(ML-001) Hoe u meerdere openbare of privé-IP's op de edge-router correct beheert
$8,99
Wat is een stateful firewall?
- Mauro Escalante
- Geen reacties
- Deel dit artikel
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Een firewall is een systeem dat is ontworpen om ongeoorloofde toegang tot of vanaf een particulier netwerk te voorkomen. Firewalls kunnen worden geïmplementeerd in hardware, software of een combinatie van beide. Er zijn verschillende soorten firewalls, en een daarvan is de firewall “statevol” o met statustracking.
De staatsinspectie, ook wel bekend als “statusmonitoring” o “statelijke inspectie” in het Engels is het een geavanceerde techniek die wordt gebruikt in netwerkbeveiliging om de efficiëntie en effectiviteit van firewalls te verbeteren.
Staatskeuring
Stateful firewalls onderzoeken niet alleen elk afzonderlijk datapakket, maar houden ook de status van actieve netwerkverbindingen bij.
Dit logboek kan details bevatten zoals bron- en bestemmings-IP-adressen, poortnummers, pakketvolgnummers, tijdstempels en meer.
In tegenstelling tot firewalls zonder statustracking (staatloze), die elk datapakket als een afzonderlijke transactie behandelen, begrijpen stateful firewalls dat datapakketten worden verzonden als onderdeel van netwerkverbindingen.
Deze firewalls kunnen onthouden dat een specifiek binnenkomend datapakket het antwoord is op een eerder gedaan uitgaand verzoek.
Hoe de Rijksinspectie werkt
Hier volgen enkele aanvullende details over hoe de gezondheidsinspectie werkt:
1. Verbinding tot stand brengen
Wanneer een netwerkverbinding tot stand wordt gebracht (bijvoorbeeld wanneer een gebruiker binnen het netwerk een webpagina opvraagt), registreert de firewall details van de verbinding in de statustabel.
Deze informatie omvat zaken als het IP-adres van de computer die het verzoek doet, het IP-adres van de webpagina die wordt opgevraagd en de poortnummers die worden gebruikt.
2. Verbindingsbewaking
Terwijl datapakketten door de verbinding blijven stromen, blijft de firewall de details in de statustabel registreren en bijwerken.
Dit kan bijvoorbeeld het volgen van de volgnummers van pakketten omvatten om ervoor te zorgen dat ze in de juiste volgorde aankomen.
3. Verbinding beëindigen
Wanneer de netwerkverbinding wordt gesloten (bijvoorbeeld wanneer de gebruiker de webpagina sluit die hij heeft opgevraagd), merkt de firewall dat de verbinding is verbroken en wordt deze uit de statustabel verwijderd.
La conditie inspectie biedt een aantal voordelen voor netwerkbeveiliging. Ten eerste kunnen firewalls ongewenst of verdacht verkeer effectiever blokkeren, omdat ze kunnen herkennen wanneer een binnenkomend datapakket niet aan een geldige netwerkverbinding is gekoppeld.
Het kan ook helpen bij het detecteren en voorkomen van bepaalde soorten aanvallen, zoals IP-spoofing-aanvallen of SYN-overstromingsaanvallen, die proberen misbruik te maken van de manier waarop netwerkverbindingen tot stand komen.
Op een meer technisch niveau onderhoudt een stateful firewall een status tabel om alle bestaande communicatiesessies bij te houden. Elke sessie wordt geregistreerd met details zoals bron- en bestemmings-IP-adressen, poortnummers, pakketvolgnummers en tijdstempels.
Verbindingsstatusrecords (statustabellen)
"Statuslogboeken van actieve netwerkverbindingen", ook wel bekend als de staat tafel van een firewall, is een gegevensstructuur die in stateful firewalls wordt gebruikt om de details bij te houden van alle netwerkverbindingen die door de firewall gaan.
De exacte gegevens die worden bijgehouden kunnen per systeem verschillen, maar omvatten vaak de volgende items:
1. Bron-IP-adres
Dit is het IP-adres van de machine die de verbinding heeft gestart. Bij een typische webverbinding zou dit het IP-adres zijn van de gebruiker die vraagt om een webpagina te bekijken.
2. Doel-IP-adres
Dit is het IP-adres waarnaar de verbinding wordt verzonden. Bij een normale internetverbinding is dit het IP-adres van de server die de opgevraagde webpagina host.
3. Havens van herkomst en bestemming
Poorten zijn getallen die de specifieke processen identificeren die communiceren binnen de bron- en bestemmingsmachine. De bronpoort wordt willekeurig toegewezen door het systeem dat de verbinding initieert, terwijl de bestemmingspoort doorgaans een standaardnummer is dat overeenkomt met een bepaalde netwerkdienst (bijvoorbeeld poort 80 voor HTTP-verkeer).
4. Volgnummer en bevestigingsnummer
Dit zijn waarden die in het TCP-protocol worden gebruikt om ervoor te zorgen dat datapakketten in de juiste volgorde aankomen en om de ontvangst van de pakketten te bevestigen.
5. TCP-vlaggen
TCP-vlaggen maken deel uit van de header van TCP-pakketten en geven informatie over de status van de verbinding. Veel voorkomende vlaggen zijn SYN (synchroniseren, voor het tot stand brengen van verbindingen), ACK (ervesteren, voor het bevestigen van de ontvangst van pakketten), FIN (voltooien, voor het sluiten van verbindingen) en RST (reset, voor het afbreken van verbindingen).
