Windows TIPS
[Network]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

イントラネットでファイアウォールを使う(Windows XP編)

解説をスキップして操作方法を読む

デジタルアドバンテージ
2003/10/04
 
対象OS
Windows XP Professional
イントラネットでもICF(OS内蔵のファイアウォール機能)を使ってセキュリティを高めることができる。
ICFのデフォルト設定では、共有リソースへアクセスできないだけでなく、外部からマシンを管理することも不可能になっている。
これらを有効にするためには、ファイル共有プロトコルを通すためのフィルタを定義すればよい。
 
解説

 Windows XPは、簡単ながらもファイアウォール機能(ICF:Internet Connection Firewall)を標準で持っており、これを利用しているユーザーも多いだろう。簡単な操作でパケット・フィルタ機能を有効にでき、外部からの不正なアクセスをほとんどブロックすることができる。

 このICF機能は、インターネット・アクセス(のためのダイヤルアップ接続やADSL接続など)で使われることが多いが、イントラネット(ローカルのLAN)においても、利用することができる。例えば、LAN上に蔓延している(かもしれない)各種のワームなどの攻撃からPCを守ったり(もちろんそのようなワームを駆除するのが先であるが……)、望ましくないプログラム(不正なファイルを共有するためのPtoPソフトウェアなど)を利用できなくするために活用できるだろう(ファイアウォールの設定には管理者権限が必要なので、好ましくないプロトコルをブロックしておけば、一般権限のユーザーでは利用できなくなる)。

 だが、イントラネット上でICF機能を有効にすると、ほかのマシンからのファイル共有すら禁止されてしまうことになる(自分のマシンから、ほかのマシンへアクセスすることは可能)。ICFでは、外部から内部へのアクセスは(デフォルトですべて)禁止するが、内部から外部へのアクセスはすべてスルーしているので、このような状態になる。

 ユーザー同士の、勝手なファイル共有を禁止するためには、このような設定でも構わないだろう。だがこの状態では、すべての管理共有(「Admin$」や「IPC$」「C$」ほか)などへのアクセスも禁止される。そのため、例えば各種の管理ツールによるアクセスや、リモート・デスクトップ接続を使ったリモート管理などもすべて禁止されてしまうことになる。

 ICFを有効にすると、デフォルトでは以上のような不都合があるため、やはり「ファイル共有サービス」へのアクセスだけは有効にしておくのが望ましい(まったく管理する必要がなければ、もちろんこのままでもよい)。以下では、このための設定方法について解説する。


操作方法

手順1―ICF機能を有効にする

 ICF機能を有効にするには、まず[スタート]メニューから[ネットワーク接続]を開き、[ローカル エリア接続]のアイコンを右クリックして、ポップアップ・メニューから[プロパティ]を選択する。そして[詳細設定]タブを表示させ、[インターネット接続ファイアウォール]にあるチェック・ボックスをオンにすればよい。

ICFを有効にする
ICFを有効にするには、該当するネットワーク・アダプタの[プロパティ]画面で、[ICF]を有効にするだけでよい。だが、これでは外部からのファイル共有や、管理ツールを使った接続要求まで禁止されてしまう。これらを許可するには、さらにいくらかの設定を行う必要がある。
  ファイアウォールの設定を行うにはこの[詳細設定]タブを選択する。
  チェック・ボックスをオンにするだけで、このネットワーク・インターフェイス(この場合は[ローカル エリア接続])に対するICF機能が有効になる。
  より詳細な設定をするために、これをクリックする。→

 以上の設定でICFが有効になる。イントラネット上のほかのサーバへのアクセスなどは可能であるが、ほかのマシンからこのマシンへのアクセスしようとしても、すべて拒否されることになる。

 なお、このICFを有効にしても、内部から外部への通信(ローカル・マシンからイントラネット上のほかのマシンへの通信)はそのまま通るので、例えばコンピュータ名の一覧には正しくコンピュータ名が登録されている(一覧への登録には、ブロードキャストやWINS、DNSなどが使用される)。そのため、エクスプローラでドメインの一覧を表示させると、コンピュータ名は表示されているが、それをクリックして共有リソースを表示させようとしてしてもエラーとなるはずである。

