プロダクト・レビュー

ウイルスを遮断できるブロードバンド・ルータ「GateLock X200」(3)

デジタルアドバンテージ
2001/11/20

不正アクセス対策にはステートフルなフィルタリングなどで対応

 ウイルス対策と並んで本機のセキュリティ機能の特徴となるのは、「ANTI-HACKER(アンチ・ハッカー)」と呼ばれるファイアウォール機能である。これはインターネット側からの不正アクセスなどの攻撃からLANを防御する機能で、廉価な(2万円未満の)ブロードバンド・ルータに比べると、次の2つの点で充実している。

 1つは「ステートフル(stateful)」なパケット・フィルタリングである。これは、通信の開始/終了などといった「状態(state)」を意識して動的に遮断/通過させるパケットを決定するフィルタリング技法だ。廉価なブロードバンド・ルータでは、「状態」を意識しない静的なパケット・フィルタリングが一般的である(最近はステートフル・タイプの製品も増えつつあるが)。ブロードバンド・ルータにおけるステートフル・タイプのフィルタリングでは、例えばセッション開始のTCP要求をチェックしていて、そのコネクションが確立している最中だけ、利用される接続ポート(もしくはセカンダリの接続ポート)を開放する、といったことが可能だ。静的なフィルタリングに比べると、セキュリティの強化とネットワーク・アプリケーションの支障なき運用を両立させやすい、というメリットがある。

 また本機では、特定のアプリケーションについてはTCPより上位のプロトコルの状態まで保持することで、ファイアウォール越しでも利用できるよう設計されているという。

プロトコル アプリケーション 備考
FTP ftp
PPTP Windows 98のPPTPクライアント LAN側はPPTPクライアントのみ対応(編集部でのテストでは、Windows 2000のVPNクライアントのPPTPも動作した)
MMS MSN Messenger
H.323/H.225/H.245/T.120 NetMeeting
RTSP Media Player、RealAudio
NNTP/IDENT Internet Explorer 5.x+Outlook Express ニュース・サーバからのIDENT要求をクライアントに転送
IRC irc
ICQ v5 ICQ99a/b
AIM/SNAC ICQ2000b
QUAKE QUAKE
Direct Play Age of Empires II、SEGA RALLY プロトコルの仕様上、LAN側の複数クライアントから同一のゲーム・サーバ経由でゲームすることは不可
本機のファイアウォールが対応する各種プロトコル
これは技術白書より抜粋したもの。MSN MessengerやNetMeetingなど、ファイアウォールを通過させるのが難しいアプリケーションにも対応しており評価できる。

 もう1つは侵入検知システム(IDS)の標準装備だ。本機は、例えばCode Redなどが攻撃時に行うアクセス・パターンをデータベースとして内蔵しており、インターネット側からのアクセスと照らし合わせて、不正アクセスかどうかを判定する。もし不正アクセスと認識したら、フロント・パネルの「ANTI-HACKER」LEDが赤く点灯し、ログにも記録が残される。また、設定しておけば、管理者宛にメールで知らせることも可能だ。

不正アクセスの検知
これはGateLock X200のログ。時刻と不正アクセスの種類など、内容はごく簡単にまとめられており、それほど詳細ではない。なお、ログにsyslog機能はない(syslogとはUNIXなどで一般的なログ記録システム。ログ・テキストを、syslog対応のサーバへリモート送信すると、syslogサーバ側ではそれをログ・ファイルに順次蓄積する。syslogサーバ側でログを一括管理できるのが、メリットの1つ)。

From <support@trendmicro.com> Sun Nov 11 03:20:18 2001
Received: from xxxxx.iij4u.or.jp (xxxxx.iij4u.or.jp [xxx.xxx.xxx.xxx])

From: support@trendmicro.com
Received: from trend.com.tw (xxxxx.ocv.ne.jp [xxx.xxx.xxx.xxx])

Date: Sun, 11 Nov 2001 03:20:18 +0900 (JST)
Message-Id: <200111101820.fAAIKIR14666@xxxxx.iij4u.or.jp>
Sender: xxxxx@trend.com.tw
To: xxxxx@xxxxx.iij4u.or.jp
Subject: Detected hacker attempt
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-UIDL: dd44f7cca17afe8ccbecd7911404751b

Trend Micro GateLock has detected the following hacker attempts on your system:

**Date: 2001/11/11 03:20:23
    Source: xxx.xxx.xxx.xxx
    Method: Port scan attempt

You can get the latest anti-hacker log from GateLock's Anti-Hacker Logs page.

To view the Anti-Hacker Logs, open your Web browser (Netscape Navigator version 4.5 or above, or Microsoft
Internet  Explorer 5.0 or above) and type http://192.168.253.1/cgi-bin/anti_hacker_log.cgi in the address bar.

