| [System Environment] | |||||
インターネット常時接続時の基本セキュリティ設定6.ステップ5:RRASのパケット・フィルタを設定するデジタルアドバンテージ2001/06/22 |
|||||
フィルタ設定の基本ポリシーとしては、Windowsのファイル共有などのサービスをインターネット側からはアクセスできないようにし、かつ、Windows 2000マシンやローカルネット側からはインターネット側のサービスをすべて利用できるようにする。
このような環境を実現するには、基本的には、インバウンド(インターネット側からの)のTCP接続要求をすべて禁止し、(インバウンドの)UDPについても、必要なもの以外はすべてブロックするようにすればよい。ただしTCPについては、FTPのデータ・ポートだけは着信ができるようにしておく。
| [注意] |
|
FTPのデータ・ポートを許可すると(ソース・ポート番号が20番になっているインバウンドのTCPパケットを許可すると)、場合によっては、ソース・ポート番号を詐称したパケットによってシステムに侵入が行われる可能性がある。実際にはこの可能性は非常に低いが(この方法を使ってクラックするより、ほかのセキュリティの甘いホストをクラックする方が簡単だから)、心配ならばこのようなパケットを許可する必要はない。その場合はFTPはパッシブ・モードでしか利用できなくなる。詳細については「TIPS:FTPをファイアウォール・フレンドリ・モードに変更する方法」を参照のこと。 |
ICMPについても、これらを(積極的に)許可する理由は特にないので、すべてブロックしてしまってもよいだろう。ただしインバウンドのICMPを本当にすべて禁止すると、pingの応答すら受け取れなくなってしまうので、これについては許可することにする。
以上の設定をまとめると、次のようになる。
| プロトコル | 設定 |
| TCP | インターネット側からの接続要求はデフォルトですべて禁止。ただしftpのデータ・ポートからの接続要求(ソース・ポート番号=20)だけは許可(不要ならば禁止にすること)。内部からインターネット側へのパケット(アウトバウンドのパケット)は許可 |
| UDP | インターネット側からの接続要求はデフォルトですべて禁止。ただしDNSの応答パケット(ソース・ポート番号=53)、DHCPの応答パケット(ソース・ポート番号=67、宛先ポート番号=68)、NTP(ソース・ポート番号=123)の3種類だけは許可。内部からインターネット側へのパケット(アウトバウンドのパケット)は許可 |
| ICMP | インターネット側からのインバウンド・パケットはデフォルトですべて禁止。ただしpingパケットで使われるICMP Echo(type=8、code=0)/Echo Reply(type=0、code=0)だけは許可。内部からインターネット側へのパケット(アウトバウンドのパケット)は許可 |
 |
|
| 設定するパケットの制御ポリシー | |
| 「インターネット 接続」側のインターフェイス・カードに対して設定するフィルタリング・ポリシー。基本的に内部からインターネット側へ送信されるパケット(アウトバウンド・パケット)はそのまま通すが、外部からの接続要求(インバウンド・パケット)はすべて禁止する。ただし、内部からインターネット側へ送ったパケットに対する応答だけは通すようにする。 | |
以上のポリシーに従って作成した、RRASの設定ファイルは次のようになる(ここでは、設定ファイルの名前を“setup-filter.cnf”とした)。以下のリストでは、説明のために行番号を挿入したが、これらは本来の設定用ファイルにはない。 以下のリンクをクリックして、ローカルに “setup-filter.cnf”というファイル名で保存してから、“netsh -f setup-filter.cnf”として実行すること。
|
|
| RRAS設定用ファイル(setup-filger.cnf) | |
| [この]ファイルをローカルに “setup-filter.cnf”という名前で保存してから、“netsh -f setup-filter.cnf”として実行すること。 |
設定内容について、簡単に解説しておく。詳細については、「運用:常時接続時代のパーソナル・セキュリティ対策(第2回) 8.パケット・フィルタの設定(4)」を参照されたい。
4行目のset filterコマンドでは、これからフィルタをセットするインターフェイス名と、フィルタをセットする場所(inputかoutput)、デフォルトの動作(dropかforward)を引数として与える。「インターネット 接続」の両側をダブルクォート記号で囲んで、「"インターネット 接続"」としているのは、今回の例ではインターフェイス名に空白記号が含まれているからである(読者の環境で名前が異なるなら、インターネット側インターフェイスの正しい名前をここに指定すること。これを間違えるとフィルタは正しく設定できない)。この4行目では、インターネット側インターフェイスにおいて、インバウンドのパケット(インターネット側から到着するパケット)のデフォルト動作をすべてブロック(DROP=通過させない)に設定している。
6行目以下で、このデフォルト設定以外の処理を行うフィルタを追加している。6〜7行目は、ftpのデータ・ポートであるTCPプロトコルの20番ポート向けのパケットのみを通過させる設定である。先ほども述べたように、ftpでパッシブ・モードしか使わないのならば、ソース・ポート番号が20番のインバウンドftpパケットを許可する必要はない。その場合は7行目をコメントにするか、削除していただきたい。
インバウンドのUDPプロトコル・パケットについてはDNS(ソース・ポート:53番)、BOOTP(ソース・ポート:67番、宛先ポート:68番)、NTP(ソース・ポート:123番)の3つを許可する(9〜11行目)。
ICMPは、Echo(type:8)、Echo Reply(type:0)の2つだけを許可する(13〜14行目)。
LAN側からインターネット側へのアウトバウンドのパケットについては、デフォルト動作をすべて通過(forward)に設定する(17行目)。
LAN側のプライベート・ネットワークから、インターネットに向けてパケットが転送されないように、プライベート・アドレスを持つパケットをブロックする(19〜24行目)。
さらに、Windows系OSでよく使われるポートを持つパケットが不用意にブロードキャストされないようにブロックする(26〜31行目)。
上のリンクからファイルを入手してローカルにディスク上に“setup-filter.cnf”という名前で保存したら、コマンド プロンプト上で“netsh -f setup-filter.cnf”とすれば簡単にフィルタ設定を行うことができる。
この記事と関連性の高い別の記事
- Windows XPのファイアウォール機能を活用する(1)(TIPS)
- Windows 2000/Windows XPのICSを活用する(NATを利用する方法)(1)(TIPS)
- Windowsのポート445(ダイレクト・ホスティングSMBサービス)に注意(TIPS)
- ノートPCのTCP/IP設定を簡単に切り替える方法(netshコマンドを使ったネットワーク設定の高速切り替え)(TIPS)
- XP SP2のファイアウォールでリモート管理を有効にする(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
 |
 |
 |
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
