Zapora sieciowa to system zaprojektowany w celu zapobiegania nieautoryzowanemu dostępowi do lub z sieci prywatnej. Zapory ogniowe można wdrożyć w sprzęcie, oprogramowaniu lub w kombinacji obu. Istnieje kilka typów zapór sieciowych, a jednym z nich jest zapora ogniowa „stanowy” o ze śledzeniem statusu.
Na końcu artykułu znajdziesz mały test to ci pozwoli oceniać wiedzę zdobytą w tej lekturze
Inspekcja Państwowa, zwana także „monitorowanie stanu” o „kontrola stanowa” w języku angielskim jest to zaawansowana technika stosowana w bezpieczeństwie sieci w celu poprawy wydajności i skuteczności zapór sieciowych.
Kontrola stanowa
Zapory stanowe nie tylko sprawdzają każdy pojedynczy pakiet danych, ale także rejestrują stan aktywnych połączeń sieciowych.
Dziennik ten może zawierać szczegółowe informacje, takie jak źródłowy i docelowy adres IP, numery portów, numery sekwencji pakietów, znaczniki czasu i inne.
W przeciwieństwie do zapór sieciowych bez śledzenia stanu (bezpaństwowiec), które traktują każdy pakiet danych jako osobną transakcję, stanowe zapory ogniowe rozumieją, że pakiety danych są wysyłane w ramach połączeń sieciowych.
Te zapory sieciowe pamiętają, że określony przychodzący pakiet danych jest odpowiedzią na wysłane wcześniej żądanie wychodzące.
Jak działa Państwowa Inspekcja
Oto kilka dodatkowych szczegółów na temat działania inspekcji sanitarnej:
1. Nawiązanie połączenia
Po zainicjowaniu połączenia sieciowego (na przykład, gdy użytkownik w sieci żąda strony internetowej), zapora zapisuje szczegóły połączenia w swojej tabeli stanów.
Informacje te obejmują adres IP komputera wysyłającego żądanie, adres IP żądanej strony internetowej oraz używane numery portów.
2. Monitorowanie połączenia
Gdy pakiety danych w dalszym ciągu przepływają przez połączenie, zapora w dalszym ciągu rejestruje i aktualizuje szczegóły w swojej tabeli stanów.
Może to obejmować na przykład śledzenie numerów porządkowych paczek, aby upewnić się, że docierają one we właściwej kolejności.
3. Zakończenie połączenia
Kiedy połączenie sieciowe zostanie zamknięte (na przykład, gdy użytkownik zamknie żądaną stronę internetową), zapora sieciowa zauważa, że połączenie zostało zakończone i usuwa je ze swojej tabeli stanów.
La kontrola stanu zapewnia szereg korzyści w zakresie bezpieczeństwa sieci. Po pierwsze, pozwala zaporom ogniowym skuteczniej blokować niechciany lub podejrzany ruch, ponieważ potrafią rozpoznać, kiedy przychodzący pakiet danych nie jest powiązany z prawidłowym połączeniem sieciowym.
Może również pomóc w wykrywaniu i zapobieganiu niektórym rodzajom ataków, np Ataki polegające na fałszowaniu adresów IP o los Ataki powodziowe SYN, które próbują wykorzystać sposób ustanawiania połączeń sieciowych.
Na bardziej technicznym poziomie, stanowa zapora sieciowa utrzymuje: tabela stanu aby śledzić wszystkie istniejące sesje komunikacyjne. Każda sesja jest rejestrowana ze szczegółami, takimi jak źródłowy i docelowy adres IP, numery portów, numery sekwencji pakietów i znaczniki czasu.
Rekordy stanu połączeń (tabele statusów)
„Dzienniki stanu aktywnego połączenia sieciowego”, znane również jako tabela stanu zapory ogniowej to struktura danych używana w zaporach stanowych do śledzenia szczegółów wszystkich połączeń sieciowych przechodzących przez zaporę.
Dokładne śledzone szczegóły mogą się różnić w zależności od systemu, ale często obejmują następujące elementy:
1. Źródłowy adres IP
Jest to adres IP komputera, który zainicjował połączenie. W typowym połączeniu internetowym będzie to adres IP użytkownika żądającego wyświetlenia strony internetowej.
2. Docelowy adres IP
Jest to adres IP, na który wysyłane jest połączenie. W typowym połączeniu internetowym będzie to adres IP serwera hostującego żądaną stronę internetową.
3. Porty pochodzenia i przeznaczenia
Porty to liczby identyfikujące określone procesy komunikujące się w obrębie maszyny źródłowej i docelowej. Port źródłowy jest losowo przydzielany przez system inicjujący połączenie, natomiast port docelowy to z reguły standardowy numer odpowiadający konkretnej usłudze sieciowej (np. port 80 dla ruchu HTTP).
