ホーム > HTMLに役立つヒント> MACでADSL 〜セキュリティの話
このページは完全に僕のメモっす。きっぱり。 Yahoo! BBがやってきた。常時接続なので、セキュリティのことも考えないといけない。常時接続でもセキュリティしなくちゃとか、その辺の話です。 なお、僕の目的は単純にクライアントマシンを守るというだけで、サーバをたてたりということは考えていません(実は後でたてた「ADSLでMACサーバ」参照)。 何しろ手探り状態なので、このページの記述には間違いがあるでしょう。実行の際にはオウンリスクでお願いします。 このページに関する話題・間違いの指摘、ご指導などは「OS X(Darwin)掲示板」どうぞ。 [このページの改定日: 06/07/28 13:00] あなたはここへ来た、 71602番目の人です。(2001/11/1から)
このページは完全に僕のメモっす。きっぱり。 Yahoo! BBがやってきた。常時接続なので、セキュリティのことも考えないといけない。常時接続でもセキュリティしなくちゃとか、その辺の話です。
なお、僕の目的は単純にクライアントマシンを守るというだけで、サーバをたてたりということは考えていません(実は後でたてた「ADSLでMACサーバ」参照)。
何しろ手探り状態なので、このページの記述には間違いがあるでしょう。実行の際にはオウンリスクでお願いします。
このページに関する話題・間違いの指摘、ご指導などは「OS X(Darwin)掲示板」どうぞ。
[このページの改定日: 06/07/28 13:00] あなたはここへ来た、 71602番目の人です。(2001/11/1から)
メモ:何かとうわさのYahoo! BB。うちの場合(三鷹局)の経過は次の通り。
3ヶ月は待つつもりでいたのに、いきなりな感じで(実は期待していなかったので申し込んだことさえ忘れていた)開通しました。三鷹は穴場らしいですね(^^;
2001/10/4 予約申し込み 2001/10/5 本申し込み 2001/10/17 NTTから工事完了の連絡 2001/10/23 Yahoo!よりモデム発送のメール 2001/10/24 Yahoo!よりモデム到着。開通。 2001/10/25 ルータ購入。
Macintoshな人のための「うまく接続できん」チェックポイント。ただし、僕自身はスムーズに接続できたので、以下のことは試してないんです(^^; OS 9編です。 Open Transportのバージョンは2.7以上か(でもうちでは漢字トーク7.6でもつながっているのだ)。 モデムのファームウエアをアップデートしているか。 TCP/IPコントロールパネルの「オプション」で「必要な時にのみロード」を外してみる(常時ロードにする)。 グローバルIPアドレスを取得できているかチェックする(マックとモデムを直結して再起動後、TCP/IPを開くと取得できているかわかります)。 グローバルIPアドレスが取得できていない → TCP/IPの初期設定を一度捨てて、もう一度設定してみる。 グローバルIPアドレスが取得できている → ブラウザを疑ってみる。 それでもダメなら、あとはシステムのインストールをやり直すことしか思いつきません。これも、ネットワーク関連だけインストールしてみる、システム全部を上書きインストールしてみる、システム全部を新規インストールしてみる、と段階を踏んでみましょう。 旧システムを退避させておいて、新規インストールし、うまく接続できたらネットワーク関係だけを旧システムに書き戻してみる、という手もあります。 OS X編です。 まだノウハウがないです。
Macintoshな人のための「うまく接続できん」チェックポイント。ただし、僕自身はスムーズに接続できたので、以下のことは試してないんです(^^;
OS 9編です。
それでもダメなら、あとはシステムのインストールをやり直すことしか思いつきません。これも、ネットワーク関連だけインストールしてみる、システム全部を上書きインストールしてみる、システム全部を新規インストールしてみる、と段階を踏んでみましょう。 旧システムを退避させておいて、新規インストールし、うまく接続できたらネットワーク関係だけを旧システムに書き戻してみる、という手もあります。
OS X編です。
まだノウハウがないです。
モデムのファームウエアのバージョンを確認する方法がわからない。ウ〜ム。しょうがないので念のためアップデートしておくことにする。 Yahoo! BBの「ADSLの設定」ページからアップデータをダウンロードしてきて、専用ユーティリティ(ADSL upgrade utility)を立ち上げる。指示に従いながらモジュラーを抜き差しするだけで自動的にアップデートしてくれます。OS 9上で作業してください。 最初、ルータ越しにやろうとして失敗。モデム直結でないといけないですのでご注意。 で、どんなバージョンにアップデートされたのかというと…。わからないのであった(^^; ちなみにアップデートファイル「data.pack」は2001/10/3作成のものでした。
モデムのファームウエアのバージョンを確認する方法がわからない。ウ〜ム。しょうがないので念のためアップデートしておくことにする。
Yahoo! BBの「ADSLの設定」ページからアップデータをダウンロードしてきて、専用ユーティリティ(ADSL upgrade utility)を立ち上げる。指示に従いながらモジュラーを抜き差しするだけで自動的にアップデートしてくれます。OS 9上で作業してください。
最初、ルータ越しにやろうとして失敗。モデム直結でないといけないですのでご注意。
で、どんなバージョンにアップデートされたのかというと…。わからないのであった(^^; ちなみにアップデートファイル「data.pack」は2001/10/3作成のものでした。
