- ベストアンサー
NetBIOS を無効にするとLAN表示ができないのはなぜですか
自宅サーバーの本でセキュリティのためにNetBIOSを無効にしておくように書いてありました。それでTCP/IP詳細設定のWINSのところでNETBIOSの設定を無効にしましたところネットワークのPCが表示されなくなりました。既定値にすると表示されますが、自宅サーバーの危険度からすると無効のほうがいいのでしょうか。 無効にしてもネットワークPCがそれぞれに表示されるにはどうしたらよろしいですか。 サーバー側はXP ネットワークでLAN接続しているのはwindows98のPCです。
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
Jzamraiです。 かえって不安を与えてしまったかもしれませんね…。 >>最初のremote addressが表示されたことはIPポートスキャンの対象になってしまうということでしょうか。 ↓ IPアドレスは、IPネットワーク上で通信相手を指定するための根幹をなすものですから、これを隠してしまって通信そのものが成り立ちません。 利用されたサイトが提供しているセキュリティー診断は、主に「常時接続の一般(クライアントPC)ユーザー」を念頭においたものだと思います。 セキュリティー意識の希薄な常時接続ユーザーが、ルーターなどをかまさずに直接インターネットに常時接続する事の危険性を理解したり、定期的な確認作業を行う目的で利用するべきものだと思います。(頻度は低いですが、私も自環境の設定変更後などに利用させて頂いています。) サーバーを立てず、クライアントPCでインターネットを利用するだけと言う場合にも、「受動攻撃」(悪意あるウェブサイトなどを閲覧した際に、必要以上の情報を抜かれたり(訪問者情報の取得)、マルウェア(悪意あるプログラム)を仕込まれたりするケース)を受けるというリスクが存在します。 また、本人が意図しないうちにインターネットに対してサービス(ポート)を開放してしまっているケースもあります。(上記サイト内のポートスキャンサービスで確認できるでしょう。) ポートスキャンを受ける事そのものが即危険というわけではありません。(管理者が調査目的に利用する事もあります。) 攻撃者が、脆弱性のある(その可能性がある)ポートを発見するという悪意を持って利用するこがあるため、ポートスキャンを「攻撃の事前調査や予兆」として位置付ける場合があると言うことです。(そのポートで動いているサービスに脆弱性が残っていなければ、ツールを使った安直な攻撃は、まず脅威になり得ません。) 常時接続環境では、一般的なクライアントPCでさえ、リスクが存在する事を認識しておく事が大切だと思いますが、「サーバー管理」を考えた場合、その様な事は当然のこととして(一般的な診断サービス等で一喜一憂することなく)、もう一歩突っ込んだ世界を認識する必要性が出てくるでしょう。(難しい話という事ではなく、ネットワークの基礎知識をベースにした、より技術的・具体的な内容になるということです。) >>がこれだけのことを把握、理解、実施して行くまでは個人的なHP公開などの限られたサーバー運用も控えたほうがいいのでしょうか ↓ やや言い古された感のある表現ですが、「インターネットのしくみというものは、もともと学者や研究者などが自組織の安全性に責任を持った上で情報を共有する、”性善説”に基づいたネットワークとして発展してきたもの」ですよネ。(極論すれば、悪意の無いまっとうな大人のみが利用する事を想定した世界という言い方にでもなるでしょうか。) インターネットには強い権力が存在しないので(それが自由と発展に寄与している面もあるのですが)、基本的に、「運転免許制度」のような「ユーザーの責任を強制したり弱者を保護する仕組み」が存在しません。 上記のインターネットのしくみの宿命とあいまって、性悪説が幅を利かす一般社会にも浸透してきた現在では、各ユーザーが、ネットに接続する以上自らの安全性に責任を持つ事が期待されている(そうでないと、困る)というのが現実だと思います。 多くの方が、そのような現実を知らないまま、ある日突然踏み台になったり、二次感染源となったりして、「あなたは加害者だ!」という指摘を受け、感情的なトラブルに発展するケースも多発しています。 インターネットは独立した「個」を前提としているため、能動的に学習していかないと現実を知る事が出来ないという弊害が出てきているとも言えるでしょう。(もちろん、誰もが最初は初心者であり、前向きな学習意欲に対しては有識者はすすんで情報を提供するべきだと思いますが、「責任」という点については「初心者=免罪符」とはならないと言うことです。) ただし、セキュリティーの重要性について認識できた方が次に陥りがちなワナに、「恐怖感と責任感から、とにかく全てにフタをしようとしてしまう。」というケースが挙げられると思います。 特に、ネットワークに関する基礎知識を習得せずに、対処療法的な対応を続けてしまうと、この状況から逃れる事が難しくなってしまいます。