使って試せるソフトがいっぱい - http://wwww.shareEDGE.com

Airscanner Mobile Firewall 3.5
ユーザガイド

 

1. Airscanner Mobile Firewallの基礎

Airscanner Mobile Firewall 3.5は、IPv4ファイアウォールであり、お客様のWindows Mobileデバイスを不正アクセスから守ります。この新バージョンでは、ファイアウォール設定およびユーザ定義ルールに未承認の変更が与えられないように、設定オプションをパスワードで保護する機能が追加されました。

ファイアウォールは、TCP/IPスタックのIP層およびトランスポート層でトラフィックをブロックするように設計されています。また、ファイアウォールは、選択したプロトコルを使って通信するポートの承認リストを識別することでICMPTCPUDPの3種類のプロトコルで機能します。

トラフィックフローには、インバウンド トラフィック(受信)とアウトバウンド トラフィック(発信)があります。

ファイアウォールの動作にはDefault Modeがあり、ファイアウォール ドライバがロードされている間はあらかじめ定義されたルールがアクティブになります。ただし、ファイアウォールの動作やDefault Modeはプロファイルで詳細に設定を行うことができます。

 

1.1 Default Modeについて

ファイアウォールは、Custom Modeプロファイルに切り替えると、Default Modeも同時に起動します。

Default Modeでは、ファイアウォールはすべてのインバウンド パケットをブロックし、すべてのアウトバウンド パケットを許可します

Custom Modeプロファイルでの操作時のみユーザ独自のルールを作成することが可能です。ルールに競合が発生した場合、インバウンドであるかアウトバウンドであるかによってルールの優先順位が決定します。優先されたルールに合致するパケットのみ、ルールに従ってフィルタリングされます。優先したルールが合致しない場合、トラフィックはデフォルトの動作に従って処理されます。詳細については、いくつかの例を用いて後述します。

AllowとBlockルールが同時に適用された場合、トラフィックフローは下記のように調整されます。

 

2. Airscanner Mobile Firewall 機能リファレンス

この章では、Airscanner Mobile Firewallのグラフィカル ユーザ インタフェース(GUI)について説明します。

 

2.1 メイン画面とメニュー

Mobile FirewallのGUIは、解像度240x240サイズ以上の画面でご利用いただけます。

Mobile Firewall メイン画面

メイン画面には次のコンポーネントが含まれます。

  1. デバイス情報パネル(正方形画面のデバイスでは表示されません)。
  2. すべてのGUI機能へアクセスできる[Main Menu]
  3. 現在のデバイスIPと選択中のファイアウォール プロファイルが表示されるパネル
  4. [Options]メニュー

[Options]メニュー

[Options]メニューでは、本ソフトウェアでよく利用する機能へ素早くアクセスできます。

すべての機能が表示されているわけではありません。

注意: 有効にしているプロファイル以外のプロファイルは[Main Menu]には表示されず、[Options]メニューからのみアクセス可能です。

トレイメニュー

メイン画面の右上にある[OK]ボタンをタップすると、画面はトレイ上に最小化されます。

トレイメニューでは、[Options]メニューと同様のオプション機能が利用できます。

トレイアイコンには、[Airscanner]アイコンの他に、選択中のファイアウォール プロファイルを示す小さな球が表示されます。

 

2.2 Set Profile Menu

Airscanner Mobile Firewallには、Block AllTrust AllCustom ModeDisabledの4種類のプロファイルがあります。
一度にアクティブにできるプロファイルは1つだけです。プロファイルを切り替えると、ファイアウォールを設定するためのルール グループが有効になります。

Block All

Block Allプロファイルを設定すると、すべてのネットワーク トラフィックがブロックされます。インバウンド トラフィックもアウトバウンド トラフィックも許可されません。

Trust All

Trust Allプロファイルを設定すると、すべてのネットワーク トラフィックが許可されます。制限されるトラフィックはありませんが、ファイアウォールはアクティブです。

