Stosowane przez producentów techniki na ogół wiążą się z buforowaniem w pamięci cache różnych parametrów dotyczących nawiązywanego połączenia. W efekcie pełna analiza bezpieczeństwa ma miejsce tylko przy pierwszym połączeniu. System zapisuje w pamięci cache określone parametry sesji (np. adresy IP – źródłowy i docelowy, protokół oraz port docelowy) i na ich podstawie podejmuje decyzję, czy dla kolejnych pakietów przeprowadzić na nowo ocenę stanu sesji, czy też przetworzyć je na bazie wcześniej pozyskanych danych.

Tak właśnie wygląda zasada działania niektórych systemów Next Generation Firewall w ich domyślnej konfiguracji, nazywanych też firewallami aplikacyjnymi (nie mylić z rozwiązaniami typu Web Application Firewall, które z założenia stosowane są do ochrony aplikacji). Urządzenie takie koreluje określone parametry sesji z konkretną aplikacją i na tej podstawie zapamiętuje sesję jako bezpieczną bądź nie. Każde kolejne połączenie pasujące do wzorca zostaje zaklasyfikowane zgodnie z zapisaną wcześniej informacją dotyczącą bezpieczeństwa, bez przeprowadzania ponownej analizy pakietów. Mechanizm ten, choć szybki, stanowi poważną lukę w zabezpieczeniach. Wiedzą o tym grupy cyberprzestępców, którzy dokonują zorganizowanych ataków celowanych.

 

Ochrona każdego połączenia

Rozwiązania wykorzystujące metodę stateful inspection analizują komunikację w odniesieniu do każdego realizowanego właśnie połączenia. Sprawdzają, czy jest ono poprawne, monitorując jego stan oraz gromadząc informacje o nim w tablicy stanu sesji. Weryfikowane są nie tylko informacje z nagłówka pakietu, ale również jego zawartość (do warstwy aplikacyjnej włącznie) w celu zdefiniowania kontekstu dla połączenia. Stanowi on następnie podstawę analizy całej komunikacji w ramach sesji.

 

Załóżmy, że przez urządzenie realizowana jest sesja, w ramach której zestawiane są różne kanały komunikacyjne. System analizuje nawiązywane połączenie, weryfikuje negocjowane parametry oraz automatycznie otwiera wymagane porty dla komunikacji w jednym i drugim kierunku. Nie jest wymagane definiowanie reguł przepuszczania pakietów w obu kierunkach.

Wyniki analizy stosowanych obecnie technik zabezpieczeń wykazują, że metoda stateful inspection nadal stanowi podstawę rozwiązań wielofunkcyjnych, w których jako główny element wykorzystywany jest moduł firewall. Na wstępie dokonywana jest analiza stanu sesji oraz rozpoznanie wszystkich nowych połączeń. Dopiero po takiej analizie system bada, co jest przedmiotem komunikacji sieciowej. Przykładowo, rozpoznaje aplikacje sieciowe, sprawdza, czy w realizowanej komunikacji jest obecny złośliwy kod, i przeprowadza inne analizy.

 

Interfejs to nie wszystko

Analizując ofertę systemów zabezpieczeń, warto sprawdzić, jakie mechanizmy leżą u podstawy ich działania. Czy potrafią rozpoznawać wszystkie nowe połączenia i za każdym razem przeprowadzać ich niezależną weryfikację? Jeżeli analiza stateful inspection nie jest domyślnym trybem pracy urządzenia, warto się dowiedzieć, jak jej włączenie wpływa na wydajność systemu. Ta informacja jest często pomijana w marketingowych opracowaniach dostawców rozwiązań.

Dodatkowe informacje:

Agnieszka Szarek,

CHANNEL MANAGER, FORTINET,

aszarek@fortinet.com

fortinet@veracomp.pl

Artykuł powstał we współpracy z firmami Fortinet i Veracomp.