Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 名探偵アルパカ

2018/03/15 (Thu) 19:53:22

『ESET→詳細設定→パーソナルファイアウォール→詳細→ルール 編集』

↑を選択

『ファイアウォールルール』が起動しパケットフィルタの設定画面が開く


『すべてのルール(定義済み)を表示』

↑にチェックを入れるとESETがデフォルト設定しているルール一覧が表示される

次に一覧の許可リストから

『送信マルチキャストDNS要求を許可』 『TCPおよびUDP リモート53』

『時刻同期(NPT) を許可』 『UDP ローカル123 リモート123』

および『ESET関連』を除く項目のチェック全て外す

なお、デフォルトで無効にできない項目もあるのでそれらは放置

ただし、 Windowsログイン関連など弊害の出るかもしれない項目もありますが、基本的にブラウザとメールのみの設定に絞るなら問題なし

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 名探偵アルパカ

2018/03/15 (Thu) 20:21:36

続いて、基本的なパケットフィルタ、ポート遮断のみの設定編

パーソナルファイアウォールソフトやルーターのパケットフィルタは『設定上位のルール』から有効となりますので、拒否設定は下位に設定し許可は必ず上位に置いてください

1番簡単な設定方法は以下の通り

『ファイアウォールルール』から『追加』をクリックし設定を出す

許可設定

『名前(ルール名) 許可

有効 OK

プロトコル TCP

プロファイル 任意のプロファイル

アクション 許可

方向 外向

リモート ポート80,443,110,587

リモート 未設定

アプリケーション 未設定』

OKをクリックしファイアウォールルールに戻る

続いて拒否設定

『名前(ルール名)拒否

有効 OK

プロトコル すべて

プロファイル 任意のプロファイル

アクション 拒否

方向 外向

リモート ポート1-65535

リモート 未設定

アプリケーション 未設定』

最後にファイアウォールルール 画面でOKをクリック

これでアウトバウンドのパケットフィルタ設定完了です

ブラウザの接続、メール送受信、 Windows Updateのダウンロードとインストール、 ESETのパターンファイルのダウンロード

は可能であることを、 Win8.1で確認しました

次回はWindows10の強制的Windows Update遮断設定編です

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 名探偵アルパカ

2018/03/16 (Fri) 01:05:54

続いてはWin10の強制的Windows Update対策=更新停止プログラム破壊ウイルス対策となります

最初にネタバレすると『許可するアプリケーション以外はWAN接続させない』設定にする事です

前回の設定は『どのアプリケーションでもTCP80に通信可能』なのでセキュリティ強度はかなり低い

しかし 『通信可能なアプリケーションを指定しておけば』最強のパケットフィルタとなる

設定方法は以下の通り

例題: firefox

『ファイアウォールルール』から『追加』をクリックし設定を出す

『名前(ルール名) firefox

有効 OK

プロトコル TCP

プロファイル 任意のプロファイル

アクション 許可

方向 外向

リモート ポート80,443

リモート 未設定

アプリケーション C:\Program Files\Mozilla Firefox\firefox.exe 』

続いて拒否設定

『名前(ルール名)拒否

有効 OK

プロトコル すべて

プロファイル 任意のプロファイル

アクション 拒否

方向 外向

リモート ポート1-65535

リモート 未設定

アプリケーション 未設定』

↑を有効にするとIEを始め他のアプリのネットワーク接続は不可となるがfirefoxは問題なく利用可能

Win10の『Windows Update停止ツール』を無効にし

Windows Updateの『更新プログラムのチェック』を開始するも一瞬にして『接続できません』と表示されWindows Updateの強制停止可能であることを確認した

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 名探偵アルパカ

2018/03/16 (Fri) 01:48:21

中途半端ですが上記の続き

ESETのファイアウォールルールからfirefoxを設定しましたが、基本的にはthunderbirdなどメールソフトも追加していってください

今度はWindows Updateの開始手順ですが

ESETの『ファイアウォールルール』から『拒否』のチェックを外して一時的にパケットフィルタを解除する

一通りの作業終了次第、同じ手順で『拒否』のチェックを入れて有効にする

これだけです

とりあえず簡単な説明はここまで

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 名探偵アルパカ

2018/03/16 (Fri) 16:55:21

ESETのパケットフィルタリング設定の説明で『許可したアプリケーション以外のネット接続を遮断する』を書いたけれど、その際、firefoxを例題として使った

firefox以外は全て遮断されWindows Updateおよびマルウェアの活動も出来なくなるので、 Win10のリスク管理と従来のbot対策には即効性があるものと考える

