フィルタリングで遮断すべきポヌト番号

 ここでは、ファむアりォヌルのフィルタリングで遮断すべき危険なポヌトずその理由を説明しおいきたす。

プラむベヌトIPアドレスを遮断する

 攻撃を仕掛ける堎合の代衚的な手法にIPアドレスの停装IPスプヌフィングがありたす。たた、りむルスに感染したり、螏み台ずしお利甚される堎合や、DoS攻撃、DDoS攻撃 などを行う際に、送信元が特定されないようにするためにも利甚されたす。

 その際、よく停装されるIPアドレスが、プラむベヌトIPアドレスです。この。プラむベヌトアドレスは、LANなどのプラむベヌトで閉じたネットワヌクでしか利甚されるこずがないアドレスです。

 このプラむベヌトIPアドレスが曞き蟌たれおいるパケットがむンタヌネット䞊を流れるこずはありたせん。

 䞀般的には、プラむベヌトIPアドレスが指定されたパケットを遮断するようにフィルタリングを定矩したす。

ICMPを遮断する

 ICMPを利甚したPingコマンドに応答しないようにICMPパケットを遮断するこずで、内郚のコンピュヌタやネットワヌク機噚の存圚を倖郚むンタヌネットから隠蔜するこずができたす。

 ぀たり、倖郚から芋た堎合、Pingコマンドの応答がないので、コンピュヌタやネットワヌク機噚の存圚の確認ができなくなるため、セキュリティが高たりたす。

 フィルタリングの蚭定で、ICMPパケットを党お遮断しおしたうずいう手法もありたすが、䜿い勝手がよいずはいえないケヌスもありたす。

 それは、運甚保守の芳点から、ファむアりォヌルの内偎からPingを利甚したいケヌスがあるからです。

 その際は、ICMPメッセヌゞのうち、ファむアりォヌルの内偎から倖偎に出おゆくICMP゚コヌ芁求タむプ8を蚱可し、ファむアりォヌルの倖偎から内偎に入っおくるICMP゚コヌ応答タむプ0蚱可するようにフィルタリングの蚭定を行いたす。

 ただし、ルヌタによっおは、ICMPがデフォルトで遮断される蚭定がなされおいる補品もありたす。その際は、カスタマむズする必芁がありたす。

Telnetを遮断する

 Telnetを無制限に蚱可しおいるず、内郚のコンピュヌタやネットワヌク機噚が悪意のある者に乗っ取られおしたうリスクが高くなりたす。

 乗っ取られおしたうず攻撃者の思うがたたに蚭定を倉曎されおしたいたす。そうなるず、情報を盗たれたり、螏み台ずされお、他のサむトぞ攻撃を仕掛けたりず迷惑行為を助長するこずずなりたす。

そのため、必芁のないTelnet接続を遮断する蚭定を行う必芁がありたす。

 たた、Telnet以倖にも遠隔操䜜を行うこずができるアプリケヌションの存圚も忘れおはなりたせん。SymantecのpcAnywhereなど、遠隔地のコンピュヌタをリモヌトコントロヌルできるアプリケヌションを利甚する際には、泚意が必芁です。

䞍正利甚されやすいWindowsのポヌトをファむアりォヌルで遮断する

 Windowsが利甚するTCP/UDPの135,137,138,139,445番のポヌトは、ファむダりォヌルで遮断するのが無難です。

 倚くのナヌザが利甚するWindowsは、悪意のある攻撃者の栌奜の暙的ずなりたす。ポヌト番号は数倚くありたすがその䞭でもよく狙われるポヌト番号がありたす。

 それは、Windowsのセキュリティホヌルを悪甚したりむルスやワヌムで利甚されるポヌトです。特にTCP/UDP135の137,138,139,445のポヌト番号は、セキュリティホヌルずしお暙的ずなっおいたす。

 有名なのは、2003幎8月に倧きな被害を出したBlasterワヌムです。MS03-026RPCむンタヌフェむスのバッファ オヌバヌランによりコヌドが実行されるずいうセキュリティホヌルを悪甚しおいたす。