さてさて、常時接続であります。何せOS XはUNIXですから、UNIX系のアタックにさらされることになります。やはりファイヤーウォールがないと不安。 ファイヤーウォールは単独で構築するものではなく、いくつかの手段を組み合わせて構築します。一般的なのは、IPフィルタリング(必要のない通信を通さない)とNAT(Network Address Translation=IPアドレス変換機能。外側から内側のコンピュータのアドレスが見えなくなる)の組み合わせ。 MACにこれらの機能を負わせて単独で構築することもできるようです。OS Xにはipfw(FreeBSDに組み込まれているIPフィルタリング機能)もnatd(こちらはNAT機能)も最初から組み込まれてますから。でも面倒そうなので、ここはルーターにがんばってもらいます。 なお、あちこちでIPフィルタリング=ファイヤーウォールという言い方がされてますが、どうも違うんではないか、というのがこのページのスタンスであります。 また、このページに書いてあるよりもセキュリティ強度を上げたいと思ったら、PROXYサーバをたてると良いでしょう。 参考:「ブロードバンド時代のセキュリティ入門〜最低限これだけはしておきたい〜」 メモ:NATとIPマスカレード おおざっぱな解釈ですが、NATはグローバルIPアドレス/プライベートIPアドレスの変換を1対1で行う仕組み、IPマスカレードはこれを1対多で行う仕組みと理解しています。 フツー、ルータにはNATとIPマスカレードの両方が搭載されています。
さてさて、常時接続であります。何せOS XはUNIXですから、UNIX系のアタックにさらされることになります。やはりファイヤーウォールがないと不安。
ファイヤーウォールは単独で構築するものではなく、いくつかの手段を組み合わせて構築します。一般的なのは、IPフィルタリング(必要のない通信を通さない)とNAT(Network Address Translation=IPアドレス変換機能。外側から内側のコンピュータのアドレスが見えなくなる)の組み合わせ。
MACにこれらの機能を負わせて単独で構築することもできるようです。OS Xにはipfw(FreeBSDに組み込まれているIPフィルタリング機能)もnatd(こちらはNAT機能)も最初から組み込まれてますから。でも面倒そうなので、ここはルーターにがんばってもらいます。
なお、あちこちでIPフィルタリング=ファイヤーウォールという言い方がされてますが、どうも違うんではないか、というのがこのページのスタンスであります。
また、このページに書いてあるよりもセキュリティ強度を上げたいと思ったら、PROXYサーバをたてると良いでしょう。
参考:「ブロードバンド時代のセキュリティ入門〜最低限これだけはしておきたい〜」
メモ:NATとIPマスカレード おおざっぱな解釈ですが、NATはグローバルIPアドレス/プライベートIPアドレスの変換を1対1で行う仕組み、IPマスカレードはこれを1対多で行う仕組みと理解しています。 フツー、ルータにはNATとIPマスカレードの両方が搭載されています。
(この項目、2001/10時点のこと。今ではルータの顔ぶれも値段も機能も変わっているはず) まっとうにルーターを探してみましたが、高いのねー、セキュリティ機能がちゃんとしてるのって。これなら満足と思ったヤツは3万もしました。金ないって。 参考:「ブロードバンド・ルータ徹底攻略ガイド」「ブロードバンドルータ完全ガイド」「ブロードバンドルータ導入ガイド2001/7/13」「悪人の部屋」 ●bRoad Lanner BRL-04A(http://www.planex.co.jp/brl-01/brl-04a.htm)、特化キャンペーンだとかで、8,980円(実売価格)也。 NAT/IPマスカレード(NAPT)はやってくれるけどIPフィルタリングがout側だけで貧弱。 スループットが3.8Mbpsなんで、それ以上の回線スピードがでているところでは止めた方がいいです。また、ログ機能もないです。 ファームウエアのアップデートが、最初からMAC対応なのが魅力。 ●メルコ・BLR-TX4/BLR-TX4L(http://buffalo.melcoinc.co.jp/products/catalog/item/b/blr-tx4/index.html)9,800円(実売価格)。 ファームウエアのアップデートが、exeファイルでWindows専用。よってボツ。 ●コレガ・BAR SW-4P(http://www.corega.co.jp/product/list/router/barsw4p.htm)9,800円(実売価格)。 スルーは7.4M。フィルタリング機能については詳しいことがわからない。ログ機能もないようだ。Yahoo! BB関係掲示板では定評のあるルータらしい。 NTTの「Web Caster AR220」、アライドテレシス社の「CentreCOM AR220E(日本語の取説がpdfでダウン可能)」はこのOEMとの情報あり。エレコムの「LD-BBR4」も同じかも。 僕はこれに決めました。
(この項目、2001/10時点のこと。今ではルータの顔ぶれも値段も機能も変わっているはず)
まっとうにルーターを探してみましたが、高いのねー、セキュリティ機能がちゃんとしてるのって。これなら満足と思ったヤツは3万もしました。金ないって。
参考:「ブロードバンド・ルータ徹底攻略ガイド」「ブロードバンドルータ完全ガイド」「ブロードバンドルータ導入ガイド2001/7/13」「悪人の部屋」
●bRoad Lanner BRL-04A(http://www.planex.co.jp/brl-01/brl-04a.htm)、特化キャンペーンだとかで、8,980円(実売価格)也。
NAT/IPマスカレード(NAPT)はやってくれるけどIPフィルタリングがout側だけで貧弱。 スループットが3.8Mbpsなんで、それ以上の回線スピードがでているところでは止めた方がいいです。また、ログ機能もないです。 ファームウエアのアップデートが、最初からMAC対応なのが魅力。
