一部の状況で、IPSec のデフォルトの適用除外項目が IPsec 保護の回避に利用されることがある

文書翻訳 文書翻訳
文書番号: 811832 - 対象製品
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

概要

Windows 2000、Windows XP、および Windows Server 2003 の IPSec (Internet Protocol Security) 機能は、完全な機能を持つホスト ベースのファイアウォールとしては設計されていません。IPSec は、ネットワーク パケット内のアドレス、プロトコル、およびポート情報を使用して、基本的な許可フィルタとブロック フィルタを提供するように設計されています。また、プログラムに対して透過的な方法で通信セキュリティを強化するための管理ツールとしても設計されています。このため IPSec は主として、Kerberos サービスからコンピュータの信頼関係情報を入手可能なイントラネット環境、または公開キー基盤 (PKI) のデジタル証明書が使用可能なインターネット経由の特定パスに対して、IPSec トランスポート モードまたは IPSec トンネル モードでセキュリティをネゴシエートするために必要なトラフィック フィルタを提供します。

IPSec ポリシー フィルタに対するデフォルトの適用除外項目については、Microsoft Windows 2000 と Microsoft Windows XP のオンライン ヘルプに記載されています。これらのフィルタにより、インターネット キー交換 (IKE) と Kerberos サービスが機能します。また、これらのフィルタにより、データ トラフィックが IPSec により保護されている場合のネットワークのサービス品質 (QoS) の要求 (RSVP) や、IPSec により保護されないマルチキャスト トラフィックやブロードキャスト トラフィックなども利用できるようになります。 これらのフィルタの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
253169 [NT]IPSec により保護されるトラフィックと保護されないトラフィック

詳細

特にインターネットに直接接続している環境で、基本的なホスト ファイアウォール パケット フィルタとしての IPSec の使用が増加しているにもかかわらず、これらデフォルトの適用除外の影響は完全には理解されていません。このため、一部の IPSec 管理者は自分が安全であると思う IPSec ポリシーを作成することがありますが、それは実際には、デフォルトの適用除外項目を悪用する着信攻撃に対して安全ではありません。

マイクロソフトでは、ネットワーク管理者がこの資料の手順に従って、IPSec のデフォルトの適用除外から項目を外すことを推奨します。これは、ファイアウォールのような機能で、攻撃者によるコンピュータへのネットワーク アクセスを防御することが必要な状況で IPSec を使用する場合に、特に推奨されます。特定の IPSec ポリシー構成によって提供される IPSec 保護が攻撃者によって無効にされるのを防ぐために、Kerberos をデフォルトの適用除外項目から外します。この変更後、既存のセキュリティ ポリシーが適切に機能するためには、ポリシーの変更が必要になる場合があります。

管理者がこの変更を導入する計画を立てる場合、Windows 2000 ベースと Windows XP ベースのすべてのコンピュータでレジストリ値
NoDefaultExempt=1
を使用することから始めます。このレジストリ値の目的は、この資料の後半に記載されています。

IPSec のデフォルトの適用除外の定義

以下の表は、IPSec フィルタに対して、デフォルトの適用除外がそのまますべて有効になっている場合 (
NoDefaultExempt
が 0 に設定されている場合) に実装されるフィルタの概要です。これらフィルタの定義は、他の IPSec ポリシー フィルタとは無関係に、トラフィックを許可するために IPSec ドライバに適用される、デフォルトの除外項目を示すものです。IPSec ポリシー フィルタの詳細を表示するために設計されたツールでは、これら適用除外項目については表示されません。

