OS Xには、スパムをばらまくロボットを実行しようとするハッカーなど、様々な外部侵入者からMacを保護するための基本的なファイアウォールが搭載されています。しかし、Leopardでは、デフォルトで無効になっているこのファイアウォールは、カスタマイズ機能がほとんどありません。せいぜい、外部からの接続を明示的に許可またはブロックするプログラムやサービス(ファイル共有や画面共有など)を指定できるだけです。IPNetSentryXは、ファイアウォールソフトウェアの対極に位置する存在です。Sustainable Softworksのこのプログラムは、Macオタクでさえ期待するあらゆる機能を備えており、それに見合った複雑なユーザーインターフェースを備えています。
IPNetSentryXは、監視、フィルタリング、ログ、通知、ブリッジ機能など、ファイアウォールソフトウェア全般の機能を備えた万能型ソフトウェアですが、その最大の特徴は、固定ルールではなく適応型ルールを採用していることです。従来のファイアウォールは、通常、まずすべてのアクセスを禁止し、その後、ユーザーが特定のポートにおける特定の種類のトラフィックに対して選択的に例外を設定できるようにします。例えば、リモートログイン用にポート22でSSH(セキュアシェル)接続を許可したり、個人ファイル共有用にポート548でAFP(AppleTalk Filing Protocol)接続を許可したりします。また、特定のIPアドレスのみが任意のポートにアクセスできるようにすることも可能です。IPNetSentryXもほぼ同じ方法でこれらすべての機能を実現できますが、デフォルトではより洗練されたアプローチを採用しています。つまり、様々な疑わしい動作を常に監視し、発生した場合、問題のあるIPアドレスによる特定のポートへのアクセス、あるいは場合によってはすべてのポートへのアクセスを即座にブロックします。
例えば、組み込みルールは、MacにTelnet接続を試みるコンピュータを監視します。一般的なMacユーザーがTelnetサーバーを実行することは稀(かつ潜在的に危険)であるため、IPNetSentryXは、このようにMacに接続しようとするマシンは悪意があると判断され、攻撃者のIPアドレスを即座にトリガーリストに追加し、 Macのあらゆるポートへのそれ以降のアクセスを完全にブロックします。また、このプログラムは、サービス拒否攻撃、ポートスキャン、ワームなどの不正行為の兆候を検出し、手動設定を必要とせずに即座に修正措置を講じます。これにより、望ましいネットワークアクセスの正常な動作が妨げられることもありません。
しかし、ここで紹介した内容は、氷山の一角に積もったほんのわずかな雪片に過ぎません。十分なネットワークスキル(あるいは、何時間もかけて読み解いたり実験したりする忍耐力)があれば、構築できる動作の巧妙さや複雑さには限りがありません。ルールの階層を深く定義し、各ルールにチェックすべき条件(無数の選択肢があります)と実行するアクションを含めることができます。望ましくないアクセスが発生した場合、アクセスをブロックするだけでなく、電子メールで警告を送信したり、AppleScriptを実行したり、URLにアクセスしたり、アクセス試行をログに記録したり、通知なしでパケットを削除したり、その他さまざまな処理を実行できます。ルールを連鎖させることで、条件が満たされたときに複数のアクションを実行できます。
IPNetSentryXは、通常のファイアウォール機能に加え、帯域幅の使用量をニーズに合わせて調整する機能も備えています。例えば、Macをインターネット経由でバックアップする場合、バックアップソフトウェアが使用する帯域幅を制限し、メールの送信や動画のアップロードなどのタスクが許容速度で実行できる十分な帯域幅を確保できます。近隣住民がAirPortネットワークを無断で使用している疑いがある場合、IPNetSentryXはネットワークを監視し、不明なコンピュータが接続した際に警告を発します。IPNetSentryXは、ネットワークの使用状況に関する詳細なレポート機能も提供し、サービス、ポート、ネットワークインターフェース、データ量ごとのトラフィックを表示し、オプションですべての詳細をログに記録することもできます。
IPNetSentryXを基本的なデフォルト設定で実行すると、多くの便利な機能を実行できます。しかし、より高度な機能を試してみたい場合は、多少の苦労を覚悟しておく必要があります。ユーザーインターフェースは分かりやすくはなく、このソフトウェアが実行できるタスクの幅広さと複雑さを考えると、ドキュメント(Appleヘルプガイド形式)もかなり簡素です。さらに、ヘルプ情報の多くは古く、2004年以降更新されていないページもあります。また、Jaguarのファイアウォールに関する記述は少なくとも1つ見つかりましたが、Leopardの内蔵ファイアウォールが以前のバージョンと大きく異なるという事実については、全く触れられていませんでした。
このプログラムには、洗練されていない点もいくつかあります。例えば、設定を変更した後に「適用」をクリックすると、「IPNetSentry On」チェックボックスも選択解除され、ソフトウェアが無効になったように見えることがあります(ただし、ファイアウォールは引き続き動作します)。また、Read Meファイルには起動時にIPNetSentryXを実行する手順が記載されていますが、設定にはいくつかの手動手順が必要で、それでも再起動時にファイルのパーミッションが間違っているという警告が表示され、修正するにはさらに再起動が必要になります。起動時に実行するという基本的な機能であれば、プログラムは設定を自動化し、面倒な詳細をすべて処理してくれるはずです。
Macworldの購入アドバイス
IPNetSentryXのデフォルト設定は、一般的なホームユーザー向けに設計されていますが、このプログラムの広範なフィルタリング、トラフィックシェーピング、そして監視機能は、サーバー環境での使用時に最も真価を発揮します。経験豊富で大胆なネットワーク管理者であっても、このプログラムの複雑さに戸惑うかもしれません。IPNetSentryXを直感的で初心者にも使いやすいものにすることは、明らかに設計上の優先事項ではありませんでした。しかし、実現できることを考えると、このソフトウェアを使用するために必要な労力は十分に報われるでしょう。
[ Joe Kissell は TidBits の上級編集者であり、OS X に関する多数の電子書籍の著者です。]
