投稿日:2002年07月28日 作成鷹の巣

No.4355 BlackICE対ZoneAlarm、私の結論はZoneAlarmを選択。その一部始終です。



BlackICE対ZoneAlarm、私の結論はZoneAlarmを選択。その一部始終です。

No.4355 投稿時間:2002年07月28日(Sun) 00:21 投稿者名:simmn URL:

うちはDNSサーバーをインターネットとローカルLANを中継(Win2000のルーティング機能)するマシンにしていて
そこにファイアーウォールソフトを入れて、そのサーバーとローカルのLANを共に保護したい訳です。

しかし、AgnitumOutpostFirewallでは「すべてを許可」にした上で、別途、個別に遮断の定義をしてやらないと、必要な接続
まで一切通らなくなってしまいます。
これがもしポリシーの設定で既定をブロックにした上で個別にポートを許可できればいいのですが、なぜかApplicationの設定
画面ではポートを逐一許可するためのチェックボックスがグレーになっていて選択できません。

そこで、他のファイアーウォール製品の体験版やフリー版を色々と試したところ、BlackICE Defenderというものは遮断レベルを
最高にした状態でもポートやIPアドレスを「許可」してやれば、ローカルLANのマシンでメール送受信もブラウズもできる
ことが分かりました。

ちなみにWS版とServer版の両方を試しましたが、外見的な基本機能は同じです。違うのは、Server版の方がよりServer特有の
機能への攻撃を検知できるよになっているらしいですが、画面上ではわからず、値段が4万円もします。

体験版の入手は
http://www.toyo.co.jp/security/ids/support/index.html
です。


BlackICE DefenderとAgnitumOutpostFWの両方を入れてみました

No.4358 投稿時間:2002年07月28日(Sun) 12:54 投稿者名:simmn URL:

BlackICE DefenderとAgnitumOutpostFWの両方を同時に入れて、それぞれの動作をリアルタイムで比較してみました。
BlackICEは既定「最高」レベルのファイアーウォール設定にして必要なポートのみ開き、Agnitumは既定「すべて許可」にして
無用な接続のみ個別に遮断する設定です。

結果、今どのようなところからの接続があるかなど、マシンの通信状態を詳細に見るにはAgnitumが有用で、BlackICEは
侵入の試みなどがあった場合のレポートがわかりやすという、相互補完的な性能を発揮してくれています。
(BlackICEが先にインストールされているとAgnitumインストール時に警告ダイアログが出るが、今回はテストのため無視。)
残念なのはBlackICEは体験版なので、1ヶ月以内に製品版を購入しないと使えなくなってしまうことです。(買うしかない!!)

あと、BlackICEは防火壁サーバーにインストールした時は遮断「普通~最高」にすると個別ポートを開かないと
ローカルLANにデータが流れない(BI-WSを入れても同じ)のですが、ローカルLAN内のWSの場合には個別ポートの許可
設定はしなくてもインターネットに接続できます。
このあたりはここで長々と書いてもわかりにくいので、興味のあるかたは自宅サーバーとWSにインストールして動作を比較
してみてください。
また、自宅WSにはZoneAlarmも入れてみました。サーバーには入れていませんが、WS上で警告もきっちり現れるので、総合的には
ZoneAlarmが一番バランスが取れているかもしれません。

実はこのように色々試してみると、NortonInternetSecurityはアンチウィルス機能がバンドルされているから「お得」ではある
けれども、ファイアーウォールとしては物足りないと感じて来ました。


snortは、どうでしょうか?

No.4363 投稿時間:2002年07月28日(Sun) 17:37 投稿者名:鷹の巣 URL:http://sakauch.com/

> 残念なのはBlackICEは体験版なので、1ヶ月以内に製品版を購入しないと使えなくなってしまうことです。(買うしかない!!)


snort
http://www.port139.co.jp/ntsec_snort.htm
は、どうでしょうか?私も忙しくて、Windows2000にインストールして、ちょっと動かしただけで、まともに使用していませんが、
取りあえずは、動きました。(nmapNTは、WinPcapの関係で、上手く動かなくなりましたが。)

simmnさんだったら、使いこなせるのでは、ないでしょうか。


インストールが大変そうなので、今のところ敬遠、かな。

No.4372 投稿時間:2002年07月29日(Mon) 01:34 投稿者名:simmn URL:

ご紹介頂いたサイトを読んだのですが、複数のファイルをインストールする必要がありそうで、
いずれ時間が出来たときにファイルを集めて挑戦することにしたいと思います。

ZoneAlarmはまだWSにしか入れていないので、今度はZoneAlarmフリー版をDNS&MAILサーバーにも
入れてみようかと思います。

それにつけても、BlackICE For Serverの4万円は個人の自宅サーバー用としては高いので、やはり
買うとなると考えてしまいます。
(その前にZyWallザイウォール購入に数万円かけて結局うまく使いこなせなかったことを考えれば、
4万円でも高くはないはずなのですが。)


BlackICE WS版とServer版での挙動の違いを確認

No.4375 投稿時間:2002年07月29日(Mon) 04:49 投稿者名:simmn URL:

ローカル側から自宅DNS&MAILサーバーにメールを送信した場合、DNS&MAILサーバーに
インストールしたBlackICEがWS版だと「SMTPアタック」と出てしまうのが、Server版ではちゃんと
「SMTP Xchg Auth」(ArGoメールサーバーでAuthをオンにしている。)と表示されます。

やはり、Serverへの接続を正しく認識するにはServer版、金4万円也を買え、ということのようです。


ZoneAlarmもDNS&MAILサーバーに入れてみました

No.4384 投稿時間:2002年07月29日(Mon) 20:04 投稿者名:simmn URL:

1台のDNS&MAILサーバーにAgnitumOutpostFW、BlackICE for Server(Trial)、そしてZoneAlarmフリーの3つを
同時に入れて全部動かしています。(笑)
互いに衝突することもなく全部動いているのは壮観です。

ZoneAlarmはここですでに話題になっていた通りに「中程度」の設定にしたらメールの送受信も問題なくできました。

試しにLANのWSからサーバーにTELNET接続を試みたところ、BlackICEはログとグラフに警告が出ましたが、
ZoneAlarmは中程度の設定では吹き出しがでません。これは期待はずれとおもいきや、LogViewerタブ(Ver3のZoneAlarm最新版)
に「Rating High」つまり高い危険性として発信元のアドレスと目的のアドレスとポート23の記録がありました。
ちなみに、Agnitumは既定をすべて許可にしているので、特段の警告もなくログにTCP23がスキャンされたことだけが
表示されました。

ちなみに、うちのサーバーはTelnetは無効、かつアクセス権も限定しているので、接続は失敗します。

ZonAlarmを中程度のセキュリティで使うときにはログをよく見るようにしましょう。


ZoneAlarmが偽装トラフィック(?)をブロック!!

No.4397 投稿時間:2002年07月30日(Tue) 18:47 投稿者名:simmn URL:

驚きました。送信元がインターネットのポート80からで、送信先が自宅ローカルLAN192.168内のマシン(以前に
ActiveDirectoryの実験に使って今はWS代わりに使っている。ただしNetBIOS無効やその他のセキュリティ
には十分注意している。)に向けての接続が、内側からブラウズしてもいないのに突然入ってきたらしく、ZoneAlarm
の赤いダイアログが出て「ローカルマシン上で」ブロックされました。

私は今までWin2000のNATルーティングは外から最初に入るには逐一設定が必要なので、それをしない限り
内部からの発信に対する応答以外には侵入できないものと思っていました。
(WinXPはステートフル・インスペクション対応ですが、Win2000のNATルーティングもそうだろうと
思っていました。)

しかし、今回、送信元80番がこちらのLAN内に到達したということは、通常のインバウンドのパケットフィルタ
では防げず、ZoneAlarmがそれを捕らえたのだと思います。
ちなみに、設定は高レベルファイアーウォールです。
中間に位置していたDNS&MAILサーバーのZoneAlarm(中レベル設定)は特に反応はしませんでした。

このローカルマシンにはノートンのインターネットセキュリティも入れていて、高レベルのファイアーウォール設定に
していたのに、何の吹き出しも出ませんでした。
また、BlackICE-WSも最高レベルのファイアーウォール設定なのにブロックしてくれませんでした。

ひょっとしたらZoneAlarmが「過敏」ということもあるかもしれませんが、ログを見る限り相当危険な接続だったはずです。
ZoneAlarmのすばらしさが分かってきました。


大ボケでした。偽装トラフィックと思ったのはZoneAlarmのMoreInfoでした

No.4449 投稿時間:2002年08月03日(Sat) 21:04 投稿者名:simmn URL:

> 驚きました。送信元がインターネットのポート80からで、送信先が自宅ローカルLAN192.168内のマシン(以前に
> ActiveDirectoryの実験に使って今はWS代わりに使っている。ただしNetBIOS無効やその他のセキュリティ
> には十分注意している。)に向けての接続が、内側からブラウズしてもいないのに突然入ってきたらしく、ZoneAlarm
> の赤いダイアログが出て「ローカルマシン上で」ブロックされました。

その後、別の赤いダイアログが出たときにMoreinfoボタンを押したら、上記と同じアドレスにアクセスしようとして
失敗(ZoneAlarmPROで個別ブロックしたため。)し、とんだ大ボケだったことが判明しました。
しかし、なぜ赤いダイアログになったのかは不明です。


ZoneAlarmが未知のメールサーバーからの接続を「赤い錠前」を表示して阻止!!

No.4398 投稿時間:2002年07月30日(Tue) 19:09 投稿者名:simmn URL:

朝、出勤前にDNS&MAILサーバーを確認したら赤い吹き出しが出ていて、しかもWinのツールバー右端のZAアイコンのあるべき
場所に赤い錠前が表示されていました。
おどろいてログを見ると、いぜんからAgnitumのログでも頻繁に目にしていて、どうして接続してくるのか不思議に思いつつも単に
接続してくるだけのようで不信な挙動が無かったのでそのままにしていたその接続(TCP(flags:S)というもの)を、ZoneAlarmが
強制切断していたのです。
ファイアーウォールが中程度なのに警告ダイアログではなく、接続自体を緊急停止させたというのは、相当危険なものかもしれません。

ここでもまた、ZoneAlarmのおかげで危険な接続であることが判明したので、同時インストールしているAgnitumで自宅メールサーバー
への接続を「拒絶」にしました。

ちなみに、外部からのメールは普通に届いているので、正常な接続の誤認ではなさそうです。


強制停止は勘違いだったかも。

No.4474 投稿時間:2002年08月05日(Mon) 23:34 投稿者名:simmn URL:

今にして思うと、「強制停止」と思ったのは誤ってAutomaticLockをオンにしていたからかもしれません。
サーバーでこれをオンにしてしまうと、アイドル状態のときに回線が強制停止になって、手動で解除しないと
どこにも接続できなくなってしまうので気をつけましょう。

もちろん、普通のクライアントマシンなら不在のときのセキュリティ強化として有効な場合もあります。


ZoneAlarmで赤い錠前の頻出に、クラックかと思いきや・・

No.4441 投稿時間:2002年08月03日(Sat) 10:44 投稿者名:simmn URL:

ZoneAlarmの良さがわかったので、PRO版に移行することにしました。
個別にアドレス遮断ができるなど細かな設定ができるので、これはいいと思っていたところ、なぜかしばらくたって
画面を見ると赤い錠前で回線が勝手にロックされています。

で、ログには確かに色々なブロックが記録されているのですが、それほど重大な感じでもなく、こんなに頻繁に切れて
しまうのではメール受信にも困ると思っていたところ、「はた」と気が付きました。

それは、ProgramControlの設定画面でAutomaticLockをオンにしてしまっていたのです。
これは一定の時間マシンをつかわなかったりすると回線が強制切断されるというものです。

さっそくオフにしたところ、赤いダイアログの吹き出しが出ても回線は切れなくなりました。


AgnitumOutpostFWでリアルタイムに回線を監視

No.4442 投稿時間:2002年08月03日(Sat) 11:00 投稿者名:simmn URL:

ZoneAlarmは侵入検知には優れているものの、リアルタイムに回線の状況を把握する機能が乏しいところが残念です。
そこでAgnitumOutpostFWを「すべて許可」の状態で回線監視に使ってみています。