NoDefaultExempt=0
の場合に対応するフィルタ
元に戻す全体を表示する
送信元アドレス 宛先アドレス プロトコル 送信元ポート 宛先ポート フィルタ操作
自分の IP アドレス 任意の IP アドレス UDP 任意 88 許可
任意の IP アドレス 自分の IP アドレス UDP 88 任意 許可
任意の IP アドレス 自分の IP アドレス UDP 任意 88 許可
自分の IP アドレス 任意の IP アドレス UDP 88 任意 許可
自分の IP アドレス 任意の IP アドレス TCP 任意 88 許可
任意の IP アドレス 自分の IP アドレス TCP 88 任意 許可
任意の IP アドレス 自分の IP アドレス TCP 任意 88 許可
自分の IP アドレス 任意の IP アドレス TCP 88 任意 許可
自分の IP アドレス 任意の IP アドレス UDP 500 500 (1) 許可
任意の IP アドレス 自分の IP アドレス UDP 500 500 許可
自分の IP アドレス 任意 46 (RSVP) 許可
任意の IP アドレス 自分の IP アドレス 46 (RSVP) 許可
任意の IP アドレス <マルチキャスト> (2) 許可
自分の IP アドレス <マルチキャスト> 許可
任意の IP アドレス <ブロードキャスト> (3) 許可
自分の IP アドレス <ブロードキャスト> 許可
<すべての IPv6 プロトコル トラフィック> (5) <すべての IPv6 プロトコル トラフィック> (4) 許可
IP アドレス指定時、サブネット マスクは 255.255.255.255 です。IP アドレスが任意の場合、サブネット マスクは 0.0.0.0 です。
  1. IPSec トランスポート モードで IPSec トンネル モード SA を通してネゴシエートするために、ISAKMP トラフィックが最初に IPSec トンネルを通過する必要がある場合、ISAKMP トラフィックは除外されません。
  2. マルチキャスト トラフィックはクラス D の範囲として定義され、宛先アドレスの範囲は 224.0.0.0 で、サブネット マスクは 240.0.0.0 です。これは、IP アドレスの範囲 224.0.0.0 〜 239.255.255.255 を含みます。
  3. ブロードキャスト トラフィックは、宛先アドレスが制限付きブロードキャスト アドレス 255.255.255.255 として定義されるか、IP アドレスのホスト ID 部分がすべて 1 に設定されたサブネット ブロードキャスト アドレスとして定義されます。
  4. IP プロトコル 41 として IPv4 ヘッダを使用して IPv6 パケットがカプセル化されている場合を除き、IPSec では IPv6 パケットに対するフィルタはサポートされません。Windows における IPv6 サポートの詳細については、次のマイクロソフト Web サイトを参照してください。
    http://www.microsoft.com/japan/windowsserver2003/technologies/ipv6/default.mspx

各オペレーティング システムにおける NoDefaultExempt のサポート

以下の表は、Windows 2000 と Windows XP のさまざまなリリースにおけるデフォルトの適用除外の動作を説明したものです。
元に戻す全体を表示する
製品、リリース版 SP1 SP2 SP3 SP4
Windows 2000 デフォルトの適用除外があり、
NoDefaultExempt
値はサポートされません。
デフォルトの適用除外があり、
NoDefaultExempt
値はサポートされています (値は 0 または 1 です)。
デフォルトの適用除外があり、
NoDefaultExempt
値はサポートされています (値は 0 または 1 です)。
デフォルトの適用除外があり、
NoDefaultExempt
値はサポートされています (値は 0 または 1 です)。
デフォルトが変更され、
NoDefaultExempt=1
で、Kerb と RSVP が適用除外項目から外されています。
Windows XP デフォルトの適用除外があり、
NoDefaultExempt
値はサポートされています (値は 0 または 1 です)。
デフォルトの適用除外があり、
NoDefaultExempt
値はサポートされています (値は 0 または 1 です)。
デフォルトが変更され、
NoDefaultExempt=1
で、Kerb と RSVP が適用除外項目から外されています。


: Windows 2000 と Windows XP の IPSec では、ブロードキャストおよびマルチキャスト トラフィックに対するフィルタはサポートされません。

デフォルトの適用除外から項目を削除する

次のレジストリ値で、IPSec に対するデフォルトの適用除外項目の種類を管理することができます。
NoDefaultExempt

種類 : REG_DWORD
範囲 : 以下のとおり。
Windows 2000 : 0 〜 1 のみサポート
Windows XP : 0 〜 1 のみサポート
Windows Server 2003 : 0 〜 3 のみサポート
デフォルトの動作 (Windows 2000 および Windows XP) : 0
デフォルトの動作 (Windows Server 2003) : 3
デフォルトで存在するかどうか : いいえ
使用可能な値の説明 :
  • 値 0 では、マルチキャスト、ブロードキャスト、RSVP、Kerberos、および IKE (ISAKMP) トラフィックに IPSec フィルタが適用されません。これは、Windows 2000 と Windows XP でのデフォルトのフィルタ動作です。既存の IPSec ポリシーまたは Windows 2000 および Windows XP で処理の互換性を維持する必要がある場合にのみ、この設定を使用します。
  • 値 1 では、Kerberos と RSVP トラフィックに IPSec フィルタが適用されますが、マルチキャスト、ブロードキャスト、および IKE トラフィックには適用されません。これは、Windows 2000 と Windows XP での推奨値です。
  • 値 2 では、マルチキャスト、ブロードキャスト トラフィックに IPSec フィルタが適用されますが、RSVP、Kerberos、および IKE トラフィックには適用されません。これは、Windows Server 2003 でのみサポートされます。
  • 値 3 では、IKE トラフィックにのみ IPSec フィルタが適用されません。これは、Windows Server 2003 でのみサポートされます。このレジストリ値は Windows Server 2003 にデフォルトでは存在しませんが、これがデフォルトの動作です。
警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。 このレジストリ値を構成するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に regedit と入力し、[OK] をクリックします。
  2. 次のレジストリ キーをクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. [IPSEC] を右クリックし、[新規] をポイントし、[DWORD 値] をクリックします。
  4. この新しいエントリに NoDefaultExempt という名前を付けます。
  5. NoDefaultExempt
    の値を 0 から 1 に変更します。これ以外の値がユーザー環境に最適の場合には、1 以外の値を使用することができます。
  6. レジストリ エディタを終了します。
  7. Windows XP の場合は、[スタート] ボタンをクリックし、[コントロール パネル] をクリックした後、[管理ツール] をダブルクリックします。Windows 2000 の場合は、[スタート] ボタンをクリックし、[設定] をクリックして、[コントロール パネル] をクリックした後、[管理ツール] をダブルクリックします。
  8. [サービス] をダブルクリックします。
  9. IPSec Services を停止してから、再度開始します。Windows XP の場合は、この後でコンピュータを再起動する必要があります。

デフォルトの適用除外による影響

Windows 2000 または Windows XP で構成した、一方向のブロック フィルタの例を以下に示します。これらの規則を持つブロック フィルタを適用すると、すべての着信トラフィックがブロックされます。このフィルタ規則は、この規則に対する IPSec の適用除外の影響を説明するためにのみ使用されます。
送信元アドレス :	任意
送信元マスク :	0.0.0.0
宛先アドレス :	自分の IP アドレス (10.10.1.2)
宛先マスク :	(255.255.255.255)
プロトコル :	任意
送信元ポート :	任意
宛先ポート :	任意
ミラー :		なし
この例における管理者の意図は、IP アドレス 10.10.1.2 に向かうすべての着信ユニキャスト トラフィックをブロックすることです。以下に、このフィルタを適用した場合のデフォルトの適用除外の影響について説明します。

IKE が適用除外項目であることの影響

IKE に対する適用除外は、UDP の送信元と宛先ポート 500 に固有です。デフォルトで IKE への適用が除外されるため、IKE は、常にこの種類のパケットを任意の送信元アドレスから受信します。このため、攻撃者が、この IKE ポートを使用して IKE 自体を攻撃し、問題を発生させることが可能な場合があります。ただし、IKE ポートを使用して、開いている他の UDP または TCP ポートを攻撃することはできません。IKE は着信パケットに応答すべきかどうかを判断するために、IPSec ポリシーを検索します。IKE は 2 つの IPSec ホスト間のセキュリティ設定をネゴシエートするために使用され、IPSec フィルタはトラフィックの許可とブロックの制御だけに使用されるため、IKE は一致するセキュリティ ポリシーを発見できず、着信要求に応答しません。

IKE では、サービス拒否 (DoS) 攻撃を避けるために、多くの方法を使用します。Windows 2000 Service Pack 3 と Windows XP では、IKE フラッディング (flooding) 攻撃に対する DoS 回避機能が強化されています。IKE は、IPSec サービスおよび IPSec ドライバと無関係に無効にすることはできません。IKE は、IPSec サービスを停止することによってのみ無効にすることができ、これにより IPSec フィルタも無効になります。

IKE がインターネットから攻撃を受けていて、IKE は必要でなく、IPSec フィルタは必要な場合には、以下のようにいくつかの選択肢があります。
  • デフォルトのゲートウェイまたはファイアウォール上で、UDP 500 トラフィックに対するブロック フィルタが使用可能です。
  • インターネット インターフェイスのプロパティの詳細設定で TCP/IP フィルタリングを構成します。[一部許可する] をクリックして、UDP 500 以外の必要な UDP ポートを追加します。 このオプションの使用方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    309798 Windows 2000 で TCP/IP フィルタリングを構成する方法
    netstat -a コマンドを使用して、開いている UDP ポートを確認します。
  • Windows XP では、インターネット インターフェイスでインターネット接続ファイアウォール (ICF) を有効にして、すべての着信トラフィックをブロックすることができます。UDP 500 以外の UDP ポートを通過させるように設定することができます。 ICF の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    283673 Windows XP でインターネット ファイアウォールを有効または無効にする方法

Kerberos がデフォルトの適用除外項目であることの影響

この例では、一方向のすべての着信トラフィックをブロックしており、すべての着信または発信ユニキャスト Kerberos トラフィックは、このフィルタではブロックされません。このため、攻撃者は、送信元ポート 88 を使用するユニキャスト UDP または TCP パケットを作成して、10.10.1.2 で開いている任意のポートにアクセスすることができます。これにより、ブロック フィルタを使用していても、UDP および TCP のポート スキャンが可能になります。攻撃を防ぐために、管理者はレジストリ値
NoDefaultExempt
を設定する必要があります。フィルタリング ルーターまたはファイアウォールを使用している場合、これらの機器で Kerberos ポートを使用するトラフィックを処理する方式によっては、前述の攻撃者からのトラフィックが許可される可能性があります。

: 多くのポート スキャン ツールでは、この動作は検出されません。これは、これらのツールでは、開いているポートのチェック時に、送信元ポートを 88 に設定できないためです。また、多くのポート スキャン ツールでは、開いていない TCP または UDP ポートに送信されるプローブに対する応答として ICMP メッセージが想定されていることにも注意する必要があります。IPSec で ICMP トラフィックがブロックされる場合、スキャン ツールはポートが開いていると誤って通知することがあります。ネットワーク モニタ ツールでネットワーク トレースを使用して、ネットワーク上でこのトラフィックが送受信されていることを確認してください。

Kerberos を適用除外項目から外し、IKE の Kerberos 認証を使用することによりトラフィックをセキュリティで保護するために IPSec を使用する場合には、次の IPSec ポリシー設計上の考慮点に従う必要があります。
  • NoDefaultExempt=1
    で IKE Kerberos 認証を使用しているコンピュータは、通信相手となるコンピュータ (ピア コンピュータ) に同じレジストリ値が設定されていない場合、IKE Kerberos 認証を使用しているピア コンピュータと通信することができません。これが必須の場合は、Kerberos の代わりに、IKE に対する証明書認証を使用します。
  • 関連するすべてのドメイン コントローラ (DC) の IP アドレスで送受信される Kerberos と UDP 389 トラフィックに対して明示的に適用除外を行うには、IPSec ポリシーで指定する必要があります。2003 年 3 月現在、マイクロソフトでは、ドメイン メンバからドメイン コントローラへの IPSec でセキュリティ保護されたトラフィックをサポートしていないため、ドメイン コントローラの IP アドレスへのすべてのトラフィックを明示的に許可するためのフィルタを IPSec ポリシーに追加してください。DC が多数存在する場合、多数の許可フィルタが必要になる可能性があります。DC の IP アドレスは、DC に恒久的に割り当てられている (静的 IP アドレスである) 必要があります。ドメイン内のすべての DC に対するフィルタ一覧は、管理者が手動で管理して最新の IP アドレスの一覧を保持する必要があります。新しいフィルタの作成時、送信元アドレスまたは宛先アドレスとしてドメインの DNS 名をフィルタに指定すると、管理者は、より容易に一覧を更新できます。これにより、DNS に対するドメイン名をドメイン内のすべての最新の IP アドレスに解決し、個々の IP アドレスに対するフィルタを作成できます。フィルタ一覧を実稼動システムで使用する前に、IP アドレスの一覧を検証する必要があります。新しい DC を追加する場合は、このフィルタ一覧に新しいフィルタを追加する必要があります。マイクロソフトでは、1 つのドメイン内のすべての DC に対して 1 つのフィルタ一覧を使用し、それを IPSec ポリシー規則間で共有することを推奨しています。参照を容易にするため、フィルタ一覧の名前には、IP アドレスを最後に更新した時刻を含めます。
ドメイン コントローラ間の通信の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
254949 Windows 2000 および Windows Server 2003 でのトラフィック (クライアントとドメイン コントローラ間およびドメイン コントローラ間) に対する IPSec サポート

RSVP が適用除外項目であることの影響

RSVP を使用しているコンピュータに対して、攻撃者が偽装した (悪質な) RSVP パケットを 10.10.1.2 に送信するかフラッディングを行うことにより、サービス拒否攻撃が可能な場合があります。このアドレス 10.10.1.2 は、前の例で使用された IP アドレスであり、攻撃は、例にある一方向の着信 IPSec ブロック フィルタでブロックされません。

RSVP プロトコルは、IP プロトコル 46 であり、プログラム トラフィック用にルーター内の帯域幅を予約するために使用されるシグナリング プロトコルです。

Windows 2000 における RSVP

Windows 2000 では、以下の環境下で RSVP プロトコルが使用されます。
  • QoS 受付制御サービスがインストールされています。これは、Windows 2000 Server コンピュータにおけるオプションのネットワーク コンポーネントです。このコンポーネントをインストールすると、RSVP トラフィックが送受信されます。
  • QoS RSVP サービスが実行されています。このサービスはデフォルトでインストールされ、スタートアップの種類が "自動" に設定されます。このサービスの開始時、RSVP プロトコルを使用する Rsvp.exe プログラムが読み込まれ、その後、RSVP シグナリングを必要とするトラフィックがなくなった場合、このプログラムはアンロードされます。QoS サービスが必要な場合には、Rsvp.exe プログラムが自動的に読み込まれます。
  • プログラムにより、GQoS ソケット オプションでソケットが開かれています。Rsvp.exe プログラムは、ソケット トラフィックに対するシグナリングを管理するために継続的に実行されます。
  • pathping -r コマンドでは、ルーターが RSVP 対応であるかどうかを調べるために RSVP プロトコルが使用されます。
RSVP プロトコル シグナリングを無効にする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
247103 How to Disable RSVP Signaling
この場合、QoS RSVP サービスは、指定されたインターフェイスで RSVP シグナリングを送信しません。

Windows XP における RSVP

RSVP プロトコルは、Windows XP では利用価値が下がっています。QoS (Quality of Service) RSVP サービスはデフォルトでインストールされますが、手動で開始するように設定されています。このサービスでは、RSVP プロトコル メッセージの送信や受信した RSVP プロトコル メッセージの処理を行いません。RSVP プロトコルの登録は行われ、TCPIP スタックは IP プロトコル 46 のパケットを受信します。しかし、これらの着信パケットは破棄されます。QoS RSVP サービスが開始されていない場合、TCP/IP プロトコル スタックは着信 RSVP パケットを破棄した後、応答として ICMP "destination unreachable" パケットを送信します。

Windows XP で RSVP プロトコルが使用されるのは、ルーターが RSVP 対応かどうかを調べるために、pathping -r コマンドを使用する場合だけです。

