セキュリティに関するあれこれ:ステートフルインスペクションとは?
ステートフルインスペクションとは?
ファイアウォールの機能で「ステートフルインスペクション」
というコトバをよく聞きますが、この「ステートフルインスペクション」
とはどのような機能なんでしょうか?
今回は「ステートフルインスペクション」についての解説です。
今までのファイアウォールの問題点
「ステートフルインスペクション」とはパケットの状態をチェックし、
動的にポートの開閉をしてくれる機能のこと。
例えば、TCPの通信は双方向の通信ですから、
送信元から宛先へのTCP通信について、必ず戻りのパケットが存在します。
そのため通常ファイアウォールにも戻りのパケットに対しても
通信の許可を指定してあげなければいけません。
ポピュラーな設定方法として、TCPのACKフラグが付いている
パケットのみ許可するなんて設定をしていました。
しかしこれだと、悪意のあるユーザがACKフラグを付けた
攻撃パケットを送りつけるとファイアウォールを
通過してしまう問題がありました。
ステートフルインスペクションの機能
「ステートフルインスペクション」機能が搭載された
ファイアウォールの場合、TCPのセッション情報を認識して、
セッションを確立しようとしている戻りのパケットのみを
自動で許可してくれます。
そのため、わざわざ戻りのパケットについてのルールを
追加する必要もありませんし、外部からの攻撃も
最小限に止めることも可能になります。
またTCPではなく、UDPについても「ステートフルインスペクション」は
有効です。
送信元ホストから宛先ホストへのUDP通信が発生した場合、
宛先ホストから送信元ホストへの通信を一定時間許可してくれます。
例えば、DNSサービスをUDPで使用していた場合、
ホストからDNSサーバへ名前解決のパケットを送ると、
DNSサーバからホストへの返答メッセージが返されます。
この通信も「ステートフルインスペクション」機能があれば、
自動で許可してくれます。
リクエストに対するレスポンスを自動で許可してくれるのがポイント。
関連記事
セキュリティに関するあれこれ:ファイアウォールがあれば万全?
ファイアウォールっていったいどのようにして攻撃を防ぐのでしょうか?
セキュリティに関するあれこれ:ファイアウォールとIDSの違いについて
ファイアウォールとIDSの違いについて
セキュリティに関するあれこれ:ルータのアクセスリストとファイアウォール
ルータのアクセスリストとファイアウォールの違いとは?
セキュリティに関するあれこれ:NATによるセキュリティ対策とは?
NATによるセキュリティ対策とは?
セキュリティに関するあれこれ:DHCPとセキュリティの関係
DHCPとセキュリティの関係とは?
セキュリティに関するあれこれ:DMZが必要なワケ
DMZが必要なワケ
セキュリティに関するあれこれ:スイッチとハブではどちらが安全?
スイッチとハブではどちらが安全?
セキュリティに関するあれこれ:Pingへの応答は止めるべきか否か
Pingへの応答は止めるべきか否か
セキュリティに関するあれこれ:ステートフルインスペクションとは?
ステートフルインスペクションとは?
セキュリティに関するあれこれ:パスワードの安全性
パスワードの安全性
メールマガジン
ネットワ-ク初心者のみなさま。
ネットワークの基礎知識を疎かにすることは
大変危険です!!
これを読めばネットワークの基礎が分かる!!
ネットワーク関連の仕事に就きたいとお考えの学生の方や、ネットワークに興味があって転職を考えている社会人の方、まずは登録してみてください。
もちろん無料です!!
↓メールマガジン購読はこちら↓
検索
特集
著書
おすすめ記事