＠IT：＠ITハイブックス連携企画

マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

70-293：Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編

5-1．ネットワークプロトコルセキュリティ

宮本寿夫／澤村孝太郎
2004/2/5

　本記事は、＠ITハイブックスシリーズ『マイクロソフト認定技術資格試験　MCP/MCSEラーニングブック－70-293：Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編－』（技術評論社発行）より、一部の問題を許可を得て転載したものです。同書籍に関する詳しい情報については、「＠ITハイブックス」サイトでご覧いただけます。

ほかの問題へ
	問題　05-01-01　入力フィルタと出力フィルタ
	問題　05-01-02　インターネット接続ファイアウォール
	問題　05-01-03　IPセキュリティポリシー
	問題　05-02-01　トンネリングプロトコル
	問題　05-02-02　VPNセッションの管理

問題　05-01-02　インターネット接続ファイアウォール

　あなたは組織のネットワーク管理者です。現在、ネットワークは20台のWindows XP Professionalコンピュータと3台のWindows Server 2003コンピュータで構成されており、Windows Server 2003コンピュータではインターネット接続の共有が有効になっています。プライベートネットワークで新規にWebサーバとFTPサーバを構成しました。

　インターネットからこれらのサーバにアクセスできるようにしたいと思います。また、公開するサーバ以外のコンピュータ（インターネット接続の共有を実行するコンピュータも含め）が外部からの不正なアクセスを受けないようにしたいと思います。

　これらを実現するために最適なものを選択してください。

（単一選択）

	インターネット接続の共有を無効にし、ルーティングとリモートアクセスからNATを構成する。入力フィルタと出力フィルタの設定をそれぞれ行う。
	インターネット接続の共有を実行するWindows Server 2003コンピュータ上でインターネット接続ファイアウォールを有効にする。
	インターネット接続の共有を実行するWindows Server 2003のコンピュータのパブリックインターフェイスでTCP/IPフィルタリングを有効にし、あて先ポート80、21、20のもののみ接続を許可するようにする。
	インターネット接続の共有を無効にする。公開するWebサーバとFTPサーバでインターネット接続のためのデマンドダイヤルインターフェイスを作成する。

　Windows Server 2003では、ルーティングとリモートアクセスから設定する入力フィルタや出力フィルタ以外の機能でも、パケットの制御を行うことができます。インターネット接続ファイアウォールは、ルーティングとリモートアクセスを有効にしなくても利用できる簡易ファイアウォールの機能で、インターフェイスごとに受信するパケットのあて先ポート番号を指定できます。

　設定は、各インターフェイスのプロパティから行います（図5-4）。

図5-4 インターネット接続ファイアウォールの設定

　インターネット接続ファイアウォールを構成すると、内部ネットワークはもとより、ファイアウォールを構成するコンピュータへのすべてのパケットが破棄されるようになります。

図5-5 パケットを受信するあるいは内部のサーバに転送する設定

　インターネット接続ファイアウォールを有効にすることにより、拒否したパケットや受信したパケットのログを取ることも可能です。

■POINT■

　　インターネット接続の共有を使用している環境では、ネットワークのセキュリティを確保するための手段として、インターネット接続ファイアウォールを使用するのが最も効果的です。ルーティングとリモートアクセスの入力フィルタや出力フィルタを使用することも可能ですが、いったんインターネット接続の共有を無効にし、ルーティングとリモートアクセスを構成するなど設定が煩雑になります。

　TCP/IPのプロパティから設定できるTCP/IPフィルタリングの機能では不正なパケットを拒否することは可能ですが、必要に応じて内部のサーバに転送するといった処理が行えないため、インターネットから内部のWebサーバやFTPサーバにアクセスできません。

　内部にサーバを構成する場合は、必要に応じて通信を通過させることもできます。また、受信したパケットを内部のサーバに転送することも可能です（図5-5）。これらの設定の要領は、インターネット接続の共有で内部サーバを公開するための手順とまったく同様です。

■KEYWORD■

　ステートフルパケットインスペクション

　ファイアウォールが通過するパケットの情報を記憶し、その情報に基づいてパケットの通過や破棄を自動的に制御する機能です。

　例えば、組織内のクライアントがHTTPによってインターネットのWebサーバにWebページを要求した場合、Webサーバからの応答であるWebページのデータなどはインターネット接続ファイアウォールを越えて、問題なくクライアントに到達します。これは、インターネット接続ファイアウォールがステートフルパケットインスペクションによってクライアントからの接続を記憶しており、その応答のパケットを通過するよう制御しているためです。

　したがって、インターネット接続ファイアウォールではファイアウォールの構成を特別にカスタマイズしなくても、組織内のクライアントが送信した要求に対する応答のパケットはファイアウォールを通過することができるようになっています。

正　解（05-01-02）
　B

前の問題へ

次の問題へ

マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

Security&Trust記事一覧

Security&Trust フォーラム新着記事

Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ （2017/7/24）
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。
WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に （2017/7/11）
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。
Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは （2017/7/10）
　代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する
侵入されることを前提に考える――内部対策はログ管理から （2017/7/5）
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃（APT：Advanced Persistent Threat）対策の観点から考える。