1. Pacchetto Syn iniziale: Quando il firewall SPI riceve un pacchetto SYN TCP, non guarda semplicemente i numeri di porta e gli indirizzi IP per il controllo di accesso. Invece, controlla se il pacchetto è legittimo esaminando le informazioni di intestazione.
2. Creazione della voce della tabella dello stato: Se il pacchetto syn appare valido (checksum corretto, nessuna caratteristica maliziosa evidente), il firewall SPI crea una nuova voce nel suo tavolo di stato. Questa tabella tiene traccia delle caratteristiche della connessione:
* Indirizzo IP di origine e porta
* Indirizzo IP di destinazione e porta
* Protocollo (TCP)
* Numero di sequenza
* stato (ad esempio, syn_sent, syn_received, stabilito)
3. Consentire il pacchetto: Poiché il firewall è ora * consapevole * di questo tentativo di connessione in arrivo previsto, probabilmente consentirà al pacchetto SYN di passare all'host di destinazione. Il firewall ora "si aspetta" i corrispondenti pacchetti di syn-adck e ACK.
4. Pacchetti successivi: Ulteriori pacchetti relativi a questa connessione (syn-adck, ACK, pacchetti di dati) saranno consentiti solo se corrispondono alla voce della tabella di stato. I pacchetti che non corrispondono (ad es. Un pacchetto Syn di una porta di origine diversa che mi ha preso di mira la stessa destinazione) verranno eliminati come inaspettati o potenzialmente dannosi. Questa è la parte "statale":il firewall sta mantenendo il contesto sulla conversazione.
5. Timeout e modifiche allo stato: La voce della tabella di stato rimane attiva per un determinato periodo. Se i pacchetti successivi previsti (Syn-Ack, ACK) non vengono ricevuti entro un periodo di tempo ragionevole, i tempi di iscrizione e vengono rimossi dalla tabella. Lo stato cambierà anche man mano che la connessione avanza (ad esempio, da syn_received a stabilito). Una volta chiusa la connessione (con pacchetti di pinne), la voce viene infine rimossa.
6. Implicazioni di sicurezza: Ispezionando lo stato della connessione, un firewall SPI aiuta a prevenire molti attacchi di alluvione del TCP. Una semplice inondazione di syn cerca di sopraffare un server inviando molti pacchetti SYN senza inviare le ACK successive. Un firewall SPI, con il suo tavolo statale, rileverà e bloccherà questi pacchetti Syn illegittimi. Blocca anche altri attacchi che si basano su indirizzi falsificati e sequenze di pacchetti inaspettate.
In breve, un firewall SPI non filtra solo passivamente pacchetti; Monitora attivamente lo stato delle connessioni di rete, consentendo solo pacchetti conformi ai modelli previsti e prevenendo molti attacchi comuni.
networking © www.354353.com