space
2001年9月18日更新-
space
セキュリティ:常時接続
第3回:「パケットフィルタリングとソフトウェアファイアウォール」
-
インターネットからの不正アクセスを防ぐための仕組みとして,不要なパケットを通さない「パケットフィルタリング」がある。ほとんどのブロードバンドルータやダイヤルアップルータには装備されている。また,USBタイプのADSLモデムやCATVインターネットなどで,直接インターネットに接続している場合は,不正なパケットを防御するのには「ソフトウェアファイアウォール」が有効だ。今回はパケットフィルタリングと,ソフトウェアファイアウォール構築について解説しよう
space
space
space

 8月22日のNewsで報じられていたが,マイクロソフトが「ホームユーザー向け セキュリティ対策 早わかりガイド」というWebサイトを開設したようだ。各種アプリケーションやOS(Windows98/Me)の修正パッチが問題の種類別にアイコンで表示され,初心者でも分かりやすい作りになっている。第1回の「常時接続環境でのセキュリティ確保」でも簡単に解説したように,常時接続環境では,各種アプリケーションのセキュリティホールを利用した侵入や,破壊行為に注意しなければならない。使用しているアプリケーションなどの修正パッチがないか,またどのような脆弱性があるのかを確認しておこう。

 前回はクラッカーによる侵入のための調査行為や,ツールを使った侵入などについて解説したが,今回はそういったクラッキング行為に対する防御策について考えてみよう。インターネットへの接続形態による違いについては第1回を参照してほしい。

●パケットフィルタリング

 一般ユーザーが手軽にセキュリティ対策を立てるには,市販のブロードバンドルータやダイヤルアップルータ(以下,ルータ),ソフトウェアファイヤーウォールといった製品を使用することになるだろう。それぞれの製品ごとで設定方法は異なってくるが,ほとんどの製品が「パケットフィルタリング」という簡易ファイヤーウォール機能を備えている。

 パケットフィルタリングとは,ネットワークを流れるデータを選別し,そのデータを通過させるか(許可),させないか(拒否)を指定することで,外部から流れてくる不要なデータを遮断したり,逆に内部からデータ漏洩を防ぐ仕組みだ(図1)。すでに複数台のコンピュータ+ルータを使用し,インターネットへの接続を行っているようなユーザーであれば,ルータの設定項目にパケットフィルタリングという文字を見かけたこともあるだろう。

図1■パケットフィルタリングの概念図
図版
パケットフィルタリングとは,ネットワークを流れるデータを選別し,そのデータを通過させるか(許可),させないか(拒否)を指定することで,外部から流れてくる不要なデータを遮断したり,逆に内部からデータ漏洩を防ぐ仕組みだ

 ネットワークを流れているデータは,細かな「パケット」というブロックに分割され送信される。パケットには

・送信元のIPアドレス
・送信先のIPアドレス
・送信元のポート
・送信先のポート

の4つの情報が含まれており,パケットフィルタリングはこの情報を元に,そのパケットを通過させるか,させないかを振り分けている。

 たとえば,パケットフィルタリングで内部から外部のIPアドレス「202.134.22.11」へのアクセスを遮断するといったことや,外部から内部のポート番号「23」への接続要求はすべて拒否するといった指定をし,セキュリティを高めることができる(図2)。

 またパケットフィルタリングを行う際に,それが内部(ローカル側)から外部(インターネット側)に向かって行う通信か,外部(インターネット側)から内部(ローカル側)の通信かを理解しておく必要がある。

図2■パケットフィルタリングによる必要なパケットの選別
図版


 1/4 NEXT