実験 
ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座

第2回 Windowsのファイル共有サービスをブロックする(1)


デジタルアドバンテージ
2002/03/07

 今回は、Windows LANにとってセキュリティ・ホールになりがちな「Windowsのファイル共有サービス」を、ブロードバンド・ルータのパケット・フィルタリング機能で防御する方法を解説しよう。パケット・フィルタリングについては、すでに「ネットワーク・デバイス教科書:第13回 ブロードバンド・ルータのセキュリティ設定」に詳細が記されているので、ぜひ参考にしていただきたい。

Windowsのファイル共有が「危険」なワケ

 Windowsが標準で備えるファイル共有サービスは、すでにオフィスのLANで必須であり、最も多用されているネットワーク・サービスの1つといってよいだろう。Windows 2000 ServerやLinux+Sambaでファイル・サーバを運用していたり、あるいはWindows 9x/Meで簡易に共有フォルダを公開したりと、使い方も多様だろう。

 しかし、LANをインターネットに接続した場合、このファイル共有サービスがLANのセキュリティにとって弱点となり得る。もともとWindowsのファイル共有サービスは、事務所などあくまで局所的なLANのためのサービスであり、インターネットにファイルを公開するような用途は想定されていない。しかし、現在のWindowsファイル共有サービスはプロトコルにTCP/IPを利用しているため、原理的にはインターネットに向けてもWindowsのファイル共有サービスを有効にできてしまう。そのため、インターネットとLANの間でWindowsのファイル共有サービスに対して相互にアクセス可能になると、さまざまな問題が生じる。

 まず当然の懸念として、社内LANで公開している共有ファイルがインターネット側の第三者から不正に参照・改変される危険がある。たとえパスワードやアクセス権の設定で共有ファイルを防護していても、ファイル・サーバのIPアドレスやマシン名などが漏えいするので、不正な侵入を許してしまう可能性もある。

 また、Windowsのファイル共有サービスで利用されるインターフェイスは、これまで何回か脆弱性が報告されており、セキュリティ・ホールにもなり得る。このようなセキュリティ・ホールを塞ぐパッチを適用していないWindowsマシンがLANにつながっていると、そこからクラッカーが侵入して社内LANに甚大な被害を及ぼす危険性があるわけだ。

インターネット側とのファイル共有サービスの相互アクセスを防ぐ
社内LANへの不正な侵入や各種情報の漏えいを防ぐために、ブロードバンド・ルータの機能を利用してファイル・アクセスを断ち切る。そのための設定方法を明らかにするのが、本稿の目的である。

 Windowsのファイル共有サービスへのアクセスがLAN内部からインターネット側に漏れると、LAN内の情報(PCのIPアドレスやワークグループ名など)も一緒に漏えいする危険がある。こうした情報は、クラッキングへの悪用が可能であり、社外に漏れるのは好ましくない。

 コンピュータ・ウイルスによってはファイル共有を利用して感染するということも、LANとインターネットの間でWindowsのファイル共有サービスを遮断したくなる理由の1つだ。LAN管理者としては、Windowsのファイル共有サービスを利用してインターネット側からLAN側PCにウイルスが感染するのはもちろん、不幸にしてLAN側PCの1台がウイルスに感染した場合、LANを超えてインターネット側にまで感染が広がるのも、絶対に防がなければならない。

 セキュリティの問題ではないが、インターネット側に不要なサービス(ここではWindowsのファイル共有サービス)のパケットを流すのは、WAN接続回線の限りある帯域を浪費することにつながる。

 以上の理由から、特に理由がない限り、Windowsのファイル共有サービスはLAN内だけに留め、インターネット側との相互アクセスは遮断すべきだ。

アクセス遮断の基本方針

 ファイル共有サービスへのアクセスを遮断する場合、大別してWAN→LANとLAN→WANの2つの方向に分けて考える必要がある。WAN→LANの向きというのは、インターネット側から社内LANへの「侵入」である。また、LAN→WANの向きというのは、社内LANにつながったPCからインターネット側のホストへのアクセスとなる。

 このうちWAN→LANの向きについては、ブロードバンド・ルータでIPマスカレード(NAPT)を有効にすれば遮断できる。IPマスカレードによりLAN側ホストが隠蔽されるし、プライベートIPアドレスが割り当てられるため、インターネット側からLAN側ホストを特定できないからだ。一般的にブロードバンド・ルータでインターネット接続を実現する場合、IPマスカレードを有効にして運用することから、WAN→LANの向きのパケットを遮断するために特別な対策を施す必要はない(DMZにホストを配置しない限り。DMZについては「ネットワーク・デバイス教科書:第13回 ブロードバンド・ルータのセキュリティ設定」を参照)。

 一方、LAN→WANの向きについては、ブロードバンド・ルータのパケット・フィルタリング機能を利用して遮断する。Windowsのファイル共有サービスへのアクセスがインターネット側に漏れてしまうのを、水際で防ぐわけだ。この場合、すべてのLAN側ホストを対象としてアクセスを遮断する必要があるので、ブロードバンド・ルータで一網打尽にするのが最も効率的で管理・運用も容易である。

実際にブロードバンド・ルータ経由のファイル共有を試す

 フィルタの設定を行う前に、Windowsのファイル共有がブロードバンド・ルータを介して実現できてしまうことを簡単な実験で確認してみよう。下の図のように、IPマスカレードを有効にしたブロードバンド・ルータのLANポートとWANポートに、それぞれWindows搭載PCを接続し、LAN側からWAN側へファイル・アクセスを行ってみた。

