現在オフラインです。再接続するためにインターネットの接続を待っています

インターネット接続共有 (ICS) のセキュリティ機能

この記事は、以前は次の ID で公開されていました: JP241570
サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。
概要
この資料では、インターネット接続共有 (ICS) のセキュリティ機能を説明します。ICS は、セキュリティ対策のためのファイア ウォールとして扱うべきではありませんが、ICS を使用することによりインターネット接続で利用できる全機能を実現しつつ、適度に安全な環境を構築することができます。
詳細
ICS はネットワークアドレス変換 (NAT) 技術を使用して、2 つのネットワーク間で TCP/IP パケットをルーティングします。ICS は内部ネットワーク (主に家庭内の小規模 LAN) と外部ネットワーク (主にインターネット) とを接続します。また、内部ネットワーク上の特定の IP (インターネット プロトコル) アドレスは、ICS により TCP/UDP ポート番号に関連付けられます。IP アドレスに関連付けられたポート番号はテーブルに記録されます。

たとえば、ICS 内部アダプタの IP アドレスが 192.168.0.1 で、インターネット サービス プロバイダ (ISP) に割り当てられた ICS 外部アダプタの IP アドレスが 156.59.23.100 であるとします。ここで、クライアント コンピュータがポート 80 経由でインターネット上の 131.125.13.1 にある Web ページに TCP/IP パケットを送信します。このパケットには以下の情報が含まれます。
送信先 IP アドレス = 131.125.13.1 (インターネット上の送信先アドレス)
発信元 IP アドレス = 192.168.0.2
送信先ポート = 80
発信元ポート= 2000 (プログラムにより設定)
131.125.13.1 は 192.168.0.x のアドレス範囲ではローカルではないため、パケットはデフォルト ゲートウェイとして動作している ICS コンピュータに向かいます。ICS コンピュータは新しいパケットを生成して 131.125.13.1 の Web ページに送信します。このパケットには以下の情報が含まれます。
送信先 IP アドレス = 131.125.13.1
発信元 IP アドレス = 156.59.23.100 (ISP が ICS 外部アダプタに割り当てた IP アドレス)
送信先ポート= 80
発信元ポート = 3000
発信元 IP アドレスと発信元ポートの値が変化していることに注目してください。すなわち、ポート 3000 は接続が閉じられるまでは IP アドレス 192.168.0.2 にマッピングされることになります。このポート マッピングはテーブルに記録されています。Web ページが応答すると、ICS コンピュータは以下の情報を含むパケットを受信します。
送信先 IP アドレス = 156.59.23.100
発信元 IP アドレス = 131.125.13.1
送信先ポート = 3000
発信元ポート = 80
次に ICS コンピュータはパケットを変換し、最初のパケットを発信したクライアント コンピュータの IP アドレス 192.168.0.2 に新しいパケットを送信します。ICS は、ポート マッピング テーブルに記録された情報から、ポート 3000 がこの IP アドレスに割り当てられていることを検出します。クライアントに送信されたパケットには、以下の情報が含まれています。
送信先 IP アドレス = 192.168.0.2
発信元 IP アドレス = 131.125.13.1
送信先ポート = 2000
発信元ポート = 80
送信先ポートと IP アドレスが、最初のパケットを発信したクライアント コンピュータが使用するポート番号に変更されていることに注目してください。変換処理のため、インターネットは ICS コンピュータ の先 (ICS コンピュータを含む) にある LAN (すべてのクライアント コンピュータ) を 1 つの IP アドレスとして検出します。

インターネットからのパケットが ICS コンピュータの先にあるクライアント コンピュータに届けられる方法は 2 つあります。
  • ICS コンピュータが届いたパケットを変換し、変換テーブルに基づいて新しいパケットをクライアント コンピュータに送信します。クライアント コンピュータは、インターネットから ICS コンピュータ経由でパケットを受信する前に、パケットを最初に送信しなければなりません (これにより、ポート マッピングが記録されます)。
  • ICS コンピュータは、特定のポートに入ってくるすべてのトラフィックを特定のクライアント コンピュータに振り向けるように設定されています。この方法では、デフォルトの設定を変更する必要があります。関連情報については、次の文書番号をクリックして Microsoft Knowledge Base を参照してください。
    231162How to Map a Port in ICS Using an .inf File
    ネットワーク アドレス変換 (NAT) の詳細については、RFC 1631 を参照してください。
ICS コンピュータでは、TCP ポート 135 および UDP ポート 139 を除き、ポート 1 ~ 1024 は特にブロック されていません。これらのポートをブロックすると、ファイルとプリンタの共有要求 (SMB 要求) が外部アダプタで機能できなくなります。こうなると、ICS コンピュータを通過する TCP/IP パケットに以下の影響が生じます。
  • ICS コンピュータから送信されたパケット、または 1024 を超えたポート番号を使用するインターネットから受信したパケットはいずれも、ICS コンピュータの先にあるほかのクライアント コンピュータと同様に変換が必要です。たとえば、ICS コンピュータから発信されたパケットと、これに対応するポート番号 5000 の応答パケットには、上で説明した変換プロセスが実行されなければなりません。
  • ICS コンピュータから送信されたパケット、または 1024 以下のポートを使用するインターネットから受信したパケットはいずれも変換されず、インターネットまたは ICS コンピュータ上のプログラムに直接送信されます。たとえば、ICS コンピュータでホームページを開くと、パケットはポート 80 に送信され、変換されずに直接インターネットに向かいます。さらに、ICS コンピュータがポート 80 で受信したパケットは、ポート 80 を能動的に監視している ICS コンピュータ (Web サーバーなど) のプログラムに直接送信されます。ポート番号 1024 以下のポート上での要求に ICS コンピュータが直接応答するようにするには、プログラムにその要求と同じポートでパケットを監視させる必要があります。デフォルトでは、ポート 135 および 139 がブロックされているため、ICS コンピュータは SMB (サーバー メッセージ ブロック) 要求に応答しません。
ICS は、ICS コンピュータの外部アダプタからのファイルとプリンタの共有をアンバインドしません。ダイヤルアップ ネットワーク (DUN) は、イーサネット アダプタ (DSL およびケーブル モデム接続用) がデフォルトでファイルとプリンタの共有をアンバインドしないダイヤルアップ アダプタからのファイルとプリンタの共有をアンバインドします。ICS コンピュータのポート 135 および 139 は、インターネット上のリモート コンピュータがローカル ネットワーク上の共有やプリンタにアクセスすることを防ぐため、デフォルトで外部アダプタでブロックされています。これらのポートをブロックしても、ICS コンピュータが LAN (ローカル エリア ネットワーク) 内のほかのコンピュータとファイルやプリンタを共有する機能には影響しません。これらのポートのブロックを解除すると、ローカル ネットワークのプリンタや共有はインターネットに対して無防備になるためお勧めしません。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 241570 (最終更新日 2000-09-16) をもとに作成したものです。

プロパティ

文書番号:241570 - 最終更新日: 10/02/2004 01:13:45 - リビジョン: 1.3

Microsoft Windows 98 Second Edition, Microsoft Windows Millennium Edition

  • kbenv kbwinme win98se kbhowto KB241570
フィードバック