ファイヤーウォールを無効、侵入探知は有効の場合

webサイトからソフトのダウンロードをする時に、ファイヤーウォールが許可するか尋ねてきて、推奨という項目を選択したら、許可しないでした。そのためダウンロードが出来なくなりやむを得ず、ファイヤーウォールの設定を「システムが再起動するまで無効にする」にしました。

ファイヤーウォール（ノートンインターネットセキュリティー）を無効にして10分ほど、インターネットに接続しました。侵入探知は有効にしてありました。
(ノートンインターネットセキュリティーのシステムの状態と設定の中で、ファイヤーウォールだけを無効にしてありました。)

この間にセキュリティ警告がありましたので、
不正アクセス（不正侵入）がありその通信は遮断されたと思います。

　　　この考え方で間違いないでしょうか？
　　　　　　この設定（ファイヤーウォールを無効、侵入探知は有効）は初めてでしたので、
　　　　　　あとから不安になりました。

それによりこれからすべき対策があれば講じたいと思います。
WindowsXPの標準のファイヤーウォールは二重にしていると接続が極端に遅くなるというのでオフにしています。それからSP2はまだインストールしておりません。
どうぞよろしくお願いします。

No.1 回答者： info22 回答日時： 2005/05/01 03:30

Windowsのファイアウオールとノートンのファイアウオールの両方を有効にしておきますと、セキュリティ更新のインストール中はそのファイアウオールが無効になりますのでもう一方でその間カバーすることになります。

ノートンのファイアウオールは無効にしない方がいいですね。仮に禁止しても、禁止したサイトの禁止を解除するだけです。ファイアウオールは有効にしておいた方がいいですね。
私は自宅と職場あわせて、WinXP Pro SP2をを6台、WinMe2台の全て、ファイアウオールを2重にして、常時接続か、殆ど常時接続に近いつかい方で使っています。パソコンのメーカーやノート、デスクトップなど色々です。セキュリティソフトはノートンインターネットセキュリティ2004/2005とウイルスバスタ2004/2005を使って運用していますが、インターネット接続がそんなに遅くなることはありません。遅くなる場合は他の原因が多いです。

この回答への補足

info22さま　　回答ありがとうございます。質問があります。よろしくお願いします。
＞セキュリティ更新のインストール中はそのファイアウオールが無効になりますのでもう一方でその間カバーすることになります。
今回は、セキュリティ更新のインストール中ではありませんが、
私の場合「セキュリティ更新のインストール中」というのは、ノートンインターネットセキュリティのLiveUpdate行い、それを更新するファイルをインストールしている時のことですか？
＞ノートンのファイアウオールは無効にしない方がいいですね。仮に禁止しても、禁止したサイトの禁止を解除するだけです。
無効にしない方がいいということの具体的な説明だと思いますが、無効にしないと「ファイヤーウォールが許可しないとしたダウンロードしたいソフト」がダウンロードできないと思い無効にしましたが、この点はどうでしょうか？
＞インターネット接続がそんなに遅くなることはありません。
遅くなると思っていました。ＡＤＳＬを利用していますが、環境のため最高８メガまでしか出ません。
お使いのインターネットの環境は私よりもっとずっと高速でしょうか？

補足日時：2005/05/01 05:06

No.2 回答者： mukichan 回答日時： 2005/05/01 05:31

ADSLのモデムを介してネット接続しているのであれば、そのこと自身で外部からの侵入に対してかなりのレベルのファイアーウォールになっています。

外部からはあなたのPCのIPアドレスしか見えず侵入者が意図的に開放ポートを探さない限り大丈夫でしょう。
自分もノートンを使用してますのでSP2ですがWinファイアーウォールは殺してます。　No.1さんとは違う見識で、複数のセキュリティプログラムの使用はコンフリクトの可能性がありPCに問題があった場合原因分離がしにくくなるからです。
ノートンは詳細設定項目が多く初心者には分かりにくいところもありますが非常に信頼性は高いです。あなたもプログラム制御、禁止サイト設定あたりをマニュアルで読んで設定してみてはいかがでしょう。

