サーバをネットワーク攻撃から保護する

• ファイアウォール保護
• トロイの木馬からの保護
• アンチバンダル保護
• ブロックするアドレスと信頼するアドレス

• 目次へ移動

強力なアンチマルウェア機能に加え、VirusBarrier Server 3 は次の 2 つに分類される機能でネットワーク攻撃からサーバを保護します:

• ファイアウォール は、サーバがどのネットワーク通信を許可するかを指定します
• アンチバンダルは、さまざまな種類のネットワーク攻撃を見分けて遮断します

これらの機能によって、トロイの木馬、Ping 攻撃、ポートスキャンなど、ほとんどあらゆる種類の攻撃からの保護を実現します。

ファイアウォール保護

VirusBarrier Server 3 には、サーバとインターネットあるいはローカルの TCP/IP ネットワークとの間で発着信するすべてのデータパケットをフィルタリングする双方向ファイアウォールが搭載されています。 また、トロイの木馬が使うポートを遮断することで、トロイの木馬からも保護します。

ファイアウォールの設定を表示または変更するには、「ファイアウォール」タブをクリックします。

「ファイアウォール」タブをクリックすると、VirusBarrier Server 3 はファイアウォール設定をコントロールする「シンプル」モードを表示します。シンプルモードでは、通常の使用で遭遇するすべての状況に対応できるようにあらかじめ用意された 5 つのファイアウォール設定があり、個々の設定の効果をアニメーションで表現しています。皆さんに一番近いスクリーンが管理しているサーバ、地球がインターネット、その間のスクリーンがローカルネットワークの境界を表しています。デフォルト設定の「保護なし」では、コンピュータはいずれの方向にも制限なくデータの送信、受信が可能です。

5 つのファイアウォール設定は以下の通りです：

• 保護なし：VirusBarrier Server 3 のファイアウォールはネットワーク経由のすべての発信および着信データを許可します。
• ネットワークなし：VirusBarrier Server 3 のファイアウォールはサーバとインターネットまたはローカルの TCP/IP ネットワークとの間ですべてのデータの発着信を遮断します。警告：サーバをリモート管理する場合、「ネットワークなし」に設定するとそのサーバへのアクセスが遮断されますので、リモートで設定を変更できなくなります。
• クライアント、ローカルサーバ：VirusBarrier Server 3 のファイアウォールはサーバをクライアントおよびローカルネットワークサーバとして機能させます。サーバはクライアントコンピュータとしてインターネットにアクセスでき（サーバとしてではありません）、またローカルネットワーク上ではクライアントおよびサーバとして機能します。
• サーバのみ:VirusBarrier Server 3 のファイアウォールはサーバをサーバとしてのみ機能させます。このコンピュータを使用したインターネット閲覧など、すべてのクライアント機能がブロックされます。
• クライアントのみ：VirusBarrier Server 3 のファイアウォールはサーバをローカルネットワークまたはインターネット上のクライアントとしてのみ機能させます。サーバやファイル共有機能はブロックされます。

ほとんどのユーザにはこれら 5 種類の設定で十分に事足りますが、さらに詳細なコントロールが必要な場合には、VirusBarrier Server 3 の「詳細設定」モードに切り替えます。

詳細設定モード

VirusBarrier Server 3 は、管理するサーバに送受信させたい、またはブロックしたいトラフィックを選択して独自のルールを作成すできる「詳細設定」モードを用意しています。詳細設定モードの使用について、詳しくは カスタムのファイアウォール・ルールを作成する をご覧ください。

トロイの木馬からの保護

VirusBarrier Server 3 は主要なトロイの木馬のほとんどの動作を判別でき、その侵入途中で遮断することができます。このようなプログラムの中には、中央サーバにユーザのネットサーフィンの行動パターン情報を送るものもあります。また他のトロイの木馬には、ハッカーがコンピュータを乗っ取ったり、ファイルを盗んだりできるよう、ご使用のコンピュータに裏口を設けるものもあります。さらに、VMware Fusion や Parallels Desktop などを使用した仮想化環境で Windows を実行して NAT モードでサーバのインターネット接続を共有している場合には、VirusBarrier Server 3 が Windows のトロイの木馬の行動を認識して保護します。

VirusBarrier Server 3 のトロイの木馬に関する設定を表示するには、「ファイアウォール」画面上部の「トロイの木馬」タブをクリックします。

トロイの木馬からの保護を有効にするには、「トロイの木馬対策」スライダを「ON」に設定し、個々のトロイの木馬のチェックボックスを選択します。画面下部にある「すべてを有効」と「すべてを無効」ボタンは一度にすべてのチェックボックスを選択/選択解除できます。

個々の、またはすべてのトロイの木馬に対する保護設定は、設定したいトロイの木馬の名前を右クリックし、表示されるコンテキストメニューから適切なコマンドを選択して設定することもできます。

アンチバンダル保護

VirusBarrier Server 3 のアンチバンダル機能はサーバに入ってくるデータを監視し、フィルタリングして、侵入の兆候を探します。このフィルタリングは目に見えません：これが動作していることが分かるのは疑わしいデータを検出した場合だけで、その場合には警告を表示します。それ以外では、アンチバンダル機能は管理しているサーバのネットワーク動作を常時静かに監視しています。

「アンチバンダル」画面へ移動するには、「アンチバンダル」タブをクリックします。

「アンチバンダル・ポリシー」タブでは、ご使用のコンピュータに入ってきたデータをどのようにフィルタリングするかを設定します。「ブロックするアドレス」および「信頼するアドレス」タブには、疑わしいか、または信頼に値するとみなすホストや IP アドレスを登録します。

アンチバンダル・ポリシー

「アンチバンダル・ポリシー」パネルには、6 種類の侵入を防止するツールが用意されています。

• バッファ・オーバーフロー攻撃：あるソフトウェアがメモリのオーバーフローを起こした際に発生し、悪意のあるユーザがサーバに侵入できるようにする攻撃です。
• 侵入試行：一定時間内にあらかじめ決められた回数の不正パスワードリクエストを送り、サーバにアクセスしようとする試みです。AppleShare IP (ASIP)、FTP、HTTP、IMAP、POP、SMTP ごとに異なる設定が利用できます。
• Ping 攻撃：管理するサーバが一定頻度で起こる Ping リクエストを受信し、それがあまりにも多いため応答することによってサーバに負荷がかかるというものです。
• Ping ブロードキャスト：ブロードキャストアドレスへの Ping リクエストで、単一の Ping がご使用のローカルネットワークに増殖します。
• ポートスキャン：リモートコンピュータから管理するサーバのポートを探査し脆弱性を探る試みです。ご使用のコンピュータがサーバとして機能している場合は、このオプションのチェックを外すとよいでしょう。
• SYN フラッド：攻撃者が複数の TCP リクエストを送信し、接続の最終段階を完了させないことで、攻撃対象のコンピュータのリソースを浪費させます。

これらの名前の隣にあるチェックボックスをクリックすることで、それぞれの侵入手段に対する保護を有効または無効にできます。デフォルトでは、いずれかの侵入手段の名前をクリックすると、右側のペインにすべての侵入手段に対する通知と処理のポリシーが表示されます。それぞれの侵入手段ごとに個別のポリシーを適用したい場合は、アンチバンダルの詳細設定オプションで設定できます:詳しくは後述の「同じポリシーを適用する」セクションを参照してください。

2 つあるオプションであるアドレスをブロックするリストに入れておくか、またアクションを実行したことを通知する電子メールを受け取るかどうかを設定します。電子メールの通知を受け取るには、電子メールの設定を行う必要があります。「ポリシー」セクションで「オプション」ボタンをクリックし、続いて「設定...」ボタンをクリックします。表示される「電子メール設定」ダイアログで、使用する電子メールアカウントの必要な情報を入力します。（VirusBarrier Server 3 は侵入試行を検出したらその都度個別に電子メールメッセージを送信することはせず、別の侵入試行があるかどうかを 30 秒間待ち、もしあればそれらを 1 つのメッセージにまとめて送信します。

