Trong 1 slide bài giảng về khoá học Firewall hồi xưa mình học thì nó có đề cập : "Stateful FW sẽ bỏ qua các Traffic nếu các dịch vụ thay đổi port mặc định (vd : HTTP port 8001)"
 

Mình ko hiểu câu này cho lắm, về việc đổi port các ứng dụng deamon thì mình hoàn toàn nắm rõ nhưng mình ko hiểu tại sao nó lại ảnh hưởng đến Stateful FW ? Bởi vì theo mình biết, Stateful FW chỉ hoạt động ở tầng Network và Transport giống Packet Filtering, nó chỉ "thông minh" hơn Packet Filtering ở điểm có thêm 1 State table để kiểm soát thêm các thành phần của 1 connection như Time out, SYN, FIN ... Như vậy Stateful FW hoàn toàn ko lọc payload của traffic ở tầng application, vậy thì chuyện mình đổi port hay ko thì nó liên quan gì nhỉ ?

Ai biết rõ xin giải thích giùm
Thân )  

Chào anh conmale,

Vấn đề anh đề cập trên là ứng dụng chạy trên các port ko xác định, như vậy thì đúng là Stateful FW ko xử lý được (hoặc xử lý rất kém), vd như các protocol FTP (Passive/Active), IRC, p2p ... Cái này thì em biết rồi nhưng theo em hiểu câu trên có nghĩa là nó muốn nói đến việc đổi port default mà ứng dụng đó bind, vd như default apache bind port 80 như ta hoàn toàn có thể đổi trong file config để nó bind thành port bất kỳ nào mình muốn, trong câu phát biểu em đưa ra trên nó có vd là HTTP port 8001 nên em nghĩ nó đang ám chỉ đến vấn đề này. Như với vấn đề này thì em ko nghĩ nó liên quan đển stateful FW ? Nếu có thì mong anh giải thích thêm ạ

Cám ơn anh nhiều
Thân 

Thế nào là "ứng dụng chạy trên các port ko xác định"?

Hầu hết các firewall ngày nay (ngoại trừ một số firewall chuối thì không kể), bất kể stateful hay chỉ packet filter, thì mặc định thường là deny all, allow selected. Bởi thế, nếu packet đi đến một port đã không nằm trong chuỗi "allow selected" nó bị drop ngay từ đầu thì chẳng có gì cần đến stateful nữa cả. Bồ nên hiểu rằng, "stateful" chỉ có nghĩa với các packets được cho phép và thỏa mãn quy định nào đó. Nếu chúng bị drop ngay từ đầu thì đâu có state gì đâu mà xử lý được hay không xử lý được?

Stateful firewall vẫn xử lý các protocol như FTP, IRC, P2P ngon lành. Cái này còn tùy stateful FW mà bồ liên tưởng đến đó là firewall cụ thể do ai sản xuất. Nên xét trên mặt nguyên tắc và tính chất thật sự của một stateful firewall thay vì dựa vào 1 ứng dụng firewall nào đó để đánh giá chung stateful firewall.

Tôi nghĩ bồ chưa hiểu rõ thế nào là stateful firewall. Bồ nên đọc lại thật kỹ bài trả lời trước của tôi vì nếu bồ còn diễn giải và thắc mắc như trên thì có lẽ nhận định của tôi không sai (về mức độ hiểu thế nào là stateful firewall của bồ).

Thân mến. 

conmale wrote:

Thế nào là "ứng dụng chạy trên các port ko xác định"?

Hầu hết các firewall ngày nay (ngoại trừ một số firewall chuối thì không kể), bất kể stateful hay chỉ packet filter, thì mặc định thường là deny all, allow selected. Bởi thế, nếu packet đi đến một port đã không nằm trong chuỗi "allow selected" nó bị drop ngay từ đầu thì chẳng có gì cần đến stateful nữa cả. Bồ nên hiểu rằng, "stateful" chỉ có nghĩa với các packets được cho phép và thỏa mãn quy định nào đó. Nếu chúng bị drop ngay từ đầu thì đâu có state gì đâu mà xử lý được hay không xử lý được?

