パケットフィルタリングの限界
パケットフィルタリングのメリットは、仕組みがシンプルで、処理が高速なことだ。このため、専用機はもちろん、OSなどにも標準で搭載することが可能になった。
弱点は、条件の設定が静的であるため、アプリケーションによっては通信のコントロールがうまくできないことだ。典型的な例では、LANからインターネット側のFTPサーバに対して行なう通信の制御が挙げられる(図5)。
図5 FTPのコネクション確立とファイアウォールによるパケット破棄
FTPでは、クライアントからFTPサーバにまずコントロールコネクションという制御コマンド用のコネクションを構築する。これはサーバの21番ポートに対してTCP接続を行なうことで実現する。問題は、実際のデータを送受信するデータコネクションの構築をFTPサーバ側からLANのクライアントに対して行なうという点だ。こちらは20番ポートを用いて行なわれる。
しかし、通常のパケットフィルタリングでは、ペアで行なわれるFTPのこうしたコネクションを別々に扱う。つまり、データコネクションの構築はLANからのリクエストの応答ではないため、通常のパケットフィルタリングでは、TCPのフラグにACKがないことから攻撃の疑いがあるとして、パケットを破棄してしまうのだ。
この結果、よりアプリケーションの挙動を詳細に捉えられるファイアウォールが求められるようになった。そこで生まれたのが、アプリケーションゲートウェイやダイナミックパケットフィルタリング、ステートフルパケットインスペクションなどのアクセス制御方式である。
(次ページ、「通信を識別するパケットフィルタリング」に続く)
本記事はアフィリエイトプログラムによる収益を得ている場合があります
この連載の記事
-
第11回
TECH
正規のユーザーやPCを判断する認証製品 -
第10回
TECH
社内の安全を守るセキュリティ製品の進化を知ろう -
第9回
TECH
検疫からシンクライアントまで!情報漏えいを防ぐ製品 -
第8回
TECH
ITでどこまで実現する?情報漏えい対策の基礎 -
第7回
TECH
インターネットで構築するVPNの仕組み -
第6回
TECH
通信サービスを安価にしたVPNの秘密 -
第5回
TECH
メールソフトのセキュリティとメールの認証 -
第4回
TECH
メールが抱える根本的な弱点とスパム対策 -
第3回
TECH
拡がるWebの脅威と対策を理解しよう -
第2回
TECH
巧妙化する不正プログラムを防ぐには? - この連載の一覧へ