6. Verbindingsstatus
Dit is een waarde die aangeeft of de verbinding tot stand wordt gebracht, actief is, wordt gesloten, etc.
7. Tijdstempel
Dit is een tijdstempel die aangeeft wanneer de activiteit voor het laatst op de verbinding is gezien. Dit kan handig zijn om inactieve verbindingen uit de statustabel te verwijderen.
Door dit vol te houden status tabelkunnen stateful firewalls het netwerkverkeer effectiever monitoren en controleren dan stateless firewalls.
Dit is met name handig voor het blokkeren van ongevraagd verkeer van buiten het netwerk, voor het mogelijk maken van reacties op verzoeken die vanuit het netwerk worden geïnitieerd, en voor het detecteren en voorkomen van bepaalde typen aanvallen.
Gezondheidsregistratie biedt een meer veiligheid dan een staatloze firewall, omdat deze een vollediger beeld heeft van de netwerkactiviteit. Het kan echter ook meer computerbronnen verbruiken, omdat het zijn statustabel voortdurend moet onderhouden en bijwerken.
Diepe pakketinspectie
Een bijkomend aspect waarmee rekening kan worden gehouden bij een stateful firewall is deep packet inspection (DPI), waarmee de inhoud van het datapakket zelf kan worden onderzocht.
Dit kan helpen bij het detecteren van bepaalde soorten aanvallen die niet zichtbaar zouden zijn door alleen de verbindingsstatus te controleren, zoals virussen die zich verspreiden via e-mailbijlagen.
Kortom, een stateful firewall is een cruciaal onderdeel van cyberbeveiliging en biedt geavanceerde verdediging door de volledige status van netwerkverbindingen te kunnen volgen en beslissingen te kunnen nemen op basis van die context.
Is MikroTik een stateful firewall?
Ja, MikroTik-routers, die het RouterOS-besturingssysteem gebruiken, kunnen functioneren als stateful firewalls.
MikroTik implementeert statustrackingfunctionaliteit via zijn “Verbinding volgen” (Verbinding volgen).
El verbinding volgen Hiermee kan de firewall de status van netwerkverbindingen via de router volgen en filterbeslissingen nemen op basis van de status van een verbinding. Dit omvat details zoals bron- en bestemmings-IP-adressen, gebruikte poorten, verbindingsstatus (bijvoorbeeld of er een nieuwe verbinding tot stand wordt gebracht of dat dit pakketten zijn die aan een bestaande verbinding zijn gekoppeld) en meer.
Hoe implementeert MikroTik de stateful firewall?
Hier is een voorbeeld van hoe u een stateful firewall op een MikroTik-router kunt configureren:
1. Schakel het volgen van verbindingen in.
Het traceren van verbindingen is standaard ingeschakeld in RouterOS, maar u kunt dit controleren en indien nodig inschakelen met de volgende opdracht:
/ip firewall connection tracking set enabled=yes
2. Configureer firewallregels
Om bestaande en gerelateerde verbindingen mogelijk te maken, en om nieuwe verbindingen te blokkeren die niet vanuit het netwerk zijn gestart. Dit kan gedaan worden met commando's zoals de volgende:
/ip firewall filter add chain=forward connection-state=established action=accept
/ip firewall filter add chain=forward connection-state=related action=accept
/ip firewall filter add chain=forward connection-state=new action=drop in-interface=wan
In deze voorbeelden staan de eerste twee regels pakketten toe die zijn gekoppeld aan reeds tot stand gebrachte verbindingen of gerelateerde verbindingen (bijvoorbeeld antwoorden op verzoeken die afkomstig zijn van binnen het netwerk), terwijl de laatste regel pogingen tot nieuwe verbindingen van buiten het netwerk blokkeert.
Dit is slechts een voorbeeld van hoe een stateful firewall kan worden geconfigureerd in MikroTik. De werkelijke configuratie kan variëren, afhankelijk van specifieke netwerkbehoeften.
Het is vermeldenswaard dat firewallregels zorgvuldig moeten worden gepland en getest, omdat een onjuiste configuratie het netwerk kwetsbaar kan maken of legitiem verkeer kan verstoren.
Korte kennisquiz
Wat vind je van dit artikel?
Durf jij je geleerde kennis te evalueren?
Gerelateerde artikelen
Gerelateerde artikelen
Microlabs
(ML-002) Manieren om openbare IP-adressen toe te wijzen aan clients met MikroTik
$9,99
(ML-003) Gids voor het configureren van internetuitgangsroutes met twee of meer providers (failover en recursie in PCC-balancering)
$8,99
(ML-004) Filterimplementatiestrategieën om de toegang tot webpagina's te beperken met MikroTik
$7,99
Andere onderwerpen die u mogelijk interesseren
Manieren om IPv6-adressering toe te wijzen (deel 2)
Maart 25, 2024
Manieren om IPv6-adressering toe te wijzen (deel 1)
Maart 11, 2024
Wil je een onderwerp voorstellen?
Elke week plaatsen wij nieuwe inhoud. Wil je dat we over iets specifieks praten?
Aankomende online cursussen
MTCINE Online
$187,00
MTCNA Online
$187,00
MTCRE Online
$187,00
Pak 4 MikroTik RouterOS-boeken in
$68,47
