[運用]
常時接続時代のパーソナル・セキュリティ対策
(第1回)

7.セキュリティ対策その3:パケット・フィルタを設定する(2)

デジタルアドバンテージ
2000/12/23

プロトコル番号とポート番号

 ここで、TCP/UDP/IPのプロトコル番号について補足しておこう。

 TCPとUDPのプロトコル番号(ポート番号)については、ファイル%WINDIR%\system32\drivers\etc\servicesを参照していただきたい。

ファイル:%WINDIR%\system32\drivers\etc\services

# Copyright (c) 1993-1995 Microsoft Corp.
#
# This file contains port numbers for well-known services as defined by
# RFC 1060 (Assigned Numbers).
#
# Format:
#
# <service name>  <port number>/<protocol>  [aliases...]   [#<comment>]
#

echo                7/tcp
echo                7/udp
discard             9/tcp    sink null
discard             9/udp    sink null
systat             11/tcp
systat             11/tcp    users
daytime            13/tcp
daytime            13/udp
netstat            15/tcp
qotd               17/tcp    quote
qotd               17/udp    quote
chargen            19/tcp    ttytst source
chargen            19/udp    ttytst source
ftp-data           20/tcp
ftp                21/tcp
telnet             23/tcp
smtp               25/tcp    mail
time               37/tcp    timserver
time               37/udp    timserver
 (以下省略)

 たとえばTelnetだけを通過させたければ、これはTCPの23番ポートを使用しているので、さきほどのをチェックして、に「23」を入力すればよい。

 IPのプロトコル番号については、同様にファイル%WINDIR%\system32\drivers\etc\protocolをご覧いただきたい。このプロトコル番号とは、IPパケットで運ぶ(IPパケットのペイロードとなる)上位プロトコルのタイプを表している。

ファイル:%WINDIR%\system32\drivers\etc\protocol

# Copyright (c) 1993-1995 Microsoft Corp.
#
# This file contains the Internet protocols as defined by RFC 1060
# (Assigned Numbers).
#
# Format:
#
# <protocol name>  <assigned number>  [aliases...]   [#<comment>]

ip       0     IP       # Internet protocol
icmp     1     ICMP     # Internet control message protocol
ggp      3     GGP      # Gateway-gateway protocol
tcp      6     TCP      # Transmission control protocol
egp      8     EGP      # Exterior gateway protocol
pup      12    PUP      # PARC universal packet protocol
udp      17    UDP      # User datagram protocol
hmp      20    HMP      # Host monitoring protocol
xns-idp  22    XNS-IDP  # Xerox NS IDP
rdp      27    RDP      # "reliable datagram" protocol
rvd      66    RVD      # MIT remote virtual disk

 ここで注意していただきたいのは、「1」の「ICMP」と、「6」の「TCP」、「17」の「UDP」については、ユーザーが指定する必要はない、ということである(指定しても無視される)。たとえの「一部許可する」をチェックして、のリストを空にしたとしても、ICMPとTCP、UDPの各パケットは通過してしまう。だから、TCPやUDPをすべてブロックしたければ、で制御するのではなく、を使い、のリストを空にしておく必要がある。なおICMPをブロックする方法は用意されておらず、すべて通過してしまう。

 このIPプロトコルのフィルタ機能は、それら以外の各IPパケットの通過を制御するために用意されている。たとえば、マルチキャスト通信で使われるIGMP(Internet Group Management Protocol、プロトコル番号=2)や、PPTP(Point-to-Point Tunneling Protocol)などで使われるGRE(Generic Routing Encapsulation、プロトコル番号=47)を選択的に通過させたいというような場面で使う。


 INDEX
  [運用]常時接続時代のパーソナル・セキュリティ対策(第1回)
    1.ネットワークの「接続共有」機能とは
    2.セキュリティ対策の必要性
    3.ネットワーク環境について
    4.セキュリティ対策その1:インターネット側のファイル共有サービスを禁止する
    5.セキュリティ対策その2:NBTを禁止する
    6.セキュリティ対策その3:パケット・フィルタを設定する(1)
  7.セキュリティ対策その3:パケット・フィルタを設定する(2)
    8.セキュリティ対策その3:パケット・フィルタを設定する(3)
    9.セキュリティ対策その3:パケット・フィルタを設定する(4)
 
 「運用 」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT