「同じ自宅サーバー作ろうよ」計画! Ver3.x
HOMEへ
■Windowsの知られざる危険性 日経ネットワークセキュリティより
Windowsでインターネット接続する上で知っておくべき危険性を書きます。
元々Windowsは内向け(LAN環境)を前提に作られています。
インターネットが常識の時代に最新のXPでさえ内向けの仕様です。
なぜ内向けが危険なのか?
それはネットワークへの接続をほぼ未設定でも接続できるように表に見えないプログラム(サービスと言います)が沢山動いているんです。
例えば会社のパソコンを思い出してください。
ディスクトップのネットワークを展開すると社内のネットワークにつながったパソコンが見れますよね。
あるパソコンをクリックすると、共有フォルダにアクセスできたり…便利ですよね。
Windowsは標準の仕様として、これらの(覗かれる)機能を裏で動かしているんです。
逆に言うと、標準のままインターネットに接続したりサーバーとして公開するのは「どうぞ私の秘密を覗いてくださいな」って
言ってる様なものなんです。
知らないうちに貴方のパソコンを覗かれていたらどうですか?しかもインターネット上の見知らぬ悪い連中に…
■ ポートの話
各サービスは勝手に起動しています。
サービスは他人が入れるようにそのサービス専用の門を開けています。
この門をポートと言います。
例えば「ファイルの共有」サービスが起動していたらポート139番が開いています。
悪い奴らが139番を通じて「ゴッソリ秘密をいただき!」って具合になります。
取られるだけなら、良い方です。
ウィルスなど送込まれ気づかないままウイルス発信源になっていたらアウトですね。
□ Windowsがオープンしている代表的なポート
サーバー系
| ポート |
NT4.0(IISなし) |
NT4.0(IISあり) |
2000SERVER |
.NET SERVER |
| 21/tcp(ftp) |
|
○ |
|
|
| 25/tcp(smtp) |
|
|
○ |
|
| 70/tcp(gopher) |
|
○ |
|
|
| 80/tcp(http) |
|
○ |
○ |
|
| 123/udp(ntp) |
|
|
|
○ |
| 135/tcp(rpc) |
○ |
○ |
○ |
○ |
| 135/udp(rpc) |
○ |
○ |
○ |
|
| 137/udp(netbios名前解決) |
○ |
○ |
○ |
○ |
| 138/udp(netbiosブラウジング) |
○ |
○ |
○ |
○ |
| 139/tcp(ファイル/プリンタ共有) |
○ |
○ |
○ |
○ |
| 443/tcp(https) |
|
|
○ |
|
| 445/tcp(ファイル/プリンタ共有) |
|
|
○ |
○ |
| 445/udp(ファイル/プリンタ共有) |
|
|
○ |
○ |
| 500/udp(IPsecの鍵交換) |
|
|
○ |
○ |
クライアント系
| ポート |
98 |
Me |
2000Professional |
XP Professional |
| 123/udp(ntp) |
|
|
|
○ |
| 135/tcp(rpc) |
|
|
○ |
○ |
| 135/udp(rpc) |
|
|
○ |
○ |
| 137/udp(netbios名前解決) |
○ |
○ |
○ |
○ |
| 138/udp(netbiosブラウジング) |
○ |
○ |
○ |
○ |
| 139/tcp(ファイル/プリンタ共有) |
○ |
○ |
|
○ |
| 445/tcp(ファイル/プリンタ共有) |
|
|
○ |
○ |
| 445/udp(ファイル/プリンタ共有) |
|
|
○ |
○ |
| 500/udp(IPsecの鍵交換) |
|
|
○ |
○ |
■ サーバーとして閉じるポートと方法(OSにより出来ない場合がある)
| ポート |
対策 |
| 135 |
DCOMを無効*1 |
リモートからのログオンを拒否*2 |
| 137 |
NetBIOSサービスを停止*3 |
NetBEUIプロトコルを使わない*4 |
| 138 |
NetBIOSサービスを停止*3 |
|
| 139 |
NetBIOSサービスを停止*3 |
|
| 445 |
*5 |
|
*1
NT系のみ対応。
コマンドプロンプトに「 dcomcnfg.exe 」と入力。
規定のプロパティ−「このコンピュータ上で分散COMを有効にする」を外す。
*2
NT系のみ対応。
「コントロールパネル」−「管理ツール」−「ローカルセキュリティポリシー」−「ネットワーク経由でコンピュータにアクセスを拒否する」 で
アクセスを拒否する相手を指定する。すべてのアクセスを拒否したい場合は「Everyone」と指定。
*3
NetBIOS over TCP/IPを無効にする。LMHOSTSも使わない方が良いとされている。
*4
NetBEUIは使わない方が良い。
★インターネットはTCP/IPでの通信ですからNetBEUIによる侵入はないと考えます。が、特にLAN内での共有が不要又はFTPでのファイルのやり取りをお考えなら不安定(不安)要因は使わない方が良いと思います。
*5
この設定をするとサーバーからネットへのアクセスは出来なくなります。したがってOSや各種ソフトのアップデートなどはサーバー機から出来なくなります。
メールの送受信はもちろん、Dice等からのIP更新もできませんので動的IP(DDNS)利用の場合注意(Pingは出せるようです)。ですから、この設定は固定IPでかつサーバー用途Onlyの場合に設定して下さい。
★動的IPの場合はルーターの設定でポート445を隠す(閉める)ようにして下さい。
NT系のみ対応。
「コントロールパネル」−「システム」−「ハードウェア」−「デバイスマネージャ」 で「表示メニュー」-「非表示のデバイスの表示」をチェック。
「プラグアンドプレイでないドライバ」が現れるので選択。
「NetBios over Tcpip」を選択。
スターアップの種類を「無効」にする。
その他
ネットワーククライアントとファイルとプリンタ共有のチェックを外す。
HOMEへ