現在配布されている Outpost v1.0のバージョンは1.0.1817.1645(outpost.exeは1.0.242)です。
GUI窓のメニュー→ヘルプ→「Outpost Firewallのバージョン情報」で確認できます。
Outpostが作動しているとシステムトレイ(画面右下隅)に以下のような運用モード別のアイコンが出ます。 モードの変更はアイコンを右クリック→メニューから「ポリシー」を選択します。
許可優先:ルールで禁止された接続以外自動許可(テスト時のみ利用)
ルールウィザード:アプリが初めて接続するとルール設定窓がポップ(デフォールト/推奨)
ブロック優先:ルールで許可された接続以外自動遮断(これも推奨)
全てブロック:あらゆる接続を遮断(マシンの前を離れるときなどに利用)
無効モード:Outpostのフィルタを一時完全に無効(テスト時のみ利用)
OutpostのGUI(操作画面)はシステムトレイアイコンをダブルクリックするか、右クリック→「Outpost Firewallを表示」を選択すると表示されます。上部にメニュー欄、左側に接続表示窓、右側にログ表示窓があります。左側窓で項目を選択反転すると 右側窓に対応するログ(詳細情報)が表示されます。
左側窓で重要なのは、次の3項目です。
Allowed:許可された接続の内容
Blocked:遮断された接続と遮断の理由
Attack Detection:不正な侵入の試みの可能性がある接続要求 (ここにいろいろ載っていても遮断されてますから心配しないように。 FWが不正な侵入の試みと気づかない場合に実際に侵入されてしまうわけで)
上の例では、左欄でAllowedを選択、右側log窓に許可された通信の内容が表示されています。
1-2行目はAntivir(フリーのアンチウィルスソフト)のローカルマシン(localhost)内のプロセス間通信が許可されています。青表示はこの接続が「生きている」ことを表しています。
「理由」欄には本来AVGNT TCP Allowのようなルール名が表示されるはずですが、OPv1 のマイナーバグで、localhost内の通信の場合 Undefined Rule という表示にになってしまいます。
Outpostの環境設定、ルール設定は「オプション」窓から実行します。GUIの「オプション」メニューを開くか、 タスクトレイアイコン→右クリック→「オプション」を選択します。
デフォルトのままでよい。ログファイル設定もデフォの「512KB、1日で破棄」でよい。
下記次項を参照。
プラグインの有効・無効切り替え、設定、追加、削除
【NetBIOSの接続を許可する】
MS-Networkでファイルやプリンタを共有している場合以外、チェックが外れていることを確認してください。(MS-NetworkはInternet常時接続環境では安全なプロトコルではありません。)
【ICMPの設定】
pingやtracertなどネットワーク情報収集用パケットの送出、受信の設定です。通常デフォルトのままで特に問題ありません。
【応答のタイプ】
stealth(拒絶応答を返さない)にチェックが入っていることを必ず確認してください。
【その他のシステム設定】
設定ボタンをクリックするとシステムルール設定窓が出ます。後述のsvchost.exeまたはservices.exeにルール設定をした場合以外、 システムルールはデフォルトのままにしておいてください。 ネット接続に支障がでたり、応答が遅くなったりするおそれあり。
オプション→アプリケーションを選択するとアプリケーション設定窓が出ます。この窓からアプリケーション別に接続ルールを設定、編集します。なおここからアプリを削除しても設定ルールが削除されるだけで、 アプリ自体が削除されるわけではありません。 (なお、なぜOutpostはアプリケーションごとにルールを作るんですか?も参照)
ここに表示されたアプリはネットへの接続が一切遮断されます。 スパイかもしれない、というような怪しいアプリを 登録しておけばたびたび接続要求窓が出るのを防げます。
【制限付きで許可されたアプリケーション】
接続ルールを設定されたアプリはここに表示されます。通常のアプリはここへ登録。
ここへ登録されたアプリについてはOutpostのフィルタリングは一切無効になります。 テスト目的以外でここにアプリを登録しないこと。 Outpostを利用する意味がなくなります。VPNなどの特殊な接続を除いて、ここに登録しなければ使用できないような アプリは使用しないのが賢明。
ルールを設定されたアプリケーションはここに登録されます。
ルールウィザードモードでアプリケーションがネットに 接続しようとするとOutpostはルール設定窓を表示します。
Internet Explorer requesting an outgoing connection with...
(↑接続を要求するアプリケーション名 ↑接続の方向)
IEのようにポピュラーなアプリケーションの場合、あらかじめルールセットが用意されています。「プリセットからルール作成」のラジオボタンにチェックが入っていることを確認してでOKボタンを押すだけでIEはインターネットに接続できます。Outpostにアプリ名称が登録されていない場合でも、 Browser、mail clientのように ジャンルを選択すれば適切なルールセットが設定されます。
マニュアルでルールを設定する窓の設定項目は以下の4つです。
1 イベント
ルールを設定するイベント(項目)を選択します。
プロトコル(TCP or UDP 必須項目)
方向(送信=Outbound=内→外 受信=Inbound=外→内)
リモートホスト
リモートポート
ローカルホスト
ローカルポート
2 動作
「許可」または「遮断」(いっさい応答しない)を選択します。「拒否」は「拒否」応答が返るので非推奨
3 ルール設定
1でチェックを入れた項目に内容を設定します。青字の部分を左クリック。
プロトコル「TCP、UDP」を選択(必須)
方向「送信、受信」(TCPの場合。UDPの場合設定しない)
リモートホスト 接続先ドメイン名またはIPアドレスを入力
リモートポート 接続先のport番号(または名称)を入力
ローカルホスト 通常は非選択、またはLocalhostでよい
ローカルポート Localhost上のport番号を入力
4 名前
ルール名を入力します。ここで付けた名前がallowedの接続許可の「理由」欄に表示されるので 分かりやすい名前をつけておきましょう。
【ルール設定の手順】
IEでストリーミングビデオを見るためにms-streamingを許可するルールを設定する場合を例にすると…
IEでms*-streamingを利用したビデオのリンクをクリック→ポップアップ窓が出る→プリセット窓にDownload Managerと出るが、無視してOtherを選ぶ→Ok→ルール設定窓で以下のように設定
プロトコロル : TCP
方向 : 送信
リモートホスト : チェックしない
リモートポート : ms-streaming (port 1755)
ローカルアドレス : チェックしない
ローカルポート : チェックしない
動作 : これを許可する
名前: IE ms-streaming allow
インターネットに接続してデータをやりとりするためには、 コンピュータはネット上の住所であるIPアドレスを持つ必要があります。 しかし、コンピュータ上では複数のアプリケーションが作動していますから、 どのアプリケーションに対する接続なのかを識別する必要があります。
IPアドレスがマンションの住所だとするとポートというのは 玄関に置いてある戸毎の郵便受けのようなものです。 (実際には、OSが番号を付けて指定するメモリ上の領域です。)
外部からのデータはOSの通信プログラムによってこの記憶領域に書き込まれます。 アプリはOSから「データが来ているぞ」というメッセージを受けて 指定されたポート(記憶領域)を読みにいきます。送信の場合も同様に、アプリがポートにデータを書き込むと、OSがそれを外部に送信します。
オープンなポートというのは、アプリによって記憶領域が要求され、 OSがそれをポートとして指定し、かつそのポートへのデータの読み書きが許可された場合に生じます。クローズ、ステルスでは外部との通信は許可されません。
OutpostのOpenPortsはOSがアプリケーションに対してポートを作成し、 読み書きを許可した場合に表示されます。(listening状態)
これらのポートはOutpostが作動していなければ、実際にデータのやりとりが可能です。 しかしOutpostが作動している場合、ルール設定と運用モードによって、 外部から見た場合オープン、クローズ、ステルスのいずれの状態も取り得ます。
つまりOpen Ports と表示されていても運用モードがブロック優先または ルールウィザードならアプリに許可ルールがないかぎり遮断される。アプリ側にそのポート を遮断するルールがなく、許可優先モードで運用した場合は実際に接続が行われます。
クローズポートは記憶領域の割り当てが行われていないポートです。送られてきたデータ は破棄され、OSはICMP "Destination Unreachable"の不到達メッセージを送り返します。 ステルスポートはクローズポートと同様ですが、不到達メッセージを送り返しません。
ワームや人間のクラッカーなど悪意ある攻撃者は脆弱性のあるコンピュータを探すため大量のアドレスに接続要求を送信します。 このときこちらがステルス状態であれば、いっさい反応が返らないため、
1)そのようなアドレスを持つコンピュータが存在するかどうかわからない
2)接続要求に対して反応がないことを確認する間待っていなければならないのでポートスキャンの速度が非常に落ちる
という2点でクラッカーの攻撃を困難にする効果があります。
自分のコンピュータのポートの状態をオンラインでチェックしてくれるサイトがいくつかあります。
Shields UP! https://grc.com/x/ne.dll?bh0bkyd2 (→使用法)
PCFlank http://www.pcflank.com/
Sygate Online Scan http://scan.sygate.com/
HackerWhacker http://hackerwhacker.com/newindex.dyn
このようなサイトでチェックを受けるとき、当然ですがプロバイダやネットワーク管理者に「攻撃を受けた」と報告しないよう注意してください。テストを受けたことを忘れて、後でログを見て本物の攻撃と思い込む人がいますw
テストサイトによって手法が違います。またブラウザのセキュリティ (cookie、javascriptなどの)設定によっても結果が違ってきます。複数のサイトを利用して確認してみましょう。ポピュラーなアプリについてはOutpost付属のプリセットに標準的なルールが設定されています。またフォーラムにもいろいろなアプリのルールがありますから探してみてください。
Outpostが作動している状態で外部からテストしてオープンポートがあるということは、そのポートで何らかのアプリに対して受信(Incoming)接続を許可しているということです。
サーバを運用しているか、ファイル共有(P2P)ソフト、VPNソフトを使用している場合以外、受信を許可する必要はないはず。システムルール、アプリケーションルール、運用モードをチェックしてください。
これには後で説明するように、いろいろな原因があります。
まず最初に外部からチェックしているアドレスとあなたのマシンのアドレスが一致しているか確認してください。
XP、NT、 Win2000の場合:「ファイル名を指定して実行」→cmd→ipconfig /all
98系:「ファイル名を指定して実行」→winipcfg
いちばん多いのはルータを利用している場合です。それ以外にも、学校や職場のLAN環境でプロキシサーバが設定されている場合、あるいはプロバイダが独自のフィルタリングをしている場合もあります。
LANのプロキシやプロバイダのフィルタリングについては、個人ではどうにもならないので、それぞれ管理者に相談してください。
ルータはIPアドレスをLAN接続されているマシンのプライベートアドレス(※通常は192.168.0.2 - 192.168.0.254)に変換して(NAT)データをやりとりします。
個別のマシンが直接外部からの攻撃にさらされないため、ルータがあるとセキュリティは向上しますが、オンラインスキャンによるチェック時には個別マシンではなくルータのポートがスキャンされてしてまうことになります。
テストする際には一時的にルータの設定を変えて、外部からのすべてのパケットがあなたのマシンに直接届くようにします。マニュアルには「DMZ」や「ポートフォワーディング」などと表記されています。(※チェックがすんだ後、DMZの解除を忘れないよう。)
基礎