Internet Information ServerをWinWrapperで守る

　クラッカーの標的となりやすいWebサーバですが、特に外部に設置しており、ファイアーウォールで守られていないWebサーバーは特に危険です。Web以外のポートを開けていることによってクラッカーにクラッキングされる可能性が大いに広がります。

　ここでは、WinWrapperによってInternet Information Server4.0(Microsoft社：以下IIS)で構築されたサーバを守る上で必要なWinWrapperの設定項目について説明します。

    １．設定手順

２．Webサーバについて
今回設定するIIS側の利用条件となります

３．IIS用WinWrapperの基本設定

３．１．はじめに
WinWrapper設定前に必要な作業です

３．２．各種ルールの作成

３．２．１．HTTPルールの作成
実際にユーザがHTTPアクセスを行うポート番号80番に対しての設定です

３．２．２．全拒否ルールの作成
上記設定以外を拒否する設定です

４．管理者用設定
管理者がリモートでサーバをメンテナンスする場合の設定です

　

    ２．Webサーバについて

IISが提供するサービスのうち、ここでは以下のサービス（プロトコル）のみを使用する場合に限定します。

・HTTPサービス（80番ポート）
Web配信を行います。Webブラウザはこのポート番号にアクセスすることになります。

    ３．IIS用WinWrapperの基本設定

３．１．はじめに

インストール時の初期設定は以下のようになっています。

IIS用の設定を行う前にWinWrapperのデフォルト設定を削除してください。

削除後の画面は以下のようになります。

　

３．２．各種ルールの作成

ここでは、Webサーバへの80番ポートでのアクセスは誰でも許可するルールにします。

80番以外のアクセスはすべて拒否する設定を作成します。

３．２．１．HTTPルールの作成

今回、唯一許可するポート番号は内向きのHTTPです。

以下の手順で、HTTPルールを追加してください。

ファイアーウォールタブの「追加（D）」ボタンを押し、ルールの作成を開始します。

名前の項目に内向きHTTPルールと分かるように記述します。
ここでは「HTTPサービス（内向き）」とします。
動作を「許可」、向きを「内向き」、プロトコルを「TCP」と設定します。

以下の画面のようになります。

　

次に、アプリケーションタブの設定です。

今回作成するルールはIISのHTTPサービスのみに適応させるので、IISlのHTTPサービスに使用するプログラムのみを指定します。

デフォルトではC:\WINNT\system32\inetsrv\inetinfo.exeとなっています。

IISのインストール先を変更した場合はインストール先のinetinfo.exeを指定してください。

設定後の画面は以下のようになります。

　

次に、サービスタブの設定を行います。

リモートサービスの欄は、「すべてのサービス」を指定してください。

ローカルサービスの欄は「サービス指定」を選択し、サービス名かポート番号の欄に「80」と入力してください。

設定後の画面は以下のようになります。

　

次にアドレスタブの設定を行います。

リモートサービス、ローカルサービス共に、すべてのアドレスを設定してください。

　

今回ここでは、有効期間タブ、ログタブの設定は行いません。Webアクセスを許可する時間帯を指定する場合、またWebアクセスのログを取りたい場合はそれぞれを設定することで有効になります。

作成したルールは以下のようになります。

名前	HTTPサービス（内向き）
動作	許可
向き	内向き
プロトコル	TCP
アプリケーション	アプリケーションを指定（※１）
サービス（リモート）	すべて
サービス（ローカル）	８０
アドレス（リモート）	すべて
アドレス（ローカル）	すべて
有効期間	指定しない
ログ	指定しない

※１：inetinfo.exeを指定してください。デフォルトでは以下のようになっています。
C:\WINNT\system32\inetsrv\inetinfo.exe

　

以上で設定は終了です。

　

３．２．２．全拒否ルールの作成

上記ルール以外は拒否する設定が必要です。
ここではアクセス全拒否に関して必要なルールを設定します。

以下の手順で、全拒否ルールを作成してください。

ファイアーウォールタブの「追加（D）」ボタンを押し、ルールの作成を開始します。

名前の項目に全拒否ルールと分かるように記述します。
ここでは「全拒否」とします。
動作を「拒否」、向きを「内向き」、プロトコルを「TCPまたはUDP」と設定します。

以下の画面のようになります。

　

次に、アプリケーションタブの設定です。

「すべてのアプリケーション」を指定します。

以下の画面のようになります。

　

次に、サービスタブの設定です。

リモートサービス、ローカルサービスともに、「すべてのサービス」を指定します。

以下の画面ようになります。

　

次に、アドレスタブの設定です。

リモートアドレス、ローカルアドレスともに、「すべてのアドレス」を指定します。

以下の画面ようになります。

　

今回ここでは、有効期間タブ、ログタブの設定は行いません。全拒否ルールに適合したアクセスのログを取りたい場合はログを設定することで有効になります。

作成したルールは以下のようになります。

名前	全拒否
動作	拒否
向き	内向き
プロトコル	TCPまたはUDP
アプリケーション	すべて
サービス（リモート）	すべて
サービス（ローカル）	すべて
アドレス（リモート）	すべて
アドレス（ローカル）	すべて
有効期間	指定しない
ログ	指定しない

　

４．管理者用設定

FTP、NetBIOS等を使用しリモートメンテナンスを行っているWeb管理者がいる場合には管理者用の設定が必要になってきます。管理者用の設定は全拒否ルールの前に作成する必要があります。

管理者設定の例を下記表に記します。

４．１．FTPにてリモートメンテナンスを行っている場合

名前	管理者用FTPサービス
動作	許可
向き	両方向
プロトコル	TCP
アプリケーション	アプリケーションを指定：（※２）
サービス（リモート）	すべて
サービス（ローカル）	すべて（※３）
アドレス（リモート）	ホスト指定：管理者のIPアドレス（※４）
アドレス（ローカル）	すべて
有効期間	指定しない
ログ	指定しない

※２：inetinfo.exeを指定してください。デフォルトでは以下のようになっています。
C:\WINNT\system32\inetsrv\inetinfo.exe

※３：FTPサービスは最初の接続を20、21番で接続しますが、次の接続をランダムなポート番号で接続しますので、すべてのポート番号に対してのアクセスを許可する必要があります。

ポート番号を固定にされている場合は固定に設定されているポート番号を指定します。

※４：複数の方がメンテナンスを行う場合は複数人分同ルールを設定する必要があります。

　

４．２．Windowsファイル共有等でメンテナンスを行っている場合

名前	管理者用NetBIOSサービス
動作	許可
向き	内向き
プロトコル	TCP
アプリケーション	すべて
サービス（リモート）	すべて
サービス（ローカル）	１３９
アドレス（リモート）	ホスト指定：管理者のIPアドレス（※５）
アドレス（ローカル）	すべて
有効期間	指定しない
ログ	指定しない

※５：複数の方がメンテナンスを行う場合は複数人分同ルールを設定する必要があります。

    [TOPへ]