https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Stateful_Packet_InspectionStateful Packet Inspection - Versionsgeschichte2026-05-22T03:33:05ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Stateful_Packet_Inspection&diff=749144&oldid=previmported>Rlfy: /* growthexperiments-addlink-summary-summary:3|0|0 */2025-01-17T13:55:00Z<p><span class="autocomment">growthexperiments-addlink-summary-summary:3|0|0</span></p>
<p><b>Neue Seite</b></p><div>{{Belege fehlen|2=Dieser Artikel|1=Der Artikel gibt Spezialwissen wieder; es liegt auch nicht auf der Hand, wo dies nachgelesen werden kann [[WP:Q|=> Belege erforderlich.]]}}<br />
<br />
'''Stateful Packet Inspection''' ('''SPI'''; deutsch ''Zustandsorientierte Paketüberprüfung'') ist bei [[Firewall]]s eine [[Paketfilter]]technik, bei der jedes [[Datenpaket]] dynamisch einer [[Sitzung (Informatik)|Sitzung]] zugeordnet wird. Der Sitzungszustand wird in die Filterentscheidung mit einbezogen, wodurch ein größeres Schutzniveau erreicht wird als es mit einer zustandslosen Paketfilterung möglich ist.<br />
<br />
Bei dieser Technik werden die ein- und ausgehenden Datenpakete auf [[Internetschicht|Internet-]] und [[Transportschicht]] analysiert und deren zugehöriger Sitzungszustand in einer dynamischen Zustandstabelle gespeichert. Für die Entscheidung über die Weiterleitung eines Datenpakets wird neben statischen Paketfilterregeln auch der aktuelle Sitzungszustand herangezogen.<ref>{{Literatur |Autor=William Stallings |Titel=Cryptography and Network Security: Principles and Practice |TitelErg=Global Edition. |Auflage=8. |Verlag=Pearson Education |Ort=Harlow, Vereinigtes Königreich |Datum=2023 |ISBN=1292437480 |Seiten=676f }}</ref> So kann beispielsweise bei einem aus dem [[Internet]] erhaltenen Datenpaket berücksichtigt werden, ob bereits eine aufgebaute Verbindung zu dieser [[Netzwerkadresse]] existiert. Stateful Packet Inspection ist bei verbindungsorientierten [[Netzwerkprotokoll]]en wie dem [[Transmission Control Protocol]] (TCP) am wirkungsvollsten, kann mit Einschränkungen aber auch bei verbindungslosen Protokollen wie dem [[User Datagram Protocol]] (UDP) eingesetzt werden. In Verbindung mit [[Deep Packet Inspection]] kann Stateful Packet Inspection auch auf der [[Anwendungsschicht]] angewandt werden.<br />
<br />
Der Firewall-Hersteller [[Check Point]] nimmt für sich in Anspruch, diese Technik im Jahr 1993 erfunden zu haben.<ref name ="pat5606668"/><br />
<br />
== Funktionsweise ==<br />
[[Bild:Stateful inspection udp.svg|upright=2.5|thumb|Stateful Inspection: die Eigenschaften ausgehender Datenpakete werden in einer Statustabelle gespeichert. Mit dieser werden eingehende Datenpakete verglichen]]<br />
Kommuniziert beispielsweise ein Client ''A'' mit einem Webserver ''B'' über einen zustandslosen [[Paketfilter]] (also ''ohne'' Stateful Packet Inspection), so muss dieser in seinem [[Firewall-Regelwerk|Regelwerk]] zwei Verkehrsströme erlauben:<br />
* Quelle ''A'' nach Ziel ''B'' mit Zielport 443 für den Dienst [[Hypertext Transfer Protocol Secure|HTTPS]], um die Anfrage an den Server zu senden.<br />
* Quelle ''B'' nach Ziel ''A'' mit Quellport 443, um die HTTPS-Antwort vom Server zu empfangen.<br />
