ADSLやFTTHなどのアクセス回線とユーザー側のLANをつなぐブロードバンド・ルーター。そのセキュリティ機能が日々進化している。通してもいいパケットをあらかじめ決めておく「静的フィルタリング」や,通信が始まってから該当するパケットを通すように自動的に設定を変える「動的フィルタリング」はよく知られている。さらに最近は,それより高いセキュリティを確保する「SPI」(ステートフル・パケット・インスペクション)と呼ばれる機能まで登場している。こうしたセキュリティ機能は,なかなかわかりにくい。そこで今回はブロードバンド・ルーターのセキュリティ機能について見ていこう。
ブロードバンド・ルーターのセキュリティ機能といえば,静的フィルタリングが代表格。これは,ポート番号やIPアドレスを基にパケット転送の可否を決める機能である。例えば,LANからのWebアクセスだけを許可する設定にすれば,LANからインターネットへは,Webアクセスを意味するあて先ポート番号80番のパケットしか通さなくなる。
ただ,静的フィルタリングには大きな弱点がある。例えばWebアクセスを許可した場合,侵入者が送信元ポート番号を80番にしたパケットを送りつければパケットはLANに入り込めるのだ。
そこで静的フィルタリングを一歩進めたのが,動的フィルタリングである。動的フィルタリングとは,静的フィルタリングのように許可・禁止するパケットの種類をあらかじめ決めておくのではなく,LANからのアクセス状況を応じて自動的に変えていくしくみだ。
LAN上のパソコンがWebサーバーにアクセスする場合,パソコンがWebサーバーにアクセスする最初のパケットをルーターが受け取ると,ルーターはその通信に必要なパケットだけを通すように自動的にフィルタリング設定を書き換える。
しかも,ルーターは最初にLAN側パソコンがアクセスしたあて先IPアドレスを記録しておき,インターネットからの応答パケットの送信元IPアドレスと一致するかもチェックする。通信が完了したら元に戻し,どんなパケットも通さないようにする。こうすれば,必要なときだけしか穴は空かず,通信をしていないときは,インターネットからのすべてのパケットを遮断できる。さらに,通信中も正しい相手からの返信パケットしかLAN側に通さなくなる。
ただ,これでも通信中のパケットが傍受され,その通信が続いている間に,送信元のIPアドレスとポート番号を詐称した不正パケットが届くと,LANへの侵入を許してしまう。
そうした場合への対処まで考えたセキュリティ機能がSPIである。SPIでは,送受信パケットの中身までチェックする。チェックする対象はTCPヘッダーに書かれている確認応答(ACK)フラグやシーケンス番号など。こうしたヘッダー情報は,TCP通信の進行状況をチェックするためのもの。通信途中に割り込んでくる不正パケットは,どうしてもこのヘッダー情報が食い違っている。ここをチェックすることで不正パケットの侵入を防ぐのである。
ただし,SPIと一口に言っても,実現レベルには差がある。多くのブロードバンド・ルーターのSPIはTCPレベルのヘッダーだけを監視する。その一方で,一部メーカーのブロードバンド・ルーターは,HTTPやFTPなど一部のプロトコルに対して,TCPヘッダー部分だけでなく,送受信パケットのデータ部分までをチェックして不正パケットを見つけ出す。
2003年に入って,ルーターのほとんどは動的フィルタリングかSPIを備えるようになっている。しかし,機能のレベルは製品によって差がある。セキュリティを重視するなら,こうした機能の細かな差にも気をつけながら選ぶと良いだろう。
