[検証]

WindowsでインターネットWebサーバ
―― セキュリティに不安はないか? Windowsで構築するメリットとは? ――

第4回 Windows Web Server 2008のセキュリティ対策

1.互換性を重視したWindowsファイアウォール

デジタルアドバンテージ 打越 浩幸
2008/12/22


 INDEX (全5回)
Windows Web Server 2008の概要
WindowsでもPHP
Server CoreにPHPをインストールする
Windows Web Server 2008のセキュリティ対策
ASP.NETアプリケーション、DotNetNukeをインストールする

 前回はWindows Web Server 2008(以下Web Server 2008)のフルインストール版、およびServer Core版に対して、PHPとPukiWikiシステムをインストールする例を紹介した。今回は、このPukiWikiサーバをインターネットに公開するという前提で、Windowsシステムのセキュリティ対策や、Web Server 2008のセキュリティ関連の機能などについて詳しく見ていくことにしよう。

Web Server 2008のセキュリティ対策

 Windows Server 2008にWeb Server ソフトウェア(IIS)とアプリケーションをインストールしてインターネットに公開する場合、そのセキュリティ対策は重要である。Web Server 2008で実施可能なセキュリティ対策としては、次のようなものがある。

  • IPパケット・フィルタによる不正なアクセスからの保護
  • 不要なコンポーネントのアンインストール(余計な機能をインストールしない)
  • 定期的なセキュリティ・パッチの適用

 以下、これらについて順に見ていく。

Web Server 2008のファイアウォール機能

 Web Server 2008(Windows Server 2008)にはTCP/IPレベルで通信をブロックしたり、許可したりする、新しいファイアウォール(パケット・フィルタ)が用意されている。従来のWindows XPやWindows Server 2003にも「Windowsファイアウォール」と呼ばれるパケット・フィルタ機能が用意されていたが、Windows VistaやWindows Server 2008の「セキュリティが強化されたWindowsファイアウォール」はそれをさらに強化したものになっている。具体的な機能の詳細やその利用方法については、別稿の連載「Vistaの地平」の「進化したWindows Vistaのファイアウォール機能」が詳しいので本記事では省略するが、簡単にまとめておくと次のような点が強化されている。

  • 受信だけでなく、送信方向にも適用可能なパケット・フィルタ
  • 事前定義された数多くのファイアウォール規則
  • MS-RPCの各コマンドに対する個別のファイアウォール規則の適用(MS-RPCを通して利用される個別のコマンドごとに規則を適用できる)
  • ドメイン/パブリック/プライベートの3種類のプロファイルのサポート
  • プロトコルやポート、プログラム/サービスごとに細かく設定可能なフィルタ条件
  • Active Directoryのグループ・ポリシーによる制御
  • 通信経路の保護/暗号化に使用されるIPSecプロトコルに対するフィルタ・サポート
  • IPv6に対するファイアウォール機能の統合
  • MMCを使ったファイアウォールの管理コンソール
  • netshコマンドにおける新しいadvfirewallコンテキストのサポート

 Web Server 2008(Windows Server 2008)でWebサーバを構築し、それを例えばインターネット向けに公開する場合は、最低でもこのようなファイアウォール機能を使って、HTTPプロトコル以外のポートはすべてブロックするようにしておくべきだろう。実際には、Web Server 2008を直接インターネット向けのネットワーク・セグメント(グローバル・アドレスが付与されたネットワーク・セグメント)に置くことはなく、ファイアウォール・アプライアンス(専用のファイアウォール機器)などを介してインターネット向けのネットワーク・セグメントやDMZセグメントに配置することになるだろうが(それらの機器でもパケット・フィルタを適用すること)、それでもWeb Server 2008のファイアウォールを有効にしておくことは、セキュリティのためには必要なことである。万が一、同一セグメント上に配置したほかのサーバがウイルスに感染したり、乗っ取られたりした場合でも、自分自身が感染したり、攻撃されたりすることを防ぐことができるからだ。

インターネット向けのWebサーバの配置
インターネット向けのWebサーバは、インターネットに直接接続するのではなく、インターネット公開用のネットワーク・セグメント(いわゆるDMZセグメント)を作成し、それをファイアウォール・アプライアンスなどを介してインターネットへ接続することが望ましい。さらにWeb Server 2008自体にもパケット・フィルタなどの対策を施し、Webアクセスと最小限の管理用ポート(リモート・デスクトップ接続など)だけに通信を許可する。また管理用ポートへは社内のネットワークからのみアクセスできるようにIPアドレス制限を付け、不用意に外部からアクセスされないようにする。

 それでは、Web Server 2008のファイアウォールの設定方法について見ていこう。といっても実際のWeb Server 2008では、インストール時のデフォルト状態ですでに受信パケット・フィルタは有効になっているし、Webサーバ(IIS)をインストールした時点で、必要なフィルタが設定されるので、管理者が行うべき作業はほとんどない。ファイアウォールの設定内容の確認と、若干のスコープ定義の変更のみ行えばよい。まずファイアウォール機能の設定方法について見ておく。

Windowsファイアウォールを利用する

 Web Server 2008でファイアウォールの設定を行うには2つの方法がある。1つはWindows XPのWindowsファイアウォールと同様に、[コントロール パネル]の[Windowsファイアウォール]を起動する方法で(次の画面参照)、もう1つは[管理ツール]の[セキュリティが強化されたWindowsファイアウォール]を利用する方法である。

Windowsファイアウォールの設定
これは[コントロール パネル]の[Windowsファイアウォール]アプレットを起動したところ。システム・トレイに表示されているネットワーク・インターフェイスのアイコンをクリックして、[ネットワークと共有センター]経由でも起動できる。従来のWindows XPにおけるWindowsファイアウォールに慣れたユーザー向け。
Windowsファイアウォールが有効な場合は、このように緑色で表示される。
Windowsファイアウォールの設定を変更するには、このリンクをクリックする。
ファイアウォールのプロファイル(詳細は後述)。インターネット向けの場合は「パブリック ネットワーク」プロファイルで運用するのがよい。

 Web Server 2008のインストール時にはデフォルトでこのWindowsファイアウォールは有効になっているはずである。

 上の画面で[設定の変更]をクリックすると次のような設定画面が表示されるが、[例外]タブを開いて、Webサーバ関連のポートの例外設定が有効になっている(=外部からの着信を許可する状態になっている)ことを確認しておく。

例外ポートの確認
このファイアウォールでは特定のポートに対する着信(パケットの受信)を許可するかどうかを決める。チェック・ボックスがオンになっているポートは、外部からの着信が許可され、そうでないものはすべて拒否される。Webサーバでは、HTTP/HTTPSプロトコル以外の着信はすべて禁止しておくこと。この画面ではリモートから接続して管理するためにリモート・デスクトップの着信も許可しているが、セキュリティのためにスコープ設定に注意する(詳細は後述)。
このタブを選択する。
WebサーバのHTTPプロトコルのポート。
WebサーバのHTTPSプロトコル(SSL)のポート。

 この画面では「World Wide Web サービス (HTTP)」のチェック・ボックスがオンになっているので、この行をダブルクリックするか、[プロパティ]ボタンをクリックして内容を確認してみよう。

例外規則の確認
これはHTTPプロトコルの例外規則のプロパティを開いたところ。Windows XPのWindowsファイアウォールと異なり、何も設定する項目がない。内容を確認することしかできない。
例外規則の名前。
例外規則の説明。

 Windows XPのWindowsファイアウォールなら、この画面では通信を許可するポートやスコープの設定が行えるが、この画面(Web Server 2008のWindowsファイアウォールの例外規則のプロパティ画面)では何も設定することはできない。

 これは機能が削減されているからではなく、Windows Vista/Windows Server 2008ではファイアウォール・システム自体が大幅に更新、機能強化され、それに伴って管理用のユーザー・インターフェイスも刷新されたからである。Windows XP/Windows Server 2003との互換性のためにこのWindowsファイアウォールの設定画面も用意されているが、ここでは限定的な操作しかできない。詳細なファイアウォールの設定を行うためには、次のセキュリティが強化されたWindowsファイアウォールを利用する必要がある。


 INDEX
  [検証]WindowsでインターネットWebサーバ
  第4回 Windows Web Server 2008のセキュリティ対策
  1.互換性を重視したWindowsファイアウォール
    2.セキュリティが強化されたWindowsファイアウォール
    3.不要なコンポーネントの無効化
    4.定期的なセキュリティ・パッチの適用

 「検証」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH