:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Stateful Packet Inspection (SPI) Was ist Stateful Packet Inspection?
Stateful Packet Inspection ist ein dynamische Paketfiltertechnik für Firewalls, die im Gegensatz zu statischen Filtertechniken den Zustand einer Datenverbindung in die Überprüfung der Pakete einbezieht. Sie erkennt beispielsweise aktive TCP-Sessions und kann Datenpakete auf Basis des Session-Status zulassen oder blockieren. SPI sorgt für höhere Sicherheit der Firewall-Überprüfung und reduziert die Anzahl zu definierender Regeln.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
SPI ist die Abkürzung für Stateful Packet Inspection. Der deutsche Begriff lautet "zustandsorientierte Überprüfung der Datenpakete". Es handelt sich um eine dynamische Paketfiltertechnik für Firewalls. Im Gegensatz zu statischen Filtertechniken wie Static Packet Filtering (SPF) ist SPI in der Lage, den Verbindungsstatus einer Session bei der Entscheidung, ob ein Datenpaket zugelassen oder blockiert wird, zu berücksichtigen. Stateful Packet Inspection erkennt beispielsweise aktive TCP-Sessions und ordnet die überprüften Pakete aktiven Verbindungen zu.
Eine SPI-Firewall muss die Datenpakete auf der Schicht drei des ISO/OSI-Referenzmodells analysieren und Zustandstabellen anlegen und pflegen. Die dynamischen Zustandstabellen bilden die Basis für die Weiterleitung oder das Blockieren der Datenpakete. Entstanden ist Stateful Packet Inspection in den 1990er-Jahren aus statischen Paketfiltertechniken. Das Unternehmen Check Point Software Technologies hat die Technik ursprünglich entwickelt. Vorteile der zustandsorientierten Prüfung der Datenpakete sind eine erhöhte Sicherheit der Firewall-Überprüfung und die Reduzierung der zu definierenden Firewall-Regeln. Nicht verwechselt werden darf SPI mit Deep Packet Inspection (DPI). DPI ist in der Lage, die Nutzlast der Datenpakete zu überprüfen und Protokolle oder Anwendungen bis auf den höchsten OSI-Layer zu analysieren.
Gegenüberstellung von Stateful Packet Inspection und statischen Paketfiltern
Stateful Packet Inspection ist aus dem Static Packet Filtering (SPF) hervorgegangen und hat in modernen Firewalls ältere Technologien ersetzt. Statische Paketfilter analysieren Datenpakete nur auf Basis von Header-Informationen wie IP-Adressen oder Ports und sind nicht in der Lage, den Verbindungsstatus einer Kommunikation zwischen einem Sender und Empfänger zu erkennen. Um den Datenaustausch zwischen zwei Partnern zu ermöglichen, sind die Hin- und die Rückrichtung der Pakete getrennt zu erlauben. Da der Verbindungsstatus jedoch nicht erkannt wird, kann ein Teilnehmer Pakete senden, auch wenn die Gegenstelle überhaupt keine Daten angefordert hat oder keine aktive Session zwischen beiden besteht. Ein Filter auf Basis von Stateful Packet Inspection hingegen merkt sich, ob eine Verbindung aktiv ist, und blockiert Datenpakete ohne vorher stattgefundene Kommunikation oder Anforderung.
Funktionsweise von SPI
Eine Firewall mit Stateful Packet Inspection muss Datenpakete hinsichtlich ihres Verbindungsstatus analysieren. Dafür ist es beispielsweise notwendig, innerhalb einer TCP-Session Kommandos wie SYN, ACK oder FIN auszuwerten. Aus den Analysen erstellt die Firewall dynamische Zustandstabellen, in denen die Verbindungsstati vieler Kommunikationsbeziehungen gespeichert sind. Jedes zu überprüfende Datenpaket wird versucht, einer aktiven Verbindung zuzuordnen. Nur Antwortpakete einer aktiven Verbindung leitet die Firewall weiter. Über Timeouts lässt sich festlegen, ab wann eine Verbindung automatisch als inaktiv gekennzeichnet ist und eine erhaltene Antwort nicht mehr einer Session zugeordnet wird. TCP- oder UDP-Ports bleiben ohne eine aktive Verbindung geschlossen und können von unbeteiligten nicht gescannt werden. SPI-Firewalls können darüber hinaus eigentlich verbindungslose Protokolle wie UDP (User Datagram Protocol) stateful überprüfen. Auf Basis von UDP-Paketen werden ebenfalls Zustandstabellen angelegt. Ankommende UDP-Pakete lässt die Firewall nur durch, wenn zuvor eine UDP-Anforderung erfolgt ist.
(ID:46834922)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945969/original.jpg "Eine DDoS-Schutzlösung sollte hybrid konzipiert sein (kentoh - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/56/235682a742ab92278afd8517646696af/0108131029.jpeg "Oft ist das umfassende Analyse-Werkzeug WireShark überdimensioniert, wenn es um die Erfassung von Netzwerkdaten geht. Besser geeignet ist hier oft tcpdumb. (Bild: The Tcpdump Group. Designed by Luis MartinGarcia)")