SMB トラフィックを防ぐために特定のファイアウォール ポートを企業環境からブロックするためのガイドライン

概要
悪意のあるユーザーはサーバー メッセージ ブロック(SMB)プロトコルを悪意目的で使用できる。 

ファイアウォールの最善策と標準のファイアウォールの構成は悪意あるトラフィックが企業内に入り込むことを防ぎネットワークのセキュリティを高めることが出来ます。 

エンタープライズ境界のファイアウォールは次のSMB関連のポートへ末承諾の通信や発信トラフィックをブロックします。

137
138
139
445
詳細
これらポートは潜在的に悪意のあるインターネット ベースのSMB サーバーへの接続開始に使われる可能性があります。SMB トラフィックはプライベート ネットワークまたは仮想プライベート ネットワーク(VPNs)に制限されなければいけません。 

解決策の提案 

これらのポートを企業優勢またはペリメーター ファイアウォールでブロックすることで、そのファイアウォールの後ろにあるシステムを悪意のある目的のためにSMB を利用する意図から保護できます。企業はポート445を Azure データセンター Ipアドレスにアクセス出来るよう許可をすることが出来ます。社内にいるお客様(企業内ファイアウォール使用)がSMB ポートを使用してAzure ファイル ストレージ と連絡が取れるようなハイブリッドな環境を提供します。(下記参照)

アプローチ 

ペリメーター ファイアウォールは通常「ブロック リスト」、または「承認済み一覧」のどちらか、または両方のルールが適応されます。 

ブロック リスト 
拒否(ブロック リストに載っている)ルールが制限しない限りトラフィックを許可します。 

例 1
すべて許可
137 ネームサービスを拒否
138 データグラム サービスを拒否
139 セッション サービスを拒否
445 セッション サービスを拒否

認可リスト 
許可ルールが許可しない限りトラフィックを拒否します。 

他のポートを利用した攻撃の防止に役立てるために、インターネットからすべての迷惑コミュニケーションをブロックすることを推奨しています。許可ルールの例外付き(認可リスト)での一括拒否をおすすめします。 

注意このセクションでの認可リストの方法はNetBIOS および SMB トラフィックを暗黙的に許可ルールを含めることなくブロックします。 

例 2
すべて拒否
Windows 53 DNS
21 FTP を許可
80 HTTP を許可
443 HTTPS を許可
143 IMAP を許可
123 NTP を許可
110 POP3 を許可
25 SMTP を許可

許可ポート一覧は疲弊しません。企業の需要によっては追加ファイアウォールの入力が必要です。

回避策の影響

一部Windows サービスでは影響を受けるポートを使用します。ポート接続のブロックは様々なアプリケーションやサービスの動作を妨げることがあります。影響を受ける可能性のある一部のアプリケーションやサービスは以下を含みます。
  • SMB (CIFS)を使用するアプリケーション
  • メールスロットまたは名前付きパイプ(SMB上のRPC)を使用するアプリケーション
  • サーバー(ファイルとプリンタの共有) 
  • グループ ポリシー
  • ネット ログオン
  • 分散ファイル システム(DFS)
  • ターミナル サーバー ライセンス 
  • 印刷スプーラー 
  • コンピューター ブラウザー 
  • 遠隔手順コール ロケーター 
  • Fax サービス 
  • インデックス サービス 
  • パフォーマンス ログと警告 
  • Systems Management Server
  • ライセンスのログ出力サービス 

回避策を元に戻す方法

ファイアウォールでのポートのブロックを解除します。ポートに関する詳細情報はTCP および UDP ポート割り当てをご覧ください。

関連情報

Azure 遠隔アプリ https://azure.microsoft.com/ja-jp/documentation/articles/remoteapp-ports/

Azure データセンター IPs http://go.microsoft.com/fwlink/?LinkId=825637

Microsoft Office https://support.office.com/ja-jp/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2
プロパティ

文書番号:3185535 - 最終更新日: 09/01/2016 14:40:00 - リビジョン: 3.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • kbexpertiseinter kbsecurity kbsecvulnerability KB3185535
フィードバック