NAT/IPマスカレード(NAPT)はやってくれるけどIPフィルタリングがout側だけで貧弱。
スループットが3.8Mbpsなんで、それ以上の回線スピードがでているところでは止めた方がいいです。また、ログ機能もないです。
ファームウエアのアップデートが、最初からMAC対応なのが魅力。
●メルコ・BLR-TX4/BLR-TX4L(http://buffalo.melcoinc.co.jp/products/catalog/item/b/blr-tx4/index.html)9,800円(実売価格)。
ファームウエアのアップデートが、exeファイルでWindows専用。よってボツ。
●コレガ・BAR SW-4P(http://www.corega.co.jp/product/list/router/barsw4p.htm)9,800円(実売価格)。
スルーは7.4M。フィルタリング機能については詳しいことがわからない。ログ機能もないようだ。Yahoo! BB関係掲示板では定評のあるルータらしい。 NTTの「Web Caster AR220」、アライドテレシス社の「CentreCOM AR220E(日本語の取説がpdfでダウン可能)」はこのOEMとの情報あり。エレコムの「LD-BBR4」も同じかも。 僕はこれに決めました。
スルーは7.4M。フィルタリング機能については詳しいことがわからない。ログ機能もないようだ。Yahoo! BB関係掲示板では定評のあるルータらしい。
NTTの「Web Caster AR220」、アライドテレシス社の「CentreCOM AR220E(日本語の取説がpdfでダウン可能)」はこのOEMとの情報あり。エレコムの「LD-BBR4」も同じかも。
僕はこれに決めました。
BAR SW-4PのファームウエアのアップデートユーティリティはMACに対応していません。でもシェアウエアを使うことでアップデートは可能です。 デフォルトのシステムは次の通り。 ハードウェア・バージョン 1.04 ファームウェア・バージョン R1.10 Apr. 27, 2001 が、コレガのホームページにいくと、最新バージョンは1.12だそうです。さっそくアップデート。 ・TFTPd-100(英語:シェア$10)←僕はこれを使いました。よくわかんないのですが、このソフトはTFTPサーバソフトではないかと思います。作者はオーストラリアの人なんですが、USドルで払えといってます。シェア料金はちゃんと払いましょう。アップデートの手順は以下の通り。 コレガのページからアップデートファイル「barfw112.bin」をダウンロード。 TFTPdを立ち上げる。 システムフォルダ/初期設定/TFTPdというフォルダの中に「barfw112.bin」を入れる。 ブラウザでhttp://192.168.1.1にアクセスして「ファームウエアのアップデート」を選択する。 「TFTPサーバー IPアドレス」にTFTPdを立ち上げているMACのアドレス(例:192.168.1.11)をいれ、「ダウンロード・ファイル名」にはアップデートファイル名「barfw112.bin」を入れる。 「更新」ボタンを押すとアップデートが始まり、自動的にリブートする。 変更後、システム情報を見ると次のようになっていました。 ハードウェア・バージョン 1.04 ファームウェア・バージョン R1.12 Aug. 29, 2001 無事にファームウエアがアップデートされています。また、アップデートが済んだらMACをリスタートしてください。でないとTFTPサーバが動きっぱなしになっていますから(TFTPd-100には終了メニューがない)。 2002/7/10 追記。バージョン1.20がリリースされました。 2002/7/21 追記。バージョン1.21がリリースされました。 こちらから。http://www.corega.co.jp/support/download/router_barfarm.htm#barsw4p 1.20でかなり機能が拡張された上、1.21でバグがとれたそうですから、必ず1.21にしましょう。ステルス機能も加わって、より安全性も高くなっています。変更後、システム情報を見ると次のようになっていました。 ハードウェア・バージョン 1.04 ファームウェア・バージョン R1.21 Jul. 18, 2002
BAR SW-4PのファームウエアのアップデートユーティリティはMACに対応していません。でもシェアウエアを使うことでアップデートは可能です。
デフォルトのシステムは次の通り。 ハードウェア・バージョン 1.04 ファームウェア・バージョン R1.10 Apr. 27, 2001
が、コレガのホームページにいくと、最新バージョンは1.12だそうです。さっそくアップデート。
・TFTPd-100(英語:シェア$10)←僕はこれを使いました。よくわかんないのですが、このソフトはTFTPサーバソフトではないかと思います。作者はオーストラリアの人なんですが、USドルで払えといってます。シェア料金はちゃんと払いましょう。アップデートの手順は以下の通り。
変更後、システム情報を見ると次のようになっていました。 ハードウェア・バージョン 1.04 ファームウェア・バージョン R1.12 Aug. 29, 2001
無事にファームウエアがアップデートされています。また、アップデートが済んだらMACをリスタートしてください。でないとTFTPサーバが動きっぱなしになっていますから(TFTPd-100には終了メニューがない)。
2002/7/10 追記。バージョン1.20がリリースされました。
2002/7/21 追記。バージョン1.21がリリースされました。 こちらから。http://www.corega.co.jp/support/download/router_barfarm.htm#barsw4p
1.20でかなり機能が拡張された上、1.21でバグがとれたそうですから、必ず1.21にしましょう。ステルス機能も加わって、より安全性も高くなっています。変更後、システム情報を見ると次のようになっていました。 ハードウェア・バージョン 1.04 ファームウェア・バージョン R1.21 Jul. 18, 2002
ブラウザで「http://192.168.1.1」にアクセスするとルータの設定画面がでてきます(以下の画面はバージョン1.04のものです。基本的には最新バージョンも変わっていません)。 まずは名前とパスワードを変更しておきましょう。「アドバンスド設定 / システム設定」をクリックして、名前とパスワードを入れて、下の「更新」ボタンをクリックします。 BAR SW-4P付属の説明書は貧弱なので、必ずホームページから説明書をダウンしてきて一読しましょう。かなり詳しく書いてあります。 なーんもしなくてもNATは動いています。試しにルータにアクセスして「システム情報」を表示させると、LAN側IPアドレスは「192.168.x.x」とプライベートアドレスになっています。こんな感じ。 ハードウェア・バージョン 1.04 ファームウェア・バージョン R1.12 Aug. 29, 2001 システム稼動時間 X 日 X 時間 XX 分 XX 秒 LAN状態 MACアドレス : xxxxxx IPアドレス : 192.168.1.1 サブネットマスク : 255.255.255.0 DHCP : 有効 DHCP開始アドレス : 192.168.1.11 DHCP終了アドレス : 192.168.1.254 WAN状態 MACアドレス : xxxxxx IPアドレス : xxx.xxx.xxx.xx サブネットマスク : xxx.xxx.xxx.xx ゲートウェイ : xxx.xxx.xxx.xx DNSサーバー1 : xxx.xxx.xxx.xx DNSサーバー2 : xxx.xxx.xxx.xx ついでに一通り見てみました。 ●DMZ設定 非武装地帯のコンピュータをローカルIPアドレスで指定する。この指定をしたコンピュータはインターネット側から丸見えになります。WAN側からの要求をすべてここで指定したマシンにスルーしますのでご注意。 ネットワークゲームなどで、特別なポートで通信が必要な場合などに使用します。あらかじめ必要なポート番号がわかっている場合はこの機能ではなく、バーチャルサーバ機能の方が安全です。毎回ポートがランダムに変わるようなゲームの場合にDMZを使用します。 この指定は即座に有効/無効になるそうですから、ゲームが終わったら必ず「無効」にしましょう。 アドバンスド設定 / DMZ設定 DMZホスト 192.168.1. ●バーチャルサーバの指定。 このルータは、WAN側からリクエストのあった場合、基本的にすべて遮断します。LAN側からWANに要求をだし、その返信に対してだけ通すようになっています。つまり、通常はLAN側から要求がないと接続できないですが、この機能を使うとWAN側から要求があったときにその要求を通すことができます。 アドバンスド設定 / バーチャル・サーバーの設定 バーチャル・サーバー 有効 無効 バーチャル・サーバー グローバルPort ローカルIP ローカルPort サービス・タイプ 備考 こちらはその設定画面。バーチャルサーバーを「有効」にして、「グローバルport」で入ってくるポートを指定。それをどのコンピュータの(ローカルIPで指定)どのポート(ローカルportで指定)に流すか、および、それがTCPかUDPか指定する。 アドバンスド設定 / バーチャル・サーバーの設定 / 追加 バーチャル・サーバー 有効 無効 グローバルPort (0~9600) ローカルIP 192.168.1. ローカルPort (0~65535) サービス・タイプ TCP UDP 備考 ●スタティックルーティングの設定 スタティックルーティングというのは、ネットワークとネットワークをつなぐときに設定するものだと理解しているので、うちでは用なし。 アドバンスド設定 / スタティック・ルーティング・テーブル ネットワーク・アドレス サブネットマスク ゲートウェイ インターフェイス この他にもDHCPの詳しい設定などがあります。どのマシンにどのプライベートIPを割り当てるか指定するには、MAC上で指定しちゃう方法(TCP/IPで指定する。手入力にしてIPアドレスとサブネットマスク、ルータアドレスを記入する)とDHCPの固定テーブルを使う方法があります(固定テーブルでIPとMACアドレスを指定する。MACアドレスというのはLANカードにつけられているシリアル番号みたいなヤツで、世界に1つしかない。Macintoshの略称ではないです)。そーゆー用途でない限りDHCPの設定は用がないでしょう。 参考:「フレッツ・ADSLで使う、2万円以下のブロードバンドルータ」
ブラウザで「http://192.168.1.1」にアクセスするとルータの設定画面がでてきます(以下の画面はバージョン1.04のものです。基本的には最新バージョンも変わっていません)。
まずは名前とパスワードを変更しておきましょう。「アドバンスド設定 / システム設定」をクリックして、名前とパスワードを入れて、下の「更新」ボタンをクリックします。
BAR SW-4P付属の説明書は貧弱なので、必ずホームページから説明書をダウンしてきて一読しましょう。かなり詳しく書いてあります。
なーんもしなくてもNATは動いています。試しにルータにアクセスして「システム情報」を表示させると、LAN側IPアドレスは「192.168.x.x」とプライベートアドレスになっています。こんな感じ。
ついでに一通り見てみました。
非武装地帯のコンピュータをローカルIPアドレスで指定する。この指定をしたコンピュータはインターネット側から丸見えになります。WAN側からの要求をすべてここで指定したマシンにスルーしますのでご注意。
