Winny を始めとする特定サービスの通信規制について

ゲートウェイ（出入り口）によるセキュリティ対策、つまり、ゲートウェイを通過する通信の監視では対処できないケースが存在します。特に近年、社会問題化している Winny といった P2P ソフトウェアの問題です。

参照 => Winny （ウィニー）　/ Ｐ２Ｐ について

特に Winny の場合、独自に暗号化された通信経路を確立し、決まったポートを使用しないため通信規制が極めて困難です。SoftEther など VPN を容易に構築できるソフトウェアなど通信が暗号化されるケースでは通信内容を監視する事は出来ません。

特定のサービスを禁止するには

ネットワークを介して内部から漏洩する情報を規制する場合、これらのソフトウェアが使用する通信を遮断する必要があります。具体的には、特定のインターネットアプリケーションが使用するポートの規制、MSN メッセンジャーなど外部のサーバを利用するサービスは、サーバへの接続を規制する事で対処します。

通信規制が行えないケース

SSL など暗号化されたパケットは解析する事は出来ないため、通信規制は行えませんが、アプリケーションが使用するポートを規制すれば通信規制は可能です。しかし、Winny のような特定のポートを使用しないアプリケーションや https などのポートを利用する通信の検出、制限を行う事は困難です。

この場合、暗号化されたプロトコルを解析する必要があるため、ゲートウェイで抑制するには専用のパケット解析ソフトウェアが必要になります。

Winny の通信規制も行える ゲートウェイ設置型 セキュリティソフト

Winny などの暗号化されたパケットフィルタリングが可能な製品を紹介します。

クライアント側で行える対策は次のページで紹介しています。
参照 => Winny （ウィニー）をクライアント側で制限するツール

ネットエージェント One Point Wall （ワン ポイント ウォール）.

ONE POINT WALL は、単体でシステム起動が可能なネットワーク IDS （不正行為検出システム）です。シグネチャ（ルール）に基づいたパケットフィルタリング処理により通信規制を行います。バージョンが上がる度にシグネチャ－も充実しており、日本のメーカーであるためサポート面も安心です。

専用OS を使用するため、CD-ROM ブート、インストールも可能です。CD-ROM からブートする場合でログを記録する場合は、USBメモリを使用する事が出来ます。スループット低下率 １％ 以下と高速に機能します。

業務に必要のないサービスを規制するためのシグネチャが用意されており、通信規制の難しい Winny や SoftEther など通信規制の難しいパケットフィルタリングも可能です。ブリッジ動作であるため導入が容易です。また、設定はブラウザ経由で行うため管理、運用も簡単に行えます。

Winny｜ワームウイルス｜情報漏洩｜通信規制

30デバイス

---

100デバイス

---

200デバイス

---

300デバイス

---

400デバイス

---

500デバイス

---

600デバイス

---

700デバイス

---

800デバイス

---

900デバイス

---

1000デバイス

■ ONE POINT WALLパッケージワイドL
サイト => ネットエージェント One Point Wall
必要なハードウェア構成（PC/AT互換機）

• CD-ROMブートが可能
• ネットワークインターフェイスＸ２
• PentiumIII(coppermine) 800MHz以上のCPU
• 64MB以上のメモリ
• 32MB以上のUSBメモリ

主な機能（以下の通信監視し、規制する事が可能です）

P2P

• Winny [暗号解読可能]
• WinMX
• KaZaa

VPN

• SoftEther [SSL暗号化対応]
• TinyVPN
• OpenVPN
• IPSec

インスタント・メッセンジャー

• MSN Messenger メッセージ送信
• MSN Messenger ファイル送信
• AOL Messenger メッセージ送信
• AOL Messenger ファイル送信
• ICQ メッセージ送信
• ICQ ファイル送信
• Skype に関しましては現在下記のようになります。
  version　1.1.0.79　まで　ブロック、検知共に可能
  version　1.4までのバージョン1系　検知のみ可能
  version 2系　対応ルール作成中
  

ワーム

• MS Blaster
• Sasser
• SQL Slamer
• Welchia
• CodeRed

チャット

• IRC メッセージ送信
• IRC DCC送信

掲示板

• ２ちゃんねるへの書き込み
• 街BBSへの書き込み
• BBS PINKへの書き込み
• ふたばチャンネルへの書き込み
• スラッシュドット ジャパンへの書き込み
• 他２ちゃんねる型掲示板への書き込み

オンラインゲーム

• FF11 world login
• ragnarok online
• Linage
• Linage2

ファイヤーウォール機能

• Windowsファイル共有
• 外部からのTCP接続
• 外部からのTFTP
• 外部からのSSH
• 外部からのtelnet
• 外部からのhttps
• 外部からのMS SQL Server
• 外部からのOracle

1500デバイス

2000デバイス

3000デバイス

4000デバイス

5000デバイス

5000 Over

リピータHUB（バカHUB）と３つのLAN インターフェイス

One Point Wall の導入には、リピータHUB（バカHUB）が必要になります。現在、リピータHUB を生産しているのは、僅かであり、また、古い機器は 10base/T と速度が出ません。開発元のネットエージェントが提供していますので、選択肢はほとんどありません。

ネットエージェントのリピータHUB は以下から購入できます。

■　リピータHUB を楽天で探す >>>

eEye Winny Monitor

米セキュリティベンダ eEye Digital Security 社が開発、無償提供している Winny の通信を規制するソフトウェアです。日本語版は住商情報システムが無償配布しています。

入手先 => eEyeフリーツールダウンロード　SCS住商情報システム株式会社

Winny パケットの検出｜Winny 通信規制

LAN 内で Winny を利用しているユーザーの IP アドレス と 通信先の IP アドレスを表示する事が出来ます。また、TCP rest パケットを送信元に送りつけることで通信を規制する事ができます。

また、リモートから LAN 内のパソコンを（同時に16 IPまで）スキャンし、Winnyが実行されているパソコンの IPアドレスをリストする eEye Winny Scanner も無償配布されています。

設置について

eEye Winny Monitor をインストールしたパソコンを HUB 、スイッチ のミラーポートへ接続します。リピータHUB （バカHUB） であれば通常ポートで監視は可能な筈ですが、既に過去のものなのでミラーリング ポートを持つ インテリジェントスイッチが必要になります。

■ Yahoo! Shopping でミラースイッチを探す >>>

■ プラネックスコミュニケーションズ株式会社
企業向けから個人向けまで幅広いネットワーク機器を扱う専門メーカーです。特にビジネス分野で高い実績があり、ビジネス向けの製品が充実しています。ミラーリング ポート を持つレイヤスイッチは、左メニュー "スイッチングハブ" にあります。

■ コレガ株式会社
個人向け、SOHO 向けのネットワーク機器を中心に販売しているネットワーク機器メーカーです。左メニューの "スイッチングHUB" から探せます。

この標題のトップへ　１４ / １５