更新日:2001/7/1
ネットワークのトラブルシューティングについては、2001/3のご挨拶で取り上げました。
今月は、前回取り上げた「ping」、「tracert」コマンド以外のコマンドとフリーソフトのいくつかを取り上げてみます。(日経バイトの2001/3号の記事を参考にしました。)
まずは、ipconfig コマンドから。
ping を実施してみたところ、TCP/IPの通信ができていない場合には、クライアントのTCP/IPの設定の確認を行います。
そのためのコマンドとして、「ipconfig」があります。
これは、DOSプロンプトから(WINDOWS2000では、アクセサリ→コマンドプロンプト)から、ipconfig と入力します。
すると、WINDOWS2000 Professionalでは、
Windows 2000 IP Configuration
Ethernet adapter ローカル エリア接続:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.0.23
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
のように、そのマシンの設定内容が表示されます。
ここで、デフォルトゲートウェイというのは、インターネットに接続するマシン又はルータのIPアドレスです。
チェックすべきは、IPアドレス、サブネットマスク、そしてデフォルトゲートウェイです。
これらが適切な値かどうかをチェックします。
なお、ipconfig /all と入力すると、より、詳しい内容が表示されます。
IPアドレスを手動で設定している場合はもちろん、DHCPサーバーから自動的にIPアドレスを取得している場合でも、正しく取得されていない場合があり得ます。
Windows 98/ME/2000では、そのような場合に自動的に、169.254.0.0から始まるプライベートアドレスが設定されてしまいます。
ipconfigで調べた結果、169から始まるアドレスが設定されている場合は、DHCPサーバーから正しくアドレスが割り当てられていないと考えられます。
このような場合は、再起動すればよいのですが、ipconfig /renew と入力することで再起動しなくてもDHCPサーバーからIPアドレスを再取得することができます。
次にブラウズができない場合を考えてみます。
ブラウズとは、ネットワークコンピュータアイコンをダブルクリックした際に表示される、自分以外のコンピュータの一覧を表示する機能です。
なお、WINDOWS Me/2000では、マイネットワークアイコンです。
ブラウズの機構は、前述のTCP/IPとは、別の機構として実現されています。
そのためにping で、接続を確認できても、ネットワークコンピュータリストに現れない場合があるのです。
ネットワークの中に1台、ブラウズマスタというコンピュータがあります。
というか、起動しているコンピュータの中から自動的に選出される仕組みになっています。
ブラウズマスタは、コンピュータの台数が多くなると、バックアップブラウズマスタが選出されます。
ブラウズマスタの持っているリストは、既定では、12分おきに更新されています。
現在のブラウズマスタの状況は、browstat sta というコマンドで探索することができます。
ただし、browstat.exe は、NTでは、標準のコマンドには、含まれていません。NT 4.0では、リソースキットに含まれています。
WINDOWS2000では、当方にまだ、リソースキットがないので含まれているかどうかは、不明ですが、NTのものがそのまま動作します。
実行すると、こんな結果になります。
Status for domain TOKYO-PAX on transport
\Device\NetBT_Tcpip_{ネットワークカードのMACアドレス}
Browsing is active on domain.
Master browser name is: NAGATUKI
Master browser is running build 1381
2 backup servers retrieved from master NAGATUKI
\\NAGATUKI
\\HAZUKI
There are 3 servers in domain TOKYO-PAX on transport
\Device\NetBT_Tcpip_{ネットワークカードのMACアドレス}
There are 1 domains in domain TOKYO-PAX on transport
\Device\NetBT_Tcpip_{ネットワークカードのMACアドレス}
という、形で、現在のブラウズマスタがnagatukiというコンピュータであることを示しています。
もし、なんらかの原因で、ブラウズマスタの選定に問題が生じている場合は、browstat el というコマンドで、選定をやり直すことができます。
以上は、標準のコマンド又はリソースキットに含まれるコマンドで処理できる内容でした。
ここからは、インターネット上に公開されているフリーソフトを利用するネットワークの解析をご紹介しましょう。
まずは、ポートスキャンのためのツールです。ポートスキャンは、インターネット上のコンピュータに対して安易に実行することは、厳に慎まなくては、いけませんが、LAN上のコンピュータに対してであれば、問題はありません。
日本語のものとしては、立尾博樹氏による「Internet Test Tolls Ver3.1」があります。
アドレス、http://www.osk.3web.ne.jp/~goronyan/から無料で入手することができます。
「ソフトの泉」というリンクをたどってください。
対応OSは、WIN98/NT/2000です。
機能としては、ping、tracert、nslookup、port scanの4種類が実行できます。
このうちのnslookupは、まだ、説明していませんでしたが、NT/2000の標準のコマンドに含まれています。
簡単な使い方としては、nslookup コンピュータ名として、目的のコンピュータのIPアドレスを求めることができます。
