特集 インターネット「常時」接続計画第5回 DNSサーバのセキュリティ設定1.基本ネットワーク・サービスのセキュリティ対策デジタルアドバンテージ |
 |
|
Windows 2000 Serverをインターネットの(DNS)サーバとして使用する場合、デフォルトではさまざまなネットワーク・サービスが稼動しているので、そのセキュリティ対策も非常に重要である。DNSサーバ(やWebサーバ)しか使わないとしても、ほかにオープンしているサービス・ポート経由でシステムに侵入されたり、クラックされたりする可能性がある。このような事態を防ぐためには、不要なサービスを止めたり、パケット・フィルタを設定したりする必要がある。DNSサーバの設定を始める前に、それらのセキュリティ対策についてまとめておこう。ただしService Pack 2を始め、最新の各種のセキュリティ・パッチの適用方法などについてはここでは特に触れないので(これはDNSサービスなどとは関係なく、常に行っておかなければならない対策である)、あらかじめ対応を済ませておいていただきたい。
Windows 2000 Serverを使ったDNSサーバのセキュリティ対策としては、大きく分けて次の2つがある。
- 基本的なネットワーク・サービスの停止や無効化
- パケット・フィルタの設定
基本的なネットワーク・サービスとは、例えばファイルやプリンタの共有サービス、DNS以外のWindowsネットワーク特有のサービスなど(NetBIOS、メッセージの送信、ログオン、Active Directory関連サービス、各種リモート管理サービスなど)がある。今回はDNS以外のサービスは不要なので、できるだけ無効にしておく必要がある。だがどうしても停止できないようなサービスもあるので(停止してしまうと、システムへのログオンすらできなくなってしまう可能性がある)、これらについてはパケット・フィルタを使って外部からのアクセスを防ぐことにする。
以下簡単に今回設定するネットワーク関連の項目についてまとめておく。
| 項目 | 値 |
| ホスト名 | win2kserver01(この名前はDNSだけでなく、Webサーバなども兼用するかもしれないので、あえて「ns.d-advantage.jp」という名前にしておく必要はない) |
| ネットワーク形態 | ワークグループ形態(Active Directoryドメインを導入しない) |
| ドメイン名 | d-advantage.jp |
| ネットワーク・カード | インターネット接続用に1枚だけ装着 |
| IPアドレス | 61.206.134.194 (DNSサーバ用のグローバルIPアドレス) |
| サブネットマスク | 255.255.255.248 |
| ゲートウェイ | 61.206.134.193 (SDSLルータのIPアドレス) |
| DNSサーバ | 61.206.134.194 (自分自身へ向けておく) |
 |
|
| 外向けDNSサーバのためのネットワーク/セキュリティ設定 | |
| 以下の設定例では、ここに示したIPアドレスやドメイン名を使用する。実際の値については、各ユーザーの環境に合わせて変更していただきたい。 | |
基本ネットワーク・サービスのセキュリティ対策としては、次の処理を行う。
1.ネットワークの形態
Windows 2000 ServerをDNSサーバとして利用する場合、ネットワークの形態としては「ワークグループ・ネットワーク」形式で利用することが望ましい。ネットワークをドメイン形態にしてWindows 2000 Serverをドメイン・コントローラにすると、Active Directoryが導入されるが、このときDNSにはActive Directory用の特別なエントリがいくつか作成される(SRVやWINSレコード、ドメイン・ネットワーク上のホスト名情報やサイト名など)。これらの情報がインターネット側へ漏洩することは望ましくないので、なるべくならばワークグループ形態で利用するように設定しておくべきだろう。
 |
|||||||||||||||
| ネットワーク形態の設定と確認 | |||||||||||||||
| コントロール・パネルの[システム]を起動して[ネットワークID]タブを表示させ、そこにある[プロパティ]をクリックするとこの[設定の識別]ダイアログが表示される。現在のネットワーク形態がどちらであるかは、[次のメンバ]グループに表示されている。インターネット向けのDNSサーバは「ワークグループ」形態で運用するべきだろう。 | |||||||||||||||
|
2.ファイル共有サービスの無効化
インターネットに対してファイル共有サービスを提供する必要はないので、以下のようにしてすべて無効にしておこう。
 |
||||||||||||
| ファイル共有サービスの無効化 | ||||||||||||
| デフォルトではネットワーク上のクライアントからのファイル・アクセスが許可されているので、これを無効にしておく。 | ||||||||||||
|
3.IPアドレスなどの設定
今回使用するマシンはd-advantage.jpのDNSサーバとして使用するため、デフォルトではそのDNSサーバのIPアドレスを割り当てておく。
 |
|||||||||
| TCP/IPの設定 | |||||||||
| IPアドレスはDNSサーバに割り当てる予定のものを付与し、さらにDNSサーバのアドレスには自分自身のIPアドレスをつけておく。 | |||||||||
|
4.DNSへの動的な登録の禁止
Active Directory環境下では、各クライアントマシンは自分のホスト名などをDNSサーバに自動的に登録しようとする。社内ネットワークなどでは、この操作によって、DNSを使って各マシンのIPアドレスなどを調べられるようになるので便利であるが、インターネット向けのDNSサービスでは、これは逆にマシン名情報を外部に公開してしまう可能性がある。この機能も無効化しておく必要がある。
 |
|||
| DNSの動的登録の無効化 | |||
| Active Directory下では、各クライアント・マシンが自分のマシン名やIPアドレスなどを自動的にDNSに登録してしまう。これはインターネット向けのDNSサーバでは不要なので、禁止しておこう。 | |||
|
5.NetBIOS over TCPの無効化
NetBIOS over TCP(NBT)は、TCP/IP上でNetBIOSインターフェイスを実現するための機能である(TCPやUDPの137〜139番などのポートを使用している)。Windowsシステムでは、さまざまな場所でこのインターフェイスを使ってサービスを呼び出したりしているが、これはインターネット側から見ると侵入のための格好の入り口となる可能性がある。これも禁止しておこう。
 |
||||||
| NetBIOS over TCP/IPの無効化 | ||||||
| NetBIOS over TCPはWindowsネットワークで標準的に使われるインターフェイスであるが、インターネット側からの攻撃にもさらされる可能性がある。そのためインターネットに接続しているマシンでは必ず無効にしておく。 | ||||||
|
 |
| INDEX | ||
| [特集]インターネット「常時」接続計画 | ||
| 第5回 DNSサーバのセキュリティ設定 | ||
 |
1.基本ネットワーク・サービスのセキュリティ対策 | |
| 2.RRASを使ったパケット・フィルタリング(1) | ||
| 3.RRASを使ったパケット・フィルタリング(2) | ||
 |
||
 |
インターネット「常時」接続計画 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
