不正アクセス報告

> ルータとか、ファイアウォール系のソフトでリモートホストを制限する方法って何かあるんでしょうか？
??
ルータとかファイアウォールって、そのためのものでしょう。
どれでも出来るのでは？
IP アドレスで制限すればいいです。職場からアクセスするということなら、アドレスはある程度決まっているでしょう。問題のポートにはそのアドレスからのみアクセスできる、という設定にすればいいです。こうしてもまだアクセスされるなら、犯人は職場ないしは非常に近い所にいるのかも知れないとも推定できます。
MacOSX 本体なら、ipfw コマンドでいくらでも出来ます。man ipfw とすれば説明が一杯出て来ます。(ルータの内側に居るなら、ルータで制限することになりますが。あるいは、ルータでポートフォワーディングしているなら、MacOSX の ipfw も使えます)。
ipfw はターミナルから操作しますが、MacOSX のファイアウォールは実際にはipfwでやっています。OSX のファイアウォールで設定して、ターミナルで
sudo ipfw list
とすればどういう設定がされたか分かります。これを参考にして、もっとパワーアップしてゆけばいいです。

ずっと以前ARD2.2を使用して、インターネット越しに離れた所に住んでいる初心者のMacを操作したことはあります。しかし、今回のMacではない別のMacです（マックは可愛いので下取りに出すことをためらいそれなりの台数は持っています）。問題のMacはいずれは外部からノートパソコンでアクセスが出来ればいいなとは考えていましたが、被害を受けた当時は同じLAN内のMacを操作することしかしていませんでした。離れたところにリモートホストがあったわけではありません。
ルータでは特定の相手（あらかじめIDとパスワードを設定しておく）からのみリモートを受け付けるようにしていたつもり（この辺が自信ありません）でしたが結果的には効果ありませんでした。ソフトによる効果は自分も是非教えていただきたいと思っています。

＞この程度であれば安心といえるでしょうか
どうなんでしょうね。。
自分では、ずっと１６桁の英数字でやってきたけど、Windows の方の Norton では「そのパスワードでは甘い！」と警告が出ました（笑）
だから、英数字＋記号含む１６桁以上にしています。
覚えられないので、英単語帳にまとめてあります。
＃WPA2 のパスワードとか、４０桁にしてます。。

>そういう場合はどうやって確認すればよいのでしょう？
まず、ログの類を調べることです。もちろん、クラックのプロなら、ログの改暫など朝飯前ですから、分からないかも知れませんが、それほどのプロがアタックしているとは限りませんから、ログを精査するのは非常に役に立ちます。あとは、システムのファイルを変更されたりしていないか調べることです。これを検知するようなソフトもありますが、何かするたびにファイルの変更を報告して来ますから欝しくてあまり人気が無いです。
ただ、今回はクラックされた訳ですが、本当はHDD全体をそのまま外して取っておくと良かったです。外付として繋いで中身を調べる訳です。外付として繋ぐだけなら、それから起動しない限り、たとえバックドアが開けられていてもまず開けられることはありません。心配なら、ネットに一切繋がないようにして作業すればいいですし。こういうのは大変勉強になります。またクラックの手口を調べることによって、対策も立てられるようになります。
>残念ながらその後もアクセスされたのですが最後の不正アクセスはログインされていないので、ここではシステムを変更されることは無かったと考えて良いのですよね。
システムにアクセスされたのなら、システムの変更もされているかも知れません。どんな手段であろうと、システムに入ったのなら、ルート権限を取られてシェルを実行していろいろ悪さされた可能性も否定できません。システムの状態によっては、ログインしなくても、不正にアクセスしてシェルを実行する(＝ターミナルを実行する)事は出来ます。
>ちなみに市販のセキュリティーソフトはこの様な事態には強い味方になりうるのでしょうか？ネットバリアなどををいれていれば安心できるものなのでしょうか？
あまり役に立たないと思います。それより、OSX に最初から備えられている機能を使い倒すことを考える方がはるかに有効です。市販のセキュリティソフトはこれらOSXの元の機能をGUIで使えるようにしているだけです。しかし、その範囲は限定的で恣意的ですから、現実のクラック対策としては万能という訳にはいかないでしょう。OSX に最初から用意されているコマンドとターミナルの組合せに勝るものはありません。