手順2―SMB(CIFS)プロトコルを有効にする

 Windowsネットワークにおいて、ファイルを共有するために使用されるプロトコルは「SMB」というが、Windows 2000以降では、2通りの方法で提供されている。1つは、従来のいわゆるNetBIOSサービス上に構築されたSMBプロトコルであり、もう1つは、TCP/UDPの445番を使って提供されている「ダイレクトホストSMB」である(「CIFS:Common Internet File System Access Protocol」ともいう)。詳細については「TIPS―ポート445(ダイレクト・ホスティングSMBサービス)に注意」や「サポート技術情報―TCP/IP を介する SMB のダイレクトホスト (マイクロソフト)」などを参照していただきたい。

 どちらを使ってもほぼ同じ機能が提供されているが、ファイアウォールで制御するには、CIFSの方が簡単である(使用するプロトコルが1つだけだから)。以下では、このCIFSを通す設定方法を紹介する。

ファイアウォールの設定
CIFSを通すために、新しいプロトコルを定義する。
  外部から管理するためには、管理手段に応じて、例えばこの[リモート デスクトップ]などを有効にしておく。さもないと、外部から接続することができなくなる。「TIPS―ターミナル・サービス/リモート・デスクトップ接続のポート番号を変更する」も参考にしていただきたい。
  CIFはデフォルトでは用意されていないので、新しく追加する必要がある。→
 
CIFSの定義
新しくCIFSプロトコルを通すためのフィルタを定義する。
  プロトコルの名称。何でもよいが、ここでは[CIFS]としてみた。
  あて先のホストの指定。ここではローカル・マシン(127.0.0.1)を指定している。
  プロトコル番号。「445」を指定する。
  プロトコルの種別。CIFSではUDPも利用することがある(はずである)が、取りあえずTCPだけでも十分機能するようである。もしこれだけでは動作しないようなアプリケーションがあれば、UDPの445番も同様に定義していただきたい。

 以上の定義だけで、外部からアクセスできるようになっているはずである。システムを再起動後、ほかのマシンから共有フォルダなどへアクセスして、動作を確認していただきたい。手元で試した限りでは、ファイル共有はもちろん、[コンピュータの管理]ツールやレジストリ・エディタを始めとする各種の管理ツールなどでも接続して、操作することが可能であった。

 ただし、Windows 2000以前のWindows OSマシンでは、CIFSはサポートされていないため、以上の設定だけではアクセスすることはできない。必要ならばNetBIOSサービスやMS-RPCサービス(TCP/UDPのポート135番)なども通すようにフィルタを設定しなければならないが、あまり多くのプロトコルを通すようにすると、ICFを利用する意味がなくなってしまう。ネットワークをセキュアにするためには、そのようなクライアントは排除するとか、アクセスできなくても構わないような運用ルールを設けるべきだろう。

 なお、以上の設定では、外部からのICMPプロトコルもすべて禁止しているので、例えばpingなども応答しなくなっている。マシンが稼働しているかどうかをpingコマンドを使って監視しているような組織では、[詳細設定]ダイアログの[ICMP]タブを使って、必要なICMPプロトコルを通すようにしておいていただきたい。

ICFの注意点

 このICFであるが、イントラネット上で利用する場合には少し注意しなければならない点がある。システムの再起動時に、わずかではあるが、ICFが無効になっている時間が存在するのである。試しに(ICMP応答は禁止にしておいて)、ほかのマシンからpingを連続実行させながら、システムを再起動させると、手元のマシンでは10秒ほどICMPに応答している時間が存在していた。

 つまり、LANインターフェイスがアクティブになってから、ICF(一種のサービスとして実装されている)が有効になるまで、(この例では)10秒ほどかかっているということである。ICFサービスが稼働するよりも先にほかの脆弱なサービスが起動していると、ウイルスなどに攻撃されてしまう可能性があると思われる。そのため、今回述べた設定を行えば、脆弱性に対するパッチなどを適用しなくてもよいということではないので、注意していただきたい。

 なお、通常のインターネット接続の場合は、ダイヤルアップ接続や(ADSLの)PPPoE接続でICFを設定するため、このようなことにはならないようである(すでにICFサービスが稼働しているので、最初からセキュアになっている)。End of Article

関連リンク
  サポート技術情報―Windows XP のインターネット接続ファイアウォールで手動でポートを開く方法 (マイクロソフト)
     

「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間