運用
常時接続時代のパーソナル・セキュリティ対策(第3回)

4.NPFWの詳細設定

デジタルアドバンテージ
2001/02/15

 デフォルトの状態でも、NPFWにはあらかじめセキュリティ設定が施されているし、既知のウィルスに対するファイアウォール規則も用意されている。しかし、実際にはユーザーの環境に応じてそれらの規則をカスタマイズしたり、新しい規則を追加/修正する必要もあるだろう。そのような場合は、NPFWの拡張オプションを使って新しい規則の設定を行う。

Webサイトごとの個別設定

 NPFWでは、Webサイト(ドメイン)ごとに個別にファイアウォールの規則を設定することができる。これにより、デフォルト(および危険そうなサイト)では各種のスクリプトを実行しないように堅牢な設定のままアクセスし、cookieを使うような、ユーザーごとにカスタマイズしたり、ログオンしたりする必要があるサイトには、(cookieや各種スクリプトなどが実行できるようにした)なるべく制約の少ない状態にしてアクセスする、というふうに使い分けることができる。Internet Explorerの持つセキュリティ設定でも、cookieをオン/オフしたり、スクリプトやプログラムの実行を拒否/許可したりできるが、これらはすべてのサイトに対して同様に設定されてしまうので(正確には「ゾーン」というあるグループごとに設定可能であるが、柔軟性は高くない)、状況に合わせて使うということができなかった。

 NPFWのデフォルトでは、2カ所のサイト(Windows UpdateサイトとNPFWの自動更新サイト)に対する定義があらかじめ登録されている。この2つのサイトは、WindowsやNPFW自体の更新作業に必要なサイトであるため、不用意に制限をかけてしまうと更新ができなくなってしまう。そのため、デフォルトでこれらのサイトには制約なくアクセスできるように設定されている。これら以外のサイトに関しては、ユーザーが最初にサイトにアクセスしたときにインタラクティブに許可/拒否を決めるか、あらかじめユーザー自身がサイトを定義しておくかの2つの方法がある。

拡張オプション――Web設定画面
Webサイト(ドメイン)ごとに、プライバシー設定やスクリプト、Java/ActiveXプログラムの実行の許可/不許可を決めることができる。
  ここには個別に設定したいサイトの一覧が表示される。一番上にある「(デフォルト)」は、該当するサイト(ドメイン)がない場合のデフォルトの動作を決めるために使用される。
  デフォルトで定義されている2つのサイト。これらのサイトにアクセスする場合は、WindowsシステムやNPFWの更新作業を妨げないように、アクティブコンテンツの実行が許可されている。
  cookieの設定。デフォルト時のcookieの扱いはプライバシー設定画面によって決定されるので、ここではセットできない。
  プライバシー設定のデフォルト値。HTTP_REFERERと電子メール・アドレスについてはWebサーバへ情報を渡さず、HTTP_USER_AGENTについてはそのまま渡す。Webサーバに対する電子メール・アドレスの通知機能は、一般的なブラウザでは使用しない。検索エンジンのためのデータ収集ロボットがWebサーバをアクセスするときに、ロボット管理者の連絡先アドレスを伝えるために使ったりする。
  ファイアウォール規則の設定。→
  個別のサイトを追加する場合はこれをクリックする→

 特定のWebサイトやドメインに対して異なった取り扱いをするためには、そのサイト名やドメイン名を個別にNPFWに追加登録する必要がある。サイト名とドメイン名のどちらを使って個別の設定を追加してもよい(内部的には、単に文字列として一致するかどうかを調べているので、どちらでも構わない)。NPFWでは、ドメインの下に複数のサイトがあるものとして階層的に扱っているので(ツリー状に扱われる)、なるべくツリーの上位の方で設定を行うようにすれば、最小限の設定で済ませることができるだろう。

サイト/ドメインの追加
NPFWの拡張オプション画面にあるWeb設定で、[追加]ボタンを押すと、このサイト/ドメイン追加ダイアログボックスが表示される。これを使って、広告用のポップアップが表示されるウィンドウや、cookieなどをブロックすることができる。
  ここでは例として「www.popup-advertize-corp.com」という架空のサイト名(ホスト名)を入力しているが、先頭の「www」の部分が将来変わる可能性もあるので(Webサーバが増設されてwww1になったりする)、この部分を省略してドメイン名だけを入力したほうが、より汎用性が高い。

 いったんサイト名やドメインを入力すると、それは拡張オプションのWeb設定画面にツリー形式で表示されるようになる。次はこの画面を使って、それぞれのサイトごとに必要な設定を行う。

サイト/ドメインごとの個別設定
新たに追加したサイトやドメインに対して、プライバシーやアクティブコンテンツの設定を行う。ここでは、すべてのプライバシー情報とアクティブコンテンツをブロックしてみる。
  最初に、設定したいサイトを左側のペインから選択する。するとそのサイトに固有の設定が右側に表示される。
  プライバシー保護機能を使うには、このチェックボックスをオンにする。オフのままだと、左側の「(デフォルト)」で設定した内容が適用される。
  cookieはブロックする。
  HTTP_REFERERはブロックする。ほかに、許可するか(サーバへ渡す)、ユーザーが設定した固定的な文字列を返すか(サーバ側にとっては、これでは意味はないが、クライアント側にしてみればプライバシーの漏洩を防ぐことができるという意味がある)、を選択できる。
  HTTP_USER_AGENTもブロックする。と同様にこのほかにも、許可するか、ユーザーが指定する文字列を返すかが選択できる。
  メール・アドレス情報も、ブロックするか、許可するか、ユーザー設定の値を返すかが選択できる。ここではやはりブロックする、を選択しておく。
  アクティブコンテンツの設定はここで行う。

 アクティブコンテンツの設定では、JavaScriptやVBScript、Java/ActiveXプログラムの実行の可否を制御できる。また、繰り返し表示されるアニメーションGIFを禁止して不必要な(わずらわしい)描画を抑えることもできる(1回目だけは表示するが、無限リピートはしなくなる)。スクリプトやプログラムの禁止機能は、渡されたHTMLファイル中の<SCRIPT>や<APPLET>タグなどの部分をコメントアウトしたり、削除したりして実現している。アニメーションGIFの繰り返しの禁止は、GIFファイル中のデータを書き換えてリピートをしないようにしている。そのため、実際にWebサーバ上に置かれているデータとWebブラウザが受け取るデータは異なっていることになるが、ブラウザやアプリケーション側には何の修正も不要なので、有用性は高いといえる。ただしあまりに多くの項目を禁止しすぎると、Webページがまったく機能しなくなってしまうかもしれないので(例えばナビゲーション・メニューなどが表示されなくなってしまって、他のページへ移動できなくなったりする)、その効果を確認しながら、必要ならばときどき禁止機能を無効にして、正しくWebページの内容が表示されているかどうかをチェックする必要がある。

 また、Webサイトによっては、やたらと広告用のポップアップ・ウィンドウが表示されるサイトがあるが、NPFWはこのようなポップアップ・ウィンドウを表示するスクリプト(window.open(…) コマンド)だけを選択的に無効にする機能も備えている。

サイト/ドメインごとのアクティブコンテンツ設定
ScriptやJava/ActiveXなど、アクティブなコンテンツに関する設定はここで行う。
  HTMLファイル中にあるJavaScriptやVBScriptのコードに対して、そのまま通すか、ウィンドウのポップアップ・コードだけを削除するか、すべてのコードを削除するかを設定する。
  Javaアプレットの実行を許可するか、ブロックするかを設定する。
  ActiveXコントロールの実行を許可するか、ブロックするかを設定する。
  アニメーションGIFの繰り返し表示を許可するか、無効にするかを設定する。

