投稿日:2002年08月01日 作成鷹の巣

No.4416 使用しないサービスのポートを閉じたいのですが方法がわかりません



使用しないサービスのポートを閉じたいのですが方法がわかりません

No.4416 投稿時間:2002年08月01日(Thu) 04:21 投稿者名:リカ URL:

InternetTestTools(http://www.vector.co.jp/soft/win95/net/se078518.html)で自宅サーバーのポートスキャンをしてみたら、
FTP,TELNET,WWWのサービスが利用可になっていました。
このうち、21番のFTPと23番のTELNETは必要ないので,これらのポートを閉じたいのですが、どうすればいいのでしょうか?
環境はYahoo!ADSLモデム→ルーター(25番SMTPと80番WWWのポートは開けてサーバーへポートフォワード)→サーバー(Win2000prof)です。
不思議なのは先のポートスキャンでSMTPが検出されなかったのにも関わらずメールサーバーは機能している点です。
ご指導よろしくお願いします。


ルータの種類

No.4418 投稿時間:2002年08月01日(Thu) 10:10 投稿者名:hip URL:

ルータの機種名を教えてくれれば設定方法をしっているひとがいるかもしれません。

ポートスキャンについては一度 http://sakaguch.com/ServicePort.html を試してみてください。


デフォルトで外からのアクセスに対しては閉じられているはずです。

No.4420 投稿時間:2002年08月01日(Thu) 11:04 投稿者名:こぶど URL:

通常は、ルーターでは明示的に「ポートを開ける」設定をしない限り、デフォルトで外からのアクセスに対しては閉じられているはずです。
ポートを閉じるには、WAN側からLAN側へ、と、LAN側からWAN側へ、の2とおりのフィルタ設定ができるはずです。(もちろん、ルータの機種によりますが)
ルータの説明書を読んでみてください。
メーカーのサイトを見ると、サーバ設置の際の設定例が出ている場合もありますよ。


理想的にはマイクロソフトのISA Serverがいいのかもしれません。

No.4432 投稿時間:2002年08月02日(Fri) 21:44 投稿者名:simmn URL:

私はまだISAServerは勉強中で、詳しいことはわかりませんが、Webサーバーなどをインターネットから完全に切り離してその代理(プロキシー)としてインターネットの世界とやりとりしてくれるので、これが理想なのかもしれません。ただし値段は高いです。

マシンが終端に位置しているのなら、Win2000のTCP/IPフィルタリング機能(ローカルエリア接続-TCP/IP詳細設定-オプション・タブ)で不要なポートへの接続を拒否できるようです。
しかしマシンが終端ではなく中継用(NATルーティングとか)の場合には、必要なトラフィックまで遮断されてしまうみたいなので、うちでは使っていません。

中継用マシンに入れて、安くてしかもうまく行ったのは、BlackICEです。(私は体験版で試しました。)
既定が全部遮断で、必要なポートだけを開けてやれば「防火壁」サーバーがつくれます。
(ただし、うちはDNSサーバーに入れてテストしたので、単独でBlackICE防火壁サーバーをDNSサーバー等の前段に入れる場合、「ホップ」の設定(インターネットに接続されるまでに通過するマシンの数でいいのかな?)とかが必要なのかどうかは不明です。)
ただしBlackICEのフィルター機能はTCPとUDPは設定できるのですが、NTP(時計用のプロトコル)の設定ができないので桜時計などの時刻合わせができなくなってしまいます。
とりあえずは体験版でためしてみてください。

ZoneAlarmPROではファイアーウォールの「カスタム」ボタンである程度ポートの制限ができますが、ごく大雑把です。

実は、今度、BlackICEやZoneAlarmを使って防火壁サーバーとしてDNS&MAILサーバーの前段に入れる実験をしてみようと思っています。
もしうまくいったら、ここでご報告します。


夏風邪でたおれてました。

No.4478 投稿時間:2002年08月06日(Tue) 04:32 投稿者名:リカ URL:

夏風邪をひいてしまい、寝込んでる間に、皆様から回答いただき、ありがとうございました。
私の説明が悪くて誤解をまねいてしまって申し訳ないのですが、サーバーへのポートスキャンはWAN側やLAN側のマシンからではなく、
サーバーマシンそのものから127.0.0.1として調べたもので、この場合ルーターの設定は関与するのでしょうか?
ふと思ったのですが、OSがWin2000profなので2000serverのクライアントとしてTELNETやFTPが使える設定になっていて、
OSの設定でポートを閉じれるのかなと思ったのですが、それがsimmnさんのWin2000のTCP/IPフィルタリング機能ってことでしょうか?
それともFTPやTELNETのサーバープログラムを入れてなければポートが開いていたってセキュリティ上問題ないのでしょうか?
私もちょっと調べてみます。


Win2000PROの場合について、あとで確認します。

No.4498 投稿時間:2002年08月07日(Wed) 19:44 投稿者名:simmn URL:

TCP/IPフィルタリングは、Win2000Serverの画面を開きながら確認して書いたのですが、
Win2000PRO機が現在コケている(RPCサービスを無効にしたところ「ご臨終」になってしまった。)ので、
あとで確認します。
それまでちょっと待っていてください。

あと、外部からのセキュリティチェックには、symantecの無料のセキュリティチェックがあります。
http://www.symantec.com/region/jp
から、セキュリティチェックを選択していきます。
外部からどのポートが見えているかがレポートされます。

BlackICE体験版は、
http://www.toyo.co.jp/security/ids/product/bi_dfndr.html
で入手できます。
体験版をアンインストールする場合には、インストールしたフォルダの中にremoveするためのファイルがあるのでそれをクリックします。
しかしスタートアップ内にショートカットが残ってしまうので、Documents and Settings内のAllUsersフォルダのスタートメニュー-
プログラム-スタートアップフォルダからもアイコンを削除してやります。


|目次|掲示板|過去ログ目次|▲頁先頭|