Loading
|
|
@IT|@IT自分戦略研究所|QA@IT|イベントカレンダー+ログ |
|
Loading
|
| @IT > Broadband Experience > Windows XPで拓くブロードバンドの世界 |
![@IT[FYI]](/ad/adindex/image/fyi_logo_s.gif){kind=logo} |
|
|
|
|
@IT広告特集企画Broadband Experience(3) Windows XPで拓く ブロードバンドの世界 小林章彦 デジタルアドバンテージ 2001/11/26
2001年11月16日に待望のWindows XPのパッケージ販売が開始された。すでに、Windows XPをプリインストールしたPCやOEM版の販売が10月末に開始されていることから、「Windows XPが正式発表になった」といってもピンと来ないかもしれない。しかし、いままでWindows MeやWindows 2000を使っていたユーザーにとっては、やっとWindows XPへのアップグレードが可能になった「待望」のパッケージ版といえるだろう。 このWindows XPでは、見た目の分かりやすさからLunaと呼ばれる新しいグラフィカル・ユーザー・インターフェイス(GUI)や、ユーザーの簡易切り替え機能などに注目が集まっているようだが、OSカーネルやネットワーク機能など、すぐには目に触れにくい部分にもWindows 2000からの改良が行われている。 特に、インターネット接続に関してはファイアウォール機能などが追加されており、SOHOなどでブロードバンドを使ったインターネット接続を共有する場合にはとても便利なものとなった。そこで、今回はWindows XPのブロードバンド関連機能に着目してみたいと思う。
ブロードバンド・インターネットでは、帯域が広いことから、複数のPCを同時に接続してインターネットにアクセスしても、ストレスを感じることなく利用できる。企業はもちろんのこと、電子メールなどの普及により、SOHOや家庭においても複数のPCでインターネット接続を共有したいという要望が多くなってきている。 複数のPCでブロードバンド接続を共有する場合、ブロードバンド・ルータを利用するのが手っ取り早く、一般的にもなってきている。しかし、USB接続タイプのADSLモデムを使い、複数のPCでブロードバンド接続を行うには、Windows 98 Second Edition(SE)以降でサポートされた「インターネット接続の共有(Internet Connection Sharing:ICS)」機能を使うしかない(USB接続のADSLモデムをサポートしたブロードバンド・ルータもあるが、あまり一般的ではない)。単機能のブロードバンド・ルータと異なり、高機能なPCをルータとして使えるので、ルータとホームサーバを1台のPCで兼用させることなども可能である。 ICSは、TCP/IPネットワーク機能の点からみると、NAT(Network Address Translation)と簡易DHCPサーバと呼ばれるサービスによって実現されている。NATは、IPアドレスを変換することで、限られたIPアドレス資源を有効に使ったり、セキュリティを高めるための技術だ。NATを使えば、社内(家庭内)のクライアントにはプライベートIPアドレスを割り当て、複数のクライアントで1つのグローバルIPアドレス(インターネット上でユニークなIPアドレス)を共有できるようになる。簡易DHCPサーバとは、LAN上のクライアントに対して、IPアドレスを自動的に割り当てる機能である。 これらの機能により、複数のPCをネットワークに接続して、電子メールやWebアクセスなどを簡単に共有できるようになる。ICSでは、インターネット接続としてダイヤルアップもサポートしているので、ISDN TAを使ったダイヤルアップ接続でも利用可能だし、USB接続のADSLモデムでも利用できる。一方をインターネット側に、もう一方をLAN側に接続すれば、IPルータとして機能するというわけだ。
Windows 2000までは、[コントロール パネル]-[ネットワークとダイヤルアップ接続]-[ローカル エリア接続]のプロパティで「インターネット接続の共有」の設定を行っていたが、Windows XPではウィザードによって簡単に設定が可能になっている(Windows 2000同様、[ローカル エリア接続]プロパティでも行えるが)。 ICSを動作させるPCに2枚のイーサネット・カードを接続する。片側はADSLモデムなどに(インターネット側)、もう片側はハブ(LAN側)に接続し、そのハブにインターネットの接続を共有したいPCをつなぐ。これによって、LAN側からのパケットがICSを経由して、インターネット側に中継される。このとき、NAT機能によってIPアドレスの変換などが行われ、インターネット側からは1台のPCしか接続されておらず、逆にLAN側のクライアントPCからは、あたかも自分自身がインターネットに直接接続されているかのように見えるようになる。
PCの電源を入れ、AdministratorもしくはAdministratorsグループのユーザーでログオンする。これは、システム構成の変更が伴うため、設定には管理者権限が必要になるからだ。イーサネット・カードが自動認識されたら、デバイス・ドライバなどをウィザードに従い組み込む。デバイス・ドライバがWindows XPに同梱されていない場合や、ベンダーがWindows XP対応のデバイス・ドライバを提供していない場合は、Windows 2000対応のデバイス・ドライバを利用することもできる。Windows 2000のデバイス・ドライバならば、ほとんどのベンダーがホームページなどから提供しているはずだ。
