特集 インターネット「常時」接続計画

第5回 DNSサーバのセキュリティ設定

1.基本ネットワーク・サービスのセキュリティ対策

デジタルアドバンテージ
2002/02/20


 Windows 2000 Serverをインターネットの(DNS)サーバとして使用する場合、デフォルトではさまざまなネットワーク・サービスが稼動しているので、そのセキュリティ対策も非常に重要である。DNSサーバ(やWebサーバ)しか使わないとしても、ほかにオープンしているサービス・ポート経由でシステムに侵入されたり、クラックされたりする可能性がある。このような事態を防ぐためには、不要なサービスを止めたり、パケット・フィルタを設定したりする必要がある。DNSサーバの設定を始める前に、それらのセキュリティ対策についてまとめておこう。ただしService Pack 2を始め、最新の各種のセキュリティ・パッチの適用方法などについてはここでは特に触れないので(これはDNSサービスなどとは関係なく、常に行っておかなければならない対策である)、あらかじめ対応を済ませておいていただきたい。

 Windows 2000 Serverを使ったDNSサーバのセキュリティ対策としては、大きく分けて次の2つがある。

  • 基本的なネットワーク・サービスの停止や無効化
  • パケット・フィルタの設定

 基本的なネットワーク・サービスとは、例えばファイルやプリンタの共有サービス、DNS以外のWindowsネットワーク特有のサービスなど(NetBIOS、メッセージの送信、ログオン、Active Directory関連サービス、各種リモート管理サービスなど)がある。今回はDNS以外のサービスは不要なので、できるだけ無効にしておく必要がある。だがどうしても停止できないようなサービスもあるので(停止してしまうと、システムへのログオンすらできなくなってしまう可能性がある)、これらについてはパケット・フィルタを使って外部からのアクセスを防ぐことにする。

 以下簡単に今回設定するネットワーク関連の項目についてまとめておく。

項目
ホスト名 win2kserver01(この名前はDNSだけでなく、Webサーバなども兼用するかもしれないので、あえて「ns.d-advantage.jp」という名前にしておく必要はない)
ネットワーク形態 ワークグループ形態(Active Directoryドメインを導入しない)
ドメイン名 d-advantage.jp
ネットワーク・カード インターネット接続用に1枚だけ装着
IPアドレス 61.206.134.194 (DNSサーバ用のグローバルIPアドレス)
サブネットマスク 255.255.255.248
ゲートウェイ 61.206.134.193 (SDSLルータのIPアドレス)
DNSサーバ 61.206.134.194 (自分自身へ向けておく)
外向けDNSサーバのためのネットワーク/セキュリティ設定
以下の設定例では、ここに示したIPアドレスやドメイン名を使用する。実際の値については、各ユーザーの環境に合わせて変更していただきたい。

 基本ネットワーク・サービスのセキュリティ対策としては、次の処理を行う。

1.ネットワークの形態
 Windows 2000 ServerをDNSサーバとして利用する場合、ネットワークの形態としては「ワークグループ・ネットワーク」形式で利用することが望ましい。ネットワークをドメイン形態にしてWindows 2000 Serverをドメイン・コントローラにすると、Active Directoryが導入されるが、このときDNSにはActive Directory用の特別なエントリがいくつか作成される(SRVやWINSレコード、ドメイン・ネットワーク上のホスト名情報やサイト名など)。これらの情報がインターネット側へ漏洩することは望ましくないので、なるべくならばワークグループ形態で利用するように設定しておくべきだろう。

ネットワーク形態の設定と確認
コントロール・パネルの[システム]を起動して[ネットワークID]タブを表示させ、そこにある[プロパティ]をクリックするとこの[設定の識別]ダイアログが表示される。現在のネットワーク形態がどちらであるかは、[次のメンバ]グループに表示されている。インターネット向けのDNSサーバは「ワークグループ」形態で運用するべきだろう。
  コンピュータ名(NetBIOS名)は、外部DNS名(今回の例では「ns.d-advantage.jp」)と異なっていてもよい。外部から推測されないように違うのものにしておくとよいだろう。
  FQDNで表現した、このマシンの名前。この部分は上のホスト名と同じ。
  本ホストの属するDNSのドメイン名。DNSサーバで提供する名前と、このドメイン名は同じでなくてもよい。
  DNSのドメイン名を変更するにはこれをクリックする。
  ワークグループ形態で利用している場合のワークグループ名。セキュリティ的にも、外部から推測されにくい名前にするべきである。