4. Numer kolejny i numer potwierdzenia
Są to wartości używane w protokole TCP w celu zapewnienia, że pakiety danych docierają we właściwej kolejności oraz potwierdzenia odbioru pakietów.
5. Flagi TCP
Flagi TCP są częścią nagłówka pakietów TCP i dostarczają informacji o stanie połączenia. Typowe flagi obejmują SYN (synchronizacja, do ustanawiania połączeń), ACK (potwierdzenie, do potwierdzania odbioru pakietów), FIN (zakończ, do zamykania połączeń) i RST (reset, do przerywania połączeń).
6. Stan połączenia
Jest to wartość wskazująca, czy połączenie jest nawiązywane, aktywne, zamykane itp.
7. Znacznik czasu
Jest to znacznik czasu wskazujący, kiedy aktywność była ostatnio widziana w połączeniu. Może to być przydatne do usuwania bezczynnych połączeń z tabeli stanu.
Utrzymując to tabela stanuZapory stanowe mogą monitorować i kontrolować ruch sieciowy skuteczniej niż zapory bezstanowe.
Jest to szczególnie przydatne do blokowania niechcianego ruchu spoza sieci, umożliwiania odpowiedzi na żądania inicjowane w sieci oraz wykrywania i zapobiegania niektórym rodzajom ataków.
Śledzenie stanu zdrowia zapewnia większe bezpieczeństwo niż bezstanowa zapora ogniowa, ponieważ zapewnia pełniejszy obraz aktywności sieciowej. Może jednak zużywać więcej zasobów obliczeniowych, ponieważ musi stale utrzymywać i aktualizować swoją tabelę stanów.
Głęboka inspekcja pakietów
Dodatkowym aspektem, który można uwzględnić w zaporze stanowej, jest głęboka inspekcja pakietów (DPI), która umożliwia sprawdzenie zawartości samego pakietu danych.
Może to pomóc w wykryciu niektórych typów ataków, które nie byłyby widoczne poprzez samo monitorowanie stanu połączenia, np. wirusów rozprzestrzeniających się za pośrednictwem załączników do wiadomości e-mail.
Krótko mówiąc, stanowa zapora ogniowa jest kluczowym elementem cyberbezpieczeństwa, zapewniającym zaawansowaną ochronę dzięki możliwości śledzenia pełnego stanu połączeń sieciowych i podejmowania decyzji w oparciu o ten kontekst.
Czy MikroTik jest stanową zaporą ogniową?
Tak, routery MikroTik, które korzystają z systemu operacyjnego RouterOS, mogą działać jako stanowe firewalle.
MikroTik implementuje funkcję śledzenia statusu poprzez swoje „Śledzenie połączenia” (Śledzenie połączenia).
El śledzenie połączenia Umożliwia zaporze śledzenie stanu połączeń sieciowych za pośrednictwem routera i podejmowanie decyzji dotyczących filtrowania na podstawie stanu połączenia. Obejmuje to szczegółowe informacje, takie jak źródłowy i docelowy adres IP, używane porty, stan połączenia (na przykład to, czy nawiązywane jest nowe połączenie, czy są to pakiety powiązane z istniejącym połączeniem) i inne.
W jaki sposób MikroTik implementuje stanową zaporę ogniową?
Oto przykład konfiguracji stanowej zapory ogniowej na routerze MikroTik:
1. Włącz śledzenie połączenia.
Śledzenie połączeń jest domyślnie włączone w RouterOS, ale możesz to sprawdzić i włączyć, jeśli to konieczne, za pomocą następującego polecenia:
/ip firewall connection tracking set enabled=yes
2. Skonfiguruj reguły zapory sieciowej
Aby umożliwić nawiązane i powiązane połączenia oraz zablokować nowe, które nie zostały zainicjowane z poziomu sieci. Można to zrobić za pomocą poleceń takich jak następujące:
/ip firewall filter add chain=forward connection-state=established action=accept
/ip firewall filter add chain=forward connection-state=related action=accept
/ip firewall filter add chain=forward connection-state=new action=drop in-interface=wan
W tych przykładach dwie pierwsze reguły zezwalają na pakiety powiązane z już nawiązanymi połączeniami lub połączeniami pokrewnymi (na przykład odpowiedzi na żądania pochodzące z sieci), natomiast ostatnia reguła blokuje próby nowych połączeń spoza sieci.
To tylko przykład tego, jak można skonfigurować stanową zaporę ogniową w MikroTiku. Rzeczywista konfiguracja może się różnić w zależności od konkretnych potrzeb sieci.
Warto zauważyć, że reguły zapory sieciowej muszą być starannie zaplanowane i przetestowane, ponieważ nieprawidłowa konfiguracja może narazić sieć na zagrożenia lub zakłócić legalny ruch.