トップページ サービスの概要 セキュリティ情報 購読の申し込み
HotFix Report
/セキュリティTIPS/

■Windows 2000でTCP/IPフィルタリングを設定する方法
 Blasterワームに代表されるWindowsの脆弱性を悪用して感染を広げるタイプのワームは、特定のUDPポートやTCPポートを使って攻撃対象のコンピュータに攻撃をしかけます。これは、特定のポートを利用するRPC DCOMやWorkstation Serviceに脆弱性が存在するためです。また、特定のポートで待機するリモートシェルやバックドアを作成し、これを踏み台にしたDDoS攻撃を仕掛けるような仕組みを持つものもあります。

 こうした攻撃を回避するには、修正プログラムを適用するのはもちろんのこと、ファイアウォールを用いて利用していないポートを閉じることも重要です。利用していないポートを閉じることで、明らかになっていない脆弱性を悪用した攻撃も回避できる可能性があります。しかし、社内LANとインターネットの接点に置かれたファイアウォールでいくらポートを閉じても、社内に持ち込まれたワームからの攻撃を回避することはできません。

 Windows XPでは標準でインターネット接続ファイアウォールが付属するため、この機能を有効にすることで、社内におけるワームの攻撃でも回避することが可能です。しかしWindows 2000には、インターネット接続ファイアウォールが付属していません。Windows 2000の場合は、TCP/IPフィルタリング機能を使って、特定のポートに対する外部からのアクセスを制御するとよいでしょう。TCP/IPフィルタリングを設定するには、以下の手順で行います。

  1. [コントロール パネル]の[ネットワークとダイヤルアップ接続]をダブルクリックします。または[マイ ネットワーク]を右クリックし、[プロパティ]を選択します。
  2. [ネットワークとダイヤルアップ接続]ダイアログで、受信アクセス制御を設定するインターフェイスを右クリックし、メニューから[プロパティ]を選択します。
  3. [チェック マークがオンになっているコンポーネントがこの接続で使用されています]から[インターネット プロトコル (TCP/IP)]を選択し、[プロパティ]ボタンをクリックします。
  4. [インターネット プロトコル (TCP/IP) のプロパティ]ダイアログの[詳細設定]ボタンをクリックします。
  5. [TCP/IP 詳細設定]ダイアログの[オプション]タブをクリックします。
  6. [TCP/IP フィルタリング]をクリックし、[プロパティ]ボタンをクリックします。
  7. [TCP/IP フィルタリング]ダイアログで[TCP/IP フィルタリングを有効にする (すべてのアダプタ)]をオンにします。このチェック・ボックスをオンにすると、すべてのアダプタのフィルタリングが有効になります、ただし、フィルタの構成はアダプタごとに行います。すべてのアダプタに設定が反映されるわけではないので注意が必要です。
  8. [TCP/IP フィルタリング]ダイアログの[TCP ポート][UDP ポート][IP プロトコル]の各列で、[一部を許可する]を選択します。[すべてを許可する]を選択した場合、TCPまたはUDPトラフィックのパケットすべてを許可します。
  9. [追加]ボタンをクリックします。
  10. [フィルタの追加]ダイアログで通過させたいポート番号を入力します。すべてのUDPまたはTCPトラフィックを許可しない場合は、ここでポート番号を追加しないようにします。
  11. 通過させたい(着信したい)ポート番号の分だけ、9と10の作業を繰り返します。
  12. すべてのダイアログ・ボックスを[OK]ボタンで閉じます。

 サービスによっては、複数のUDP/TCPポートを利用しているものがあるので、それぞれポート番号を指定してフィルタリングを通過するように設定してください。また、ポートをブロックすることで不具合が発生するアプリケーションもあるため、設定は慎重に行うようにしてください。なお、BlasterワームならびにWorkstation Serviceは、UDPポート138/139/445番とTCPポート135/138/139/445/4444番をブロックすることで脆弱性を回避できます。ただし、UDPポートをブロックすると、DNSによる名前解決が正しく機能しなくなってしまいます(DNSの戻りパケットのポート番号が変化するため)。ここで紹介した方法では、特定のポートの外部からのアクセスをブロックするという指定ができません(通過させるポートを指定する必要があるため)。そのため、実用上はUDPポートのブロックはあきらめ、TCPポートとIP プロトコルのみをブロックすることになります。

 主なポートの利用状況は、マイクロソフトの「サポート技術情報:289892(インターネット プロトコル番号)」と「IANAの主なポート番号一覧(PORT NUMBERS)」を参照してください。

・サポート技術情報 289892(インターネット プロトコル番号):
http://support.microsoft.com/default.aspx?scid=kb;ja;289892

・IANAの主なポート番号一覧(PORT NUMBERS):
http://www.iana.org/assignments/port-numbers

 
 
Copyright (C) Digital Advantage Corp.
無断で複製・再配信などを行うことはできません。
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。