ネットワークゲームなどで、特別なポートで通信が必要な場合などに使用します。あらかじめ必要なポート番号がわかっている場合はこの機能ではなく、バーチャルサーバ機能の方が安全です。毎回ポートがランダムに変わるようなゲームの場合にDMZを使用します。
この指定は即座に有効/無効になるそうですから、ゲームが終わったら必ず「無効」にしましょう。
アドバンスド設定 / DMZ設定
このルータは、WAN側からリクエストのあった場合、基本的にすべて遮断します。LAN側からWANに要求をだし、その返信に対してだけ通すようになっています。つまり、通常はLAN側から要求がないと接続できないですが、この機能を使うとWAN側から要求があったときにその要求を通すことができます。
アドバンスド設定 / バーチャル・サーバーの設定
バーチャル・サーバー 有効 無効
アドバンスド設定 / バーチャル・サーバーの設定 / 追加
スタティックルーティングというのは、ネットワークとネットワークをつなぐときに設定するものだと理解しているので、うちでは用なし。
アドバンスド設定 / スタティック・ルーティング・テーブル
この他にもDHCPの詳しい設定などがあります。どのマシンにどのプライベートIPを割り当てるか指定するには、MAC上で指定しちゃう方法(TCP/IPで指定する。手入力にしてIPアドレスとサブネットマスク、ルータアドレスを記入する)とDHCPの固定テーブルを使う方法があります(固定テーブルでIPとMACアドレスを指定する。MACアドレスというのはLANカードにつけられているシリアル番号みたいなヤツで、世界に1つしかない。Macintoshの略称ではないです)。そーゆー用途でない限りDHCPの設定は用がないでしょう。
参考:「フレッツ・ADSLで使う、2万円以下のブロードバンドルータ」
本題に戻ります。NATはルーターに任せるとして、問題はIPフィルタリング。 BAR SW-4PのIPフィルタリングはWAN→LANについては指定できません。もともとバーチャルサーバかDMZ機能を使わない限り、WAN側からのリクエストはすべて遮るようになってます。逆にLAN→WANのフィルタリングはデフォルトでは全部開けてあるようです。「パケットフィルタリング」機能は「無効」になっているし、「ヘルプ / パケット・フィルタリング / Portルール」には「アクセスを禁止する FTP、HTTP等のプロトコルあるいはアプリケーションを選択して下さい」といった記述があって、最初はまったく何もルールが登録されていないから。 ●IPルール LAN内部からアクセスさせたくないインターネット(グローバルアドレス)を指定します。ここで指定したアドレスのホストにはアクセスできなくなります。LAN→WANの禁止アドレスを指定するわけです。お子に見せたくないエッチなwebとか指定するんでしょうねぇ。他にどんな場合に指定するのかなぁ。 アドバンスド設定 / パケット・フィルタリング / IPルール フィルタリングするIP ●Portルール こちらもLAN→WANの禁止ポートを指定します。IPルールが接続先ホストを指定するのに対し、こちらは接続するサービスを制限します。 アドバンスド設定 / パケット・フィルタリング / Portルール サービス・タイプ プロトコル Port アドバンスド設定 / パケット・フィルタリング / Portルール / 追加 サービス・タイプ TCP UDP プロトコル FTP HTTP NEWS POP3 SMTP TELNET TFTP ユーザー定義 Port (0~65535) ここで「TCP」「HTTP」「80」なんて指定すると、WEBが見られなくなるという寸法。どういう時に使えばいいんだろうな。 ※大事なことを一つ。パケットフィルタリングの設定は「有効」に「設定」するだけでは効果がありません。「設定は正常に終了しました」と表示されますが、まだフィルタリングは有効になっていません。その後必ずルータをリブートしてください(「クイック設定」をクリックして、右の画面で「設定」をクリックします)。でないと設定は実際には有効になりません。この点、説明書には記載がないようです。 OS Xの対策 WAN→LANのフィルタリングをしたいので(前述のようにルータがやっているので無駄というか二重なんですけど)、パケット(IP)フィルタリングは、OS Xについているipfwを使うことしました。 ところが、ipfwの設定って面倒なんす。シロートが直に設定ファイルをいじるのはちょっと…。 ●BrickHouse $25 で、このシェアウェア($25)。ipfwの設定をGUIでできるというもの。同様のものにFirewalk Xというシェア($12)もあります。 なんか、インターフェースが取っつきやすそうというだけの理由でBrickHouseにしました。 面倒なことはなく、例の鍵をクリックしてロックを解除した後、Assistantボタンを押して、指示に従って設定していきました。 IP Gateway機能というのがあって、まずこれをONにするように促されました。IPフィルタリングをONにするということなのかな? 一応en0(イーサポート)からinしてきたやつを同じポートに自分の端末(例:192.168.1.11)に出すように設定。 もう一度Assistantボタンを押して言われるままに設定しました。インターネットからLANに入ってくるものは全部遮断して、逆はオープンにしました。これでOKのようです。 でも、この設定だったら結局BAR SW-4Pの設定と実質的に変わらないですけど(^_^) ま、ちゃんとWAN→LANもフィルタリングしているぞという安心料ですかね。 それにしてもこのソフト、詳しい解説がほしいなぁ。 参考:BrickHouse 「POWERBOOK ARMY:今回はMac OS Xのネットワーク「続編」」 「Mac OS X Security Part Nine: Configuring BrickHouse & ZoneAlarm(英文)」 参考:Firewalk X 「MACFreak」 追記:上に書いてある情報はすでに古いです。OS X 10.2(Jaguar)から、ファイヤーウォール機能が標準で動くようになりました。使い方も簡単で、基本的にWAN側からの要求はすべてはねます。で、たとえばweb共有をONにしたら(こうするとapacheが立ち上がる)その分だけポートを開くというしかけになっています。FTPやtelnetなども同様です。反面、細かい設定ができないため、ちょっと不安もあります。 僕の場合、ルーターのファームウエアアップデートでステルス機能が使えるようになったこともあり、BrickHouseはお役ご免となり、標準のファイヤーウォールだけとなっています。 OS 9の対策 なお、OS 9では、こうしたソフトを使う必要もなく、web共有などを立ち上げていなければサーバとして機能していませんから安全と思われます。前述のようにWAN→LANはNATでブロックされているので入ってこないはずですし。念のためファイル共有も切ってあります。 どーしても心配な人は次のユーティリティを使うといいでしょう。 ●IPNetSentry $35 MACのポートを保護するらしい。 ●IPNetRouter $89 MACにルーター機能を持たせるらしい。 ●DoorStop Firewall IPフィルタリングらしい。実はOS9.1/9.1のCD-ROMの「MacOS特別付録」に入っている。このページにはポートリストもあります。
本題に戻ります。NATはルーターに任せるとして、問題はIPフィルタリング。
BAR SW-4PのIPフィルタリングはWAN→LANについては指定できません。もともとバーチャルサーバかDMZ機能を使わない限り、WAN側からのリクエストはすべて遮るようになってます。逆にLAN→WANのフィルタリングはデフォルトでは全部開けてあるようです。「パケットフィルタリング」機能は「無効」になっているし、「ヘルプ / パケット・フィルタリング / Portルール」には「アクセスを禁止する FTP、HTTP等のプロトコルあるいはアプリケーションを選択して下さい」といった記述があって、最初はまったく何もルールが登録されていないから。
LAN内部からアクセスさせたくないインターネット(グローバルアドレス)を指定します。ここで指定したアドレスのホストにはアクセスできなくなります。LAN→WANの禁止アドレスを指定するわけです。お子に見せたくないエッチなwebとか指定するんでしょうねぇ。他にどんな場合に指定するのかなぁ。
アドバンスド設定 / パケット・フィルタリング / IPルール
こちらもLAN→WANの禁止ポートを指定します。IPルールが接続先ホストを指定するのに対し、こちらは接続するサービスを制限します。
アドバンスド設定 / パケット・フィルタリング / Portルール
アドバンスド設定 / パケット・フィルタリング / Portルール / 追加
ここで「TCP」「HTTP」「80」なんて指定すると、WEBが見られなくなるという寸法。どういう時に使えばいいんだろうな。
※大事なことを一つ。パケットフィルタリングの設定は「有効」に「設定」するだけでは効果がありません。「設定は正常に終了しました」と表示されますが、まだフィルタリングは有効になっていません。その後必ずルータをリブートしてください(「クイック設定」をクリックして、右の画面で「設定」をクリックします)。でないと設定は実際には有効になりません。この点、説明書には記載がないようです。
WAN→LANのフィルタリングをしたいので(前述のようにルータがやっているので無駄というか二重なんですけど)、パケット(IP)フィルタリングは、OS Xについているipfwを使うことしました。 ところが、ipfwの設定って面倒なんす。シロートが直に設定ファイルをいじるのはちょっと…。
●BrickHouse $25
で、このシェアウェア($25)。ipfwの設定をGUIでできるというもの。同様のものにFirewalk Xというシェア($12)もあります。 なんか、インターフェースが取っつきやすそうというだけの理由でBrickHouseにしました。
面倒なことはなく、例の鍵をクリックしてロックを解除した後、Assistantボタンを押して、指示に従って設定していきました。
IP Gateway機能というのがあって、まずこれをONにするように促されました。IPフィルタリングをONにするということなのかな? 一応en0(イーサポート)からinしてきたやつを同じポートに自分の端末(例:192.168.1.11)に出すように設定。
もう一度Assistantボタンを押して言われるままに設定しました。インターネットからLANに入ってくるものは全部遮断して、逆はオープンにしました。これでOKのようです。
でも、この設定だったら結局BAR SW-4Pの設定と実質的に変わらないですけど(^_^) ま、ちゃんとWAN→LANもフィルタリングしているぞという安心料ですかね。
それにしてもこのソフト、詳しい解説がほしいなぁ。 参考:BrickHouse 「POWERBOOK ARMY:今回はMac OS Xのネットワーク「続編」」 「Mac OS X Security Part Nine: Configuring BrickHouse & ZoneAlarm(英文)」 参考:Firewalk X 「MACFreak」
追記:上に書いてある情報はすでに古いです。OS X 10.2(Jaguar)から、ファイヤーウォール機能が標準で動くようになりました。使い方も簡単で、基本的にWAN側からの要求はすべてはねます。で、たとえばweb共有をONにしたら(こうするとapacheが立ち上がる)その分だけポートを開くというしかけになっています。FTPやtelnetなども同様です。反面、細かい設定ができないため、ちょっと不安もあります。 僕の場合、ルーターのファームウエアアップデートでステルス機能が使えるようになったこともあり、BrickHouseはお役ご免となり、標準のファイヤーウォールだけとなっています。
