상태 저장 검사 란 무엇입니까?

상태 저장 검사는 컴퓨터 네트워크 방화벽에서 네트워크를 무단 액세스로부터 보호하는 데 사용되는 기술입니다. 동적 필터링이라고도하는이 방법은 네트워크에 들어가기 전에 전체 데이터 패킷을 검사 할 수 있습니다. 이런 식으로 방화벽의 인터페이스에 들어가는 모든 패킷은 다른쪽으로 통과 할 수있는 연결 유형과 비교하여 유효성이 완전히 검사됩니다. 프로세스는 데이터 패킷을 검사 할뿐만 아니라 방화벽을 통해 설정되고 허용 된 연결 상태를 모니터링하기 때문에 그 이름을 얻습니다.

상태 저장 검사에 대한 아이디어는 1990 년대 중반 Check Point® 소프트웨어에 의해 처음 고안되었습니다. Check Point® Firewall-1 INSPECT ™ 엔진 소프트웨어 이전에 방화벽은 개방형 시스템 상호 연결 (OSI) 모델의 최상위에서 애플리케이션 계층을 모니터링했습니다. 이것은 컴퓨터의 프로세서에 많은 부담을 주므로 패킷 검사는 OSI 모델의 계층에서 네트워크 계층의 세 번째 계층으로 이동했습니다. 초기 패킷 검사는 패킷의 헤더 정보, 주소 지정 및 프로토콜 정보 만 확인했으며 새 연결 요청인지 여부와 같은 패킷 상태를 구분할 방법이 없었습니다.

상태 저장 검사 방화벽에서 리소스 친화적이고 빠른 패킷 필터링 방법은보다 상세한 응용 프로그램 정보와 다소 병합됩니다. 이는 패킷에 대한 컨텍스트를 제공하여 보안 결정의 기반이되는 추가 정보를 제공합니다. 이 모든 정보를 저장하려면 방화벽에서 테이블을 설정해야합니다. 그러면 테이블이 연결 상태를 정의합니다. 주소 정보, 포트 및 프로토콜을 포함한 모든 연결의 세부 정보와 패킷의 시퀀싱 정보가 테이블에 저장됩니다. 리소스가 전혀 변형되지 않는 유일한 시간은 상태 테이블에 초기 진입하는 동안입니다. 그 후, 해당 상태와 일치하는 다른 모든 패킷은 거의 모든 컴퓨팅 리소스를 사용하지 않습니다.

상태 저장 검사 프로세스는 연결을 요청하는 첫 번째 패킷이 캡처되고 검사 될 때 시작됩니다. 패킷은 방화벽의 규칙과 일치하며, 여기서 이전에 알려지지 않았거나 아직 개발되지 않은 소프트웨어, 서비스 및 프로토콜을 지원하기 위해 끝없이 커스터마이즈 할 수있는 일련의 가능한 인증 매개 변수에 대해 검사됩니다. 캡처 된 패킷은 핸드 셰이크를 초기화하고 방화벽은 요청한 사용자에게 연결 확인 응답을 보냅니다. 이제 테이블에 연결 상태 정보가 채워 졌으므로 클라이언트의 다음 패킷이 연결 상태와 일치합니다. 연결 시간이 초과되거나 종료 될 때까지 계속되고 테이블에서 해당 연결에 대한 상태 정보가 지워집니다.

이로 인해 상태 저장 검사 방화벽이 직면 한 문제 중 하나 인 서비스 거부 공격이 발생합니다. 이러한 유형의 공격을 사용하면 연결을 요청하는 수많은 초기 패킷이 방화벽에 충돌하여 상태 테이블이 요청으로 채워지더라도 보안이 손상되지 않습니다. 가득 차면 상태 테이블은 더 이상 요청을 수락 할 수 없으므로 다른 모든 연결 요청이 차단됩니다. 상태 저장 방화벽에 대한 또 다른 공격 방법은 방화벽 규칙을 활용하여 들어오는 트래픽을 차단하지만 나가는 트래픽은 허용합니다. 공격자는 방화벽의 안전한쪽에있는 호스트를 속여 외부로부터의 연결을 요청하여 공격자가 사용할 수있는 호스트의 서비스를 효과적으로 열 수 있습니다.