[運用] 常時接続時代のパーソナル・セキュリティ対策 (第1回) 2.セキュリティ対策の必要性 デジタルアドバンテージ2000/12/23 |
|
|
このようなNAT/IPマスカレード機能は、ISDNダイヤルアップ・ルータでは標準的に備えているが、Windows 2000ではOSの機能として標準装備されているので、ネットワーク・カードを2枚用意しさえすれば、LAN全体をインターネットへ接続することができる。最近では、CATVやADSLを使ったインターネット常時接続環境に向けて、「ブロードバンド・ルータ」や「ローカル・ルータ」などという名称で、このようなNAT/IPマスカレード機能を組み込んだ小型の専用ルータ機器も販売されているが(安価なものでは3万円程度から)、コスト差を考えると、OSの標準機能でも十分な場合も多いだろう。
ただしこのような専用機器と比べると、Windows 2000システムを使う場合は、セキュリティ対策についてはユーザー自身で細かく設定する必要がある。もともとWindows 2000はルータ向けに設計されているものではないので、デフォルトでファイアウォール向けの強固なセキュリティ設定が行われているわけではないからだ。だが適切なセキュリティ設定を施せば、Windows 2000でも実用上問題ないレベルにまで安全性を高めることがができる。CATVインターネットは現在急速に普及しつつあるが、デスクトップにあるネットワーク・アイコンをクリックしたら、同じCATVインターネット・ユーザーのマシンの名前が見えたり、その中身を覗くことができたりした、などということもよく聞かれる。笑い話ですめばよいが、最近では、インターネットを利用したオンライン・バンキングやオンライン・トレーディングなど、お金を取り扱う機会も増えてきた。ネットワーク犯罪から身を守るためにも、セキュリティについては常に注意を払っておくようにしたいところだ。
インターネットに常時接続するということは、逆にいうと、常時外部からの危険にもさらされている、ということでもある。悪意があるかどうかにかかわらず、インターネットでは常にさまざまなスキャンやアタックなどが行われており、何の対策もせずにインターネットにマシンを接続するというのは、実はかなり危険な行為である。例えば、弊社ではNTTのOCNエコノミー回線を使ってインターネットに接続しているが、外部からのポート・スキャン(TCPやUDPで待ち受けしているポートがないかどうかを、順番にスキャンして調べること。いったんポート番号が分かれば、そこから動いているサービスを特定し、そのサービス固有の弱点などを突いて内部に侵入される可能性がある)などは、毎日のように(世界中から)やってきている。今のところ、特にそれ以上の被害(いまどきポート・スキャンぐらいでは被害とは言わないかもしれないが)はないようであるが、いくら用心しても、しすぎるということはないであろう。
|
|
インターネットからのポート・スキャンの例 | |
これは、ヤマハのISDNダイヤルアップ・ルータで、ポート・スキャンされた結果をログに取ったもの。このようなポート・スキャンは、毎日のようにやってきている。ここでは、UDPのポート137番について、IPアドレスを1つずつ変えながらスキャンしている。「UDP 207.50.XXX.XXX:137」がスキャン元のIPアドレスとポート番号で、「210.YYY.YYY.YYY:137」がスキャンされている先のIPアドレスとポート番号。このポートは、Windowsのファイル共有などで使われるNBTプロトコルに関するポート。 |
接続共有使用時のセキュリティ設定
ひと口にセキュリティ設定といっても、そのポリシー(どのくらいの安全性が必要なのか、どのように運用するのかなどの方針のこと)にはさまざまなものが考えられるので、今回は、Windows 2000 Professionalと、その接続共有機能だけでできる範囲に限ることにする。そして次回の後編では、専用のセキュリティ・ソフトウェアを導入して、より安全な環境を構築することにする。
今回は、Windows 2000 Professionalだけで実現可能な範囲でセキュリティ設定を行うが、これは最も一般的なユーザー環境を想定してのことである。専用ルータなどが備えるセキュリティ機能と比べると、機能的に劣るのは仕方がないところであろう。Windows 2000だけで可能なセキュリティ対策としては、次のようなものがある。
- ファイル共有サービスの、インターフェイスごとの許可/不許可
- 簡易パケット・フィルタリング
前者は、Windowsネットワークで一般的なファイル/プリンタ共有サービスや、そのクライアント機能を、許可したり、不許可にしたりする機能である。通常は、インターネット側に対してこれらのサービスを提供する必要はないため、外部からはアクセスできないように設定しておく必要がある。
もう1つのパケット・フィルタリングとは、ポート番号に基づいてネットワーク・パケットを処理したり(通過させたり)、拒否(ブロック)したりする機能である。「簡易」と書いたのは、ルータなどが持っているパケット・フィルタ機能などと比べると、かなり限定的な機能しか持っていないからである。それに、ログを取る機能も持っていないので、どのようなパケットを通過させ、どのようなパケットを拒否したかなどを知ることができない。このあたりが専用ルータとの大きな違いであろう。どのように攻撃されているのかが分からないと、本来はその対策も立てようがないのだが、一般的によく狙われるポートなどがいくつかあるので、ここではそのような点に重点を置いてセキュリティ対策を施すことにする。
これら以外の機能、たとえばパケットの中を流れるデータに応じて処理を行う、ダイナミックなパケットのフィルタリングや、アプリケーション層レベルでのフィルタリング、ウイルス・チェック機能なども持っていない。これらの機能が欲しければ、専用のセキュリティ・ソフトウェアを導入する必要がある。
「運用 」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|