Windows TIPS

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ インターネット常時接続時の基本セキュリティ設定 1．想定する環境、前提条件 デジタルアドバンテージ 2001/06/22

---

　今回は、Windows 2000 Professionalのインターネット接続共有を利用して、これを簡易ブロードバンド・ルータとして機能させ、SOHOや家庭内LANをインターネットに常時接続する環境を想定する。別稿でもご紹介している図を再度掲載する。

Windows 2000の接続共有機能によるインターネット接続の例

LANの入り口にあるWindows 2000マシンに2枚のイーサネット・カードを装着し、片方をADSLモデムやケーブル・モデムへ、もう片方をLAN側のハブへ接続する。Windows 2000をルータとして機能させる常時接続の典型的な例だろう。今回の例では、インターネット側の接続名に「インターネット 接続」という名前を、LAN側の接続名に「ローカルネット 接続」という名前をそれぞれ割り当てた（デフォルトではこれらは「ローカルエリア 接続」と「ローカルエリア 接続2」になっている）。

　すでに紹介したとおり、このようにWindows 2000を簡易ブロードバンド・ルータとして機能させる方法は、「TIPS：Windows 2000のインターネット接続共有を活用する（NATを利用する方法）」で紹介している。今回の例では、インターネット側の接続名に「インターネット 接続」という名前を、LAN側の接続名に「ローカルネット 接続」という名前をそれぞれ割り当てた。デフォルトではこれらの名前は「ローカルエリア 接続」と「ローカルエリア 接続2」になっているはずであるが、これではどちらのネットワーク・カードがインターネットやローカルへ接続されているかを間違う可能性があるので、是非とも名前を変更しておいていただきたい。

　以下、簡易セキュリティ設定の具体的な方法を説明する。繰り返しになるが、これはあくまでも、インターネット常時接続を実現するための最低限の設定であり、これだけで安心できるというわけではない。また今回の設定は、RRASサービスのフィルタリング機能を使って、必要なパケットだけをインターネットとやり取りするという最低限のものである（システムへの不正侵入は、このパケット・レベルの対策を施すだけでも、かなりのケースを防ぐことができる）。そのため、専用のファイアウォール・ソフトウェアのように、パケットのやり取りをログに記録して、攻撃を受けた記録を調べるなどはできないし、ウイルス・プログラムによるLAN内部からのインターネット側への発信（トロイの木馬型ウィルスの場合）を防ぐことはできない。もちろんウィルス・プログラムを検出することもできないので（ウィルスはアプリケーション層レベルで動作するものなので、パケット・フィルタでは防ぎにくい）、必要ならばウイルス・チェック・プログラムを別途用意する必要がある。

　また今回は、Windows 2000 Professionalを前提として話を進める。Windows 2000 ServerにもProfessional同様の接続共有機能が提供されている。しかしWindows 2000 Serverを使用するような本格的な常時接続環境では、今回ご紹介するような簡単なセキュリティ設定ではなく、別途正式なファイアウォールを構築するべきだと判断したためだ。

　それでは、「TIPS：Windows 2000のインターネット接続共有を活用する（NATを利用する方法）」のNAT設定が終わったとして、続くRRASサービスの使用方法、設定方法を順を追って説明していこう。なお、以下の設定を行うには、管理者権限を持ったユーザー（Administrator、またはAdministratorsグループのユーザー）でログオンしておく必要がある。

INDEX
	［Windows TIPS］インターネット常時接続時の基本セキュリティ設定
	1．想定する環境、前提条件
	2．ステップ1：インターネット側のファイル共有サービスを禁止する
	3．ステップ2：NBTを禁止する
	4．ステップ3：RRASサービスを開始する
	5．ステップ4：RRASのオリジナル設定をバックアップする
	6．ステップ5：RRASのパケット・フィルタを設定する
	7．ステップ6：フィルタ機能の確認

　

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）