| [Network] | ||||||||||||||
リモートの手続きを呼び出すMS-RPCとは?――MS-RPCをファイアウォールでブロックする方法――
|
||||||||||||||
|
||||||||||||||
| 解説 |
Windows OSネットワーク環境でよく使われるプロトコルの1つに、MS-RPC(Microsoft Remote Procedure Call)がある。Windows OSの基本サービスのほか、例えばExchange Serverなどでもよく使われている重要なプロトコルであるが、最近ではセキュリティの脆弱性情報などでも目にすることが少なくない。その場合、脆弱性を避けるためにはMS-RPCプロトコルを禁止するという手段が推奨されていたりするが、そもそもMS-RPCとは何であるか、その通信メカニズムはどうなっているか、などを知らないとファイアウォールを設定こともできない。本TIPSでは、このMS-RPCについて簡単に説明する。
MS-RPCとは
MS-RPCとは、分散コンピューティング環境において、リモートのコンピュータ上のプログラム(手続き)を呼び出すために開発されたRPC(Remote Procedure Call)という機能を、Windows OS上に実装したものである。元々はOSF(Open Software Foundation。ソフトウェアのオープン化を推進する団体)によって規定されたDCE(Distributed Computing Environment。分散コンピューティング環境)仕様をベースに、マイクロソフトが拡張したものである。MS-RPC機能を使えば、ローカルのコンピュータ上で動作するサービスやサブルーチンなどを呼び出すのと同じように、リモートのコンピュータ上で動作しているサービスを呼び出し、処理を依頼することができる。
MS-RPCの通信形態
MS-RPCでは、サービスを提供する側(サーバ側)と、そのサービスを利用する側(クライアント側)が協調して動作する。通常のサーバとクライアントの関係でもこれは同じだが(例えばHTTPプロトコルではTCPの80番ポートでサーバが待ち受けし、クライアントはそのポートへ接続する)、MS-RPCでは次の2つの段階を経てサービスを利用する。
■第1段階――ポート・マッパーへの接続
MS-RPCでリモートのコンピュータへ接続する場合、最初は「ポート・マッパー(port mapper)」と呼ばれる代表ポートへ接続し、セキュリティ・チェックや対象となるサービスが稼働しているかどうかのチェック、通信環境のセットアップなどを行う。現実の世界でいうなら、まず代表番号へ電話して、自分自身の認証を受けたり、呼び出したいサービスが存在しているかどうかを問い合わせたり、そのサービスへ接続するためのポート番号情報などを尋ねることに例えられる。
実際のMS-RPCサービスでは、ポート・マッパーはTCPの135番で待ち受けしているので、ここへ接続して対象となるサービスへの接続要求を送信する。接続が許可されると、MS-RPCのサーバは、新しくポートを割り当て、以後はそのポートへ接続するように応答を返す。このように、接続するべき新しいポート番号を返すので(マッピングするので)、ポート・マッパーと呼ばれる。このときに返されるポート番号は、動的に決定されるため、事前にファイアウォールで静的に許可しておくことは困難である。
■第2段階――サービス・ポートへの接続
ポート・マッパーへの接続が成功すると、クライアント側では、サーバから返された動的ポートへ接続を行い、サービスを受ける。
以上がMS-RPCを使った場合の通信の状態である。この様子は、例えばnetstat -anコマンドなどで、待ち受けしているポート番号を調べることによって確認できる。
|
この画面で、
のTCP 135番が、MS-RPCのポート・マッパーの待ち受けポート番号である。MS-RPCを利用したいクライアントはまずこのポートへ接続を試み、成功すれば、次に(サーバから指示された)サービス用のポート(この例では
)へ接続する。
サービス用のポート番号はこの例では1025と1026となっているが、先ほども述べたように、この番号は実行時に動的に決定される。そのため、システムによって異なる可能性がある。ただしWindows OSでは、デフォルトでは1024番から順番にポート番号を利用するようになっているため、初期ポート番号はいつもこのあたりになっているはずである(MS-RPC以外でも利用されることがあるので、これらが必ずしもMS-RPCで利用されているポートとは限らない)。また以下のサポート技術情報で示される方法を利用して、別の範囲のポートを利用させることもできる。
- ファイアウォールで動作するように RPC の動的ポート割り当てを構成する方法(マイクロソフト サポート技術情報)
SMB(CIFS)上のMS-RPCサービス
以上の説明は、TCPの135番ポートを使ったMS-RPCにおける通信方法であるが、これ以外にも、SMB(Server Message Block)もしくはCIFS(Common Internet File System)プロトコル上でもMS-RPCを利用することができる。SMBやCIFSは、Windows OSにおけるファイル共有プロトコルであるが、この機能を使ってリモートのサーバ上のMS-RPCサービスを呼び出すのである。この場合は、ネットワーク的にはSMBやCIFSプロトコル中にMS-RPCプロトコルが隠ぺい(含有)されることになる。これらのプロトコルについては、以下の記事などを参照していただきたい。
- ポート445(ダイレクト・ホスティングSMBサービス)に注意(Windows TIPS
- 「ファイル共有プロトコルSMB/CIFS」(連載「基礎から学ぶWindowsネットワーク」)
MS-RPCで動作しているサービスを調査する
MS-RPCで提供されているサービスの一覧は、例えばportqry.exeコマンドを使えば調査できる。具体的な方法については、以下のTIPSを参照していただきたい。
- ポートのリッスン状態を調査する(Windows TIPS)
MS-RPCとファイアウォール
以上の説明で分かるように、MS-RPCで使われるプロトコルには複数のものがある。ファイアウォールでMS-RPCの通信を許可したい(もしくは禁止したい)場合は、TCPの135番だけでなく、SMB(NBT:NetBIOS over TCP/IP)やCIFSのポートなどもフィルタの対象とする必要がある。
| プロトコル | 種別 | ポート番号 |
| MS-RPC | TCP | 135 |
| NetBIOS名前サービス | UDP | 137 |
| NetBIOS名前サービス | TCP | 137 |
| NetBIOSデータグラム・サービス | UDP | 138 |
| NetBIOSセッション・サービス | TCP | 139 |
| CIFS | TCP/UDP | 445 |
 |
||
| MS-RPC関連で使われるポート番号 | ||
| MS-RPC通信を許可したい(禁止したい)場合は、これらのポート番号をファイアウォールのルールに設定する。 | ||
|
||||||||||||||||||||||||||||
 |
「Windows TIPS」 |
TechTargetジャパン
- WebサーバのSSL証明書が「正しい」か確認する (2012/2/10)
SSLに必要なサーバ証明書の取得/インストールのミスはWebサイトの信頼を失墜させかねない。証明書ベンダ提供のツールで手軽かつ確実にチェックしよう - クライアントでも利用可能になるHyper-V 3.0とは? (2012/2/9)
Windows 8では、従来のWindows Virtual PCに代わって新しくHyper-V 3.0がクライアント向けにも導入される。その概要を解説 - 第303話 ペアプロ2 (2012/2/7)
あっ、またまたいつぞやの幽霊が! …っと思ったら、何だ倉井さんかぁ…。はぁー、驚いた… - Excelで郵便番号変換ウィザードを活用する (2012/2/3)
Excelで管理している顧客名簿などで、不足している郵便番号や住所を入力するのは意外と面倒。郵便番号変換ウィザードを使えば、これらの入力が簡単になる
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。