なお、OS 9では、こうしたソフトを使う必要もなく、web共有などを立ち上げていなければサーバとして機能していませんから安全と思われます。前述のようにWAN→LANはNATでブロックされているので入ってこないはずですし。念のためファイル共有も切ってあります。
どーしても心配な人は次のユーティリティを使うといいでしょう。
●IPNetSentry $35 MACのポートを保護するらしい。 ●IPNetRouter $89 MACにルーター機能を持たせるらしい。
●DoorStop Firewall IPフィルタリングらしい。実はOS9.1/9.1のCD-ROMの「MacOS特別付録」に入っている。このページにはポートリストもあります。
gNATというツール(フリー)がある。OS X用である。これを使うとGUIで設定できるらしい。やってないですけど。 参考:「Mac OS XでNATの機能を設定するユーティリティ」「GossamerでMacOS Xを使ってみました。(トップはベージュG3のお部屋)」
MACが安全かどうか、一応チェックしましょう。ブラウザからチェックができるサイトがいくつか存在しています。「Mac OS XDarwin Tips/セキュリティについて」にリストがあります。 ここまでの設定の状態でチェックをかけると、OS 9、OS X共に安全だよと言われました。一安心です。
MACが安全かどうか、一応チェックしましょう。ブラウザからチェックができるサイトがいくつか存在しています。「Mac OS XDarwin Tips/セキュリティについて」にリストがあります。
ここまでの設定の状態でチェックをかけると、OS 9、OS X共に安全だよと言われました。一安心です。
OS 9、OS Xでスピードを測ったところ、OS 9の方が速いです。計測結果の感触では、「0S 9のスピード - 1Mbps = OS Xのスピード」って感じです。OS Xの魅力がぐぐっと減ってしまいました。 特に、うちの場合は最高スピードがOS 9/Netscapeで3.7Mbpsだったため、1Mbps減るとかなり響きます。くうううう。 また、同じOSなら、Netscapeの方がIEよりもかなり早いです。IEで計るとNetscapeの半分から2/3程度のスピードしかでません。iCABでも計ってみましたが、IEより振幅の幅が大きく、IEより早いことも遅いこともありました。最高スピードでもNetscapeにはかないませんでした。 参考:測定サイトリスト。この手のサイトはあちこちにありますから探してみてください。 ●ブロードバンドスピードテスト IEはこのページで、ネスケはこのページから測定ページがリンクされています。統計情報付き。 ●インターネット回線速度調査 TOP「JUNK HUNT」 ●SPEED TEST cable/ADSL TOP「まほろば郵便局」 ●ぷららADSL接続サービス速度調査 TOP「ぷらら」 ●Broadband Networking Report 登りも計測できる。 ●SPEED TEST TOP「OSO'S NIFTY Site」 ●実行速度測定掲示板 ※計測はIEで行うこと。MACでは計測時間の計算にバグがあるそうです。言葉通り、MACでは正常に表示されませんでした。 参考2:これはADSLを導入するときにチェックしておくといいです。NTTの路線情報。電話番号を入れると路線距離長とデータ損失がわかります。 ●NTT東日本の路線情報開示システム ●NTT西日本の路線情報開示システム
OS 9、OS Xでスピードを測ったところ、OS 9の方が速いです。計測結果の感触では、「0S 9のスピード - 1Mbps = OS Xのスピード」って感じです。OS Xの魅力がぐぐっと減ってしまいました。 特に、うちの場合は最高スピードがOS 9/Netscapeで3.7Mbpsだったため、1Mbps減るとかなり響きます。くうううう。
また、同じOSなら、Netscapeの方がIEよりもかなり早いです。IEで計るとNetscapeの半分から2/3程度のスピードしかでません。iCABでも計ってみましたが、IEより振幅の幅が大きく、IEより早いことも遅いこともありました。最高スピードでもNetscapeにはかないませんでした。
参考:測定サイトリスト。この手のサイトはあちこちにありますから探してみてください。 ●ブロードバンドスピードテスト IEはこのページで、ネスケはこのページから測定ページがリンクされています。統計情報付き。 ●インターネット回線速度調査 TOP「JUNK HUNT」 ●SPEED TEST cable/ADSL TOP「まほろば郵便局」 ●ぷららADSL接続サービス速度調査 TOP「ぷらら」 ●Broadband Networking Report 登りも計測できる。 ●SPEED TEST TOP「OSO'S NIFTY Site」 ●実行速度測定掲示板 ※計測はIEで行うこと。MACでは計測時間の計算にバグがあるそうです。言葉通り、MACでは正常に表示されませんでした。
参考2:これはADSLを導入するときにチェックしておくといいです。NTTの路線情報。電話番号を入れると路線距離長とデータ損失がわかります。 ●NTT東日本の路線情報開示システム ●NTT西日本の路線情報開示システム
