『開いているポートはいくつ？』のクチコミ掲示板

彩と言います。私の環境は

1）クライアントマシーンOS：WindowsXP−pro
2）外向けのサーバー兼ファイアーウォールにFreeBSDマシン
3）内向けのサーバー:Windows 2000 Serverマシン
4）ルーターにて外部接続しています。

私のマシーン1）→2）→4）→インターネット

ファイアーウォールのアプリケーションは、
BlackICE2.9とNorton Internet Security2002を
インストールしています。

例えばOSがMPの場合、Windows Messengeを起動させると
UDPポート5004〜65535を解放してしまい、
アプリケーションによっては、1000番代〜65535を解放
特にNISのインターネットアクセス制御で自動制御したら。
これらを解放してしまってはせっかくのファイヤウォールも
穴だらけになってしまいますよね。

M＄の見解によると、Windows Messengeにおいて
UPnP対応デバイス(ルータ)では、このような設定を行なう必要がなく、
対応デバイスを使用する際にはWindows Messengerがポート番号を自動的に
ネゴシエートして変換されたIPアドレスを使用することができるそうです。
・・といわれてもUPnP対応ルータなんてポピュラーな品物ではありませんので、
Windows Messengerの機能を安全に使うには・・？

ルーターの変換テーブルで設定しても多い機種で64個程度だし？

皆さんは、NISでのインターネットアクセス制御はどうされていますか？

いくら、ルーター経由だからとかファイアーウォールの
アプリケーションを導入しても定義付けれれている規則は一般的なもので
素人がNmapなどでスキャンしてもNISは無防備だし（泣）
未使用ポートを秘匿しても最初から私みたいに
自分からポートを開いているなら笑えますよね。

NISユーザーさんなら統計を表示で左下にあるネットワーク接続は
この掲示板のみをアクセスしているとして、
開いている接続（ポート）はいくつですか？
あるいはcmdのnetstat -aで。

私の場合は、
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:\>netstat -a

Active Connections

Proto Local Address Foreign Address State
TCP aya01-admin:1073 aya01-admin:0 LISTENING
UDP aya01-admin:1025 *:*


私のXPマシーンの簡単な設定はNISでは甘いので、
ルーティング機能とリモートアクセス(RRAS)をあわせて、
INPUT、OUTPUT、DIALに対するパケットフィルタリング機能を使用しています。

TCPは、インバウンドの接続要求をすべて禁止し、
ただし、TCPについては、FTPのデータ・ポートだけは着信

UDPは、インターネット側からの接続要求はすべて禁止
ただし、DNSの応答パケット、DHCPの応答パケット、NTPの3種類だけは許可
内部からインターネット側へのアウトバウンドのパケットは許可

ICMPは、インターネット側からのインバウンド・パケットはすべて禁止
ただしpingパケットで使われるICMP Echo／Echo Replyだけは許可
内部からインターネット側へのアウトバウンドのパケットは許可


システムドライブのアクセス権は、
デフォルトでは、Everyoneにフルコントオールを許可しているので、
Program Files、WINNT、Documents and Settingsなどに
継承を使わずに設定されているルートのアクセス権を
・Everyoneを削除し、以下を追加
・Administrator：フルコントロール
・SYSTEM：フルコントロール
・Authenticated Users： 読み取りと実行に変更。

これにより、システムドライブからの継承により Everyone の権限がある
acldr.exe、arcsetup.exe、bootfont.bin、CONFIG.SYS、IO.SYS、MSDOS.SYS
などのファイルのアクセス権も設定変更により継承されました。


アカウントロックアウトの設定や
セキュリティログの監査などのローカルセキュリティを再設定。

NTLM 認証はデフォルトでは、
パスワード解析ツールに対して弱いLAN Manager 認証情報を、
他のサーバーとの認証時に相手のサーバーに対して送信していたので変更。

他は、エクスプローラから特定のドライブを隠したり、NULL接続を拒否などです。
デフォルトでは、「なし（既定のアクセス権に依存）」が選択されているので、
これを「明示的な匿名アクセス権がない場合アクセスを許可しない」に設定しています。
他にお勧めの設定があれば教えて下さい。


追伸
>ルーターを使っているので、侵入も無いし、
とか他の人に誤解を招く発言は控えましょう。
OSがWin9x系なら・・で簡単に？


私の場合、ルーターの間にFreeBSDののファイアーウォールのサーバーを
（キーボードやモニターはありません）を導入していますが、
シュタッヘルとかのアタックを受けました（笑）

ファイアーウォールのアプリケーションやルーターだけなら
簡単に進入されレジストリーとかに・・されたでしょうね。

まぁ、個人のマシーンならそんなアタックは皆無だろうし、
ポートスキャン程度をNISで防御できればいいのかな？

書込番号：412899

>まぁ、個人のマシーンならそんなアタックは皆無だろうし、
>ポートスキャン程度をNISで防御できればいいのかな？

うちではそうですね。
（常時接続と言っても、用が終わればモデムの電源は落としますし）
用途はインターネットとメールだけなので、プリンタ関係やウイルス対策ソフトを除けば135と445、あとひとつふたつがListeningの状態にあるだけです（ネットに接続してインターネットをしているときでも、netstat -an(a)の行はそんなにはないです）。netstat -anでListeningとなっているところは、ルータ（出）とBlackICE（入）で閉じている程度です（Windows 2000 Insiderの記事をRRASで管理すればいのかもしれませんが？）。

ZoneAlarmとBlackICE Defender、ブロードバンドルータを使用していますが、新たに何かを導入するという考えは今のところないです（ルータの買い換えはしたいですが）。ネットに接続できる一台は、インターネットのためだけのパソコンですし、もう一台は、メールの受信と送信がメインです。他人のメールアドレスやメールといったものは、ネットにつながることのない第三のパソコンで管理しています。

アクセス権や監査、サービスなども、私にもわかるもので簡単なものは、インストール時に設定はしました（十分かどうかはわかりませんが）。使わない機能は、Win2000のインストール時に、外しました（インストール後、インストールされていないことの確認はしていますが）。

数分から長くて2,3時間（平均1時間くらい）接続するだけのインターネット閲覧用のパソコンに、それ以上のことを要求されても．．．

書込番号：413616

>Windows 2000 Insiderの記事をRRASで管理すればいのかもしれませんが？
Windows 2000 Insiderの記事を参考に、RRASで管理すればいのかもしれませんが？

書込番号：413617

>ネットに接続できる一台は、インターネットのためだけのパソコンですし、

インターネットのためだけのパソコンですがですが（HDD以外のハードウエアさえ破壊されなければ良しとするもの）、もう一台のネットに接続するパソコンと変わりなく、ZoneAlarmとBlackICE Defender、ウイルス対策ソフトは入れています。

こちらの方は、インターネット接続前の時点で、netstat -an(a)でListenigの状態にあるのは、ZoneAlarmとプリンタ監視プログラムだけです。

書込番号：413786