- ベストアンサー
139番ポートは閉じるべき?
- TCP/UDPの137番〜139番は、インターネットに接続する環境のPCではブロックしておくべき
- Windowsではデフォルトで閉じていないが、アンチウイルスソフトを導入していれば閉じる必要はない
- 社内のWebサーバでも139番ポートを閉じるべきか
- er1_er1
- お礼率40% (52/128)
- ウィルス・マルウェア
- 回答数7
- ありがとう数33
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
>TCP/UDPの137番~139番は、 デフォルトで閉じていないから、わざわさブロックしておくようにいわれるわけですよ。それらのポートが開けっ放しならファイルをごっそり持っていかれる可能性が高まります。ただ、普通はPCではなくルーター(兼ファイアウォール)を介してインターネットにつなげるので、そちらで閉じてあればまず問題はありません。というより、ローカル内ではファイル共有にそれらのポートを使いますからPCでは閉じずにルーターで閉じるのが普通です。これは、サーバー/クライアントに限りません。 あ、Windows2000以降はポート445もファイル共有に使いますから、同様に閉じておくべきでしょう。
その他の回答 (6)
- redirect
- ベストアンサー率22% (117/514)
#6です。 TCPの139番ポートですけど、Windowsネットワークにおけるファイル共有ではSMBというプロトコルを使いますけど、このとき共有資源を公開してるマシン上のSMBサーバーとのやり取りに使うのがこのポートになります。 netbios-ssnのssnはセッションという意味で、Windowsネットワークサービスにおけるコネクション型通信をセッション・サービスと呼んでいます。
お礼
遅くなりました。 画像まで添付していただき、ありがとうございました。 139番ポートは、SMBプロトコルの通り道なんですねー。
- redirect
- ベストアンサー率22% (117/514)
>インターネットに接続する環境のPCでは >ブロックしておくのが常識」と聞きましたが ええ、WANに直接続なら。139はnetbios-ssnです。 >社内にあるWebサーバ 必要なサービスのみ起動させる。 で、個々のクライアントマシンにおいてNBT関連のポートを遮断する必要は無い。ローカル環境では。
- matyu1003
- ベストアンサー率42% (257/598)
>そうなると、やはり二枚差しで、外部からアクセスするときは、 >ローカルに侵入できないようにする方法がいいですよね。 方法論としてはそういう形でもいいんですが、外部のほうにはグローバルアドレスが必要なので勝手には設置できないですよ?(本来は内部もですが・・・)運用も含めて、会社のネットワークを管理している人や上司に相談して許可を得てください。勝手にやると身分が危うくなります。
- matyu1003
- ベストアンサー率42% (257/598)
ネットワークカード2枚挿しはVLANとは違いますよ。一方にローカルアドレスを割り当ててファイル共有に必要なゆるいセキュリティで普通にLAN接続、他方にグローバルアドレスを割り当ててがっちりファイアウォールを設定してWebサーバーならそのように運用するというものです。外部から入るときはVLANを設定してもいいですがあける穴は少ないほどよいので、すでにVLANで外からLANに入れるのなら、そちらからLAN接続したほうが安全でしょう。
お礼
>すでにVLANで外からLANに入れるのなら、そちらからLAN接続したほうが安全でしょう。 VLANで外から入れるようにはしていないようでした。。 FWで外から通信できるプロトコルも、SSHぐらいで、かなり限定してるみたいです。 そうなると、やはり二枚差しで、外部からアクセスするときは、ローカルに侵入できないようにする方法がいいですよね。
- matyu1003
- ベストアンサー率42% (257/598)
>例えば、社外に公開しているWebサーバにたいしてファイル共有を行う場合は そういうのはWebDAVとかFTPを使ってやるものでしょう(セキュリティ的には前者でSSLを使用)。 あるいはサーバーが社内にあるなら、ネットワークカードを2枚用意し、片方をインターネット公開用、片方を社内ネットワーク用としてそれぞれ必要な処理をすることになります。
お礼
またまたありがとうございました。 >そういうのはWebDAVとかFTPを使ってやるものでしょう(セキュリティ的には前者でSSLを使用)。 ポートフォアディングではなくて、ファイル共有のためのソフトを使用するのですね。 ネットワークカード2枚差しは思いつきませんでした。。。 WebサーバないでVLANを構成するといった感じでしょうか? セグメントが違えば、ローカル側のネットワークには進入できませんもんね。
- g_liar
- ベストアンサー率52% (382/728)
> 「TCP/UDPの137番~139番は、インターネットに接続する環境のPCでは > ブロックしておくのが常識」と聞きましたが、 赤の他人に自分の共有フォルダを見られちゃいますからね。 ふつーは閉じておきます。 > Windowsではデフォルトで閉じていないのでしょうか? 閉じてません。 むしろ開けなくても良いところまであけっぴろげですw > アンチウイルスソフトを導入していれば、閉じる必要はないのでしょうか? アンチウイルスとポートの開け閉めは無関係です。 もし「アンチウイルス」を、ウイルス対策と共に、パーソナルファイアーウォール機能も含んだ統合製品の意味で使われているのでしたら、そのソフトの設定次第です。 > たとえば、社内にあるWebサーバ(プライベートIPを持ち、ローカルだけで使用して、 > インターネットには公開していない)でも、閉じておくべきなのでしょうか? 普通なら外界(インターネット側)と社内との間にファイヤーウォールがあって、そこでブロックされてるはずです。 ご自身の会社がどうなっているかはシステム管理者にお聞きください。 > 139番ポートはファイルやプリンタの共有ポートだと思うのですが、 > 閉じてしまったら、隣のPCからそのPCにアクセスしてファイル共有するということも > できなくなるような気がするのですが。。。。 その通りです。出来なくなります。 出来なくなると困る場合は開けておいてください。 もし、ご自身のPCに入っているセキュリティソフトのパーソナルファイアーウォール機能で細かい設定ができるなら、特定のコンピュータとだけ通信を許可することもできます。
お礼
詳しい説明ありがとうございました。 だいたいは理解できたのですか、追加で質問させてください。 >もし「アンチウイルス」を、ウイルス対策と共に、パーソナルファイアーウォール機能も >含んだ統合製品の意味で使われているのでしたら、そのソフトの設定次第です。 アンチウイルスソフトの中で、「例外ルール」のような感じでポートの指定ができる場合は、 これで設定してよいのでしょうか?(ルータを介してインターネットに接続していない場合) >普通なら外界(インターネット側)と社内との間にファイヤーウォールがあって、そこでブロックされてるはずです。 うちの会社では一番上の階層にルータとFWがあり、そこで色々とプロトコルのブロックなどをしているようでした。 ローカルだけで使用するWebサーバであればポートを閉じる必要はないとわかったのですが、 例えば、社外に公開しているWebサーバにたいしてファイル共有を行う場合は、 ルータでは137~139番は閉じておいて、SSHポートフォアディング?を使用して、 SSHポートを使って行うのでしょうか?
お礼
ありがとうございます。 なるほど、インターネットに接続するにはルータを介すことがほとんどなので、 ルータでポートを閉じておけば、外から侵入されないので、 PC側でポートを閉じる必要はないのですね。 よくわかりました!!!!