・「ファイルとプリンタの共有の例外を許可する」
ポートスキャンにて確認したところ、139/445番ポートの開閉について制御している。これもポートの開閉をコントロールするのではなく、IPアドレスによる制御が行える。ファイル、プリンタサーバ機能を提供する場合は必要である。社内ネットワークでは必要なケースが多いと思われるが、社外ネットワーク、インターネットに直接接続する場合、このポートは閉じる必要がある。
・「ICMPの例外を許可する」
ICMPにはさまざまなタイプが存在するが、Pingの応答に応えるため、タイプ8である「着信エコー要求を許可する」を設定するだけでよいだろう。社外ネットワークのPCでは、ICMPは受け入れないほうが適切だ。社内ネットワークでは、管理上必要なケースが多い。
・「リモートディスクトップの例外を許可する」
リモートディスクトップは、他のPCから操作対象のPCをネットワーク経由でGUIにてログイン出来る機能である。社外ネットワークに接続するPCでは必要性は感じられない。社内ネットワークでは、ユーザーサポートを行う場合必要な場合もあるが、基本的には必要ないだろう。
・「UPnPフレームワークの例外を許可する」
UPnPは、プラグアンドプレイのネットワーク版である。LAN上に接続された機器は、接続されたことやその機能をマルチキャストで通知、機器からほかの機器へコントロールする。コントロールするためのメッセージは、基本的にXMLベースでやり取りされている。
UPnPアプリケーションには、Windows Messenger/MSN MessengerなどのIMが挙げられる。社内ネットワークにおいては、このIMを使用しなければ、停止しても特に障害は出ないだろう。
・「通知を禁止する」
インターネットからコネクションを張られ、かつWindowsファイアウォールの例外タブの中に登録されていないプログラムの場合、「プログラムをブロックする」「ブロックを解除する」「後で確認する」といったポップアップ画面がでる(画面20)。
「通知を禁止する」は、このポップアップ画面を出さない設定である。ポップアップ画面がでてしまうと、知識のないユーザーが「ブロックを解除する」をクリックしてしまい、インターネットからプログラムを通してコンピュータにアクセスされることになる。
・「マルチキャストまたはブロードキャスト要求に対するユニキャスト応答を禁止する」
あるネットワーク内で稼働しているホストを調べるため、ブロードキャストPingを行うことがある。この管理用のブロードキャストPingを悪用した攻撃は、Smurf攻撃と呼ばれている。
この攻撃は、ブロードキャストPingのパケットを送信する際、Ping応答の帰ってくる先を標的となるマシンのIPに偽装させる。その結果、すべてのマシンが偽装されたIPアドレスに対してPing応答パケットを送信してしまう。そうすると、偽装されたIPアドレスのマシンは過重負荷がかかることになる。これはICMPであるが、同様なことがUDPでも可能である。UDPでの攻撃はfraggle攻撃といわれる。
これらの攻撃に対してこの設定が有効であり、結果としてネットワーク障害が起きにくい環境となる。この設定がされたコンピュータが、他のコンピュータへマルチキャスト/ブロードキャストメッセージを要求した後、他のコンピュータからのユニキャストレスポンスを3秒の間待つ。その後は、ユニキャストレスポンスを受け取らないようになる。ただ、DHCPに付いて仕様上、制御していないようである。
以上が利用頻度の高いと思われる各項目の説明である。実際に社内システムに適用するに当たり、最後に筆者が推奨するWindowsファイアウォールの値を参考までに示した。
Windowsファイルサーバ、社内WEBサーバ、sendmailサーバがあるような一般的な企業の環境を想定している。
ドメインプロファイル | 標準プロファイル | |
---|---|---|
ネットワーク接続をすべて保護する | 有効 | 有効 |
例外を許可しない | 未構成 | 未構成 |
プログラムの例外を定義する | 未構成 | 無効 |
ローカルプログラムの例外を許可する | 未構成 | 未構成 |
リモート管理の例外を許可する | 有効(管理側のIPを入力) | 無効 |
ファイルとプリンタの共有の例外を許可する | 有効 | 無効 |
ICMPの例外を許可する | 有効(エコー要求の着信を許可する) | 無効 |
リモートディスクトップの例外を許可する | 無効 | 無効 |
UPnPフレームワークの例外を許可する | 無効 | 無効 |
通知を禁止する | 有効 | 無効 |
ログの記録を許可する | 未構成 | 未構成 |
マルチキャストまたはブロードキャスト要求に対するユニキャスト応答を禁止する | 無効 | 有効 |
ポートの例外を定義する | 未構成 | 未構成 |
ローカルポートの例外を許可する | 未構成 | 無効 |
Copyright © ITmedia, Inc. All Rights Reserved.