P2Pフィルタ(その1)
P2Pネットワークには、有害なコンテンツが溢れています。ウィルス感染による情報漏洩など脅威もあります。また、通信の帯域やルータの資源を圧迫し、業務効率を低下させる恐れがあります。
そもそも、P2Pによる通信は、業務とは無関係であるため、P2Pのアクセスを制限している組織も増えています。
YAHAMAルータでは、機種とファームウェアのバージョンによっては、P2PソフトのWinny、Shareに対応しています。
Wiiny・・・RTX1200,RTX1100,RTX3000など
Share・・・RTX1200など
P2Pソフトは、Winny、Shareの他に非常にたくさん存在しますが、利用者の多いこれらのソフトを制限するだけでも、ある程度の効果は見込めます。
Winny、Share以外のP2Pソフトウェアは、NATのセッション制限機能や帯域制限で対応することとなります。
フィルタの仕様
Winnyは、TCPの不特定のポート番号を使って、不特定の相手と暗号通信をします。
そのため、通常のパケットフィルタリングによって、「Winny」が利用するパケットを遮断することはできません。
YAMAHAルータの「Winnyフィルタ機能」では、firewall機能の動的フィルタリング機能と不正アクセス検知機能の組み合わせることで、検知・遮断機能を実現しています。
また、「Shareフィルター機能」は、不正アクセス検知機能を有効にすることで、「Share」が利用するパケットを検出し、通信を遮断します。
侵入検知機能を設定するコマンド
# ip interface intrusion detection direction [type] switch [option]
【設定値及び初期値】
●interface
設定値 : LANインタフェース名、WAN インタフェース名
●direction : 観察するパケット・コネクションの方向
設定値 :
設定値 | 説明 |
in | インタフェースの内向き |
out | インタフェースの外向き |
●type : 観察するパケット・コネクションの種類
設定値 :
設定値 | 説明 |
ip | IPヘッダ |
ip-option | IP オプションヘッダ |
fragment | フラグメント |
icmp | ICMP |
udp | UDP |
tcp | TCP |
ftp | FTP |
winny | Winny |
share | Share |
default | 設定していないものすべて |
●switch
設定値 :
設定値 | 説明 |
on | 実行する。 |
off | 実行しない。 |
初期値 :
TYPEを指定しないとき=off
TYPEを指定したとき=on
●option
設定値 :
設定値 | 説明 |
reject=on | 不正なパケットを破棄する。 |
reject=off | 不正なパケットを破棄しない。 |
初期値 : off
【説明】
指定したインタフェースで、指定した向きのパケットやコネクションについて異常を検知する。typeオプションを省略したときには、侵入検知機能の全体についての設定となる。 危険性の高い攻撃については、rejectオプションの設定に関わらず、常にパケットを破棄する。
typeオプションは Rev.8.03.46、Rev.9.00.15 以降のリビジョンで指定可能で、以下の通りです。
パラメータ | リビジョン |
winny、default | Rev.8.03.46、Rev.9.00.15 以降のリビジョン |
上記以外のパラメータ | Rev.10.00.38 以降のリビジョン |