●MTU/RWin こちらはセキュリティではなく、転送スピードの調節の話。なんでもこれらの値をいじるとスピードを上げることができるらしいです。僕はデフォルトのままでいじってません。最適値を見つけるのに時間がかかりそうだから。そのうちいじるかも。 IPNetTunerというツールを使うそうです。 使い方は「Mac Clinic」が詳しい。ツールを日本語にすることもできる。 でも、OS Xではどうすれば…。 と思ったらOS X用に「SetRWinApp 」というRWin調節ソフトがでました(シェア:500円)。「NEXUS 6」にあります。 2001/12/28に「RMAC」というフリーウェアも登場。「マッキントッシュソフトウェア」にあります。 ●IPアドレスの解放 OS 9では付録に付いてくる「TCP/IP Options」を使うと、終了時に(PowerBookの場合スリープする時にも)IPアドレスを解放するように設定できます。アップルが説明してました。 でも、Yahoo! BBはなかなかIPを解放してくれないようなので、確実にIPを解放したければモデムの電源を切るのがいいようです。↑言うとおりにしたのにIP変わんないんだもん。 あ、なんでIPアドレス(ここで指しているのはグローバルIPアドレス)を解放したいかというとですね、毎回IPアドレスが違っていればそれだけ侵入されにくくなるからです。 無理矢理IPを取得し直すようなツールがあるとすごく安心なんですけど。 2001/11/7 DHCPはできるだけ同一アドレスを取得するように努力するのだそうです。一度受け入れたグローバルIPアドレスを変更するには、1日以上コンピュータの電源を切るか、イーサカード(同一MACアドレスに同一IPを振ろうとするから)を変更するのが確実だとか。 サーバ立てようと思っている人には朗報ですが、セキュリティ確保したい人には困った情報でした。
こちらはセキュリティではなく、転送スピードの調節の話。なんでもこれらの値をいじるとスピードを上げることができるらしいです。僕はデフォルトのままでいじってません。最適値を見つけるのに時間がかかりそうだから。そのうちいじるかも。 IPNetTunerというツールを使うそうです。 使い方は「Mac Clinic」が詳しい。ツールを日本語にすることもできる。 でも、OS Xではどうすれば…。 と思ったらOS X用に「SetRWinApp 」というRWin調節ソフトがでました(シェア:500円)。「NEXUS 6」にあります。 2001/12/28に「RMAC」というフリーウェアも登場。「マッキントッシュソフトウェア」にあります。
こちらはセキュリティではなく、転送スピードの調節の話。なんでもこれらの値をいじるとスピードを上げることができるらしいです。僕はデフォルトのままでいじってません。最適値を見つけるのに時間がかかりそうだから。そのうちいじるかも。
IPNetTunerというツールを使うそうです。 使い方は「Mac Clinic」が詳しい。ツールを日本語にすることもできる。
でも、OS Xではどうすれば…。 と思ったらOS X用に「SetRWinApp 」というRWin調節ソフトがでました(シェア:500円)。「NEXUS 6」にあります。
2001/12/28に「RMAC」というフリーウェアも登場。「マッキントッシュソフトウェア」にあります。
OS 9では付録に付いてくる「TCP/IP Options」を使うと、終了時に(PowerBookの場合スリープする時にも)IPアドレスを解放するように設定できます。アップルが説明してました。 でも、Yahoo! BBはなかなかIPを解放してくれないようなので、確実にIPを解放したければモデムの電源を切るのがいいようです。↑言うとおりにしたのにIP変わんないんだもん。 あ、なんでIPアドレス(ここで指しているのはグローバルIPアドレス)を解放したいかというとですね、毎回IPアドレスが違っていればそれだけ侵入されにくくなるからです。 無理矢理IPを取得し直すようなツールがあるとすごく安心なんですけど。 2001/11/7 DHCPはできるだけ同一アドレスを取得するように努力するのだそうです。一度受け入れたグローバルIPアドレスを変更するには、1日以上コンピュータの電源を切るか、イーサカード(同一MACアドレスに同一IPを振ろうとするから)を変更するのが確実だとか。 サーバ立てようと思っている人には朗報ですが、セキュリティ確保したい人には困った情報でした。
OS 9では付録に付いてくる「TCP/IP Options」を使うと、終了時に(PowerBookの場合スリープする時にも)IPアドレスを解放するように設定できます。アップルが説明してました。
でも、Yahoo! BBはなかなかIPを解放してくれないようなので、確実にIPを解放したければモデムの電源を切るのがいいようです。↑言うとおりにしたのにIP変わんないんだもん。
あ、なんでIPアドレス(ここで指しているのはグローバルIPアドレス)を解放したいかというとですね、毎回IPアドレスが違っていればそれだけ侵入されにくくなるからです。
無理矢理IPを取得し直すようなツールがあるとすごく安心なんですけど。
2001/11/7 DHCPはできるだけ同一アドレスを取得するように努力するのだそうです。一度受け入れたグローバルIPアドレスを変更するには、1日以上コンピュータの電源を切るか、イーサカード(同一MACアドレスに同一IPを振ろうとするから)を変更するのが確実だとか。 サーバ立てようと思っている人には朗報ですが、セキュリティ確保したい人には困った情報でした。
UNIXの世界では頻繁にセキュリティホールが見つかり、対策を施したアップデートが行われています。Darwin(OS X)も同様です。これまでのMAC OSと異なり、システムのアップデートには注意を払った方がいいです。 特に「Security Update」があったら、必ずアップデートした方がいいです。
UNIXの世界では頻繁にセキュリティホールが見つかり、対策を施したアップデートが行われています。Darwin(OS X)も同様です。これまでのMAC OSと異なり、システムのアップデートには注意を払った方がいいです。
特に「Security Update」があったら、必ずアップデートした方がいいです。
▲ページトップ
ホーム >HTMLに役立つヒント> MACでADSL 〜セキュリティの話
水沢・penguin-19・和彦