特集 インターネット「常時」接続計画

第5回 DNSサーバのセキュリティ設定

2.RRASを使ったパケット・フィルタリング(1)

デジタルアドバンテージ
2002/02/20


 以上のような設定でいくつかの主要なサービス・ポートなどを閉じることができたが、実際にはそれ以外にもさまざまなサービスが稼動している。そのためきちんとしたセキュリティ対策のためには、さらに「必要なポート以外はすべて閉じておく」という抜本的な対策も必要である。セキュリティを向上させるためには、どちらか一方だけでよいというわけでなく、必ず両方行っておきたい。

パケット・フィルタの設定

 パケット・フィルタは、通信で流れるパケットを監視して、特定のパターンに一致するパケットを通過させたり、ブロックしたりする機能である。今回はDNSサービスに関するパケットだけを受け付けるようにして、それ以外のパケットはすべてブロックするように設定する。設定するパケット・フィルタのパターンは以下のようにする。もしWebサービスも稼動させたりするなら、TCPの80番ポートも許可するように設定するなど、適宜対処していただきたい。

カテゴリ 項目 用途
ICMP関連 ICMPのタイプ8とタイプ0の受信を許可 システムの動作状態を監視するために、pingの発信と応答だけは受け付ける(特に許可しなくてもよい)
DNS関連 発信元ポートが53番のUDPパケットの着信を許可 外部のDNSサーバへの問い合わせパケットは受け付ける
宛先ポートが53番のUDPパケットの着信を許可 外部からのDNSの問い合わせパケットは受け付ける
TCP関連 セッション確立済みパケットの着信を許可 外部へのTCP接続の応答パケットは受け付ける(一般のTCP通信用)
宛先ポートが53番のTCPパケットの着信を許可 外部からのDNSゾーン転送要求のパケットは受け付ける
設定する入力パケット・フィルタの仕様
DNS問い合わせやゾーン転送のほか、システムの動作確認用にpingの送受信は受け付けるという場合の設定。必要ならば出力フィルタも設定するとよい。DNSのゾーン転送は、上位のDNSサーバ側で、特定のホストのみに許可するように設定すること。また可能ならば、pingなどの通信相手も限定するようにフィルタを設定すると、より安全になる。

「ルーティングとリモート アクセス」サービスを管理する

 Windows 2000 Serverでパケット・フィルタリングを行うためには、「ルーティングとリモート アクセス(Routing and Remote Access Service、以下RRASと表記)」サービスを利用する。これを利用するには、[スタート]メニューの[管理ツール]−[ルーティングとリモート アクセス]を実行する。デフォルトではこのサービスは稼動していないが、ウィザードを1回起動して設定を行うことにより、サービスがシステムの起動時から動作するようになる。このパケット・フィルタ機能については、「常時接続時代のパーソナル・セキュリティ対策」や「TIPS―インターネット常時接続時の基本セキュリティ設定」などでも触れているので参考にしていただきたい。Windows 2000 ProfessionalのRRAS機能と違って、Windows 2000 ServerのRRASではより高機能なルーティング機能や、GUI管理ツールが付属しているという違いがある。

 以下は、RRASの管理ツールの起動画面である。RRASサービスを起動するためには、サーバ名を右クリックして、設定のためのウィザードを起動する。

ルーティングとリモート アクセス
デフォルトではRRASサービスは起動していないので、ウィザードを使って最初に1回設定を行う必要がある。
  サーバ名を右クリックして「ルーティングとリモート アクセスの構成と有効化」を選択するとウィザードが起動する。これを使うと、使用目的に応じたRRASの基本的な設定を簡単に済ませることができる。

 ウィザードを使うと、RRASの使用目的に応じた設定を簡単に済ませることができる。リモート・アクセス・サービス(外部からのダイヤルアップ接続の待ち受け)やVPN(インターネットを介した仮想回線接続)、NAT(アドレスやポート番号などを変換して、複数のノードをインターネットに接続させる)、ルータ設定などが選択できる。だが今回使用するサーバにはネットワーク・インターフェイスは1枚しか装着されておらず、ここではパケット・フィルタ機能を利用したいだけなので、一番下にある[手動で構成したサーバー]を選択しておけばよいだろう。

ルーティングとリモート アクセスのセットアップ・ウィザード
RRASサービスを有効化して、初期設定を行うためのウィザード。さまざまなネットワーク構成に応じて、基本的な設定を行うことができる。今回は基本的なパケット・フィルタ機能だけを使うので、すべて手動で設定する。
  すべての設定を手動で行うための選択肢。サービスの有効化と自動的なサービスの起動だけが行われる。

パケット・フィルタを設定する

 以上の初期設定が完了すると、RRASサービスがシステム起動時から自動的に稼動するようになるので、次はパケット・フィルタの設定を行う。RRASにはさまざまな機能があるが、ここではネットワーク・インターフェイスのプロパティを使って、フィルタ設定を行う。

ネットワーク・インターフェイスのパケット・フィルタを設定する
パケット・フィルタを設定するには、インターネットに接続されているネットワーク・インターフェイス・カードの[プロパティ]メニューを使う。
  RRASにはさまざまな機能があるが、パケット・フィルタを使うだけならばそう難しくない。
  フィルタを設定するには、この[全般]を選択して、右側のペインからインターフェイスを選択する。
  利用できるインターフェイスの一覧。「内部」や「ループバック」はシステム内部で使われている仮想的なインターフェイス。
  「ローカル エリア接続」は、最初のネットワーク・インターフェイス・カードに割り当てられるデフォルトの名称。
  フィルタを設定するには、各インターフェイスの[プロパティ]を選択する。

 RRASでは、インターフェイスごとに「入力パケット(外部から内部へ到達するパケット)」と「出力パケット(システムから外部へ送信されるパケット)」のそれぞれのフィルタを設定することができる。今回の設定例では、入力側のフィルタのみを設定するので、以下のように[入力フィルタ]を選択する。

フィルタの設定
フィルタは、インターフェイスごとに入力と出力のそれぞれに対して設定することができる。ここでは入力フィルタを設定する。
  入力フィルタの設定。
  出力フィルタの設定。必要ならば、無用なブロードキャスト・パケットやNBTパケットなどが外部へ送信されないように、フィルタを設定するとよい。
 
関連記事(Windows Insider内)
常時接続時代のパーソナル・セキュリティ対策
インターネット常時接続時の基本セキュリティ設定
 

 INDEX
  [特集]インターネット「常時」接続計画
  第5回 DNSサーバのセキュリティ設定
     1.基本ネットワーク・サービスのセキュリティ対策
   2.RRASを使ったパケット・フィルタリング(1)
     3.RRASを使ったパケット・フィルタリング(2)
 
 インターネット「常時」接続計画


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間