境界で不正なアクセスをブロック!セキュリティにも貢献するトランポート層の役割
「入口の管理は、入る目的まで確認しないといけませんね。」
はい、こんにちは!松井真也です。シリーズ「ネットワークからアプリへの橋渡し:トランスポート層の世界」第10回でございます!
前回は、UDPを使うプロトコルをご紹介しました。VoIPや動画ストリーミングなど一般のユーザが使うプロトコル(RTPなど)だけではなく、裏方的な目的(DHCP、DNS、SNMP、syslogなど)ことがあるのでしたね。
さて今回は、トランスポート層のセキュリティがテーマです。トランスポート層はデータの整合性や信頼性を保証しつつも、ネットワーク全体の安全を守る上で大切な役割を果たします。
では、いってみましょう!
ファイアウォールで脅威から守れ
おなじみファイアウォールは、ネットワークセキュリティを担保するための重要な仕組みですね。ネットワークの境界に立ち、不正アクセスや不要なトラフィックを遮断してくれます。
ファイアウォールといえば、IPアドレスを使ったパケットフィルタリングが基本中の基本になります。L3レベルのフィルタリングと言ってもいいでしょう。送信元や送信先のIPアドレスを見て、フィルタリングルールに従い、パケットを通過させたり破棄したりするわけです。
このように、パケットフィルタリングは、ネットワークセキュリティの基本的な機能の一つなわけです。
トランスポート層でもフィルタリング
ただ、IPアドレスを使ったフィルタリングは、「誰から誰に(どのノードからどのノードに)」に着目したフィルタリングです。これだけですと、「どんな目的で」アクセスをしてきたか、を基準する観点が抜け落ちています。
この観点からのフィルタリングが、トランスポート層(L4)でのパケットフィルタリングです。
このプロセスでは、IPパケットではなく、TCP/UDPパケットのヘッダ情報を検査し、ポート番号、すなわち「どのアプリケーションを利用したいのか」を基準にパケットを許可するか拒否するかを決定します。
管理者は、ネットワークのセキュリティポリシーに従って、どのパケットを通過させ、どのパケットを破棄するかを定義することができます。
なるほど、トランスポート層は、境界防御でも役に立つのですね!
続いて、「サーキットレベルゲートウェイ」の話をしたかったのですが、ちょっと力不足でまとめきれません。トランスポート層とセッション層レベルで境界防御を強化する仕組みであることは間違いないのですが、自信をもって整理できません。もっと勉強してから記事にしたいと思います!
はい、本日はここまで!今回は、TCP/UDPヘッダのポート情報を使ったパケットフィルタリングの基本についてお話ししました!
これでトランスポート層のシリーズは終了です。お疲れ様でした!
この記事が気に入ったらサポートをしてみませんか?