ダイナミックパケットフィルタリングの動作、ＳＰＩとの関係

ステイトフルパケットインスペクション(SPI）は
ダイナミックパケットフィルタリングを発展させたものだと聞きましたが、ＳＰＩにはダイナミックパケットフィルタリングが持つ、"要求に応答するポートだけを応答のために必要な期間のみ動的に開く”といった動作も踏襲しているのでしょうか？

ルータなどを購入する際に、"ＳＰＩ対応”や"ダイナミックパケットフィルタリング対応”などの記載がありますが、"ＳＰＩ対応”とさえ書いてあればそれはダイナミックパケットフィルタリングの機能も持っていると解していいものなのか疑問に思っています。

あと、ダイナミックパケットフィルタリング機能の、動的にポートを開閉する仕組みについて興味があります。

いったい通信のどの段階で、どこを見てポートを空けたりするのか、新たに返送用の入り口を設定するとはどういうことなのか知りたいのですが、参考になりそうなＵＲＬなども教えていただけるととてもありがたいです。回答お願いします。

No.2 ベストアンサー 回答者： kuma-ku 回答日時： 2005/09/06 21:22

> ステートフルインスペクション＝全ての層をチェックするダイナミックパケットフィルタリングという感じなのでしょうか？

全ての層というよりも、高機能と言う方が適当かもしれません。
高機能の中に、上位レイヤまで含まれると捉えてください。


企業やIDC で使用されているFirewall には、
まさにネットワークレイヤから必要に応じてアプリケーションレイヤまで参照し、
パケット評価を行う真の「ステートフルインスペクション」機能をサポートしています。

ステートフルインスペクションには、異なるプロトコルへのセッション引継ぎが可能です。
例えば、H.323 でのシグナリング後、RTP への引渡しなどが可能です。


> 用者がルールの定義（パケットフィルタリングのような）を設定することももちろんできますよね？

もちろん可能です。
通したい通信はAccept として設定するのはもちろん、
通したくない通信はDeny として破棄させることもできます。

また、Firewall の多くは、基本的に何も設定しなければ、
デフォルトで通信を全て遮断します。


> ステートフルインスペクション機能が先に通信の判定をするのなら、nortonによるパケットフィルタリングは不要なのでしょうか？

賛否両論です。
最近では企業内でも多段Firewall を設置するケースがあります。
※PC にインストールするFirewall はあまり利用されません。

個人的な見解ですが、私ならPC でFirewall は利用しません。

もちろん、ルータのFirewall よりもPC のFirewall の方が機能的には上です。
外部からの不振な通信を遮断するのはもちろん、
PC 本体からの出ようとする不振な通信も利用者に通知し、遮断することが可能です。

しかし、PC からの通信をインスペクトするために、
Firewall プログラムがCPU やメモリを消費してしまうので、
他のアプリケーションのパフォーマンスを低下させる恐れがあります。

セキュリティ上、どこまでを考えるかになりますが、
私はパフォーマンスを優先し、PC にFirewall Soft を利用していません。
その代わり、スパイウェア対策ツールやブラウザの使い分けを行っており、P2P は行いません。
また、ルータはISP から借りているNAT 機能しか無いものです。

この辺はPC の使用状況などによって変わってきますので、
最終的な判断はお任せします。

この回答へのお礼

>ステートフルインスペクションには、異なるプロトコルへのセッション引継ぎが可能です。
例えば、H.323 でのシグナリング後、RTP への引渡しなどが可能です。

本当に高機能ですね。複数のプロトコルを使用する通信のセッションを監視できるというのはすごいですね。
しかし、それだけの機能があれば負荷も相当かかりそうな気がしますが、最近の機器の性能の飛躍的向上で補えるんでしょうね。

＞賛否両論です。

企業単位か個人単位か、また使用状況によって変わってきますよね、やっぱり。私の場合は自宅で使うだけなのですが、色々実験をするので、危ないパケットが飛び出ないように監視するのに、やはりＰＣにfirewallは欲しいですね。
でもパフォーマンスが落ちているのも目に見て分かります。
高価なファイアウォールとか自宅に設置、とまではいいませんが、一度お目にかかりたいものです。

良回答有難うございました。

お礼日時：2005/09/07 15:28

No.1 回答者： kuma-ku 回答日時： 2005/09/05 21:56

こんばんは

『ステートフルインスペクション』は、元々イスラエルのセキュリティソフトウェアの会社、
チェックポイント社が開発したテクノロジです。

最近では安価なルータでも提供されているようですが、
IPマスカレードと一部の攻撃シグネチャを持っているだけで、
ステートフルインスペクトしているとは。。。


ダイナミックパケットフィルタの前に、
パケットフィルタリングを簡単に説明しておきます。

パケットフィルタリングは、概ね行きと帰りの通信の定義が必要です。
例えば、PC-A とPC-B がWEB(80)通信をする場合、

　送信元(送信元Port)：PC-A(TCP:ANY)
　送信先(送信先Port)：PC-B(TCP:80)

の定義だけでなく、

　送信元(送信元Port)：PC-B(TCP:80)
　送信先(送信先Port)：PC-A(TCP:ANY)

の定義が必要になります。

そして、ダイナミックパケットフィルタリングの場合、
ある通信の行きだけを定義すれば、
帰りの通信を自動的に通してくれるものです。
また、FTP などのActive モードへの対応など、
パケットフローを確認しつつ、
動的にPort をオープンにする仕組みをとっています。

次に、ステートフルインスペクションですが、
あらかじめ通信のシグネチャを多数インプリされており、
通信Policy を作成すれば、その通信のフローをアプリケーションレベルで判定します。
例えば、FTP のActive 通信はもちろん、
SIP やH.323、その他様々なプロトコルに対応しています。


また、通信フローは機種によって異なってきますが、
一例(NetScreen)を紹介しておきます。

1）通信パケットを受信
2）攻撃シグネチャの評価
3）既存セッションの確認、セッションテーブルの評価
4）ルーティングテーブルを評価
5）通信ポリシー(フィルタリング)の評価
　　-> 通過6)へ -> 破棄
6）NAT 評価
7）セッションテーブルの作成
8）対象I/F から転送


最後に、参考になりそうなページをいくつか紹介しておきます。
お勉強してみてください。
http://www.checkpoint.co.jp/products/others/stat …
http://www.keyman.or.jp/search/30000159_1.html
http://www.atmarkit.co.jp/fsecurity/special/17fi …

この回答へのお礼

kuma-kuさん回答有難うございます。

ダイナミックパケットフィルタリングの仕組みは凄いですね。従来のパケットフィルタリングと比較して、ファイアウォールの定義が楽になるばかりか、ポートを開けっ放しにせずにすむのでセキュリティが大幅に強化されるみたいですね。

ステートフルインスペクションの場合もこのポートの動的開閉のシステムは持ってるみたいですね。ステートフルインスペクション＝全ての層をチェックするダイナミックパケットフィルタリングという感じなのでしょうか？

ステートフルインスペクションを利用する場合においても、運用上必要のないと予め分かってる通信などを遮断するためなどに、運用者がルールの定義（パケットフィルタリングのような）を
設定することももちろんできますよね？

現在、ルータにステートフルインスペクション機能が搭載されているものを使用して、なおかつパソコンにNorton Internet Securityのファイアウォール（パケットフィルタリング）を導入しているのですが、
ステートフルインスペクション機能が先に通信の判定をするのなら、nortonによるパケットフィルタリングは不要なのでしょうか？

私の使用しているルータはステートフルインスペクションのルールをいじるような項目がなく、怖いので、（安価なルータですし）nortonのパケットフィルタリングも併用しています。

よければまたご教授ください。

お礼日時：2005/09/06 17:41