起動する」でISDNやモデムなどの非常時接続以外は必ず自動起動にする。
つぎはスクリーンセーバ実行時のモードで「スクリーンセーバ実行中はローカルのファイル共有をブロックする」。これはPCの前に居ないときにファイル共有などで勝手にファイルを参照されたりウィルスに感染するのを防ぐのだが、PCの使い方次第だと思う。
次がNotification:警告の確認方法で「警告メッセージを表示しない」と「警告時にビープ音を鳴らす」になっている。警告があまりにも頻繁だと邪魔だが、できるだけ警告は見るようにしよう。
最後は設定変更のパスワードロックの機能で「Set Password」でパスワードを指定すると変更時にパスワードが必要となる。最後のチェックボックスは「終了時にパスワードを必要とする」だ。
タスクトレイのアイコンは表示しておいたほうがいいように思う。このアイコンからメニューを起動したりできるし実行状態もアイコンの変化(11パターンある)でちょっとだけ判断できるからだ。
ここでは複数台のPCでLANを構成しているときのWindows共有機能について設定を行う。設定方法はNetwork Interfaceで設定したいNICを指定して下の2つのチェック「共有ファイルとプリンタのブラウズ(表示)を許可する」、「他のPCから自PCのファイルとプリンタの共有を許可する」を選択する。NICを2枚使用して1枚をインターネット、もう1枚をLANで使用するときにはインターネット側にはチェックを入れてはいけない。
1台だけのPCを所有してADSLなどでインターネットに接続しているのなら両方のチェックボックスにチェックは入れない。あくまでも複数のPCを所有してLANが構成された環境で使用するときだけチェックを入れるようにしよう。
ここでは使用できない項目(有償のPro版用の項目)がたくさんあるが、使用できる項目だけ説明する。上から
「ドライバレベルの保護を有効にする」
「NetBIOS保護を有効にする」
「DLLの承認機能を有効にする」
「DLLの許可を自動で行う」
真中の大きなボタンが
「アプリケーションの指紋データを初期化する」
となっている。
NetBIOS保護機能はサブネットアドレスを判定してWindowsの共有機能で使用するNetBIOSの許可/不許可を行うものなので必ずOnにする。
DLL承認もEnableにしておこう。
アプリケーションの指紋の初期化は通常使用しないが、AntiVirusなどの自動アップデート機能があるアプリが動かなくなったときに使用する。それ以外は初期化してしまうと再度許可/不許可の問い合わせが発生するのでちょっと面倒。
Ver5.5で少しだけ変更があった。
こちらがVer.5.5の画面。Ver.5との違いは
「Anti-Application Hijacking」
の項目が追加されているところ。この機能は悪意のあるWindowsアプリケーションがDLLを呼び出したり、他の許可済みアプリケーションの機能を横取りすることにより間接的に外部に接続することを防ぐ機能。たとえばOutlookのコンポーネントを利用してメールを送信したり、IEのコンポーネントで外部に接続したりということを防ぐ。この機能はかならずチェックを入れておく。
つぎは警告をメールで送信する機能。通常はあまり使うことも無いだろうが離れていてモニタを接続していないようなPCがあるときや、他の場所にあるPCを管理するときなどに役立つ
設定内容は左を参考にして欲しい。Fromに適当なメールアドレスを設定するのだが、メールサーバの設定によっては弾かれてしまう可能性もあるため注意が必要。それ以外はメールサーバのアドレスやアカウントの情報を正しく設定しておけば問題なくメールが送られてくる。メールの送信タイミングはそれぞれ「メールで警告を送らない」、「警告発生都度メールを送る」、「警告発生後x分ごとにメールを送る」になっている。「Test E-Mail Notification」をクリックするとテストメールが送信される。メールの設定が正しいかどうか確認するにはこのボタンをクリックする。
次はLogの設定。Sygateで一番お勧めしたいのがこの多彩なLog情報だ。ログ似出力される内容は前バージョンとあまり変わっていないが、このLogを使いこなせればあなたのインターネット生活にとって大変な飛躍となることだろう。
ここでは各ログの最大サイズと保存期間を設定する。ログは4種類あり、それぞれの保存するための最大サイズと保存期間を設定できる。各ログは内容を見てもらえばすぐに判ると思うが、どうしてもわからないときには、このサイトの掲示板にでも質問を投げかけて欲しい。Ver5になってこのログも強化されているので旧バージョンからUpdateされたかたはいとど全てのログを見比べるてみると楽しいだろう。なおCaputer Full Packetにチェックを入れると全てのパケットがログに採取される。TCP/IPを勉強するには実際のトラフィックのログで現象を解析するのが一番の近道だと思う。
Optionの最後は最新バージョンのチェック
