ステートフルプロトコルインスペクションのためのステートフルファイアウォールとステートレスファイアウォールについて

ファイアウォールは 、非常に長い間、企業のサイバーセキュリティ戦略の基礎的な要素でした。彼らは長年にわたって大規模な製品機能の追加と機能強化を経てきました。1994年にさかのぼる特定の機能の1つは、ステートフルインスペクションです。

ステートフルインスペクションとは何ですか?

ステートフルインスペクション、別名動的パケットフィルタリングは、ファイアウォールがネットワーク接続のSTATEとCONTEXTに基づいてデータパケットをフィルタリングすることです。ネットワーク接続にとって「状態」と「コンテキスト」が何を意味するのかを見てみましょう。

状態

接続の状態を理解する方法として、2 つのエンドポイント間のネットワーク プロトコル TCP ベースの通信を使用しましょう。TCP では、割り当て可能な 9 つの制御ビットのうち 4 ビット(SYN、ACK、RST、FIN)を使用して接続の状態を制御します。ファイアウォールは、その接続状態に基づいてポリシーを適用できます。ただし、接続終了後に通過するパケットの残り、再送信、または遅延したパケットも考慮する必要があります。

ファイアウォールでの状態追跡の簡単な例を見てみましょう。

1. クライアント アプリケーションが 3 ウェイ ハンドシェイクを使用して接続を開始すると、TCP スタックは SYN フラグを設定して接続の開始を示します。このフラグは、ファイアウォールが新しい接続を示すために使用されます。
2. サーバーは SYN + ACK を送信して接続に応答し、その時点でファイアウォールは両側からのパケットを検出し、内部接続状態を ESESTABLISHED に昇格させます。TCP の観点からは、クライアントが ACK で応答を送信するまで、接続はまだ完全には確立されません。
3. 同様に、ファイアウォールは RST または FIN+ACK パケットを検出すると、接続状態を削除対象としてマークし、この接続の今後のパケットはドロップされます。

擬似状態

すべてのネットワークプロトコルがTCPのような状態を持っているわけではありません。たとえば、UDP は、本質的にステートレスである非常に一般的に使用されるプロトコルです。このプロトコルを使用するアプリケーションは、アプリケーション ロジックを使用して状態を維持するか、アプリケーション ロジックなしで動作させるかのどちらかです。UDPを使用する一般的なアプリケーションは、DNS、TFTP、SNMP、RIP、DHCPなどです。

今日のステートフルファイアウォールは、これらのプロトコルに「擬似状態」を作成します。たとえば、ファイアウォールは、DNS リクエストなどの送信パケットを検出すると、送信元と送信先の IP アドレスとポートを使用してエントリを作成します。次に、この接続データと接続タイムアウト データを使用して、DNS などの受信パケットが応答できるようにします。

Context

接続のコンテキストには、次のようなパケットに関連付けられたメタデータが含まれます。

• 送信元エンドポイントと送信先エンドポイントの IP アドレスとポート
• アイドル接続を処理するための最後のパケット受信時間
• パケット長
• レイヤ 4 TCP シーケンス番号とフラグ
• フラグメント化されたパケットのセッションなどを識別するためのフラグメンテーションと再構成に関連するレイヤ 3 データ。

ステートフル検査とステートレス検査

ステートフル ファイアウォールとステートレス ファイアウォールの主な違いは、ステートフル ファイアウォールがトラフィックとデータ パケットの完全なコンテキストを分析し、ネットワーク接続の状態を常に追跡することです (「ステートフル」とは言えません)。代わりに、ステートレスファイアウォールは、接続の完全なコンテキストを必要とせずにトラフィックとデータパケットを分析します。

次に、ステートフル インスペクション ファイアウォールとステートレス インスペクション ファイアウォールを詳しく見てみましょう。

ステートレスファイアウォール

ステートレスファイアウォールはどのように機能しますか?

