[運用]
常時接続時代のパーソナル・セキュリティ対策
(第1回)

3.ネットワーク環境について

デジタルアドバンテージ
2000/12/23

 今回設定を行うネットワーク環境について、ここで簡単に説明しておく。先の図のように、Windows 2000 Professinalマシンに2枚のイーサネット・カードを装着し、それぞれをインターネット側のケーブル・モデムと、内部LANのハブに接続する。インターフェイスには、それぞれ「インターネット接続」と「ローカルネット接続」という名前を付けておくものとする。そして、「インターネット接続」側のインターフェイスで、ネットワークの接続共有機能をオンにしておく。これで、内部のLAN側に接続されたマシンは、インターネットへ透過的にアクセスできるようになっているはずだ。設定の詳細については、先の「Windows TIPS:Windows 2000/Windows XPのICSを活用する(NATを利用する方法)」を参照していただきたい。以後本稿では、クライアントはすべてWindows 9x/Meマシンであるとする(Windows 2000でも話は同じだが、混同してまぎらわしくなるため)。そして、Windows 2000マシンとかサーバというときには、この接続共有を実行しているWindows 2000マシンのことを指し、それら以外のLAN上のマシンをクライアントと呼ぶことにする。ここでLANとは、Windows 9x/Me側のマシンを接続しているイーサネット・ネットワークを指す。

 以上のような設定が終われば、[スタート]メニューの[設定]−[ネットワークとダイヤルアップ接続]ウィンドウは、次のようになっているはずである。ただし各接続の名称は、デフォルトでは「ローカル エリア接続」などとなっているが、ここでは分かりやすくするために、「インターネット接続」と「ローカルネット接続」という名称に変更している。

[ネットワークとダイヤルアップ接続]ダイアログ
インターネットの接続共有機能を使用しているときの[ネットワークとダイヤルアップ接続]の画面。ここでは2つのイーサネット・カードに対して、それぞれ「インターネット接続」と「ローカルネット接続」という名前を付けて区別している。そして「インターネット接続」側の接続共有機能をオンにしている。「ローカルネット接続」側は、内部のLANへ接続しておく。LAN上の各マシンには192.168.0.xxxというプライベートIPアドレスが割り当てられる。
  インターネット側のルータに接続する方のインターフェイス。接続共有機能はこのインターフェイス側でオンにすること。
  ローカルのLAN側に接続する方のインターフェイス。
  ダイヤルアップ接続のための設定(CATVやADSLインターネットのときは不要)。

LAN側のセキュリティについて

 以下ではおもにWindows 2000マシンのセキュリティ対策を中心に解説し、各クライアント側のセキュリティ対策については特に触れない。というのも、このようなNAT/IPマスカレード環境では、外部(インターネット側)からクライアント側へ侵入するのは非常に困難だからだ。もともと、NATやIPマスカレードでは、クライアント側からインターネット側へ送られたパケットをトリガとして、アドレス変換やポート番号変換などが行われ、最終的にインターネット側へとパケットが送信されるようになっている。このため直接インターネット側からLAN上のクライアント・マシンへパケットを送ったり、接続したりするのは不可能なのである(外部要求を内部へパスするようなNATの設定をしていれば可能であるが)。したがって特に設定しなくても、内部のLAN上のクライアントが攻撃されることはない。これはNATやIPマスカレードを使って構築したネットワークのメリットでもある。

 ただし、クライアント側から何らかの情報がインターネット側へ漏れてしまうこともあるだろうが(情報を外部へ送るようなウイルスがいたとか、内部情報を外部へ漏らすようなアプリケーションを使ってしまった、というような場合)、これについてはNATやIPマスカレードに関係なく発生することなので、ここでは特に触れない。

関連記事(Windows Server Insider)
  Windows TIPS:Windows 2000/Windows XPのICSを活用する(NATを利用する方法)


 INDEX
  [運用]常時接続時代のパーソナル・セキュリティ対策(第1回)
    1.ネットワークの「接続共有」機能とは
    2.セキュリティ対策の必要性
  3.ネットワーク環境について
    4.セキュリティ対策その1:インターネット側のファイル共有サービスを禁止する
    5.セキュリティ対策その2:NBTを禁止する
    6.セキュリティ対策その3:パケット・フィルタを設定する(1)
    7.セキュリティ対策その3:パケット・フィルタを設定する(2)
    8.セキュリティ対策その3:パケット・フィルタを設定する(3)
    9.セキュリティ対策その3:パケット・フィルタを設定する(4)
 
 「運用 」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間