ステイトフルパケットインスペクション(SPI)は
ダイナミックパケットフィルタリングを発展させたものだと聞きましたが、SPIにはダイナミックパケットフィルタリングが持つ、"要求に応答するポートだけを応答のために必要な期間のみ動的に開く”といった動作も踏襲しているのでしょうか?
ルータなどを購入する際に、"SPI対応”や"ダイナミックパケットフィルタリング対応”などの記載がありますが、"SPI対応”とさえ書いてあればそれはダイナミックパケットフィルタリングの機能も持っていると解していいものなのか疑問に思っています。
あと、ダイナミックパケットフィルタリング機能の、動的にポートを開閉する仕組みについて興味があります。
いったい通信のどの段階で、どこを見てポートを空けたりするのか、新たに返送用の入り口を設定するとはどういうことなのか知りたいのですが、参考になりそうなURLなども教えていただけるととてもありがたいです。回答お願いします。
No.2ベストアンサー
- 回答日時:
> ステートフルインスペクション=全ての層をチェックするダイナミックパケットフィルタリングという感じなのでしょうか?
全ての層というよりも、高機能と言う方が適当かもしれません。
高機能の中に、上位レイヤまで含まれると捉えてください。
企業やIDC で使用されているFirewall には、
まさにネットワークレイヤから必要に応じてアプリケーションレイヤまで参照し、
パケット評価を行う真の「ステートフルインスペクション」機能をサポートしています。
ステートフルインスペクションには、異なるプロトコルへのセッション引継ぎが可能です。
例えば、H.323 でのシグナリング後、RTP への引渡しなどが可能です。
> 用者がルールの定義(パケットフィルタリングのような)を設定することももちろんできますよね?
もちろん可能です。
通したい通信はAccept として設定するのはもちろん、
通したくない通信はDeny として破棄させることもできます。
また、Firewall の多くは、基本的に何も設定しなければ、
デフォルトで通信を全て遮断します。
> ステートフルインスペクション機能が先に通信の判定をするのなら、nortonによるパケットフィルタリングは不要なのでしょうか?
賛否両論です。
最近では企業内でも多段Firewall を設置するケースがあります。
※PC にインストールするFirewall はあまり利用されません。
個人的な見解ですが、私ならPC でFirewall は利用しません。
もちろん、ルータのFirewall よりもPC のFirewall の方が機能的には上です。
外部からの不振な通信を遮断するのはもちろん、
PC 本体からの出ようとする不振な通信も利用者に通知し、遮断することが可能です。
しかし、PC からの通信をインスペクトするために、
Firewall プログラムがCPU やメモリを消費してしまうので、
他のアプリケーションのパフォーマンスを低下させる恐れがあります。
セキュリティ上、どこまでを考えるかになりますが、
私はパフォーマンスを優先し、PC にFirewall Soft を利用していません。
その代わり、スパイウェア対策ツールやブラウザの使い分けを行っており、P2P は行いません。
また、ルータはISP から借りているNAT 機能しか無いものです。
この辺はPC の使用状況などによって変わってきますので、
最終的な判断はお任せします。
>ステートフルインスペクションには、異なるプロトコルへのセッション引継ぎが可能です。
例えば、H.323 でのシグナリング後、RTP への引渡しなどが可能です。
本当に高機能ですね。複数のプロトコルを使用する通信のセッションを監視できるというのはすごいですね。
しかし、それだけの機能があれば負荷も相当かかりそうな気がしますが、最近の機器の性能の飛躍的向上で補えるんでしょうね。
>賛否両論です。
企業単位か個人単位か、また使用状況によって変わってきますよね、やっぱり。私の場合は自宅で使うだけなのですが、色々実験をするので、危ないパケットが飛び出ないように監視するのに、やはりPCにfirewallは欲しいですね。
でもパフォーマンスが落ちているのも目に見て分かります。
高価なファイアウォールとか自宅に設置、とまではいいませんが、一度お目にかかりたいものです。
良回答有難うございました。
No.1
- 回答日時:
こんばんは
『ステートフルインスペクション』は、元々イスラエルのセキュリティソフトウェアの会社、
チェックポイント社が開発したテクノロジです。
最近では安価なルータでも提供されているようですが、
IPマスカレードと一部の攻撃シグネチャを持っているだけで、
ステートフルインスペクトしているとは。。。
ダイナミックパケットフィルタの前に、
パケットフィルタリングを簡単に説明しておきます。
パケットフィルタリングは、概ね行きと帰りの通信の定義が必要です。
例えば、PC-A とPC-B がWEB(80)通信をする場合、
送信元(送信元Port):PC-A(TCP:ANY)
送信先(送信先Port):PC-B(TCP:80)
の定義だけでなく、
送信元(送信元Port):PC-B(TCP:80)
送信先(送信先Port):PC-A(TCP:ANY)
の定義が必要になります。
そして、ダイナミックパケットフィルタリングの場合、
ある通信の行きだけを定義すれば、
帰りの通信を自動的に通してくれるものです。
また、FTP などのActive モードへの対応など、
パケットフローを確認しつつ、
動的にPort をオープンにする仕組みをとっています。
次に、ステートフルインスペクションですが、
あらかじめ通信のシグネチャを多数インプリされており、
通信Policy を作成すれば、その通信のフローをアプリケーションレベルで判定します。
例えば、FTP のActive 通信はもちろん、
SIP やH.323、その他様々なプロトコルに対応しています。
また、通信フローは機種によって異なってきますが、
一例(NetScreen)を紹介しておきます。
1)通信パケットを受信
2)攻撃シグネチャの評価
3)既存セッションの確認、セッションテーブルの評価
4)ルーティングテーブルを評価
5)通信ポリシー(フィルタリング)の評価
-> 通過6)へ -> 破棄
6)NAT 評価
7)セッションテーブルの作成
8)対象I/F から転送
最後に、参考になりそうなページをいくつか紹介しておきます。
お勉強してみてください。
http://www.checkpoint.co.jp/products/others/stat …
http://www.keyman.or.jp/search/30000159_1.html
http://www.atmarkit.co.jp/fsecurity/special/17fi …
kuma-kuさん回答有難うございます。
ダイナミックパケットフィルタリングの仕組みは凄いですね。従来のパケットフィルタリングと比較して、ファイアウォールの定義が楽になるばかりか、ポートを開けっ放しにせずにすむのでセキュリティが大幅に強化されるみたいですね。
ステートフルインスペクションの場合もこのポートの動的開閉のシステムは持ってるみたいですね。ステートフルインスペクション=全ての層をチェックするダイナミックパケットフィルタリングという感じなのでしょうか?
ステートフルインスペクションを利用する場合においても、運用上必要のないと予め分かってる通信などを遮断するためなどに、運用者がルールの定義(パケットフィルタリングのような)を
設定することももちろんできますよね?
現在、ルータにステートフルインスペクション機能が搭載されているものを使用して、なおかつパソコンにNorton Internet Securityのファイアウォール(パケットフィルタリング)を導入しているのですが、
ステートフルインスペクション機能が先に通信の判定をするのなら、nortonによるパケットフィルタリングは不要なのでしょうか?
私の使用しているルータはステートフルインスペクションのルールをいじるような項目がなく、怖いので、(安価なルータですし)nortonのパケットフィルタリングも併用しています。
よければまたご教授ください。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- 中途・キャリア 現在転職活動中で、書類選考が通った応募中の企業から面接の案内が来ました。面接は確定していますが、その 2 2023/04/12 09:28
- ルーター・ネットワーク機器 10Gbpsの恩恵 5 2022/11/16 15:48
- 転職 現在在職中なのですが転職したい会社があり ハローワークを通して応募しました。 先週の終わり頃に書類選 1 2022/08/18 01:00
- 格安スマホ・SIMフリースマホ SIMカードのロックについて 1 2022/03/29 15:02
- 工学 非言語分野が全くできない人にオススメの参考書を教えてください 1 2023/06/01 16:15
- 労働相談 合意済み仕様の商品納入後における仕様変更要求への対応について 5 2023/04/19 09:41
- 賃貸マンション・賃貸アパート ご教授宜しくお願いします。 現在、私が住んでいるのは賃貸マンションですが、約1年前から不可思議な事が 2 2022/07/08 23:28
- LANケーブル・USBケーブル お得だからと勧められた “ソフトバンクエアー” 、コレガ(CG-SW08GTLX)が使えません。 1 2022/05/09 16:04
- その他(プログラミング・Web制作) このWEB用語、WEB文章、意味が分かりますか? 理解できない人が多いようなんですが・・・ 7 2022/10/22 09:13
- その他(法律) 学校のコンプライアンス室がまともに対応しない時、文部科学省が対応する窓口は? 1 2022/06/10 20:46
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
MACアドレスが知られた場合の危...
-
skype使用不可(plala パケット...
-
pingが通る理由
-
プロトコルってソフトウェア?
-
携帯通信会社のパケット通信規...
-
Redhat Linux7.1でrcpコマンド...
-
PCでFPSをプレイしていて突然動...
-
sftpとインターネットVPN
-
tcp/ip通信で特定のデータが送...
-
異常パケット
-
スニファーとアナライザーの違い
-
カスケード接続について
-
パケットドロップの発生について
-
学校からパソコンを借りてます...
-
IPアドレスの呼び方
-
会社貸与WiFiルーターで私用。...
-
1番長続きしたネッ友との付き合...
-
ホストについてです。こんな客...
-
ホストの男性は、細客の女性客...
-
ホストの担当が年末で辞めまし...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
MACアドレスが知られた場合の危...
-
tcp/ip通信で特定のデータが送...
-
デフォルトルート(ゲートウェ...
-
FWの設定について(片方向のル...
-
通信用語 FR・CR接続って...
-
NAT配下のDNSどうやって外から...
-
ブロードキャスト転送できるか...
-
sftpとインターネットVPN
-
UDPパケットの分割について
-
MACアドレスの情報はどこに保存...
-
ICMP Echo Message はtcp,udp...
-
TTL
-
Redhat Linux7.1でrcpコマンド...
-
NATとリバースプロキシについて
-
ARPに失敗したときの動作
-
PONシステムのTDMAとTDMの違い...
-
NTTサービス『131』って何ですか?
-
PADについての質問です。
-
ネットワーク基礎で 全二重通...
-
IP Messengerについて
おすすめ情報