2.ファイル共有サービスの無効化
 インターネットに対してファイル共有サービスを提供する必要はないので、以下のようにしてすべて無効にしておこう。

ファイル共有サービスの無効化
デフォルトではネットワーク上のクライアントからのファイル・アクセスが許可されているので、これを無効にしておく。
  ほかのマシン上のファイルをアクセスするためのサービス。デフォルトではオンなので、無効にしておく。
  ファイルを公開するサービス。これも不要なのでオフにしておく。
  TCP/IP関連でもいくつかセキュリティ対策が必要なので、以下の設定を行う。
  TCP/IPの設定を変更するにはこれをクリックして、次の画面へ進む。

3.IPアドレスなどの設定
 今回使用するマシンはd-advantage.jpのDNSサーバとして使用するため、デフォルトではそのDNSサーバのIPアドレスを割り当てておく。

TCP/IPの設定
IPアドレスはDNSサーバに割り当てる予定のものを付与し、さらにDNSサーバのアドレスには自分自身のIPアドレスをつけておく。
  このIPアドレスはDNSサーバに割り当てる予定のもの。サブネットマスクやゲートウェイ・アドレスはほかにWebサーバなども兼用するならば、そのためのIPアドレスも追加で割り当てておく。
  DNSサーバは自分自身を指すように設定しておく。。
  ほかの設定を行うために、この[詳細設定]もクリックする。

4.DNSへの動的な登録の禁止
 Active Directory環境下では、各クライアントマシンは自分のホスト名などをDNSサーバに自動的に登録しようとする。社内ネットワークなどでは、この操作によって、DNSを使って各マシンのIPアドレスなどを調べられるようになるので便利であるが、インターネット向けのDNSサービスでは、これは逆にマシン名情報を外部に公開してしまう可能性がある。この機能も無効化しておく必要がある。

DNSの動的登録の無効化
Active Directory下では、各クライアント・マシンが自分のマシン名やIPアドレスなどを自動的にDNSに登録してしまう。これはインターネット向けのDNSサーバでは不要なので、禁止しておこう。
  ドメイン・ネットワークでなければ、このチェックボックスはデフォルトでオフになっているはずである。オフになっているかどうかを確認しておく。

5.NetBIOS over TCPの無効化
 NetBIOS over TCP(NBT)は、TCP/IP上でNetBIOSインターフェイスを実現するための機能である(TCPやUDPの137〜139番などのポートを使用している)。Windowsシステムでは、さまざまな場所でこのインターフェイスを使ってサービスを呼び出したりしているが、これはインターネット側から見ると侵入のための格好の入り口となる可能性がある。これも禁止しておこう。

NetBIOS over TCP/IPの無効化
NetBIOS over TCPはWindowsネットワークで標準的に使われるインターフェイスであるが、インターネット側からの攻撃にもさらされる可能性がある。そのためインターネットに接続しているマシンでは必ず無効にしておく。
  WINSサーバはインターネット環境では不要なので、ここには指定してはいけないし、DNSサーバ・マシンにもインストールする必要はない。
  NetBIOS over TCP/IPはインターフェイスごとに有効、無効を設定することができる。必ず無効にしておきたい。
 
 

 INDEX
  [特集]インターネット「常時」接続計画
  第5回 DNSサーバのセキュリティ設定
   1.基本ネットワーク・サービスのセキュリティ対策
     2.RRASを使ったパケット・フィルタリング(1)
     3.RRASを使ったパケット・フィルタリング(2)
 
 インターネット「常時」接続計画


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間