[Network] | |||||||||||
イントラネットでファイアウォールを使う(Windows XP編)
|
|||||||||||
|
解説 |
Windows XPは、簡単ながらもファイアウォール機能(ICF:Internet Connection Firewall)を標準で持っており、これを利用しているユーザーも多いだろう。簡単な操作でパケット・フィルタ機能を有効にでき、外部からの不正なアクセスをほとんどブロックすることができる。
このICF機能は、インターネット・アクセス(のためのダイヤルアップ接続やADSL接続など)で使われることが多いが、イントラネット(ローカルのLAN)においても、利用することができる。例えば、LAN上に蔓延している(かもしれない)各種のワームなどの攻撃からPCを守ったり(もちろんそのようなワームを駆除するのが先であるが……)、望ましくないプログラム(不正なファイルを共有するためのPtoPソフトウェアなど)を利用できなくするために活用できるだろう(ファイアウォールの設定には管理者権限が必要なので、好ましくないプロトコルをブロックしておけば、一般権限のユーザーでは利用できなくなる)。
だが、イントラネット上でICF機能を有効にすると、ほかのマシンからのファイル共有すら禁止されてしまうことになる(自分のマシンから、ほかのマシンへアクセスすることは可能)。ICFでは、外部から内部へのアクセスは(デフォルトですべて)禁止するが、内部から外部へのアクセスはすべてスルーしているので、このような状態になる。
ユーザー同士の、勝手なファイル共有を禁止するためには、このような設定でも構わないだろう。だがこの状態では、すべての管理共有(「Admin$」や「IPC$」「C$」ほか)などへのアクセスも禁止される。そのため、例えば各種の管理ツールによるアクセスや、リモート・デスクトップ接続を使ったリモート管理などもすべて禁止されてしまうことになる。
ICFを有効にすると、デフォルトでは以上のような不都合があるため、やはり「ファイル共有サービス」へのアクセスだけは有効にしておくのが望ましい(まったく管理する必要がなければ、もちろんこのままでもよい)。以下では、このための設定方法について解説する。
操作方法 |
手順1―ICF機能を有効にする
ICF機能を有効にするには、まず[スタート]メニューから[ネットワーク接続]を開き、[ローカル エリア接続]のアイコンを右クリックして、ポップアップ・メニューから[プロパティ]を選択する。そして[詳細設定]タブを表示させ、[インターネット接続ファイアウォール]にあるチェック・ボックスをオンにすればよい。
ICFを有効にする | |||||||||
ICFを有効にするには、該当するネットワーク・アダプタの[プロパティ]画面で、[ICF]を有効にするだけでよい。だが、これでは外部からのファイル共有や、管理ツールを使った接続要求まで禁止されてしまう。これらを許可するには、さらにいくらかの設定を行う必要がある。 | |||||||||
|
以上の設定でICFが有効になる。イントラネット上のほかのサーバへのアクセスなどは可能であるが、ほかのマシンからこのマシンへのアクセスしようとしても、すべて拒否されることになる。
なお、このICFを有効にしても、内部から外部への通信(ローカル・マシンからイントラネット上のほかのマシンへの通信)はそのまま通るので、例えばコンピュータ名の一覧には正しくコンピュータ名が登録されている(一覧への登録には、ブロードキャストやWINS、DNSなどが使用される)。そのため、エクスプローラでドメインの一覧を表示させると、コンピュータ名は表示されているが、それをクリックして共有リソースを表示させようとしてしてもエラーとなるはずである。
手順2―SMB(CIFS)プロトコルを有効にする
Windowsネットワークにおいて、ファイルを共有するために使用されるプロトコルは「SMB」というが、Windows 2000以降では、2通りの方法で提供されている。1つは、従来のいわゆるNetBIOSサービス上に構築されたSMBプロトコルであり、もう1つは、TCP/UDPの445番を使って提供されている「ダイレクトホストSMB」である(「CIFS:Common Internet File System Access Protocol」ともいう)。詳細については「TIPS―ポート445(ダイレクト・ホスティングSMBサービス)に注意」や「サポート技術情報―TCP/IP を介する SMB のダイレクトホスト (マイクロソフト)」などを参照していただきたい。
どちらを使ってもほぼ同じ機能が提供されているが、ファイアウォールで制御するには、CIFSの方が簡単である(使用するプロトコルが1つだけだから)。以下では、このCIFSを通す設定方法を紹介する。
ファイアウォールの設定 | ||||||
CIFSを通すために、新しいプロトコルを定義する。 | ||||||
|
CIFSの定義 | ||||||||||||
新しくCIFSプロトコルを通すためのフィルタを定義する。 | ||||||||||||
|
以上の定義だけで、外部からアクセスできるようになっているはずである。システムを再起動後、ほかのマシンから共有フォルダなどへアクセスして、動作を確認していただきたい。手元で試した限りでは、ファイル共有はもちろん、[コンピュータの管理]ツールやレジストリ・エディタを始めとする各種の管理ツールなどでも接続して、操作することが可能であった。
ただし、Windows 2000以前のWindows OSマシンでは、CIFSはサポートされていないため、以上の設定だけではアクセスすることはできない。必要ならばNetBIOSサービスやMS-RPCサービス(TCP/UDPのポート135番)なども通すようにフィルタを設定しなければならないが、あまり多くのプロトコルを通すようにすると、ICFを利用する意味がなくなってしまう。ネットワークをセキュアにするためには、そのようなクライアントは排除するとか、アクセスできなくても構わないような運用ルールを設けるべきだろう。
なお、以上の設定では、外部からのICMPプロトコルもすべて禁止しているので、例えばpingなども応答しなくなっている。マシンが稼働しているかどうかをpingコマンドを使って監視しているような組織では、[詳細設定]ダイアログの[ICMP]タブを使って、必要なICMPプロトコルを通すようにしておいていただきたい。
ICFの注意点
このICFであるが、イントラネット上で利用する場合には少し注意しなければならない点がある。システムの再起動時に、わずかではあるが、ICFが無効になっている時間が存在するのである。試しに(ICMP応答は禁止にしておいて)、ほかのマシンからpingを連続実行させながら、システムを再起動させると、手元のマシンでは10秒ほどICMPに応答している時間が存在していた。
つまり、LANインターフェイスがアクティブになってから、ICF(一種のサービスとして実装されている)が有効になるまで、(この例では)10秒ほどかかっているということである。ICFサービスが稼働するよりも先にほかの脆弱なサービスが起動していると、ウイルスなどに攻撃されてしまう可能性があると思われる。そのため、今回述べた設定を行えば、脆弱性に対するパッチなどを適用しなくてもよいということではないので、注意していただきたい。
なお、通常のインターネット接続の場合は、ダイヤルアップ接続や(ADSLの)PPPoE接続でICFを設定するため、このようなことにはならないようである(すでにICFサービスが稼働しているので、最初からセキュアになっている)。
関連リンク | ||
サポート技術情報―Windows XP のインターネット接続ファイアウォールで手動でポートを開く方法 (マイクロソフト) | ||
この記事と関連性の高い別の記事
- ファイアウォールの空白時間に注意(TIPS)
- Windowsのポート445(ダイレクト・ホスティングSMBサービス)に注意(TIPS)
- Windows XPのファイアウォール機能を活用する(1)(TIPS)
- インターネット常時接続時の基本セキュリティ設定(TIPS)
- XP SP2のファイアウォールでリモート管理を有効にする(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|