この回答への補足

Mukichanさま　回答ありがとうございます。質問があります。よろしくお願いします。
デスクトップのアイコンの中まで、不正アクセスされた場合侵入者から見られてしまうものでしょうか？
＞外部からはあなたのPCのIPアドレスしか見えず侵入者が意図的に開放ポートを探さない限り大丈夫でしょう。
以下はノートンインターネットセキュリティ2005のユーザーズガイド等（冊子）に掲載されている内容です。セキュリティ保護の機能という説明に、『侵入探知 : コンピューターに入って出て行く各情報をスキャンしてインターネット攻撃を自動的に遮断します。』とあります。
また、同梱されたガイドブックには『「セキュリティ警告」で通信が遮断されたときは』という項目のところに『侵入探知』とあり『不正侵入が検出されると「セキュリティ警告」の画面が表示され、その通信が遮断されます。侵入を試みた相手からの通信はAutoBlock機能により、標準で３０分間遮断されます』と書いてあります。
私は「セキュリティ警告」がありましたので、上記の点から不正アクセス（不正侵入）がありその通信は遮断されたと判断しました。(意味があるかわかりませんでしたが相手のＩＰアドレスをメモしました)
不正侵入から警告が出るまでの間がどれだけあるのかわかりませんが、(接続してから警告が出るまで長くても５分位。接続してからＰＣを再起動するまで10分ほどでした。再起動後に直ちに手動でファイヤーウォールを有効に設定しました)私の想定が仮に正しいとして、侵入者が開放ポートを探すことは可能なのですね？
(「開放ポート」という言葉が初めてでしたので、検索してどのような場合に必要なことかという程度に分かりました。)

デスクトップのアイコンの中まで、不正アクセスされた場合侵入者から見られてしまうものでしょうか？
ひとつとても気になることがあります。重要な個人情報（不正使用の防止は不正侵入直後に対策済みです）を含むアイコンひとつが、今回webサイトからソフトのダウンロード、インストールが終了しＰＣを再起動した時に、どういう訳か、デスクトップのこのファイル名のところだけ（このファイルのアイコンの下に表示される文字の部分だけ）が色が変わって表示されていました。このファイル名はひと目で重要な内容だとわかる名前ですので内容を侵入者に見られたのかと心配になりました。
ファイルの中の文字（漢字、英数字）まで判別したりすることが出来ますか？
お分かりになることを教えて下さい。

プログラム制御について調べました。これを知っていれば、こんな事にはならなかったですね。

補足日時：2005/05/01 08:37

No.3 回答者： info22 回答日時： 2005/05/01 15:47

No.1です。

>私の場合「セキュリティ更新のインストール中」というのは、ノートンインターネットセキュリティのLiveUpdate行い、それを更新するファイルをインストールしている時のことですか？
そうです。
LiveUpdate中に色々なファイルが更新されます。Winsows　XP Pro SP2ののセキュリティセンターでWindowsファイアウオールを有効にしていると、LiveUpdate中にただいま（ノートンの）ファイアウオールが無効になって危険に曝されています。というようなメッセージがインストール中に表示され、LiveUpdateの終了するとノートンファイアウオールが有効になって、警告が消えます。
このインストール期間がWindowsのファイアウオールが有効に守ってくれています。

>「ファイヤーウォールが許可しないとしたダウンロードしたいソフト」がダウンロードできないと思い無効にしましたが、この点はどうでしょうか？
ファイアウオールの設定の中で
そのダウンロードサイトを
１）ネットワークタブの所で、信頼サイトに設定しておくとか、
２）拡張タブの所の一般ルールのボタンをクリックして
追加ボタンをクリックし、許可サイトに設定しておけば、
ファイアウオール全体を無効にしなくてもよいですね。