ブロードバンド・ルータを介したファイル・アクセス実験のテスト環境
事前に2台のPCの間で、IPアドレスを同じサブネットにすれば、問題なくファイルがアクセスできることを確認したうえで、このように接続と設定を変更した。ブロードバンド・ルータにはコレガ製BAR SW-4P Proを使用し、フィルタの設定は一切なし(デフォルト)とした(BAR SW-4P Proの製品情報ページ)。
 
C:\>nbtstat -A 10.1.1.101 
       NetBIOS Remote Machine Name Table
   Name               Type         Status
---------------------------------------------
TESTSVR01      <00>  UNIQUE      Registered
WORKGROUP      <00>  GROUP       Registered
WORKGROUP      <1E>  GROUP       Registered
TESTSVR01      <20>  UNIQUE      Registered
WORKGROUP      <1D>  UNIQUE      Registered
..__MSBROWSE__.<01>  GROUP       Registered
MAC Address = 00-90-27-57-68-F6

C:\>nbtstat -a TESTSVR01 
Host not found.

C:\>net view 
ワークグループ WORKGROUP で利用できるサーバー
サーバー名             コメント
-------------------------------------------------------
\\TESTPC01-W98         Client PC for Test (Win98SE)
コマンドは正常に完了しました。

C:\>net view \\10.1.1.101 
\\10.1.1.101 の共有リソース
共有名       種類         コメント
-------------------------------------------------------
share        ディスク     Share Folder (Server Side)
コマンドは正常に完了しました。

C:\>net use k: \\10.1.1.101\share 
コマンドは正常に完了しました。
コマンドラインからファイル・アクセスをテストした結果
これは、LAN側PC(\\TESTPC01-W98)からWAN側PC(\\TESTSVR01)で公開している共有フォルダにアクセスしてみたところ。WAN側PCのIPアドレスを直接指定すれば共有フォルダ一覧は表示できるし、フォルダに接続してファイルにもアクセスできることが確認できた。
  IPアドレス「10.1.1.101」を指定して、WAN側PCのNBT情報を表示させたところ。正常に情報が取得されている
  マシン名「TESTSVR01」を指定して、と同じPCのNBT情報を取得しようとしているところ。こちらは失敗してしまう。IPマスカレードの影響で、マシン名からIPアドレスを導出できないからだ
  「WORKGROUP」というワークグループに属するWindowsサーバ(ファイル共有サービスを提供しているマシン)の一覧を表示させたところ。WAN側PC(TESTSVR01)は一覧にないことが分かる。これもIPマスカレードの影響だ
  IPアドレス「10.1.1.101」を指定して、WAN側PCの共有リソースを表示させたところ。「share」という共有フォルダが存在することが分かる
  IPアドレス「10.1.1.101」を指定して、WAN側PCの共有フォルダ「share」をK:ドライブにマップしてみたところ。shareフォルダにあるファイルへのアクセスも成功した

 このように、ネットワーク・コンピュータの一覧表示や、マシン名を指定したアクセスといった一部機能は制限されるものの、LAN側PCからWAN側PCの共有ファイルにアクセスすること自体は可能である。なお、どの機能が使えるかは、ブロードバンド・ルータの実装に依存する。実際、ルートテクノロジー製CAS2040というブロードバンド・ルータでは、フィルタを設定しないデフォルト状態でも上記のは失敗した(CAS2040の製品情報ページ)。

 なお、WAN→LANの向きのファイル・アクセスは完全に失敗する(IPマスカレードで遮断されるからだ)。

  関連記事(PC Insider内) 
ネットワーク・デバイス教科書:第13回 ブロードバンド・ルータのセキュリティ設定

  関連リンク 
BAR SW-4P Proの製品情報ページ
コレガ製BAR SW-4P Proの動作実績情報
CAS2040の製品情報ページ
ルートテクロノジー製CAS2040の動作確認情報


 INDEX
  [実験]ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座
    第1回 ルータ内蔵の設定用サーバへのアクセスを制限するには
  第2回 Windowsのファイル共有サービスをブロックする(1)
              Windowsのファイル共有サービスをブロックする(2)
              Windowsのファイル共有サービスをブロックする(3)
 
「PC Insiderの実験」


System Insider フォーラム 新着記事
  • Intelと互換プロセッサとの戦いの歴史を振り返る (2017/6/28)
     Intelのx86が誕生して約40年たつという。x86プロセッサは、互換プロセッサとの戦いでもあった。その歴史を簡単に振り返ってみよう
  • 第204回 人工知能がFPGAに恋する理由 (2017/5/25)
     最近、人工知能(AI)のアクセラレータとしてFPGAを活用する動きがある。なぜCPUやGPUに加えて、FPGAが人工知能に活用されるのだろうか。その理由は?
  • IoT実用化への号砲は鳴った (2017/4/27)
     スタートの号砲が鳴ったようだ。多くのベンダーからIoTを使った実証実験の発表が相次いでいる。あと半年もすれば、実用化へのゴールも見えてくるのだろうか?
  • スパコンの新しい潮流は人工知能にあり? (2017/3/29)
     スパコン関連の発表が続いている。多くが「人工知能」をターゲットにしているようだ。人工知能向けのスパコンとはどのようなものなのか、最近の発表から見ていこう
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

System Insider 記事ランキング

本日 月間
@IT