現在地 HOME > IT7 > 330.html ★阿修羅♪ |
|
Tweet |
「最終更新日は2003年2月7日」となっていてちょっと古いですが参考になりました。
「Zone Alarmの設定」や「SygatePersonal Firewallの設定」の説明なども別記事であります。(画像で案内しているバージョンはやや古いです)
「パケットフィルタリングとその凡例」の記事も参考になりました。しかし、最近話題のIRC(Internet Relay Chat)関連、攻撃者がボット攻撃に利用する194と529のポートの案内はないですね。僕は両方ともTCP、UDPのポートを塞いでいます。
NetBIOS over TCP/IP(NBT)の記事のところをコピペしておきます。元記事は画像説明もあるので下記の文章だけで分りづらかったらリンクをたどってください。
****************************************
http://win.kororo.jp/archi/security/netbios.php
■NetBIOS over TCP/IP(NBT)とは
NetBIOS(Network Basic Input Output System)とは、IBMとMicrosoft社が共同開発した小規模LAN用のネットワークインターフェイスのことで、現在においてはWindows マシンが提供しているファイルやプリンタなどの共有サービス(SMBサービス)を、様々なプロトコルと結合するための、専用のプログラムインターフェイス(例:MS-Networks, LAN Manager)として利用されています。NetBIOSインターフェイスを通信プロトコルとして実装したものがNetBEUI(外部に接続しないLANでよく使用されています)ですが、NetBEUIプロトコル上でSMBサービスを使って、ファイルやプリンタ等の共有サービスを行うのが一般的な方法であるとされてきました。しかし、TCP/IPが業界標準のプロトコルになるにつれ、ルーティング能力を持たないNetBEUIはTCP/IPと比較してだんだん、使われることがなくなってきました。実際の利用では、LAN内でのファイル共有を行うためには、NetBEUIを使用し、インターネット接続する際にはTCP/IPというように2つのプロトコルを使い分けていましたが、いちいちプロトコルを使い分けていては不便であるということで登場したのがNetBIOS over TCP/IP(NBT)です。NetBIOS over TCP/IP(NBT)は、NetBIOSを利用したSMBサービスを、大規模なネットワークでも構築できるようにした実装形式で、NetBEUIを組み込まなくてもWindowsの資源共有を可能としています。
■NetBIOS over TCP/IP(NBT)の危険性
上述したように、LAN内でファイルやプリンタの共有をするためには、NetBIOS over TCP/IPは有効にしておかなければなりません。しかしながら、NetBios over TCP/IPが有効になっていると、自分のコンピュータの情報がインターネットに筒抜けとなってしまい、攻撃者に対して有益な情報を与えてしまうことになります。どのような情報が流れてしまうのかを知りたい方はフリーソフトである「Cerberus' Internet Scaner」というソフトを利用してみると良いでしょう(http://www.cerberus-infosec.co.uk/cis.shtml)。使用方法は至って簡単で「File→Select Host」を選択し、自分のIPアドレス、もしくはコンピュータ名を入力し、「Begin Scan of Hosts」をクリックするだけです。全てチェックが完了したら「View the Report」をクリックします(なお、このソフトを使用する際にはあらかじめ、NetBios over TCP/IPを有効にしておいてください)。このレポートで表示された内容は全て外部からは見えてしまうと言うことになります。これだけ多くの情報が外部に漏れているのかと思うとちょっと恐ろしくもあります。なお、以下の図はCerberus' Internet Scanerのスキャン中の画面です。
LAN内でファイル共有をしている場合も非常に危険です。LAN内でファイル共有をしている場合、相手のIPアドレスさえわかってしまえば、共有フォルダを外部からいつでも閲覧することができるようになってしまいます。このときCドライブ全てを共有設定していた場合は、Cドライブの全てのファイルを外部に晒してしまうことになります。念のため、共有フォルダを作成して「マイネットワーク」→「コンピュータの検索」で自分のIPアドレス、もしくはコンピュータ名を入力して検索をかけてみてください。自分のコンピュータが下記の図のように表示されたら、自分だけではなく外部からも閲覧することが可能であることを意味しています。なお、コンピュータ名で検索をかけて自分のコンピュータが表示され、グローバルIPアドレスで検索をかけて自分のコンピュータが表示されなかった場合は、LAN内からは共有フォルダを閲覧することができますが、WAN側からは自分のコンピュータが見えていない状態になります(つまり、ルータ、もしくはパーソナルフォイアーウォールソフトなどできちんとNetBiosが遮断されている)。上記の例は、あくまで簡単な侵入方法であって、実際の攻撃者はもっと高レベルなツールを使用して侵入を試みるため、NetBios over TCP/IPに対してはそれなりの対策をしておく必要があります。以下にその対策についてまとめてあるので参考にしてください。
ルータの設定で137番から139番までをパケットフィルタリング(遮断)する(たいていのルータはデフォルトで閉じられている)。
WindowsのTCP/IPの設定でNet BIOS over TCP/IPを無効にする。(以下後述)
セキュリティ診断サービスを利用し、ワークグループ名、コンピュータ名が外部(WAN側)から本当に見えていないかどうか確かめる(この場合、NetBIOSの有効性を調べるので「Shileds Up!」の「Test My Shields」で確かめるとよいでしょう。詳しくは「診断サービスを利用する」を参照してください。)
■NetBIOS over TCP/IP(NBT)を無効にする(Windows2000の場合)
それでは、実際にNBTを無効にする設定方法をセキュリティを向上させる設定と併せて解説していきます。「マイネットワーク」のプロパティから「ローカルエリア接続」を右クリックしてプロパティを選択してください。以下のような図が表示されます。この時、「Micorosoft ネットワーク用クライアント」と「Microsoft ネットワーク用ファイルとプリンタ共有」のチェックをはずしてください。チェックをはずしたら「インターネットプロトコル(TCP/IP)」を選択してプロパティをクリックしてください。
以下のような図が表示されたら、「詳細設定」をクリックしてください。その後、現れたウィンドウで「DNS」タブをクリックしてください。
「プライマリDNSサフィックスのの親サフィックスを追加する」と「この接続のアドレスをDNSに登録する」のチェックを両方とも外してください。次に「WINS」タブをクリックしてください。
以下の画面が現れたら「NetBIOS over TCP/IPを有効にする」から「NetBIOS over TCP/IPを無効にする」にチェックを移動させてください。また、「LMHOSTSの参照を有効にする」のチェックボックスもはずしてください。設定が終了したら「OK」をクリックしてください。以上で、NBTを無効にすることができました。きちんと確認をしたい方はセキュリティ診断サービスをご利用ください。
■LMHOSTSとは?
NBTにおける名前解決(コンピュータ名⇔IPアドレス)を円滑に行うために、自社組織内に存在する各端末のIPアドレスとコンピュータ名(NetBIOS名)の対応付けを一覧表にしてまとめたファイルのことです。Windows95/98では"\Windows\lmhosts.sam" に、WindowsNT/2000では、"\winnt\system32\drivers\etc\lmhosts"にサンプルファイルが置かれています。