SPI (stateful packet inspection)

Unter Stateful Packet Inspection (SPI) versteht man eine dynamische Paketfilterung, bei der jedes Datenpaket zustandsorientiert (stateful) überprüft und einer bestimmten aktiven Session zugeordnet wird. Die Datenpakete werden analysiert und der Verbindungsstatus wird in die Entscheidung einbezogen.


Die dynamische Paketfilterung ist aus der statischen Paketfilterung, dem Static Packet Filtering (SPF), hervorgegangen und wird u.a. in Firewalls eingesetzt. Bei dem SPI-Verfahren werden die Datenpakete während der Übertragung auf der Vermittlungsschicht analysiert, und zwar bis zur Anwendungsebene, und in dynamischen Zustandstabellen gespeichert. Auf Basis des Vergleichs von mehreren Datenpaketen und durch die Ermittlung der Korrelation zwischen zusammengehörenden Datenpaketen werden die Entscheidungen für die Weiterleitung der Datenpakete getroffen. Das Regelwerk von Stateful Packet Inspection ist relativ einfach und sagt aus, dass eine HTTP-Anfrage nur von einem Rechner an einen anderen erfolgen kann. Da das dynamische Paketfilter die Kommunikationsverbindung speichert, darf nur der zweite Computer dem anfragenden Computer antworten. SPI-Systeme haben einen Timeout in dem der Vorgang durchgeführt sein muss. Dadurch kann auch der Zeitpunkt der Aktion in die Entscheidung einbezogen werden, und man kann daraus Rückschlüsse ziehen, ob sich die Antwort auf eine entsprechende Anfrage bezieht.

Datenpakete, die nicht bestimmten Kriterien zugeordnet werden können oder eventuell zu einer DoS-Attacke gehören, werden verworfen. Firewalls mit SPI-Technik sind daher in sicherheitsrelevanten Anwendungen den reinen Paketfilter-Firewalls überlegen.

Eine weiterführende Technik ist das Deep Packet Inspection (DPI) bei dem der Informationsinhalt des Payloads analysiert und interpretiert wird. Das DPI-Verfahren kann für die Kontrolle und auch für die Zensur eingesetzt werden.

Informationen zum Artikel
Deutsch:
Englisch: stateful packet inspection - SPI
Veröffentlicht: 20.07.2019
Wörter: 257
Tags: #Netzwerk-Sicherheitskonzepte
Links: Computer, Datenpaket, DoS (denial of service), DPI (deep packet inspection), Firewall