リストで侵入手段のタイプが選択されているときに、右上の「詳細設定」タブをクリックすると、その侵入手段のタイプに対する追加のオプションが表示されます。オプションは以下の通りです:

• バッファ・オーバーフロー攻撃：詳細設定はありません。
• 侵入試行：AppleShare IP (ASIP)、FTP、HTTP、IMAP、POP、SMTP ごとに、不正なパスワードの試行許可回数を設定できます。
• Ping 攻撃：Ping フラッドの感度を、ping 試行の間隔のミリ秒単位で設定します。ご使用のコンピュータがネットワーク上にある場合には、ネットワーク管理者が時々お使いのコンピュータに Ping を送るのはよくあることです。しかしご使用のコンピュータがネットワーク上にない場合は、Ping はめったにありません。唯一の例外は DSL またはケーブル接続を行っている場合です。ISP（インターネットサービスプロバイダ）がお使いのコンピュータに Ping を送り、オンライン上にあるかどうかを確認することがあります。
• Ping ブロードキャスト：詳細設定はありません。
• ポートスキャン：低から高のスライダを使って、内部計算に基づいて感度を調節します。
• SYN フラッド：感度を、毎秒許可される接続の試行数で設定します。

オプション

アンチバンダルの「ポリシー」画面の左下にある「オプション」ボタンをクリックすると、追加のフィルタリング設定が行えます。オプションは画面右側に表示されます。

• ステルスモード (Ping 応答を禁止)：チェックしておくと、ご使用のコンピュータはインターネット上やローカルネットワーク内の他のコンピュータから見えなくなります。しかし、匿名になる訳ではないので、他のホストにリクエストを送る際には、ご使用のコンピュータの IP アドレスが送信されます。
• 不明なプロトコルは停止：チェックしておくと、VirusBarrier Server 3 は不明のプロトコルを自動でブロックします。
• Apple Remote Desktop 制御を拒否：チェックしておくと、VirusBarrier Server 3 はサーバに対する Apple Remote Desktop ソフトウェアからのすべてのアクセスをブロックします。
• PORT モードの FTP 転送を許可：チェックしておくと、「クライアントのみ」のファイアウォールモードのときも、FTP 転送ができるようになります。

「電子メール」のセクションでは、攻撃が検出された際に電子メールで通知する設定を行います。（詳しくは前セクションを参照してください。）

同じポリシーを適用する

個々の侵入手段には、その種別に応じて、侵入が検知されたときの通知方法と取るべきアクションを設定できます。

「すべての保護に同じポリシーを適用」チェックボックスをチェックすると、侵入手段すべてに対して同じ通知とアクションが適用されます。このチェックボックスのチェックを外すと、例えばバッファ・オーバーフロー攻撃を検出した際には電子メールによる通知を受けて、侵入試行が発見された際には警告表示のみ行うといった、カスタム設定を行うことができます。このチェックボックスにチェックを入れると、VirusBarrier Server 3 に対してどの種類の侵入が発生しても同じように対応するよう指示します。

このチェックボックスにチェックすると、どの設定をすべての保護に適用するかを尋ねるダイアログボックスが表示されます。

ブロックするアドレスと信頼するアドレス

「ブロックするアドレス」リストは、攻撃や侵入の試みが一度失敗すると、その攻撃元のマシンとサーバとの通信を一定期間発生しないように管理するリストです。

「信頼するアドレス」リストはブロックするアドレスリストの逆の機能です: 管理するサーバへの接続を許可される "親しい" コンピュータを指定します。「ブロックするアドレス」リストは皆さんを敵から保護しますが、「信頼するアドレス」リストは友人に扉を開きます。VirusBarrier Server 3 のアンチバンダル・ツールは「信頼するアドレス」リスト上のコンピュータへのアクセスはブロックしません。また、それらの動作について、警告を発することもありません。ただし、「信頼するアドレス」リスト上のコンピュータはすべてのアクティブなファイアウォール・ルールの影響を受けます。