(中でも、責任感の強い方ほどパラノイアに陥りがちであるという皮肉な側面もあるように感じます。) このような言い方には多くの突っ込みがあると思いますが、結局のところ「ネットワークセキュリティーというものは、TCP/IPという土俵(規格)の上での攻防(永遠の鼬ごっこ)である。」という本質をもっていると思います。 ですので、風説や誤解に惑わされることなく有効な対策を続けていくには、まず「TCP/IPの基礎知識」を身に付けておく事が最優先になってくるはずだと考えています。(そのようにおっしゃる有識者も大勢いらっしゃいます。) 上記の様なポイントを斟酌してみると、自宅サーバーを”大手を振って”運用していくためには、TCP/IPの基礎学習というポイントを避けて通る事は出来ないといえるのではないでしょうか。(というよりも、結局はそれが最も合理的かつ近道となるはずだと思っています。) というわけで、私の方からは、少しでも効率的な学習に繋がるであろう、下記有用サイトの紹介をさせてください。 ■CQ出版 無償提供バックナンバー記事 ~とことんわかるインターネット基礎の基礎~■ Copyright CQ Publishing Co.,Ltd. 1997-2003 ↓ http://www.cqpub.co.jp/od/rensai/inter/itindex.htm ■@IT 関連ページ■ Copyright(c) 2000-2004 atmarkIT ●ネットワークの基本の学び方● ↓ http://jibun.atmarkit.co.jp/lskill01/special/tonet01/netmanabi/netmanabi01.html ●@ITで学ぶネットワーク技術 基本編● ↓ http://jibun.atmarkit.co.jp/lskill01/special/tonet01/studyfait/studyfait01.html 上記サイトを上から下への流れで追いかけていく事で、効率的に全体像の学習が出来るはずです。 特に「@IT」では、さらに詳細なプロトコルレベルの学習が可能なレクチャーなども豊富に無償提供されています。(ありがたい時代になりましたね。) ネットワークの世界も奥行きにはキリが無いので、「サーバー管理」という大前提のためには、全体像をつかめれば十分だと思います。(少なくとも、サーバー上で何がどうなっているのかが把握できる力がつけばよいと言うことですね。) いつも話が長くなるのが私の短所なのですが、結論として、「不安を感じるならば自前サーバーの公開は待ったほうが良い。」というのが、私の個人的なアドバイスです。 もちろん、obatarianさんのサイトが、すでに所属されているコミュニティーで必要不可欠なものであるならば、セキュリティー原理主義をもって「止めろ!」というのは本末転倒な話だと思います。 ただ、obatarianさんが要望されている「より自由なウェヴサイトづくり」という目的を実現するためには、今すぐ自宅サーバーが必須であるとは言えない気もします。(もちろん、事情は様々でしょうが。) もちろん、インターネットを利用する以上ネットワークの基礎知識は身に付けておいてしかるべきものだとは思いますが、例えば「<プロバイダやレンタルサーバー業者利用>+<オプションサービス>」などで実現可能な要件であれば、自宅サーバーで要求されるような詳細な知識の学習は無駄なものだと言う考え方にも、一理あるという事になるでしょう。 どうしても自前サーバーが必要なのであれば、「しっかり勉強して安全な管理を!」というアドバイスになるでしょう。(少なくとも、「何となく便利そうだから、とりあえず動かしてみる。」という考え方には個人的には好感を覚えません。) もちろん、セキュリティーは利便性・安全性を確保するための一要素に過ぎませんので、自前サーバーを全否定はしませんが、一言で言うと、「身の丈にあった運用をおすすめする。」という事になると思います。 「閉じられた環境でサーバー運用の学習を進めながら、ある程度自信がついた時点で公開する。」という選択肢もあるのではないかと言うことですネ。 インターネット上のサーバーには個人・企業の垣根はなく、動かす限り等しくリスクを持ちます。(もちろん、サイトの規模やサービス内容といった環境因子によるリスクの差はありますが。) さて、obatarianさんのように前向きな学習意欲に満ちた方にはお話のしがいがあるのですが、徐々に本題からそれてきてしまっている感が否めないので、私の方からは一旦打ち止めにさせてください。(不特定多数の閲覧が可能なQ&Aサイト(掲示板システム)の本質を考慮した結果です。) もしかしたら、今後別スレッドでもお手伝いできる機会があるかもしれませんネ。 安全・快適なネット生活をお祈りしています。 それでは。
その他の回答 (5)
- ja4pu
- ベストアンサー率31% (12/38)
大変熱意のこもった質疑応答に感服している一人です。 が、しかし、、、、 現状をお見受けする限り自宅サーバーの公開は危険を感じます。 先ずはルーター/ファイアウォールの内側でイントラネット構築をお勧めします。 サーバーと言うものがどんな物か、セキュリティ対策とはどんなものかを十分テストできると思います。 十分に体力をつけてからインターネットへデビューなさることをお勧めします。 連日話題になっている通り、インターネット上には有益なこと以上に危険が一杯です。 ひ弱なサーバーなどは瞬く間に餌食になってしまいます。 対応が出来なければネット上に大迷惑を垂れ流すことになり、 これが最も怖いことなのです。 いきなり不躾なことを申し上げてすみません。 現在、私自身をこのように戒めながら勉強中のものですから。
お礼
良いアドバイスがあればあるほど嬉しいものです。 ja4puさんにも感謝します。皆さんがお勧めしてくださったことが無駄にならないように私も勉強を続けて行く気持ちです。
#3のJzamraiです。 お返事ありがとうございます。 >>書店に出回るサーバー構築の書籍は無責任なものと思えてくるんですよね。 ↓ 構築後の「管理」の重要性について十分な説明がないものに関しては、おっしゃるとおりだと思います。 「サーバーを構築できる事」と「管理できること」は全く別次元の話で、昨今のブロードバンドブームなどを見ても、常時接続によるリスクを説明せず「売りっぱなし」の傾向が強いと言えるでしょうね。(そのような状況の中で、obatarianさんのようにセキュリティーの重要性に気が付かれる方は少数派だと感じています。) いずれにしても、ほとんどの方にとって「サーバー管理は思ったよりも面倒」というのが現実だと思いますヨ。(あるいは、痛い目にあってからその事に気が付くというパターンですかネ。) >>バケット・・のうようよいる点ももう少し情報が欲しいですが、載せられない範囲に入るものなのでしょうね。 ↓ 「安易な悪用を助長するツールのありか」の情報などはいただけませんが、セキュリティー対策を目的とした一般論としての手口やパケットの内容については、このような場に書き込んでも問題ないと思いますヨ。(ただし、とても一言では説明し切れません。) ウェブ上にも様々な関連情報がありますが、具体的には下記のようなものになるでしょう。 ●自動拡散中のワームなどによる接続要求。 ↓ そのサーバーがすでに感染済みの場合、仕込まれた「トロイの木馬」などに対する指令なども含まれるでしょう。) ●手動・自動問わず、ポートスキャンなどで見つけたノード(サーバー)に対して、どんなサービスやアプリケーションが走っているかを走査し、脆弱性のスキャンを行った上で、内容を攻撃者に報告したり、攻撃を行ったりする目的をもったもの(pingに始まる各種リクエストやエクスプロイトなど)。 ↓ これに関しては、サーバー(サービス)に対しての正規のリクエストを装った情報収集や攻撃パケットなどが具体例として挙げられるでしょう。(ログに残らないものもあります。) ごく基本的な構成のウェブサーバー(IISによる静的ページのホスティングなど)であれば、発見された脆弱性に対するパッチを適切にあて続ける事で、上記のような悪意あるパケットをほぼ無力化できるはずです。(逆に緊急性の高いセキュリティー・ホールを放置していれば、一発でウィルス感染が起きる事になります。) しかしながら、「CGI+外部アプリケーション」に代表されるように、サーバー(サービスやモジュール)の構成が複雑化すればするほど、リスクが増える事になります。(より自由になり、よりシステムが複雑化するほど、リスクも高まるという事です。) セキュリティーに関する考え方としては、 ↓ ●必要なサービス(ポート)のみに接続を許可した上で、許可した通信も適切に監視・保護すること。 ●稼動している(外部ユーザーが直接的・間接的にリクエストを送る事が出来る)全てのモジュールやアプリケーションの脆弱性情報を常にチェックし、パッチあてや回避策を講じ続ける事。 ●定期的にログやシステムの状態をチェックするなど、適切な監視を怠らない事。 ↓ 上記のようなポイントに集約されると思います。 考え方のイメージとしては、「一度セキュリティーのための設定や仕組みを施してあげれば、後はバカチョンで保護される。」というものではなく、「継続的な監視と対策・対応が必要なプロセス」といった要素が非常に強く、自前のサーバー運用では、どうしてもこの点に知識やコストが必要になると言うことです。(サービスの必要性とリスクを天秤にかけて、コストを受け入れるか否か判断する事になると思います。) この他にも必要なサーバー運用における必須の情報セキュリティー知識は多岐にわたるので、この場での簡潔な説明はどうしても不可能です。 商用か個人サイトなのかによっても大きく要件は異なってくるでしょうが、「CGIを利用したり、容量制限を回避したい。」といったレベルの話であれば、レンタルサーバーで管理コストを軽減するといった方法論も有力な候補となるでしょう。(もちろん、セキュリティー的な視線で見た場合、業者選定には注意が必要ですが。) もしも自前でサーバー運用なさる場合は、前回紹介させていただいたサイトのほかにも、体系的な対策情報が下記サイトなどで得られますので、参照・実践なさるよう、私からはおすすめさせてください。 ■IPA提供 読者層別: 情報セキュリティ対策 実践情報■ Copyright(c) Information-technology Promotion Agency, Japan. All rights reserved 2004 ↓ http://www.ipa.go.jp/security/awareness/awareness.html 以上、補足の割りに長文になってしまいましたが、少しでもお役に立てれば幸いです。 それでは。