> ipfw コマンドでいくらでも出来ます。man ipfw とすれば説明が一杯出て来ます。
いくらでもできるということはわかりましたが、具体的にどうやったらいいのかは素人には何が何やらさっぱり (^^;
WaterRoofというGUIから設定できるソフトもあるようですが、英語なんでこれもやっぱり何がなにやらさっぱり (^^;;
WaterRoof ipfw firewall frontend
で、日本語でわかりやすく説明されているページを見つけたのでご参考まで。
逃避街3丁目 : Mac OS X Tiger でマニアックにファイアウォールを設定してみる
でも、再起動すると設定が消えてしまうようなので、どう設定すべきかが理解できたらWaterRoofで設定を書き込むようにすれば再起動でも設定が消えないようにできる・・・？
何れにしても素人には敷居が高いです。
あと、セキュリティ的にはソフトウェアによる遮蔽よりハードウェアからの遮蔽の方が安全性が高いように思うのですが、例えば同じような設定が手軽にできるルータとかご存知であれば教えていただきたいです。
Apple Remote Desktopって使用したことがないんですが、IPアドレスの範囲を指定してやれば接続できるIPアドレスが一覧できるようなのですが、その一覧にリストアップされないようにできれば一番だと思うのですがそういうことってできるのでしょうか？

ルータを使っている場合は、ポートマッピングで指定のポートだけを所定のIPにつなげる。これはすでにやっているかもしれませんね。
できれば、外から操作出来るマシンは内部LANのマシンにアクセス出来ないようにする。
ddo.jpのDDNSサービスだとポートのチェックの機能がついていますが、一般に公開している所を探したのですが、見つけられませんでした。
SMTPサーバをたてているなら、
http://www.rbl.jp/svcheck.php
を使ってメールの第三者中継をチェックする。
というくらいしか私にはわかりません。

> MacOSX のファイアウォールは実際にはipfwでやっています。
Leopardからは、ipfwではなくて、Mac OS X独自のファイヤーウォールになったのでは。
Leopard のファイヤウォール、一歩前進、三歩後退
あと、HALさんも書いておられますが、GUI環境でipfwを使うなら、WaterRoofとかNoobProofとかを使うということになりますね。
ファイル共有について

意地悪な質問ですがお許しください。HAL さん宛ではありません。念のため。
素人にもできる，敷居の低い，お手軽なソフトウェア・ハードウェアによる防御って何でしょうか？
１．マニュアルを読まなくても良い
２．ボタン１発で「不正な」アクセスを防御してくれる
３．Googleで検索してトップにヒットしたサイトに載ってある情報をコピーペーストするだけでよい
４．ログを読まなくても良い
５．設定通りに動作しているかについて「自分で」確かめなくても良い
ということでしょうか？あるいはもっとあるかもしれません。
自問自答になりますが，
１．（ブロードバンド）ルータには基本的な防御機能がある。マニュアルもついている。ipfw の GUI についてもマニュアルはついている。
２．どのようなポートを開けて「誰が」アクセスできるかの設定は設定者自身の「ポリシー」による。TCP/IP の基本的な知識や各種プロトコルについても知識が必要。
３．Google で検索した情報は正しいのか？「正しさ」を誰が保証してくれるのか。自分でチェックできるのか（過去あった例ではトップでヒットする情報をコピーペーストして多くの方がうまく動作しなくなるという有名なメールサーバのことがありました。きちんとマニュアルや公式ページに書いてあるのに）。
４．ログには必要な情報が漏れなく書いてあります（侵入されて消された場合を除く）。
５．ブロードバンドルータでアクセス制御をしているつもりが，ファームウェアのバグか設定通りに動いていなかった。そうと知らずに不特定多数の者に管理画面をのぞかれていた。
一度ルータのログをとくとご覧になってください。grep で reject しているものを拾い上げるとか。DDNS で公開する・しないには関係ありません。

