Agnitum Outpost Firewall part14
>>658
>> 293氏、いくつか日本語FAQの追加を用意していたとこだったのでうpしときます。
よかったらメンテのときに使ってくだされ。アプリルールの設定の仕方とかもFAQで
ざっとおさらいしとくほうがいいと気づいたが、それはまた機をみて。
(これは「IEのルールはOPのプリセットの…」の後へ一括(1項目として)追加)
---begin----------------------------------------------------------------------------
Q: なぜOutpostはアプリケーションごとにルールを作るんですか?
A: PRO版(2.0、2.1)ではアプリをまたいだシステムルールの設定ができます。設定
項目と方法はアプリルールの設定と全く同様です。ただし、ルールの適用順位は個別
アプリルールが優先されます。つまりシステムルールはアプリルールが存在しない場合
のみ適用されるので注意してください。
Q: でもOPv1が個別のポートを指定して開け閉めできないのは不便ですねー。
A: 開け閉めというならOPはデフォで全ポートを閉めてます。あとポートだけ指定して
操作する機能はよほど注意して運用しないとセキュ穴を作るおそれがあります。
Q: というと?
A: パソコンが建物だとすると、ポートは玄関などの出入り口、パケットは建物に出入り
する人間ということになります。Win2000などに付属しているIPフィルタは単純にポート
を開け閉めすることしかできません。これは建物の出入り口に鍵をかけたり、解いたり
する機能といえます。錠をかけてあれば誰も通れませんし、錠が外してあれば誰でも
通れる。
Q: それじゃ防犯対策としてはレベルが低いw
A: パソコンを出入りするデータパケットは、何もないところから自然発生しません。必
ずそのパケットを処理するプログラムがないといけない。(そもそもあるポートが開いて
いてもそこにソケットを作るアプリがなければFWなどなくても届いたパケットはゴミとし
て捨てられるだけ。)Outpostは建物に出入りする人間の身分証(パケットの種類)と
>> 293氏、いくつか日本語FAQの追加を用意していたとこだったのでうpしときます。
よかったらメンテのときに使ってくだされ。アプリルールの設定の仕方とかもFAQで
ざっとおさらいしとくほうがいいと気づいたが、それはまた機をみて。
(これは「IEのルールはOPのプリセットの…」の後へ一括(1項目として)追加)
---begin----------------------------------------------------------------------------
Q: なぜOutpostはアプリケーションごとにルールを作るんですか?
A: PRO版(2.0、2.1)ではアプリをまたいだシステムルールの設定ができます。設定
項目と方法はアプリルールの設定と全く同様です。ただし、ルールの適用順位は個別
アプリルールが優先されます。つまりシステムルールはアプリルールが存在しない場合
のみ適用されるので注意してください。
Q: でもOPv1が個別のポートを指定して開け閉めできないのは不便ですねー。
A: 開け閉めというならOPはデフォで全ポートを閉めてます。あとポートだけ指定して
操作する機能はよほど注意して運用しないとセキュ穴を作るおそれがあります。
Q: というと?
A: パソコンが建物だとすると、ポートは玄関などの出入り口、パケットは建物に出入り
する人間ということになります。Win2000などに付属しているIPフィルタは単純にポート
を開け閉めすることしかできません。これは建物の出入り口に鍵をかけたり、解いたり
する機能といえます。錠をかけてあれば誰も通れませんし、錠が外してあれば誰でも
通れる。
Q: それじゃ防犯対策としてはレベルが低いw
A: パソコンを出入りするデータパケットは、何もないところから自然発生しません。必
ずそのパケットを処理するプログラムがないといけない。(そもそもあるポートが開いて
いてもそこにソケットを作るアプリがなければFWなどなくても届いたパケットはゴミとし
て捨てられるだけ。)Outpostは建物に出入りする人間の身分証(パケットの種類)と
|
|
|
664 :824 ◆KJ3agKxfv6 :04/02/23 11:31
面会の相手(アプリケーション)を確かめて出入りを許可する警備員みたいなもんです。
「Googleです。IEさんに面会」「ご苦労様です。port80応接室でIEがお待ちしてます」
「ベクター軒の出前ス。IEさんの注文ス」「FTP通用口へ回ってください」
「通りがかりのもんだ」「誰に面会ですか? 面会予約のない方は通れません」
「通りがかりのもんだ」「お前ポートスキャンだな。Attack Detectionに通報しますた」
「通りがかりのもんだ」「シツコイ! このアドレスからの接続は向こう30分間禁止!」
というようにアクセス制御してるわけですw OPのプロ版でシステムルールが設定できる
といっても、あくまでアプリルールを「念のため補完する役割」と考えたほうがいいです。
Q: X-Guard のようなポート管理ができるアプリとOPを併用するのはどうでしょう?
A: 自己責任でやってくだされ。本家FAQにもありますが、基本的にFWは他のFWや通信
フィルタと併用できません。X-Guardについては共存できるという報告がありますが、
もちろん保証ありません。http://www.geocities.jp/outpost_2ch/faq.html#1
----end--------------------------------------------------------------------
(「Outpostインストールしました! ちゃんと…」の項目中の↓この部分を削って、)
---begin---------------------------------------------------------
注:シマンテックによると、ポート113がステルスの場合だと
不具合が起きる可能性があるらしいので、
113は青(クローズド)でも気にしなくてOKです。
---end----------------------------------------------------------
(その後へ↓次の3項目立ててください。)
---begin----------------------------------------------------------------------------
Q: セキュリティチェックすると113だけどうしてもステルスになりません。
A: ルータ使ってませんか? port 113(Auth)は伝統的にサーバがクライアントの状態
を確認するために使われてます。これをステルスにすると動作が遅くなったりタイム
アウトしたりする不具合が起きる場合があるようです。このためルータのファームウェア
「Googleです。IEさんに面会」「ご苦労様です。port80応接室でIEがお待ちしてます」
「ベクター軒の出前ス。IEさんの注文ス」「FTP通用口へ回ってください」
「通りがかりのもんだ」「誰に面会ですか? 面会予約のない方は通れません」
「通りがかりのもんだ」「お前ポートスキャンだな。Attack Detectionに通報しますた」
「通りがかりのもんだ」「シツコイ! このアドレスからの接続は向こう30分間禁止!」
というようにアクセス制御してるわけですw OPのプロ版でシステムルールが設定できる
といっても、あくまでアプリルールを「念のため補完する役割」と考えたほうがいいです。
Q: X-Guard のようなポート管理ができるアプリとOPを併用するのはどうでしょう?
