＠IT：＠ITハイブックス連携企画

マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

70-293：Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編

5-1．ネットワークプロトコルセキュリティ

宮本寿夫／澤村孝太郎
2004/2/5

　本記事は、＠ITハイブックスシリーズ『マイクロソフト認定技術資格試験　MCP/MCSEラーニングブック－70-293：Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編－』（技術評論社発行）より、一部の問題を許可を得て転載したものです。同書籍に関する詳しい情報については、「＠ITハイブックス」サイトでご覧いただけます。

ほかの問題へ
	問題　05-01-01　入力フィルタと出力フィルタ
	問題　05-01-02　インターネット接続ファイアウォール
	問題　05-01-03　IPセキュリティポリシー
	問題　05-02-01　トンネリングプロトコル
	問題　05-02-02　VPNセッションの管理

問題　05-01-01　入力フィルタと出力フィルタ

　あなたは組織のネットワークの管理者です。組織のネットワークは内部ネットワークとDMZに分けられています。DMZとインターネット間のルータにはWindows Server 2003コンピュータが使用されています。DMZに新規にFTPサーバを構成します。FTPサーバのIPアドレスは131.107.25.1です。

　ルータにおいて「ルーティングとリモートアクセス」の設定を行い、インターネットからFTPサーバへのアクセスがFTPサービスのみに限定されるように設定したいと思います。

　ルータのパブリック（外部）インターフェイスで通過を許可する設定として追加すべきものを選んでください。

　（複数選択）

	あて先IPアドレス「131.107.25.1」、プロトコル「TCP」あて先ポート番号「21」の入力フィルタ
	あて先IPアドレス「131.107.25.1」、プロトコル「TCP」あて先ポート番号「20」の入力フィルタ
	あて先IPアドレス「131.107.25.1」、プロトコル「TCP」あて先ポート番号「21」の出力フィルタ
	あて先IPアドレス「131.107.25.1」、プロトコル「TCP」あて先ポート番号「20」の出力フィルタ
	送信元IPアドレス「131.107.25.1」、プロトコル「TCP」送信元ポート番号「21」の出力フィルタ
	送信元IPアドレス「131.107.25.1」、プロトコル「TCP」送信元ポート番号「20」の出力フィルタ
	送信元IPアドレス「131.107.25.1」、プロトコル「TCP」送信元ポート番号「21」の入力フィルタ
	送信元IPアドレス「131.107.25.1」、プロトコル「TCP」送信元ポート番号「20」の入力フィルタ

　ルーティングとリモートアクセスを有効にしているWindows Server 2003コンピュータ上では、ネットワークインターフェイスごとにパケットフィルタリングの設定を行うことができます。

　フィルタリングは、インターフェイスが受信するパケットに対する入力フィルタと、送信するパケットに対する出力フィルタに分けられ、それぞれあて先や送信元のIPアドレス、ポート番号などによってパケットを識別し、通過を許可するかどうかを決定できます（図5-1、図5-2）。

図5-1 入力フィルタの設定（拡大）

図5-2 入力フィルタ設定の追加

　特定のサーバ上の、特定のサービスにのみアクセスを許可する場合は、サーバのIPアドレスと、サービスが使用するポート番号を指定します。この問題では、あて先のIPアドレスが131.107.25.1、サービスはFTPであるため、あて先ポート番号が21と20の入力フィルタを構成する必要があります。

　同様に、サーバからインターネットへの戻りのパケットがルータを通過できるよう、出力フィルタの設定も行います。この場合、パケットの送信元IPアドレスがFTPサーバである131.107.25.1、送信元ポート番号は21と20となります（図5-3）。

図5-3 出力フィルタの設定（拡大）

■POINT■

　　各サービスが使用するポート番号はウェルノウンポート番号（Well Known Port Number）として定義されており、HTTPの80番、SMTPの25番、POP3の110番などがよく知られています。数あるプロトコルの中でもFTPは、21番と20番の2つを使用する独特な仕様になっているため、注意が必要です。

　一般的なウェルノウンポート番号は%StstemRoot%\System32\Drivers\
etc\Servicesファイルに記述されています。

■KEYWORD■

　DMZ（DeMilitarized Zone：非武装地帯） 　

　Webサーバなどのインターネットに公開するサーバ群を配置するためのネットワークセグメントのことです。セキュリティが考慮されたネットワークでは、外部からのアクセスを許可したくない内部のコンピュータ群とこれらのサーバ群を、異なるネットワークセグメントで管理します。こうすることで、外部からの必要最低限のパケットのみDMZへ通過許可し、内部のネットワークには一切アクセスを許可しない、というように、パケットの制御をより厳密、明確に行うことが可能になります。

正　解（05-01-01）
　A、B、E、F

次の問題へ

マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

Security&Trust記事一覧

Security&Trust フォーラム新着記事

Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ （2017/7/24）
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。
WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に （2017/7/11）
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。
Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは （2017/7/10）
　代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する
侵入されることを前提に考える――内部対策はログ管理から （2017/7/5）
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃（APT：Advanced Persistent Threat）対策の観点から考える。