ファイアウォール規則の設定

 ファイアウォール設定画面では、現在設定されているファイアウォール・ルールの一覧表示や、新しいルールの追加や修正が行える。デフォルトでは80個弱の規則があらかじめ定義されているが(これらのルールは、製品購入後1年間は無償でアップデートされる。その後は有償アップデートとなる)、ネットワーク・アプリケーションを使うにつれて、さらに自動的にルールが追加されていく。これらのルールは、上位にあるものの方が優先され、一致するものがあるとそれが適用される(ブロックされるか、拒否されるかが決まる)。デフォルトのルールでは、BOOTPDHCPDNS、ICMPなど、最低限のものだけが許可されている。Internet Explorerやメーラなどのアプリケーションが使用するポートについては、実行時に動的に作成され、追加されていく。

拡張オプション――ファイアウォール設定画面
ファイアウォールのルールの表示、設定画面。デフォルトでは80個弱のルールが定義されているが、このうち60数個はウイルス(トロイの木馬タイプが多い)に対する外部からのインバウンド接続(つまり、内部に送り込んだウイルスと通信して、内部情報をアクセスしたり、さらに外部へアクセスするための“踏み台”にしたりするための通信)をブロックするためのものである。これらのルールは上にあるものから順番にマッチするかどうかが検査される。
  現在定義されているファイアウォールのルールの一覧。上にあるものほど優先度が高く、先にマッチングが行われる。すべてのルールにマッチしない通信は、ログに記録されて、パケットは破棄される。
  新しいルールを追加する。
  既存のルールを修正する。
  ルールを削除する。
  ルールのテストを行う。擬似的にパケットを発生させて、どのルールにマッチするかとか、定義したルールが正しく機能するかどうかをチェックすることができる。
  その他の拡張オプションの設定。→

その他の拡張オプションの設定

 その他の拡張オプションの設定画面では、Webサービスで使用されるポート番号や、ファイアウォール・ルールの自動作成の制御などを行う。NPFWではWebアクセス時のTCP通信の内容を調べ、必要ならばプライバシー保護機能を稼動させる。HTTP通信かどうかはあらかじめ登録されたポート番号にマッチするかどうかでチェックされる。

拡張オプション――その他の設定画面
Webアクセスで使用するポート番号などの設定画面。
  Webのための通信で使用するTCPのポート番号。ここに列挙されたポート番号のTCP通信ならばHTTPプロトコルであるとみなし、プライバシー保護機能を稼動させる。独自のポート番号を使うようなWebサーバ(やProxyサーバ)に接続する場合は、ここにポート番号を追加する。
  ポート番号を追加する。
  ポート番号を削除する。
  IGMP(Internet Group Management Protocol)プロトコルをブロックする場合に使用する。IGMPはマルチキャスト通信環境で使用されるプロトコルであるが、一般的なクライアント用途ではまず利用することはないので、ブロックしておいた方がよいだろう。
  許可されていないポートに対して接続要求があった場合、これがオフならば何もしないが、オンならばブロックしたという情報を接続元へ返す。セキュリティ的に見ると、わざわざマシンの存在などの情報を教えるようなものなので、チェックボックスをオンにして秘匿したままにしておくとよいだろう。
  ヘッダが細かくフラグメント(断片化)したIPパケットの受信を拒否する。ある種のクラッキングでは、一般的な通信では使わないような、細かくフラグメントしたパケットを使うことがあるので、それを阻止する。
  これをオンにしておくと、使用しているアプリケーションやパケットの内容に応じて、あらかじめ用意されているファイアウォール・ルールが自動的に生成されて、NPFWに追加されていく。オフにすると、通信が発生するたびにユーザーに問い合わせるので、その都度手動でルールを設定することができる(手動ではなく、デフォルトですべてブロックしたり、許可したりすることも可能)。
 

 INDEX
  [運用]常時接続時代のパーソナル・セキュリティ対策(第3回)
    1.セキュリティ保護機能
    2.プライバシー保護機能
    3.NPFWのログ表示とオプション設定
  4.NPFWの詳細設定
    5.ファイアウォール・ルールによるセキュリティ警告
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT