インターネット接続共有 (ICS) のセキュリティ機能

文書翻訳 文書翻訳
文書番号: 241570 - 対象製品
この記事は、以前は次の ID で公開されていました: JP241570
すべて展開する | すべて折りたたむ

概要

この資料では、インターネット接続共有 (ICS) のセキュリティ機能を説明します。ICS は、セキュリティ対策のためのファイア ウォールとして扱うべきではありませんが、ICS を使用することによりインターネット接続で利用できる全機能を実現しつつ、適度に安全な環境を構築することができます。

詳細

ICS はネットワークアドレス変換 (NAT) 技術を使用して、2 つのネットワーク間で TCP/IP パケットをルーティングします。ICS は内部ネットワーク (主に家庭内の小規模 LAN) と外部ネットワーク (主にインターネット) とを接続します。また、内部ネットワーク上の特定の IP (インターネット プロトコル) アドレスは、ICS により TCP/UDP ポート番号に関連付けられます。IP アドレスに関連付けられたポート番号はテーブルに記録されます。

たとえば、ICS 内部アダプタの IP アドレスが 192.168.0.1 で、インターネット サービス プロバイダ (ISP) に割り当てられた ICS 外部アダプタの IP アドレスが 156.59.23.100 であるとします。ここで、クライアント コンピュータがポート 80 経由でインターネット上の 131.125.13.1 にある Web ページに TCP/IP パケットを送信します。このパケットには以下の情報が含まれます。
送信先 IP アドレス = 131.125.13.1 (インターネット上の送信先アドレス)
発信元 IP アドレス = 192.168.0.2
送信先ポート = 80
発信元ポート= 2000 (プログラムにより設定)
131.125.13.1 は 192.168.0.x のアドレス範囲ではローカルではないため、パケットはデフォルト ゲートウェイとして動作している ICS コンピュータに向かいます。ICS コンピュータは新しいパケットを生成して 131.125.13.1 の Web ページに送信します。このパケットには以下の情報が含まれます。
送信先 IP アドレス = 131.125.13.1
発信元 IP アドレス = 156.59.23.100 (ISP が ICS 外部アダプタに割り当てた IP アドレス)
送信先ポート= 80
発信元ポート = 3000
発信元 IP アドレスと発信元ポートの値が変化していることに注目してください。すなわち、ポート 3000 は接続が閉じられるまでは IP アドレス 192.168.0.2 にマッピングされることになります。このポート マッピングはテーブルに記録されています。Web ページが応答すると、ICS コンピュータは以下の情報を含むパケットを受信します。
送信先 IP アドレス = 156.59.23.100
発信元 IP アドレス = 131.125.13.1
送信先ポート = 3000
発信元ポート = 80
次に ICS コンピュータはパケットを変換し、最初のパケットを発信したクライアント コンピュータの IP アドレス 192.168.0.2 に新しいパケットを送信します。ICS は、ポート マッピング テーブルに記録された情報から、ポート 3000 がこの IP アドレスに割り当てられていることを検出します。クライアントに送信されたパケットには、以下の情報が含まれています。
送信先 IP アドレス = 192.168.0.2
発信元 IP アドレス = 131.125.13.1
送信先ポート = 2000
発信元ポート = 80
送信先ポートと IP アドレスが、最初のパケットを発信したクライアント コンピュータが使用するポート番号に変更されていることに注目してください。変換処理のため、インターネットは ICS コンピュータ の先 (ICS コンピュータを含む) にある LAN (すべてのクライアント コンピュータ) を 1 つの IP アドレスとして検出します。

インターネットからのパケットが ICS コンピュータの先にあるクライアント コンピュータに届けられる方法は 2 つあります。
  • ICS コンピュータが届いたパケットを変換し、変換テーブルに基づいて新しいパケットをクライアント コンピュータに送信します。クライアント コンピュータは、インターネットから ICS コンピュータ経由でパケットを受信する前に、パケットを最初に送信しなければなりません (これにより、ポート マッピングが記録されます)。
  • ICS コンピュータは、特定のポートに入ってくるすべてのトラフィックを特定のクライアント コンピュータに振り向けるように設定されています。この方法では、デフォルトの設定を変更する必要があります。 関連情報については、次の文書番号をクリックして Microsoft Knowledge Base を参照してください。
    231162 How to Map a Port in ICS Using an .inf File
    ネットワーク アドレス変換 (NAT) の詳細については、RFC 1631 を参照してください。
ICS コンピュータでは、TCP ポート 135 および UDP ポート 139 を除き、ポート 1 〜 1024 は特にブロック されていません。これらのポートをブロックすると、ファイルとプリンタの共有要求 (SMB 要求) が外部アダプタで機能できなくなります。こうなると、ICS コンピュータを通過する TCP/IP パケットに以下の影響が生じます。
  • ICS コンピュータから送信されたパケット、または 1024 を超えたポート番号を使用するインターネットから受信したパケットはいずれも、ICS コンピュータの先にあるほかのクライアント コンピュータと同様に変換が必要です。たとえば、ICS コンピュータから発信されたパケットと、これに対応するポート番号 5000 の応答パケットには、上で説明した変換プロセスが実行されなければなりません。
  • ICS コンピュータから送信されたパケット、または 1024 以下のポートを使用するインターネットから受信したパケットはいずれも変換されず、インターネットまたは ICS コンピュータ上のプログラムに直接送信されます。たとえば、ICS コンピュータでホームページを開くと、パケットはポート 80 に送信され、変換されずに直接インターネットに向かいます。さらに、ICS コンピュータがポート 80 で受信したパケットは、ポート 80 を能動的に監視している ICS コンピュータ (Web サーバーなど) のプログラムに直接送信されます。ポート番号 1024 以下のポート上での要求に ICS コンピュータが直接応答するようにするには、プログラムにその要求と同じポートでパケットを監視させる必要があります。デフォルトでは、ポート 135 および 139 がブロックされているため、ICS コンピュータは SMB (サーバー メッセージ ブロック) 要求に応答しません。
ICS は、ICS コンピュータの外部アダプタからのファイルとプリンタの共有をアンバインドしません。ダイヤルアップ ネットワーク (DUN) は、イーサネット アダプタ (DSL およびケーブル モデム接続用) がデフォルトでファイルとプリンタの共有をアンバインドしないダイヤルアップ アダプタからのファイルとプリンタの共有をアンバインドします。ICS コンピュータのポート 135 および 139 は、インターネット上のリモート コンピュータがローカル ネットワーク上の共有やプリンタにアクセスすることを防ぐため、デフォルトで外部アダプタでブロックされています。これらのポートをブロックしても、ICS コンピュータが LAN (ローカル エリア ネットワーク) 内のほかのコンピュータとファイルやプリンタを共有する機能には影響しません。これらのポートのブロックを解除すると、ローカル ネットワークのプリンタや共有はインターネットに対して無防備になるためお勧めしません。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 241570 (最終更新日 2000-09-16) をもとに作成したものです。

プロパティ

文書番号: 241570 - 最終更新日: 2004年10月2日 - リビジョン: 1.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows Millennium Edition
キーワード:?
kbenv kbwinme win98se kbhowto KB241570
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com