>お使いのインターネットの環境は私よりもっとずっと高速でしょうか？
自宅はBフレッツ光最高100Mbps、エリア内速度までは50Mbps～70Mbpsですが、plalaネットワーク経由でgooのスピードテスト
→http://speedtest.goo.ne.jp/
をすると時間帯にもよりますが現在の時間帯で7～11Mbpsの通信速度ですね。
職場のネットに接続したWinXP　Pro SP2は100MbpsのLAN接続ですが、gooスピードテストでは矢張り3Mbps～5Mbpsも出ればいい方です。込み合っている時は1Mbps以下に速度が落ちます。
こういった意味でsymantecサイトへの接続環境などは質問者さんとあまり変わらないと思います。
それより、パソコンを軽く動くように色々工夫や運用に気を使うことの方が大切だと思います。

なお、私の自宅および職場のLAN接続環境は私のネットワークだけを隔離するルータ接続でないため、私のPCのfairewallのログには毎日頻繁に不正アクセスがあり、記録されています。もちろん防御できていますが。短時間に同じサイトから多数の攻撃があれば、そのサイトからのアクセスが30分間遮断したとの記録が残ります。

この回答への補足

info22さま 再び回答ありがとうございます。また質問があります。どうかよろしくお願いします。
＞Windows　XP Pro SP2ののセキュリティセンターでWindowsファイアウオールを有効にしていると、LiveUpdate中にただいま（ノートンの）ファイアウオールが無効になって危険に曝されています。というようなメッセージがインストール中に表示され、LiveUpdateの終了するとノートンファイアウオールが有効になって、警告が消えます。このインストール期間がWindowsのファイアウオールが有効に守ってくれています。
私はWindows XP Home Edition を使用しています。あいにく、Windows XP Pro SP2 のことは何も知りませんが、いわばプロ仕様のWindows　XP のSP２版ということですか?
まだ、SP２はＰＣの準備が出来ていない(インストール後に不具合が出ないように色々と前もってすることがあります)ので導入してないのです。上記の内容はWindows　XP　Home EditionのSP２にも共通していることでしょうか？　現在いろいろな心配から登録内容の変更を行っていまして、、、時間がかかっています。度々で恐れ入りますが、Windows XP Pro SP2との違いについて教えて頂けるととても助かります。

＞もちろん防御できていますが。短時間に同じサイトから多数の攻撃があれば、そのサイトからのアクセスが30分間遮断したとの記録が残ります。
遮断したPCの情報を確認するのだと思いますが、「セキュリティ警告」意外にノートンインターネットセキュリティーを起動したシステムの状態の中のどこを開いて、何をご覧になりますか？　
私のやり方に自信がないものですから、教えて頂いて確認したいと思います。

補足日時：2005/05/01 16:43

No.4 回答者： info22 回答日時： 2005/05/01 18:59

>「XP Home Edision」 と　「XP Professional」の違い

細かいことはMicrosoftのHPをご覧いただけば良いです。
→http://www.vector.co.jp/magazine/spotlight/02012 …
→http://www.microsoft.com/japan/windowsxp/home/ho …

広告の安値販売モデルは殆ど名前の通り、ホームユーズ（家庭での個人使用）つまり攻撃の殆どないネットワークでの使用を前提に、セキュリティ機能を　XP　Professional から削ったモデルとなっています。
特にファイル共有フォルダのセキュリティ機能は家庭内LANということでパスワード管理が甘く、他から進入される（見えてしまう）といった脆弱性があるようです。しかし、家庭内LANは攻撃者がいないことが前提ということで安全とされています。ただ1台がスパイウェアやトロイの木馬を拾いこんでしまった場合は必ずしも安全とはいえませんね。
特にNetBIOSoverTCP/IP（インターネット越のファイル共有は無効にしておかないと危険のようです。）

マイクロソフトからHome EditionからProfessionalにアップグレードするソフトは有料でオンライン販売されているようです。

SP1からSP2（サービスパック２）は矢張りセキュリティ上の脆弱性の改善が図られています。機種によっては問題が発生しますので、お使いのPCの製造メーカーのHPにSP2などにバージョンアップする時の問題の解決法が記載されていますのでご覧になってください。