補足
親切な回答感謝します。参考アドレスは本当に参考になります。 IPA(http://www.ipa.go.jp/security/awareness/awareness.html) の小規模管理者向けセキュリティの項目を読ませていただきました。危険と設定例などが出ていますが、一筋縄では行かないようです。項目が多すぎますが、勉強する価値はあるかなと思います。・・がこれだけのことを把握、理解、実施して行くまでは個人的なHP公開などの限られたサーバー運用も控えたほうがいいのでしょうか。 運用しつつ、一つ一つ取り組みながら行くと言うのは安易なことなのでしょうか。 誰でも最初があり、失敗もあるでしょうが・・。 ただ、指摘されているように踏み台にされるとか、痛い目に遭ってからでは遅いということで最新の注意が必要なことはよく理解できたような気がします。進入や攻撃、静かに分からないように入り込んでいるなどの記述はただただ驚くばかりです。 セキュリティと攻撃者の闘いのような気がしましたね。ちょっと心配になりP-SEC.NETというところで windows診断と言うものをしました。結果は remote address xxx.xx.xx.xx Ethernet address unknown computer name unknown User Nme unknown Domain name unknown File Share unknown と出ました。最初のremote addressが表示されたことはIPポートスキャンの対象になってしまうということでしょうか。 いずれにしてもまだまだセキュリティに関して浅い知識ですのでJzamraiさんのような方がいてくださるだけで心強い感じがします。
こんばんは。 混乱されてしまっている大きな原因として、インターネット公開サーバー(IPネットワーク上の)とLAN上のノード(Windowsネットワーク上の)を同列に考えてしまっている点があるように感じます。(まずは、「純粋なIPネットワークとWindowsネットワークの間には違いがある。」というポイントを理解する事が大切です。) ご質問にある「NetBIOS」という用語は、実は非常に広い意味を持つもので、「Windowsベースのネットワーキング」には必要不可欠なものです。 具体的には、NetBIOSはWindowsによるネットワーキングを実現するための「API」(アプリケーション・インターフェース)として利用されています。(Windowsベースのネットワークでは、ほぼすべての処理がNetBIOS(API)に含まれる一部機能を利用して通信を行うという事です。) 特に、いわゆる「LAN」でWindowsを利用している場合、たとえTCP/IPのみによるネットワーキングを行う場合でもNetBIOSの一部機能(NBTやCIFSなど)を利用する事になります。 「NetBIOSの無効化をすすめる。」というアドバイスは、LAN内の他のWindowsマシンとの通信が必要ないケースを想定した話だと思います。(単体のWebサーバ運用や、「スタンドアロンのWindows」+「UNIX/Linuxなどによる純粋なTCP/IP環境」などといったケースです。) もちろん、情報セキュリティーの原則から見れば「必要ないものは切る」という考え方が正解であることは間違いありませんが、サーバー運用と同時に一般的なWindowsベースのネットワーク(サービス)を利用したいのであれば、「NetBIOSは必須である」と言うことですネ。 より詳しい内容については、下記URLのレクチャーが非常に参考になると思いますので、よろしければ目を通されてみてください。 ■@IT連載 基礎から学ぶWindowsネットワーク ―Windowsネットワーク管理者への道―■ Copyright(c) 2000-2004 atmarkIT ↓ http://www.atmarkit.co.jp/fwin2k/network/baswinlan001/baswinlan001_01.html さて、ここからはやや余談になりますが、#2のrazeさんも心配されているように、私も正直、「自宅サーバー(インターネットに公開する)の運用をなさるにはネットワークに関する基礎知識が不足している。」と感じます。(ごめんなさい) もちろん、obatarianさんはセキュリティー意識をお持ちであるが故にこの場でご質問なさっているのでしょうし、最近は自宅サーバー(サービス)構築の技術的な敷居も低くなってきましたよね。 しかしながら、自前のサーバ構築(インターネット通信網の一部になるという事)には、それなりのリスクと責任が伴います。(自らのシステムの状態を把握して、基本的にトラブルを自己解決する心構えが必要になると思います。) サーバー構築の目的や要件などが良くわかりませんので、あまりいい加減な事は言うべきではないのでしょうが、どうしても「自宅サーバー+Windowsネットワーク」という構成が必要なのであれば、もう少しWindowsネットワークについても学習をされて方が良いと感じます。 自宅サーバーを公開したい場合、純粋なIPネットワーク構成にした方が、管理と言う点では楽になるでしょう。(もちろん、Windowsサーバーでもサーバー公開は可能ですが、普段利用するWindowsネットワークと切り離してしまうという方法もあると言うことです。) 普段利用しているWindowsネットワークの延長線上にインターネット公開サーバーを追加するという方法は、確かに手っ取り早いですし、コストもかかりませんが、事実上2つのネットワークを運用することになり、管理の面で見れば、リスク(それに対処するための知識)がかえって増える事になると言えるでしょう。(今まで比較的気軽に使えていたWindowsネットワーク(LAN)に関しても、ケアが必須となってくると言うことですネ。) そういった点を踏まえると、レンタルサーバなどを含めた代替手段をもって、目的を実現するという選択肢を取る事が、実はもっとも合理的であるというケースも多いと思います。(あくまで「そのサーバで何がしたいのか?」という点が重要ですが。) 以上、参考になれば幸いです。 それでは。
補足
大変丁重なお返事感謝します。 ネットワークという知識が深いものであることを@ITの幾つかのページで見させていただきました。補足的に見させていただいたページの 「Webアプリケーションに潜むセキュリティホール」 第1回 サーバのファイルが丸見え?! というページではいくらでも危険があることが少しだけですけど分かり、驚きです。 それで、 >(もちろん、Windowsサーバーでもサーバー公開は可能ですが、普段利用するWindowsネットワークと切り離してしまうという方法もあると言うことです。) と言う点から考えて、ネットワークをやめてサーバー公開のところを勉強していきたいと思います。 自宅サーバーのメリット(デメリット)を書いている書籍(HPを自宅サーバーで構築すればプロバイダーに制限されないHPを作れる)を参考に勉強を兼ねて挑戦してみました。おそらく書店に溢れている自宅サーバー構築の本を参考に挑戦している人が多いのではないでしょうか 現在、目的としてはプロバイダーに制限されないHPを作りたいと言うのがわたしのしたいことです。 ネットワークについては今後は考えないこととして、書籍に載せられているセキュリティ関連をすべて実行しているわけですが、どんな点に気をつければいいのでしょうか。 #2さんの短いながらも良く知っておられる方のご意見から考えると、書店に出回るサーバー構築の書籍は 無責任なものと思えてくるんですよね。 #2さんの言うバケット・・のうようよいる点ももう少し情報が欲しいですが、載せられない範囲に入るものなのでしょうね。
- raze
- ベストアンサー率15% (74/486)
自宅サーバーはやめたほうがいいと思うけど・・・ 「獲物はいないか」というようなパケットがうようよ いると思うので。
- taka451213
- ベストアンサー率47% (436/922)
こんばんは。 >>セキュリティのためにNetBIOSを無効にしておくように書いてありました。 最新のアップデートをされているのなら、あまり気にしなくてもいいと思います。 と言うか、 >>サーバー側はXP ネットワークでLAN接続しているのはwindows98のPCです。 有効にするしかありません・・・。 >>無効にしてもネットワークPCがそれぞれに表示されるにはどうしたらよろしいですか。 残念ですが、不可能です・・・。 (^^ゞ
お礼
ありがとうございました。最新のアップデートをしていますが、ちょっと気になりました。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
本当にご親切な指導に感謝しています。内容には考えさせられ納得させられるに十分なものでした。 とにかく参考のために挙げてくださったサイトにて学習に取り組んで、すべてが分かりにくくても全体像をつかめればと思います。 最初の質問からかなり逸脱してしまった感をわたしも持っていましたので、私のほうも締め切りしたく思っていたところです。 長文であってもかなり分かりやすいと言うか親切でありますので助かりました。長文を入力するのも時間を割いてくださったわけですから改めて感謝します。