ZoneAlarmフリー版では個別アドレス遮断ができないので、Agnitumで個別アドレスが特定のサービスに接続することを
拒否する設定はできます。

不審なアドレスを完全遮断するとなると、ルーターのパケットフィルタでも出来ますが、ZoneAlarmPRO版なら
個別に完全遮断ができるようです。
ただしZoneAlarmPROの方で遮断しても、Agnitumの許可された一覧から消えないので、ひょっとしたらZoneで拒否してもAgniが
許可してしまう、みたいな相互干渉が起きる可能性もありそうです。
両者を同時に使う場合には、このあたりに十分注意してください。

ZAPROとAgnitumの両機能を備え、更にBlackICEのようなポートの個別開閉ができるような理想的なFWがあればいいのですが、
現状では複数のFWで監視するしかないのかもしれません。


ZoneAlarmオンのままでストリーミングやチャットを行う方法を書きます

No.4456 投稿時間:2002年08月04日(Sun) 12:43 投稿者名:simmn URL:

以前からZoneAlarmを利用している人にとっては常識なのかもしれませんが、設定にちょっと苦労したのでここに書いておきます。

症状・ZoneAlarmをオンにしているとストリーミングを見ようとしたときに「スタック溢れ」のエラーが出たり、マイクロソフトのサイトが
表示されて「マシンがビジー」みたいな表示になる。

解決策・
ZAのオンラインヘルプにもあるのですが、メディア・プレーヤーなどデータが来るのを待っている、つまり「リッスン」するアプリに対しては
ProgramControl-ProgramsタブのServer項目をクリックして現れる選択肢のうちAllowを選ぶ必要があります。
つまり、メディアプレーヤー(その他、チャットのアプリなども同様)がリッスン状態--例えばデータベースサーバーがリッスンするような感じ
--になることを許可してやります。
もちろん、Access項目の方も許可してやります。

さらに、【ここから重要!!】同タブ中の「Privacy」項目を見てIEのそれがオンになっていたらオフにする必要があります。

ファイアーウォールの設定についてはHighのままで大丈夫です。
既定ではブロードキャストを受け入れるので(ZA-PRO版では設定を変えられる)ポートの設定を変える必要もありません。

なお、以前、普通のファイルをダウンロードしようとして許可されていないみたいな403エラーになった時、ZoneAlarmを切ると正常に
ダウンロードできたことがあったのですが、多分上記と同じくPrivacy項目をオフにすればいいのではないかと思います。
(これはまだ試していませんが。)


ZoneAlarm(PRO)を入れたらMSNのサイトが何も表示されなくなった場合の対処法を書きます

No.4457 投稿時間:2002年08月04日(Sun) 12:51 投稿者名:simmn URL:

これもZAのProgramControl-ProgramsタブのPrivacy項目がオンになっていたらオフにすることで正常に表示されます。
なお、IE6自体のプライバシーの設定とは無関係のようです。


ZoneAlarm(PRO)を入れたらIEでファイルのダウンロードができなくなった場合の対処法を書きます

No.4458 投稿時間:2002年08月04日(Sun) 12:57 投稿者名:simmn URL:

これもストリーミングやMSNのサイトでのトラブルと同じく、ZAのProgramControl-ProgramsのPrivacy項目がオンになっていたらオフに
します。
実際に試した結果、ダウンロードできるようになりました。


折角、対処法をお書きになったのですから、simmnさんのWebページにリンクさせて頂けませんか?

No.4584 投稿時間:2002年08月14日(Wed) 07:05 投稿者名:鷹の巣 URL:http://sakauch.com/

> 実際に試した結果、ダウンロードできるようになりました。


折角、対処法をお書きになったのですから、simmnさんのWebページにリンクさせて頂けませんか?


simmnさん、大変勉強になります

No.4593 投稿時間:2002年08月14日(Wed) 12:01 投稿者名:dosanko URL:

セキュリティに関して、今勉強中です。BlackIceとCode Redでお騒がせのdosankoです。大変参考になりました。非常に詳細に対処法を書かれて居られ、とてもありがたいです。まだまだ駆け出しですので、わからないことが一杯です。鷹の巣さんのおっしゃるように、是非リンクしていただければ、嬉しいです。これから私も悪戦苦闘して頑張ってみます。今後ともよろしくお願いいたします。


|目次|掲示板|過去ログ目次|▲頁先頭|