「信頼するアドレス」ウインドウのインタフェースは、「ブロックするアドレス」ウインドウとほとんど同じです。 同時に説明し、それぞれの違いについては必要に応じて解説します。これは「ブロックするアドレス」のウインドウです。

左のパネルは、現在「ブロックするアドレス」リストまたは「信頼するアドレス」リストに登録されている様々な IP アドレスについての情報を表示します。

• チェックボックス：このチェックボックスのチェックを外すことで一時的にブロックするアドレスまたは信頼するアドレスを無効にすることができます。 このチェックボックスはリストに項目を追加したときにはデフォルトでチェックされています。無効になっているとき、もう一度チェックボックスをクリックすると再度その項目を有効にできます。(このチェックボックスは、IP アドレスが永続的にブロック/許可される設定になっている場合にのみ表示されます。）
• 侵入者/ホスト：2 番目の列は、「ブロックするアドレス」リストでは侵入者の IP アドレスを表示し、「信頼するアドレス」リストでは許可した IP アドレスを表示します。
• 残り時間：IP アドレスが一定期間だけブロックまたは許可される設定にした場合、この列に残り時間が表示され、毎秒更新されます。それ以外は「永続ホスト」と表示され、その IP アドレスが手動で削除されるまで登録され続けることを示します。

ブロックする/信頼するアドレスの情報

「ブロックするアドレス」および「信頼するアドレス」のリスト内の項目をクリックすると、画面右のパネルに追加情報が表示されます。項目をダブルクリックすると、同じ情報が記載されたウインドウが開きます。

• ホスト：ホストの IP アドレスです。項目をダブルクリックして新しいウインドウを開いた場合、手作業でその IP アドレスを変更できます。「DNS ルックアップボタン」（?）をクリックすると、IP アドレスの数値から実際のドメイン名（もしあれば）に切り替えることができます。このアドレスはカーソルを「ホスト」の部分に重ねてクリックし、コンテキストメニューから「拡大表示」を選択して、大きく表示することができます。
• 理由：なぜその IP アドレス「ブロックするアドレス」リストに追加されたのかを表示します。「信頼するアドレス」リストにはすべての項目が手動で追加されるため、このテキストは表示されません。
• 総時間：「ブロックするアドレス」および「信頼するアドレス」のリストにホストが登録され続ける時間数です。「総時間」の部分をクリックすると、表示が「残時間」に変わります。再度クリックすると表示が「経過時間」に変わり、侵入者がどのくらいの間ブロックするアドレスリストに登録されているかを示します。「経過時間」をクリックすると再度「総時間」が表示されます。
• 開始：「ブロックするアドレス」および「信頼するアドレス」のリストにそのアドレスが追加された日時です。
• 終了：「ブロックするアドレス」および「信頼するアドレス」のリストに IP アドレスが保持される期限を指定した場合、その IP アドレスが除去される時間を表示します。
• 注意：この IP アドレスについて自分が入力したコメントです。また、VirusBarrier Server 3 は「ブロックするアドレス」リストに項目を追加するとき、この欄に自動でコメントを追加します。

DNS ルックアップについて

VirusBarrier Server 3 の様々な場所で、クエスチョンマークの入った黒い丸を目にすると思います。これをクリックすると、IP アドレスの数値をドメイン名が見つかればドメイン名に切り替えます。

IP アドレスはドメイン名に対して、必ずしも 1 対 1 の関係にならないことにご注意ください。例えば、一つの大きなドメインにおいて www.example.com はある IP アドレス、forums.example.com は別のアドレス、blog.example.com はさらに別のアドレスにホストされていることもあります。

