この広告は、90日以上更新していないブログに表示しています。

2011-09-13

共有フォルダへアクセスできるようにする最小限のアクセス許可ポート

windows

ポート

• CIFSは445/TCPのみを使用して動作できる。アクセス許可ポートは 445/TCP のみでよい。
  • NetBIOS (over TCP/IP) を使用しない(無効にした状態で動いた)。
  • DNSやhostsファイルを使ってホスト名を解決する。
  • NetBIOSベースのSMBをTCP/IP用にし、かつFW設定の便宜などを考えて使用ポートを1つにしたのがCIFS。
• CIFS は Windows 2000 以降で使用できるので、それ以降の Windows のみでやりとりするのであれば、CIFS のみでよい。
  • 下記のポートは NetBIOS を使わないならアクセス許可しないでよい (Windows サーバー システムのサービス概要およびネットワーク ポート要件)
    • 137/UDP (NetBIOS 名前解決)
    • 138/UDP (NetBIOS データグラム サービス)
    • 139/TCP (NetBIOS セッション サービス)

NetBIOS無効

• 無効で困るケースに遭遇したら有効にしよう(ドメイン、クラスタ絡みが怖い)。
• Windowsの世界だけの名称解決(WINS,lmhosts)は話をややこしくするので使わない。

CIFS/SMBアクセス抑止

• 共有フォルダへのアクセスが無いNICについては『Microsoftネットワーク用ファイルとプリンター共有』を落とす。
• 発信なので優先度は低いが、共有フォルダへアクセスしないNICについては『Microsoftネットワーク用クライアント』を落とす。

ポートリスニング状態の観察

• 137/UDP, 138/UDP, 139/TCP は NetBIOS overt TCP/IP を有効にしたNICのIPアドレスにバインドしてリスニングする。
  • ANY (0.0.0.0 や [::]) に対してはバインドしない。
  • NetBIOS over TCP/IP を無効にすると、無効にしたNICの持つアドレスでのリスニングは行われなくなる。
  • NetBIOS over TCP/IP を有効にした状態で『Microsoftネットワーク用ファイルとプリンター共有』を落としてもリスニングは継続する。
• 445/TCP は ANY (0.0.0.0 や [::]) に対してバインドする。
  • 『Microsoftネットワーク用ファイルとプリンター共有』を落としても ANY でのリスニングは継続する。
  • 『Microsoftネットワーク用ファイルとプリンター共有』を落としたNICからのアクセスは受けない。

参考

• 第20回 ファイル共有プロトコルSMB／CIFS（その1） (1/3)：基礎から学ぶWindowsネットワーク - ＠IT
• Windows サーバー システムのサービス概要およびネットワーク ポート要件
• Disable WINS/NetBT name resolution: Windows Internet Name Service (WINS) | Microsoft Docs
• Windows Server 2008 または Windows Server 2008 R2 では、NetBIOS 名を使用して、サーバーを ping すると、誤った IP アドレスが返される