SPI בחומות אש

[yonigold]

SPI בחומות אש

לאחרונה נתקלתי כמה פעמים במושג SPI (STATEFUL PACKET INSOPECTION) בהקשר של חומות אש FIREWALLS. אני מבין באופן בסיסי את הצורך במנגנון שיסרוק כל חבילה ולא סתם יחסום פורטים אבל אפשר לקבל כמה דוגמאות למה זה משמש? איפה זה יעיל? מה זה יכול למנוע?

 

[Motel]

הסבר על קצה המזלג

דוגמא הכי פשוטה: אתה יוצר כלל שבו מותר לתחנה X לגלוש באינטרנט, מהתחנה גולש תמים מתחיל לגלוש באינטרנט. ה-FW מאשר את היציאה, אבל מה לגבי מידע שזורם בחזרה מהשרת לתחנות? SPI יודע לקרוא את הפאקטים ולהבין שאתה ביקשת לאפשר תקשורת WEB, ותחנה מבפנים פונה לשרת X אז מותר לאותו שרת להחזיר פאקטים בפורט 80. SPI זה למעשה PARSER לפאקטים שמאפשר לקרוא מידע גם ברמה של אפליקציה, ולא רק של שכבות נמוכות יותר.

 

[yonigold]

תודה. אבל...

תודה על התשובה, תמהני האם בהעדר SPI ובהמצא FIREWALL רגיל אם שרת חיצוני יקבל פניה מלקוח ברשת בפורט 80 (פניית WEB) הוא יהיה חייב להחזיר את תשובתו באותו פורמט של פקט ובאותו פורט. הוא לא יוכל ליזום פתאום שיח בפורט שונה (למעט זה שהוסכם בPIPELINE) או בפורמט שונה. לא ככה?

 

[Motel]

זה כבר לא קשור ל-FW

אלא לאופו שבו TCP עובד. TCP עובד עם פורטים קבועים שמשמשים מעין תמרורים עובר מערכת ההפעלה לניתוב כל ההתקשרויות. למשל, הדפדפן שלך משגר בקשה בפורט 80 לשרת של תפוז כאשר לוקאלית הוא "מאזין" לפורט דינמי בטווח מעל 1K (למשל, 3042). הבקשה נבנית עם פורט יעד של 80 ופורט מקומי של 3042. FW פשוט מסוגל להסתכל בבקשות האלה ורק בהם. הוא לא מסוגל לאסוף את הפאקטים הבודדים למנה שאפליקציה שולחת ואז לנתח אותה - נניח במקרה ואתה רוצה לסנן וירוסים שמגיעים דרך פורט 80 או חסימה של אתרי פורנו. רוב ה-FW היום הם מסוג SPI.

 

[ezaton]

תרחיב

נאמר, לשם העניין, שיש לך משתמש מתוחכם, שרוצה להוריד מוזיקה. הוא מריץ את הקאזה שלו, כאשר הוא מגדיר אותה לפנות בפורט 80 לשרתים. חומת האש (נטולת ה- SPI) שלך, בטוחה שזה בסדר, ומאפשרת לו ליצור תעבורה, ולקבל חזרה. הוא עובד. מנגנון SPI ידע לנטר את המידע, ולהבין שלא מדובר בגלישה, למרות שזה אכן פורט 80. הוא יחסום את זה, אבל אם האיש יצא עם דפדפן לשרתים בחוץ (לגלישה תמימה), זה יעבוד באופן תקין.

 

[yonigold]

תודה, הסבר מעולה.