ここで「Automatically check〜」にチェックを入れるとSygateの起動時に最新バージョンがあるかどうかをチェックしてくれる。通常はこれにはチェックを入れる
最後にAdvanced Rule(拡張ルール)について説明する。これまでのルールは各アプリケーションごとの設定となっていたが、DNSやDHCPなどのOSに依存するルールや昼間子供たちが使用するときに危険な操作を規制するなど、アプリケーション毎の依存では難しいルールをここで設定する。なお通常のDNSやDHCPはここで設定を行わなくても動作するが、ちょっと特殊なルールが必要な場合もあるらしい。
Advanced Ruleを選ぶとこのような一覧表示が出てくるので、下にある「Add」をクリックしてルールの追加を行う。ほかにボタンは「Remove:ルールの削除」、「Edit:ルールの再編集」、「Remove All:全ての拡張ルールの削除」、「↑:ルール適用の優先順位を上げる」、「↓:ルール適用の優先順位を下げる」のボタンがある。一覧の表示項目は最後に例をあげて説明する。
さっそくルールを追加してみよう。
ルールのターゲットとするのは4444番ポートを使うトロイの木馬を阻止することにする。左上から順に設定する内容は「Rule Description:ルールの名称」これは判りやすい名前なら何でも良い。「Block this traffic」か「Allow this traffic」でこのルールは遮断するルールなのか許可するルールなのかを選択する。次は「Apply Rule to Network〜:ルールを適用するインターフェイス」で適用するネットワークカードを選択する。「Apply this rule during〜:スクリーンセーバ実行中にルールを適用するか」でOnはスクリーンセーバ起動中に有効、Offはスクリーンセーバが起動時以外に有効、Bothはスクリーンセーバに無関係に有効となる。「Record〜:このルールに適用された内容をパケットログに出力する」になっている。最下段の内容は設定内容を表している文で設定を変えると内容が変化するので大変判りやすい。
Screensaver Modeの利用方法がわかりにくいかと思うが、簡単に説明するとスクリーンセーバモードとは操作していない場合となるので人間の操作による接続を防ぐのが目的であれば"Off"であり、故意ではない接続を防ぐのが"On"という切り分けだと思う。通常はBothでいいのではないか。
ここでは相手先のアドレス等を設定する。選べるのは4パターンで上から順に「全てのアドレスに有効」、「MACアドレス指定(相手のハードウェア指定)」、「IPアドレスで指定(カンマで複数指定可、"-"で最大値と最小値の設定も可)」、「サブネットで指定」となっている。ここではサブネットで192.168.0.0のアドレスにだけ有効となるように設定してみた。例としてあげたサブネットの設定内容が間違っているという指摘を受けそうだが、通常はAll addressかIP Addressを使うことになるだろう。
つづいてプロトコルとポート番号の設定。
ここではプロトコルとリモート(相手先)とローカル(自PC)のポート番号と方向を指定する。まずプロトコルはTCPかUDPかICMP、IPのプロトコルタイプのいずれかもしくは全てを選択する。RemoteとLocalのポート番号はリストから選択しても良いし、ポート番号を数字で入力することも可能。ここでもポート番号にカンマで区切って複数指定することも出来るし、ハイフンで最小値と最大値の設定も可能となっている。ICMPはタイプを指定する。最後にTraffic Directionで他のPCから入ってくる(Incoming)か自PCから出て行く(Outgoing)か両方(Both)を指定する。
さらにルールを適用するスケジュールの設定。
スケジュールはアプリケーションごとの設定と同じでいつから、いつまでの期間にルールを適用するのか、指定の期間だけルールの適用をしないのかを選択する。日付と時間の指定はアプリケーションごとの指定と同じなので割愛する。
最後にルールを適用するアプリケーションを指定する。
左端のチェックボックスにルールの適用を行うアプリケーションを指定するのだが、一般的にはAdvanced Ruleはアプリケーションごとのルールではないので、指定はしないか全てのアプリケーションに適用することになる。当然全てのアプリケーションに適用するときにはあえてチェックを入れる必要はない。
これでAdvanced Ruleの設定は終わり。
ルールの一覧に先ほど設定した内容が追加されえいる。左端のチェックボックスは指定したルールの適用を行わないときにチェックを外す。Advanced Ruleは難しいものではないが、アプリケーションごとのルールでは設定が難しいときにだけ使うようにしなければならない。
非常に良く出来たPersonal Firewallだが使いこなすのはアプリケーションの特性とプロトコルをある程度理解しなければならない。初めて使うFirewallとしては少し敷居が高いかもしれないが、使いこなせれば非常に役立つことが判るはずだ。
「ICS(インターネット接続共有)」
