|
|
Windows 2000 Insider/PC Insider合同特別企画
Windows XPの正体
実験/実証によって探るWindows XPの真実の姿
常時接続でも安心のファイアウォール機能
3.外部からの不正アクセスを検出可能にするファイアウォールのログ
デジタルアドバンテージ
2001/09/20
|
|
|
Windows XPのファイアウォール機能では、ブロックした通信や、通過させた通信について、ログを残しておくことができる。これにより、外部から不正なアタックなどを受けていないかどうかなどを確認することができる。デフォルトではこのログ機能はオフになっているが、最初のうちは、正しくブロックできているかどうかを確認するためにもログを残すようにしておいたほうがよいだろう。
ログでは、ファイアウォールのルールが適用されてブロックされた場合と、通信が正常の行われた場合のログを記録することができる。
 |
ログの記録設定 |
ログを残すかどうかを設定するにはこのダイアログを使う。デフォルトではフィルタ結果のログはいっさい残らないようになっているが、最初のうちは正しく動作しているかどうかを確認するためにも、ログを残すべきだろう。 |
|
 |
ログ設定タプを使って、ログのサイズなどを設定する。 |
|
 |
インターネット側からのXPマシンへアクセスのうち、ファイアウォールでブロックされて、通過できなかったパケットのログを記録する。 |
|
 |
内部ネットワークから外部(インターネット)、もしくは外部から内部への通信など、ブロックされずに正常に行われた通信のログを記録する。 |
|
 |
ログファイルのパス名。 |
|
 |
ログファイルのサイズ。起動時にこのサイズ超えていると、新しくログファイルが作成され、古いログファイルは名前が変更されて保存される。ただし保存は1つ前までしかないので、さらに古いログファイルが必要ならば、自分で保存などをしておく必要がある。 |
|
ログファイルには、通信の行われた時間や通信元と通信先のIPアドレス、使用したプロトコルなどの情報がすべて記録される。TCPのフラグの状態なども詳しく記録されているので、連続したポートへのオープン要求が、例えば悪意のあるポート・スキャンかどうかを判断することなども可能だろう。
以下に記録されたログ・ファイルの例を示す。「DROP」となっているのがパケット・フィルタによってブロック(阻止)された通信である。外部からの不正なポート・アクセスだけでなく、ポート137番を使ったLAN内部からのブロードキャスト(自分のマシン名やワークグループ名などのブロードキャスト)もブロックしているのが分かるだろう。外部からの不正な侵入だけでなく、自マシンの情報が外部へ漏れるのも防いでいる。
「OPEN」と「CLOSE」はそれぞれ通信の始まりと終わりを示している。例えばメールやWebアクセスでTCP接続を行う場合に、その最初と最後でこれらの情報が記録されている。
#Verson: 1.0
#Software: Microsoft Internet Connection Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port
size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info
2001-09-17 14:46:50 DROP UDP 192.168.XXX.XXX 209.249.XXX.XXX
137 137 78 - - - - - - -
2001-09-17 14:46:51 DROP UDP 192.168.XXX.XXX 209.249.XXX.XXX
137 137 78 - - - - - - -
2001-09-17 14:46:53 DROP UDP 192.168.XXX.XXX 209.249.XXX.XXX
137 137 78 - - - - - - -
2001-09-17 14:47:32 CLOSE TCP 61.208.XXX.XXX 61.200.XXX.XXX
3695 1723 - - - - - - - -
2001-09-17 14:47:32 CLOSE UDP 61.208.XXX.XXX 211.130.XXX.XXX
3011 53 - - - - - - - -
2001-09-17 14:47:32 CLOSE UDP 61.208.XXX.XXX 202.234.XXX.XXX
3011 53 - - - - - - - -
2001-09-17 14:47:45 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX
3729 80 - - - - - - - -
2001-09-17 14:47:49 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX
3730 80 - - - - - - - -
2001-09-17 14:47:49 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX
3731 80 - - - - - - - -
2001-09-17 14:47:49 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX
3732 80 - - - - - - - -
2001-09-17 14:47:49 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX
3733 80 - - - - - - - -
2001-09-17 14:48:32 CLOSE TCP 61.208.XXX.XXX 209.249.XXX.XXX
3729 80 - - - - - - - -
2001-09-17 14:48:32 CLOSE TCP 61.208.XXX.XXX 209.249.XXX.XXX
3730 80 - - - - - - - -
2001-09-17 14:48:32 CLOSE TCP 61.208.XXX.XXX 209.249.XXX.XXX
3731 80 - - - - - - - -
2001-09-17 14:48:32 CLOSE TCP 61.208.XXX.XXX 209.249.XXX.XXX
3733 80 - - - - - - - -
2001-09-17 14:49:32 CLOSE UDP 61.208.XXX.XXX 210.163.XXX.XXX
137 137 - - - - - - - -
2001-09-17 14:50:05 DROP TCP 61.217.XXX.XXX 61.208.XXX.XXX 4044
80 48 S 1061210703 0 16384 - - -
2001-09-17 14:50:09 DROP TCP 61.217.XXX.XXX 61.208.XXX.XXX 4044
80 48 S 1061210703 0 16384 - - -
(以下省略) |
|
全リストを表示するには [こちら]をクリック |
ログに記録されている各項目の意味は次の通りである。
記録される項目 |
意味 |
date、time |
時刻情報 |
action |
動作――OPEN/CLOSE(通信の開始と終了)、DROP(パケットのブロック)、INFO-EVENTS-LOST(その他の情報) |
protocol |
プロトコル――TCP、UDP、ICMP |
src-ip、dst-ip |
送信元/送信先IPアドレス |
src-port、dst-port |
送信元/送信先ポート番号 |
size |
パケットのデータ・サイズ |
tcpflags |
TCPパケットのフラグ――Ack、Fin、Push、Reset、Syn、Urg |
tcpsyn、tcpack |
TCPパケットのシーケンス番号 |
tcpwin |
TCPパケットのウィンドウ・サイズ |
icmptype、icmpcode |
ICMPのタイプとコード |
info |
付加情報 |
ICMPプロトコルのフィルタリング
Windows XPのファイアウォール機能では、個々のICMPプロトコルについても通過させるかどうかを制御することができる。ICMPプロトコルは、例えばpingコマンドなどで使われるプロトコルであるが(正確には、pingでは「ICMP Echo」と「ICMP Echo Reply」を使っている)、ネットワーク管理者でなければあまり用がないかもしれない。
 |
ICMPプロトコルのフィルタリング |
Windows XPのファイアウォール機能では、個々のICMPプロトコルについても通過させるか、それともブロックさせるかを制御することができる。だが一般的には、pingコマンドに対して応答を返すかどうかを制御するぐらいであろう。 |
|
 |
ICMPの中にはさらにいくつかのコマンドがあり、そのそれぞれのコマンドを通過させるか、それともブロックさせるかを制御することができる。 |
|
 |
これをオンにすると、外部(インターネット側)からのpingに応答するようになるが、オフにすると応答しなくなる。セキュリティ的には、特別な理由がない限りpingに対して応答しなくてもよいと考えられるが、トラブルシューティング時などはpingに応答してくれた方が便利である。 |
|
Windows Server Insider フォーラム 新着記事
Windows Server Insider 記事ランキング
本日
月間