運用
常時接続時代のパーソナル・セキュリティ対策
(第2回)

1.Routing and Remote Accessサービスとその使い方(1)

デジタルアドバンテージ
2001/01/17

 前回述べたように、Windows 2000 Professionalでは、TCP/IPにおけるセキュリティ対策として、2種類のパケット・フィルタリング機能を利用することができる。

 1つ目は、Windows NTのときから用意されている、TCP/IPプロトコル・スタックに組み込まれているパケット・フィルタリング機能であり、これについては前回説明した。こちらはGUIを使って設定できるので、操作そのものは容易である。かなり限定された機能しか持っていないが、パーソナルな用途ではこれでも最低限のセキュリティ対策を施すことができる。ただし機能的には制約が多いので、きめ細かいパケット・フィルタリングには向いていない。

 もう1つのパケット・フィルタリング機能は、「Routing and Remote Access Service(以後RRASと省略)」に組み込まれているものである。このサービスは、もともとはWindows NT 4.0に対するアドオン・モジュールとして提供されていたものであるが、現在ではWindows 2000の基本機能として最初からシステムに組み込まれている。RRASに関する情報については、以下の各リソースを参照していただきたい。なおマイクロソフトのKnowledge Baseやサポート技術情報などでこのサービスに関する情報を入手する場合は、キーワードとして「RRAS」か、その開発コード名であった「Steelhead」を指定すればよい。

情報リソース 説明
Windows 2000 Professionalのヘルプファイル netsh.exeコマンドの解説を参照。netshコマンド内でhelpコマンドを実行するとより詳細なヘルプが表示される
Windows 2000 Serverのヘルプファイル [ネットワーク]−[ルーティングとリモートアクセス]−[ルーティング]の項を参照
リソースキット サーバ編第5巻「ネットワークガイド」の第2章「ルーティングとリモートアクセスサービス(RRAS)」、第3章「ユニキャストIPルーティング」を参照。Professional版リソースキットの方には説明はない
Technet Online Routing and Remote Access Service for Windows NT Server:現在の機能と将来への展望」および「MS Routing and Remote Access Service for Windows NT Server 管理者ガイド」を参照。いずれもRRASのベータ版(steelhead)のころに書かれたドキュメントであり、コマンド名がnetsh.exeではなくroutemon.exeとなっているなどの違いがあるが、RRASの概要を知るにはこれでも十分である
RRASに関する情報(パケット・フィルタリングに関するもののみ)

 RRASは、Windows NTを高機能なネットワーク・サービスの基盤として利用可能にするために開発された追加モジュールである。Windows NTのリモート・アクセス・サービス(RAS)とネットワーク機能を統合し、さらにルーティングパケット・フィルタリングマルチキャストVPNNAT、セキュリティなどの機能を追加している。RRASは、従来の専用ルータが持っていたような機能をWindowsシステムにも導入するために開発されたものである。今回のパーソナル・セキュリティ対策の記事ではRRASの持つ豊富な機能のうち、パケット・フィルタリング機能を使って、安全な常時接続ネットワーク環境を構築することにする。

RRASサービスの起動

 Windows 2000 ProfessionalにはRRASサービスが用意されているが、デフォルトではこのサービスは無効になっている。システム開始時に起動させるには、サービスのプロパティを変更する必要がある。

RRASサービスの起動
RRASサービスをシステム起動時に自動的に実行させるには、デスクトップ上にある[マイ コンピュータ]を右クリックして、[プロパティ]メニューから[管理]を起動し、[サービスとアプリケーション]から[サービス]を選ぶか、[スタート]メニューの[プログラム]−[管理ツール]−[サービス]を起動する。そしてRRASのプロパティを表示させる。
  [コンピュータの管理]ツールでサービスを選ぶ。
  「Routing and Remote Access」サービスを選択し、ダブルクリックする→

Routing and Remote Accessサービスのプロパティ
デフォルトではこのサービスは無効になっているので、「自動」に設定して、システム起動時に自動的に開始されるようにする。
  スタートアップ方法の指定。システムのインストール直後は「無効」になっているので、これを「自動」に切り替える。このサービスを起動しないと、いくらRRASのフィルタを設定しても(RRASサービスが起動していなくても、フィルタの設定などは実行できる)まったく効果がない(すべてのパケットがブロックされずにインターフェイスを通過する)。

RRASの2つのバージョン

 RRAS機能は、Windows 2000にデフォルトで組み込まれているが、Professional版のRRASは、Server版のものと比べると機能が制限されている。DHCPNATWINS関連のサービスが利用できないという機能的な違いも大きいし(Professional版の接続共有機能では、RRASのものとは異なる独自のDHCPやNATサービスが使われている。そのためServer版のRRASの管理ツールで管理することはできない)、GUIベースの管理ツールが利用できないという点も大きな違いである。

Windows 2000 ServerのRRAS管理ツールにおけるフィルタ設定
Windows 2000 Serverには、RRASを管理するためのGUIツール、「ルーティングとリモート アクセス」管理ツールが用意されている。これは、パケット・フィルタを設定する部分のダイアログ。Windows 2000 Professional版では、netsh.exeというコマンドライン・ベースの管理ツールが用意されているので(これはServer版でも利用可能)、これを使ってフィルタ設定を行う。どちらのツールを使っても、最終的には同じ効果が得られる。
  パケット・フィルタのデフォルト動作を決めるためのラジオ・ボタン。
  ここに各パケット・フィルタのルールを追加する。
  今回は、おもにこの発信元と宛先のポート番号のフィールドを使って、パケットのフィルタリングを行う。
 
関連記事(Windows Server Insider)
  BookReview:Microsoft Windows 2000 Serverリソースキット/Professionalリソースキットリ
     
  関連リンク
  Routing and Remote Access Service for Windows NT Server:現在の機能と将来への展望(Technet Online)
  MS Routing and Remote Access Service for Windows NT Server 管理者ガイド(Technet Online)


 INDEX
  [運用]常時接続時代のパーソナル・セキュリティ対策(第2回)
  1.Routing and Remote Accessサービスとその使い方(1)
    2.Routing and Remote Accessサービスとその使い方(2)
    3.Routing and Remote Accessサービスとその使い方(3)
    4.Routing and Remote Accessサービスとその使い方(4)
    5.パケット・フィルタの設定(1)
    6.パケット・フィルタの設定(2)
    7.パケット・フィルタの設定(3)
    8.パケット・フィルタの設定(4)
    9.パケット・フィルタの設定(5)
   10.パケット・フィルタの設定(6)
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH