Что такое проверка состояния в сетевой безопасности?

Прочитано: 75 раз(а)


Проверка состояния — это функция брандмауэра, которая фильтрует пакеты данных на основе контекста предыдущих пакетов данных. Эта важная функция использует информацию заголовка установленных соединений связи для повышения общей безопасности. Понимание того, как работает проверка с отслеживанием состояния, основные плюсы и минусы, а также варианты ее использования, дает важное представление о том, как проверку с отслеживанием состояния можно успешно использовать в стеке безопасности.

Как работает проверка состояния?

Проверка состояния считывает и сохраняет информацию заголовка из установленных протоколов связи. Сохраненная информация сообщает о состоянии или состоянии связи в любой момент времени. Контекст пакета, основанный на истории обмена данными и сохраненной информации о состоянии, затем обеспечивает обстоятельства и условия для использования более сложных правил фильтрации межсетевого экрана для проверки законности пакетов и блокировки атак, пытающихся повредить протоколы.

Состояние пакета

Состояние пакета указывает текущий статус коммуникационного соединения. Каждый раз, когда два компьютера начинают обмениваться данными, они обмениваются информацией для установления соединения, и впоследствии заголовок каждого пакета данных содержит информацию о конкретном соединении.

Проверка с отслеживанием состояния в основном работает с протоколом управления транспортировкой (TCP), используемым в критически важных и фундаментальных протоколах, таких как протокол передачи файлов (FTP) и безопасный просмотр веб-страниц (HTTPS). Состояние TCP меняется на каждом этапе связи с использованием синхронизации (SYN), подтверждения (ACK), завершения (FIN) и пакетов данных между инициирующим устройством и вторым устройством, получающим связь.

Контекст пакета

Контекст пакета сравнивает информацию в каждом заголовке пакета данных с состоянием связи на основе IP-адреса, кода последовательности, запроса номера порта и протокола. Проверка с учетом состояния разрешает прием ожидаемых пакетов и блокирует неожиданные пакеты, которые конфликтуют с состоянием связи.

Например, брандмауэр, выполняющий проверку состояния, может отслеживать активную FTP-передачу с FTP-сервером и отображать сетевой ноутбук в состоянии «Прослушивание» или «Закрыто». Брандмауэр разрешает отправку пакетов ACK или FIN на активное FTP-соединение (с правильными IP-отправителем и получателем, протоколом, портом и порядковым номером), но не ожидает и поэтому отбрасывает любые пакеты ACK или FIN, отправленные на ноутбук.

Протоколы без отслеживания состояния (UDP, HTTP и т. д.) не используют последовательности или подтверждения, но межсетевой экран или другое устройство, выполняющее проверку с сохранением состояния, по-прежнему могут хранить информацию о портах, профилях устройств, а также об отправке или получении IP-адресов. В этом псевдосостоятельном состоянии отсутствуют те же детали безопасности, но он все же обеспечивает эффективную защиту от некоторых атак.

От чего защищает инспекция

Проверка с отслеживанием состояния защищает сетевые активы от атак, которые пытаются повредить или злоупотребить такими процессами, как TCP или служба доменных имен (DNS), которые не проверяют контекст при получении инструкций пакета данных. Информация о состоянии и контексте, сохраняемая брандмауэром или другим устройством, выполняющим проверку состояния, предоставляет контекст, используемый для блокировки подмены DNS и распределенных атак типа «отказ в обслуживании» (DDoS) .

Например, DNS хранит IP-адреса, связанные с такими URL-адресами, как eSecurityPlanet.com, но злоумышленники понимают, что многие реализации DNS не могут проверить действительные запросы. Злоумышленники отправляют нежелательные ответы (подмена DNS) с неверной информацией, например нежелательный ответ с IP-адресом URHacked.ru вместо eSecurityPlanet.com. Проверка с отслеживанием состояния заблокирует эти нежелательные попытки, которые не соответствуют открытым запросам DNS.

Варианты использования проверки состояния

Компания Check Point Technologies разработала проверку с отслеживанием состояния для усовершенствования сетевых межсетевых экранов и обеспечения более сложной защиты от распространенных атак. Однако некоторые межсетевые экраны , шлюзы и специализированное оборудование на базе хоста также включают проверку состояния для конкретных случаев использования безопасности, чтобы скрыть ценные активы или блокировать DDoS-атаки.

Сетевая безопасность

Проверка состояния повышает общую безопасность сети и облака для всех активов, проверяемых этой функцией. Раньше правила могли просматривать каждый пакет только индивидуально и применять статические правила. Добавление состояния и контекста для каждого канала связи создает возможности для применения динамических правил, которые обнаруживают и блокируют нежелательные, аномальные и некоторые типы вредоносных сообщений.

Предотвращение обнаружения

Брандмауэры могут устанавливать правила для блокировки любых сообщений, происходящих за пределами сегмента сети или облачной среды, если только они не исходят от специально разрешенных устройств (так называемых разрешенных или белых списков). Проверка с сохранением состояния предотвращает попытки злоумышленника узнать о ценных ресурсах, таких как серверы баз данных, с помощью обычных инструментов исследования сети, таких как ping или Nmap .

