このページの本文へ

前へ 1 2 3 4 5 次へ

図で解剖!スイッチ&ルータ 最終回

スイッチとルータの違い、最近のルータが搭載する新機能を学ぼう

アクセスルータの機能を知っていますか?

2009年08月27日 06時00分更新

文● 伊藤玄蕃

  • この記事をはてなブックマークに追加
  • 本文印刷

不正攻撃への対処

 企業のWANをインターネットVPNで構築すると、アクセスルータはインターネットに常時接続することになるため、悪意をもった他者からの攻撃を受ける危険性がある。そのため、アクセスルータのセキュリティ機能は日進月歩の勢いで進化している(図8)。

図8 各フィルタリング技術の特徴

 まずパケットフィルタリングは、ルータを通過しようとするパケットのヘッダに含まれる、宛先IPアドレス/送信元IPアドレス/宛先ポート番号/送信元ポート番号/パケットの方向などの情報を見て、そのパケットを中継するか遮断するかを制御する動作を指す。

 これは、いわゆる「ファイアウォール」の基本かつ最低限の機能で、「静的フィルタ」と「動的フィルタ」の2つがある。まず静的フィルタは、あらかじめ管理者が設定したルールに従って、パケットを中継する/遮断するといった制御を行なう。最近のアクセスルータでは、デフォルトではすべてのパケットを遮断し、それから必要な通信だけを通すように設定する。静的フィルタは、壁に穴を開けるイメージで捉えることができる。通すパケットの種類を増やす(=穴を多く開ける)と侵入されるリスクが高まるし、開けられた穴は通信しない時にも開いたままなので、外部から攻撃されやすい。

 いっぽう、「動的フィルタ」は「ダイナミックポートコントロール」とも呼ばれ、通信が必要なときにだけ穴を開けて、通信が行なわれないときには閉じる方法を指す。TCP/IPの通信では、通信の開始時と終了時に特別なパケットが流れる※7。そこで、動的フィルタでは、この特別なパケットを監視して、内側から通信開始時のパケットが流れてきたら穴を開け、通信終了時のパケットが流れたら穴を閉じるように動作する。

※7:特別なパケットが流れる TCPの通信は、実際のデータを送受信する前に、相手との接続を確立するための制御用パケットが3回送受信される。ルータはこの制御用パケットを検知すると、そのパケットの送信元と宛先をつなぐための穴を開ける。

 不正攻撃に対処するため、最近ではファイアウォールの「ステートフルインスペクション」機能がアクセスルータに実装されるようになった。

 ステートフルインスペクションは、ルータを通過するパケットがその時点のネットワーク状況に応じた内容かどうかをチェックし、明らかに不正と思われるパケットが来たら遮断する機能である。一見、動的フィルタと同じように見えるが、動的フィルタではパケットのヘッダ情報しか確認しないのに対し、ステートフルインスペクションではパケットのデータ部まで確認する点が大きく異なる。パケットのデータ部まで監視することにより、一般的なプロトコルであれば、外部ネットワークから入ってきたパケットが、内部ネットワークから直前に出て行ったパケットに対する正しい応答かどうかを精査することができる。ただし、データ部まで監視するため、ルータの負荷が高くなり、パケットの中継速度が低下することもある。

 さらに、LAN内にWebサーバを設置して外部に公開している場合には、静的フィルタでつねに穴を開けておかなければならない。この場合、ステートフルインスペクションでもWebサーバ攻撃を完全に防ぐことはできない。

 そこで、不正アクセス検知機能(IDS:Intrusion Detection System)を実装したルータが増えている。IDSを実装したルータは、既知の侵入・攻撃パターンのデータベースを持ち※8、ルータを通過するパケットを解析しデータベースと比較することで、不正アクセスを検知してログを取ったり、管理者へメールを送信するなどのアクションを行なう。

※8:データベースを持ち 既知でない(新しい)侵入・攻撃パターンに対処するには、データベースを最新の状態に保つ必要がある。管理者は、定期的にベンダーからアップデート用データを入手して、データベースを更新しなければならない。

UTM化への流れ

 不正アクセスを検知することができるなら、さらに一歩進んで、不正アクセス防御機能(IPS:Intrusion Prevention System)までルータに実装して欲しい、というのは自然な要求だろう。実際のところ、そういった製品はすでに存在する。いわゆる「UTM(Unified Threat Management)」と呼ばれるアプライアンス製品がそれだ。

 UTMはステートフルインスペクションに代表されるファイアウォール機能のほか、IDS・IPS、VPN、アンチウイルス、Webコンテンツフィルタなど多様なセキュリティ機能を1つのハードウェアに搭載した機器(図9)。フォーティネットやソニックウォール、チェック・ポイントといったベンダーから発売されている。もともとはEthernetインターフェイスだけを備えた、LANとLANを接続するローカルルータの場所に設置する製品ばかりだったが、最近ではPPPoEやDHCPクライアント機能を持ち、ブロードバンドルータの場所に設置することが可能な製品が増えてきた。

図9 複数のセキュリティ機能を持つUTM

 このところ、ブロードバンドルータをはじめとするアクセスルータにはセキュリティ機能が次々と搭載され、もはや数年前のファイアウォール製品と遜色ないレベルの製品が数万円で入手できるようになっている。

前へ 1 2 3 4 5 次へ

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード