Co to jest inspekcja stanowa?

Kontrola stanowa jest techniką stosowaną w zaporach sieci komputerowych do ochrony sieci przed nieautoryzowanym dostępem. Czasami znana również jako dynamiczne filtrowanie, metoda może sprawdzać cały pakiet danych, zanim wejdzie on do sieci. W ten sposób każdy pakiet wchodzący do dowolnego interfejsu zapory jest sprawdzany całkowicie pod kątem poprawności względem typów połączeń, które mogą przechodzić na drugą stronę. Proces otrzymuje swoją nazwę, ponieważ nie tylko sprawdza pakiety danych, ale także monitoruje stan połączenia, które zostało ustanowione i dozwolone przez zaporę.

Pomysł stanowej kontroli został po raz pierwszy opracowany przez oprogramowanie Check Point® w połowie lat 90. Przed oprogramowaniem silnika Check Point® Firewall-1 INSPECT ™ zapory monitorowały warstwę aplikacji u góry modelu połączenia systemów otwartych (OSI). Zwykle było to bardzo obciążające dla procesora komputera, więc inspekcja pakietów przeniosła się w dół warstw modelu OSI do trzeciej warstwy, warstwy sieciowej. Wczesna inspekcja pakietu sprawdzała tylko informacje nagłówka, adres i informacje o protokole pakietów i nie miała sposobu na odróżnienie stanu pakietu, na przykład czy było to nowe żądanie połączenia.

W zaporze stanowej z inspekcją przyjazna dla zasobów i szybka metoda filtrowania pakietów jest w pewnym stopniu połączona z bardziej szczegółowymi informacjami o aplikacji. Daje to pewien kontekst pakietowi, zapewniając w ten sposób więcej informacji, na podstawie których można podejmować decyzje dotyczące bezpieczeństwa. Aby przechowywać wszystkie te informacje, zapora ogniowa musi ustanowić tabelę, która następnie określa stan połączenia. Szczegóły każdego połączenia, w tym informacje adresowe, porty i protokoły, a także informacje o sekwencjowaniu pakietów, są następnie zapisywane w tabeli. Jedyne zasoby czasowe są w ogóle ograniczone podczas pierwszego wejścia do tabeli stanów; po tym, co drugi pakiet dopasowany do tego stanu prawie nie zużywa zasobów obliczeniowych.

Proces stanowej inspekcji rozpoczyna się, gdy pierwszy pakiet żądający połączenia zostanie przechwycony i sprawdzony. Pakiet jest dopasowywany do reguł zapory ogniowej, gdzie jest sprawdzany pod kątem szeregu możliwych parametrów autoryzacji, które można w nieskończoność dostosowywać w celu obsługi nieznanego wcześniej lub jeszcze nie opracowanego oprogramowania, usług i protokołów. Przechwycony pakiet inicjuje uzgadnianie, a zapora ogniowa wysyła odpowiedź do żądającego użytkownika potwierdzającego połączenie. Teraz, gdy tabela została zapełniona informacjami o stanie połączenia, następny pakiet od klienta jest dopasowywany do stanu połączenia. Trwa to do momentu przekroczenia limitu czasu połączenia lub jego zakończenia, a tabela nie jest czyszczona z informacji o stanie dla tego połączenia.

Powoduje to jeden z problemów napotykanych przez stanową zaporę inspekcyjną, atak typu „odmowa usługi”. Przy tego typu atakach bezpieczeństwo nie jest zagrożone, ponieważ zapora ogniowa jest bombardowana wieloma początkowymi pakietami żądającymi połączenia, zmuszając tabelę stanu do wypełnienia się żądaniami. Po zapełnieniu tabela stanu nie może już akceptować żadnych żądań, dlatego wszystkie inne żądania połączeń są blokowane. Inna metoda ataku na zaporę stanową wykorzystuje reguły zapory do blokowania ruchu przychodzącego, ale zezwala na ruch wychodzący. Osoba atakująca może oszukać hosta po bezpiecznej stronie zapory sieciowej, aby poprosił o połączenia z zewnątrz, skutecznie otwierając wszelkie usługi hosta, z których może skorzystać.

INNE JĘZYKI

Czy ten artykuł był pomocny? Dzięki za opinie Dzięki za opinie

Jak możemy pomóc? Jak możemy pomóc?