特集
» 2002年06月29日 00時00分 公開

インターネット・サービス向けIIS設定ガイド:IIS安全対策ガイド・インターネット編 (2/9)

[井上孝司,著]

インターネット向けのWebサーバを設置する前に

 まず、本題のWindows 2000 ServerとIISの設定に入る前に、インターネット向けに設置するサーバ全般に共通する、セキュリティ確保のための注意事項について取り上げておこう。

インターネットでWebサーバを公開するためのネットワーク環境

 xDSLや光ファイバなど、各種の高速な通信環境の普及に伴い、インターネット向けに自分でWebサーバを公開する事例も増えている。このとき、サーバをインターネットに直接接続すると、不必要なポートに対するアクセスも受け付けてしまう可能性があるため、クラッキングの被害にあう危険性が高くなる。これは、WebサーバのOSやWebサーバ・ソフトウェアの種類を問わず、インターネット向けのサーバを用意する場合に常に直面する問題だ。

 そこで、一般的には以下で述べるように、何らかの防御機構(ファイアウォールなど)を用意した上でサーバを設置する。これは、インターネット向けに運用するサーバに対して、クライアントからアクセスするための手段をできるだけ絞り込み、余計な「裏口」から侵入されることを防止する狙いがある。

■方法1―DMZを設置し、インターネット向けに公開するサーバはDMZ上に配置する
 インターネットとLANの境界に設置されるファイアウォールにポートをもう1つ増設し、そこにサーバを接続する。こうすると、ファイアウォールでアクセス制御を行うことができるので、インターネットに直結したサーバに比べると不正侵入に対する安全性を向上させることができる。しかし、その安全性の度合がファイアウォールの設定に依存するのは、いうまでもない。

ファイアウォールを使ったインターネット・サーバ環境
インターネット向けのサーバは、DMZ(非武装ゾーン)へ配置する。DMZを設けない場合、Webサーバやメール・サーバ、DNSサーバなどのインターネット向けサーバは無防備になり、直接インターネット側からの攻撃にさらされることになる。DMZがあると、インターネットからのアクセスはファイアウォールを経由してからサーバへ届くことになる。必要なサービス以外の通信をすべてファイアウォールでブロックすることにより、サーバの安全性を高めることができる。

■方法2―ルータのポート・フォワーディング機能を利用する
 たいていのブロードバンド・ルータには、ポート・フォワーディング(簡易DMZともいう)の機能が用意されている。

 通常のブロードバンド・ルータは、WAN側からローカルのLAN側に対するアクセス要求をすべて遮断する。だがポート・フォワーディング機能では、WAN側ポートに対するアクセスのうち、特定のポート番号に対するアクセスに限り、指定されたLAN側のホストへアクセス要求を転送するようになっている。Webサーバであれば、TCPのポート番号80番に対するアクセスを、LAN側でWebサーバとして運用されているホスト(例えば192.168.0.2)に転送するわけだ。これにより、サーバ自体を直接インターネット側のセグメントにさらすことなく、必要なポートだけをインターネットからアクセス可能な状態にできる。

ポート・フォワーディングの設定例
たいていのブロードバンド・ルータは、WAN側の特定ポートに対する接続要求を、LAN側に設置したサーバに中継する機能を備えている。これはIBMのIEEE 802.11b無線LAN対応ブロードバンド・ルータである「高速ワイヤレスLANゲートウェイ」の例。DMZ機能は、ベンダによって「ポート・フォワーディング」と呼ばれたり、「仮想DMZ」と呼ばれるなど、さまざまな呼称が用いられている。
 (1)ここに、WAN側で接続を受け付けるポート番号を指定する。今回の例はWebサーバなので、HTTPの80番を指定している。
 (2)ここに、接続要求を転送する先のLAN側ホストの、IPアドレスを指定する。
 (3)LAN側ホストのポート番号を指定する。
 (4)TCPかUDPの区別を指定する。
 (5)このルータでは、登録した設定にコメントを付けることができる。

 このように設定をしておくと、Webサーバが使用するTCPの80番ポート以外へのアクセスはブロードバンド・ルータによって遮断(ブロック)されるので、インターネットへ直結した場合と比べると、サーバ自身の安全性が向上する。ただしこの方法では、中間的なDMZセグメントが存在していない。そのため、ポート・フォワーディングを介して公開されているWebサーバが、例えばNimdaワームなどに感染すると、ローカルのLAN上にあるWebサーバにNimdaが感染し、そこからローカルのLAN上にあるマシンへと感染が拡大し、LAN全体に被害が及ぶ危険性がある(ポート・フォワードにしたからといってNimdaを防ぐことはできない。これを防ぐには、HTTPの通信内容を理解してブロックするという、コンテンツ・フィルタリングが必要になる。Nimdaについては「Insider's Eye―ネットを震撼させたコンピュータ・ワーム、Nimdaを検証する」などを参照)。そのため、できることなら独立したDMZセグメントを持つようなネットワーク構成にすることが望ましい。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。