RSVP 攻撃に対する防御

IPSec を有効にして、RSVP プロトコルを使用した攻撃を防ぐには、管理者がレジストリ値
NoDefaultExempt=1
を設定して、IPSec の適用除外項目から RSVP を削除する必要があります。代替策として、QoS RSVP サービスを無効にするか、RSVP プロトコルを無効にすることもできます。 この方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
247103 How to Disable RSVP Signaling
RSVP プロトコル処理が必要な場合は、適切な送信元と宛先アドレスに対して IP プロトコル 46 を許可するための明示的な許可フィルタを IPSec ポリシーに定義することができます。RSVP はルーターと通信することを目的としているため、マイクロソフトでは RSVP のセキュリティをネゴシエートするために IPSec を使用することを推奨していません。また、IPSec でフィルタできないマルチキャスト アドレスが、RSVP で使用される場合があることに注意してください。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
278517 RSVP パケットはローカル マルチキャスト アドレスを使用

ブロードキャストおよびマルチキャストが適用除外項目であることの影響

例に挙げた着信フィルタでは、特定のユニキャスト IP アドレス (10.10.1.2) が宛先として設定されているため、マルチキャスト アドレスやブロードキャスト アドレスが宛先に設定されたパケットは、この着信フィルタと一致しません。Windows 2000 と Windows XP の IPSec フィルタでは、マルチキャストまたはブロードキャスト トラフィックをフィルタできません。

攻撃者がマルチキャスト パケットまたはブロードキャスト パケットを作成し、コンピュータがこれらのパケットを受信することをネットワークが許可している場合、攻撃者は、前述の例で使用された IPSec フィルタを迂回することができます。デフォルトのゲートウェイ ルーターの構成では、受信者が要求していない着信マルチキャストまたはブロードキャスト トラフィックは転送されないため、通常、このトラフィックを悪用して攻撃を行うには、攻撃者はローカルのサブネット上にいる必要があります。しかし、フィルタ オプションの [IPSec に対応していないコンピュータとセキュリティで保護されていない通信を許可] を使用する IPSec ポリシー設計の一部では、攻撃者が着信マルチキャストまたはブロードキャスト トラフィックを悪用して宛先コンピュータにユニキャスト応答を送信させることが可能な場合があります。その後、これにより、Soft SA パケットを作成する発信 IKE ネゴシエーションが開始され、攻撃者が接続するための経路が開かれます。攻撃者は、IPSec フィルタを迂回するため、マルチキャスト宛先アドレスまたはブロードキャスト宛先アドレスを使用して、無効な TCP パケットを作成することがあります。マルチキャスト パケットまたはブロードキャスト パケットの受信を要求するプログラムまたはプロトコルが実行されていて、攻撃者とそのプログラムの両方でマルチキャストとブロードキャスト トラフィックだけが使用されている場合、攻撃者がそのプログラムと通信できることがあります。

マイクロソフトは、IPSec 管理者がルーターとファイアウォールの構成についてネットワーク管理者と検討して、現在の IPSec ポリシーに基づくこの種の攻撃の可能性を詳しく調査することを推奨します。

TCP ベースの通信では、ユニキャスト IP トラフィックを使用する 3 方向ハンドシェイクが必要なため、マルチキャストまたはブロードキャストを使用することはできません。Windows 2000 と Windows XP では、UDP と RAW ソケットを使用するプログラムおよびサービスは、そのプログラムが開いたポートに対してブロードキャスト トラフィックが送信された場合、デフォルトでそれを受信します。RFC 2644 では、ルーターはダイレクト ブロードキャスト トラフィックを転送してはならないと規定されています。ローカル リンクから使用される可能性のあるブロードキャスト トラフィックには、この他に以下の 2 種類があります。
  • 制限されたブロードキャスト アドレス - これは、宛先 IP アドレスが 255.255.255.255 の場合です。
  • ネットワーク プレフィックスを使用したダイレクト ブロードキャスト - これは、宛先 IP アドレスが x.y.255.255 または x.y.z.255 で適切なサブネット マスクを持つ場合です。
プログラムでは通常、このトラフィックを使用して自身の通信モデルを定義します。マルチキャストおよびブロードキャストは通常、最初にサービスのアナウンスとサービスの検出のために使用されます。その後、送信元コンピュータと宛先コンピュータは、相互の IP アドレス間でユニキャスト IP トラフィックを使用して通信を継続します。

