YAMAHAルータで学ぶネットワーク構築術 > 静的フィルタリング(その2)
当サイト概要学習環境の準備プライバシーポリシーリンクについてリンクの申込お問い合せ
◆スポンサードリンク

◆Amazon
◆静的フィルタリング(その2)
◇スポンサードリンク

◆静的フィルタリング(その2)

 パケットフィルタリングの条件を考えるとき、最初に決めなければならない方針があります。下記の2つの中から1つを選ばなくてはなりません。

@遮断するパケットだけを条件で指定し、条件に一致しない通信を通過させる。
A通過させるパケットだけを条件で指定し、条件に一致しない通信を遮断する。

どちらも、変わらないように思われるかもしれませんが、セキュリティの強度で大きな差があります。


◆遮断するパケットだけを条件で指定し、条件に一致しない通信を通過させる場合

 この方法は、あらかじめ予想される攻撃を事前に、フィルタリング条件として定義します。条件に一致しないパケットは、全て通過してしまうこととなります。危険な攻撃手法は、無数にあるので、漏れなく全てを定義するのは、困難です。

 フィルタリングの条件に漏れがあると不正なパケットが侵入してしまうことになります。そのため、随時、ファイアウォールの条件の見直して、フィルタリングの条件に漏れがないか、新たな攻撃手法に対応しているのかどうかを確認する必要があります。


◆通過させるパケットだけを条件で指定し、条件に一致しない通信を遮断する場合

 この方法は、あらかじめ通したいパケットを定義します。定義されていない通信は、全て遮断されるので、@の方よりもセキュリティを確保することができます。定義漏れがあったとしても、遮断されることになるので安全です。

 上記の理由から、多くのファイアウォール機能が搭載された製品のデフォルトのフィルタリングの方針は、条件に一致しない通信を全て遮断するようになっています。

 たとえば、Cisco製のルータは、デフォルトでフィルタリングのルールを定義するアクセスリストの最後に暗黙の「deny any」という全て破棄するというアクセスリストが、定義しなくとも存在します。

つまり、デフォルトで遮断の方針となるため、通過させる条件に漏れがある場合は、遮断されることとなります。


◆静的フィルタリングの弱点

 アプリケーションによっては、非常にたくさんのポート番号を使用するものがあり、パケットを通過させる条件(穴が)多くなり過ぎてしまうこともあるので、セキュリティが大きく低下することもあります。


 常に、行きと戻りのパケットを通過させる穴が開いた状態になるので、そこから、クラッカーやウイルスなどから侵入されるリスクが残ってしまうことが弱点となります。

静的フィルタリング(その1)」 ← 前項 | 次項 → 「静的フィルタリング(TCPヘッダの指定)



Copyright(c)2012〜 YAMAHAルータで学ぶネットワーク構築術 All rights reserved.