[検証]
WindowsでインターネットWebサーバ

第4回 Windows Web Server 2008のセキュリティ対策

2.セキュリティが強化されたWindowsファイアウォール

デジタルアドバンテージ 打越 浩幸
2008/12/22

 セキュリティが強化されたWindowsファイアウォールはWindows VistaおよびWindows Server 2008で導入された新しいファイアウォール・システムである。従来のWindowsファイアウォールの機能と統合されており、Windowsファイアウォールで行った操作は、実際にはセキュリティが強化されたWindowsファイアウォールに反映されることになっている。先ほどのプロパティ画面では何も設定が行えなかったが、必要な操作はすべてセキュリティが強化されたWindowsファイアウォール側で行うからである。

 [管理ツール]メニューの[セキュリティが強化されたWindowsファイアウォール]を利用すると、この新しいファイアウォールに関するすべての管理/設定が行える(次の画面参照)。

セキュリティが強化されたWindowsファイアウォールの管理ツール
このツールは[管理ツール]メニューの[セキュリティが強化されたWindowsファイアウォール]から起動できる(もしくは[サーバー マネージャ]ツールの[構成]−[セキュリティが強化されたWindowsファイアウォール]ツリーでも起動できる)。これを見ると、新しいファイアウォールの持つ機能がだいたい分かるだろう。
受信(着信)に対するパケット・フィルタの設定。
送信(発信)に対するパケット・フィルタの設定。
3つのプロファイルの概要。
現在有効なプロファイルは、「〜がアクティブです」と表示される。
ファイアウォール全体の設定を行う。

 この画面を見ると、新しいファイアウォールの持つ機能がだいたい分かるだろう。受信パケット・フィルタだけでなく()、送信(発信)に対してもフィルタを適用することができる()。また、「ドメイン プロファイル」「プライベート プロファイル」「パブリック プロファイル」という3つのプロファイル()があり、現在はパブリック・プロファイルが有効であることが分かる。

 プロファイルとは、ネットワークの状況に応じてパケット・フィルタのセットを切り替える機能のことである。ドメイン(社内)で利用しているときはセキュリティ設定は緩和するが、公共の場所に持ち出すときは外部からのアクセスをすべて禁止する、といった使い分けをするために利用する。詳細は別稿の「ファイアウォールのプロファイル」を参照していただきたいが、インターネット向けに設置するWebサーバならばパブリック・プロファイルで運用するのがよいだろう。

 上の画面で[Windows ファイアウォールのプロパティ]のリンク()をクリックすると、ファイアウォールの全体的な設定を変更できる。現在アクティブなプロパティのタブを選択し、ファイアウォールの動作を設定、確認する。デフォルトでは受信接続はブロック(例外設定したものだけを許可する状態)、送信接続は許可(発信は制限なしで、例外設定したものだけを禁止する状態)となっているはずである。

ファイアウォールの基本設定
プロファイルごとに、受信や送信を許可するか禁止するかを設定する。
[パブリック プロファイル]を設定する。
ファイアウォールはオン(有効)にしておくこと。さもないと、外部からの攻撃を受ける可能性がある。
受信(着信)はデフォルトですべて禁止。ただし例外設定されたものだけは許可。
送信(発信)はデフォルトですべて許可。ただし例外設定されたものだけは禁止。送信をデフォルトですべて禁止すると、例えば外部のDNSアクセスやICMP送信、ファイル・アクセス、Webブラウザによる外部アクセス、メール送信などもすべて禁止されてしまい、正常にシステムが運用できなくなる可能性がある。送信フィルタを利用する場合は、十分理解して使用していただきたい。
ブロック時の通知やグループ・ポリシー関連の設定。
ログ・ファイルの設定。デフォルトではログ機能はオフだが、インターネット向けに運用する場合は、(システムにあまり負荷を与えない範囲で)許可しておくと、トラブル発生時などに役に立つだろう。なおログを取る場合は、拒否したパケット(廃棄されたパケット)のみを記録すること。通過したパケットのログ(正常な接続のログ)まで採取させると、ログがすぐにあふれてしまうだろう。

 それでは実際に定義されているフィルタの内容を確認しておこう。ファイアウォールの管理画面の左側のペインで[受信の規則]をクリックすると、次のような画面が表示される。

受信規則の確認
Webサーバへのアクセス以外の着信をすべて禁止し、セキュリティを高める。デフォルトでは多数の規則が定義されているが、そのほとんどは無効になっている(=受信が許可されない状態になっている)。IISの役割をインストールすると、自動的にHTTP/HTTPSの規則が有効になるはずなので、確認しておく。
これを選択すると、受信のためのパケット・フィルタの一覧が表示される。
HTTPプロトコル(TCPのポート80番)を許可する規則。これが有効になっていないと外部からWebサーバにアクセスできない。
デフォルトではこれらの規則が有効になっている(有効な規則には、左端に緑色のマークが付く)。これらはICMPの受信やネットワーク・コンピュータの検索など、一般的にはローカルネット上でのみ有効な制御用のプロトコルである。
HTTPSプロトコル(TCPのポート443番)を許可する規則。これが有効になっていないと外部からWebサーバにアクセスできない。

 Webサーバとして運用する場合は、HTTPやHTTPS(TCPの80番および443番)を有効にする(SSL通信が不要な場合は443番は無効にしてもよい)。Webサーバをインストールすると、これらの規則(上の画面の)が自動的に有効になっているはずなので、確認しておく。

