Was ist eine Stateful Firewall ?
Eine Stateful Firewall ist eine Art Firewall, die den Zustand aktiver Netzwerkverbindungen verfolgt und ¨¹berwacht, w?hrend eingehender Datenverkehr analysiert und nach potenziellen Datenverkehrs- und Datenrisiken gesucht wird. Diese Firewall befindet sich auf den Schichten 3 und 4 des OSI-Modells (Open Systems Interconnection).?
Zu den grundlegenden Firewall-Funktionen geh?rt es, als gef?hrlich eingestuften Datenverkehr daran zu hindern, in ein Netzwerk einzudringen oder es zu verlassen. Es ist wichtig, den Zustand und den Kontext der Netzwerkkommunikation zu ¨¹berwachen, da diese Informationen verwendet werden k?nnen, um Bedrohungen zu identifizieren ¨C entweder basierend darauf, woher sie kommen, wohin sie gehen oder auf dem Inhalt ihrer Datenpakete.?
Stateful Firewall s k?nnen Zugriffsversuche von Unbefugten auf ein Netzwerk erkennen und die Daten in Paketen analysieren und auf b?sartigen Code ¨¹berpr¨¹fen.
Was ist Staat?
Der Status ist der aktuellste oder unmittelbarste Status eines Prozesses oder einer Anwendung. In einer Firewall wird der Status von Verbindungen gespeichert, so dass eine Liste von Verbindungen zur Verf¨¹gung steht, mit der die Verbindung, die ein Benutzer herzustellen versucht, verglichen werden kann. Ger?te, die den Zustand verfolgen, stellen fest, welche Zust?nde sicher sind und welche Bedrohungen darstellen.
Was ist Kontext?
Kontext bezieht sich auf Internet Protocol (IP)-Adressen, Pakete und andere Arten von Daten, die verwendet werden k?nnen, um wiederholte Muster nachzuweisen. Im Rahmen einer Verbindung kann eine Stateful Firewall beispielsweise den Inhalt von Datenpaketen untersuchen, die durch die Firewall und in das Netzwerk gelangt sind. Wenn diese Pakete unsichere Daten enthalten, k?nnen sie in Zukunft durch eine Stateful Firewall blockiert werden.
Funktionsweise einer Stateful Firewall
Eine Stateful Firewall sammelt Daten zu jeder Verbindung, die die Firewall durchl?uft. Alle diese Datenpunkte bilden Profile von ?sicheren¡° Verbindungen. Wenn eine nachfolgende Verbindung aufgebaut werden soll, wird diese mit der Liste der von der Stateful Firewall gesammelten Attribute verglichen. Wenn es die Eigenschaften einer sicheren Verbindung aufweist, darf es vorkommen. Andernfalls werden die Datenpakete verworfen. Datenpakete enthalten Informationen ¨¹ber die darin enthaltenen Daten. Eine Stateful Firewall f¨¹hrt eine Paketinspektion durch, bei der der Inhalt von Paketen ¨¹berpr¨¹ft wird, um festzustellen, ob sie Bedrohungen darstellen.
Stateful Firewall s k?nnen auch zus?tzliche Dienste wie Verschl¨¹sselung oder Tunnel integrieren. Diese steigern die Leistung, weil sie b?swillige Akteure daran hindern, den Inhalt der Kommunikation zu lesen, wodurch die Verbindung durch die Zugriffskontrolle sicherer wird.
Stateful Packet Inspection
Stateful Packet Inspection ist eine Technologie, die von Stateful Firewall s verwendet wird, um zu bestimmen, welche Pakete durch die Firewall gelassen werden sollen. Sie funktioniert, indem sie den Inhalt eines Datenpakets untersucht und dann mit Daten verglichen wird, die sich auf Pakete beziehen, die zuvor die Firewall durchlaufen haben.?
Stateful Packet Filtering verfolgt alle Verbindungen im Netzwerk und stellt sicher, dass sie alle legitim sind. Die netzwerkbasierte statische Paketfilterung untersucht auch Netzwerkverbindungen, aber nur, wenn sie eingehen, und konzentriert sich auf die Daten in den Headern der Pakete. Diese Daten liefern der Firewall weniger Informationen und beschr?nken sie darauf, woher sie kommt und wohin sie geht.
Transport Control Protocol (TCP)
TCP ist eines der prim?ren Protokolle, die das Internet zum Senden und Empfangen von Daten verwendet, sodass Daten gleichzeitig gesendet und empfangen werden k?nnen. Zus?tzlich zur Unterst¨¹tzung bei der ?bertragung von Informationen enth?lt TCP Daten, die zu einem Reset (RST) der Verbindung f¨¹hren und diese vollst?ndig stoppen k?nnen. TCP bestimmt auch, wann die ?bertragung mit einem FIN-Befehl (Finish) enden soll. Es gruppiert Daten in Pakete, und wenn sie am Ziel ankommen, werden die Pakete wieder zu Daten zusammengesetzt, die der Empf?nger verstehen kann.?
Stateful Firewall s verwenden TCP-Datenverkehr, um Verbindungen zu verfolgen, indem sie den Inhalt der im TCP-Prozess erstellten Pakete untersuchen. Die drei Phasen einer TCP-Verbindung ¨C Synchronisieren (SYN), Synchronisieren-Best?tigen (SYN-ACK) und Best?tigen (ACK) ¨C werden von einer Stateful Inspection Firewall verwendet, um die beteiligten Parteien zu identifizieren und so eine potenzielle Bedrohung zu erkennen. Wenn sich w?hrend des TCP-Handshakes Anzeichen eines b?sen Akteurs zeigen, kann die Stateful Firewall die Daten verwerfen.
Drei-Wege-Handshake
Der Drei-Wege-Handshake beinhaltet beide Seiten des Daten¨¹bertragungsprozesses, der synchronisiert wird, um eine Verbindung zu initiieren, und sich dann gegenseitig best?tigt. Dabei ¨¹bertr?gt jede Seite Informationen auf die andere Seite, die untersucht werden, um festzustellen, ob etwas fehlt oder nicht die richtige Reihenfolge hat.?
W?hrend des Handshakes kann eine Stateful Firewall die gesendeten Daten untersuchen und sie verwenden, um Informationen ¨¹ber die Quelle, das Ziel, die Reihenfolge der Pakete und die Daten innerhalb des Pakets selbst zu erhalten. Wenn Bedrohungen erkannt werden, kann die Firewall die Datenpakete ablehnen.
Unterschiede zwischen einer Stateful und Stateless Firewall
Eine Stateless Firewall verwendet einen vordefinierten Satz von Regeln, um Cyberkriminelle abzuwehren. Wenn das Datenpaket den Regeln entspricht, wird es als ?sicher¡° eingestuft und darf weitergegeben werden. Auf diese Weise wird der Verkehr klassifiziert anstatt inspiziert. Der Prozess ist weniger streng als bei einer Stateful Firewall .?
Beispielsweise unterscheidet eine Stateless Firewall nicht zwischen bestimmten Arten von Datenverkehr, wie Secure Shell (SSH) und File Transfer Protocol (FTP). Eine Stateless Firewall kann diese einfach als ?sicher¡° klassifizieren und sie durchlassen, was zu potenziellen Schwachstellen f¨¹hren kann.
