stateful inspection

What is stateful inspection in networking?

Stateful inspection, joka tunnetaan myös nimellä dynamic packet filtering, on palomuuritekniikka, joka seuraa aktiivisten yhteyksien tilaa ja käyttää näitä tietoja määrittääkseen, mitkä verkkopaketit palomuurin läpi sallitaan. Tilatarkastusta käytetään yleisesti tilattoman tarkastuksen eli staattisen pakettisuodatuksen sijasta, ja se soveltuu hyvin Transmission Control Protocol (TCP) – protokollaan ja vastaaviin protokolliin, vaikka se voi myös tukea protokollia, kuten User Datagram Protocol (UDP) – protokollaa.

Stateful inspection on verkon palomuuritekniikka, jota käytetään datapakettien suodattamiseen tilan ja asiayhteyden perusteella. Check Point Software Technologies kehitti tekniikan 1990-luvun alussa puuttumaan valtiottoman tarkastuksen rajoituksiin. Valtion tarkastus on sittemmin tullut alan standardi ja on nyt yksi yleisimmistä palomuuritekniikoita käytössä tänään.

Stateful inspection toimii ensisijaisesti Open Systems Interconnection (OSI) – mallin liikenne-ja verkkokerroksissa sovellusten kommunikointia verkon kautta varten, vaikka se voi myös tutkia sovelluskerroksen liikennettä, joskin vain rajoitetusti. Pakettisuodatus perustuu tilaan ja kontekstitietoihin, jotka palomuuri saa istunnon paketeista:

• osavaltio. Yhteyden tila, sellaisena kuin se on määritelty istuntopaketeissa. Esimerkiksi TCP: ssä tila näkyy tietyissä lipuissa, kuten SYN, ACK ja FIN. Palomuuri tallentaa valtion tiedot taulukkoon ja päivittää tiedot säännöllisesti.
• Konteksti. Tiedot, kuten lähde-ja kohdeprotokollan (IP) osoitteet ja portit, järjestysnumerot ja muunlaiset metatiedot. Palomuuri tallentaa myös asiayhteystietoja ja päivittää niitä säännöllisesti.

seuraamalla sekä tila-että asiayhteystietoja valtiollinen tarkastus voi tarjota paremman turvallisuuden kuin aikaisemmat lähestymistavat palomuurisuojaukseen. Stateful palomuuri tarkastaa saapuvan liikenteen useissa kerroksissa verkkopinossa, samalla kun se tarjoaa rakeisemman kontrollin siitä, miten liikenne suodatetaan. Palomuuri voi myös verrata saapuvia ja lähteviä paketteja tallennettuihin istuntodatoihin viestintäyritysten arvioimiseksi.

Mitä ovat valtiollinen ja valtioton tarkastus?

Stateful inspection on suurelta osin korvannut stateless inspectionin, vanhemman tekniikan, joka tarkastaa vain paketin otsikot. Valtioton palomuuri käyttää ennalta määriteltyjä sääntöjä määrittääkseen, pitäisikö paketti sallia vai kieltää. Se luottaa vain kaikkein perustietoihin, kuten lähde-ja kohdepaikan IP-osoitteisiin ja porttinumeroihin, eikä koskaan katso paketin otsikon ohi, mikä helpottaa hyökkääjien tunkeutumista kehälle.

esimerkiksi hyökkääjä voi siirtää haitallisen tiedon palomuurin läpi yksinkertaisesti osoittamalla otsikon “vastaa”.

Tilatarkastuksella voidaan seurata paljon enemmän tietoa verkkopaketeista, jolloin voidaan havaita uhkia, jotka valtioton palomuuri jäisi huomaamatta. Tilallinen palomuuri ylläpitää asiayhteyttä kaikissa sen nykyisissä istunnoissa sen sijaan, että jokainen paketti käsiteltäisiin erillisenä kokonaisuutena, kuten tilattoman palomuurin tapauksessa. Tilallinen palomuuri vaatii kuitenkin enemmän käsittely-ja muistiresursseja istuntotietojen ylläpitämiseksi, ja se on alttiimpi tietyntyyppisille hyökkäyksille, kuten palvelunestohyökkäyksille.

tilattomalla tarkastuksella hakutoiminnot vaikuttavat paljon vähemmän suoritin-ja muistiresursseihin, mikä nopeuttaa suorituskykyä vaikka liikennettä olisi paljon. Se sanoi, valtioton palomuuri on kiinnostuneempi luokittelemaan tietopaketteja kuin tarkastamalla niitä, käsittelemällä jokaisen paketin erikseen ilman istuntoyhteyttä, joka tulee tilallinen tarkastus. Tämä myös vähentää suodatuskykyä ja lisää alttiutta muuntyyppisille verkkohyökkäyksille.

miten valtion tarkastus toimii?

Tilatarkastus valvoo tietoliikennepaketteja tietyn ajan ja tutkii sekä saapuvat että lähtevät paketit. Palomuuri seuraa lähteviä paketteja, jotka pyytävät tietyntyyppisiä saapuvia paketteja, ja sallii saapuvien pakettien kulkea läpi vain, jos ne muodostavat asianmukaisen vastauksen.

tilallinen palomuuri valvoo kaikkia istuntoja ja tarkastaa kaikki paketit, vaikka sen käyttämä prosessi voi vaihdella palomuuritekniikan ja käytettävän viestintäprotokollan mukaan.

esimerkiksi protokollan ollessa TCP, palomuuri kaappaa paketin tila-ja asiayhteystiedot ja vertaa niitä olemassa olevaan istuntodataan. Jos vastaava merkintä on jo olemassa, paketti saa kulkea palomuurin läpi. Jos osumaa ei löydy, paketille on tehtävä erityiset toimintatarkastukset. Tässä vaiheessa, jos paketti täyttää käytännön vaatimukset, palomuuri olettaa, että se on uusi yhteys ja tallentaa istunnon tiedot asianmukaisiin taulukoihin. Sen jälkeen paketti pääsee kulkemaan. Jos paketti ei täytä käytännön vaatimuksia, paketti hylätään.

prosessi toimii hieman eri tavalla UDP: lle ja vastaaville protokollille. Toisin kuin TCP, UDP on yhteydetön protokolla, joten palomuuri ei voi luottaa TCP: lle luontaisiin valtiolipputyyppeihin. Sen sijaan sen on käytettävä muun tyyppisten tietojen ohella kontekstitietoja, kuten IP-osoitteita ja porttinumeroita. Itse asiassa, palomuuri vie pseudo-tilallinen lähestymistapa likimääräinen mitä se voi saavuttaa TCP.

tilatarkastusta käyttävässä palomuurissa verkon ylläpitäjä voi asettaa parametrit erityistarpeiden mukaisiksi. Järjestelmänvalvoja voi esimerkiksi ottaa käyttöön kirjaamisen, estää tietyntyyppisen IP-liikenteen tai rajoittaa yhteen tietokoneeseen tai yhdestä tietokoneesta olevien yhteyksien määrää.

tyypillisessä verkossa portit suljetaan, ellei saapuva paketti pyydä yhteyttä tiettyyn porttiin, jolloin vain kyseinen portti avataan. Tämä käytäntö estää porttiskannauksen, joka on tunnettu hakkerointitekniikka.