 デフォルトではこれ以外にも、さらに「コア ネットワーク」や「ネットワーク探索」グループの規則がいくつか有効化されているはずだが(上の画面の)、インターネット向けのWebサーバとして利用するなら、「ネットワーク探索」は無効にしても構わないだろう。これを無効にすると、例えばエクスプローラで外部のコンピュータへ接続しようとするとエラーになる可能性があるが(「ネットワークの探索が無効になっている」というエラーが表示される)、外部コンピュータをIPアドレスで指定するといった方法で回避できる。「コア ネットワーク」グループはICMPメッセージの受信のための規則なので、そのままでも特に問題はないだろう。

管理用ポートを許可する

 ファイアウォールでWebアクセス以外のすべてのポートをブロックしてしまうと外部から一切アクセスできなくなり、セキュリティは高くなるが、例えばリモート・デスクトップ接続をして管理するといったこともできなくなってしまう。そこで最低限の管理用ポートとして、ここでは、リモート・デスクトップ接続だけは許可してみよう。まず[スタート]メニュー上の[コンピュータ]を右クリックし、ポップアップ・メニューから[プロパティ]を選択する。そして、表示された[システム]画面で[リモートの設定]をクリックし、[システムのプロパティ]画面の[リモート]タブで、リモート・デスクトップ接続を許可する。

 以上の設定を行うと、自動的にセキュリティが強化されたWindowsファイアウォールの受信規則で[リモート デスクトップ (TCP 受信)]規則も有効になり(次の画面参照)、外部からリモート・デスクトップ接続ができるようになる。Webコンテンツの管理はこの状態で行うとよい。

リモート・デスクトップの許可規則
システムのプロパティでリモート・デスクトップ機能を有効にすると、この受信規則も自動的に有効になる。だが、デフォルトではすべてのIPアドレスからの接続が許可されているので、ローカルのサブネットワークのみに限定する必要がある。
これはデフォルトで定義されている受信規則。[有効]にすると、リモート・デスクトップの着信が許可される。

 この規則では、あらゆるIPアドレスの接続が許可されるようになっているが、これでは外部から接続され、操作されてしまう可能性もある。そこで、接続可能なIPアドレス(Web Server 2008から見ると、リモート・デスクトップのリモートのIPアドレス)の範囲を限定し、自社以外のネットワークからの接続を禁止するように設定しておこう。許可するIPアドレスとしては、Web Server 2008の設置されているサブネットワークか、社内のプライベートIPアドレス(192.168.0.0/24など)を指定する。こうすれば、外部のネットワークからリモート・デスクトップ経由で侵入される可能性が少なくなる(ルータやファイアウォール、同一サブネット上のほかのサーバが乗っ取られ、そこから侵入される可能性もあるが、それは別途対処していただきたい)。接続可能なIPアドレス範囲を限定するには、[スコープ]タブをクリックする。

リモート・デスクトップ接続のスコープの定義
外部からの不正な侵入を防ぐため、リモート・デスクトップ接続が可能なIPアドレスをスコープを使って限定する。
これをクリックして、スコープを限定する。
ローカル側(Web Server 2008自体)のIPアドレスは無指定のまま。
リモートを限定する。
ここに許可するアドレスの一覧を追加する。[ローカル サブネット]は、ローカルのネットワーク・インターフェイスが属しているサブネット・アドレス全体を表す。例えばコンピュータのIPアドレスが10.1.2.3/24なら、10.1.2.0/24(10.1.2.0〜10.1.2.255)と同じ意味になる。
これをクリックして、IPアドレス範囲や[ローカル サブネット]などの項目を追加する。

 以上のようにスコープを限定することにより、指定したIPアドレス範囲からしかリモート・デスクトップ接続ができなくなる。範囲外のIPアドレスから接続しようとしても、無応答状態になる(拒否応答ではなく、タイムアウトするまで待たされる。外部から見れば、何も存在しないのと同じ状態)。

Webコンテンツの管理

  なお、Web Server 2008上のコンテンツ(.htmlや.asp、画像などのファイルのこと)をファイル共有やFTPなどを使って外部から操作することも不可能ではないが(Web Server 2008に共有フォルダを作成し、そこへ外部から接続して書き込む)、ファイル共有フォルダの公開は、最も危険性の高いセキュリティ上の弱点となる可能性があるため、十分注意する必要がある。なるべくポートを開けず、必要ならリモート・デスクトップでログオンして、外部のリハーサル・サーバなどと同期させるようにするのがよいだろう(さらに可能ならば、アクセス先のIPアドレス範囲を限定するようなフィルタ規則も定義するとよい)。

■RRASによるパケット・フィルタ
  Windows Server 2008には、Windowsファイアウォールやセキュリティが強化されたWindowsファイアウォールと並んで、もう1つ、「ルーティングとリモート アクセス(以下RRAS)」というネットワーク・ルータ/パケット・フィルタ機能もある([ネットワーク ポリシーとアクセス サービス]役割に含まれている)。これはWindows 2000 Serverのころから用意されている機能であり、これを使っても受信パケットの制限などは可能であるが、機能はかなり限定的である(RRASはルータやVPNのサーバなどとして利用されることが多く、パケット・フィルタは補助的な意義しか持っていない)。ファイアウォールとして利用するならセキュリティが強化されたWindowsファイアウォールの方が高機能である。それに残念ながら、このRRASは機能(役割)が限定されたWeb Server 2008では利用できなくなっている。


 INDEX
  [検証]WindowsでインターネットWebサーバ
  第4回 Windows Web Server 2008のセキュリティ対策
    1.互換性を重視したWindowsファイアウォール
  2.セキュリティが強化されたWindowsファイアウォール
    3.不要なコンポーネントの無効化
    4.定期的なセキュリティ・パッチの適用

 「検証」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT