Žodis angliškai:
Stateful packet inspection
Santrumpa:
SPI
Žodis lietuviškai:
Paketų būvio inspekcija
Apibrėžimas:
SPI technologija (Stateful Packet Inspection – paketų inspekcija su būsenos saugojimu) leidžia papildomai apsisaugoti nuo atakų, vykdant srauto patikrinimą (dirba tinklo, seanso ar taikomajame OSI lygmenyje).
Paaiškinimas:
Dauguma šiandieninių maršrutizatorių turi SPI ugniasienę. Esant betkokiai naujai sesijai TCP/IP, NAT atidaro jai prievadą. Po sesijos pabaigos, prievadas dar keletą minučių lieka atidarytas. Teoriškai, jei šiuo momentu yra vykdoma ataka į maršrutizatorių skanuojant atvirus prievadus, tai atsiranda galimybė įsibrauti į vidinį tinklą. Arba atakuojantysis gali bandyti siųsti paketus į atvirą privevadą sesijos metu. Įsijungus SPI funkcijai yra įsimenama informacija apie esamą sesijos būseną ir vykdoma visų įeinančių paketų analizė jų teisingumui patikrinti. Jei įeinantysis paketas yra nekorektiškas (pvz. Siuntėjo adresas nesutampa su adresu, kuriuo buvo siunčiama užklausa arba paketo numeris nėra toks, kokio buvo tikimasi), paketas blokuojamas ir log‘e atsiranda įrašas apie tokį įvykį.
Istorija:
Galingi procesoriai vykdo patikrinimą sujungimo sudarymo metu. Įrašai atsiranda tik TCP arba UDP sujungimams, tenkinantiems užduotą saugumo politiką. Poto visi paketai (šioje sesijoje) apdirbami greičiau, kadangi tampa papraščiau nustatyti, priklauso jie esamai sesijai ar ne. Paketams, kurie susieti su šiomis sesijomis, leidžiama eiti per tarptinklinį ekraną. Klasikinis pavyzdys darbo tinkle be ugniasienės – yra FTP (File Transfer Protocol). Tokie protokolai turi galėti atidaryti sujungimą naudojant savavališką aukšto lygio prievadą funkcionuojantį tokiu būdu. Kadangi ugniasienė negali sužinoti, kad paketas, skirtas saugiam tinklui, yra dalimi sudarytos FTP sesijos, jis bus nepraleidžiamas. Ugniasienės sprendžia šią problemą sudarydamos atvirų sujungimų lentelę. Pirmosios ugniasienės dirbo taikomajame lygmenyje, kuris yra aukščiausias OSI modelio lygmuo. Šis būdas reikalauja labai daug procesoriaus galios ir retai naudojamas šiuolaikinėse technologijose.
Aprašymas:
Ugniasienė seka tinklo prisijungimų (pvz. TCP arba UDP) būseną ir gali laikyti kiekvieno prisijungimo atributus atmintyje. Šie atributai visi kartu žinomi, kaip prisijungimo būsena ir juose gali būti įtrauktos tokios detalės, kaip prievadų IP adresai dalyvaujantys sujungimuose ir eilės numeriai paketų einančių sujungimais. Labiausiai procesorius išnaudojamas vykdant patikrinimą sujungimo metu. Įrašai sudaromi tik tiems TCP arba UDP sujungimams, kurie tenkins užduotą saugomo politiką. Poto visi paketai (šioje sesijoje) apdirbami greičiau, kadangi tampa papraščiau nustatyti, priklauso jis esamai sesijai ar ne. Paketus, kurie yra susieti su šiomis sesijomis, ugniasienė praleidžia. Jei sesija netenkins nei vieno saugumo politikos kriterijaus, jai bus atsakyta. Ugniasienė priklauso nuo tripusių mainų (kartais aprašoma, kaip <<SYN, SYN-ACK, ACK>>), kai naudojamas TCP protokolas; kai naudojamas UDP prodokolas, ugniasienė yra nepriklausoma. Kai klientas sukuria naują sujungimą, jis sunčia paketą su įdiegtu SYN bitu paketo antraštėje. Visi paketai su įdiegtu bitu SYN, ugniasienei laikomi, kaip naujo sujungimo paketai. Jei kliento užklausta tarnyba yra prieinama serveryje, tai serveris atsakys paketu, kuriame bus abu bitai – SYN ir ACK. Tuomet klientas atsako paketu su ACK bitu ir sujungimas bus laikomas sukurtu. Tokiu atveju, ugniasienė praleis visus kliento siunčiamus paketus, jei jie laikomi sukurto sujungimo dalimi, garantuojant, kad piktavaliai negalės sukurti nepageidaujamo sujungimo iš apsaugoto kompiuterio. Jei nėra srauto šiame sujungime tam tikrą laiką, tai pasenę sujungimai ištrinami iš lentelės, kad ji nebūtų perpildyta. Šiuo atveju, dauguma aplikacijų periodiškai siunčia KeepAlive žinutę, kad neleisti ugniasienei nutraukti sujungimo dėl vartotojo neaktyvumo, nors kaikurioms ugniasienėms gali būti pranešama dėl šių žinučių siuntimo. Dauguma ugniasienių gali stebėti srautų būseną neesant sukurtam sujungimui. Seansai, kai nėra sukuriamas sujungimas, gali būti nutrauktas tik kai vartotojas nėra aktyvus. Stebint sujungimo būseną, ugniasienė aprūpiną papildomą apsaugą tikrinant paketus. Kadangi, esamiems ugniasienės sujungimams reikia tik tikrinti lentelės būseną, o ne tikrinti visą paketą pagal ugniasienės taisykles, kurios gali būti gana plačios. Taikomojo lygmens filtras: Paketų filtravimas, savaime, nėra pakankama apsauga. Efektyviam pavojų blokavimui, reikalingas programų filtravimas, kuris gali būti aprašomas, kaip papildoma paketų turinio kontrolė. Stateful Packet Inspection gali nustatyti, kokio tipo protokolas nukreipiamas kiekvienu prievadu. Pavyzdžiui, taikomajame lygmenyje, filtras gali surasti skirtumus tarp HTTP srauto, kuris naudojamas prieigai prie tinklalapių ir HTTP srauto, naudojamo failų mainams, tuo tarpu, kai ugniasienė vykdanti paketų filtravimą, matys visą HTTP srautą vienodame lygmenyje.
Spąstai:
Lieka grėsmė to, kad pažeidžiamumas atskiruose protokolų dekoderiuose piktavaliams suteikia prieigą prie ugniasienės. Šis nerimas pabrėžia būtinybę atnaujinti ugniasienės programinę įrangą. Kai kurioms ugniasienėms padidėja tikimybė to, kad skirtingi mazgai gali būti apgauti. Šis trūkūmas gali būti visiškai pašalintas vykdant programinės įrangos patikras. Kai kurias ugniasienes galima įveikti tiesiog peržiūrinėjant internetinius tinklalapius (arba su JavaScript palaikymu, arba po mygtuko paspaudimo tinklalapyje).