 |
|
|
|
|||||||||
 |
|||||||||
|
|||||||||
無線LANルータ編 |
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
ファイアウォール機能の要と言える「SPI」。最近ではSPIに対応しないルータは珍しいかも知れませんが、製品によってはまれに対応していないものもあります。 ■ 通信パケットの状態を監視して異常なパケットの侵入を防ぐ「SPI」 無線LAN、有線LANを問わず、ルータを使う最大の理由は「1つの回線で複数のクライアントから同時にインターネットアクセスする」ことです。しかし、意外と知られていないのが「外部からの侵入を防ぐ」という機能で、これもルータを使うべき大きな理由の1つと言えるでしょう。「外部からの侵入を防ぐ」という機能、これはWindows XPやセキュリティ対策ソフトなどがサポートする「ソフトウェアファイアウォール」を、ハードウェアで実現したものです。正確に言えば、最初にファイアウォールを実装したのがルータで、ソフトウェアの形で搭載したのが「ソフトウェアファイアウォール」ということになります。 ソフトウェアファイアウォールは、Windows XP以降であれば標準で搭載されており、セキュリティ対策ソフトなどを通じて手軽に導入が可能な一方、同機能の動作によってマシンにそれなりの負荷が発生するため、ネットワークへのアクセス速度が遅くなってしまう短所があります。これに対してルータのファイアウォール機能を利用した場合、マシン側には負荷が発生せず、ネットワーク速度も実際の接続速度に近いことが保証されます。 しかしながら、ファイアウォールである以上、速度が出て、負荷が小さかったとしても、侵入防止機能が劣っていたら話になりません。このファイアウォールの要となるのが、「SPI(Stateful Packet Inspection)」と呼ばれる機能です。 インターネットの通信においては、IPアドレス以外にポート番号と呼ばれるものが必要です。IPアドレスがマンションの住所ならば、ポート番号はマンション内の部屋番号といったところでしょうか。このポート番号の単位で細かく「通信を通す/通さない」を決めるのが原始的なファイアウォール機能です。 ただ、この程度のレベルでは悪意のあるサイトからの「なりすまし侵入」を受けてしまう可能性があります。一般にこうした攻撃を「セッションハイジャック」などと呼びますが、なりすまし侵入はその最たる例です。これは、LAN内のクライアントからあるターゲットへの通信パケットを傍受し、ターゲットからクライアントの返答に似せたパケットを同時に送り込むことで不正侵入を図ろうという仕組みです。
こうした侵入を防ぐための技術がSPIです。SPIはルータを経由する全パケットの状態(State)を内部のログに記録しておき、整合性が取れているかを確認。異常なパケットがあれば、それ破棄する仕組みです。なりすまし侵入の場合で言えば、TCPの接続状態やパケットのヘッダ部に含まれているシーケンス番号を使い、矛盾がないかを常時確認します。異常が発見された場合、即座にそのパケットを廃棄することで、なりすまし侵入が防げるというわけです。 もっともこのSPI、最近は当然の機能として実装されているためか、メニュー画面に出てこない場合も少なくありません。ただ、「パケットフィルタ」や「アタックブロック」などの名称でファイアウォール機能が設定できるはずですので、そうした場合はこれらの設定をオンにすればSPIが有効になると考えて良いでしょう。
■ URL 無線LANルータ編 索引ページ http://bb.watch.impress.co.jp/cda/koko_osa/17754.html 2007/07/30 11:04
|
 |
|
| Broadband Watch ホームページ |
|
|
|
|
|
|
| Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved. |