ステートフルパケットインスペクション機能?ルータ機能の解説-第1回?

Categories: ITなニュース  2008/6/24 火曜日

個人でもルータを触る機会は多々あるかと思います。

今回からシリーズでルータ機能について解説していきたいと思います。ルータの機能を知る事で、ネットワークの全体がみえてくるかと思います。

今回はステートフルパケットインスペクションについて解説します。

ステートフルパケットインスペクション機能は多くのルータが備えている機能です。
ステートフルとは蓄積、インスペクションとは調査、検査、監査という意味です。
まとめると過去のパケットの動向から導き出される“通信の状態”を、フィルタリングの判断材料にするという意味です。
通信を行う上で、決まり事、特定の手順があります。(3way Handshakeなど)。もし、悪意のあるプログラムが外部から、こうした手順をすっ飛ばして、こちらのPCの許可なく、勝手に「データコネクション」が作成されたとしたら、それは不正アクセスである可能性が高いです。
これまで、ルータはパケットひとつひとつをみていて、こうした不正通信は制御される事はありませんでしたが、一連の通信手順すべてを追いかけて、この不正なコネクションを回避するのが、ステートフルパケットインスペクション機能です。この機能は、通信を終了すると全てのポートが閉鎖するので「穴のない」強固なセキュリティを実現します。いわば例外的なパケットによる不正行為から守ってくれます。

とはいえ、ステートフルパケットインスペクション機能を有効にしていても、不用心にポートを開放していれば、簡単に侵入されてしまいます。ユーザーが開放しているポートへのパケットは、例外なく通過させます。また、ブロードバンドルータに搭載されているようなステートフルパケットインスペクション機能の場合、ウイルスに感染されたメールを遮断するような機能もありません。
このため、ステートフルパケットインスペクション機能搭載のルータだからといって安心せず、セキュリティ対策はさまざまなものを組み合わせて講じなければなりません。

ちなみに、弊社がお勧めしているUTM(Unified Threat Management : セキュリティ対策付きルータ)では、ウイルスに感染されたメールやファイルを遮断します。こちらは月々15,000円のレンタルの形でご提供しております。ご興味があればお問い合わせください。
今後週1回シリーズで下記の機能について連載いたします。もしよろしければ、blogをのぞいてみてください。

ルータ機能の解説の予定
PPPoE
ステルス機能
TKIP機能やESSID機能、MACアドレスフィルタリング
マルチセッション
Universal Plug and Play
Unnumbered
DHCP
DMZ
ポートフォワード
セッション・キープ・アライブ機能
NAT+IPマスカレード


Author: tokunaga
ネットワーク構築、サーバーメンテナンスを担当。 MCP、CCNA、SCSA、DD1種などを有しており、ネットワークの設計・構築・運用まで一通り行います。 法人様への最初の窓口として応対させて頂くことが多くございます。 問題解決のお手伝いを致しますのでひとりで悩まずお気軽にご相談ください。

コメントは受け付けていません。