2013/10/05

COMODO Firewall ver6 設定

COMODO Firewall(COMODO Internet Security)にはプリセットの設定として以下の3つがあります。
  • Internet Security
  • Proactive Security
  • Firewall Security
Internet Securityは、アンチウィルスがインストールされている場合のデフォルト、Firewall Securityはファイアーウォール単体時のデフォルトとなっています。Proactive Securityが一番強固な設定ということですが、具体的にどのような設定なのか調べてみました。括弧内は日本語化した時のものです。

※項目が多い上に各項目の説明文は本家のオンラインヘルプをWeb翻訳を頼りに読み取ったものなので、間違っている可能性があります。チェックする項目の説明文を付けないとその意味が分からないので無理矢理付けましたが、正しい理解は本家ヘルプへどうぞ。

Defense+/HIPS/HIPS Setting

  • Internet Security
    • 全て無効/Monitoring Settings:全てにチェック
  • Proactive Security
    • Enable HIPS Safe Mode/Monitoring Settings:全てにチェック
      (ホスト侵入防止システム(HIPS)を有効にする)
    • Set popup alerts to verbose mode
      (ポップアップアラートを冗長モードに設定)
    • Enable adaptive mode under low system resources
      (低システムリソース下で適応モードを有効にする)
    • Enable enhanced protection mode
      (強化された保護モードを有効にする)
  • Firewall Security
    • Enable HIPS Safe Mode/Monitoring Settings:モニタ、キーボードが監視外
      (ホスト侵入防止システム(HIPS)を有効にする)
HIPSとは、アプリケーションがディスクにアクセスしようとした、他のプロセスの実行を試みた等のアプリケーションの挙動を監視し制御する機能です。

Internet SecurityはHIPSの監視項目はProactive Securityと同じになっているものの、全て無効です。
Firewall SecurityはHIPSは有効ですが、監視項目のモニタとキーボードは除外されています。

Enable adaptive mode under low system resources
(低システムリソース下で適応モードを有効にする)
低メモリ状態で過負荷の場合、まれにCIS(COMODO Internet Security)の機能が失敗する可能性があるらしく、その様な時に、活用できるメモリを検索してくれるらしいです。反面、通常負荷でもパフォーマンスが低下することがあるとのこと。

Enable enhanced protection mode
(強化された保護モードを有効にする)
windows 7/8 x64システムの制限により、いくつかのHIPS機能が理論的にはマルウェアによって無視される可能性がありその対策の追加のホスト侵入防止技術、だそうです。

Defense+/HIPS/HIPS Rules

  • Internet Security
    • Windows System Application
    • %windir%\explorer.exe
    • Windows Updater Applications
    • COMODO Internet Security
    • All Applications
  • Proactive Security
    • Windows System Applications
    • Windows Updater Applications
    • COMODO Internet Security
    • %windir%\explorer.exe
    • All Applications
  • Firewall Security
    • Internet Securityと同じ
Internet SecurityFirewall Securityは同じでProactive Security%windir%\explorer.exeの優先順位が低くなっています。
また、Internet SecurityFirewall SecurityはWindows System Application、Proactive SecurityはAllowed Applicationとなっていて、%windir%\explorer.exeに設定されたルールセットが異なります。

Defense+/HIPS/Protected Objects

  • Internet Security
    • Startup Folders
    • Important Files/Folders
    • COMODO Files/Folders
    • Executables
    • Windows Management
    • 3rd Party Protocol Drivers
  • Proactive Security
    • Startup Folders
    • Important Files/Folders
    • COMODO Files/Folders
    • Executables
    • Windows Management
    • 3rd Party Protocol Drivers
    • Windows Sockets Interface
  • Firewall Security
    • Startup Folders
    • Important Files/Folders
    • Windows Management
    • 3rd Party Protocol Drivers
    • COMODO Files/Folders
Protected FilesRegistry KeysCOM Interfaceの設定がありますが、Protected Filesだけが異なるようです。

Defense+/HIPS/Behavior Blocker

  • Internet Security
    • Auto-Sandbox unknown applications as Partially Limited
      (自動サンドボックス-未知のアプリケーション[部分的な制限])
    • Detect programs which require elevated privileges e.g. installers or updaters
    • Show privilege elevation alerts for unknown programs
    • Do heuristic command-line analysis for certain applications
      (特定アプリケーションにヒューリスティックコマンドライン解析を行う)
    • Detect shellcode injections
      (シェルコードインジェクションを検出する)
  • Proactive Security
    • Internet Securityと同じ
  • Firewall Security
    • Detect programs which require elevated privileges e.g. installers or updaters
    • Show privilege elevation alerts for unknown programs
    • Do heuristic command-line analysis for certain applications
      (特定アプリケーションにヒューリスティックコマンドライン解析を行う)
    • Detect shellcode injections
      (シェルコードインジェクションを検出する)
自動サンドボックスがFirewall Securityで無効、Internet SecurityProactive Securityで”部分的に制限”で有効になっています。

