stateful inspection
현대에 가장 널리 사용되는 기본적인 표준 방화벽 정책으로 상태 기반 검사 또는 동적 패킷 필터링이라고도 한다.
TCP 환경에서 매우 적합하고 UDP에서도 사용되며 주로 OSI의 전송계층과 네트워크계층에서 작동한다.
상태 비저장 검사 VS 상태 저장 검사
상태 비저장 검사는 기존의 방화벽의 검사 방식으로 미리 정의된 규칙을 사용해서 패킷을 허용할지 또는 거부할지 결정하고 소스 및 대상 주소, 포트 번호에만 의존한다. 따라서 공격자가 헤더를 조금만 조작해도 악의적인 데이터가 전달될 수 있지만 상태 기반 검사는 이전의 비저장 검사처럼 패킷을 각각의 개별적인 독립체로 보지 않고 모든 현재 세션에 대한 context 정보를 유지한다. 따라서 일반적으로 더 안전하다.
그러나 이 데이터를 유지하기 위해 더 많은 처리 및 메모리 리소스가 필요하고 서비스 거부 공격같은 특정 유형의 공격에 더욱 취약할 수 있다.
작동 방식
STATE
이름 그대로 상태를 기억하는 것으로 클라이언트의 패킷 세션을 저장하고 그에 대한 정보를 저장할 수 있다.
CONTEXT
소스 및 대상 주소, 시퀀스 번호와 같은 메타데이터 정보로 방화벽은 패킷의 이 정보를 저장하고 정기적으로 업데이트한다.
상태 저장 검사는 일정 기간 동안 패킷을 모니터링하고 수신 및 발신 패킷을 모두 검사하고 추적한다. 따라서 추적되는 세션상에서 적절한 응답을 구성하는 경우에만 통과하도록 허용한다. 이때 프로토콜에 따라 작동방식에 차이가 있다.
TCP의 경우
상태 저장 검사의 가장 큰 장점은 context에 대해서 저장하고 있기 때문에 인바운드 아웃바운드를 모두 설정할 필요가 없다는 것. 위에서 말했듯이 세션 정보 즉 상태를 기억하고 있고 추적하기 때문에 이미 안전한 패킷이라는 것을 기억하고 있음
이때 기존 세션 데이터와 새로운 세션 데이터를 비교하게 되는데 일치하는 항목이 없으면 패킷은 ACL같은 정책 검사를 거쳐야 하고 정책에 맞지 않을 시 차단한다.
UDP의 경우
UDP는 비연결성이기 때문에 TCP처럼 상태 플래그 같은 것에 의존할 수 없다. 따라서 다른 유형의 데이터와 주소, 포트 번호같은 정보를 이용하여 위와 같은 방식으로 처리한다.
상태 저장 검사의 장점
1. 세션 형성 과정에서 비정상 패킷이 들어오는 것을 추척 관리할 수 있다.
2. 세션 정보를 저장하고 동일 세션에 대해서는 검사 없이 통과시키기 때문에 보안 허점 없이 방화벽 장비의 성능상 우위를 가지게 된다.
'네트워크 > 네트워크 일반' 카테고리의 다른 글
| frame rewrite - Life of Packet (0) | 2023.01.08 |
|---|---|
| CBAC(context-based access control),Packet Tracer에서 해보는 방법 (0) | 2023.01.08 |
| 네트워크 보안 프로젝트 기록 (마셜 플랜 - DNS 공격을 이용한 시스템 침투 및 방어) (0) | 2023.01.06 |
| 인프라 NMS 구축 및 이중화 솔루션 구축 프로젝트 기록 (1) | 2023.01.06 |
| nhrp , MGRE (0) | 2022.12.07 |