図 1 を使用すると、ステートレス ファイアウォールの内部動作を理解できます。ステートレスファイアウォールは、パケットのプロトコルヘッダーを検査することにより、インバウンドまたはアウトバウンドトラフィックデータ(1)にセキュリティポリシーを適用します。OSIレイヤー2から4まで調製します。検査後、ステートレス ファイアウォールはこの情報をポリシー テーブル (2) と比較します。そこから、ポリシーアクション(4.aおよび4.b)を決定します:パケットをALLOW、DENY、またはRESETします。

図 1:ステートレス ファイアウォールのポリシー決定を示すフロー図

ステートレスファイアウォールの長所は何ですか?

• リソース集約度が低い: ポリシー ルックアップは静的パケット データとポリシー テーブルに対して実行されるため、ルックアップの実行に必要な CPU およびメモリ リソースの量は少なくなります。これは、アクセス コントロール リスト(ACL)などの機能を使用するルーターやスイッチなどの静的ポリシー ルックアップ デバイスに効果的です。
• レイテンシーの増加なし: 追加の処理により、オーバーヘッド遅延、またはパケットの単純な用語のラインレート処理が追加されます。

ステートレスファイアウォールの短所は何ですか?

• 限定的なフィルタリング: ステートレスファイアウォールは、限られたフィルタリング機能を提供するファイアウォールからの忠実度の低いデータのみを使用して決定を行います。
• ACL 設定:これらのデバイスでの ACL の設定と管理は、小規模ではエラーが発生しやすく、大規模ではほとんど不可能です。

小規模および大規模の ACL を構成および管理する際の課題について説明します。まず、小規模な展開の場合を見てみましょう。

• ステートレス ファイアウォールは、パケットが属するフローに関係なく、現在のパケットの内容を検査することでポリシーを決定するため、本質的に一方向です。ポリシーを正確に記述するには、接続の両側を TCP などの双方向通信プロトコルのホワイトリストに登録する必要があります。1 つの接続をポリシングするための 2 つのルールを記述すると、問題が生じます。
• さて、FTPのようなプロトコルでは、トランザクションごとに2つの接続セットがあり、データ接続は未知のものの、接続時間ネゴシエートポートを持つ可能性があり、ステートレスファイアウォールがそれをホワイトリストに登録する方法はありません。すべてのアプリケーションのポリシーを作成できないため、セキュリティに大きな穴が開きます。
• 別のユースケースは、内部ホストが外部インターネットへの接続を開始することです。ACL を使用してすべての応答トラフィックを許可するポリシーを作成するにはどうすればよいですか?このツールは、より細かいポリシー制御のために構築されたものではなく、ポリシーが非常にきめ細かく方向性のあるマイクロ セグメンテーション フレームワークにはあまり役に立ちません。

さて、大規模な問題に移りましょう。

• 少しの間、前の段落で説明したすべての問題を克服するための魔法の杖を持っていると想像してみましょう。その場合でも、スイッチまたはルータのハードウェア上の TCAM(三項コンテンツ アドレス可能メモリ)などのリソースは非常に限られているため、TCAM スペースが枯渇するため、すべてのアプリケーションに対してポリシーを記述することはできません。
• ハードウェアベースではない実装であっても、ACL の数は多くの問題を引き起こします。たとえば、私が以前に作業していた製品は、広範囲に構成された ACL システム上で効率的なルックアップ テーブル (上の図 1 のポリシー テーブル) を解析して構築するのに 30 分以上かかりました。そして、このプロセスは、1つのルールが追加または削除されるたびにトリガーされます。このような日常的なタスクのために、重要なビジネスにそれだけのダウンタイムと影響を与えることを検討してください。

再帰型ファイアウォール、別名再帰型 ACL

再帰的 ACL(別名 IP-Session-Filtering ACL)は、リターン トラフィックを動的にホワイトリストに登録するメカニズムです。ポリシー決定のワークフローのほとんどは、新しいワークフローを識別し、自動化された動的ステートレス ACL エントリを追加するメカニズムを除いて、ステートレス ファイアウォールと似ています。以下のワークフロー図を使用して、パケットの寿命を見てみましょう。