イーサネット・カードが正しく設定できれば、[コントロール パネル]-[ネットワーク接続]で、左図のように「ローカル エリア接続」「ローカル エリア接続2」のアイコンが表示されたダイアログ(図2)が表示される。 ICSの設定はインターネット側のイーサネット・カードに対し行うので、どのアイコンがどちらのカードなのかを間違えないように十分注意したい。Windows XPでは、カードの種類が表示されるようになっているので、ここから判別するようにする。同じカードを2枚使っていて、種類から判別できないような場合は、一度インターネットに接続して確認した方がいいだろう。なお、アイコンに付けられた「ローカル エリア接続」という名称はデフォルトのもので、必要なら任意のものに変更できる。例えば、「インターネット側」「ローカル側」などとしておくと分かりやすいだろう。今回は[ローカル エリア接続]のほうをインターネット側に、[ローカル エリア接続2]のほうをLAN側に接続した。 ここで[ネットワーク接続]ダイアログの[ローカル エリア接続]を選択して、ダイアログの左側のペインにある[ホーム/小規模オフィスのネットワークをセットアップ]をダブルクリックし、[ネットワーク セットアップ ウィザード](図3)を起動する。以下、ウィザードの指示に従い、接続方法、インターフェイス、ワークグループ名などを選択する。
以上でICSの設定が完了する。これで[ローカル エリア接続2]側も自動的に設定が完了しており、IPアドレスが「192.168.0.1」、サブネットマスクが「255.255.255.0」に設定される。[ネットワーク接続]ダイアログ(図4)で[ローカル エリア接続2]を選択すると、左側のペインの[詳細]エリアにIPアドレスなどが表示されるので、ここで確認するとよい。設定自体は反映されているので、これでICSが動作しているはずだが、実験の際には一度再起動しないとクライアント側からインターネットにアクセスできなかった。念のため、Windows XPを再起動しておいた方がいいかもしれない。
インターネットの接続に固定IPアドレスが必要な場合は、[ローカル エリア接続]-[インターネット プロトコル(TCP/IP)]プロパティで、[次のIPアドレスを使う]を選択して、IPアドレスとサブネットマスクを指定する。しかし、多くのプロバイダは、IPアドレスをDHCPで割り当てるようにしているので、ここはデフォルトのまま[IPアドレスを自動的に取得する]を選択しておく。 次にクライアント側の設定を行おう。クライアントPCの[TCP/IPのプロパティ]で[IPアドレスを自動的に取得する]を選択する。再起動を行えば、ICSを設定したPCの簡易DHCPサーバ機能によって、自動的に「192.168.0.2」から「192.168.0.254」の間で適当なIPアドレスが割り当てられる。
このようにWindows XPのNATでは、NATを行うPCが簡易DHCPサーバとして機能し、クライアント側のすべてのネットワーク設定を司ることになる。したがって、ほかのWindows 2000 Serverなどのドメイン・コントローラやDNSサーバ、ゲートウェイ、DHCPサーバが存在するネットワークでは利用できない。 [ローカル エリア接続2]は前述のように、IPアドレスが「192.168.0.1」、サブネットマスクが「255.255.255.0」に固定されてしまう。集合住宅などでインターネット・サービスを共有しているような場合、すでにこれらのアドレスが使われている場合がある。そこでWindows 2000では、いったんICSでの接続共有を有効化した後、サーバ側、クライアントPC側とも、手動でIPアドレスなどを設定するという方法が使えた。こうすると、デフォルトのIPアドレス(192.168.0.1〜)を使わずに、ICSのNAT機能だけを利用できる(簡易DHCPサーバ機能は無効になる)。 Windows XPでは、[ローカル エリア接続2]の設定を変更してしまうと、NAT機能自体も動作しなくなってしまうようだ。いろいろと試してみたものの、IPアドレスを「192.168.0.1」以外に設定する方法を見つけることはできなかった。なおWindows XPでは、IPアドレスの設定を変更してしまうと、再び「192.168.0.1」に戻しても、ICS機能が働かなくなってしまった。ICSの設定を行ったら、設定変更は避けた方が無難だ。 ICS自体は、Windows 98 SEから導入されており、Windows XPの新機能というわけではない。だが、Windows 2000までのICSでは、ダイヤルアップ接続の場合(ISDN TAやアナログ・モデムなど)、簡易DHCPサーバ機能によるクライアントPCへのIPアドレスの割り当てが適切に行われないことがあった。Windows XPでは、この点が大幅に改善されたようで、ダイヤルアップ接続でも安定したIPアドレスの割り当てが行われた。
