フィルタリングで遮断すべきポート番号

ここでは、ファイアウォールのフィルタリングで遮断すべき危険なポートとその理由を説明して行きます。

　攻撃を仕掛ける場合の代表的な手法にIPアドレスの偽装（IPスプーフィング）があります。また、ウイルスに感染したり、踏み台として利用される場合や、DoS攻撃、DDoS攻撃などを行う際に、送信元が特定されないようにするためにも利用されます。

　その際、よく偽装されるIPアドレスが、プライベートIPアドレスです。この。プライベートアドレスは、LANなどのプライベートで閉じたネットワークでしか利用されることがないアドレスです。

　このプライベートIPアドレスが書き込まれているパケットがインターネット上を流れることはありません。一般的には、プライベートIPアドレスが指定されたパケットを遮断するようにフィルタリングを定義します。

　ICMPを利用したPingコマンドに応答しないようにICMPパケットを遮断することで、内部のコンピュータやネットワーク機器の存在を外部（インターネット）から隠蔽することができます。

　つまり、外部から見た場合、Pingコマンドの応答がないので、コンピュータやネットワーク機器の存在の確認ができなくなるため、セキュリティが高まります。

　フィルタリングの設定で、ICMPパケットを全て遮断してしまうという手法もありますが、使い勝手がよいとはいえないケースもあります。それは、運用保守の観点から、ファイアウォールの内側からPingを利用したいケースがあるからです。

　その際は、ICMPメッセージのうち、ファイアウォールの内側から外側に出てゆくICMPエコー要求（タイプ8）を許可し、ファイアウォールの外側から内側に入ってくるICMPエコー応答（タイプ0）許可するようにフィルタリングの設定を行います。

　ただし、ルータによっては、ICMPがデフォルトで遮断される設定がなされている製品もあります。その際は、カスタマイズする必要があります。

　Telnetを無制限に許可していると、内部のコンピュータやネットワーク機器が悪意のある者に乗っ取られてしまうリスクが高くなります。

　乗っ取られてしまうと攻撃者の思うがままに設定を変更されてしまいます。そうなると、情報を盗まれたり、踏み台とされて、他のサイトへ攻撃を仕掛けたりと迷惑行為を助長することとなります。そのため、必要のないTelnet接続を遮断する設定を行う必要があります。

　また、Telnet以外にも遠隔操作を行うことができるアプリケーションの存在も忘れてはなりません。SymantecのpcAnywhereなど、遠隔地のコンピュータをリモートコントロールできるアプリケーションを利用する際には、注意が必要です。

　Windowsが利用するTCP/UDPの135,137,138,139,445番のポートは、ファイヤウォールで遮断するのが無難です。

　多くのユーザが利用するWindowsは、悪意のある攻撃者の格好の標的となります。ポート番号は数多くありますがその中でもよく狙われるポート番号があります。