stavová inspekce

co je stavová inspekce v síti?

stavová inspekce, známá také jako dynamické filtrování paketů, je technologie brány firewall, která monitoruje stav aktivních připojení a používá tyto informace k určení, které síťové pakety povolit prostřednictvím brány firewall. Stavová inspekce se běžně používá místo kontroly bez státní příslušnosti nebo statického filtrování paketů a je vhodná pro protokol TCP (Transmission Control Protocol) a podobné protokoly, i když může také podporovat protokoly, jako je user Datagram Protocol (UDP).

stavová inspekce je technologie síťového firewallu používaná k filtrování datových paketů na základě stavu a kontextu. Check Point Software Technologies vyvinula techniku v časných 1990 řešit omezení kontroly bez státní příslušnosti. Státní inspekce se od té doby ukázala jako průmyslový standard a nyní je jednou z nejběžnějších technologií firewallu, které se dnes používají.

TCP vs. UDP
stavová kontrola je mimo jiné vhodná pro protokol řízení přenosu a protokol uživatelských datagramů.

Stateful inspection pracuje primárně na transportních a síťových vrstvách modelu Open Systems Interconnection (OSI), jak aplikace komunikují po síti, ačkoli může také zkoumat provoz aplikační vrstvy, i když jen v omezené míře. Filtrování paketů je založeno na stavu a kontextových informacích, které firewall pochází z paketů relace:

  • stát. Stav připojení, jak je uvedeno v paketech relace. Například v TCP se stav odráží ve specifických příznacích, jako jsou SYN, ACK a FIN. Brána firewall ukládá informace o stavu v tabulce a pravidelně aktualizuje informace.
  • kontext. Informace, jako jsou zdrojové a cílové adresy a porty internetového protokolu (IP), pořadová čísla a další typy metadat. Firewall také ukládá kontextové informace a pravidelně je aktualizuje.

sledováním informací o stavu i kontextu může stavová inspekce poskytnout větší stupeň zabezpečení než u dřívějších přístupů k ochraně brány firewall. Stavový firewall kontroluje příchozí provoz ve více vrstvách v síťovém zásobníku a zároveň poskytuje podrobnější kontrolu nad filtrováním provozu. Firewall může také porovnat příchozí a odchozí pakety s uloženými daty relace a posoudit pokusy o komunikaci.

co jsou státní a Státní inspekce?

stavová inspekce do značné míry nahradila inspekci bez státní příslušnosti, starší technologii, která kontroluje pouze záhlaví paketů. Brána firewall bez státní příslušnosti používá předdefinovaná pravidla k určení, zda má být paket povolen nebo odepřen. Spoléhá se pouze na nejzákladnější informace, jako jsou zdrojové a cílové IP adresy a čísla portů, a nikdy se nedívá za hlavičku paketu, což útočníkům usnadňuje proniknutí po obvodu.

útočník by například mohl předat škodlivá data přes bránu firewall jednoduše označením “odpovědět” v záhlaví.

vrstvy modelu OSI (Open Systems Interconnection)
pracující primárně na transportních a síťových vrstvách modelu OSI, stateful inspection může do určité míry také zkoumat provoz aplikační vrstvy.

stavová inspekce může sledovat mnohem více informací o síťových paketech, což umožňuje detekovat hrozby, které by firewall bez státní příslušnosti chyběl. Stavový firewall udržuje kontext ve všech svých aktuálních relacích, namísto toho, aby s každým paketem zacházel jako s izolovanou entitou, jako je tomu u brány firewall bez státní příslušnosti. Stavový firewall však vyžaduje více zdrojů zpracování a paměti k udržení dat relace a je náchylnější k určitým typům útoků, včetně odmítnutí služby.

při kontrole bez státní příslušnosti mají vyhledávací operace mnohem menší dopad na zdroje procesoru a paměti, což vede k rychlejšímu výkonu, i když je provoz těžký. To znamená, že brána firewall bez státní příslušnosti se více zajímá o klasifikaci datových paketů než o jejich kontrolu a zachází s každým paketem izolovaně bez kontextu relace, který přichází se stavovou kontrolou. To má také za následek menší možnosti filtrování a větší zranitelnost vůči jiným typům síťových útoků.

známky dos útoku
stavové brány firewall mohou být náchylnější, včetně útoků odmítnutí služby.

jak funguje státní kontrola?

stavová inspekce monitoruje komunikační pakety po určitou dobu a zkoumá příchozí i odchozí pakety. Brána firewall sleduje odchozí pakety, které vyžadují určité typy příchozích paketů, a umožňuje příchozí pakety projít pouze tehdy, pokud představují správnou odpověď.

stavový firewall monitoruje všechny relace a ověřuje všechny pakety, i když proces, který používá, se může lišit v závislosti na technologii brány firewall a použitém komunikačním protokolu.

například když je protokol TCP, firewall zachytí stav a kontextové informace paketu a porovná je s existujícími daty relace. Pokud odpovídající položka již existuje, paket může projít firewallem. Pokud není nalezena shoda, paket musí projít specifickými kontrolami zásad. V tomto okamžiku, pokud paket splňuje požadavky zásad, firewall předpokládá, že je určen pro nové připojení a ukládá data relace do příslušných tabulek. To pak umožňuje paket projít. Pokud paket nesplňuje požadavky zásad, paket je odmítnut.

proces funguje trochu jinak pro UDP a podobné protokoly. Na rozdíl od protokolu TCP je UDP protokol bez připojení, takže firewall se nemůže spoléhat na typy státních vlajek, které jsou vlastní protokolu TCP. Místo toho musí používat kontextové informace, jako jsou adresy IP a čísla portů, spolu s dalšími typy dat. Ve skutečnosti firewall používá pseudo-stavový přístup, aby přiblížil, čeho může dosáhnout pomocí protokolu TCP.

v bráně firewall, která používá stavovou kontrolu, může správce sítě nastavit parametry tak, aby vyhovovaly specifickým potřebám. Správce může například povolit protokolování, blokovat konkrétní typy provozu IP nebo omezit počet připojení k jednomu počítači nebo z něj.

v typické síti jsou porty uzavřeny, pokud příchozí paket nepožaduje připojení k určitému portu a poté je otevřen pouze tento port. Tato praxe zabraňuje skenování portů, známé hackerské technice.

Leave a Reply