ところが重大な問題がある

Internet Explorerの脆弱性はWindows Updateを適用することで解消されるのですが、Mozillaは別途修正アップデートアプリを介して修正パッチをダウンロードする仕組みらしいことと、前回の設定方法だと、 『アプリケーションの利用するポート番号を指定する』必要があり、何番ポートを使ってるのかは分からないと難しいと思う

ESETのパケットフィルタリングは、 『ポート番号を指定しなくてもアプリケーションだけを登録すれば設定可能』です

firefoxの修正アップデートのアプリを例題にすると

通常は

C:\Program Files\Mozilla Firefox\updater.exe

↑らしいので許可設定は

『『名前(ルール名) firefoxアップデート

有効 OK

プロトコル TCP

プロファイル 任意のプロファイル

アクション 許可

方向 外向

リモート ポート 未設定

リモート 未設定

アプリケーション C:\Program Files\Mozilla Firefox\updater.exe 』

上記の設定で失敗するなら

プロトコルを『TCPおよびUDP』に変更するか、System Explorerのようなタスクマネージャを使ってネットワーク接続を試みるアプリケーションを特定してください

残念ながらESETだとタスクマネージャ的な監視は難しいので、別途導入する方が目視確認できて簡単です

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 名探偵アルパカ

2018/03/18 (Sun) 01:55:35

https://eset-support.canon-its.jp/faq/show/219?site_domain=default

↑ ESETの使用するポート番号一覧


● 許可するポート番号

TCP 80番ポート（http）
TCP 443番ポート（https）
TCP/UDP 53番ポート（DNS）
TCP/UDP 53535番ポート（DNS）※1 ←これは知らなかった

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 名探偵アルパカ

2018/03/18 (Sun) 17:00:44

ESETのファイアウォールのログ確認方法

最初にパケットフィルタ設定を作る際、ログの保存設定を選択するか、または保存設定に変更する

設定変更で書きますが、拒否設定を作った時にログ保存にしておくと便利です

『 ESET→詳細設定→パーソナルファイアウォール→詳細→ルール編集』

『ファイアウォールルール』が起動するので、 『拒否』を選択し編集をクリック

『一般』の項目から『ログ』にチェックを入れる

↑でパケットフィルタでブロックされたアプリのログの保存ができます

続いてログの確認方法

『 ESET→設定→ネットワーク保護→トラブルシューティング最近ブロックされたアプリケーションまたはデバイス』

↑を選択

ESETのパケットフィルタリング設定でブロックされたアプリ一覧のログが表示されるので解除したいアプリを探す

『詳細』に該当アプリケーションのインストールパス及び通信先のIPアドレス、宛先ポートを確認できる

『ブロック解除』を選択するか、ファイアウォールルールから『許可』設定を別途作成してください

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 管理人です

2018/03/20 (Tue) 21:59:48

管理人は今、福島県です。仮設団地支援に入っています。マスコミからの取材などもあってなにかと忙しい状況にあります。

ええと本件、労作だと思います。でcomodoですけど（以前書いたような気もするんですけど）、管理人はcomodoのfirewall単体を使っており、comodoの場合はFirewallのルール作りに関して「Windows Update」自体が単体で規制対象扱いになっているんですよ。だからそれをブロックの扱いにしてしまえば、Windows updateを阻止できる仕様になっています。Windows updateを「アプリケーションルールでブロック指定するだけ」です。

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 管理人です

2018/03/20 (Tue) 22:11:55

PC再起動させればWindows update1709が完了する状態になっていますが、comodoでアプリケーションルールでWindows updateをブロックしているため、1709になることはないんです。

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 管理人です

2018/03/20 (Tue) 22:14:12

ただね、一つだけつまらない問題が発生するのはcomodoでWindows updateをブロックした場合、マイクロソフト側からの「1709にアップデートします」の青色画面が定期的に繰り返し、繰り返し表示されるんですね。

