Outpost Firewall

トップ > Outpost Firewall

V2からエクスポートしたV1用preset.lst
（リネームして何とかして使ってくださいw）
preset.lst

なんか2chでいいページが出来上がったので、さらに手抜きになる予感…(^^;

Outpost and 2ch
http://www.geocities.jp/outpost_2ch/

svchost.exe(Win9x), service.exe(Win2K)へのルール

SVCHOST DHCP Connection Rule

プロトコル：UDP
方向： Inbound
リモートホスト： <DHCP Server>
リモートポート： 67
ローカルポート： 68
これを許可　//DHCPを利用している場合は必要

SVCHOST DHCP Transit Rule

プロトコル： UDP
方向： Outbound
リモートホスト： 255.255.255.255
リモートポート： 67
ローカルポート： 68
これを許可　//IPを解放して再度取得する時に使用

SVCHOST SSDP (UPnP) Connection Rule

プロトコル： UDP
リモートポート： 1900
これを遮断　//Universal Plug&PlayはMSのセキュ穴のひとつ

SVCHOST UPnP Connection Rule

プロトコル： TCP
方向： Inbound
ローカルポート： 5000
これを遮断　//上に同様

SVCHOST Time Synchronization Connection Rule

プロトコル： UDP
リモートホスト： time.windows.com, time.nist.gov
リモートポート： 123
これを許可　//時計サーバを利用している場合のみ

SVCHOST DNS UDP Connection Rule

プロトコル： UDP
リモートホスト： <IP or DNS1>, <IP or DNS2>　//絶対必要
リモートポート： 53
これを許可
//DNSサーバが分からない場合はipconfig /all (Win2k,WinXP) ,
//winipcfg (Win9x,WinME)などを実行して適切なリモートホストを指定する。
//Outpostのバグのため、port53(DNS)にリモホを指定しないと危険

SVCHOST DNS (DOMAIN) TCP Connection Rule

プロトコル： TCP
方向： Outbound
リモートポート： 53
これを遮断　//DNS接続はUDPで行うが、仕様上はTCPもありうる。念のため遮断

SVCHOST RPC TCP Connection Rule

プロトコル： TCP
方向： Inbound
リモートポート： 135
これを遮断　//重要！　RPCはMS最大のセキュ穴。各種ブラスタの侵入口として有名

SVCHOST RPC UDP Connection Rule

プロトコル： UDP
方向： Inbound
リモートポート： 135
これを遮断　//上と同様

[SVCHOST HTTP Connection Rule

プロトコル： TCP
方向： Outbound
リモートポート： 80
これを許可　//重要　HTTPはWebサイトとのデータのやり取り使われる

[SVCHOST HTTPS Connection Rule]

プロトコル： TCP
方向： Outbound
リモートポート： 443
これを許可　//HTTPS　セキュア通信（暗証番号、パスワードなどの暗号化通信）

[SVCHOST Extended TCP Coverage Rule]

プロトコル： TCP
これを遮断　//念のため上記で許可した以外全部遮断

[SVCHOST Extended UDP Coverage Rule]

プロトコル：UDP
これを遮断　//上と同様

[*]は必須、[$]はDHCPを使う場合必須、その他は必要に応じて設定
設定後は、システム設定の"Allow"チェックをすべて外す

svchostに適用されるルールを簡単にまとめると、

DNS、DHCP、Time Sync、 HTTP、HTTPS　を許可
UPｎP(SSDP)、RPCの２つのセキュ穴を遮断
念のためそれ以外も全部遮断（このルールは必ず一番下に置く。
ルール適用の優先順は「上→下」となるので）

DNS、DHCPを許可した場合、システムルールのDNS、DHCPの
チェックは外す。

HTTP　HTTPSを許可する理由は、
> マイクロソフトのヘルプの一部がこの機能を利用してオンラインで
> 提供されているために必要となる。これを遮断すると、MSのヘルプの
> 一部が機能しなくなる。
ということなので、それがいらなければ許可する必要はない。（通常の
Webを見る際のHTTP、HTTPS接続はブラウザの仕事）

Q: adsプラグイン用のリストでお勧めは？
A: AGNISが定番。Eric Howes のセキュリティサイト
http://www.staff.uiuc.edu/~ehowes/resource.htm
ページの下の方にAGNIS-OP.ZIPがある。次のリンクで
直接ダウンロードできる。適当なディレクトリに解凍して利用します。
http://www.staff.uiuc.edu/~ehowes/res/agnis-op.zip
　ag-ads.ctl（6,303項目）　ag-lite.ctl（3,581項目）
ag-liteはag-adsからエロサイトデータを省略したもの。エロサイトは数が多く、
変化も激しいのでブロックの意味があまりないということで作者はlite版を推薦。

【ads用広告ブロックリストの利用法】
OutpostのGUIを開き、プラグイン欄のAdsを選択反転、右クリック→
プロパティ窓を開く→「デスクトップに広告ごみ箱を表示する」という行の
下にあるアイコンをクリックする→ファイル選択窓が開く→解凍したag-ads
またはag-liteファイルを選択→OKで実行→ctlファイルが読み込まれる。
広告ブロックのctlファイルを削除してはダメ。OP起動のたびに読みに行く。
削除するとOP再起動で初期状態に戻ってしまう。もしいろいろなリストを追加して
いくなら次のようにします。
　現在の状態をcustom.ctlなどの名前でEXPORT→
　custom.ctlにメモ帳で新しいIPを追加→
　custom.ctlをIMPORT

Q: OutpostはなぜWebページの圧縮（gzip）を無効に設定しているのですか？
A: 一部のブラウザはWebサーバに対して、可能なら圧縮してデータを送るよう
要求することができます。この場合ブラウザはHTTPリクエストに"Accept-Encoding
gzip"という値を入れます。送り返されてくるデータが平文ではなく圧縮されて
いると、Outpostはリアルタイムで伸張することができないため、ブラウザの
リクエストから"Accept-Encoding: gzip" を取り除いています。
ページ圧縮を有効にしたい場合には、レジストリエディタregeditで、
HKEY_LOCAL_MACHINE\SOFTWARE\Agnitum\Outpost Firewall で
"Enablegzipencoding" に値"1"をセットしてください。
ただし、この場合、Content Filtering とActivie Content Filteringが全てのWeb
サイトについて無効となります。

Q: なぜOutpostはメールの送信速度を低下させるのですか？
A: メールサーバは伝統的に（IRCやFTPも同様ですが）、メール送信時にあなたの
PCの身元を確認しようとします。すなわち、あなたのマシンのTCP113ポートに
接続を試みます。Outpostはこれをブロックし、不到達の返信も送りません。
たいていのメールサーバは数秒間返信を待った後でメール送信を許可します。
この遅延をなくすにはオプション→システム→全般→システムルールで
"Allow inbound identification"
にチェックを入れてください。メール送信の遅延はなくなります。ただしこの状態
ではポート113はポートスキャンテストに対してオープンになっています。
ステルス状態に戻すには、inbound　identificationをあなたがFTP、SSH、SMTP、
Telnetの各プロトコルでアクセスする特定のリモートホストのみに許可してください。