複数台のコンピュータなどは使用せず,モデムやTAで直接インターネットに接続している場合,またCATVインターネットで接続している場合などでは,外部,内部から直接アタックを受ける可能性がある。簡単で,かつコストをあまりかけずにセキュリティ対策を行うには,ソフトウェアファイアウォールを導入することになるだろう。

 ソフトウェアファイアウォールは,フリー(無料)で使用できるものから,アンチウイルスソフトとパッケージになっている製品版まで選択肢が多く,どれを使用するか悩んでしまうかもしれない。ソフトウェアによってシンプルな構成のものから,Webページのバナーカットや個人情報をフィルタする機能など多機能なものもあるが,製品によっては体験版もあるので一度使用してみてから決めるのがよいだろう。

●BlackICE Defenderによる防御

 ここではいくつかあるソフトウェアファイアウォールの中から「BlackICE Defender」を取り上げることにする。BlackICE Defenderは,ほかのソフトウェアファイアウォールと比べ,侵入の阻止以外に,検知を行うことができるという特徴をもっている。また,基本的にインストールするだけで,外部からの侵入を防いでくれる。

 インストールするとタスクバーに常駐し,アタックがあると点滅して知らせてくれる。タスクバーからアタックの表示を選択すれば,どのIPアドレスからどのようなアタックがあったのか表示される(写真10)。試しにBlackICEがインストールされたマシン(Windows98SE)をローカルからnmapでスキャンしてみよう。スキャンはTCP SYN ステルススキャン+フィンガープリンティングを指定して行っている。結果は別ファイルで掲載するが,すべてのポートがクローズでフィンガープリンティングによるOSの推定も失敗している。

画面
写真10■nmapによるポートスキャンなどの攻撃があった場合は,「アタック」画面に攻撃もとと内容が表示される

 nmapのスキャンが開始されるとタスクバーのアイコンが点滅し,アタックを知らせる。アタック内容には,アタックした時間,内容,侵入者IPアドレスなどが表示される(写真11)。ここで,表示されたアタック内容に対し右クリックを行うと,「アタックを無視」,「侵入者の遮断」,「侵入者を信頼」,「アタックのクリア」がプルダウンメニューから指定できる。

 たとえば内部のローカルマシンからのアクセスを許すのであれば,「侵入者を信頼」を選択することで,設定画面の「信頼するアドレス」にそのIPアドレスが加えられる(写真12)。内部のみでWindowsファイル共有を行うのであれば,この「信頼するアドレス」にローカルのIPアドレスを登録しておかないと,アタックとして認識され,防御されてしまうのでファイル共有機能が働かなくなる。

画面
写真11■アタックされるとタスクバーのアイコンが点滅し,アタックを知らせる。アタック内容には,アタックした時間,内容,侵入者IPアドレスなどが表示される

画面
写真12■内部のローカルマシンからのアクセスを許すのであれば,「侵入者を信頼」を選択することで,設定画面の「信頼するアドレス」にそのIPアドレスが加えられる

 BlackICEの設定画面では「防御」とされる項目で,防御レベルを変更できる。選べるのは「最高,高,普通,なし」の4つで,インストール時には「普通」に設定されている。 最高にすると,TCP/UDPのパケットをすべて遮断する。つまりUDPを使うサービス(例えばストリーミングなどのインタラクティブコンテンツ)も使用できなくなる。強固な設定にすると,こういった不具合も生じてしまう点には注意が必要だ。

 「普通」で遮断されるのは1023以下のポートに対するTCP/UDPパケットの遮断だ。つまり,それ以上のポートを使用するトロイの木馬などが仕掛けられている場合,そのパケットは通ることになる。また,防御項目の下段には「インターネットファイル共有を有効にする」,「ネットワークコンピュータでの表示を有効にする」という項目があるが,これにチェックを入れるとWindowsファイル共有ポートが開くことになるので,必要がないかぎりここにチェックは入れないほうがよい。「オートブロッキング」にチェックを入れると,アタックがあった際に自動的に遮断されるようになる(写真13)。

画面
写真13■「オートブロッキング」にチェックを入れると,アタックがあった際に自動的に遮断されるようになる

 BlackICEにはほかにアタックのヒストリやなども表示できるといった機能もある(写真14)。ポートごとに細かな設定を行うには,設定ファイルを直接編集する必要があるなど,面倒な部分もある。また,ほかのソフトウェアファイアウォールにある個人情報フィルタや,バナーカットといった機能は持ちあわせていないので,使用を考えている場合は一度体験版を使用してみることをオススメする。

画面
写真14■アタックのヒストリやネットワークトラフィックなどもグラフ化されて表示できる

 前述したがソフトウェアファイアウォールはそれぞれソフトにより特徴があるので,事前に使用してみてから購入を検討するとよいだろう。また今回は紹介していないが,フリー(無料)で使用できる「ZoneAlarm」も素晴らしいソフトウェアファイアウォールなので,一度使用してみて頂きたい。

●パケットフィルタリングによるセキュリティ強化

 今回はパケットフィルタリングによるセキュリティ強化を中心に解説したが,パケットフィルタリングは,製品によってはすでに初期設定で主要なポートはフィルタリングがなされているものも多いため,あとは自分の環境と照らし合わせたうえで設定を行えばよいだろう。また,設定を行ったあとは,前述したようなセキュリティチェックサイトで,不要なポートが開いていないか必ずチェックをしておこう。

[TTS,ITmedia]

PREV 4/4