デフォルトでブロードキャスト トラフィックを受信する UDP プログラムを確認するには、netstat コマンドを使用します。
  • Windows 2000 : netstat -a -p UDP ポートを開いたプログラムを表示する方法はありません。
  • Windows XP : netstat -ao -p UDP ao スイッチを使用すると、プロセス ID が表示されるため、開いているポートを使用中のプログラムを特定するのに役立ちます。

マルチキャスト トラフィックを受信するプログラム


プログラムでは、着信マルチキャスト トラフィックを受信するように明示的に TCP/IP スタックに登録する必要があります。プログラムがこの種のトラフィックを受信するように登録されていない場合、着信マルチキャスト パケットは破棄されます。ただし、マルチキャスト パケットは、ネットワーク アダプタ (最も一般的)、ミニポート、IP レイヤ、または UDP レイヤで破棄できます。管理者は、マルチキャスト トラフィックがコンピュータの攻撃に使用される可能性があるかどうかをより正確に評価するため、ネットワーク経由でルーティング可能なマルチキャスト トラフィックの種類を調べる必要があります。プログラムが参加しているマルチキャスト グループを確認する方法を、以下に示します。
  • Windows 2000 : 使用可能な方法はありません。
  • Windows XP :
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに cmd と入力し、[OK] をクリックします。
    2. netsh interface ip show joins と入力して、Enter キーを押します。

IPSec をインターネット接続ファイアウォールと共に使用する

Windows XP では、インターネット接続ファイアウォール (ICF) の方が、トラフィック フィルタのセキュリティ要件に、より合致する場合があります。ICF で、Windows XP SP1 における着信マルチキャストおよびブロードバンド トラフィックをフィルタし、ブロックすることができます。ただし、ICF では、トランスポート モードまたはトンネル モードで IPSec AH または ESP によって保護されるトラフィックは認識されません。IPSec は、ICF の下位のネットワーク レイヤに存在します。IKE は ICF の上位に存在します。このため、ICF は静的に IKE (UDP ポート 500) 着信を許可し、IPSec AH や ESP プロトコルを認識しませんが、IPSec が受信処理でカプセル化が解除された後の TCP および UDP のトラフィックは認識します。IPSec でトラフィックがブロックされた場合、ICF の破棄パケットのログには、IPSec で破棄されたパケットは含まれません。

IPSec 機能を ICF フィルタリングと組み合わせて、より詳細なフィルタ処理を行うことができます。たとえば、ICF では、任意の IP アドレスに対して TCP ポート 445 を開くように設定し、IPSec フィルタを使用して、これをさらに、送信元アドレスとして内部サブネットを含むパケットだけに制限することが可能です。別の例としては、すべてのトラフィックに対するセキュリティをネゴシエートするように IPSec を構成し、ICF では受け入れを許可する着信接続を制限し、着信 IKE (UDP ポート 500) および SMB ファイル共有 (TCP ポート 445) のみを許可するように構成することができます。

関連情報

TCP/IP 実装の詳細については、次のマイクロソフト Web サイトにアクセスして、ホワイト ペーパー『Microsoft Windows 2000 TCP/IP 実装詳細』を参照してください。
http://www.microsoft.com/japan/technet/itsolutions/network/deploy/depovg/tcpip2k.mspx
IP セキュリティの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
253169 [NT]IPSec により保護されるトラフィックと保護されないトラフィック
254728 IPSec は、ドメイン コントローラ間の Kerberos トラフィックのセキュリティを保護しない
308127 Windows XP のインターネット接続ファイアウォールで手動でポートを開く方法
810207 Windows Server 2003 で削除された IPSec のデフォルトの除外項目

プロパティ

文書番号: 811832 - 最終更新日: 2006年4月18日 - リビジョン: 6.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows XP Professional
キーワード:?
kbfirewall kbprb kbinfo KB811832
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com