ここから本文です

Windows7のファイアーウォールの設定でポートの開放を行なっているのですが、現在...

tak********さん

2012/10/1413:56:44

Windows7のファイアーウォールの設定でポートの開放を行なっているのですが、現在の私の設定でどのような危険性があるか、また改善すべき点を教えていただきたいです。

shareplayerというiphoneアプリを使って、
shareplayer→VPN→ファイアーウォール→Windows7機
という構成にしてWindow7機のファイルをストリーミングで見られるようにしようとしています。

shareplayer→VPN→Windows7機という状態では無事に成功しました。
ですがファイアーウォールを有効にするとエラーが出たのでファイアーウォールでポート開放の必要があると判断しました。
必要なポート番号がわからなかったので、UDP,TCP,GREにおけるすべてのポートを開放するように設定したところ、うまくいきました。

しかしさすがにセキュリティ上良くないと思ったので、スコープ(?)の設定で、上記の開放はファイルサーバーであるWindows7機と、VPN接続してきた端末(iphoneのことです。VPNの設定でVPN接続した際は固定のIPアドレスになるようにしています)のみに設定しました。

そこで質問本文なのですが、この設定でどのような危険性がありますでしょうか?
例えば、(私個人をそこまで狙うとは思えませんが)私のWindows7機のユーザーIDとパスワードが悪意ある第三者に知られてしまい、私のパソコンに不正なVPNアクセスがあった場合、上記のポート開放の設定でどれほどの危険があるか、
そもそもユーザーIDとパスワードが知られてしまう危険性はあるのか、
またVPN関係なしに、上記のファイアーウォールのポート開放設定による危険性はどれほどか、などを知りたいです。

長くなってしまって恐縮ですが、よろしくお願いします。
また足りない情報があればおっしゃってください。

補足yumi3to1shoniさん、ご回答ありがとうございます。
いただきましたご回答を元に色々と調べたり試してみた結果私のVPNはPPTP方式ですので以下のポート開放が必要だと判明しました。

(1)TCPに関して
ローカルポート:139,1723
リモートポート:49152-65535

(2)UDPに関して
ローカルポート:137
リモートポート:49152-65535

(3)GREはポート開放の必要なし

TCP,UDPともに49152-65535は自由に利用できる動的なポートと認識しています。shareplayerというiphoneのアプリはこのポートを通じてPCと通信しているのでしょう。
この範囲に関してはしばらくすると開放に必要なポートが変わっているようだったので仕方なく49152-65535と設定しています。

そこでよろしければ以下の質問にもご回答頂きたく思います。
(1)TCP,UDPの49152-65535のポートはユーザーが自由に利用できる特別な意味のないポートであるように感じましたが、それでもこの範囲を開放することは危険でしょうか?
(2)調べてみたところTCP139とUDP137はサービス検索、実行に関わる重要なポートでした。これらのポートを開放するだけでかなり危険度が高そうですが、大丈夫でしょうか?

以上、よろしくお願いいたします。

閲覧数:
9,574
回答数:
2
お礼:
250枚

違反報告

ベストアンサーに選ばれた回答

yum********さん

編集あり2012/10/1816:03:28

ポートとは、例えると、家の玄関ドア・勝手口や窓などに相当する。
(ポート番号は、 0 ~ 65535 まである)

ポートを全て開放すると、丸見え(丸裸)状態でとても危険な状況。
(PC内の全ての情報(クレジットカード、メールの閲覧など)が盗み見られる)
(ウィルス・ソフトを忍ばせて、貴殿を犯罪者に仕立て上げることも可能 :怖ぁ~)

だから、VPN接続など必要なポートだけ空けるのが賢明な考え。
(リスク・マネジメントの思想が足りないように思える)

VPNのポート開放について
・ PPTP方式 : (トンネル制御) TCP 1723 、(データ通信制御) GRE 43

[補足] について
(1) 全てのポートが狙われているわけではない。 (特定のポートだけ狙う)

(2) Windowsファイル共有で必要なポート
・ UDP 137 : NetBIOS-ns (NetBIOS の名前サービス用)
・ UDP 138 : NetBIOS-dgm (NetBIOS のログオン認証要求用)
・ TCP 139 : NetBIOS-ssn (Win ファイル共有の認証処理用)
・ TCP 445 : ファイルやプリンタの共有サーバー用

TCP 139 は、主にWindowsのファイル共有に用いられるポートであり、
Win OS に存在する脆弱性を悪用するウィルス/ワームの攻撃経路として、
しばしば利用されているポートである。

元々、Windowsのファイル共有サービスは、
事務所などあくまで局所的なLANのためのサービスであり、
インターネットにファイルを公開するような用途は想定されていない。

VPN(仮想LAN)接続とはいえ、インターネット利用なのでリスクは覚悟すること。

質問した人からのコメント

2012/10/20 14:52:05

yumi3to1shoni様
ks20090101様
今回の件は実験的な意味合いで行なっていたことだったので、ポートは塞いでおこうと思います。
さてベストアンサーですが、今回はすぐに詳細なアドバイスをしてくださいましたyumi3to1shoni様にさせて頂きます。しかしks20090101様のVPN内蔵ルーターのお話や添付画像なども大変わかり易く、参考になりました。
また機会がありましたら、ぜひともご回答いただきたく思います。ありがとうございました。

ベストアンサー以外の回答

1〜1件/1件中

ks2********さん

2012/10/1519:10:08

VPN(PPTP)接続の場合ポートはpptpポート(1723)と47ポートの開放だけで接続できます。(光モデム)
私の家ではVPNサーバー内蔵の有線ルーターを使っています。この方法だとルータの接続画面で現在の接続をモニターできます。

この構成でVPN接続すれば、共有フォルダ等に問題なく接続できました。(添付図)
パソコン1、パソコン2は共有できるようにWindowsファイヤーウォールの開放を行なっています。
WindowsPCでAirVideoサーバーを使っていますが、ホートの開放はアプリケーションに対して許可を与えるだけでポート自体は開放していません。

※ポート開放が危険なのはウィルス等に感染して開放されたポート経由で侵入されることです。ポートを開放しても反応するプログラムが無ければ意味をなししません。接続用のアカウントとパスワードを適切に管理していれば大丈夫だと思います。
※光モデムのDHCPサーバーを停止し、VPNサーバー内蔵のルーターでDHCPサーバーを起動しています。

VPN(PPTP)接続の場合ポートはpptpポート(1723)と47ポートの開放だけで接続できます。(光モデム)...

みんなで作る知恵袋 悩みや疑問、なんでも気軽にきいちゃおう!

Q&Aをキーワードで検索:

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問は選択されたID/ニックネームのMy知恵袋で確認できます。

不適切な投稿でないことを報告しました。

閉じる