Ein statisches Regelwerk erlaubt mehr als eigentlich nötig, da ''B'' jederzeit an ''A'' senden darf, auch wenn ''A'' gar keine Anfrage gestellt hat. Wenn ''A'' zudem mit beliebigen Webservern im Internet kommunizieren möchte, deren einzelne Adressen vorab nicht bekannt sind, müssten sämtliche Quelladressen für eingehende Pakete erlaubt werden, was den Sicherheitsgewinn des Paketfilters reduziert.<br />
<br />
Bei der zustandsgesteuerten Filterung (also ''mit'' Stateful Packet Inspection) kann der Zustand der Verbindung in das Regelwerk mit einbezogen werden:<br />
* Quelle ''A'' darf Pakete an Ziel ''B'' mit Zielport 443 senden, wenn sie zu einer neuen oder zu einer bestehenden Verbindung gehören.<br />
* Quelle ''B'' darf nur Pakete an Ziel ''A'' senden, wenn sie zu einer bestehenden Verbindung gehören.<br />
Der Paketfilter merkt sich, welche Verbindungen der Client ''A'' aufgebaut hat und erlaubt nur die passenden Antwortpakete von Quelle ''B''. Dadurch kann ''B'' nicht von sich aus neue Verbindungen zu ''A'' initiieren. Neben den [[IP-Adresse]]n und [[Port (Netzwerkadresse)|Ports]] kann der Paketfilter auch weitere Parameter prüfen, beispielsweise ob die [[Sequenznummer]] und die weiteren [[Header]]-Informationen des [[Transmission Control Protocol]]s zum erwarteten Verbindungszustand passen. Dadurch erschwert der Paketfilter das [[IP-Spoofing]].<br />
<br />
Neben dem Sicherheitsgewinn kann durch die zustandsbasierte Paketfilterung auch der Regelsatz wesentlich übersichtlicher gestaltet werden. Anstatt für Hin- und Rückweg separate Regeln zu konfigurieren, genügt eine Regel für den Hinweg, die eine neue Verbindung zulässt. Für den Rückweg genügt eine allgemeine Regel, die Antwortpakete zu bereits bestehenden Verbindungen zulässt (im Linux [[Netfilter]] als „ESTABLISHED“ und „RELATED“ bezeichnet).<br />
<br />
Zustandsbasierte Paketfilterung ist aufwendiger und erzeugt daher mehr [[CPU]]-Last als statische Paketfilterung. Der Verbindungszustand wird in einer Zustandstabelle im [[Random-Access Memory|RAM]] gespeichert, was die maximale Anzahl gleichzeitiger Verbindungen limitiert. Die Löschung eines Eintrags in der Zustandstabelle erfolgt entweder, sobald die Verbindung von den Kommunikationspartnern abgebaut wurde, oder automatisch nach einem [[Timeout (Netzwerktechnik)|Timeout]] infolge von Inaktivität.<br />
<br />
== Stateful Inspection bei UDP-Paketen ==<br />
Auf den ersten Blick sieht eine ''Stateful Packet Inspection'' bei [[User Datagram Protocol|UDP]]-Paketen wie ein Widerspruch aus, da UDP im Gegensatz zu [[Transmission Control Protocol|TCP]] zustandslos arbeitet. Die meisten Implementierungen (z.&nbsp;B. Linux-Netfilter) behandeln UDP trotzdem als stateful, in dem Sinne, dass beim Versenden einer Anforderung per UDP für kurze Zeit eine dynamische Firewall-Regel für die Antwortpakete erzeugt wird. Im Beispiel [[Domain Name System|DNS]]-Anfragen werden dadurch nur Antwortpakete von den Nameservern erlaubt, die man selbst gefragt hat.<br />
<br />
Manche Programme – z.&nbsp;B. [[Skype]] – benutzen dies in einem als [[Hole Punching (Rechnernetz)|Hole Punching]] bezeichneten Verfahren, um durch Firewalls Punkt-zu-Punkt-Verbindungen aufzubauen. Beide Teilnehmer erfahren vom Skype-Server, auf welcher IP-Adresse und welchem Port Skype bei der Gegenseite arbeitet. Dann schicken beide ein UDP-Paket an die Gegenseite. Dort werden diese Pakete beim Eintreffen zwar verworfen, weil keine Input-Regel existiert, erzeugen aber auf der Firewall des ausgehenden Rechners eine Regel, die ab dann 'Antworten' erlaubt. Danach können beide Seiten miteinander kommunizieren. Mit TCP würde das (trivial) nicht funktionieren, da die Firewall aufgrund von Sequenznummern echte Antwortpakete erkennen kann.<br />
<br />
== Stateful Inspection bei ICMP ==<br />
Wer [[Ping_(Datenübertragung)|Ping]]-Anfragen senden will, aber nicht auf Ping-Anfragen antworten möchte, definiert zuerst eine ausgehende Regel für [[Internet Control Message Protocol|ICMP]], und danach eine eingehende Regel, die generell alle eingehenden Pakete zulässt, für die es bereits eine bestehende Sitzung gibt (RELATED). Die Ping-Antwort wird durchgelassen, wenn die Firewall anhand der Parameter aus dem Antwortpaket einen Zusammenhang zu der Ping-Anfrage erkennt. Dies funktioniert, obwohl es sich bei ICMP um ein verbindungsloses Protokoll handelt.<br />
<br />
== Stateful Inspection bei FTP ==<br />
[[File Transfer Protocol|FTP]] ist problematisch. Es werden zwei Ports, 'ftp' und 'ftp-data' (21 und 20), verwendet. 'ftp' wird für die Übertragung von Kommandos verwendet, während ftp-data für Datenübertragung (Dateiinhalte oder Verzeichnisinhalte) verwendet wird. Hierbei gibt es zwei verschiedene Arten (active mode und passive mode), in welcher Richtung die Datenverbindung (ftp-data) aufgebaut wird. Im Linux-Kernel gibt es ein Kernelmodul, welches das Zusammenspiel beider Ports beherrscht.<br />
<br />
== Timeout ==<br />
Sowohl [[Transmission Control Protocol|TCP]]- als auch [[User Datagram Protocol|UDP]]-Verbindungen haben bei Stateful Packet Inspection immer einen zugewiesenen [[Timeout (Netzwerktechnik)|Timeout]]. Bei UDP, weil nicht erkennbar ist, wenn eine Verbindung beendet worden ist; bei TCP, weil es passieren kann, dass Verbindungen nicht ordnungsgemäß abgebaut werden. Der UDP-Timeout liegt üblicherweise im Bereich 20–40 Sekunden, bei TCP 15–60 Minuten.<br />
<br />
Ist der Timeout nicht lang genug und werden legitime Verbindungen dadurch von der Firewall beendet, gibt es zwei Lösungsmöglichkeiten. Eine Verlängerung des Timeouts hilft zwar, erhöht aber auch den Speicherbedarf des Systems und reduziert die Sicherheit. Die bevorzugte Methode sollte daher der Einsatz von [[Keep-Alive]]-Paketen sein. Diese lassen sich in manchen Applikationen wie [[Secure Shell|SSH]]-Clients oder auch im [[Betriebssystem]] konfigurieren.<br />
<br />
Setzen des TCP-Keep-Alives unter [[Linux]] auf alle 120 Sekunden:<br />
<br />
echo 120 > /proc/sys/net/ipv4/tcp_keepalive_time<br />
<br />
== Beispiele für die Implementierung von Stateful Firewalls ==<br />
*[[Check Point]] [[Firewall-1]] (Solaris, Windows, IPSO, [[RHEL]], [[SPLAT]])<br />
*[[Pf (Paketfilter)]] ([[OpenBSD]])<br />
*[[Ipfw]] ([[FreeBSD]])<br />
*[[Iptables]] (Linux ab 2.4)<br />
*[[Fritzbox]]<br />
*[[OPNsense]] (basierend auf FreeBSD und [[ASLR]] von HardenedBSD)<br />
<br />
== Einzelnachweise ==<br />
<references><br />
<ref name ="pat5606668"><br />
{{Patent<br />
| Land = US<br />
| V-Nr = 5606668<br />
| Typ = <br />
| Titel = System for securing inbound and outbound data packet flow in a computer network<br />
| A-Datum = 1993-12-15<br />
| V-Datum = 1997-02-25<br />
| Erfinder = Gil Shwed<br />
| Anmelder = Checkpoint Software Technologies Ltd.<br />
| DB =<br />
}}</ref><br />
</references><br />
<br />
[[Kategorie:Rechnernetze]]<br />
[[Kategorie:Paketfilter]]</div>imported>Rlfy