Linux中国  设为主页
 收藏本站
 
当前位置: > 首页 ->网络应用 ->网络安全 ->安全基础系列之状态检测工作机制
  相关分类: 
Firefox专题
服务器
搜索引擎优化SEO
网管天地
网络安全
网络工程
网络技术
无线技术
邮件服务器
  站内搜索: 
热门文章排行
热门文章排行 打造模拟视频监控系统 (04-26)
黑客技巧 打造完美远程控制软件Radmi(04-26)
7月23日病毒 (04-26)
深入了解远程登录标准协议Telnet (04-26)
系统安全防范之Windows日志与入侵检(04-26)
精采文章排行
精采文章排行 教你如何防止脚本病毒执行的通用方法(06-07)
Win XP SP2拖放IE窗口可能引发黑客攻(06-07)
恶意网页病毒十三大症状分析及简单修(06-07)
防病毒必务宝典—计算机病毒专杀进程(06-07)
快速有效地封杀—巧利用Iris来查找蠕(06-07)
 

安全基础系列之状态检测工作机制

作者:Webmaster   来源:安全焦点    点击:   日期:2007-04-26 [收藏] [投稿]

  IE是否经常中毒?推荐您

一、状态监测应该如何工作

无论何时,一个防火墙接收到一个初始化TCP连接的SYN包,这个带有SYN的数据包被防火墙的规则库检查。该包在规则库里依次序比较。如果在检查了所有的规则后,该包都没有被接受,那么拒绝该次连接。一个RST的数据包发送到远端的机器。如果该包被接受,那么本次会话被记录到状态监测表里。该表是位于内核模式中的。随后的数据包(没有带有一个SYN标志)就和该状态监测表的内容进行比较。如果会话是在状态表内,而且该数据包是会话的一部分,该数据包被接受。如果不是会话的一部分,该数据包被丢弃。这种方式提高了系统的性能,因为每一个数据包不是和规则库比较,而是和状态监测表比较。只有在SYN的数据包到来时才和规则库比较。所有的数据包与状态检测表的比较都在内核模式下进行所以应该很快。

二、状态监测表建立

那么初始化一个连接时使用ACK行不行?它又会出现什么问题呢?

如果防火墙的状态检测表使用ACK来建立会话,将会是不正确的。

如果一个包不在状态检测表中时,那么该包使用规则库来检查,而不考虑它是否是SYN、ACK或其他的什么包。如果规则库通过了这个数据包,本次会话被添加状态检测表中。所有后续的包都会和状态检测表比较而被通过。因为在状态监测表中有入口,后续的数据包就没有进行规则检查。而且我们在做状态监测表项时,也需要考虑时间溢出的问题。使用这种方法,一些简单的DOS攻击将会非常有效地摧毁防火墙系统。

那么状态检测表建立应该怎么进行呢?

首先,对于一个会话我们使用什么来区分。从最简单的角度出发,我们可以使用源地址、目的地址和端口号来区分是否是一个会话。

当通过使用一个SYN包来建立一个会话时,防火墙先将这个数据包和规则库进行比较。如果通过了这个数据连接请求,它被添加到状态检测表里。这时需要设置一个时间溢出值,参考CHECK-POINT FW-1的时间值,将其值设定为60秒。然后防火墙期待一个返回的确认连接的数据包,当接收到如此的包的时候,防火墙将连接的时间溢出值设定为3600秒。对于返回的连接请求的数据包的类型需要做出判断,已确认其含有SYN/ACK标志。(注:对于时间溢出值,应该可以由用户自行设定。)

在进行状态监测时,对于一个会话的确认可以只通过使用源地址、目的地址和端口号来区分,在性能设计上如果能满足要求,也应该考虑对于TCP连接的序列号的维护,虽然这样可能需要消耗比较多的资源

三、连接的关闭

在连接被通讯双方关闭后,状态监测表中的连接应该被维护一段时间。

下面的处理方法可以作为在连接关闭后状态检测行为的参考。

当状态监测模块监测到一个FIN或一个RST包的时候,减少时间溢出值从我们缺省设定的值3600秒减少到50秒。如果在这个周期内没有数据包交换,这个状态检测表项将会被删除,如果有数据包交换,这个周期会被重新设置到50秒。如果继续通讯,这个连接状态会被继续地以50秒的周期维持下去。这种设计方式可以避免一些DOS攻击,例如,一些人有意地发送一些FIN或RST包来试图阻断这些连接。

四、UDP的连接维护

虽然UDP连接是无状态的,但是仍然可以用类似的方法来维护这些连接。当一个完成规则检查的数据包通过防火墙时,这次会话被添加到状态检测表内,并设置一个时间溢出值,任何一个在这个时间值内返回的包都会被允许通过,当然它的SRC/DST的IP地址和SRC/DST的端口号是必须匹配的。

五、ICMP的状态检测问题

对于一些ICMP包的分析,在许多防火墙系统中都是做的很不够的,在对做状态检测时是需要对ICMP的内容进行分析的。对于什么样的ICMP可以发出和放入在状态监测模块中如何确定是关键。下面只是列出了什么样的ICMP包是安全的,可以作为对状态检测模块ICMP支持的参考。



 如果您对本文有任何疑问或者建议,请到讨论区发表您的意见: >> 论坛入口 <<

上一页12 下一页

上一篇:在惠信新闻系统中应用文件上传漏洞   下一篇:深入了解远程登录标准协议Telnet
·Win XP SP2拖放IE窗口可能引发黑客攻击·恶意网页病毒十三大症状分析及简单修复方·防病毒必务宝典—计算机病毒专杀进程列表·快速有效地封杀—巧利用Iris来查找蠕虫病·木马病毒清除的通用解法·Win 2000防毒从安装系统时开始·邮件病毒入侵后五个清除步骤·Norton AntiVirus 2005测试版截图大赏·如何根据名称识别计算机病毒
#define ICMP_ECHOREPLY        0    /* Echo Reply            */

Needed if you want to allow ping, so you can allow that for trusted peers
outgoing and incoming for all to allow them to ping the internet

#define ICMP_DEST_UNREACH    3    /* Destination Unreachable    */

Some Sub Types are needed in and out, see below

#define ICMP_SOURCE_QUENCH    4    /* Source Quench        */

Allow it outbound anyway, inbound is less likely to be a problem, unless you
are doing some streaming or multicast feeding to the internet.

#define ICMP_REDIRECT        5    /* Redirect (change route)    */

block!

#define ICMP_ECHO        8    /* Echo Request            */

you might allow it incoming for trusted addresses (note some NICs will
require you to make your primary DNS Server pingable!)

#define ICMP_TIME_EXCEEDED    11    /* Time Exceeded        */

helpfull if you allow it incoming, could allow exploring your network if you
allow it outbound.

#define ICMP_PARAMETERPROB    12    /* Parameter Problem        */

helpfull if you allow it incoming, could allow exploring your network if you
allow it outbound.

#define ICMP_TIMESTAMP        13    /* Timestamp Request        */
#define ICMP_TIMESTAMPREPLY    14    /* Timestamp Reply        */
#define ICMP_INFO_REQUEST    15    /* Information Request        */
#define ICMP_INFO_REPLY        16    /* Information Reply        */
#define ICMP_ADDRESS        17    /* Address Mask Request        */
#define ICMP_ADDRESSREPLY    18    /* Address Mask Reply        */

Block those on the external interface


/* Codes for UNREACH. */
#define ICMP_NET_UNREACH    0    /* Network Unreachable        */

ignored, so block it

#define ICMP_HOST_UNREACH    1    /* Host Unreachable        */

allow it at least inbound, best would be if you can do that stateful

#define ICMP_PROT_UNREACH    2    /* Protocol Unreachable        */

you can block that

#define ICMP_PORT_UNREACH    3    /* Port Unreachable        */

you should allow that at least inbound. Be aware that some filter rules
should send PORT_UNREACH on connection request (at least 137,139 and auth),
so make sure not to block those ICMP packetes which are generated by your
reject rule.

#define ICMP_FRAG_NEEDED    4    /* Fragmentation Needed/DF set    */

Allow it in, and possible out if you have different MTUs inside your
network.

#define ICMP_SR_FAILED        5    /* Source Route failed        */

Not strictly needed. Nobody should asume SR works anywhere, anyway.

#define ICMP_NET_UNKNOWN    6

block, its ignored

#define ICMP_HOST_UNKNOWN    7

allow it at least inbound.

#define ICMP_HOST_ISOLATED    8

block.

#define ICMP_NET_ANO        9
#define ICMP_HOST_ANO        10

those are the new types returned by ipfilters. You may let them pass in and
out.

#define ICMP_NET_UNR_TOS    11
#define ICMP_HOST_UNR_TOS    12

block

#define ICMP_PKT_FILTERED    13    /* Packet filtered */

block, depricated

#define ICMP_PREC_VIOLATION    14    /* Precedence violation */
#define ICMP_PREC_CUTOFF    15    /* Precedence cut off */

block.
文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论

   相关文章:
·教你如何防止脚本病毒执行的通用方法

   文章评论:(1条)
  
 请留名: 匿名评论   点击查看所有评论 论坛讨论
 

 声明:刊登此文章是为了传递更多信息,文章内容仅供参考,转载请注明出处。