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 管理人です

2018/03/20 (Tue) 22:16:37

西村さんのアプリを使えば、誰でも簡単にブロックできるじゃありませんか（今のところは）。なので西村さんのを紹介しているというわけです。ただ、未来永劫、ブロック可能であるかの保証はありませんけどもね。言われてみれば確かに。電机本舗さんのも突破（maybe）されたようですし。

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 名探偵アルパカ

2018/03/21 (Wed) 19:40:07

昨日TCP80,443番ポートを一時的に開放しWindowsアップデートの成功を確認しました

TCP 443だけの開放ではマイクロソフトサーバーヘの接続は可能ですが、KB本体が落ちてこずエラーとなります

これでWin10homeの強制的アップデートは、ほぼ解決するものと思われます

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 名探偵アルパカ

2018/03/21 (Wed) 20:12:08

『一つだけつまらない問題が発生するのはcomodoでWindows updateをブロックした場合、マイクロソフト側からの「1709にアップデートします」の青色画面が定期的に繰り返し、繰り返し表示されるんですね。 』

これって『1709のダウンロードはしているがcomodoのhipsがインストールを阻止している』のですか

だとすれば、うるさいメッセージが出ても不思議ではないでしょう

パケットフィルタだと、 『 Windows Updateサーバの接続を阻止している』ので完全にブロックしているわけです

http://ore-sama123.bbs.fc2.com/?act=reply&tid=5846393

↑でも解説しましたけど、アルパカのPCはブラウザとメーラーにしか開放していませんので、 Windows Updateの確認すら行なえない環境になってます

恐らくですが、マイクロソフトが大手セキュリティベンダーにまで圧力をかけてWindows Updateを強制的に行わせることなんて出来ないと推測しているんですよ

ESETのログをちょっと覗いたら、まぁ大量のMSナントカを名乗るプロセスが動いていることか…

あの中にきっとWindows Update阻止情報を流すスパイも居るのでしょうが、ファイアウォールの鉄壁を越えられず閉じ込められている

別にこちらはWindows10のデフォルト設定を改ざんしたのでは無いのだから、マイクロソフトの規約なり設定に何も違反していない

さて、いつまでセキュリティソフトのファイアウォールが有効なのか!検証していきましょう

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 管理人です

2018/03/21 (Wed) 20:49:47

【これって『1709のダウンロードはしているがcomodoのhipsがインストールを阻止している』のですか。だとすれば、うるさいメッセージが出ても不思議ではないでしょう】


↑

その通りなんです。アルパカ教授の「パケットフィルタリングを徹底活用してWindows updateを阻止する（どころかマイクロソフトとのあらゆる交信を根こそぎ除去する）」手法を否定しているわけでは全くないので、ご理解を（藁）。実際、教授と同じ手法でブロックしているuserは居ると思ってます。ROM専な人が多いので当掲示板に書き込まないのだと思います。とはいえ、誰にでも分かりやすくこのようにパケットフィルタリングを使うんだと記事化したという点で教授の労作だと管理人は思っているのですよ。


２）ええとWindows10の1703バージョンのインストールDVDを自作してあるので、これを使えばいつでも1703状態のWindows10を作れるわけです。車に積み込んで持参したDesktopに1703をインストールし、1709をインストールさせてWindows10アップデートできる状態にしてから、もう一度、comodoのアプリケーションルール経由でブロックすると「どうだったかな？」と記憶間違いを防ぐ意味で、確認しただけの投稿なんですよ。深い意味はありません。comodoのアプリケーションルール程度でも、Windows update程度ならブロックはできます。もちろん、パケットフィルタリングすれば教授と同じ結論になりますし。

セキュリティvendorといっても各社間には力量差がありますので、Friewallの強度にも差は当然に存在しています。ただ、少なくともcomodo、KasperskyのFrewallによるパケットフィルタリングをマイクロソフトが突破してまでマイクロソフトがWindows updateを強行することは、無いと考えています。

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 管理人です

2018/03/22 (Thu) 00:19:51

教授。興味深い事故が発生しているようです。管理人の臨時で持参したDesktop型PCにWindows10の1703をインストールし、comodoの単体Firewallのみをインストールして1709FCUが可能であるか？繰り返し繰り返し検証しているところ。夜9時ごろから離席して、移動して事務処理を行っていたんですが23時頃に戻りPCを見るとPCの再起動が始まっていた。再起動など一切指示していないので「これはもしかすると1709のFCUアップデートが始まった＝comodoが突破されたかな？」と観察。今、ようやくWindows updateが終了したようで、どうやらcomodoが突破された感じですね（苦笑）。ただ不完全なアップデートになったようで、Windows10側は更新プログラムが適用されていないため、危険に晒されている的な警告を発している状態。ちょっとまだ結果がよく見えない段階ですが、comodoのアプリケーションルール「のみ」でのWindows10アップデートブロックは「不完全に突破される」程度の防御力しか持ち合わせていない可能性が濃厚。


２）ちょっと有志にお願いがあるんですが、管理人は今、長期の出張中でして自宅におりません。手元には出来の悪いノートパソコンと、持参したcore2の旧いDesktop型PCが１台あるのみ。検証用のPCをお持ちの有志、あるいは参加希望のuserさん。Windows10の1703あたりをインストールし、comodoをインストールして「Windows updateをアプリケーションルールでブロックする」を選択の上、Windows10、FCU（アップデート）されるか否か？確認お願いできませんか？

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 管理人です

2018/03/22 (Thu) 00:22:38

さらに。管理人が退席している間に、Windows10のFCUアップデート（1709）が開始されていたと見ていますが、1709への不完全ながらcomodoを突破して強行されたWindows10アップデートの結果、なんとcomodoのFirewallが「起動妨害？」を受けたかのようなトラブルが発生中。

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 管理人です

2018/03/22 (Thu) 00:36:14

comodoのアプリケーションルールのみではWindows10の1709FCUアップデート阻止はできないようですね。

KB4054517
KB4078408

など５つの更新プログラムがインストールされている。これは1709ですよ。

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 管理人です

2018/03/23 (Fri) 19:59:12

腰を据えて検証できる環境にはない管理人ですが、持参したDesktopに1703をインストールしてcomodoのアプリケーションルールでブロックできるか？お試しの結果は、この程度の機能ではWindows10の「大型」と評されるアップデートは阻止できない、が多分、正しい答えだろうと思います。

https://blogs.technet.microsoft.com/askcorejp/2017/04/25/windows-10-goback-previousver/

回復させるには「諸条件」を満たす必要があるようですが、まあこの機能を使って1709から1703に回復できるか、ちょっとやってみましょう。Windows.oldフォルダも残っているようですし。

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 管理人です

2018/03/23 (Fri) 22:39:36

「回復」機能からWindows10のバージョンを1703に回復させることに成功。comodoのアプリケーションルールは「カスタムルールセット」を利用して、アップデートをブロックできるか、検証してみます。

さあ、どうなりますか？

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 管理人です

2018/03/23 (Fri) 23:24:11

comodoで「アプリケーションルール」を利用してWindows updateをブロックしているわけですが、マイクロソフトとの通信まで根こそぎブロックしているわけではないので、1709更新プログラム自体のダウンロードは行われていますね。

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - 管理人です

2018/03/24 (Sat) 18:37:41

出張に持ち出したwimax2+の通信制限に引っ掛かっており、ページを捲るのも重い状況に転落です。windows10の1709のダウンロードを繰り返していたら通信制限だ。やれやれ、です。

Re: 知らなかったよ、 ESETのパケットフィルタリング設定は使い方次第で最強なんて - Taka

2018/03/25 (Sun) 19:05:59

ご愁傷様。
全く同感です。
私も経験者ですから。(つまりWimax2の速度制限・・・)

MicrosoftさんはTPOを全く考慮してくれないので困ったものです。
バックグラウンドどころか、完全に『表グラウンド』になっていて、逆にユーザー操作がバックグラウンドになっちまった感じです。

今は、幸い、Microsoftの大量アクセスを完全にコントロール下において、自身がOKを出したときしか、『ハイスピードモード』を勝手に使わせないようにしています。
ハイスピードモードは私が使う為のものであって、Microsoftさんの為にあるのじゃないですから。
ただ、Microsoftさんの為にいちいちルーターにアクセスして『ノーリミットモード(超低速モード)』に切替えるのは今は手動で行っているので、誰か自動でルーター設定を切替えるアプリを作っていただけないですか?