図 2: 再帰的 ACL のポリシー決定を示すフロー図

再帰的ACLは、新しいIPアウトバウンド接続(図2の6)を検出すると、送信元と宛先のIPアドレスとポートを逆にして動的ACLエントリ(7)を追加します。新しい動的 ACL を使用すると、リターン トラフィックをそれに対して検証できます。同様に、再帰型ファイアウォールは、両側からの FIN パケット、RST パケット、または最終的なタイムアウトを検出すると、動的 ACL を削除します。これにより、セッションが終了または終了すると、将来の偽パケットはドロップされます。

再帰型ファイアウォールの利点は何ですか?

ステートレスファイアウォールに対する再帰型ファイアウォールの唯一の利点は、リターントラフィックを自動的にホワイトリストに登録できることです。これにより、逆 ACL ルールを手動で記述する必要がなくなります。

再帰型ファイアウォールの短所は何ですか?

再帰 ACL は、パケット内の静的情報に完全に作用します。これを導入する理由は、リバース トラフィックのルールを作成するという点では標準 ACL からステップアップされていますが、再帰的 ACL を回避するのは簡単だからです。再帰型ファイアウォールには、ステートレス ファイアウォールと同じ欠点があります。これをテストする 1 つの方法は、パケットをフラグメント化して、再帰的 ACL が動作する情報が複数のパケットに分割されるようにすることです。これにより、再帰 ACL は個々のパケットを許可またはドロップすることを決定できません。一方、ステートフルファイアウォールは、複数のパケットに分割されたフラグメント全体を再構成し、セッション全体のSTATE + CONTEXT +パケットデータに基づいて決定することができます。

再帰型 ACL のもう 1 つの欠点は、特定の種類のアプリケーションでのみ動作できることです。たとえば、ネットワーク経由でファイルを転送するために使用される非常に一般的なアプリケーション FTP は、別のコントロール プレーン接続を介した転送に使用されるデータ ポートを動的にネゴシエートすることで機能します。再帰的 ACL は静的であるため、同じ 5 タプルを使用する 2 つのホスト間の双方向接続のみをホワイトリストに登録できます。したがって、FTP などのアプリケーションはサポートできません。

ステートフルファイアウォール

ステートフルファイアウォールは、ファイアウォールポリシーを適用するために接続のSTATEおよびCONTEXTに作用します。ステートフル ファイアウォールの内部動作を理解するために、以下のフロー図を参照しましょう。

図3:ステートフルファイアウォールのポリシー決定を示すフロー図

ステートフルファイアウォールはどのように機能しますか?

1. 5タプルルックアップ: パケットがファイアウォールに到着すると(図3の1)、フローまたは接続テーブルと呼ばれるテーブル内の5タプル(送信元IP、送信元ポート、宛先IP、宛先ポート、プロトコル)を使用してフロールックアップを行い、一致するものを見つけようとします(2)。これは、フローテーブルではなくポリシーテーブルで5タプルルックアップが実行されるステートレスファイアウォールとは異なります。図に示されていないフローテーブルおよび関連テーブルには、以前に表示されたすべてのフローの STATE+CONTEXT が保持されます。
2. 高速パス/データプレーン処理: エントリが見つかった場合、パケットはファストパス、別名データプレーン処理を通過します。単純なファストパス処理には、レートチェック、フラグメンテーションと再構成ベースの攻撃を回避するためのレイヤー3IPサニテーションチェック、スプーフィング、DOSなどの攻撃を防ぐためのレイヤー4サニテーションチェックが含まれます。ファイアウォールがレイヤー 7 テストを実行できる場合は、アプリケーション層ゲートウェイ (ALG) と呼ばれる追加のフィルターを通過します。すべてのチェックがスムーズに進むと、パケットはネクストホップ(3.b)に転送されます。
3. 低速パス/コントロールパネル処理:フロールックアップでミス(3.a)が発生した場合、パケットは新しい接続用であると想定され、追加のポリシーチェックを実行する必要があり、このパスは低速パス、別名コントロールプレーン処理と呼ばれます。制御処理パスでは、ファイアウォールは高速パスで行うすべてのことをチェックするだけでなく、この新しい接続がファイアウォールポリシーによって許可されるかどうかも決定します。
4. ポリシールックアップ: その後、ファイアウォールは接続の STATE + CONTEXT を使用してポリシー ルックアップを実行します (5)。
5. ポリシーの一致があり、そのポリシーに ALLOW、DENY、RESET などのアクションが指定されている場合は、適切なアクションが実行されます (8.a または 8.b)。高度なステートフル ファイアウォールは、実行するコンテンツ検査の種類を指示することもできます。このことが考慮され、ファイアウォールはフロー テーブル(9)にエントリを作成するため、その接続の後続のパケットをより高速に処理して、コントロール プレーンの処理を回避できます。

