@network Cisco・アライド実機で学ぶ > YAHAMAルータ実機で学ぶ > フィルタリングで遮断すべきポート番号(その2)

 Amazon
@network Cisco・アライド実機で学ぶ
◆フィルタリングで遮断すべきポート番号(その2)

※動作確認は、YAMAHA RTX1000ルータで確認しています。コマンド、出力結果、動作は、機種、ファームウェアのバージョンで異なる場合があります。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。



◆フィルタリングで遮断すべきポート番号(その2)

 「フィルタリングで遮断すべきポート番号(その1)」に引き続き、ここでは、ファイアウォールのフィルタリングで遮断すべき危険なポートとその理由を説明してゆきます。


◆不正利用されやすいWindowsのポートをファイアウォールで遮断する

 Windowsが利用するTCP/UDPの135,137,138,139,445番のポートは、ファイヤウォールで遮断するのが無難です。

 多くのユーザが利用するWindowsは、悪意のある攻撃者の格好の標的となります。ポート番号は数多くありますがその中でもよく狙われるポート番号があります。

 それは、Windowsのセキュリティホールを悪用したウイルスやワームで利用されるポートです。特にTCP/UDP135の137,138,139,445のポート番号は、セキュリティホールとして標的となっています。

 有名なのは、2003年8月に大きな被害を出したBlasterワームです。MS03-026(RPCインターフェイスのバッファ オーバーランによりコードが実行される)というセキュリティホールを悪用しています。

 Blasterワームに感染したコンピュータがネットワーク内に1台存在するだけでも、ネットワークに負荷をかけて、ルータが過負荷状態に陥り固まってしまったり、帯域が占有されてしまったりとネットワークに与える影響は無視できないものでした。

 また、困ったことに、このBlasterワームの感染力は凄まじく駆除しても、その時には、他のコンピュータが既に感染しており、その伝染力は脅威で多くのネットワーク管理者を困らせました。


◆危険なポート番号137と138

 ポート番号137と138は、おしゃべりなポートとして有名です。例えば、Windowsの137番ポートに対して接続の状態を問い合わせると下記の情報などが取得できてしまいます。

・コンピュータ名
・ドメイン名
・ローカルログオン名
・MACアドレス
・ファイルサーバであるか
・マスタブラウザであるか
・ドメイン・コントローラであるか
など

このような情報を攻撃者に知られてしまうと格好の餌食となってしまいます。

それでは、このポート番号137と138は、どこで利用されているのでしょうか?

 Windowsネットワークで利用されている「NetBIOS over TCP/IP」(NBT)の名前解決という機能で使われています。

 NetBIOS名(コンピュータ名)を使って、他のコンピュータにアクセスできたり、メニューの「ネットワーク」から、ネットワークに接続しているパソコンが一覧を表示することができるのは、この「NetBIOS over TCP/IP」のおかげです。

 「NetBIOS over TCP/IP」は、便利そうなプロトコルだと思えてるかもしれませんが、ユーザが気付かないうちに、コンピュータ自身が自分に関する情報を周囲にばらまいているという点に注意が必要です。

 それは、「NetBIOS over TCP/IP」で扱っている情報を外部に流す必要がないということです。特に公開サーバは危険です。

 ファイアウォールでこれらのポート番号を遮断しておくことが望ましいと言えます。しかし、イントラネット環境で、Microsoftネットワークを利用している場合、問題が出てきます。

 それは、各拠点間でのMicrosoftネットワークの利便性がなくなってしまう点です。その場合は、Microsoftネットワークの利便性を諦めるか、お勧めはできませんが、これらのポート番号の書かれたパケットを通過するようにファイアウォールのフィルタリングを設定します。

 ちなみに、NetBIOSサービスを停止すには、TCP/IPのプロパティから「詳細設定」ボタンを押して「WINS」タブで「NetBIOS over TCP/IPを無効にする」を選択することでポート番号137、138、139番ポートが閉じられます。


◆危険なポート番号139と445

 Microsoftネットワークに接続しているコンピュータは、ファイル共有やプリンタ共有などの通信をSMB(Server Massage Block)というプロトコルを利用して行っています。

 SMBは139と445のポート番号を利用しています。SMBの通信では、まず、NetBIOSで名前解決の仕組みを使って相手のIPアドレスを取得します。

 そして、通信の開始を要求して相手が許可することでセッションが確立します。これを使ってユーザ名やパスワード情報を相手先に送り認証が行われます。認証が成功すれば相手の共有ファイルにアクセスできるようになります。


◆135,137〜139,445を閉じる場合の留意事項

これらのポート番号が書かれたパケットをルータで遮断するとMicrosoftネットワークの利便性が失われてしまいます。

 イントラネット環境でファイル共有を行っている場合、コンピュータ名でファイル共有を行ったり、プリンタを利用することが制限されます。

 特に、TCP/UDP135番を遮断すると閉じるとActive Directoryが利用できなくなることがあるため注意が必要です。

フィルタリングで遮断すべきポート番号(その1)」 ← 前項 | 次項 → 「静的フィルタリングの設定例





<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAルータ編)

ルータの概要・基本操作・設定1 (17項目)
ルータの概要・基本操作・設定3 (22項目)
IGRP・EIGRPの設定 (18項目)
アクセスリスト・ACLの設定 (14項目)
NAT・DHCPの設定 (8項目)
ルータの概要・基本操作・設定2 (17項目)
RIPv1・RIPv2の設定 (14項目)
OSPFの設定・デフォルトルートの伝播(16項目)
WANの設定 (10項目)
ARP・RARP・Proxy ARP(12項目)
◆Cisco実機で学ぶ(CCNAスイッチ編)

スイッチの基本操作・設定 (14項目)
VTP・スパニングツリーの設定 (12項目)
MACアドレスの管理・VLANの設定 (12項目)

◆アライドテレシス実機で学ぶ

基本操作・設定 (11項目)
OSPFの設定 (9項目)
ポリシールーティング・VRRPなど (12項目)
VLAN・マルチホーミング・RIPの設定 (10項目)
STP・ポートトランキングなど (14項目)

<関連メニュー>
CCNA実機で学ぶ
CCNP実機で学ぶ
CCENT(ICND1)実機で学ぶ
ICND2実機で学ぶ
SDMで設定する(Cisco実機で学ぶ)
CCENT・CCNA無線実機で学ぶ
アライドテレシス実機で学ぶ
YAMAHAルータ実機で学ぶ
TCP/IP入門・無料ネットワークツール
PLCでホームネットワーク構築

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.