- ベストアンサー
ダイナミックパケットフィルタリングの動作、SPIとの関係
- ステイトフルパケットインスペクション(SPI)はダイナミックパケットフィルタリングを発展させたものであり、要求に応答するポートだけを必要な期間のみ動的に開く動作も踏襲しています。
- ルータなどのSPI対応機器はダイナミックパケットフィルタリングの機能も持っていることが一般的ですが、確実に持っているかどうかは記載内容によりますので、製品の仕様を確認することが必要です。
- 通信のどの段階でポートを開閉するかや、返送用の入り口の設定については、各製品の仕様により異なります。詳細な情報を知りたい場合は、各メーカーの公式ウェブサイトや技術文書が参考になります。
- himuro21750
- お礼率41% (13/31)
- ネットワーク
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
> ステートフルインスペクション=全ての層をチェックするダイナミックパケットフィルタリングという感じなのでしょうか? 全ての層というよりも、高機能と言う方が適当かもしれません。 高機能の中に、上位レイヤまで含まれると捉えてください。 企業やIDC で使用されているFirewall には、 まさにネットワークレイヤから必要に応じてアプリケーションレイヤまで参照し、 パケット評価を行う真の「ステートフルインスペクション」機能をサポートしています。 ステートフルインスペクションには、異なるプロトコルへのセッション引継ぎが可能です。 例えば、H.323 でのシグナリング後、RTP への引渡しなどが可能です。 > 用者がルールの定義(パケットフィルタリングのような)を設定することももちろんできますよね? もちろん可能です。 通したい通信はAccept として設定するのはもちろん、 通したくない通信はDeny として破棄させることもできます。 また、Firewall の多くは、基本的に何も設定しなければ、 デフォルトで通信を全て遮断します。 > ステートフルインスペクション機能が先に通信の判定をするのなら、nortonによるパケットフィルタリングは不要なのでしょうか? 賛否両論です。 最近では企業内でも多段Firewall を設置するケースがあります。 ※PC にインストールするFirewall はあまり利用されません。 個人的な見解ですが、私ならPC でFirewall は利用しません。 もちろん、ルータのFirewall よりもPC のFirewall の方が機能的には上です。 外部からの不振な通信を遮断するのはもちろん、 PC 本体からの出ようとする不振な通信も利用者に通知し、遮断することが可能です。 しかし、PC からの通信をインスペクトするために、 Firewall プログラムがCPU やメモリを消費してしまうので、 他のアプリケーションのパフォーマンスを低下させる恐れがあります。 セキュリティ上、どこまでを考えるかになりますが、 私はパフォーマンスを優先し、PC にFirewall Soft を利用していません。 その代わり、スパイウェア対策ツールやブラウザの使い分けを行っており、P2P は行いません。 また、ルータはISP から借りているNAT 機能しか無いものです。 この辺はPC の使用状況などによって変わってきますので、 最終的な判断はお任せします。
その他の回答 (1)
- kuma-ku
- ベストアンサー率54% (1558/2845)
こんばんは 『ステートフルインスペクション』は、元々イスラエルのセキュリティソフトウェアの会社、 チェックポイント社が開発したテクノロジです。 最近では安価なルータでも提供されているようですが、 IPマスカレードと一部の攻撃シグネチャを持っているだけで、 ステートフルインスペクトしているとは。。。 ダイナミックパケットフィルタの前に、 パケットフィルタリングを簡単に説明しておきます。 パケットフィルタリングは、概ね行きと帰りの通信の定義が必要です。 例えば、PC-A とPC-B がWEB(80)通信をする場合、 送信元(送信元Port):PC-A(TCP:ANY) 送信先(送信先Port):PC-B(TCP:80) の定義だけでなく、 送信元(送信元Port):PC-B(TCP:80) 送信先(送信先Port):PC-A(TCP:ANY) の定義が必要になります。 そして、ダイナミックパケットフィルタリングの場合、 ある通信の行きだけを定義すれば、 帰りの通信を自動的に通してくれるものです。 また、FTP などのActive モードへの対応など、 パケットフローを確認しつつ、 動的にPort をオープンにする仕組みをとっています。 次に、ステートフルインスペクションですが、 あらかじめ通信のシグネチャを多数インプリされており、 通信Policy を作成すれば、その通信のフローをアプリケーションレベルで判定します。 例えば、FTP のActive 通信はもちろん、 SIP やH.323、その他様々なプロトコルに対応しています。 また、通信フローは機種によって異なってきますが、 一例(NetScreen)を紹介しておきます。 1)通信パケットを受信 2)攻撃シグネチャの評価 3)既存セッションの確認、セッションテーブルの評価 4)ルーティングテーブルを評価 5)通信ポリシー(フィルタリング)の評価 -> 通過6)へ -> 破棄 6)NAT 評価 7)セッションテーブルの作成 8)対象I/F から転送 最後に、参考になりそうなページをいくつか紹介しておきます。 お勉強してみてください。 http://www.checkpoint.co.jp/products/others/stateful.html http://www.keyman.or.jp/search/30000159_1.html http://www.atmarkit.co.jp/fsecurity/special/17fivemin/fivemin00.html
お礼
kuma-kuさん回答有難うございます。 ダイナミックパケットフィルタリングの仕組みは凄いですね。従来のパケットフィルタリングと比較して、ファイアウォールの定義が楽になるばかりか、ポートを開けっ放しにせずにすむのでセキュリティが大幅に強化されるみたいですね。 ステートフルインスペクションの場合もこのポートの動的開閉のシステムは持ってるみたいですね。ステートフルインスペクション=全ての層をチェックするダイナミックパケットフィルタリングという感じなのでしょうか? ステートフルインスペクションを利用する場合においても、運用上必要のないと予め分かってる通信などを遮断するためなどに、運用者がルールの定義(パケットフィルタリングのような)を 設定することももちろんできますよね? 現在、ルータにステートフルインスペクション機能が搭載されているものを使用して、なおかつパソコンにNorton Internet Securityのファイアウォール(パケットフィルタリング)を導入しているのですが、 ステートフルインスペクション機能が先に通信の判定をするのなら、nortonによるパケットフィルタリングは不要なのでしょうか? 私の使用しているルータはステートフルインスペクションのルールをいじるような項目がなく、怖いので、(安価なルータですし)nortonのパケットフィルタリングも併用しています。 よければまたご教授ください。
お礼
>ステートフルインスペクションには、異なるプロトコルへのセッション引継ぎが可能です。 例えば、H.323 でのシグナリング後、RTP への引渡しなどが可能です。 本当に高機能ですね。複数のプロトコルを使用する通信のセッションを監視できるというのはすごいですね。 しかし、それだけの機能があれば負荷も相当かかりそうな気がしますが、最近の機器の性能の飛躍的向上で補えるんでしょうね。 >賛否両論です。 企業単位か個人単位か、また使用状況によって変わってきますよね、やっぱり。私の場合は自宅で使うだけなのですが、色々実験をするので、危ないパケットが飛び出ないように監視するのに、やはりPCにfirewallは欲しいですね。 でもパフォーマンスが落ちているのも目に見て分かります。 高価なファイアウォールとか自宅に設置、とまではいいませんが、一度お目にかかりたいものです。 良回答有難うございました。