Windows 2000 Insider/PC Insider合同特別企画

Windows XPの正体
実験/実証によって探るWindows XPの真実の姿

常時接続でも安心のファイアウォール機能

3.外部からの不正アクセスを検出可能にするファイアウォールのログ

デジタルアドバンテージ
2001/09/20

 Windows XPのファイアウォール機能では、ブロックした通信や、通過させた通信について、ログを残しておくことができる。これにより、外部から不正なアタックなどを受けていないかどうかなどを確認することができる。デフォルトではこのログ機能はオフになっているが、最初のうちは、正しくブロックできているかどうかを確認するためにもログを残すようにしておいたほうがよいだろう。

 ログでは、ファイアウォールのルールが適用されてブロックされた場合と、通信が正常の行われた場合のログを記録することができる。

ログの記録設定
ログを残すかどうかを設定するにはこのダイアログを使う。デフォルトではフィルタ結果のログはいっさい残らないようになっているが、最初のうちは正しく動作しているかどうかを確認するためにも、ログを残すべきだろう。
  ログ設定タプを使って、ログのサイズなどを設定する。
  インターネット側からのXPマシンへアクセスのうち、ファイアウォールでブロックされて、通過できなかったパケットのログを記録する。
  内部ネットワークから外部(インターネット)、もしくは外部から内部への通信など、ブロックされずに正常に行われた通信のログを記録する。
  ログファイルのパス名。
  ログファイルのサイズ。起動時にこのサイズ超えていると、新しくログファイルが作成され、古いログファイルは名前が変更されて保存される。ただし保存は1つ前までしかないので、さらに古いログファイルが必要ならば、自分で保存などをしておく必要がある。

 ログファイルには、通信の行われた時間や通信元と通信先のIPアドレス、使用したプロトコルなどの情報がすべて記録される。TCPのフラグの状態なども詳しく記録されているので、連続したポートへのオープン要求が、例えば悪意のあるポート・スキャンかどうかを判断することなども可能だろう。

 以下に記録されたログ・ファイルの例を示す。「DROP」となっているのがパケット・フィルタによってブロック(阻止)された通信である。外部からの不正なポート・アクセスだけでなく、ポート137番を使ったLAN内部からのブロードキャスト(自分のマシン名やワークグループ名などのブロードキャスト)もブロックしているのが分かるだろう。外部からの不正な侵入だけでなく、自マシンの情報が外部へ漏れるのも防いでいる。

 「OPEN」と「CLOSE」はそれぞれ通信の始まりと終わりを示している。例えばメールやWebアクセスでTCP接続を行う場合に、その最初と最後でこれらの情報が記録されている。

#Verson: 1.0
#Software: Microsoft Internet Connection Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info

2001-09-17 14:46:50 DROP UDP 192.168.XXX.XXX 209.249.XXX.XXX 137 137 78 - - - - - - -
2001-09-17 14:46:51 DROP UDP 192.168.XXX.XXX 209.249.XXX.XXX 137 137 78 - - - - - - -
2001-09-17 14:46:53 DROP UDP 192.168.XXX.XXX 209.249.XXX.XXX 137 137 78 - - - - - - -
2001-09-17 14:47:32 CLOSE TCP 61.208.XXX.XXX 61.200.XXX.XXX 3695 1723 - - - - - - - -
2001-09-17 14:47:32 CLOSE UDP 61.208.XXX.XXX 211.130.XXX.XXX 3011 53 - - - - - - - -
2001-09-17 14:47:32 CLOSE UDP 61.208.XXX.XXX 202.234.XXX.XXX 3011 53 - - - - - - - -
2001-09-17 14:47:45 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX 3729 80 - - - - - - - -
2001-09-17 14:47:49 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX 3730 80 - - - - - - - -
2001-09-17 14:47:49 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX 3731 80 - - - - - - - -
2001-09-17 14:47:49 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX 3732 80 - - - - - - - -
2001-09-17 14:47:49 OPEN TCP 61.208.XXX.XXX 209.249.XXX.XXX 3733 80 - - - - - - - -
2001-09-17 14:48:32 CLOSE TCP 61.208.XXX.XXX 209.249.XXX.XXX 3729 80 - - - - - - - -
2001-09-17 14:48:32 CLOSE TCP 61.208.XXX.XXX 209.249.XXX.XXX 3730 80 - - - - - - - -
2001-09-17 14:48:32 CLOSE TCP 61.208.XXX.XXX 209.249.XXX.XXX 3731 80 - - - - - - - -
2001-09-17 14:48:32 CLOSE TCP 61.208.XXX.XXX 209.249.XXX.XXX 3733 80 - - - - - - - -
2001-09-17 14:49:32 CLOSE UDP 61.208.XXX.XXX 210.163.XXX.XXX 137 137 - - - - - - - -
2001-09-17 14:50:05 DROP TCP 61.217.XXX.XXX 61.208.XXX.XXX 4044 80 48 S 1061210703 0 16384 - - -
2001-09-17 14:50:09 DROP TCP 61.217.XXX.XXX 61.208.XXX.XXX 4044 80 48 S 1061210703 0 16384 - - -
(以下省略)
全リストを表示するには [こちら]をクリック

  ログに記録されている各項目の意味は次の通りである。

記録される項目 意味
date、time 時刻情報
action 動作――OPEN/CLOSE(通信の開始と終了)、DROP(パケットのブロック)、INFO-EVENTS-LOST(その他の情報)
protocol プロトコル――TCP、UDP、ICMP
src-ip、dst-ip 送信元/送信先IPアドレス
src-port、dst-port 送信元/送信先ポート番号
size パケットのデータ・サイズ
tcpflags TCPパケットのフラグ――Ack、Fin、Push、Reset、Syn、Urg
tcpsyn、tcpack TCPパケットのシーケンス番号
tcpwin TCPパケットのウィンドウ・サイズ
icmptype、icmpcode ICMPのタイプとコード
info 付加情報

ICMPプロトコルのフィルタリング

 Windows XPのファイアウォール機能では、個々のICMPプロトコルについても通過させるかどうかを制御することができる。ICMPプロトコルは、例えばpingコマンドなどで使われるプロトコルであるが(正確には、pingでは「ICMP Echo」と「ICMP Echo Reply」を使っている)、ネットワーク管理者でなければあまり用がないかもしれない。End of Article

ICMPプロトコルのフィルタリング
Windows XPのファイアウォール機能では、個々のICMPプロトコルについても通過させるか、それともブロックさせるかを制御することができる。だが一般的には、pingコマンドに対して応答を返すかどうかを制御するぐらいであろう。
  ICMPの中にはさらにいくつかのコマンドがあり、そのそれぞれのコマンドを通過させるか、それともブロックさせるかを制御することができる。
  これをオンにすると、外部(インターネット側)からのpingに応答するようになるが、オフにすると応答しなくなる。セキュリティ的には、特別な理由がない限りpingに対して応答しなくてもよいと考えられるが、トラブルシューティング時などはpingに応答してくれた方が便利である。
 
 

 INDEX
  [Windows XPの正体] 実験/実証によって探るWindows XPの真実の姿
  常時接続でも安心のファイアウォール機能
    1.ファイアウォール機能を有効にする
    2.サービスの公開
  3.外部からの不正アクセスを検出可能にするファイアウォールのログ
 
 「Windows XPの正体」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間