A: 自己責任でやってくだされ。本家FAQにもありますが、基本的にFWは他のFWや通信
フィルタと併用できません。X-Guardについては共存できるという報告がありますが、
もちろん保証ありません。http://www.geocities.jp/outpost_2ch/faq.html#1
----end--------------------------------------------------------------------
(「Outpostインストールしました! ちゃんと…」の項目中の↓この部分を削って、)
---begin---------------------------------------------------------
注:シマンテックによると、ポート113がステルスの場合だと
不具合が起きる可能性があるらしいので、
113は青(クローズド)でも気にしなくてOKです。
---end----------------------------------------------------------
(その後へ↓次の3項目立ててください。)
---begin----------------------------------------------------------------------------
Q: セキュリティチェックすると113だけどうしてもステルスになりません。
A: ルータ使ってませんか? port 113(Auth)は伝統的にサーバがクライアントの状態
を確認するために使われてます。これをステルスにすると動作が遅くなったりタイム
アウトしたりする不具合が起きる場合があるようです。このためルータのファームウェア
665 :824 ◆KJ3agKxfv6 :04/02/23 11:35
が113をクローズ(拒絶応答を返す)に設定していることがあります。キニシナイ方向で。
(参考:メル鯖が113に接続)http://www.geocities.jp/outpost_2ch/faq.html#19
-----↑end-----↓begin----------------------------------------------------
Q: port 1900になんだかいつも接続要求が出るんですが?
A: XPではport 1900 とport 5000はマイクロソフトのUPnP(ユニバーサル・プラグ・
アンド・プレイ)です。使ってなければ(99%使ってないはずw)ブラスタワームの侵入
口になったDCOM同様単なるセキュリティホールです。サービスごと無効にしときましょう。
↓ギブソンさんのところでXP用無効化ツールを配布してます。
http://grc.com/unpnp/unpnp.htm
↓同じくギブソンリサーチのDCOM無効化ツールも便利。(XPとW2Ksp4用)
http://grc.com/dcom/
----↑end------↓beggin----------------------------------------------------------
Q: いつも青字でNetBIOSトラフィックをブロックしたと出てるのがウザイです。
A: 方向は? 外から接続要求が飛んで来るのは止めようがないです。MS-Networkは
NetBIOS over TCP/IPというプロトコルを利用しています。これはPCをイーサーケーブル
で接続するだけでファイルやプリンタの共有ができるので便利ですが、あまり安全な仕組
みではありません。使わないなら無効にしときましょう。内→外のNetBIOSブロックの
表示は出なくなります。
《NetBIOS over TCP/IPを無効にする》
スタート→ネットワークとダイヤルアップ接続→ローカルエリア接続→プロパティ→
「インターネット(TCP/IP)」以外のプロトコルのチェックを外す
または、
ローカルエリア接続→プロパティ→「インターネット」選択反転→プロパティ→
詳細設定→WINSタブ→NetBOS over TCP/IPを無効にする
------end-----------------------------------------------------------------
…と、まあこんなとこなり。ヨロシク。
(参考:メル鯖が113に接続)http://www.geocities.jp/outpost_2ch/faq.html#19
-----↑end-----↓begin----------------------------------------------------
Q: port 1900になんだかいつも接続要求が出るんですが?
A: XPではport 1900 とport 5000はマイクロソフトのUPnP(ユニバーサル・プラグ・
アンド・プレイ)です。使ってなければ(99%使ってないはずw)ブラスタワームの侵入
口になったDCOM同様単なるセキュリティホールです。サービスごと無効にしときましょう。
↓ギブソンさんのところでXP用無効化ツールを配布してます。
http://grc.com/unpnp/unpnp.htm
↓同じくギブソンリサーチのDCOM無効化ツールも便利。(XPとW2Ksp4用)
http://grc.com/dcom/
----↑end------↓beggin----------------------------------------------------------
Q: いつも青字でNetBIOSトラフィックをブロックしたと出てるのがウザイです。
A: 方向は? 外から接続要求が飛んで来るのは止めようがないです。MS-Networkは
NetBIOS over TCP/IPというプロトコルを利用しています。これはPCをイーサーケーブル
で接続するだけでファイルやプリンタの共有ができるので便利ですが、あまり安全な仕組
みではありません。使わないなら無効にしときましょう。内→外のNetBIOSブロックの
表示は出なくなります。
《NetBIOS over TCP/IPを無効にする》
スタート→ネットワークとダイヤルアップ接続→ローカルエリア接続→プロパティ→
「インターネット(TCP/IP)」以外のプロトコルのチェックを外す
または、
ローカルエリア接続→プロパティ→「インターネット」選択反転→プロパティ→
詳細設定→WINSタブ→NetBOS over TCP/IPを無効にする
------end-----------------------------------------------------------------
…と、まあこんなとこなり。ヨロシク。
666 :824 ◆KJ3agKxfv6 :04/02/23 11:42