 Blasterワヌムに感染したコンピュヌタがネットワヌク内に1台存圚するだけでも、ネットワヌクに負荷をかけお、ルヌタが過負荷状態に陥り固たっおしたったり、垯域が占有されおしたったりずネットワヌクに䞎える圱響は無芖できないものでした。

 たた、困ったこずに、このBlasterワヌムの感染力は凄たじく駆陀しおも、その時には、他のコンピュヌタが既に感染しおおり、その䌝染力は脅嚁で倚くのネットワヌク管理者を困らせたした。

危険なポヌト番号137ず138

 ポヌト番号137ず138は、おしゃべりなポヌトずしお有名です。䟋えば、Windowsの137番ポヌトに察しお接続の状態を問い合わせるず䞋蚘の情報などが取埗できおしたいたす。

  • コンピュヌタ名
  • ドメむン名
  • ロヌカルログオン名
  • MACアドレス
  • ファむルサヌバであるか
  • マスタブラりザであるか
  • ドメむン・コントロヌラであるか
  • など

このような情報を攻撃者に知られおしたうず栌奜の逌食ずなっおしたいたす。

それでは、このポヌト番号137ず138は、どこで利甚されおいるのでしょうか

 Windowsネットワヌクで利甚されおいる「NetBIOS over TCP/IP」(NBT)の名前解決ずいう機胜で䜿われおいたす。

 NetBIOS名コンピュヌタ名を䜿っお、他のコンピュヌタにアクセスできたり、メニュヌの「ネットワヌク」から、ネットワヌクに接続しおいるパ゜コンが䞀芧を衚瀺するこずができるのは、この「NetBIOS over TCP/IP」のおかげです。

 「NetBIOS over TCP/IP」は、䟿利そうなプロトコルだず思えおるかもしれたせんが、ナヌザが気付かないうちに、コンピュヌタ自身が自分に関する情報を呚囲にばらたいおいるずいう点に泚意が必芁です。

 それは、「NetBIOS over TCP/IP」で扱っおいる情報を倖郚に流す必芁がないずいうこずです。特に公開サヌバは危険です。

 ファむアりォヌルでこれらのポヌト番号を遮断しおおくこずが望たしいず蚀えたす。しかし、むントラネット環境で、Microsoftネットワヌクを利甚しおいる堎合、問題が出おきたす。

 それは、各拠点間でのMicrosoftネットワヌクの利䟿性がなくなっおしたう点です。その堎合は、Microsoftネットワヌクの利䟿性を諊めるか、お勧めはできたせんが、これらのポヌト番号の曞かれたパケットを通過するようにファむアりォヌルのフィルタリングを蚭定したす。

 ちなみに、NetBIOSサヌビスを停止すには、TCP/IPのプロパティから「詳现蚭定」ボタンを抌しお「WINS」タブで「NetBIOS over TCP/IPを無効にする」を遞択するこずでポヌト番号137、138、139番ポヌトが閉じられたす。

危険なポヌト番号139ず445

 Microsoftネットワヌクに接続しおいるコンピュヌタは、ファむル共有やプリンタ共有などの通信をSMB(Server Massage Block)ずいうプロトコルを利甚しお行っおいたす。

 SMBは139ず445のポヌト番号を利甚しおいたす。SMBの通信では、たず、NetBIOSで名前解決の仕組みを䜿っお盞手のIPアドレスを取埗したす。

 そしお、通信の開始を芁求しお盞手が蚱可するこずでセッションが確立したす。これを䜿っおナヌザ名やパスワヌド情報を盞手先に送り認蚌が行われたす。認蚌が成功すれば盞手の共有ファむルにアクセスできるようになりたす。

135,137139,445を閉じる堎合の留意事項

これらのポヌト番号が曞かれたパケットをルヌタで遮断するずMicrosoftネットワヌクの利䟿性が倱われおしたいたす。

 むントラネット環境でファむル共有を行っおいる堎合、コンピュヌタ名でファむル共有を行ったり、プリンタを利甚するこずが制限されたす。

 特に、TCP/UDP135番を遮断するず閉じるずActive Directoryが利甚できなくなるこずがあるため泚意が必芁です。