CiscoとSolarWinds TFTP：多機能ツールの設定と使い方 - TechRepublic

TFTPは非常に汎用性の高いプロトコルで、ネットワーク構成のバックアップ、コードのアップグレード、ハードドライブのないデバイスのリモートブートなど、様々な用途に使用できます。しかし、本質的にセキュリティが低いため、TFTPサーバーの設計と構成には特別な注意が必要です。TFTPサーバーはファイアウォールの内側に配置することをお勧めします。また、Windows 2000サーバーなど、追加のセキュリティ制御を備えたサーバーでTFTPを使用するようにしてください。

TFTPはFTPほど普及していないため、Windows 2000 Serverにインターネット インフォメーション サービスをインストールするほど簡単には設定できません。しかし、ニーズを満たすのに十分な機能を備えたフル機能のTFTPサーバーを提供するプロバイダーは数多くあります。今回の特集記事では、CiscoとSolarWindsの無料TFTPサーバーをWindows 2000 Serverにダウンロードして設定する方法を説明します。

TFTPサーバファイルのダウンロード先
Cisco TFTPサーバをダウンロードするには、Ciscoサイトへの登録が必要です。登録には有効なメールアドレスが必要です。登録とログインが完了したら、TFTPサーバをダウンロードしてください。TFTPServer1-1-980730.exeファイルが必要です。

SolarWinds TFTPサーバーはSolarWindsのウェブサイトから入手できます。SolarWinds-TFTP-Server.exeファイルが必要です。ページ右側の「今すぐ試す」リンクをクリックすると、ダウンロードページに移動します。

Cisco TFTP サーバー
このセクションでは、Service Pack 2 を実行している Windows 2000 Server に Cisco TFTP サーバーを設定する方法について説明します。この TFTP サーバーはインストール、設定、および使用が簡単で、ほとんどのネットワーク管理者のニーズに十分対応できるはずです。

まず、ダウンロードしたファイルをダブルクリックしてファイルを解凍します。すべてのデフォルト設定を受け入れると、サーバはC:\Program Files\Cisco Systems\Cisco TFTP Serverにインストールされます。インストールが完了すると、デスクトップに新しいプログラム項目が表示され、スタートメニューにTFTPサーバが起動します。TFTPサーバを起動するために再起動する必要はありません。

TFTPの実行
Cisco TFTPサーバを起動するには、デスクトップ上のショートカットをクリックします。このプログラムにはオプションがほとんどないことに気づくでしょう。TFTPサーバの設定を確認するには、「表示」>「オプション」を選択してください。図Aはデフォルトのオプション設定を示しています。

図A

ここで、Cisco TFTP サーバーのオプションが表示されます。

TFTP サーバーのルート ディレクトリをメモしておいてください。これは、マシンに転送するファイルが保存される場所であり、サーバーからネットワーク デバイスに転送する必要があるファイルを配置する場所でもあります。

TFTPの使用
TFTPを使用してネットワークハードウェア構成をバックアップする方法を説明するために、IPアドレス172.16.1.207を持つデスクトップマシンにCisco PIXファイアウォールをバックアップする手順を説明します。この手順を実行するために、ファイアウォールが有効化モードになっていることを確認しました。次に、以下のコマンドを実行し、ネットワークハードウェア構成をバックアップしました。これらのコマンドは、Cisco PIXおよびその他のCisco機器で使用できます。pixfirewall
# write net 172.16.1.207:pixcfg.txt
Building configuration…
TFTP write '/pixcfg.txt' at 172.16.1.207 on interface 1
[OK]

Cisco TFTPサーバのメインウィンドウには、ダウンロードの進行状況とステータスも表示されます。リストAは、Cisco TFTPサーバのメインウィンドウに生成されたレポートを示しています。

セキュリティ上の懸念
TFTPは、設計上、それほど安全なプロトコルではありません。TFTPの目的は、相手が誰であろうと、ほぼ誰とでもデータの送受信を行うことです。TFTPサーバーをファイアウォールの背後に設置し、LAN上のユーザーを信頼できる場合は、セキュリティ上の問題はいくらか軽減されます。目安として、TFTPサーバーのTFTPルートディレクトリにあるすべてのファイルは誰でも読み取り可能であると想定してください。このディレクトリにあるすべてのファイルを誰かが取得しても構いませんか？もしそうでない場合、セキュリティ上の問題はそれほど重要ではありません。

しかし、ほとんどの人は、ルーターやファイアウォールの設定を誰でも入手できるようには望んでいません。このような脆弱な情報は、ファイアウォールを通過できるトラフィックの種類など、ネットワークに関する重要な情報を潜在的な攻撃者に提供してしまう可能性があります。

この安全性の問題のため、TFTP サーバーは、必要な機器 (ルーターやスイッチなど) だけがアクセスできる隔離された LAN に配置する必要があります。

SolarWinds TFTPサーバー
SolarWinds TFTPサーバーは、アプリケーションレベルでTFTPのセキュリティ上の懸念に対処する上で大きな進歩を遂げています。TCP/IPアクセスリストなどの機能を備えており、誰でもFTPサーバーにアクセスできるようになることをより困難にしています。

SolarWinds TFTPサーバーをインストールするには、ダウンロードした実行ファイルをダブルクリックし、デフォルトのインストール手順に従います。これにより、プログラムのバイナリがC:\Program Files\SolarWinds\2002 Standard Editionにインストールされます。インストールが完了すると、サーバーが自動的に起動します。

SolarWinds TFTP サーバーのメイン ウィンドウから、[ファイル] | [構成] を選択すると、図 Bに示すウィンドウが表示され、サーバーの構成を表示できます。

図B

SolarWinds TFTP サーバー構成オプションには、高度なセキュリティ タブが含まれています。

SolarWindsサーバーのTFTPルートディレクトリはデフォルトでC:\TFTP-Rootです。また、サーバーは受信専用モードに設定されており、ファイルを送信する接続のみを受け入れ、送信ファイル転送の要求は無視されます。受信接続はどのIPアドレスからでも許可されます。

テスト
SolarWinds サーバーをテストするために、以前 Cisco TFTP サーバーに送信したものと同じファイルを SolarWinds サーバーに送信しました。テストは成功し、サーバーのメイン画面にログオンできました。

追加のセキュリティ
サーバーにファイルの受信のみを許可するのは優れたセキュリティ対策ですが、ファイルの送受信が可能なTFTPサーバーが必要な場合はどうすればよいでしょうか？SolarWinds TFTPサーバーは、送信元IPアドレスに基づいて接続を許可できるため、使用できるユーザーを厳密に制限できます。これを設定するには、設定画面で「高度なセキュリティ」（図C）を選択します。

図C

この構成には信頼できる IP 範囲のみを追加します。

許可された IP アドレスのリストに IP 範囲を追加すると、[高度なセキュリティ] タブは図 Dのようになります。

図D

IP アドレス範囲を削除するには、範囲を強調表示して「選択した範囲の削除」をクリックします。

図 E は、セキュリティ メカニズムをバイパスする試みが検出されたときに受信するログ情報の例を示しています。

図E

サーバーがセキュリティ メカニズムを回避しようとする試みを検出すると、ログ ファイルに次のようなエラーが含まれます。

TFTPについてさらに詳しく
TFTPはネットワークハードウェアのバックアップやアップグレードに最適な方法ですが、他にも用途があります。TFTPは、ハードドライブを持たないデバイスのリモートブートに使用されるプロトコルです。そのため、TFTPはBOOTPサーバーと組み合わせて使用​​されます。デバイスはBOOTPサーバーから、自身のアドレス情報と、ブート元のTFTPサーバーのアドレスを受け取ります。

保護されたネットワーク上のTFTPサーバーへのアクセスを許可するようにファイアウォールを設定する場合、TFTPサーバーは通信にポート69を使用し、TCPではなくUDPを使用する点に留意してください。これは、TFTPがFTPほど信頼性が高くないことを意味します。情報（パケット）の完全性は保証されておらず、宛先サーバーによって確認応答も行われません。