ステートフルファイアウォールの長所は何ですか?

• より高い保護: ステートフルファイアウォールは、フローのSTATE+ CONTEXTを考慮した完全なプロトコル検査を提供するため、追加の攻撃対象領域が排除され、システム内の 脆弱性管理 が強化されます。
• より高度な:ステートフル ファイアウォールは、より高度なアプリケーション層ファイアウォールまたはゲートウェイの構成要素として機能します。
• 機能の設定: ステートフルファイアウォールは、ネットワークフローを理解し、フローのデータパケットを識別できるため、双方向接続または擬似状態ネットワークプロトコルの単純なルール記述が可能になります。
• 複雑なプロトコル: ステートフルファイアウォールはパケットペイロードをより深く調べることができるため、実行時に通信ポートとプロトコルをネゴシエートする複雑なプロトコルを理解し、それに応じてファイアウォールポリシーを適用できます。FTP、P2Pプロトコルなどのプロトコルを考えてみましょう。
  

ステートフルファイアウォールの短所は何ですか?

• 処理能力: ステートフル ファイアウォールは、セキュリティを強化するために追加のチェックを実行し、その他のチェックには CPU サイクルとメモリの観点からより多くの処理能力が必要です。ステートフルファイアウォールのアーキテクトと開発者はこの問題について考えており、最新のファイアウォールのほとんどは、コントロールプレーン処理とデータプレーン処理を分離する最先端のアルゴリズム設計により、この問題を克服または軽減し、ほぼ同様のステートレスファイアウォールのパフォーマンスを実現しています。しかし、ここではステートフルファイアウォールと比較してステートレス ファイアウォール に勝ちます。
• より大きな攻撃対象領域: ステートフル ファイアウォールは、コード ベースのフットプリントが大きいため、ステートレス ファイアウォールと比較して 攻撃対象領域 が大きくなる可能性があります。簡単な Google 検索では、多数の例が提供されます。時間が経つにつれて。Linux や Windows などのオペレーティング システムに組み込まれているファイアウォールなど、特定のタイプのファイアウォールは実戦テスト済みであり、現在ではエンタープライズ グレードのステートフル ファイアウォールとして機能しています。

Conclusion

完璧なファイアウォールは 1 つではありません。各タイプのファイアウォールは、綿密な防御戦略に位置づけられます。ステートレスファイアウォールは、粗いポリシングが適切な場所で役立ち、ステートフルファイアウォールは、より細かく、より深いポリシー制御と ネットワークセグメンテーション または マイクロセグメンテーション が必要な場合に役立ちます。

今日では、ステートレスプロトコル検査とステートフルプロトコル検査の間には、さまざまな種類のデータトラフィック検査ファイアウォールがあります。これらは、環境に適したファイアウォールを選択する際に注意することが重要です。

ステートフル性の技術的な理解ができたところで、次回のブログ記事では、 ステートフルファイアウォールがマイクロセグメンテーションにとって重要である理由 と、セグメンテーションベンダーがそれを行うようにする必要がある理由について説明します。

Learn more

ファイアウォールや、貴社のセキュリティ戦略に関するその他の重要なビジネス上の意思決定の詳細については、 お問い合わせください。