Note: The purpose of this message is to inform you of the hacker attempt. As long as you keep GateLock's anti-hacker feature enabled, you don't have to take any action because it automatically blocks hacker break-ins.
不正アクセスの検知時に管理者へ送信される通知メール
白文字が本文で、灰色の文字がメール・ヘッダだ。下記画面のようにメールの通知を有効にすると、不正アクセスが検知されたときに、こうしたメールが管理者に送られてくる。本文中の「Source:」には、アクセス元として検知されたIPアドレスが記される。
 
メール通知の設定画面
不正アクセスやソフトウェア・アップデートの通知を、ここで指定したメール・アドレスに対して実行できる。なお、送信に使われるSMTPサーバは、ここで設定したメール・アドレスのドメイン名から得られるMXレコードに指定されているサーバになる。

 この機能によりユーザーは、本機につないだLANがインターネットからの攻撃対象になっていることを知ることができる。

自動アップデート機能があってこそのセキュリティ機能

 ステートフルなパケット・フィルタリングや侵入検知システムは、3万円以上の高機能なブロードバンド・ルータでは比較的多くの機種が実装しているものであり、機能自体はそう珍しいものではない(細かい機能に違いはあるだろうが)。むしろ重要なのは、本機がパケットの遮断/通過といったファイアウォールの規則(ルール)を、メーカーのサイトにある最新版に自動アップデートできるという点だろう。新しい不正アクセスの技術や新しいネットワーク・アプリケーションが続々と登場している現状では、最適なファイアウォールのルールも変化していくのは当然であり、メーカー提供の最新ルールにアップデートし続けるのが理想的だ。しかし、従来のファームウェア・アップデートの手順、すなわち

  1. メーカーのサイトを調べて最新モジュールの有無を確認する
  2. メーカーのサイトから最新モジュールをPCにダウンロード
  3. ツールを使ってPCからルータに転送
  4. ルータを再起動

では、管理の手間が無視できない。本機では、PCを介さずに直接メーカーのサイトと通信し、最新モジュールがあれば自動的にダウンロードとアップデートを実行する。このときユーザーは、事前に自動アップデートを有効にしておけば、何も操作せずに済む。

各種ソフトウェア/データのアップデート設定画面
  各ソフトウェア/データのバージョン
 手動アップデートの場合、現在のバージョンと最新バージョンを比較できる。その下の[Update Now]ボタンを押せば最新バージョンへのアップデートが始まる
  自動アップデートの設定
 ここで自動/手動を選べる。最新版の有無のチェックは、電源投入後一定時間(初期設定は30分)経つと、あとは1日ごとに行われる
  最新版の有無をメールで知らせる設定
 メーカーのサイトに最新版が掲載されたら、管理者にメールで知らせるよう設定できる

 自動アップデートできるのは

  • ファイアウォールのルール
  • ウイルス・パターンの定義ファイル
  • ウイルス検索エンジン

がある。特にウイルス・パターンの定義ファイルは、最新のウイルスに対処すべく、常に最新版へアップデートしておくのが望ましいため、自動アップデートの効果は大きい(更新間隔は1日だが、もっと短く設定できてもよいくらいだ)。なお、GateLock本体のソフトウェア(いわゆるファームウェアに相当)については、最新版の有無のみ自動的にチェックされ、アップデート自体は手動で行う必要がある(仕様や設定が変更されるので管理者の確認が必要なこと、また再起動が必須なので一時的に通信が途絶するからだろう)。

PCのウイルス対策ソフトウェアに対する「保険」として有効

 既存のブロードバンド・ルータに比べると、GateLock X200はメールを使ったウイルスの脅威から、LAN側の複数のPCを同時に守るという点で大きなアドバンテージがある。ただし、PC側のウイルス対策ソフトウェアが不要にはならない点には注意が必要だ。というのも、GateLock X200はメール以外のウイルスには対抗できないからだ。例えば、Web/FTPサイトからダウンロードするプログラムやスクリプトなどの実行可能ファイルについては、PC側のウイルス対策ソフトウェアで感染を予防したりウイルスを駆除したりするしかない。ネットワークではないリムーバブル・メディア経由の感染などについても、同じことが当てはまる。

 最近のウイルス対策ソフトウェアならメールのリアルタイム・チェック機能もあるので、GateLock X200は必要ないように感じられるかもしれない。しかし、ウイルス対策ソフトウェアはPCごとにインストールしなければならず、その管理・運用が大きな負担になってしまっている。毎月のように現れる新しいウイルス用の定義ファイルのダウンロードを行い、定期的にPC内部のウイルス・チェックを実行するのは大変な作業だ。特に人的リソースが限られるSOHOや家庭では、例えばウイルス対策ソフトウェアの設定ミスで脆弱な部分の残ったPCが1台ぐらい生じても、そう不思議ではない。そこから感染が広がることも考えられる。一方GateLock X200を導入した場合は、本機でメールのウイルス・チェックだけでも集中管理できるため、比較的手間はかからない。PC側に手抜かりがあっても、その前に本機でウイルスを遮断できるため、いわば「保険」として利用できる。保険とはいっても、最近のウイルスはその多くがメールで感染するため、GateLock X200によるウイルス対策の効果は、その管理の手間に比べて大きいと思われる。

