ステートフルパケット検査 – ウィキペディア

Posted on by
before-content-x4

この記事には、サポート(個々の通知など)が十分に装備されていません。十分な証拠のない情報はすぐに削除される可能性があります。情報を調査して、ウィキペディアを支援してください 良い証拠を挿入します。

この記事は特別な知識を反映しています。また、これをどこで読むことができるか=>証拠も明らかではありません。

ステートフルパケット検査 spi ;ドイツ人 状態指向パッケージチェック )特定のアクティブセッションの各データパッケージが割り当てられる動的パッケージフィルターテクノロジーを理解します。

after-content-x4

データパッケージが分析され、接続ステータスが決定に含まれます。ファイアウォールで使用されるこの手法では、データパケット(実際に:セグメント)は、調停層(OSIモデルの第3層)の送信中に分析され、動的状態テーブルに保存されます。データ接続の条件に基づいて、データパケットの転送の決定が行われます。特定の基準に割り当てることができない、またはDOS攻撃に属する可能性のあるデータパッケージは拒否されます。したがって、SPIテクノロジーを備えたファイアウォールは、安全関連アプリケーションの純粋なパッケージフィルターファイアウォールよりも優れています。

Check Point Software Technologies Ltd. 1993年にこの技術を発明したと主張しています。 [初め]

ステートフルな検査:発信データパケットのプロパティは、ステータステーブルに保存されます。これで詳細には、着信データパッケージが比較されます

コンピューターを通信します a コンピューターで b 単純なパッケージフィルターを介して(つまり、 それなし ステートフルなパケット検査)、これは、そのルールに2つの接続を許可する必要があります。

  • それらの a 目標によると b サービスhttp(リクエストのために、「ウェブサイトwww.example.comを送ってください」など)
  • それらの b 目標によると a Service HTTP(Answer Packages用、この例ではwww.example.comのコンテンツ)

これにより、ルールは実際に必要なよりも安全ではありません。 b 常に a たとえそうであっても、送信する場合があります a ウェブサイトをまったく要求していません(ネットフィルターを使用すると、「同期フラグ」を使用してそれを妨げることができます b a 接続を確立しました)。

状態 – コントロールされたフィルタリング(すなわち ステートフルパケット検査は必要です)(または2番目は一般的なルール(確立/関連)を介して許可されます)。これにより、標準レートがはるかに明確になります。

after-content-x4

パッケージフィルターは、コンピューターを覚えています a コンピューターで b 通信され、その場合にのみ、コンピューターからの回答を許可します b コンピューターで a 。電卓 b リクエストなしでは開始できません。

応答パッケージのルールは、応答後またはタイムアウト後に動的かつ自動的に削除されます。

また、さらにシステムは、特定の時点でパッケージが通信で許可されているかどうかを確認します(たとえば、他の参加者はすでに通信を完了していますが、他のパッケージを送信します)。

一見すると、1つが見えます ステートフルパケット検査 UDPはTCPとは対照的に機能するため、矛盾などのUDPパッケージの場合。ほとんどの実装(Linuxネットフィルターなど)は、UDPを介して要件を送信する際に短時間、応答パッケージの動的なファイアウォールルールが生成されるという意味で、UDPをステータスとして扱います。 DNSの問い合わせの例では、自分自身に尋ねられた名前サーバーによって回答パッケージのみが許可されています。

いくつかのプログラム – 例えばB. Skype-Useこれは、ファイアウォールを介してポイントツーポイント接続を確立するために、ホールパンチと呼ばれるプロセスで使用します。両方の参加者は、IPアドレスのSkypeサーバーから、どのポートSkypeが反対側で動作するかを学びます。次に、両方ともUDPパッケージを反対側に送信します。これらのパッケージは、入力ルールがないため到着したときに拒否されますが、発信コンピューターのファイアウォールにルールを作成し、「回答を許可します」。その後、双方が互いに通信することができます。ファイアウォールはシーケンス番号のために実際の回答パッケージを認識できるため、これはTCP(些細な)では機能しません。

Pingの問い合わせを送信したいが、Pingに答えたくない場合、最初にICMPの発信ルールを定義し、次に既に発信接続があるすべての着信パッケージ(関連)を許可する詳細なルールを定義します。答えは、ファイアウォールが既存の接続を認識したときに許可されます。それから彼はそれを自分でpingすることができますが、入ってくるpingを許可しません。 ICMPはTCPとの接続であるにもかかわらず、これは機能します。一般的には、個々のパッケージが文脈ではないことを意味します。

FTPに問題があります。 2つのポート、「FTP」と「FTP-DATA」(21および20)が使用されます。 「FTP」はコマンドの転送に使用され、FTPデータはデータ送信(ファイルコンテンツまたはディレクトリコンテンツ)に使用されます。データ接続(FTP-DATA)がセットアップされる方向には、2つの異なるタイプ(アクティブファッションとパッシブファッション)があります。 Linuxカーネルには、両方のポートの相互作用を支配するカーネルモジュールがあります。

TCP接続とUDP接続の両方に、Statefulパケット検査で常に割り当てられたタイムアウトがあります。 UDPでは、接続が終了したときに認識できないためです。 TCPでは、接続が適切に分解されていないことが起こる可能性があるためです。 UDPタイムアウトは通常、TCP 15〜60分で20〜40秒の範囲です。

タイムアウトが十分に長くなく、ファイアウォールによって正当な接続が終了する場合、2つの可能なソリューションがあります。タイムアウトの拡張は役立ちますが、システムのメモリ要件を増加させ、セキュリティを削減します。したがって、優先された方法は、キープアライブパッケージの使用である必要があります。これらは、SSHクライアントなどの一部のアプリケーションまたはオペレーティングシステムで構成できます。

120秒ごとにLinuxの下でTCP-Keep-Aliveを設定します。 

echo 120>/proc/sys/net/ipv4/tcp_keepalive_time
  1. 特許 US5606668 コンピューターネットワークでインバウンドおよびアウトバウンドデータパケットフローを保護するためのシステム。 登録 1993年12月15日 、オンに公開されています 1997年2月25日 、登録:Checkpoint Software Technologies Ltd.、Inventor:Gil Shwed。
after-content-x4