パケットフィルタリング技術

ネットワークで代表的なセキュリティと言えば、パケットフィルタリングです。

本項では、パケットフィルタリングについて説明します。

ステートフルインスペクション

インターネットにパソコンを直接つなげた場合、すぐに不審な通信が来ます。日々、信じられないくらい多くの不正アクセスや攻撃があるのです。

このため、インターネットからの通信は極力防がないといけませんが、これはファイウォールが実現します。

ファイアウォールは、NAPTのテーブルのような情報を保持していて、インターネットからのフレームでも内部からの通信の応答であれば通信を許可しますが、それ以外のインターネットからのフレームはすべて遮断するようにできます。

SPIではインターネットへの通信は戻りも許可するが、インターネットから開始した通信は遮断する。

このように、通信内容を保持して透過するか遮断するかを動的に決める方法を、ステートフルインスペクション(Stateful Packet Inspection:略はSPI)と言います。

静的パケットフィルタリング

通信内容を保持せずに、設定されたフレームのみ許可する方法は、静的パケットフィルタリングと呼ばれています。静的パケットフィルタリングでは、インターネットへの通信を許可していても、応答パケットに対する許可の設定がないと遮断されてしまいます。このため、応答も考えた設定が必要です。

静的パケットフィルタリグンでは行きだけを許可していると応答が遮断される。それぞれ許可が必要。

また、ステートフルインスペクションでは通信中のみ情報を保持しているため、通信が終わればインターネットからのフレームは受け付けなくなります。

これに対して、静的パケットフィルタリングでは設定した内容のフレームが常に通過できるため、フレームを偽装してインターネットからいつでも攻撃できる状態になります。

静的パケットフィルタリングでは応答を許可すると、いつでも攻撃できてしまう。

静的パケットフィルタリングは、LANスイッチやルーターに通常組み込まれている機能で、安価に実現できます。このため、ローカルネットワーク間の通信において、簡単にセキュリティを保ちたい時に使われます。