- 締切済み
ステートフルインスペクション
最近、ウィルススキャンなどに搭載されているファイアウォールはステートフルインスペクションという技術を用いて動的にポートの開閉を行っているようですが、実際にプログラムレベルでどのようにして実現しているのでしょうか? 常時LISTENしているわけでもないのに...。 すごく疑問です。 知っている方がいらっしゃれば教えてください。 プロキシ開発のセキュリティ回りで応用できるかもしれないので。
- その他([技術者向] コンピューター)
- 回答数1
- ありがとう数24
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- Aruku-20030515
- ベストアンサー率23% (362/1544)
簡単に言うとIPアドレスやポート番号毎でルールを決める静的ファーウォールとは違い 通信状態を制御するセッション情報を見て受けるか捨てるかして動的ファイヤーウォールの事です。 つまり、必要な時に必要な通信だけを透過し不必要となれば閉じると言う事です。 プログラムレベルでは、パケット毎に通信記録を取ります。 パケット情報には(送信元IPとポート番号、送信先IPとポート番号のほかに通信状態とシーケンス番号のやり取りがあります) 通常、静的ファイヤーウォールだとIPやポート番号、それと通信状態で縛りますが IPなど偽造されると透過されます。 しかしシーケンス番号はランダムに発行されますので、直接通信する者同士しか分かりません。 それらの情報を台帳管理する事により来たパケットが 必要なのか不必要なのかわかります。 また、突然 通信相手が偽造工作をしてきたとしても こちら側で管理している台帳には載っていないので拒否されますので安全なのです。 (とは言え台帳に載っている情報にマッチする工作の場合透過されますが まず むずかしでしょう)
関連するQ&A
- DPI (Deep Paket Inspection) について
こんにちは。DPI(Deep Packet Inspection)の画像フィルタリングへの応用について調べている者です。純粋なネットワークセキュリティの問題ではないと思いますが、比較的近い分野だと思い投稿いたしました。 以下は、下記wikipediaリンクの冒頭部からの引用です。 DPI (or sometimes complete packet inspection) is a form of computer network packet filtering that examines the data and/or header part of a packet as it passes an inspection point, searching for non-protocol compliance, viruses, spam, intrusions or predefined criteria to decide if the packet can pass or if it needs to be routed to a different destination, 「DPIとはコンピュータ・ネットワーク・パケット・フィルタリングの一形態で、 パケットがインスペクションポイントを通過する際、 パケットのデータ部及び(または)ヘッダー部を確認する。 DPIは、非プロトコール・コンプライアンス、ウィルス、スパム、侵入、 あるいはパケットが通過すべきか別の目的地へ転送されるべきかを決める 事前に定義された基準を探す。」 とあるのですが、DPIは、ある国では、違法ポルノ画像のフィルタリングでも使われるそうなのですが、 IPパケットのデータ部とヘッダー部をチェックすると、そのIPアドレスで示されるコンテンツが 画像を含むか否かがわかるのでしょうか? そうだとしても、膨大な量の画像を一枚一枚目で確認するのは困難だと思うのですが(違法画像を自動認識技術はまだないと思いますので)。 どなたか、DPIと画像フィルタリングの関係について、ご存知の方がおられましたらご教示願います。 DPIが画像フィルタリングで用いられる理由、利点というのがあると思うのですが、ご存知の方いらっしゃいましたら よろしくお願いいたします。 また、推測でも「こういうことではないか」というのがありましたら、ご教示願います。 何とぞよろしくお願いいたします。 http://japan.zdnet.com/news/sec/story/0,2000056194,20365980,00.htm http://yebo-blog.blogspot.com/2008/05/80gbpsdeep-packet-inspection.html http://en.wikipedia.org/wiki/Deep_packet_inspection
- ベストアンサー
- ネットワーク
- ファイアウォールについて質問させてください。
ファイアウォールについて質問させてください。 ウイルスバスター2010を購入したので、windows標準のファイアウォールを切って、ウイルスバスターのみで使用していました。 ところが、あるサイトで自分のマシンにポートスキャンをしてみたところ、「Open」になっているポートがあったのです。 そこで、windows標準のファイアウォールで同じくスキャンをしてみたところ、すべて「Stealth」という結果が出ました。 これを、どう考えますか? ちなみに、「comodo」でも、同様に「Stealth」になっていないポートが見つかります。 これ以降、ウイルスバスター2010のファイアウォールを切り、windows標準のファイアウォールを使用しています。
- ベストアンサー
- ネットワーク
- ファイアウォールについて質問です。
ファイアウォールについて質問です。 ウイルスバスター2010を購入したので、windows標準のファイアウォールを切って、ウイルスバスターのみで使用していました。 ところが、あるサイトで自分のマシンにポートスキャンをしてみたところ、「Open」になっているポートがあったのです。 そこで、windows標準のファイアウォールで同じくスキャンをしてみたところ、すべて「Stealth」という結果が出ました。 これを、どう考えますか? ちなみに、「comodo」でも、同様に「Stealth」になっていないポートが見つかります。 これ以降、ウイルスバスター2010のファイアウォールを切り、windows標準のファイアウォールを使用しています。
- ベストアンサー
- ウィルス・マルウェア
- Windows Firewallの設定
OSは、XPのSP3です。 ウィルスバスター入れてますが、外部のスキャナからのスキャンが できないため、 サポートに確認したら、セキュリティソフトを外して試してみてください、といわれ、 やってみましたが、やはり駄目でした。 もう一度サポートに確認したら、WINDOWSのfirewallの 設定でポート(UDP)を空ける必要がある、とのことでしたので、 Windows のfirewall設定画面をおすと、 WindowsFirewall/Internet Connection Sharing(ICS)サービスが開始できません。と出ます。 ウィルスソフトが入っていると、FIREWALLは起動しないようになっているらしいですが、 設定の変更もできないのでしょうか? Windows Firewallの設定画面に入る方法、もしくは、UDPのポートを空ける方法など ご存知でしたら教えてください。 もし、UDPポートを空けることにより、ウィルスに感染する 可能性が高くなるなら、スキャンの起動は我慢して、PC側で操作すればなんとかなるので、 そうしたいと思いますが、、、
- 締切済み
- Windows XP
- ネットを通じてファイルが盗み出されることについて
ネットを通じてファイルが盗み出されることについて、よくわからないことがあります。セキュリティやインターネットのことはあまり詳しくないので、変な質問になっていたらごめんなさい。 ウィルスやワーム、トロイの木馬を使わずに、ActiveX、Javaアプレット、Javaスクリプト、などを悪用したり、セキュリティホールを突く、といった方法でファイルが盗まれることがあるのでしょうか?つまり、ファイルが盗まれたらしいが、ウィルス対策ソフトでスキャンしても何も検出されない、ということが起こりうるのでしょうか? また、その場合でもファイアウォールを使っていればファイルの盗み出しを防ぐことが出来るのでしょうか?ポートをファイアウォールで閉じるのですから盗み出せなくなると思うのですが・・ ご回答よろしくお願いします。
- ベストアンサー
- ネットワーク
- ファイアーウォールに関する質問なのですが、
ファイアーウォールに関する質問なのですが、 (1) ルーターとセキュリティーソフトのファイアーウォールを両方付けた状態で ShieldsUP!などのオンラインポートスキャンを試すと、 Port113がcloseなのを除いてすべてステルスになっていました。 (2) 次にルーターを介さず、セキュリティーソフトのファイアーウォールだけで フレッツ接続ツールなどで直接ネットに繋いでShieldsUP!でポートスキャンをしてみると、 Openはひとつもありませんでしたが、Closeになっているのは、わりとあって、 でもルーターを介した状態ではcloseになっていたPort113は逆にステルスになっていました。 (3) ルーターのファイアーウォールだけ有効にして、 セキュリティーソフトのファイアーウォールを切った状態では (1)のルーターとファイアーウォールを両方付けていた状態と同じでした。 これってどういうことなんでしょうか? ルーターとセキュリティーソフトのファイアーウォールは両方付けておいた方が 良いそうですが、これを見る限りではルーターでポートを塞いでいるところに またソフトでポートを塞いでいるというよりは、ルーターを介した場合は ルーターの設定が優先でソフトウェアの方のファイアーウォールは 無効になっているのに等しいと思うのですが。。 二重の効果があるのなら、ルーターでCloseだったPort113は セキュリティーソフトのファイアーウォールでステルスになって、 ルーターとセキュリティーソフトのファイアーウォールを両方使った場合は すべてのポートがステルスになっているべきだと思うのですが。 これを見る限りでは、ソフトウェアのファイアーウォールはルーターを繋いでいる状態では 遅くなるだけで効果がなくて、アプリケーションコントロールとかで 内からの接続を許可したり、禁止したりしてる分だけしか有効でないと思うのですが。 ルーターでポートを防いでいる状態でソフトウェアのファイアーウォールを有効にしていて 助かった!って状況とかありえるでしょうか?逆はありそうですが。
- ベストアンサー
- ネットワーク
- location-service(ポート135)の設定について
ウィルスセキュリティーZEROを使用しています。 どのくらいのファイアーウォールの性能があるのか試すべく、Symantec社のセキュリティーチェックを実行してみたところ、location-Service(ポート135)がOPENになっていると表示されます。 ウィルスセキュリティーZEROのファイアーウォールのネットワークの通信設定は高にしてあるので、EPMAP(ポート135)は拒否のはずです。他のポートスキャンサイト(http://www.grc.com/x/ne.dll?rh1dkyd2)でも同様の結果でした。このポートを使うのはMSNなどで使うとの事で、たぶん使う機会は無いと思うのですが、外から見えないように設定する事は出来ないでしょうか。いろいろ検索してみてコンポーネントサービスのマイコンピューターのプロパティーの既定のプロパティーの分散COMを無効にしたりしましたが駄目でした。
- 締切済み
- ネットワーク
- スーパーウィルスセキュリティZEROつながらない
スーパーウィルスセキュリティZEROを使用しております。 現在、プリンタとつながっていますが、プリンタの方でスキャンしたものが 自動的に自分のPCにデータが送られる設定をしているのですが、 どうもきちんと送られません。 プリンタ会社に相談したらスーパーウィルスセキュリティZEROに 問題がある、とのことです。 自分でも色々試してみましたが、以下の方法では不可でした ・ウィルス対策の例外設定にスキャンフォルダを入れた ・リアルタイム保護の設定をオフにする ・ファイアウォールの設定においてポートスキャン→オフ (設定した日だけスキャンできたが次の日は使用不可になった) 上記、全てエラーになってしまい、スキャンできません。 唯一できる方法はスキャンするときのみファイアウォールの設定を オフにすればスキャンすることが出来ます。 しかしこれでは、ウィルスセキュリティの意味がありません。 ソースネクストの電話は混雑してなかなかつながらないので 電話する前になるべく早く解決したいと思っております。 ネット回線等はまったくの初心者なので分かるように説明して 頂けたら大変ありがたいです。 よろしくお願い致します。
- ベストアンサー
- ウィルス・マルウェア
- ウイルスセキュリティとhttpプロトコル
はじめまして。 ウイルスセキュリティを使ってます。 とあるソフトが動作不良でサポートに問い合わせていくうちに、そのソフトがIEでプロキシの設定がされていると動作不具合を起こす可能性があるという回答がありました。 そこで思ったのが、ウイルスセキュリティが機能を果たすためにプロキシ代わりになっているのではないかと・・・ どの機能を停止すれば、httpプロトコルはスルーするのでしょうか? またプロキシとなっているなら、どのポートを通せばよいのでしょうか? 業務で使用するソフトなので困っています。教えてください。
- ベストアンサー
- ウィルス・マルウェア
お礼
なるほど。シーケンスの整合性ですか。 思いつきませんでした。 また、プロキシのセキュリティレベルを向上させるに充分効果がありそうですね。 実装のサンプルはあまり見かけませんが、回答頂いた仕掛けならなんとか実装できそうです。 回答が遅れましたが大変助かりました。 感謝します。