stateful inspektion

Vad är stateful inspektion i nätverk?

Stateful inspection, även känd som dynamisk paketfiltrering, är en brandväggsteknik som övervakar tillståndet för aktiva anslutningar och använder denna information för att bestämma vilka nätverkspaket som ska tillåtas genom brandväggen. Stateful inspektion används ofta i stället för statslös inspektion, eller statisk paketfiltrering, och är väl lämpad för Transmission Control Protocol (TCP) och liknande protokoll, även om det också kan stödja protokoll som User Datagram Protocol (UDP).

Stateful inspection är en nätverksbrandväggsteknik som används för att filtrera datapaket baserat på tillstånd och sammanhang. Check Point Software Technologies utvecklade tekniken i början av 1990-talet för att ta itu med begränsningarna för statslös inspektion. Stateful inspection har sedan dess framkommit som en industristandard och är nu en av de vanligaste brandväggsteknologierna som används idag.

Stateful inspection arbetar främst med transport-och nätverkslager i OSI-modellen (Open Systems Interconnection) för hur applikationer kommunicerar över ett nätverk, även om det också kan undersöka applikationslagertrafik, om bara i begränsad grad. Paketfiltrering baseras på tillståndet och kontextinformationen som brandväggen härrör från en sessions paket:

• staten. Anslutningens tillstånd, som det anges i sessionspaketen. I TCP återspeglas till exempel staten i specifika flaggor, såsom SYN, ACK och FIN. Brandväggen lagrar tillståndsinformation i en tabell och uppdaterar informationen regelbundet.
• sammanhang. Information som käll-och destinationsadresser och portar för Internetprotokoll (IP), sekvensnummer och andra typer av metadata. Brandväggen lagrar också kontextinformation och uppdaterar den regelbundet.

genom att spåra både tillstånd och kontextinformation kan stateful inspection ge en större grad av säkerhet än med tidigare metoder för brandväggsskydd. Den stateful brandväggen inspekterar inkommande trafik i flera lager i nätverksstacken, samtidigt som den ger mer detaljerad kontroll över hur trafiken filtreras. Brandväggen kan också jämföra inkommande och utgående paket mot lagrade sessionsdata för att bedöma kommunikationsförsök.

vad är statlig och statslös inspektion?

Stateful inspection har till stor del ersatt statslös inspektion, en äldre teknik som endast kontrollerar pakethuvudena. Den statslösa brandväggen använder fördefinierade regler för att avgöra om ett paket ska tillåtas eller nekas. Det bygger bara på den mest grundläggande informationen, till exempel käll-och destinations IP-adresser och portnummer, och ser aldrig förbi paketets rubrik, vilket gör det lättare för angripare att tränga in i omkretsen.

till exempel kan en angripare skicka skadlig data genom brandväggen genom att helt enkelt ange “svara” i rubriken.

Stateful inspection kan övervaka mycket mer information om nätverkspaket, vilket gör det möjligt att upptäcka hot som en statslös brandvägg skulle sakna. En stateful brandvägg upprätthåller sammanhang över alla sina nuvarande sessioner, snarare än att behandla varje paket som en isolerad enhet, vilket är fallet med en statslös brandvägg. En tillståndsfull brandvägg kräver dock mer bearbetning och minnesresurser för att behålla sessionsdata, och den är mer mottaglig för vissa typer av attacker, inklusive överbelastning.

med statslös inspektion har uppslagningsoperationer mycket mindre inverkan på processor-och minnesresurser, vilket resulterar i snabbare prestanda även om trafiken är tung. Som sagt, en statslös brandvägg är mer intresserad av att klassificera datapaket än att inspektera dem, behandla varje paket isolerat utan sessionskontext som följer med statlig inspektion. Detta resulterar också i mindre filtreringsfunktioner och större sårbarhet för andra typer av nätverksattacker.

Hur fungerar statlig inspektion?

Stateful inspection övervakar kommunikationspaket under en tidsperiod och undersöker både inkommande och utgående paket. Brandväggen spårar utgående paket som begär specifika typer av inkommande paket och tillåter inkommande paket att passera endast om de utgör ett korrekt svar.

en stateful brandvägg övervakar alla sessioner och verifierar alla paket, även om processen den använder kan variera beroende på brandväggstekniken och kommunikationsprotokollet som används.

till exempel, när protokollet är TCP, fångar brandväggen ett paketets tillstånd och kontextinformation och jämför det med befintliga sessionsdata. Om det redan finns en matchande post får paketet passera genom brandväggen. Om ingen matchning hittas måste paketet sedan genomgå specifika policykontroller. Om paketet uppfyller policykraven antar brandväggen att det är för en ny anslutning och lagrar sessionsdata i lämpliga tabeller. Det tillåter sedan paketet att passera. Om paketet inte uppfyller policykraven avvisas paketet.

processen fungerar lite annorlunda för UDP och liknande protokoll. Till skillnad från TCP är UDP ett anslutningslöst protokoll, så brandväggen kan inte förlita sig på de typer av statliga flaggor som är inneboende för TCP. Istället måste den använda kontextinformation, till exempel IP-adresser och portnummer, tillsammans med andra typer av data. I själva verket tar brandväggen ett pseudo-stateful tillvägagångssätt för att approximera vad det kan uppnå med TCP.

i en brandvägg som använder statlig inspektion kan nätverksadministratören ställa in parametrarna för att möta specifika behov. Till exempel kan en administratör aktivera loggning, blockera specifika typer av IP-trafik eller begränsa antalet anslutningar till eller från en enda dator.

i ett typiskt nätverk stängs portar om inte ett inkommande paket begär anslutning till en viss port och då öppnas endast den porten. Denna praxis förhindrar portskanning, en välkänd hackningsteknik.