ステートフル検査とは何ですか?

ステートフル検査は、不正アクセスからネットワークを保護するためのコンピューターネットワークファイアウォールで使用される手法です。 また、動的フィルタリングと呼ばれることもありますが、この方法は、ネットワークに入る前にデータパケット全体を検査することができます。 このようにして、ファイアウォールでインターフェイスを入力するすべてのパケットは、反対側に通過できる接続の種類に対する有効性が完全にチェックされます。 このプロセスは、データパケットを検査するだけでなく、ファイアウォールを通じて確立および許可された接続の状態を監視するため、その名前を取得します。

ステートフル検査のアイデアは、1990年代半ばにCheckPoint®ソフトウェアによって最初に考案されました。 Check's®Firewall-1 Inspect™エンジンソフトウェアの前に、ファイアウォールは、Open Systems Interconnection(OSI)モデルの上部にあるアプリケーションレイヤーを監視しました。 これはコンピューターのプロセッサに非常に課税される傾向があったため、パケット検査はOを下に移動しましたSiモデルのレイヤーは、3番目のレイヤーであるネットワーク層です。 早期のパケット検査パケットのヘッダー情報、アドレス指定情報とプロトコル情報のみを確認し、新しい接続要求であるかどうかなど、パケットの状態を区別する方法がありませんでした。

ステートフル検査ファイアウォールでは、リソースに優しい迅速なパケットフィルタリング方法が、より詳細なアプリケーション情報と幾分融合されています。 これにより、パケットのコンテキストが提供されるため、セキュリティの決定を下すためのより多くの情報が提供されます。 このすべての情報を保存するには、ファイアウォールはテーブルを確立する必要があり、接続の状態を定義します。 アドレス情報、ポート、プロトコル、パケットのシーケンス情報を含むすべての接続の詳細は、テーブルに保存されます。 リソースがまったく緊張している唯一の時間はステートテーブルへの最初のエントリ。その後、その状態と一致した他のすべてのパケットは、コンピューティングリソースをほとんど使用しません。

接続を要求する最初のパケットがキャプチャおよび検査されたときに、ステートフル検査プロセスが始まります。 このパケットは、ファイアウォールのルールと一致します。ここでは、以前は未知の、またはまだ開発されていないソフトウェア、サービス、プロトコルをサポートするために、際限なくカスタマイズできる一連の可能な承認パラメーターに対してチェックされます。 キャプチャされたパケットは握手を初期化し、ファイアウォールは、接続を確認する要求ユーザーに応答を送り返します。 テーブルに接続の状態情報が入力されたので、クライアントからの次のパケットは接続状態と一致します。 これは、接続がタイムアウトまたは終了するまで続き、テーブルはその接続の状態情報からクリアされます。

これは、直面している問題の1つをもたらしますDステートフル検査ファイアウォールによるサービス拒否攻撃。 このタイプの攻撃では、ファイアウォールが接続を要求する多数の初期パケットで攻撃されているのと同じくらいセキュリティが侵害されていないため、ステートテーブルにリクエストを満たすことが強制されます。 いっぱいになると、ステートテーブルは要求を受け入れることができなくなるため、他のすべての接続要求がブロックされます。 ステートフルファイアウォールに対する別の攻撃方法では、入ってくるトラフィックをブロックするためにファイアウォールのルールを利用しますが、発信トラフィックを許可します。 攻撃者は、ファイアウォールの安全な側面のホストをだまして、外部からの接続を要求し、攻撃者が使用するホストに効果的にサービスを開きます。

他の言語

この記事は参考になりましたか? フィードバックをお寄せいただきありがとうございます フィードバックをお寄せいただきありがとうございます

どのように我々は助けることができます? どのように我々は助けることができます?

関連記事