Stateful inspection

• Filtrujemy sesje, a nie tylko pakiety

• Filtr musi kojarzyć pakiety z sesjami

  • Connection tracking

• Klasyczny problem optymalizacji firewalli

  • Pakiet przechodzi listę regułek
    • Jeśli lista długa, to koszt przeszukiwania wzrasta
  • Jak uniknąć przeszukiwania całej listy dla pakietów należących do raz wpuszczonych sesji?
    • Metoda Cisco: flaga established (ACK, RST)
    • Alternatywa dla ipchains: wszystko bez SYN
    • Problemy: blokujemy połączenia, ale np. Skanowanie zwykle nadal możliwe!

Notes: