Co je to státní inspekce?
Státní inspekce je technika používaná v firewallech počítačové sítě k ochraně sítě před neoprávněným přístupem. Metoda, také někdy známá jako dynamické filtrování, je schopna zkontrolovat celý datový paket před jeho vstupem do sítě. Tímto způsobem je každý paket vstupující do jakéhokoli rozhraní na firewallu kompletně zkontrolován z hlediska platnosti u typů připojení, která mohou procházet na druhou stranu. Tento proces získá své jméno, protože nejen kontroluje datové pakety, ale také monitoruje stav připojení, které bylo navázáno a povoleno pomocí brány firewall.
Myšlenka na státní kontrolu byla poprvé navržena softwarem Check Point® již v polovině 90. let. Před softwarem softwaru Firewall-1 INSPECT ™ společnosti Check Point brány firewall sledovaly aplikační vrstvu v horní části modelu propojení otevřených systémů (OSI). To inklinovalo k velmi zdanění na procesoru počítače, takže kontrola paketů posunula vrstvy modelu OSI dolů do třetí vrstvy, síťové vrstvy. Včasná kontrola paketů kontrolovala pouze informace záhlaví, adresování a informace o protokolu paketů a neměla žádný způsob, jak rozlišit stav paketu, například zda se jednalo o nový požadavek na připojení.
Ve stavové inspekční bráně firewall se metoda filtrování paketů šetrná k prostředkům poněkud sloučí s podrobnějšími informacemi o aplikaci. To dává paketu určitý kontext, a tím poskytuje více informací, ze kterých lze vycházet při rozhodování o bezpečnosti. Aby bylo možné všechny tyto informace uložit, musí firewall vytvořit tabulku, která pak definuje stav připojení. Podrobnosti o každém připojení, včetně informací o adrese, portech a protokolech, jakož i informace o sekvenování paketů, jsou poté uloženy v tabulce. Jediné časové zdroje, které jsou napjaté, jsou během počátečního vstupu do tabulky stavu; poté každý další paket porovnaný s tímto stavem používá téměř žádné výpočetní prostředky.
Stavový inspekční proces začíná, když je zachycen a zkontrolován první paket vyžadující připojení. Paket je porovnáván s pravidly firewallu, kde je kontrolován s řadou možných parametrů autorizace, které jsou nekonečně přizpůsobitelné, aby podporovaly dříve neznámý nebo dosud nevyvinutý software, služby a protokoly. Zachycený paket inicializuje handshake a firewall pošle odpověď zpět žádajícímu uživateli, který potvrdí připojení. Nyní, když byla tabulka naplněna informacemi o stavu připojení, bude další paket od klienta porovnán se stavem připojení. To pokračuje, dokud připojení buď vyprší nebo není ukončeno a tabulka nebude vymazána z informací o stavu pro toto připojení.
To způsobuje jeden z problémů, kterým čelí firewall pro kontrolu stavu odmítnutí útoku služby. U tohoto typu útoku není zabezpečení ohroženo, protože firewall je bombardován množstvím počátečních paketů vyžadujících připojení, což nutí stavovou tabulku, aby splnila požadavky. Jakmile je tabulka plná, již nemůže přijímat žádné požadavky, a proto jsou všechny ostatní požadavky na připojení blokovány. Další metoda útoku na stavový firewall využívá pravidla brány firewall k blokování příchozího provozu, ale umožňuje veškerý odchozí provoz. Útočník může podvádět hostitele na zabezpečené straně brány firewall, aby požádal o připojení zvnějšku, aby útočník účinně otevřel jakékoli služby na hostiteli, které má útočník použít.