次に示すアプリケーションの接続を許可する。
(1) Kernel
(2) LSA Shell (LSASS.exe)
(3) Generic Host Process
(4) Application Layer Gateway Service (ALG.EXE XP)
(5) NDIS User mode I/O Driver
(6) Services and Controller app (XPと2000)
(7) ipnat.sys
(8) ICSHAREP.VXD, ICSMGR.EXE(98SEとMe)
・Security設定画面とIDS機能
Pro版の大きな特徴がIDS機能(侵入検知機能)である。Free版では設定できない(IDS関係の)項目が全て設定可能になっている。
IDS関係の設定項目の意味は下記に示す。
IDS関係以外の設定では
「Block Universal Plug and Play traffic」:UPnPの許可
「Allow Token Ring Traffic」:トークンリングの許可
「Block all traffic while the service is not loaded」:Sygateのサービスが停止状態のときは全てのトラフィックを遮断
がある。
またSmart機能(OS起動時のトラフィック制御)に
「Enable smart WINS」:WINSの許可
が設定可能。
Sygate ProのIDS機能は、侵入を検知するSID(Sygate Intrusion Detection)と侵入を防止するSIP(Sygate
Intrusion Prevention) の2つのシステムで構成されている。簡単に言うと侵入を検知すると、自動で防止処置を行うというシステムだ。
下表にSygateのIDSがサポートする侵入パターンの一覧を示す。
| Enable Intrusion Detection System | 下記のIDS機能を有効にする |
| Port Scan Intrusion Detection | ポートスキャンの検知 |
| Trojan Intrusion Detection | トロイの木馬が使用するポートに対する接続要求 |
| Signature-Based Intrusion Detection | 侵入方法の定義に従った検知 |
| Denial of Service Intrusion Detection | DoS(サービス停止攻撃)の検知 |
| Enable anti-MAC spoofing | MACアドレスの詐称によるパケットの偽装を防止する。ARPパケットを監視して不正なAPRを阻止する |
| Enable port scan detection | ポートスキャンの保護機能を有効にする |
| Enable anti-IP spoofing | IPアドレスの詐称による侵入を防止する |
| Enable OS fingerprint masquerading | Firewallのパケットの改変をOSに判らないようにする(Firewallの存在を隠蔽する) |
| Enable stealth mode browsing | ステルスモードのブラウジングを有効にする |
| Enable DoS protection | DoS攻撃から防御する |
| Automatically block attacker's IP address for... second(s) | 侵入を検知したときに、相手IPからの全てのパケットを遮断する時間を指定する |
・IDS関係の自動Update機能
IDSは侵入検知のパターンファイルを持っているので、UpdateもIDSに対応する機能がある。
下段の「Signature Update」が定義ファイルのUpdate機能で
「Automatically check for signature〜」
にチェックを入れておくと自動Updateが行われる。
・IDS関係の表示とログ
IDSが侵入を検知するとダイアログの表示とタスクトレイノアイコン表示が変る。
ダイアログは画面右下に表示され、相手先のIPアドレスや侵入形態が表示されている。このダイアログが表示されると自動遮断機能がONになるので相手先からの接続は一定時間遮断される。
また侵入のログはセキュリティログに記録される
セキュリティログに記録された侵入の履歴。相手先のIPやMACアドレスと侵入の形態が記録されているのがわかる。
・その他の機能
その他のPro(有償版)とFree版の違いは
となっている。
Sygate Proの購入情報。1年間のUpdateサービスは購入後に新バージョンが出た場合、無償でUpdateできる権利。IDS機能のUpdateやマイナーバージョンアップとは別の意味である。
| Sygate Personal Firewall Pro 1User | 39.95ドル(\4,400くらい) | |
| Sygate Personal Firewall Pro 1User (1年間のUpdateサービス付き) |
47.95ドル(\5,300くらい) |