その一方で、小さなドメインは単体のコンピュータ上の仮想ドメインとして、一つの IP アドレスを他のコンピュータと共有する場合があります。そのような場合ドメインルックアップは apache2-vat.market.example.com のような予期せぬコンピュータ名につながる IP アドレスを返す場合があります。

結果として、IP アドレスを入力するとあるドメインからのトラフィックをブロック（または許可）できますが、ドメインを入力するとすべての望むトラフィックをブロック（または許可）できないことがあります。これはインターネットのドメイン構造上の制限であり、VirusBarrier Server 3 のエラーではありません。予期せぬトラフィックのブロックや許可が起きる場合は、IP アドレスの代わりにドメイン名を使用するか、またはその逆を試してみてください。

アドレスを追加する

「ブロックするアドレス」リストまたは「信頼するアドレス」リストに手動でアドレスを追加する方法には 2 種類あります。(VirusBarrier Server 3 は警告から自動的にアドレスを「ブロックするアドレス」リストに追加することもできます。この設定はアンチバンダルのポリシーで設定します。）

アドレスを追加する 1 番目の方法は、「ログ」ウインドウで IP アドレスを選択し、コンテキストメニューから「ブロックするアドレスに追加」または「信頼するアドレスに追加」を選択します。詳しくは、 VirusBarrier Server 3 の監視機能を使用するをご覧ください。

リスト下部にある「＋（プラス）」ボタンをクリックしても、アドレスを「ブロックするアドレス」や「信頼するアドレス」リストに追加することができます。ウインドウが表示されます。

「ホスト」フィールドに IP アドレスを入力し、「期間」フィールドに数値を入力して、「ブロックするアドレス」リストまたは「信頼するアドレス」リストにこのアドレスが登録される期間を選択します。時間単位はポップアップメニューから選択してください。追加したいホストの IP アドレスの数値が分からない場合は、その名前を入力して「?」ボタンをクリックしてください。VirusBarrier Server 3 がお使いの DNS サーバに問い合わせ、正しい数値をフィールドに入力します。「備考」フィールドには、そのアドレスを追加した理由などのコメントを追加することもできます。このアドレスを「ブロックするアドレス」リストや「信頼するアドレス」リストに追加するのをやめる場合は、「キャンセル」をクリックします。

ワイルドカードを使用

「ブロックするアドレス」リストまたは「信頼するアドレス」リストでは、IP アドレスの範囲を示すのにワイルドカードを使用できます。その記述の仕方は、次の形式のように、まずIPアドレスの最初の部分を入力し、続いてアスタリスクを入力します：192.*.*.*や192.192.*.*、あるいは192.192.192.*の形式です。 これで入力した数値を含み、あらゆる数値で終わるすべてのアドレスが遮断されます。

アドレスの除去と移動

「ブロックするアドレス」リストまたは「信頼するアドレス」リストからアドレスを除去するには、除去したいアドレスをクリックし、「－（マイナス）」ボタンをクリックします。

もう 1 つの方法は、除去したいアドレスを右クリックして表示されるコンテキストメニューから「除去...」を選択します。このコンテキストメニューでは、「ブロックするアドレス」リストから「信頼するアドレス」リストに、あるいはその逆に、アドレスを移動することもできます。

アドレスを編集する

「ブロックするアドレス」リストまたは「信頼するアドレス」リストでは 3 通りの方法でアドレスを編集することができます：

• 編集したいアドレスをクリックし、次に画面左下の「編集...」ボタンをクリックします
• アドレスをダブルクリックします
• または、アドレスを右クリックして、表示されるコンテキストメニューから「編集...」を選択します。

「ブロックするアドレス/信頼するアドレスの編集」ウインドウが表示されます。アドレスの変更、コメントの追加や変更、「ブロックするアドレス」リストまたは「信頼するアドレス」リストに登録する期間の変更が行えます。

‹‹ サーバをウイルスとマルウェアから保護する VirusBarrier Server 3 の監視機能を使用する ››

© 2012 Intego.All Rights Reserved