自動サンドボックスとなっていますが、サンドボックスのVirtual Kioskとは区別され、殆どの部分が非仮想環境下で厳密なアクセス制限のもと実行するように許可されていて、アプリケーションで有害なアクションを防ぐ…らしいです(Web翻訳がいまいちだったので良く分からない部分があります)

設定により完全な仮想環境下での実行も可能です。


Detect programs which require elevated privileges e.g. installers or updaters

昇格された権限が必要なプログラムを検出する(例えばインストーラーやアップデータ)。

Show privilege elevation alerts for unknown programs

未知の実行可能ファイルを実行するのに権限昇格が必要なときアラートを表示する。

Do heuristic command-line analysis for certain applications
(特定アプリケーションにヒューリスティックコマンドライン解析を行う)

Visual Basic スクリプトやJavaアプリケーションのようなプログラム(wscript.exe、cmd.exe、java.exe、javaw.exe等)のヒューリスティック分析を実行するとのこと。

wscript.exe c:\tests\test.vbsのようなコマンドでtest.vbsを実行した場合、このオプションが有効だと、例えばtest.vbsがインターネットに接続を試みていますというようなアラートになり、無効だとwscript.exeがインターネットに接続を試みていますというようなアラートになります。

Detect shellcode injections
(シェルコードインジェクションを検出する)

バッファーオーバーフローの保護。チェックすると、バッファーオーバーフロー攻撃があればアラートが出る。ここのチェックはCOMODO推奨です。

Defense+/HIPS/Sandbox

  • Internet Security
    • Do not virtualize access to the specified files/folders
      (アクセスを仮想化しないファイルまたはフォルダーを指定)
    • Show highlight frame for virtualized programs
      (仮想化プログラムはフレームをハイライトして表示する)
  • Proactive Security
    • Do not virtualize access to the specified files/folders
      (アクセスを仮想化しないファイルまたはフォルダーを指定)
    • Enable automatic startup services installed in the Sandbox
      (サンドボックスにインストールされたサービスの自動スタートアップを有効にする)
    • Show highlight frame for virtualized programs
      (仮想化プログラムはフレームをハイライトして表示する)
  • Firewall Security
    • Do not virtualize access to the specified files/folders
      (アクセスを仮想化しないファイルまたはフォルダーを指定)
    • Show highlight frame for virtualized programs
      (仮想化プログラムはフレームをハイライトして表示する)
3つともほぼ同じですが、Proactive Securityだけサンドボックスにインストールされたサービスの自動スタートアップを有効にチェックが入っています。

また、アクセスを仮想化しないフォルダはCOMODO Firewallインストール時に作成されたShard Spaceフォルダになっています。

Firewall Global Rules

  • Internet Security
    • Allow All Outgoing Requests If The Target Is In [Home #1]
    • Allow All Incoming Requests If The Sender Is In [Home #1]
    • Allow IP Out From MAC Any To MAC Any Where Protocol Is Any
    • Allow ICMP In From MAC Any To MAC Any Where ICMP Message Is FRAGMENTATION NEEDED
    • Allow ICMP In From MAC Any To MAC Any Where ICMP Message Is TIME EXCEEDED
    • Block IP In From MAC Any To MAC Any Where Protocol Is Any
  • Proactive Security
    • Firewall Securityと同じ
  • Firewall Security
    • Allow All Outgoing Requests If The Target Is In [Home #1]
    • Allow All Incoming Requests If The Sender Is In [Home #1]
    • Block ICMP Out From MAC Any To MAC Any Where ICMP Message Is PROTOCOL UNREACHABLE
    • Block ICMP In From MAC Any To MAC Any Where ICMP Message Is 17.0
    • Block ICMP In From MAC Any To MAC Any Where ICMP Message Is 15.0
    • Block ICMP In From MAC Any To MAC Any Where ICMP Message Is 13.0
    • Block ICMP In From MAC Any To MAC Any Where ICMP Message Is ECHO REQUEST
ネットワークの場所をI am at Homeで指定した後のルールです。基本はProactive SecurityFirewall Securityが同じで、各プリセット構成にHomeのルールが付加されています。

Configurationの切り替え


Configurationの切り替えはGeneral Settings/Configuration(全体の設定/設定)から行えます(アクティブになっているのが現在選択中の構成)。
右クリックでメニューが出て、設定をファイルへ書き出し、読み出し等が出来るようになっています(設定をファイルから読み込むときに名前を付けられるので、オリジナルな設定もここの一覧に出せます)。

ちょっとしたことですが、設定を切り替えるとルールのみではなくGeneral Settingsの内容(アラート時の音設定など)も変更されるので必要があればその辺りの確認も忘れずに。

ルールを一から作っていく場合、ルールを作るのは大変ですが、消すのは楽なので最初はProactive Securityを選んでそこから必要のないルールは無効にするなどして作成していくのが楽なんじゃないかと、個人的には思います。

また、時々設定を書き出しておけば、設定がおかしくなった時のバックアップになるので安心です。
その他の記事