WindowsXPの正体　実験／実証によって探るWindows XPの真実の姿　常時接続でも安心のファイアウォール機能　3．外部からの不正アクセスを検出可能にするファイアウォールのログ

Windows 2000 Insider／PC Insider合同特別企画

Windows XPの正体
実験／実証によって探るWindows XPの真実の姿

常時接続でも安心のファイアウォール機能

3．外部からの不正アクセスを検出可能にするファイアウォールのログ

デジタルアドバンテージ
2001/09/20

　Windows XPのファイアウォール機能では、ブロックした通信や、通過させた通信について、ログを残しておくことができる。これにより、外部から不正なアタックなどを受けていないかどうかなどを確認することができる。デフォルトではこのログ機能はオフになっているが、最初のうちは、正しくブロックできているかどうかを確認するためにもログを残すようにしておいたほうがよいだろう。

　ログでは、ファイアウォールのルールが適用されてブロックされた場合と、通信が正常の行われた場合のログを記録することができる。

ログの記録設定

ログを残すかどうかを設定するにはこのダイアログを使う。デフォルトではフィルタ結果のログはいっさい残らないようになっているが、最初のうちは正しく動作しているかどうかを確認するためにも、ログを残すべきだろう。

		ログ設定タプを使って、ログのサイズなどを設定する。
		インターネット側からのXPマシンへアクセスのうち、ファイアウォールでブロックされて、通過できなかったパケットのログを記録する。
		内部ネットワークから外部（インターネット）、もしくは外部から内部への通信など、ブロックされずに正常に行われた通信のログを記録する。
		ログファイルのパス名。
		ログファイルのサイズ。起動時にこのサイズ超えていると、新しくログファイルが作成され、古いログファイルは名前が変更されて保存される。ただし保存は1つ前までしかないので、さらに古いログファイルが必要ならば、自分で保存などをしておく必要がある。

　ログファイルには、通信の行われた時間や通信元と通信先のIPアドレス、使用したプロトコルなどの情報がすべて記録される。TCPのフラグの状態なども詳しく記録されているので、連続したポートへのオープン要求が、例えば悪意のあるポート・スキャンかどうかを判断することなども可能だろう。

　以下に記録されたログ・ファイルの例を示す。「DROP」となっているのがパケット・フィルタによってブロック（阻止）された通信である。外部からの不正なポート・アクセスだけでなく、ポート137番を使ったLAN内部からのブロードキャスト（自分のマシン名やワークグループ名などのブロードキャスト）もブロックしているのが分かるだろう。外部からの不正な侵入だけでなく、自マシンの情報が外部へ漏れるのも防いでいる。

　「OPEN」と「CLOSE」はそれぞれ通信の始まりと終わりを示している。例えばメールやWebアクセスでTCP接続を行う場合に、その最初と最後でこれらの情報が記録されている。

#Verson: 1.0

                  #Software: Microsoft Internet Connection Firewall

                  #Time Format: Local

                  #Fields: date time action protocol src-ip dst-ip src-port dst-port 
                  size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info

                  

                  2001-09-17 14:46:50 DROP UDP 192.168.XXX.XXX 209.249.XXX.XXX 
                  137 137 78 - - - - - - -

                  2001-09-17 14:46:51 DROP UDP 192.168.XXX.XXX 209.249.XXX.XXX 
                  137 137 78 - - - - - - -

                  2001-09-17 14:46:53 DROP UDP 192.168.XXX.XXX 209.249.XXX.XXX 
                  137 137 78 - - - - - - -

                  2001-09-17 14:47:32 CLOSE TCP 61.208.XXX.XXX 61.200.XXX.XXX 
                  3695 1723 - - - - - - - -

                  2001-09-17 14:47:32 CLOSE UDP 61.208.XXX.XXX 211.130.XXX.XXX 
                  3011 53 - - - - - - - -

                  2001-09-17 14:47:32 CLOSE UDP 61.208.XXX.XXX 202.234.XXX.XXX 
                  3011 53 - - - - - - - -

                  2001-09-17 14:47:45 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX 
                  3729 80 - - - - - - - -

                  2001-09-17 14:47:49 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX 
                  3730 80 - - - - - - - -

