<実験環境>OS:Windows 2000 ProLANネットワーク:Ethernet 100BaseTXLANホスト間の接続形態:ピア・ツー・ピアインターネット接続:ADSL8Mブリッジ接続<対象パーソナル・ファイアウォール>*Zone Alarm 4.5.530.0 Free(略称:ZA)*Sygate Personal Firewall 5.5 build 2516 STD(略称:SPF)*Outpost Firewall 1.0 Free(略称:Outpost)*Norton Personal Firewall 2004(略称:NPF)(以上2003年11月29日現在で最新のものを使用)<実験1:起動時のping応答とTCP接続>・実験の目的 システム起動時にファイアウォールが無効となり通信可能な時間帯が存在しないか探る。またどのタイミングでどれくらいそれが存在するか確かめる。・実験方法 起動中の実験対象ホストに対して、他のホストからpingツール(*1)を使いエコー要求を行い応答が返るか観察する。pingはタイムアウト間隔を短めに設定し、途切れないように連続してパケットを送る。応答が返った場合、約1秒間隔でパケットが送られるので、応答回数はほぼ秒数に等しい。[例]ping 192.0.2.1 -w 100 -n 100 また応答可能な時間帯がある場合、その時点でTCP接続要求まで通るか確認する。接続先にはシステム・サービスが用意するソケットTCPポート135を利用し、TCPコネクト型のスキャンを行う(*2)。*何も入れていない場合 Windowsのロゴ表示(旗画面)でプログレス・バーがほぼ100%に達した頃にエコー応答が返り始める。ロゴ表示が消え「Windowsを起動しています」のダイアログが出る頃からログオン・パスワード入力要求ダイアログが出るまでにはTCP接続も可能になる。*ZA Windows起動後からエコー応答が16回分確認された。システム・サービスの起動時に並行してZAも有効になるので、ログオン・パスワード入力要求ダイアログが出る頃には応答が止まる。ZA自体の起動、フィルタの有効化のタイミングが早いので、TCP接続までは成立しなかった(*3)。*1pingはICMPプロトコルを用いネットワークの接続性を確認するためのツールの名称であり、またその調査行為自体を指す。ICMPタイプ8(エコー要求)パケットを送信し、ICMPタイプ0(エコー応答)パケットを受信することでIPパケットが対象に到達可能であるかを調べる。PFは外部からの攻撃予備にあたる調査行為からホストを隠蔽するために、エコー要求パケットを破棄するのが一般的である。*2外部からTCP/UDPの稼働中サービスを調査するのがポート・スキャンである。サーバ側のログに残らないようにパケットの送信作法を工夫する場合もあるが、ここでは一般的なクライアントウェアと同様の接続を試みるスキャン手法を採っている。*3この結果は環境に左右される可能性があるので注意が必要である。<執筆>Personal Firewall Reviewサイト運営 SalBE-MAIL: bruce_teller@yahoo.co.jpHP URL: http://www.geocities.jp/bruce_teller/security/(詳しくはScan本誌をご覧ください)http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?m-sc_netsec
