stateful inspeksjon

Hva er stateful inspeksjon i nettverk?

Tilstandskontroll, også kjent som dynamisk pakkefiltrering, er en brannmurteknologi som overvåker tilstanden til aktive tilkoblinger og bruker denne informasjonen til å bestemme hvilke nettverkspakker som skal tillates gjennom brannmuren. Stateful inspeksjon brukes ofte i stedet for statsløs inspeksjon, eller statisk pakkefiltrering, og er godt egnet Til Transmission Control Protocol (TCP) og lignende protokoller, selv om den også kan støtte protokoller som USER Datagram Protocol (UDP).

Stateful inspection Er en nettverksbrannmurteknologi som brukes til å filtrere datapakker basert på tilstand og kontekst. Check Point Software Technologies utviklet teknikken tidlig på 1990 – tallet for å løse begrensningene av statsløs inspeksjon. Stateful inspection har siden dukket opp som en industristandard og er nå en av de vanligste brannmurteknologiene i bruk i dag.

Stateful inspection opererer primært på transport – og nettverkslagene I OPEN Systems Interconnection (OSI) – modellen for hvordan applikasjoner kommuniserer over et nettverk, selv om det også kan undersøke applikasjonslagstrafikk, om bare i begrenset grad. Pakkefiltrering er basert på status-og kontekstinformasjonen som brannmuren kommer fra en økts pakker:

• Stat. Tilstanden for tilkoblingen, slik den er angitt i øktpakker. I TCP, for eksempel, reflekteres staten i bestemte flagg, FOR EKSEMPEL SYN, ACK og FIN. Brannmuren lagrer tilstandsinformasjon i en tabell og oppdaterer informasjonen regelmessig.
• Kontekst. Informasjon som ip-adresser Og porter (kilde-Og destinasjonsprotokoll), sekvensnumre og andre typer metadata. Brannmuren lagrer også kontekstinformasjon og oppdaterer den regelmessig.

ved å spore både tilstandsinformasjon og kontekstinformasjon, kan tilstandskontroll gi en større grad av sikkerhet enn med tidligere tilnærminger til brannmurbeskyttelse. Den stateful brannmur inspiserer innkommende trafikk på flere lag i nettverksstakken, samtidig som det gir mer detaljert kontroll over hvordan trafikken filtreres. Brannmuren kan også sammenligne innkommende og utgående pakker mot de lagrede øktdataene for å vurdere kommunikasjonsforsøk.

hva er statsful og statsløs inspeksjon?

Stateful inspection har i stor grad erstattet statsløs inspeksjon, en eldre teknologi som sjekker bare pakkehodene. Den statsløse brannmuren bruker forhåndsdefinerte regler for å avgjøre om en pakke skal tillates eller nektes. Den er avhengig av bare den mest grunnleggende informasjonen, FOR eksempel kilde-OG destinasjons-IP-adresser og portnumre, og ser aldri forbi pakkenes header, noe som gjør det lettere for angripere å trenge inn i omkretsen.

for eksempel kan en angriper passere skadelige data gjennom brannmuren ved å angi “svar” i overskriften.

Stateful inspection kan overvåke mye mer informasjon om nettverkspakker, noe som gjør det mulig å oppdage trusler som en statsløs brannmur ville savne. En stateful brannmur opprettholder kontekst over alle sine nåværende økter, i stedet for å behandle hver pakke som en isolert enhet, som det er tilfelle med en statsløs brannmur. En tilstandsfull brannmur krever imidlertid mer behandling og minneressurser for å opprettholde øktdataene, og den er mer utsatt for visse typer angrep, inkludert tjenestenekt.

med tilstandsløs inspeksjon har oppslagsoperasjoner mye mindre innvirkning på prosessor – og minneressurser, noe som resulterer i raskere ytelse selv om trafikken er tung. Når det er sagt, er en statsløs brannmur mer interessert i å klassifisere datapakker enn å inspisere dem, behandle hver pakke isolert uten øktkonteksten som følger med statlig inspeksjon. Dette resulterer også i mindre filtreringsfunksjoner og større sårbarhet for andre typer nettverksangrep.

hvordan fungerer statlig inspeksjon?

Stateful inspection overvåker kommunikasjonspakker over en tidsperiode og undersøker både innkommende og utgående pakker. Brannmuren sporer utgående pakker som ber om bestemte typer innkommende pakker, og lar innkommende pakker passere bare hvis de utgjør et riktig svar.

en tilstandsfull brannmur overvåker alle økter og verifiserer alle pakker, selv om prosessen den bruker, kan variere avhengig av brannmurteknologien og kommunikasjonsprotokollen som brukes.

når protokollen for EKSEMPEL ER TCP, registrerer brannmuren en pakkes tilstand – og kontekstinformasjon og sammenligner den med de eksisterende øktdataene. Hvis det allerede finnes en samsvarende oppføring, kan pakken passere gjennom brannmuren. Hvis ingen treff er funnet, må pakken deretter gjennomgå bestemte policykontroller. På det tidspunktet, hvis pakken oppfyller policykravene, antar brannmuren at det er for en ny tilkobling og lagrer øktdataene i de aktuelle tabellene. Det tillater da pakken å passere. Hvis pakken ikke oppfyller policykravene, avvises pakken.

prosessen fungerer litt annerledes FOR UDP og lignende protokoller. I motsetning TIL TCP er UDP en forbindelsesløs protokoll, slik at brannmuren ikke kan stole på de typer statlige flagg som er knyttet TIL TCP. I stedet må den bruke kontekstinformasjon, FOR EKSEMPEL IP-adresser og portnumre, sammen med andre typer data. I virkeligheten tar brannmuren en pseudo-stateful tilnærming for å tilnærme hva den kan oppnå med TCP.

i en brannmur som bruker tilstandskontroll, kan nettverksadministratoren angi parametrene for å møte spesifikke behov. En administrator kan for eksempel aktivere logging, blokkere bestemte TYPER IP-trafikk eller begrense antall tilkoblinger til eller fra en enkelt datamaskin.

i et vanlig nettverk lukkes portene med mindre en innkommende pakke ber om tilkobling til en bestemt port, og bare den porten åpnes. Denne praksisen forhindrer portskanning, en kjent hackingsteknikk.