Filtrowanie dynamicznie SPF
ITpedia
Filtrowanie sesji lub filtrowanie dynamiczne - SPF (Stateful Packet Filtering) - opiera się na rejestracji przetransportowanych pakietów, dzięki czemu staje się możliwe ustalanie związków między pakietami tego samego połączenia. To rozwiązanie (nie mające zastosowania w środowisku protokołów opartych na UDP ) jest w stanie zagwarantować, że po ustaleniu połączenia żaden niepowołany pakiet nie przyłączy się do strumienia i nie przekształci zawartości serwera lub stacji klienta. Ponadto usytuowanie bram aplikacyjnych w warstwie siódmej jest wręcz idealne do zapewniania funkcji uwierzytelniania lub szyfrowania.
Bramy poziomu aplikacji mogą modyfikować lub nawet usuwać niektóre fragmenty z treści wiadomości i wprowadzać uwierzytelnienia w takich protokołach bezpołączeniowych, jak NFS (Network File System) czy RPC (Remote Procedure Call). Firmy CheckPoint i Cisco Systems rozwinęły jeszcze bardziej tę technologię, umożliwiając bardzo szczegółową inspekcję zawartości pakietów (Stateful Inspection). Teoretycznie zapory z dobrze zintegrowanymi bramami aplikacyjnymi są zdolne rozpoznać naturę każdego protokołu i dostarczyć bardzo precyzyjnych reguł kontrolnych.
Proxy jest przezroczystym interfejsem między siecią prywatną a publiczną, kontrolującym ruch aż do warstwy 7 modelu OSI. Może więc filtrować usługi IP poziomu aplikacji. Taki lustrzany typ serwera webowego może służyć zarówno za sito dla ochrony wymiany informacji ze światem zewnętrznym, jak też za fizyczny router, separujący sieć wewnętrzną od zewnętrznej. Przechwytuje on żądanie użytkowników zewnętrznych i po sprawdzeniu uprawnień bądź je odrzuca, bądź retransmituje do serwerów wewnętrznych, ale za pośrednictwem innego połączenia aplikacyjnego.
Na większości zapór ogniowych można uruchomić wybrany rodzaj translacji adresów, na pozostałych uruchamia się obligatoryjny. Translacja adresów jest formą maskowania rzeczywistych adresów urządzeń z ochranianej sieci. Administrator sieciowy ma do dyspozycji trzy rodzaje translacji:
- 1→n (jeden do n): adresy wewnętrzne są sprowadzane do jednego adresu pozornego na wyjściu. Translacja ta jest typowym przykładem znanego maskowania IP;
- n→n (n do n): adresy ulegają translacji matematycznej. Oblicza się tyle adresów pozornych na wyjściu, ile jest urządzeń w sieci wewnętrznej;
- dynamiczna: przydzielenie adresów na wyjściu jest automatyczne i dynamiczne, korespondujące tymczasowo z adresami wewnętrznymi. Liczba adresów widzianych z zewnątrz jest ograniczona.
Tradycyjne bramy aplikacyjne są natomiast głównie programami uruchamianymi z niewielkimi przywilejami w pamięci niezależnej od systemu, co przy okazji chroni sam system, nawet w razie skutecznego ataku na bramę. Wszystkie wchodzące i wychodzące pakiety IP muszą w ten sposób przechodzić z interfejsu sieciowego do aplikacji, a następnie od aplikacji do innego interfejsu sieciowego. Taka operacja, bardziej lub mniej uciążliwa dla procesora, nigdy nie pozostaje bez ujemnego wpływu na wydajność. Ponadto tradycyjne bramy aplikacyjne nie zawsze mogą być przezroczyste dla użytkowników.
Niektóre bramy narzucają jeszcze podwójne połączenie: najpierw do zapory ogniowej, następnie od zapory ogniowej na zewnątrz ochranianej sieci. Skuteczna integracja bram w zaporze ogniowej może jednak zapewnić dostęp rzeczywiście przezroczysty z jedynym połączeniem, jak gdyby nie było zapory.
