UDP bağlantı zaman aşımı gerçekten ne anlama geliyor?

18

UDP bağlantısız bir protokol olduğundan, Sonicwall Güvenlik Duvarımdaki "UDP Bağlantı Zaman Aşımı" ayarıyla kafam karıştı. Varsayılan 30 saniye olarak ayarlanmıştır - ancak 30 saniye sonra tam olarak zaman aşımına uğrayan nedir?

O NE LAN?

İşte gerçek dünyadaki durumum: Ntp.org havuzunda dakikada yaklaşık 3000 sorgu sunan bir NTP sunucum var. Bu, bant genişliği açısından değil, SOHO sınıf TZ-200'üme biraz zorlama getiriyor; ancak bağlantı sayısı bakımından içinden geçer. UDP bağlantılarının bir şekilde SonicWall'da 'canlı tutulduğunu' merak ediyorum; (tanım gereği) bağlantısız olmalarına rağmen.

Burada ne eksik? Bir "UDP Bağlantı Zaman Aşımı" hakkında konuşurken SonicWall ne anlama geliyor?

sonicwall  udp 
Jon Wadsworth
kaynak
Güvenlik duvarları genellikle güvenlik duvarı içindeki bir makine tarafından kurulan bir bağlantı için paketlere izin verir. Ancak UDP'nin bağlantısı yok. Bu nedenle, tüm UDP paketlerine izin vermek, tüm UDP paketlerini engellemek veya "UDP bağlantılarının" ne olduğunu tahmin etmeye çalışmak, bu nedenle yalnızca bu "bağlantıların" parçası olan paketlere izin vermektir. Tüm (?) Güvenlik duvarı satıcıları son yaklaşımı benimser.
user253751
Immibis tarif ettiği gibi. Ağ Adresi Çevirisi veya NAT nedeniyle bir internet / alt ağ geçidi yönlendiricisi yalnızca alt ağdaki bir istemcinin bağlantıyı başlattığı TCP'ye (neredeyse tüm trafik TCP'dir) izin verir. Çünkü bağlantı geliyorsa NAT için bir bağlantı noktası atamanın bir yolu yoktur. Yönlendirici kime göndereceğini nasıl biliyor? UDP'nin bir bağlantısı bile yok, bu yüzden yönlendirici UDP isteklerini nasıl ele alacak? Bunun bir yolu giden UDP paketlerini takip etmektir.
marshal craft
Bir sunucu barındırıyorsanız, bağlantı almayı beklediğiniz bağlantı noktalarını yönlendirmeniz gerekir, ancak her şeye hazırlıklı olun.
marshal zanaat

Yanıtlar:

16

UDP ile resmi bir "bağlantı" olmasa da, istemcilerin hedef IP ve bağlantı noktası ile değiştirilen kaynak IP ve bağlantı noktasıyla geri yanıt almasını bekledikleri bir kural vardır.

Bu nedenle durum bilgisi olan güvenlik duvarları ve NAT'lar, kaynak IP / kaynak bağlantı noktası / Hedef IP / Hedef bağlantı noktası ile ilgili kombinasyonun ve kaynak ve hedef takas ile ilgili kombinasyonun bir "bağlantının" bir parçasını oluşturduğunu varsayar. Bu, "yalnızca giden bağlantılar" gibi kuralların UDP'ye uygulanmasına ve yanıt paketlerine ters çevirilerin uygulanmasına izin verir.

Ne yazık ki güvenlik duvarının veya NAT'ın istemcinin sunucuyla ne zaman konuşmayı bitirdiğini bilmesinin bir yolu yoktur. Bu nedenle, girişi durum izleme tablolarından kaldırmadan önce bir zaman aşımı beklemek zorundadır. Ayarladığınız zaman aşımı budur.

Prensipte, giden bağlantılar için durum bilgisi olan bir yaklaşım sürdürürken bağlantı noktası ileri için durum bilgisi olmayan bir yaklaşım kullanan bir NAT kutusu oluşturmak mümkün olabilir, ancak her şey için durum bilgisi olan NAT kullanmak daha basittir ve satıcınızın yaptığı şey budur.

Ne yazık ki bu çok sayıda küçük istekte hizmet veren durumsuz UDP sunucuları için berbat olduğunu keşfetti. Güvenlik duvarının sunucudan çok daha fazla kaynak tükettiği bir durumla karşılaşırsınız.

