■Windows 2000でTCP/IPフィルタリングを設定する方法
Blasterワームに代表されるWindowsの脆弱性を悪用して感染を広げるタイプのワームは、特定のUDPポートやTCPポートを使って攻撃対象のコンピュータに攻撃をしかけます。これは、特定のポートを利用するRPC
DCOMやWorkstation Serviceに脆弱性が存在するためです。また、特定のポートで待機するリモートシェルやバックドアを作成し、これを踏み台にしたDDoS攻撃を仕掛けるような仕組みを持つものもあります。
こうした攻撃を回避するには、修正プログラムを適用するのはもちろんのこと、ファイアウォールを用いて利用していないポートを閉じることも重要です。利用していないポートを閉じることで、明らかになっていない脆弱性を悪用した攻撃も回避できる可能性があります。しかし、社内LANとインターネットの接点に置かれたファイアウォールでいくらポートを閉じても、社内に持ち込まれたワームからの攻撃を回避することはできません。
Windows XPでは標準でインターネット接続ファイアウォールが付属するため、この機能を有効にすることで、社内におけるワームの攻撃でも回避することが可能です。しかしWindows
2000には、インターネット接続ファイアウォールが付属していません。Windows 2000の場合は、TCP/IPフィルタリング機能を使って、特定のポートに対する外部からのアクセスを制御するとよいでしょう。TCP/IPフィルタリングを設定するには、以下の手順で行います。
- [コントロール パネル]の[ネットワークとダイヤルアップ接続]をダブルクリックします。または[マイ ネットワーク]を右クリックし、[プロパティ]を選択します。
- [ネットワークとダイヤルアップ接続]ダイアログで、受信アクセス制御を設定するインターフェイスを右クリックし、メニューから[プロパティ]を選択します。
- [チェック マークがオンになっているコンポーネントがこの接続で使用されています]から[インターネット プロトコル (TCP/IP)]を選択し、[プロパティ]ボタンをクリックします。
- [インターネット プロトコル (TCP/IP) のプロパティ]ダイアログの[詳細設定]ボタンをクリックします。
- [TCP/IP 詳細設定]ダイアログの[オプション]タブをクリックします。
- [TCP/IP フィルタリング]をクリックし、[プロパティ]ボタンをクリックします。
- [TCP/IP フィルタリング]ダイアログで[TCP/IP フィルタリングを有効にする (すべてのアダプタ)]をオンにします。このチェック・ボックスをオンにすると、すべてのアダプタのフィルタリングが有効になります、ただし、フィルタの構成はアダプタごとに行います。すべてのアダプタに設定が反映されるわけではないので注意が必要です。
- [TCP/IP フィルタリング]ダイアログの[TCP ポート][UDP ポート][IP プロトコル]の各列で、[一部を許可する]を選択します。[すべてを許可する]を選択した場合、TCPまたはUDPトラフィックのパケットすべてを許可します。
- [追加]ボタンをクリックします。
- [フィルタの追加]ダイアログで通過させたいポート番号を入力します。すべてのUDPまたはTCPトラフィックを許可しない場合は、ここでポート番号を追加しないようにします。
- 通過させたい(着信したい)ポート番号の分だけ、9と10の作業を繰り返します。
- すべてのダイアログ・ボックスを[OK]ボタンで閉じます。
サービスによっては、複数のUDP/TCPポートを利用しているものがあるので、それぞれポート番号を指定してフィルタリングを通過するように設定してください。また、ポートをブロックすることで不具合が発生するアプリケーションもあるため、設定は慎重に行うようにしてください。なお、BlasterワームならびにWorkstation
Serviceは、UDPポート138/139/445番とTCPポート135/138/139/445/4444番をブロックすることで脆弱性を回避できます。ただし、UDPポートをブロックすると、DNSによる名前解決が正しく機能しなくなってしまいます(DNSの戻りパケットのポート番号が変化するため)。ここで紹介した方法では、特定のポートの外部からのアクセスをブロックするという指定ができません(通過させるポートを指定する必要があるため)。そのため、実用上はUDPポートのブロックはあきらめ、TCPポートとIP
プロトコルのみをブロックすることになります。
主なポートの利用状況は、マイクロソフトの「サポート技術情報:289892(インターネット プロトコル番号)」と「IANAの主なポート番号一覧(PORT
NUMBERS)」を参照してください。
・サポート技術情報 289892(インターネット プロトコル番号):
http://support.microsoft.com/default.aspx?scid=kb;ja;289892
・IANAの主なポート番号一覧(PORT NUMBERS):
http://www.iana.org/assignments/port-numbers
|