Code RedやNimdaなどがテレビのニュースでも話題になるほど、ワームやウイルスがインターネット上に氾濫している。ダイヤルアップ接続であれば、インターネットに接続している時間も短かったので、外部から自分のPCが狙われて、システム内部のデータなどを破壊されたり、ほかのサーバを攻撃するための踏み台にされたりする危険性は少なかった。しかし、ブロードバンドを導入し、常時接続環境になると、常に危険と向き合うことになる。何の対策もせずに、インターネットに常時接続するというのは、玄関にカギをかけずに出歩くようなものだ。 この点、Windows XPでは最低限のセキュリティが簡単に確保できる機能として「ファイアウォール機能」が追加されている。Windows 2000では、RRASサービス(Routing and Remote Access Service。パケット・フィルタを含む高度なルーティング機能を提供するためのサービス)を使って、パケット・フィルタリングを行わなければならなかったが、この設定は容易ではなく、誰にでも勧められるものではなかった。その点、Windows XPのファイアウォール機能は、1カ所のチェックボックスを有効にするだけで、簡単にパケット・フィルタリングが行える。Windows XPでは、Windows 2000と同様、RRASサービスを使ったパケット・フィルタリングも可能なので、両者を組み合わせて利用してもよい。 Windows XPのファイアウォール機能の利点は、
といった点にある。 設定は、前述のようにチェックボックスを有効にするだけである。また、RRASでは、例えばFTPを使用するためには、特定ポートのフィルタを常にオフにしておかなければならなかったが、Windows XPのファイアウォール機能では、FTP使用時にだけ自動的にポートがオープンになるため、より安全性が高まっている。また、ログ機能によって、万が一、アタックされても、ログを解析することで侵入者の手口を知ることができるので、より対策を立てやすくなっている。 ICSの欠点は、設定が容易だということの裏返しで、やはり細かい設定が行えないという点である。そのため、ネットゲーム・ソフトなど一部の特殊なインターネット・アプリケーションなどでは、このファイアウォール機能によってパケットがブロックされてしまい、ソフトを利用できない可能性がある。 Windows XPのファイアウォール機能は、ICSの設定を行うと、自動的に有効になる。ICSを利用しない場合は、[ネットワーク接続]の設定ダイアログを起動し、ファイアウォールで保護したいインターフェイスを選択して[プロパティ]の設定を行う。イーサネット・カードだけでなく、モデムやISDN TAなどのダイヤルアップ接続の場合でも有効にすることが可能だ。 [プロパティ]の[詳細設定]タブをクリックすると、ファイアウォールの設定ダイアログが現れる。もしシステムにネットワーク・インターフェイスが2つ以上装備されていると(イーサネットとダイヤルアップ接続のように、異なる種類のインターフェイスでもよい)、ここには「インターネット接続ファイアウォール(ICF)」のほかに、「インターネット接続の共有(ICS)」という表示も現れるが、ICSを利用しない場合は気にする必要はない。基本的には、インターネットに直接接続しているインターフェイスでのみ、このファイアウォールの設定を行っておけばよい。例えばLAN内のマシンであっても、インターネットへ直接ダイヤルアップするようなケースでは、そのダイヤルアップ・インターフェイスに対してファイアウォールの設定を行う。
ファイアウォール機能を有効にするには、このチェックボックスを有効にするだけであり、ほかには特に設定する必要はない。たったこれだけで、最低限のセキュリティが確保できるのは、Windows XPの大きなメリットといえるだろう。 ファイアウォールの動作としては、基本的にはインターネットへ向けて発信される通信(Windows XPからインターネット側へ向かって発信されるTCP/UDPの通信)はそのまま通過し、逆方向からの接続要求はデフォルトではすべてブロックされる。例えばFTPのように、逆方向の通信が必要な場合は(FTPでは、制御用コネクションのほかに、データ転送用コネクションも使っている)、FTPの通信が有効な間だけダイナミックにパケットが通過するようになっている。 ただし、このファイアウォールは、あくまでも単なるパケット・フィルタ機能しか持っておらず、ウイルスチェック機能などは含まれていない。万全を期すためには、別途ウイルスチェック・ソフトウェアや、市販のファイアウォール/セキュリティ・ソフトウェアの導入も検討するべきだろう。 なお、外部に対してサービスを公開したいような場合には、[詳細設定]タブ-[設定]を選択し、より細かな設定を行うこともできるが、通常はそうした詳細設定は必要ない。 今回は、Windows XPの「インターネット接続の共有」機能と「ファイアウォール」機能を見てきた。GUIを除くと、Windows 2000からの変更点が少なく、魅力がないといわれがちなWindows XPだが、ことインターネット接続機能については、設定が容易になり、機能的にも充実している。「インターネット接続の共有」機能では、IPアドレスが「192.168.0.1」に固定されている点が不便だが、これも簡易機能として考えれば仕方のないところだろう。むしろ、ウィザードによって簡単に設定できるようになった点を評価したい。 ブロードバンドが普及し、企業や家庭でも複数のPCを同時にインターネットに接続したいという要求は高まっている。ブロードバンド・ルータを導入するのが手っ取り早い方法ではあるが、Windows XPの「インターネット接続の共有」機能や「ファイアウォール」機能を活用するのもいいだろう。 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
のローカル エリア接続をインターネットに接続する
のローカル エリア接続2をLANに接続する 
DHCPサーバもデフォルトゲーウェイ同様、「192.168.0.1」になる