これは、DNSサーバーが正しく働いているかどうかを調べることになります。
また、逆にIPアドレスが分かる場合に、nslookup IPアドレス、とすると、コンピュータ名を調べることができます。
前に実行したことがある、首相官邸のサーバーに対して実行すると、次のようになります。
nslookup www.kantei.go.jp
server: eagle.asahi-net.or.jp
Address: 202.224.32.1
Name: www.kantei.go.jp
Address: 202.214.63.114
上記で202.224.32.1は、当方の利用しているASAHIネットのサーバー名です。
2番目の202.214.63.114は、官邸のサーバー名です。
今月の挨拶、2001/3の記事と比べてください。確かにそうであることが分かるでしょう。
なお、3月の時点では、ping コマンドを官邸に向けて発行すると返信が帰ってきていましたが、今回は、時間内に戻ってきませんでした。
セキュリティ上の理由でping コマンドに反応しないように設定している可能性があります。
次に逆引きの例をやってみましょう。
例えば、nslookup 202.216.254.69 とすると、www.iiyama.co.jp という答えが返ってきます。
これは、(株)イーヤマのコンピュータです。
さて、話がそれてしまいましたが、インターネットテストツールです。
4つの機能がありますが、標準のコマンドで実行できないものとしてポートスキャンがあります。
ポートスキャンというのは、目的のコンピュータでどのようなポートが開いているか、また、どのようなサービスが公開されているかを調べるものです。
たとえば、当方のサーバーに対して実行すると、以下のようにポート135、139が開いていることが分かります。
TCPだけでなくUDPを使った探索も可能です。
インターネットテストツールは、結果(ログ)をファイルに出力する機能があります。
これは、便利です。ログは、クリップボード又はファイルに出力できます。
サーバーに対して、ポート番号1~255の間で実行した結果を示します。
135 loc-srv Location Service TCP 接続可
139 netbios-ssn NETBIOS Session Service TCP 接続可
NET BIOSサービスが起動していることが明確に分かります。
これは、インターネットに接続しているコンピュータの場合は、危険なことです。
次には、モニタツールですが、Snort というものがあります。
実際にダウンロードして、NT上で実行してみましたが、なかなか、思うような動作をさせることができていません。
設定ファイルを若干訂正しなければ、いけないのですが、どこをどのように訂正したらいいか、がわかりにくいのです。
なお、Snortは、ネットワーク上を流れるデータを見て、現在、ポートスキャンを受けているとかを検出します。
インストールするコンピュータは、ハブがダムハブであれば、どこに置いてもいいのですが、スイッチングハブですと監視したいコンピュータにインストールする必要があります。
ここまでは、ネットワークを解析するツールでしたが、サーバーなりクライアントをセキュアなものにしておくことが、ネットワーク犯罪を防止する上での第1歩です。
そのための手段をご紹介しましょう。
WINDOWS/NTでは、「セキュリティ構成マネージャー」というものがあります。
これは、サービスパック4以上のCD-ROMに含まれていますが、標準では、インストールされていません。
インストールは、例えば、サービスパック6a のCDを挿入して表示される案内から、セットアップします。
構成マネージャーには、コンピュータをセキュアなものにするためのひな形が含まれています。
構成マネージャーを起動して、データベースにそのうちの一つを読み込み、分析を実行します。
そうするとシステムの現状とひな形との違いを詳細に表示することができます。続いて、システムの構成を実行すると現行のシステムをひな形のものに合わせることができます。
ただし、多くの変更がレジストリを含めて実行されてしまいますので、安易に実行することは、危険です。
サーバーをセキュアなものにするための具体的な方法は、マイクロソフトから、より詳細な指針が公開されていました。
それは、「Windows NT 4.0 ドメイン コントローラ構成チェックリスト」です。
このなかに多くのヒントがあります。
しかし、全部を実行することは、かなりの手間がかかります。
特にファイル・フォルダのアクセス権の設定は、多数、ありますので、大変です。
一方、コンピュータを外部から見て、そのセキュリティを評価するためのソフトもあります。
当方で試用しているのは、「Cerberus Internet Scaner」(CIS)です。これは、下記から入手することができます。
http://www.cerberus-infosec.co.uk/cis.shtml
ターゲットとなるコンピュータのIPアドレスを指定することにより、当該コンピュータのレジストリを含めて多くの情報とそれに含まれる問題点が指摘されます。
フリーソフトです。英語なのが難ですが、
それと、指摘されたとおりにターゲット側のコンピュータを再設定しても依然として、同一のメッセージが表示される場合があるようです。(当方の場合だけかも知れませんが。)
「え、こんなことが外部から、分かってしまうの!」という、情報が表示されます。(NTまたは2000に対応)
Windows2000には、ローカルセキュリティポリシーという機能があります。
プログラム~管理ツールとたどって出すことが出来ます。
NTでは、レジストリエディタでレジストリを直接変更しなければできなかった設定の多くがそうせずに容易に設定できます。(詳細は、いずれ、また)
では、今月は、ここまで。
皆様、お元気でお過ごし下さい。また、来月、お会いしましょう。
※2001/4のご挨拶で、インターネットでは、新幹線の予約が出来ない、と記載しましたが、その後、「えきねっと」というものが出来ました。ここで登録(無料)すると鉄道の予約も出来るようになりました。この中では、JALの予約も出来ます。(えきねっとのURL変更により、リンクを2015/7/22に修正)