Co je to stavová inspekce?
6 Metoda je také někdy známá jako dynamické filtrování a před vstupem do sítě je schopna kontrolovat celý datový paket. Tímto způsobem je každý paket vstupující do jakéhokoli rozhraní na brány firewall zcela zkontrolován z hlediska platnosti proti typům spojení, která mohou procházet na druhou stranu. Proces získá jeho název, protože nejen v kontrole datových paketů, ale také monitoruje stav spojení, které bylo vytvořeno a povoleno prostřednictvím firewall.
Myšlenka pro stavovou inspekci byla poprvé navržena softwarem Check Point®, v polovině 90. let. Před softwarem Engine Software pro kontrolu Point's® Firewall-1 Inspect ™ monitoroval aplikační vrstvu v horní části modelu propojení otevřených systémů (OSI). To mělo tendenci být velmi zdaněno na procesoru počítače, takže inspekce paketů se posunula dolůVrstvy modelu SI do třetí vrstvy, síťové vrstvy. Včasná inspekce paketů pouze zkontrolovala informace o záhlaví, adresování a informace o protokolu, paketů a neměla způsob, jak rozlišit stav paketu, například to, zda se jednalo o nový požadavek na připojení.
Ve stavové inspekční firewall se metoda filtrování filtrování paketů pro zdroje poněkud sloučí s podrobnějšími informacemi o aplikaci. To poskytuje určitý kontext paketu, čímž poskytuje více informací, z nichž lze založit bezpečnostní rozhodnutí. K uložení všech těchto informací musí firewall vytvořit tabulku, která pak definuje stav spojení. Podrobnosti o každém připojení, včetně informací o adrese, portů a protokolů, jakož i informací o sekvenování pro pakety, jsou poté uloženy v tabulce. Jediný čas, kdy jsou zdroje napjaté, jsou běhempočáteční vstup do tabulky státu; Poté se každý další paket shoduje s tímto státem, který používá téměř žádné výpočetní prostředky.
Statentní proces inspekce začíná, když je první paket požadující připojení zachycen a zkontrolován. Paket je porovnáván s pravidly brány firewall, kde je kontrolován proti řadě možných autorizačních parametrů, které jsou nekonečně přizpůsobitelné za účelem podpory dříve neznámého, nebo dosud být vyvinuty software, služby a protokoly. Zachycený paket inicializuje handshake a firewall odešle odpověď zpět žádajícímu uživateli, který potvrzuje připojení. Nyní, když byla tabulka naplněna informacemi o stavu pro připojení, je další paket od klienta odpovídán stavu připojení. To pokračuje až do spojení, ať už je spojení, nebo je ukončena a tabulka je vymazána na státní informace pro toto spojení.
To přináší jeden z problémů čelitd Stavovou inspekcí Firewall Útok odmítnutí služby. S tímto typem útoku není zabezpečení ohroženo, stejně jako firewall je bombardován četnými počátečními pakety požadujícími spojení, což nutí státní tabulku, aby naplnila požadavky. Jakmile je státní tabulka plná, již nemůže přijímat žádné požadavky, a tak jsou zablokovány všechny ostatní požadavky na připojení. Další metoda útoku proti stavové firewall využívá pravidla brány firewall k blokování příchozího provozu, ale umožňuje jakýkoli odchozí provoz. Útočník může oklamat hostitele na zabezpečené straně brány firewall, aby požádal o spojení zvenčí a účinně otevíral jakékoli služby na hostiteli pro útočníka, který má použít.