Custom Mode

Custom Modeプロファイルを使用すると、ユーザ独自のルールを作成し、有効にすることができます。Custom Modeには、Factory Rules ([Custom Profiles Menu]に用意されています)と呼ばれるあらかじめ定義されたルールがあり、有効/無効の変更ができます。ユーザ独自のルールを作成する場合は、[Custom Profiles Menu]の[User Rules]オプションで行います。
Custom Modeプロファイルに切り替えるとFactory RulesとUser Rulesの2グループのルールが適用されます。
Custom ModeはDefault Modeと併用されます。そのため、Custom Modeで適用されなかったトラフィックについては、Default Modeでのルールが適用されます。
ファイアウォールを、Default Modeのみの状態にしたい場合、Custom Modeプロファイルに切り替え、[Custom Profiles Menu]からすべてのルールを無効にしてください。

Disabled

ファイアウォールの機能を停止します。[Options]メニューからDisabledプロファイルに切り替えることができます。

 

2.3 Custom Profiles Menu

[Custom Profiles Menu]では、独自のルールの作成・管理を行います。

Factory Rules

[Factory Rules]オプションでは、工場出荷時ルールの表示および有効/無効の変更を行うことができます。追加や削除などの操作は、このプロファイルでは行うことができません([Add]、[Edit]、[Delete]はグレーアウトされています)。ルールがチェックされている場合は、有効であることを示します。

スクリーンショットをご覧いただくと、[ICMP - External Echo Request]が有効、[Internet Browsing]が無効であることが分かります。

すべてのルールを無効にし、独自のルールのみを使用することも可能です。

Factory Rulesの詳細に関しては、「Appendix B」を参照してください。

重要: Custom Modeプロファイルがアクティブな場合、変更内容はファイアウォールにすぐに反映されます。

User Rules

[User Rules]オプションでは、ルールの追加、編集、削除、有効/無効の変更とオリジナルルールの閲覧ができます。

ルールの作成方法については、「第3章 ルール作成について」を参照してください。

重要: Custom Modeプロファイルがアクティブな場合、変更内容はファイアウォールにすぐに反映されます。

 

2.4 Tools Menu

List Conn ("接続一覧")

この機能では、現在使用中のTCP/UDPリソースを表示します。

表示された結果は(\My Documents)にいつでも保存できます。ファイルはテキスト形式です。

Resolve Address: このオプションが有効な場合、IPアドレスはホストネームに変換されます(名前解決する場合のみ)。

Refresh: このオプションが有効な場合、間隔に従って接続一覧が更新されます。

Activity Log

2つの機能について説明します。

Global Counters: TCP、UDP、ICMPプロトコルでのIP記録を表示します。[Reset Counters]ボタンをタップするとカウンタがゼロに戻ります。

Log View: 最新の100件のログを表示します。

注意: Activity Logでロギングするには、[General Settings]の[Log Firewall Activity]チェックボックスをオンにする必要があります。

 

2.5 Settings Menu

[Settings Menu]を使用して、Mobile Firewallの設定を変更したり、Mobile Firewallの機能にパスワード保護を設定することができます。

General Settings

Load Firewall at Startup: OS起動時にファイアウォールGUIとファイアウォール ドライバを読み込みます。

Prevent From Uninstalling: [プログラムの削除]一覧にFirewallを表示/非表示します。このオプションにパスワード保護を加え、第三者がファイアウォールをアンインストールできないようにすることをお勧めします(「Password Settings」参照)。

Log Firewall Activity: ファイルとActivity Log (「Tool Menu」参照)へのファイアウォールログ情報を有効/無効にします。 

このチェックボックスをオンにすると、マイ ドキュメントにログファイルが保存されます。[Max Size]オプションはこの機能のみに対応しています。[do not log to file]を選択すると、Ativity Log (「Tools Menu」参照)のみにログが保存されます。

重要: ファイルへのアクティビティ ロギングにより、デバイスの動作が遅くなる場合があります。

Password Settings

Password Settingsでは、Mobile Firewallの設定をパスワードで保護することができます。デフォルトではパスワードは設定されていません。

6〜16文字のパスワードを入力し、[Set Password]ボタンをタップします。

Password protection when trying to: このチェックボックスをオンにして、ファイアウォールの機能/オプションに対するパスワード保護を有効にします。機能/オプションがパスワードで保護されている場合は、アクセスしようとする度にパスワードを求める画面が表示されます。

次の機能/オプションをパスワードで保護することができます。

start firewall: ファイアウォールを起動するとき
exit firewall: ファイアウォールを終了するとき
change current profile: ユーザがプロファイルを変更しようとしたとき (例: Block AllからTrust All)
change General Settings: ユーザがGenral Settingsにアクセスしようとしたとき
access Factory Rules: ユーザがFactory Rulesにアクセスしようとしたとき
access User Rules: ユーザがUser Rulesにアクセスしようとしたとき
view Connections: ユーザが[View Connections]にて現在の接続状態を表示しようとしたとき
view Activity Log: ユーザがActivity Logを表示しようとしたとき

重要: パスワードを設定すると、Password Settingsにアクセスしようとする度にパスワードを求める画面が表示されます。

 

2.6 ログファイル

ログファイルを読み取る場合は、デスクトップ コンピュータへコピーし、通常のテキストエディタを使用して開くことをお勧めします。

ログファイルのサンプルを紹介します。

ACTION PROTOCOL DIRECTION TARGET SOURCE TARGET SOURCE TYPE CODE
------- ------- --------- ------- ------- ------- ------- ----- -----
[Feb, 17 2008 16:38:51]=> ALLOWED UDP OUTBOUND 0.0.0.0 255.255.255.255 68 67 *** ***
[Feb, 17 2008 16:38:51]=> ALLOWED UDP INBOUND 0.0.0.0 255.255.255.255 68 67 *** ***
[Feb, 17 2008 16:38:52]=> ALLOWED UDP INBOUND 1.1.1.30 1.1.1.255 137 137 *** ***
[Feb, 17 2008 16:38:52]=> ALLOWED UDP OUTBOUND 1.1.1.30 1.1.1.255 137 137 *** ***
[Feb, 17 2008 16:38:52]=> ALLOWED UDP INBOUND 1.1.1.30 1.1.1.255 137 137 *** ***
[Feb, 17 2008 16:39:16]=> BLOCKED TCP INBOUND 169.254.2.2 169.254.2.1 990 1052 *** ***
[Feb, 17 2008 16:39:17]=> BLOCKED TCP INBOUND 169.254.2.2 169.254.2.1 990 1052 *** ***
[Feb, 17 2008 16:39:18]=> BLOCKED ICMP INBOUND 169.254.2.2 169.254.2.1 *** *** 8 0

日時の後に記載されている項目の詳細については以下をご覧ください。

 

3. ルールの作成

[Custom Profile Menu]の[User Rules]オプションから独自のルールを作成することができます。Custom Modeプロファイルが設定されているときのみ、作成されたルールが適用されます。

ファイアウォールがCustom Modeプロファイルで作動中の場合はDefault Modeが同時に機能し、[Custom Profiles Menu]および[User Rules]で設定されたルールに従います。ただし、優先されたルールがトラフィックに合致しない場合は、Default Modeルールに従って処理されます。

 

3.1 ルールのサンプル

この項では、ルールを正しく作成できるようにいくつかの例を紹介します。
2つのことに注意してください。

  1. Default Modeでは、ファイアウォールはすべてのインバウンド パケットをブロックし、すべてのアウトバウンド パケットを許可します
  2. ルールがアクティブな場合、

    インバウンド トラフィックには、AllowルールよりもBlockルールが優先されます。
    アウトバウンド トラフィックには、BlockルールよりもAllowルールが優先されます。

 

3.1.1 ICMP Echo Responseを許可する場合

ICMP echo responseを許可する場合には、まず、インバウンドICMP Echo Requestを許可しなくてはなりません(アウトバウンドICMP Echo responseはDefault Modeで既に許可されています)。

3.1.2 インターネット閲覧をブロックする場合

PORT 80のアウトバウンド トラフィックが(デフォルトで)許可されています。ブロックする方法は次のスクリーンショットを参照してください。

 

3.1.3 特定のホストから/へのICMP通信をブロックする場合

ご不明な点やご意見がありましたら、http://www.shareEDGE.com/cs/からお問い合わせください。

 

Appendix A: ICMP Types and Codes

ICMP Types ICMP Codes
0 Echo Reply (none)
3 Destination Unreachable 0 Net Unreachable
    1 Host Unreachable
    3 Protocol Unreachable
    4 Fragmentation Needed and Don't Fragment was Set
    5 Source Route Failed
    6 Destination Network Unknown
    7 Destination Host Unknown
    8 Source Host Isolated
    9 Communication with Network is Administratively Prohibited
    10 Communication with Host is Administratively Prohibited
    11 Destination Network Unreachable for Type of Service
    12 Destination Host Unreachable for Type of Service
    13 Communication Administratively Prohibited
    14 Host Precedence Violation
    15 Precedence cutoff in effect
4 Source Quench (none)
5 Redirect 0 Redirect Datagram for the Network (or subnet)
    1 Redirect Datagram for the Host
    2 Redirect Datagram for the Type of Service and Network
    3 Redirect Datagram for the Type of Service and Host
6 Alternate Host Address (none)
8 Echo (none)
9 Router Advertisement advertisement 0 Normal router advertisement
    16 Does not route common traffic
10 Router Selection (none)
11 Time Exceeded 0 Time to Live exceeded in Transit
    1 Fragment Reassembly Time Exceeded
12 Parameter Problem 0 Pointer indicates the error
    1 Missing a Required Option
    2 Bad Length
13 Timestamp (none)
14 Timestamp Reply (none)
15 Information Request (none)
16 Information Reply (none)
17 Address Mask Request (none)
18 Address Mask Reply (none)
30 Traceroute (none)
31 Datagram Conversion Error (none)
32 Mobile Host Redirect (none)
33 IPv6 Where-Are-You (none)
34 IPv6 I-Am-Here (none)
35 Mobile Registration Request (none)
36 Mobile Registration Reply (none)
40 Authentication Failures 0 Bad SPI
    1 Authentication Failed
    2 Decompression Failed
    3 Decryption Failed
    4 Need Authentication

 

Appendix B: Factory Rules Description

On Custom Mode Profile Airscanner provides some rules, called Factory Rules.Some of them are disabled by default:

Rule
Type
Description
ActiveSync 4.x Rules ALLOW These 6 rules allow ActiveSync (Windows XP) or Mobile Center (VISTA) connect to device.They enable services like RAPI Requests, Time Server and Synchronization Information.
DHCP Unicast Response ALLOW Allows DHCP assigns IP address to device.
ICMP - Destination Unreachable BLOCK Blocks UDP port scanning by avoiding ICMP response.
ICMP - External Echo Request ALLOW Allow Pings to your device.
Internet Browsing BLOCK Block internet browsing when enabled
POP3 - Email BLOCK Block pocket outlook of getting emails.
SMTP - Email BLOCK Block pocket outlook of sending emails.
TCP Inbound Ports 0-1024 ALLOW Allow TCP basic ports to be accessed.
UDP Broadcasting BLOCK Avoid UDP broadcast from external network.
UDP Ports 137-138 ALLOW Enable UDP ports 137 (naming service) and 138 (NetBIOS datagram service).





日本語ローカリゼーション 株式会社ネクステッジテクノロジー