                  2001-09-17 14:47:49 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX 
                  3731 80 - - - - - - - -

                  2001-09-17 14:47:49 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX 
                  3732 80 - - - - - - - -

                  2001-09-17 14:47:49 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX 
                  3733 80 - - - - - - - -

                  2001-09-17 14:48:32 CLOSE TCP 61.208.XXX.XXX 209.249.XXX.XXX 
                  3729 80 - - - - - - - -

                  2001-09-17 14:48:32 CLOSE TCP 61.208.XXX.XXX 209.249.XXX.XXX 
                  3730 80 - - - - - - - -

                  2001-09-17 14:48:32 CLOSE TCP 61.208.XXX.XXX 209.249.XXX.XXX 
                  3731 80 - - - - - - - -

                  2001-09-17 14:48:32 CLOSE TCP 61.208.XXX.XXX 209.249.XXX.XXX 
                  3733 80 - - - - - - - -

                  2001-09-17 14:49:32 CLOSE UDP 61.208.XXX.XXX 210.163.XXX.XXX 
                  137 137 - - - - - - - -

                  2001-09-17 14:50:05 DROP TCP 61.217.XXX.XXX 61.208.XXX.XXX 4044 
                  80 48 S 1061210703 0 16384 - - -

                  2001-09-17 14:50:09 DROP TCP 61.217.XXX.XXX 61.208.XXX.XXX 4044 
                  80 48 S 1061210703 0 16384 - - -

                  （以下省略）

全リストを表示するには [こちら]をクリック

　ログに記録されている各項目の意味は次の通りである。

記録される項目	意味
date、time	時刻情報
action	動作――OPEN／CLOSE（通信の開始と終了）、DROP（パケットのブロック）、INFO-EVENTS-LOST（その他の情報）
protocol	プロトコル――TCP、UDP、ICMP
src-ip、dst-ip	送信元／送信先IPアドレス
src-port、dst-port	送信元／送信先ポート番号
size	パケットのデータ・サイズ
tcpflags	TCPパケットのフラグ――Ack、Fin、Push、Reset、Syn、Urg
tcpsyn、tcpack	TCPパケットのシーケンス番号
tcpwin	TCPパケットのウィンドウ・サイズ
icmptype、icmpcode	ICMPのタイプとコード
info	付加情報

ICMPプロトコルのフィルタリング

　Windows XPのファイアウォール機能では、個々のICMPプロトコルについても通過させるかどうかを制御することができる。ICMPプロトコルは、例えばpingコマンドなどで使われるプロトコルであるが（正確には、pingでは「ICMP Echo」と「ICMP Echo Reply」を使っている）、ネットワーク管理者でなければあまり用がないかもしれない。

ICMPプロトコルのフィルタリング

Windows XPのファイアウォール機能では、個々のICMPプロトコルについても通過させるか、それともブロックさせるかを制御することができる。だが一般的には、pingコマンドに対して応答を返すかどうかを制御するぐらいであろう。

		ICMPの中にはさらにいくつかのコマンドがあり、そのそれぞれのコマンドを通過させるか、それともブロックさせるかを制御することができる。
		これをオンにすると、外部（インターネット側）からのpingに応答するようになるが、オフにすると応答しなくなる。セキュリティ的には、特別な理由がない限りpingに対して応答しなくてもよいと考えられるが、トラブルシューティング時などはpingに応答してくれた方が便利である。

INDEX
	［Windows XPの正体］実験／実証によって探るWindows XPの真実の姿
	常時接続でも安心のファイアウォール機能
	1．ファイアウォール機能を有効にする
	2．サービスの公開
	3．外部からの不正アクセスを検出可能にするファイアウォールのログ

　「Windows XPの正体」

Windows Server Insider フォーラム新着記事

Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる （2017/7/27）
　AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう
Azure Storage ExplorerでStorageを手軽に操作する （2017/7/24）
　エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう
Win 10でキーボード配列が誤認識された場合の対処 （2017/7/21）
　キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう
Azure Web AppsでWordPressをインストールしてみる （2017/7/20）
　これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた！まずはWordPressをインストールしてみる