Was ist Stateful Kontrolle?

Stateful Kontrolle ist eine Technik, die in den Computernetzbrandmauern für das Schützen eines Netzes vor nicht autorisiertem Zugang verwendet wird. Auch manchmal bekannt, wie die dynamische Entstörung, ist die Methode zur Untersuchung eines gesamten Datenpakets fähig, bevor sie das Netz einträgt. Auf diese Art wird jedes Paket, das jede mögliche Schnittstelle auf der Brandmauer einträgt, vollständig auf Gültigkeit gegen die Arten der Anschlüsse überprüft, die durch werden überschreiten lassen der anderen Seite. Der Prozess erhält seinen Namen, weil er nicht nur die Datenpakete kontrolliert, aber überwacht auch den Zustand eines Anschlußes, der durch die Brandmauer hergestellt worden und erlaubt worden ist.

Die Idee für stateful Kontrolle wurde zuerst durch die Überprüfung Point® Software geplant, die die mittleren Neunzigerjahre rückseitig ist. Vor Überprüfung Point's® Firewall-1 INSPECT™ Maschinen-Software überwachten Brandmauern die Anwendungsschicht, an der Oberseite des Open Systems Interconnection (OSI)modells. Dieses, das geneigt wurden, auf dem Prozessor eines Computers sehr zu besteuern, also, Paketkontrolle bewogen nach unten die Schichten des OSI-Modells auf die dritte Schicht, die Vermittlungsschicht. Frühe Paketkontrolle überprüfte nur die Kopfzeile, die Wenden und Protokollinformationen, der Pakete und hatte keine Weise des Unterscheidens des Zustandes des Pakets, wie, ob es eine neue Aufforderung zum Aufbau einer Verbindung war.

In einer stateful Kontrollenbrandmauer wird die Hilfsmittel-freundliche und schnelle Paketentstörungsmethode ein wenig mit den ausführlicheren Anwendungsinformationen vermischt. Dieses gibt irgendeinen Zusammenhang zum Paket, dadurch esbereitstellt esbereitstellt mehr Informationen, von denen Sicherheitsentscheidungen gründen. Um alle die diese Informationen zu speichern, muss die Brandmauer eine Tabelle herstellen, die dann den Zustand des Anschlußes definiert. Die Details jedes Anschlußes, einschließlich die Adresseninformationen, Häfen und Protokolle, sowie die der Reihe nach ordnenden Informationen für die Pakete, werden dann in der Tabelle gespeichert. Das einzige mal als Betriebsmittel überhaupt ist während der Anfangseintragung in die Zustandtabelle belastet werden; nach dem passte jedes andere Paket an Gebrauch dieses Zustandes kaum alle mögliche rechnenbetriebsmittel an.

Der stateful Kontrollenprozeß fängt an, wenn das erste Paket, das um einen Anschluss bittet, gefangen genommen und kontrolliert wird. Das Paket wird an die Richtlinien der Brandmauer, in denen es gegen eine Reihe mögliche Ermächtigungsparameter überprüft wird, die endlos kundengerecht sind, um Unbekanntes vorher zu stützen, oder, bis jetzt sich zu entwickeln, Software, Dienstleistungen und Protokolle angepasst. Das gefangengenommene Paket initialisiert den Händedruck, und die Brandmauer sendet eine Antwort zurück zu dem Fragebenutzer, der einen Anschluss bestätigt. Nun da die Tabelle mit Zustandinformationen für den Anschluss bevölkert worden ist, wird das folgende Paket vom Klienten an den Anschlusszustand angepasst. Dieses fährt bis die Anschlussentweder Zeiten heraus fort oder wird beendet, und die Tabelle wird von den Zustandinformationen für diesen Anschluss gelöscht.

Dieses holt ungefähr ein der Ausgaben, die durch die stateful Kontrollenbrandmauer die Leistungsverweigerung Angriff gegenübergestellt werden. Mit dieser Art des Angriffs, wird die Sicherheit nicht gekompromittiert, insofern als die Brandmauer mit den zahlreichen Anfangspaketen bombardiert wird, die um einen Anschluss bitten und zwingt die Zustandtabelle, um mit Anträgen aufzufüllen. Sobald voll, kann die Zustandtabelle alle mögliche Anträge nicht mehr annehmen und also werden alle weiteren Aufforderungen zum Aufbau einer Verbindung blockiert. Andere nehmen Methode gegen eine stateful Brandmauer nutzt die Richtlinien der Brandmauer, um kommenden Verkehr zu blockieren, aber erlaubt jeden abgehenden Verkehr in Angriff. Ein Angreifer kann einen Wirt auf der sicheren Seite der Brandmauer in das Bitten um Anschlüsse von der Außenseite betrügen und alle mögliche Services am Wirt effektiv erschließen, damit der Angreifer verwendet.