>遮断したPCの情報を確認するのだと思いますが、「セキュリティ警告」意外にノートンインターネットセキュリティーを起動したシステムの状態の中のどこを開いて、何をご覧になりますか？

[Norton Internet Security]→[統計]のところで
に簡単な攻撃や遮断の表示時がされますが、更に
●[更に詳細]ボタンを開く
表示→オプションで表示項目を最近60秒の履歴、ファイアウオール、ネットワーク接続のみ残して、他のチェックを外します。これは攻撃が行われたときリアルタイムで何がおきているかが分かります。
●[ログの表示]ボタンを開く
ここのNortonInternetSecurityのツリーを開き
ファイアオウールのところ：攻撃サイトやポートや攻撃日時の表示
→攻撃の多いサイトはファイアウオールの制限サイトに登録する。
接続のところ：不審な接続のチェックと追跡に利用
警告のところ：集中攻撃の遮断警告のログが残る
以上で表示される一覧表は拡大や項目の境の操作で項目の表示幅が変更表示できます。また項目名をクリックすると、昇順、降順に並べ替えられます。同じ攻撃サイトや攻撃の多いポートなどを一覧するのに便利です。

この回答への補足

info22さま　お蔭様で、[ログの表示]から遮断したPCの情報を確認することができました。ありがとうございます。いろいろとトラブルがありようやくPCが使用出来るようになりました。

これまでの回答で、Windows XP ファイアウォールとノートンファイアウオールを両方使う方とそうでない方の回答を頂きました。

>Windowsファイアウオールを有効にしていると、ノートンのLiveUpdate中のインストール期間Windowsのファイアウオールが有効に守ってくれています。

確かに、LiveUpdate中に危険から守ってもらえるのは良いことだと思います。しかし、ノートンのHPで調べましたら、「Windows XP ファイアウォールと Norton セキュリティ製品の違い」
http://service1.symantec.com/SUPPORT/INTER/share …
というページに
「シマンテックでは、Norton Internet Security または Norton Personal Firewall と Windows XP ファイアウォールを同時に使用することを推奨しません。たとえそれが可能であっても、Norton Personal Firewall および Norton Internet Security にはより優れた技術と多数の追加機能があるため、Windows XP ファイアウォールをさらに実行するメリットはありません。」
「複数のファイアウォールを使用すると、余分な混乱を招き、ネットワーク設定がさらに難しくなることとなるおそれがあります。このような場合だと、接続の設定を解決しようとするとさらに難しくなり、不適切な解決方法を用いることでコンピュータのセキュリティが危険にさらされることともなりかねません。」

と書いてあります。

それで、私は両方を有効にする方がいいのかどうか決められなくなりました。この質問、回答を見られる方のためにも、どのように判断するかを教えて頂きたいと思います。回答お待ちしております。

補足日時：2005/06/01 12:07

No.5 ベストアンサー 回答者： info22 回答日時： 2005/06/01 17:27

どのセキュリティ対策も正常に機能している状態では万全で、他のセキュリティソフトや対策は不要とうたっています。

セキュリティソフト会社としてはそういわざるを得ないです。98％大丈夫です。無防備なときが一時的に存在します。などとは絶対に書けませんから。
もしそうなら、ソフトのバージョンアップなど必要がありませんね。

どんな開けられない鍵で家を戸締りしても、それを開ける泥棒が出てきて被害が出て、その被害に遭わない、開けられない鍵が作られることの繰り返しです。

ノートンやウイルスバスターなどのセキュリティソフトについても、無防備なタイミングが結構発生します。
セキュリティソフトを大幅に自動でバージョンアップが行われますが、インストーラーで、自らをアンインストールし、新バージョンを再インストールするする際に、セキュリティ防御を旧ソフトから、新ソフトに受け渡す時間の隙間がどうしても発生します。最近のインターネットセキュリティソフトは、多機能であるため、同時にすべての機能の受け渡し（新旧切り替え）の空白時間が発生します。その隙間の時間にWindowsファイアウオールがただいまセキュリティ上の問題が発生していますといったメッセージを一時的に出すことがあります。
また、セキュリティソフトの更新中は、セキュリティソフトが多忙になっていますので、攻撃を防ぎきれない場合もあります。不正アクセスは1秒間あたり何回も行われることは頻繁に発生しています。
また、新種の攻撃が発生したときは、あっという間（数10分～1時間位で）に世界中に広まります。通常、新種の攻撃が発見されてから、セキュリティ対策ソフトベンダーがLiveUpdateで修正情報を配布できるまでに、被害届けあって最短で約2時間以内、通常発見から2日～5日位要することだってよくあることです。攻撃は瞬時、対策ソフトは数日後しか機能しない。この時間差は永久になくせませんね。

大事なことは、パソコンの能力がないのに、度を越えたセキュリティソフトを何重にも稼動して、パソコンが使えないではいけませんね。程ほどにして、自ら危ないパソコンの操作は避けることが大切ですね。Spyware対策ソフトは、駆除率が50～70程度で、人によっては３～５個のSpyware対策ソフトを入れている位です。同じ新種ウイルスでも、アンチウイルスベンダーにより、修正ソフトやウイルス定義が発行される日にちに１日～3日位の差が出ることもよく知られていますし、はじめは不完全な修正ソフトを出して、解析が進むにつれて修正ソフトをバージョンアップしていくところもあります。

2重にセキュリティ対策すること自体は、パソコンの負荷が重過ぎにならない限り意味がありますね。
セキュリティ対策は、上記の説明でもしましたが、万全ではないということ、セキュリティソフトを過信しないこと、セキュリティソフトの防御能力は日時とともに減少をしていくこと、パソコンを使う人が「君子あやうきに近寄らず」といった姿勢でパソコンを使うことが必要ではないでしょうか？　
使わない機能は止める。安全が確認できないサイト、危ないサイトにはむやみにアクセスしない。アクセスせざるを得ないときはそれなりのセキュリティ対策をしてアクセスする。不審なメール添付ファイルは開かない。安全と確認できないソフトをインターネットからダウンロードしてインストールしない。攻撃を受け入れる可能性のある危ない使い方はできる限りしない。Webメールはできるだけ使わない。などのセキュリティに留意することがセキュリティ対策の基本ですね。

シマンテックが万全なら、Microsoftのセキュリティソフトをすべて無効にしても、またMicrosoftはWindowsにすべてのセキュリティ対策も今後一切しなくても、よいことになります。シマンテックのLiveUpdateで行われる内容を見ると、よくこれだけ頻繁に更新が発行されるものだと思います。裏を返せは、これらの更新をしないと欠陥だらけになるということです。こんなに更新しないといけないセキュリティ対策ソフトには100％の信頼は、絶対置けません。他により完全なセキュリティソフトは存在しないから、より効果のあるセキュリティソフトを使っているといったところですね。

私の直接管理や管理の影響の及ぶ100台以上のWindows XP Pro SP2 では、「Windows ファイアーウオールとウイルスバスター2005インターネットセキュリティ」または「Windows ファイアーウオールとノートンインターネットセキュリティ2005」を有効にして使っていますが特にそのためによる障害は発生していません。
セキュリティ的な効果は確認できます。
パソコンの負荷が重過ぎる場合は、何を優先するかですが、Windowsファイアウオールを止めてノートンインターネットセキュリティを止めることが良いでしょうね。

この回答へのお礼

info22さま　詳細な情報をありがとうございます。
設定については、頂いた情報をもとにPCの環境や使い方で判断したいと思います。
また、複数回の回答を頂いた事に大変感謝いたしております。ありがとうございました。

お礼日時：2005/06/02 16:17