1.7 Фільтрація на основі інформації про стан TCP-зєднання
У деяких правилах обробки пакетів використовуються прапори, що визначають стан TCP-зєднання. Будь-яке зєднання проходить через визначені стани. Стани клієнта і сервера розрізняються між собою.
У першому пакеті, відправленому вилученим клієнтом, установлений прапор SYN (прапор АСК скинутий). Передача такого пакета є першим кроком у встановленні TCP-зєднання. В усіх наступних пакетах, переданих клієнтом, установлений прапор АСК, а прапор SYN скинутий. Як правило, брандмауери дозволяють проходження пакетів, що містять звертання клієнтів, незалежно від стану прапорів SYN і АСК.
Пакети, передані вилученими серверами, завжди є відповідями на попередні звертання клієнтів-програм. У кожнім пакеті,, що надійшов від вилученого сервера, повинний бути встановлений прапор АСК, оскільки TCP-зєднання ніколи не встановлюється з ініціативи сервера.
2. Проба і сканування
Проба - це спроба установити зєднання чи одержати відповідь при звертанні до конкретного порту. Сканування являє собою серію подібних спроб, початих для різних портів. Як правило, сканування виробляється з застосуванням автоматизованих засобів.
Самі по собі проби і сканування безпечні для системи. Більш того, єдиний спосіб визначити, чи підтримується на вузлі визначений тип служби, - звернутися до відповідного порту, тобто зробити пробу. Проте в більшості випадків проби і сканування є частиною цілого комплексу заходів для збору інформації, після чого звичайно випливає спроба злому системи. У 1998 році спостерігалося різке збільшення числа випадків сканування; у цей час одержали широке поширення автоматичні скануючі програми, а в процесі збору інформації брали участь цілі групи хакерів.
- 1. Брандмауер з фільтрацією пакетів
- 1.1 Вибір політики за замовчуванням
- 1.2 Фільтрація вхідних пакетів
- 1.3 Фільтрація на основі адреси джерела
- 1.4 Фільтрація на основі адреси призначення
- 1.5 Фільтрація на основі порту джерела
- 1.6 Фільтрація на основі порту призначення
- 1.7 Фільтрація на основі інформації про стан TCP-зєднання
- 3. Додаткові питання фільтрації пакетів
- 3.1 Маршрут до джерела
- 3.2 Фрагментація пакетів
- 3.5 Фільтрація на основі адреси призначення
- 3.7 Фільтрація на основі порту призначення
- 3.8 Фільтрація за значеннями прапорів стану
- 4. Доступ до служб локальної мережі
- 4.1 Захист локальних служб
- 5. Вибір серверів для установки в системі
- 6. Принципи роботи брандмауерів
- 6.1 Характеристики брандмауерів