特集 インターネット「常時」接続計画第5回 DNSサーバのセキュリティ設定2.RRASを使ったパケット・フィルタリング(1)デジタルアドバンテージ |
 |
|
以上のような設定でいくつかの主要なサービス・ポートなどを閉じることができたが、実際にはそれ以外にもさまざまなサービスが稼動している。そのためきちんとしたセキュリティ対策のためには、さらに「必要なポート以外はすべて閉じておく」という抜本的な対策も必要である。セキュリティを向上させるためには、どちらか一方だけでよいというわけでなく、必ず両方行っておきたい。
パケット・フィルタの設定
パケット・フィルタは、通信で流れるパケットを監視して、特定のパターンに一致するパケットを通過させたり、ブロックしたりする機能である。今回はDNSサービスに関するパケットだけを受け付けるようにして、それ以外のパケットはすべてブロックするように設定する。設定するパケット・フィルタのパターンは以下のようにする。もしWebサービスも稼動させたりするなら、TCPの80番ポートも許可するように設定するなど、適宜対処していただきたい。
| カテゴリ | 項目 | 用途 |
| ICMP関連 | ICMPのタイプ8とタイプ0の受信を許可 | システムの動作状態を監視するために、pingの発信と応答だけは受け付ける(特に許可しなくてもよい) |
| DNS関連 | 発信元ポートが53番のUDPパケットの着信を許可 | 外部のDNSサーバへの問い合わせパケットは受け付ける |
| 宛先ポートが53番のUDPパケットの着信を許可 | 外部からのDNSの問い合わせパケットは受け付ける | |
| TCP関連 | セッション確立済みパケットの着信を許可 | 外部へのTCP接続の応答パケットは受け付ける(一般のTCP通信用) |
| 宛先ポートが53番のTCPパケットの着信を許可 | 外部からのDNSゾーン転送要求のパケットは受け付ける | |
 |
||
| 設定する入力パケット・フィルタの仕様 | ||
| DNS問い合わせやゾーン転送のほか、システムの動作確認用にpingの送受信は受け付けるという場合の設定。必要ならば出力フィルタも設定するとよい。DNSのゾーン転送は、上位のDNSサーバ側で、特定のホストのみに許可するように設定すること。また可能ならば、pingなどの通信相手も限定するようにフィルタを設定すると、より安全になる。 | ||
「ルーティングとリモート アクセス」サービスを管理する
Windows 2000 Serverでパケット・フィルタリングを行うためには、「ルーティングとリモート アクセス(Routing and Remote Access Service、以下RRASと表記)」サービスを利用する。これを利用するには、[スタート]メニューの[管理ツール]−[ルーティングとリモート アクセス]を実行する。デフォルトではこのサービスは稼動していないが、ウィザードを1回起動して設定を行うことにより、サービスがシステムの起動時から動作するようになる。このパケット・フィルタ機能については、「常時接続時代のパーソナル・セキュリティ対策」や「TIPS―インターネット常時接続時の基本セキュリティ設定」などでも触れているので参考にしていただきたい。Windows 2000 ProfessionalのRRAS機能と違って、Windows 2000 ServerのRRASではより高機能なルーティング機能や、GUI管理ツールが付属しているという違いがある。
以下は、RRASの管理ツールの起動画面である。RRASサービスを起動するためには、サーバ名を右クリックして、設定のためのウィザードを起動する。
 |
|||
| ルーティングとリモート アクセス | |||
| デフォルトではRRASサービスは起動していないので、ウィザードを使って最初に1回設定を行う必要がある。 | |||
|
ウィザードを使うと、RRASの使用目的に応じた設定を簡単に済ませることができる。リモート・アクセス・サービス(外部からのダイヤルアップ接続の待ち受け)やVPN(インターネットを介した仮想回線接続)、NAT(アドレスやポート番号などを変換して、複数のノードをインターネットに接続させる)、ルータ設定などが選択できる。だが今回使用するサーバにはネットワーク・インターフェイスは1枚しか装着されておらず、ここではパケット・フィルタ機能を利用したいだけなので、一番下にある[手動で構成したサーバー]を選択しておけばよいだろう。
 |
|||
| ルーティングとリモート アクセスのセットアップ・ウィザード | |||
| RRASサービスを有効化して、初期設定を行うためのウィザード。さまざまなネットワーク構成に応じて、基本的な設定を行うことができる。今回は基本的なパケット・フィルタ機能だけを使うので、すべて手動で設定する。 | |||
|
パケット・フィルタを設定する
以上の初期設定が完了すると、RRASサービスがシステム起動時から自動的に稼動するようになるので、次はパケット・フィルタの設定を行う。RRASにはさまざまな機能があるが、ここではネットワーク・インターフェイスのプロパティを使って、フィルタ設定を行う。
 |
|||||||||||||||
| ネットワーク・インターフェイスのパケット・フィルタを設定する | |||||||||||||||
| パケット・フィルタを設定するには、インターネットに接続されているネットワーク・インターフェイス・カードの[プロパティ]メニューを使う。 | |||||||||||||||
|
RRASでは、インターフェイスごとに「入力パケット(外部から内部へ到達するパケット)」と「出力パケット(システムから外部へ送信されるパケット)」のそれぞれのフィルタを設定することができる。今回の設定例では、入力側のフィルタのみを設定するので、以下のように[入力フィルタ]を選択する。
 |
||||||
| フィルタの設定 | ||||||
| フィルタは、インターフェイスごとに入力と出力のそれぞれに対して設定することができる。ここでは入力フィルタを設定する。 | ||||||
|
| 関連記事(Windows Insider内) | |
| 常時接続時代のパーソナル・セキュリティ対策 | |
| インターネット常時接続時の基本セキュリティ設定 | |
 |
 |
| INDEX | ||
| [特集]インターネット「常時」接続計画 | ||
| 第5回 DNSサーバのセキュリティ設定 | ||
| 1.基本ネットワーク・サービスのセキュリティ対策 | ||
 |
2.RRASを使ったパケット・フィルタリング(1) | |
| 3.RRASを使ったパケット・フィルタリング(2) | ||
 |
||
 |
インターネット「常時」接続計画 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