10.5 ではipfw使ってないんですね。知らんかった。
>セキュリティ的にはソフトウェアによる遮蔽よりハードウェアからの遮蔽の方が安全性が高いように思う
ルールが使う環境によって幅広く変わってくる訳ですから、firewall のようなものをハードだけで作ることはほとんど不可能です。使う環境に合わせる部分はソフトでやらざるを得ません。このため、こういう機能はバージョンが変わるたびに違う実装になるというのは困るのです。違う実装にするときにバグもまぎれるでしょうし。
Linux ならiptables でやります。これの基本的な使い方は出て来て以来ずっと同じです。新しくなるほど新しい機能が使えるということはありますが。
cisco という会社はルータやfirewall製品でトップメーカですが、soho用の機種からプロバイダー用の機種まで、同じコマンドで設定できます（使えるコマンドに違いはありますけど）。だから一旦使い方を覚えれば、機種を変えても同じコマンドで同じ設定が出来ます。このため多くの人に使いやすく、トップメーカになったのではないかと思います。
>再起動すると設定が消えてしまう
コンピュータが揮発性のメモリー上で動く限り避けられないことです。
再起動しても同じ設定になるようにするための仕組みが用意されています。

私宛ではないとのことですが、私が振った話でもあるので勝手に返答。
> １．マニュアルを読まなくても良い
読めばわかるマニュアルが付属している。ですかね？
> ２．ボタン１発で「不正な」アクセスを防御してくれる
とはいいませんが、例えば実家の親がパソコンに詳しくないのでApple Remote Desktopを利用して遠方からも制御したい。でも、必要なポートをあけるだけだと不正アクセスまで受け入れてしまうのでそれは避けたいという需要は今時なら普通にあることだと思います。そう考えるヒトが、具体的にどのような設定をすれば希望通りの動作が得られるのかが目を通せばわかるようなマニュアルなら完璧ですね。
Apple Remote Desktop (10.5なら画面共有？）とか便利な機能が簡単に利用できるのはいいのですが、それをできるだけセキュアに利用したいというときに具体的にどうしたらいいのかわからない。
10.5のファイアウォールはブラックボックスで何がブロックされているのかもよくわからなくてわけわからん、10.4のファイアウォール機能で、ボートを開ける際に侵入許可を与えるIPアドレスを設定するかしないかを確認する機能がつくだけで初心者には十分すぎるのではないかと思います。
一つ言えるのは、無線LANについてもそうですが、便利だからとセキュリティとかあまり深いことを考えずに普及だけどんどん押し進めたはいいが、本来同時に考えなければいけないセキュリティ面がいっさい考慮されずに普及してしまったものだから・・・ってことが一番問題なわけです。
マッキントシさんのケースは、利用しないポートは塞いでおけばよかったってことで解決ですが、やりたいこと先攻で、○○がやりたいけどうまくいかない -> ファイアウォールをOFFにするととりあえずうまくいったのでそのままOFFになんて使い方をしているヒトは結構いるもんです。
# 良い悪いに関わらずそれが現実ということです。
そういう短絡的なヒトにも苦なく導入できるファイアウォールの導入をお願いする次第です。＞誰に？
とりあえず10.5のブラックボックスなファイアウォールはどうにかしてほしいです。
# 必須サービスのみ許可にしただけで、同一ネットワーク内のsmb接続すら遮断してしまうってのはどうかと思います。
# 0か1か選択肢がないファイアウォールなんて意味ないです・・・

追記：
ネットバリア X4のデモ版を導入してみました。
ネットバリア X4 [ NetBarrier X4 ] - アクト・ツー
特定のサービスに対して、特定のIPアドレスからのみのアクセスを許すという設定が比較的簡単に設定可能であることを確認しました。

> # 必須サービスのみ許可にしただけで、同一ネットワーク内のsmb接続すら遮断してしまうってのはどうかと思います。
ヘルプでは「必須サービスとは、ネットワーク上のほかのコンピュータによって提供されているサービスを見つけることを可能にするアプリケーションのセットです。この設定は、それ以外のすべての共有サービスおよびアプリケーションサービスからの接続を阻止します。」と書いてあります。ですので，ファイル共有などのサービスを利用しようと思うと「すべて」か「特定のサービス」を選択しないといけません。
いや，それでもややこしいというのなら現実的な解法の１つとして家庭内なら「すべて」を選択しておいて外向きにはルータなどで厳しめの設定をするというのもありだと思います（お勧めだというわけではありません）。「すべて」を選択しながら共有の制限をかけることも可能です。
ネットバリアでできるようなレベルの設定が NoobProof でも比較的簡単にできます。Macintosh で関係するようなポート番号の一覧は
http://docs.info.apple.com/article.html?artnum=106439-ja
に説明があります。

> ファイル共有などのサービスを利用しようと思うと「すべて」か「特定のサービス」
> を選択しないといけません。
「特定のサービス」でSMBを有効にしたい場合には、Finderに受信許可をあたえればいいんでしょうか？
> ネットバリアでできるようなレベルの設定が NoobProof でも比較的簡単にできます。
NoobProofをダウンロードしてみました。
NoobProof firewall configuration tool
よく利用されるであろうサービスについてはあらかじめ設定が用意されているし設定画面もシンブルで、ローカライズはされていませんが使いやすそうです。
WaterRoofとの比較リストを見たときにWaterRoofと比較して対応項目が少なかったので大したことはできないのだとばかり思い込み、ダウンロードすらしなかった私のミスです。すいません。
# シンプルでわかりやすいものを求めている割に、多機能な方がお得な気がしてそちらを選択してしまうのは悪い癖です・・・
何はともあれよいものを教えていただきありがとうございます。
今後は発言前にはしっかり確認した上で投稿したいと思います。
# 今でも十分確認しているつもりですが、思い込むとそれ以外の選択肢が全部抜け落ちるのも悪い癖です・・・　なかなか治りません (- -;;

> 「特定のサービス」でSMBを有効にしたい場合には、Finderに受信許可をあたえればいいんでしょうか？
共有設定で「ファイル共有」にチェックを入れ，ファイル共有の「オプション」のところで「SMB を利用してファイルやフォルダを共有する」にチェックを入れることで，「特定のサービス」の欄に「ファイル共有(SMB)」が現れます。
ファイル共有でまず設定しないと共有しに行っても当然共有できませんし，共有される側（ホスト側）のファイアウオールログに Deny の記録が残ります。

> 共有設定で「ファイル共有」にチェックを入れ，ファイル共有の「オプション」
> のところで「SMB を利用してファイルやフォルダを共有する」にチェックを
> 入れることで，「特定のサービス」の欄に「ファイル共有(SMB)」が現れます。
なるほどそういうことなのですね。
サーバには接続したいけど、ホスト側にはなりたくなくて共有をOFFにしていたため気づきませんでした (^^;;
どさくさになんなんですが、NoobProofでローカルネットワークのみに接続を許可したい場合のアドレス設定は10.0.1.4/24で合っているのでしょうか？　自信がありません。
追記：
10.0.1.0/24ですね。(?)をクリックしたら説明書きがありました。
ただ、いろいろ入力を試していてIPアドレスの入力欄に <<10.0.1.0/24>> と括弧付きで入力してしまったら削除できなくなってしまいました (^^;
AppleScript Error sh: -c: line 0: syntax error near unexpected token `|'
となります。
入力データはどこに保存されているんでしょうか。初期設定ファイルを削除しても消えません。
# Save to startup configrationをしていないので再起動をすれば消えるかな。
# 今再起動はできないので後で試してみます。
# 多分そんなバカはいないと思いますが入力時には一応お気をつけ下さい。