Защита сервера от DDoS

Обычная DDoS-атака использует поддельные TCP-пакеты для перегрузки сервера. В TCP отсутствуют проверки состояния, поэтому злоумышленник DDoS может отправить большое количество незапрошенных ответов SYN-ACK, а сервер свяжет ресурсы, пытаясь сопоставить пакеты для открытия связи. Проверка пакетов с отслеживанием состояния отслеживает открытую связь и быстро отбрасывает пакеты от этого и многих других подобных типов атак.

5 преимуществ проверки состояния

Проверка состояния обеспечивает пять различных улучшений безопасности для всех типов межсетевых экранов, основанных на прикладном контексте истории связи:

  • Расширенные правила. Включает более подробные правила, которые учитывают удостоверение, состояние соединения и приложение, чтобы разрешить или запретить передачу пакета данных связи.
  • Динамическая проверка: адаптирует политики к контексту каждого сеанса связи на основе предыдущего анализа пакетов и записанного опыта работы с IP-адресом.
  • Улучшенная защита: улавливает больше DDoS-атак, подмены службы доменных имен (DNS) и подобных типов атак, пытающихся обмануть уязвимые процессы.
  • Повышенная гибкость: применяются расширенные правила и динамические проверки для обеспечения надежного процесса принятия решений, который можно быстро адаптировать для блокировки предполагаемых угроз.
  • Надежное ведение журнала: предоставляет более подробную информацию о контексте и пакетах в создаваемых записях журнала для улучшения реагирования на инциденты, анализа угроз и судебно-медицинского расследования.

5 недостатков инспекции

Хотя проверка с сохранением состояния дает множество преимуществ, эта функция не может обеспечить надежную защиту из-за своих недостатков:

  • Нарушение связи: вносит ошибки для определенных категорий связи, таких как асимметричная маршрутизация, использующая разные пути или медленные соединения.
  • Повышенная сложность: требуются более сложные правила для гибкой обработки множества условий и комбинаций, что может привести к возникновению брешей в безопасности или вызвать конфликты правил.
  • Ресурсоемкость: требуется больше ресурсов для хранения состояний прошлых и продолжающихся коммуникационных соединений, а также для продолжения анализа и применения правил.
  • Уязвимости безопасности: остается уязвимым к различным спуфинговым атакам, не может распознавать атаки приложений и не проверяет содержимое пакетов на наличие потенциальных вредоносных программ.
  • Замедленный трафик: требуется больше времени для хранения информации о состоянии и выполнения фильтрации пакетов по сравнению с простой обработкой правил проверки пакетов без отслеживания состояния.

Проверка состояния в сравнении с другими функциями брандмауэра

Проверка с отслеживанием состояния представляет собой мощный инструмент, реализованный в большинстве брандмауэров, но большинство администраторов комбинируют проверку с отслеживанием состояния с другими возможностями брандмауэра, чтобы максимизировать преимущества как в безопасности, так и в эксплуатации. Вот краткое сравнение с другими функциями брандмауэра, которые предоставляют различные возможности:

Проверка с сохранением состояния и проверка без сохранения состояния

Все проверки пакетов делятся на проверки с отслеживанием или без отслеживания состояния. Проверка пакетов с отслеживанием состояния сохраняет информацию об установленных соединениях, что значительно повышает безопасность, но также требует больше ресурсов и вычислительной мощности. Используйте функции фильтрации пакетов без отслеживания состояния или брандмауэры, чтобы быстро отбрасывать пакеты на основе простых правил и уменьшать объем трафика, подвергающегося более сложному анализу с учетом состояния.

Stateful против глубокой проверки пакетов

Инспекции с отслеживанием состояния проверяют информацию о связи, содержащуюся в заголовках данных, чтобы быстро отбросить легко обнаруживаемые вредоносные пакеты. Добавьте функции глубокой проверки пакетов в межсетевые экраны следующего поколения , чтобы проверять содержимое данных оставшихся пакетов и обеспечивать дополнительную защиту, например блокировку доставки вредоносного ПО в рамках установленных HTTPS-соединений.

Сохранение состояния и фильтрация прокси

Инспекции с отслеживанием состояния проверяют, но не изменяют коммуникационные соединения между двумя устройствами, что позволяет внешним злоумышленникам исследовать сеть. Установите дополнительные возможности прокси, используемые в шлюзах уровня канала или шлюзах прикладного уровня, чтобы установить отдельные соединения между брандмауэром и каждым устройством. Эта дополнительная фильтрация блокирует обнаружение активов и предоставляет дополнительные возможности для обнаружения злонамеренных намерений без медленной глубокой проверки пакетов.

Итог: проверка состояния начинает процессы защиты связи

Проверка с отслеживанием состояния значительно повышает безопасность сетевых коммуникаций, но не может обеспечить защиту от всех атак. Даже в сочетании с другими сильными функциями, такими как фильтрация пакетов или глубокая проверка пакетов, брандмауэры обеспечивают лишь начальный уровень защиты, который требует других уровней защиты для адекватного снижения риска атаки.

Что такое проверка состояния в сетевой безопасности?



Новости партнеров