 少ない管理の手間で大きなセキュリティ効果という狙いは、前述した本機のネットワーク設定の多くが固定されていることにも表れている。もしネットワーク・トラブルが生じても、サブネットなどのパラメータが固定なので、解決のために管理者がチェックすべき設定項目も少なくなるからだ。

 以上から、GateLock X200に最適なのはやはり家庭向けといえる。家庭ならLANの構成は単純かつ小規模になることがほとんどで、設定の柔軟さより管理の容易さのほうがはるかに重要だからだ。約2万5000円(予価)という価格はブロードバンド・ルータとしては高めだが、継続的なウイルス・パターン定義ファイルやファイアウォール規則のアップデートも含めたセキュリティ機器として捉えれば、それほど高価とはいえないのではないだろうか。

 試用版を評価してみて、LAN側からウイルス付きメールを送信したユーザーにウイルス警告メールが届かないことなど、仕様に荒削りな部分も感じたが、正式出荷版で改善されていることを期待したい。また、SOHOネットワークを管理している身としては、設定の柔軟さやパフォーマンスの強化を図ったSOHOビジネス向けの上位機種の製品化も期待したいところだ。記事の終わり

項目 内容
メーカー名 トレンドマイクロ
製品名 GateLock X200
価格 未定
製品URL http://www.trendmicro.co.jp/gatelock/index.asp
メモリ RAM:32Mbytes、フラッシュメモリ:16Mbytes
OS Linux kernel 2.4ベース
プロセッサ MIPSアーキテクチャのRISCプロセッサ・コアを使用(クロック133MHz)
インジケータLED 5種類(電源、ウイルス対策、ファイアウォール、LAN側ポート、WAN側ポート)
電源 ACアダプタ方式
消費電力 最大4W
重量 本体のみ約285g
外形寸法 120(W)×170(D)×30(H)mm
対応プロトコル IP、TCP、UDP、ARP、ICMP、PPPoE
IPアドレス割り当て方式 DHCP、PPPoE、固定(1個のみ)
ルーティング スタティック
WAN側ポート 1ポート(10/100BASE-TX自動判別)
CATV対応 ホスト名設定:○、MACアドレス設定:○
LAN側PC数 最大32台
LAN側ポート 1ポート(10/100BASE-TX自動判別)、ストレート/クロスの切り替え可能
LAN側DHCPサーバ ○(無効化は不可)
NAT/IPマスカレード ○(無効化は不可)
サーバ公開機能 ポート・フォワーディング機能あり
DMZ
セキュリティ ウイルス検知・駆除、ファイアウォール、IDS、外向きパケットの手動フィルタリング設定など
ファームウェア・アップデート トレンドマイクロのサイトから自動ダウンロード可能(アップデート自体は手動)。ウイルス・パターン定義ファイルやファイアウォールのルールなどは自動アップデート可能
ログ機能 RAMに30レコードまで蓄積。Webブラウザで参照可能。syslog非対応
DNSプロキシ ○(無効化は不可)
設定方法 Webブラウザ経由
GateLock X200の主な仕様

 

  関連記事(PC Insider内) 
ネットワーク・デバイス教科書:第1回 広帯域インターネット接続を便利に使う「ブロードバンド・ルータ」
ネットワーク・デバイス教科書:第12回 ブロードバンド・ルータの基本設定
新世代ブロードバンド・ルータの性能を検証する
ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座
ブロードバンド・ルータ徹底攻略ガイド
 
  関連リンク 
GateLock関連情報のページ
トレンドマイクロ製GateLock X200の動作実績情報
 
 
 

 INDEX
  [プロダクト・レビュー ]
    ウイルスを遮断できるブロードバンド・ルータ「GateLock X200」(1)
    ウイルスを遮断できるブロードバンド・ルータ「GateLock X200」(2)
  ウイルスを遮断できるブロードバンド・ルータ「GateLock X200」(3)
 
「PC Insiderのプロダクト・レビュー」


System Insider フォーラム 新着記事
  • Intelと互換プロセッサとの戦いの歴史を振り返る (2017/6/28)
     Intelのx86が誕生して約40年たつという。x86プロセッサは、互換プロセッサとの戦いでもあった。その歴史を簡単に振り返ってみよう
  • 第204回 人工知能がFPGAに恋する理由 (2017/5/25)
     最近、人工知能(AI)のアクセラレータとしてFPGAを活用する動きがある。なぜCPUやGPUに加えて、FPGAが人工知能に活用されるのだろうか。その理由は?
  • IoT実用化への号砲は鳴った (2017/4/27)
     スタートの号砲が鳴ったようだ。多くのベンダーからIoTを使った実証実験の発表が相次いでいる。あと半年もすれば、実用化へのゴールも見えてくるのだろうか?
  • スパコンの新しい潮流は人工知能にあり? (2017/3/29)
     スパコン関連の発表が続いている。多くが「人工知能」をターゲットにしているようだ。人工知能向けのスパコンとはどのようなものなのか、最近の発表から見ていこう
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

System Insider 記事ランキング

本日 月間
@IT