Stateful firewall vẫn xử lý các protocol như FTP, IRC, P2P ngon lành. Cái này còn tùy stateful FW mà bồ liên tưởng đến đó là firewall cụ thể do ai sản xuất. Nên xét trên mặt nguyên tắc và tính chất thật sự của một stateful firewall thay vì dựa vào 1 ứng dụng firewall nào đó để đánh giá chung stateful firewall.

Tôi nghĩ bồ chưa hiểu rõ thế nào là stateful firewall. Bồ nên đọc lại thật kỹ bài trả lời trước của tôi vì nếu bồ còn diễn giải và thắc mắc như trên thì có lẽ nhận định của tôi không sai (về mức độ hiểu thế nào là stateful firewall của bồ).

Thân mến. 

Ok, em sẽ xem lại kỹ

À, em cũng có 1 sồ ebook về FW nhưng ko rành cái nào nên đọc nhất, anh có thể giới thiệu cho em 1 số tài liệu hay về FW được ko ? Cái em cần học là các loại FW phân theo cơ chế hoạt động như Packet filtering, Stateful, Inspection, Proxy ... chứ ko phải là các loại FW cụ thể như iptables, PIX, ASA, Juniper ...

Thân 

Hiện nay theo tớ được biết thì thành phần stateful firewal trong sản phẩm HIPS (Host Intrusion Prevention) của McAfee đã được tích hợp bao gồm 2 thành phần : stateful packet filtering và stateful packet inspection.

Stateful packet filtering là thành phần kiểm tra trạng thái thông tin các giao thức như TCP/UDP/ICMP tại layer 4( Transport) và các tầng thấp hơn của OSI. Các gói tin được kiểm tra, nếu gói tin được kiểm tra đúng theo luật trong firewal, gói tin sẽ được cho phép đi qua và thông tin đó sẽ được đưa vào một state table.

Stateful packet Inspection : là quá trình lọc các gói tin và kiểm tra các dòng lệnh tại tầng 7(Application).

State table: la tính năng của stateful firewal, nó tự động lưu trũ thông tin về các kết nối đang hoạt động được cho phép, tạo bởi các luật.


Thangvt.
 

Stateful packet filtering và Stateful packet inspection chỉ là một



ps: bồ viết có vài dòng mà nhiều từ không chính xác quá


 

Stateful firewall có nhiều dạng và nhiều ứng dụng. Nếu nó ứng dụng để kiểm soát cả tầng 7 (của model OSI) thì nó không chỉ dừng lại ở tầng network và transport.

Việc đổi port có liên quan trực tiếp và quan trọng đến tính năng "stateful" của một stateful firewall. Lý do:

- 1 request từ bên ngoài vào có IP là xxx.xxx.xxx.xxx đi đến IP yyy.yyy.yyy.yyy ở cổng 80 (xuyên qua stateful firewall trên kiểm soát) . Nếu firewall này cho phép, nó sẽ cho phép IP xxx.xxx.xxx.xxx thực hiện 3 bước bắt tay một cách bình thường. Sau giai đoạn này, firewall ấy sẽ thiết lập một "state table" để theo dõi "state" của xuất truy cập này.

- nếu IP xxx.xxx.xxx.xxx này bất thình lình liên hệ IP yyy.yyy.yyy.yyy ở cổng 80 nhưng lại không hề có quy trình 3 bước bắt tay --> hoàn toàn không nằm trong một "state" nào cả --> bị hủy.

- nếu IP xxx.xxx.xxx.xxx này đã thiết lập 3 bước bắt tay bình thường và đã được hình thành "state table" nhưng bất chợt lại có destination port là 81 --> hoàn toàn không nằm trong một "state" nào cả --> bị hủy.

- khi packet đi đến tầng application, nó vẫn có thông tin source port, source ip, destination port, destination ip và nhiều thông tin khác. Cái "state machine" của một stateful firewall dựa trên những thông tin có thể thu thập được để xác định "state" của một packet và một xuất truy cập.

Thân mến. 

Hi anh conmale,

Cho em hỏi xíu, nếu 1 web server chạy 2 service apache trên 2 port khác nhau, 1 cái là 80, 1 cái là 81. Firewall mở quyền access cho xxx đi tới yyy. Sau khi xxx bắt tay và tạo ra 1 stale table rồi trên port 80. Từ xxx tạo một connection mới tới yyy trên port 81 thì nó có khả năng bị chặn không?

Thanks.
 

Bị chặn. Bởi vì xxx đến yyy ở cổng 80 là giá trị đã ấn định trong state table. Nếu bất chợt xxx đến yyy ở cổng 81 thì nó phải thỏa mãn các bước bắt tay hợp lệ và hình thành 1 giá trị khác trong state table, nếu không, nó bị drop.

PS: state table chớ không phải stale table. 

Anh cho em hỏi tiếp, vậy stateful firewall phân biệt http và https ra sao khi một thằng yyy chạy apache có http trên port 80 và https trên port 443 thì xxx vẫn có thể connect đến yyy trên cả 2 port 80 và 443 ?
Thanks. 

whisper wrote:

xxx:1056 -----> yyy:80
xxx:1096 -----> yyy:443
Có gì mà không phân biệt được nhỉ ? Bạn muốn phân biệt theo kiểu nào nữa ? 

E có câu hỏi nay kô liên quan đến StatefulFW lắm mong các a chỉ giúp.
E kết nối vào 1 trang dùng http và 1 trang dùng https
Sau đó dùng lệnh netstat -a để kiểm tra thì đúng là port 1056 đang mở nhưng port 1096 thì kô
Tại sao vậy a?

xxx:1056 -----> yyy:80
xxx:1096 -----> yyy:443
Có gì mà không phân biệt được nhỉ ? Bạn muốn phân biệt theo kiểu nào nữa ? 

No.13 wrote:

xxx:1056 -----> yyy:80
xxx:1096 -----> yyy:443
Có gì mà không phân biệt được nhỉ ? Bạn muốn phân biệt theo kiểu nào nữa ? 

No.13 không hiểu câu hỏi của mình rồi.
+ Trường hợp đầu tiên là cùng là http nhưng trên hai port 80 và 81, thì đương nhiên xxx connect tới yyy từ 2 port khác nhau và bị stateful Firewall block 1 port 81.
+ Trường hợp sau là apache chạy web service nhưng là http và https trên 2 port 80 và 443. Firewall không block là dựa vào cơ chế nào để làm vậy khi cả 2 port này cùng là webservice??

Thanks
 

Em suy nghĩ rất nhiều và cũng đang cố gắng đọc sách nhưng thực sự em vẫn chưa hiễu rõ câu "Stateful firewall có nhiều dạng và nhiều ứng dụng. Nếu nó ứng dụng để kiểm soát cả tầng 7 (của model OSI) thì nó không chỉ dừng lại ở tầng network và transport." của bác conmale, ko bít bác có thể giải thích rõ thêm cho mình ko ? Vì theo em stateful chỉ có thể manage ở tần transport và network thôi vì nếu nó có thể manage lên tới tầng Application thì lúc đó nó là Proxy FW hay Inspection Stateful FW rồi chứ đâu phải Stateful FW đâu anh

Thân 

nghienruou01 wrote:

Stateful packet filtering và Stateful packet inspection chỉ là một



ps: bồ viết có vài dòng mà nhiều từ không chính xác quá


 

Thế thì xem lại đi nhé! Đây là thảo luận nếu phản bác ý kiến của ai thì phải nêu dẫn chứng. potay 

- nếu IP xxx.xxx.xxx.xxx này bất thình lình liên hệ IP yyy.yyy.yyy.yyy ở cổng 80 nhưng lại không hề có quy trình 3 bước bắt tay --> hoàn toàn không nằm trong một "state" nào cả --> bị hủy.

- nếu IP xxx.xxx.xxx.xxx này đã thiết lập 3 bước bắt tay bình thường và đã được hình thành "state table" nhưng bất chợt lại có destination port là 81 --> hoàn toàn không nằm trong một "state" nào cả --> bị hủy.