Peter Green
kaynak
2
Harika cevap için teşekkürler Peter! Benim durumumda, SonicWall belirli bir güvenlik duvarı kuralında UDP "bağlantı zaman aşımı" azaltmama izin veriyor, bu yüzden NTP ilkesinin kuralını 5 saniyeye (varsayılan 30'dan) düşüreceğim.
Jon Wadsworth
1
Not: Bunu yaptıktan sonra, Sonicwall tarafından bildirilen 'toplam bağlantıların' ~ 1500'den ~ 400'e düştüğünü gördüm. Mükemmel! Harika cevap için tekrar teşekkürler.
Jon Wadsworth
1
Çoğu akış protokolünün VOIP'in medya kısmını içeren UDP kullandığını unutmayın (SIP kullanılarak müzakere edildikten sonra). Tüm VOIP telefonları (sabit veya yumuşak), bağlantı noktaları kesilirse medya bağlantısını yeniden müzakere etmekte büyük olmadığından, trafik yoksa (örneğin, beklemeye alma, her iki tarafın sesi kapatıldı, vb.) Zaman aşımı süresine sahip olmak sorun yaratabilir. . Diğerleri, 5 saniyeden daha uzak olabilen periyodik olarak küçük sinyaller göndererek 'canlı tut' kullanırlar.
Chuck van der Linden
11

Güvenlik duvarınız UDP bağlantıları için bir bağlantı tablosu tutuyor. Örneğin, bir DNS sorgusu gönderdiğinizde, güvenlik duvarı bu akış için bir girdi oluşturur, böylece DNS yanıtının ağınıza geri girmesine izin verilir. Tablodaki girişler, hiçbir işlem yapılmadığında 30 saniye sonra zaman aşımına uğrar.

Ron Trunk
kaynak
Teşekkürler Ron. Gelen bağlantılarla ilgili olarak bu Bağlantı Tablosu hakkında yorum yapabilir misiniz? NTP sunucum içeride olduğundan, bu gelen bağlantılar için gerçekten 'kapıyı açık tutmaya' gerek olmamalı, çünkü içerideki Sunucum kaynağa her zaman geri dönebilir (çok açık gidenim var) ) yönetir. Hızlı cevap için teşekkürler!
Jon Wadsworth
3
Bağlantı tablosu, bağlantı yönüne bakılmaksızın oluşturulur ve gerçekte derhal sorgu sunucusuna geri dönen güvenlik duvarı aracılığıyla sunucunuzdan gelen yanıt paketi için kullanılır. Güvenlik duvarı, ilk sorguyu yanıtla ilişkilendirmek için bir grup (src ip, src bağlantı noktası, dst ip, dst bağlantı noktası) tutar. Güvenlik duvarına belirli bir UDP oturumunun bittiğini ve soketin kapandığını gösteren bir semafor olmadığından zaman aşımı değeri kullanılır.
rnxrx
2

NTP sunucunuz NAT'ınızın (güvenlik duvarı) arkasında. UDP, uygulama ve işletim sistemi açısından ve yol boyunca çoğu ağ cihazı için bağlantısızdır.

Ancak NAT güvenlik duvarınız için, bir UDP paketi her çıktığında kayıt yapar, böylece diğer uçtan gelen bir yanıt ağınızdaki aynı bilgisayara yeniden yönlendirilir. Bunlar güvenlik duvarı tarafından "bağlantılar" olarak adlandırılır.

Şimdi, teoride, NAT, harici bağlantı noktasının NTP tarafından bilinen bağlantı noktası olacağını biliyor, ancak güvenlik duvarınız bunu desteklemiyor gibi görünüyor. Bu güvenlik duvarı üzerinden yalnızca UDP kullanımınızsa, Bağlantı zaman aşımını daha küçük bir sayıya ayarlayabilirsiniz. Alternatif olarak, uygulama bağlantı noktası tarafından ayarlamanıza izin verirse, söz konusu bağlantı noktası için daha kısa bir süreye (1 saniye, örneğin) ayarlayabilirsiniz.

Alan
kaynak
1
Zaman aşımı NAT'a özgü değildir; herhangi bir durum bilgisi olan güvenlik duvarında bir tane olacaktır.
user1686
Güvenlik duvarı NAT yapmaz, NAT üzerinden geçiş yapan paketleri filtrelemeye çalışır, böylece yönlendirici ve NAT ile olan ilişki.
marshal zanaat
İnternet'e bir ağ geçidi yönlendiricisi Herhangi bir bilgisayar bir alt ağda bulunduğundan NAT kullanılmalıdır, yalnızca ağ geçidi yönlendiricisi gerçek bir İnternet IP adresine sahiptir. Her bir bilgisayar internette bir şey olsaydı son derece boşa giderdi. Ağ geçidi yönlendiricisinde bazen hepsi tek bir internet IP adresiyle ilişkilendirilmiş büyük bir bilgisayar grubu bulunur. Web'den gelen paketler ve ağındaki bilgisayarlar arasında birebir çevirmek için berkly bir web soketi kullanır. İnsanlar bunu anlamıyor gibi görünüyor.
marshal craft
0

IPv6'nın NAT'a ihtiyacı yoktur, ancak yine de güvenlik duvarları UDP açısından durumdaymış gibi görünür.

David Howard
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.