[運用]
常時接続時代のパーソナル・セキュリティ対策
(第1回)

5.セキュリティ対策その2:NBTを禁止する

デジタルアドバンテージ
2000/12/23

NBTを禁止する

 以上のステップ1の対策により、ファイル公開サービスや、外部のファイル共有サービスを利用するためのインターフェイスを禁止することができたが、まだNBT(NetBIOS over TCP/IP)プロトコルそのものは有効になっている。このプロトコルを使うほかのサービスがインターネット側からアクセスされたり、クラックされたりしないように、NBTプロトコルそのものもオフにしておこう。この対策を施さないと、ファイル/プリンタ・サービス以外で、NBTを使う各種のプログラムやサービスがやはり外部からアクセスされてしまう可能性があるからだ。もちろん、そのような余計なサービスを使わないという方法もあるが、実際にはどのプログラムがNBTを使っているのかなどは、よほどシステムの内部に精通していなければ分からないだろう(たとえばメッセンジャ・サービスなどはNBTを使っている)。したがって、インターネット側のNBTそのものを禁止するのが、いちばん確実で、簡単な方法だといえる。

 NBTを禁止するには、[インターネット接続]のプロパティからTCP/IPの詳細設定を呼び出し、そこで設定する。

[インターネット接続]のプロパティ
NBTだけをオフにするには、まず[ネットワークとダイヤルアップ接続]ダイアログ中にある[インターネット接続]を右クリックして、[プロパティ]メニューを起動する。そして「インターネット プロトコル(TCP/IP)」の[プロパティ]をクリックする。
  TCP/IPのプロパティを実行する。
  [プロパティ]をクリックする。→
 
TCP/IPのプロパティ
ここでは、インターネット側のTCP/IPに関する各種設定を行う。
  IPアドレスなどの情報をDHCPでインターネット側から自動取得するには、こちらを選択する。
  固定的なIPアドレスを使用する場合は、こちらを選択する。
  DNSサーバのIPアドレスをDHCP経由で自動取得する場合は、こちらを選択する。
  DNSサーバのIPアドレスを手動で設定する場合は(一般的にはDNSは手動で設定することが多い)、こちらを選択する。
  NBTをオフにするには、さらにこの[詳細設定]をクリックする。→
 
TCP/IPの詳細設定
NBTをオフにするには、[WINS]タブを選ぶ。
  [WINS]タブを選択する。
  [オプション]タブは、パケット・フィルタリングの設定時に使用する。→へ(後述
  デフォルトではこちらが選択されており、「インターネット接続」でもNBTが有効になっている。
  NBTをオフにするにはこちらを選択する。するとこのインターフェイスではNBTが無効になる。この設定は各インターフェイスごとに個別に設定することができる。ローカルのLAN側では有効にしておかないと、ファイル共有機能が利用できなくなる。
  NBTを使うかどうかを、DHCPサーバからの情報で決める。今回の環境ではDHCPサーバの動作はすべて接続共有機能で自動的に制御されているので、利用できない。

 以上の設定で、インターネット側のNBTが無効になり、安全性が増すことになる。具体的には、TCPの139番とUDPのポート137番、138番が無効になる。

C:\>netstat -a -n

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING
  TCP    192.168.0.1:139        0.0.0.0:0              LISTENING
  TCP    192.168.0.1:3002       0.0.0.0:0              LISTENING
  TCP    192.168.0.1:3003       0.0.0.0:0              LISTENING
  TCP    192.168.0.1:3004       0.0.0.0:0              LISTENING
  UDP    0.0.0.0:135            *:*
  UDP    0.0.0.0:445            *:*
  UDP    0.0.0.0:3001           *:*
  UDP    0.0.0.0:3005           *:*
  UDP    192.168.0.1:53         *:*
  UDP    192.168.0.1:67         *:*
  UDP    192.168.0.1:68         *:*
  UDP    192.168.0.1:137        *:*
  UDP    192.168.0.1:138        *:*
  UDP    192.168.0.1:500        *:*
  UDP    210.XXX.XXX.XXX:500    *:*
NBTをオフにした場合のポートの状態
「netstat -a -n」コマンドを実行することにより、現在待ち受けしているTCPやUDPのポート番号の状態を表示することができる。ここに表示されているのは、すべて待ち受け状態にあるポートの番号。「Local Address」フィールドの数値「AAA.AAA.AAA.AAA:PORT」は、「AAA.AAA.AAA.AAA」がインターフェイスのIPアドレス、「PORT」がポート番号を表す。TCPの139番とUDPのポート137番、138番は、IPアドレスが「192.168.0.1」となっているので、「ローカル接続」側でしか待ち受けしていないことが分かる。「インターネット側」のNBTを有効にすると、「210.XXX.XXX.XXX:137〜139」の3つが新たに現れ、インターネット側でもNBTが有効であることが確認できる(実際に試していただきたい)。

 ところで、このnetstatコマンドの結果を見ると分かるように、実際にはNBT以外にもいくつかのポートが待ち受け状態になっている(IPアドレスが「0.0.0.0」となっているものは、インターフェイスを問わず、どちらのネットワークからのアクセスでもかまわない、ということを表している。これに対して「192.168.0.1:139」などは、インターフェイス「192.168.0.1」、つまりローカル接続側からの要求のみを受け付ける)。それぞれのサービスが何に対応しているかを調べて、問題がありそうならそれらのサービスを止めるなどという措置を取る必要があるが、これは難しいかもしれない(Windows 2000の内部に精通していないと、どのサービスが何のためにこれらのポートを使っていて、停止させても問題がないかどうかは分からないからだ)。

 そこで次善の策として、Windows 2000のパケット・フィルタリング機能を使って、余分な外部からのアクセスをブロック(阻止)することにしよう。


 INDEX
  [運用]常時接続時代のパーソナル・セキュリティ対策(第1回)
    1.ネットワークの「接続共有」機能とは
    2.セキュリティ対策の必要性
    3.ネットワーク環境について
    4.セキュリティ対策その1:インターネット側のファイル共有サービスを禁止する
  5.セキュリティ対策その2:NBTを禁止する
    6.セキュリティ対策その3:パケット・フィルタを設定する(1)
    7.セキュリティ対策その3:パケット・フィルタを設定する(2)
    8.セキュリティ対策その3:パケット・フィルタを設定する(3)
    9.セキュリティ対策その3:パケット・フィルタを設定する(4)
 
 「運用 」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT