Question 不正利用されやすいWindowsのポートをファイアウォールで閉じたいと思いますが,既存システムに何か影響があるのでしょうか?
Answer TCP/UDP135,137,138,139,445番はポートを閉じておくのが無難ですが,既存システムに支障が出る場合もあります
| ||
|
ポート番号は,0番から65535番まであり,0~1023番は「Well known port numbers」として,1024~49151番は「Registered port numbers」として,ポート番号とアプリケーションの対応関係が決まっています。ポート番号の管理はIANA(The Internet Assigned Numbers Authority)が行っており,http://www.iana.org/assignments/ports-numbersで公開されています。また,インターネット技術の標準化団体IETF(Internet Engineering Task Force)がRFCとして規定しているものもあります。
Windowsで使用するポート番号の情報は,各製品のリソース・キットなどに収録されていますが,Windowsのポート番号はアプリケーションと1対1ではなく,1つのアプリケーションで複数のポートを使うこともあるようです。マイクロソフト製品においては,TCP/UDP135,137,138,139,445番などWindows関連で利用すると決まっているポートはすべて使う可能性もあるとされています。
135,137~139,445を閉じる
数多くあるポートの中には,Windowsのセキュリティ・ホールを悪用したウイルスやワームによってよくねらわれるポートがあります。表1[拡大表示]は2003年8月以降に明らかになったWindowsの主なセキュリティ・ホールと,そのホールが攻撃を受ける際に,不正利用される可能性があるポート番号の例です。
Windowsに関するセキュリティ・ホールとその修正プログラムが発表されたとき,ウイルスなどを防ぐ方法としてどのポートをふさげばよいかはマイクロソフトのホームページで公開されます(画面1[拡大表示])。こうした情報をまとめてみると,特にTCP/UDP135,137,138,139,445のポート番号は「Windowsで使われる」という理由でねらわれやすくなっています。
例えば,2003年8月に大きな被害を出したワーム「Blaster」は,MS03-026(RPCインターフェイスのバッファ オーバーランによりコードが実行される)というセキュリティ・ホールを悪用しました。Blasterワームは,攻撃対象のマシンの135番のポート宛てに,バッファ・オーバーフローを起こさせるようなパケットを送信します。135番のポートが開いていてパッチを適用していなかった場合は,そのパケットからプログラムを起動して,TCPポート4444番経由で,TFTP(UDPポート69番を利用)を起動します。そこから,Blasterワーム本体がダウンロードされ感染してしまいます。
対策としては,インターネットと社内LANとの境界に置いたファイアウォールで,よくねらわれるTCP/UDP135,137,138,139,445の各ポートをふさぐ方法があります。こうしておけば,これらのポートをねらうウイルスやワームのインターネットからの侵入を防ぐことができます。
これらのポートを閉じることで,社内LANにおける既存システムへの影響はありません。ただし,社外とのやりとりにRPCを用いたり,社外とのファイル共有を行ったりすることはできなくなります。また,社内LANを接続する各拠点のルーターで,これらのポートを閉じると,拠点間の通信が行えなくなることがあります。特に,TCP/UDP135番を閉じると,Active Directoryが利用できなくなることがあります。
パーソナルFWの使用には注意
インターネットとLANとの境界に置いたファイアウォールでポートを閉じるだけでは,ウイルスに感染したノートPCを直接社内LANに持ち込まれた場合には対処できません。
そこで,Windows XPが備えているパーソナル・ファイアウォールやセキュリティ対策ソフトに付いているクライアントPC用のファイアウォール機能で危険なポートを閉じれば,感染予防としてはさらに効果があります。しかし,既存システムへ与える影響は大きくなります。例えば,各PCでTCP/UDP135番を閉じてしまうと,RPCを用いたシステムやActive Directoryが拠点内でも利用できなくなります。また,TCP/UDP139番や445番を閉じると,ファイルやプリンタの共有さえできなくなります。
