Hvad er statlig inspektion?
Statisk inspektion er en teknik, der bruges i computernetværks firewalls til at beskytte et netværk mod uautoriseret adgang. Også kendt som dynamisk filtrering er metoden i stand til at inspicere en hel datapakke, inden den går ind i netværket. På denne måde kontrolleres enhver pakke, der kommer ind i en hvilken som helst grænseflade på firewall, for gyldighed over for de typer forbindelser, der får lov til at passere til den anden side. Processen får sit navn, fordi den ikke kun inspicerer datapakkerne, men også overvåger tilstanden af en forbindelse, der er oprettet og tilladt via firewall.
Ideen til tilsynsførende inspektion blev først udtænkt af Check Point®-software allerede i midten af 1990'erne. Før Check Point's® Firewall-1 INSPECT ™ -motorsoftware overvågede firewalls applikationslaget øverst på OSI-modellen (open systems interconnection). Dette havde en tendens til at være meget skat på en computers processor, så pakkeinspektion flyttede ned af OSI-modellens lag til det tredje lag, netværkslaget. Tidlig pakkeinspektion kontrollerede kun overskriftsoplysningerne, adresserings- og protokoloplysninger for pakker og havde ingen måde at skelne pakkeens tilstand på, som f.eks. Om det var en ny forbindelsesanmodning.
I en stateful inspektion firewall er den ressourcevenlige og hurtige pakkefiltreringsmetode smeltet sammen med de mere detaljerede applikationsoplysninger. Dette giver en vis kontekst til pakken, hvorved der gives mere information, hvorfra man kan basere sikkerhedsbeslutninger. For at gemme alle disse oplysninger skal firewallen oprette en tabel, der derefter definerer forbindelsens tilstand. Detaljerne om hver forbindelse, inklusive adresseoplysninger, porte og protokoller, samt sekvensoplysninger for pakkerne, gemmes derefter i tabellen. Den eneste gang ressourcer er anstrengt overhovedet er under den indledende adgang til statstabellen; Derefter bruger hver anden pakke, der matches mod denne tilstand, næsten ingen computerressourcer.
Den statusfulde inspektionsproces begynder, når den første pakke, der anmoder om en forbindelse, indfanges og inspiceres. Pakken matches med firewallens regler, hvor den kontrolleres mod en række mulige autorisationsparametre, der er uendelige, der kan tilpasses for at understøtte tidligere ukendte, eller som endnu ikke er udviklet, software, tjenester og protokoller. Den optagne pakke initialiserer håndstrykket, og firewall sender et svar tilbage til den anmodende bruger, der bekræfter en forbindelse. Nu hvor tabellen er udfyldt med tilstandsoplysninger for forbindelsen, matches den næste pakke fra klienten med forbindelsestilstanden. Dette fortsætter, indtil forbindelsen enten afbrydes eller afsluttes, og tabellen ryddes for tilstandsoplysningerne for den forbindelse.
Dette bringer et af de problemer, som den statlige inspektions firewall står overfor, angreb på afslag på service. Med denne type angreb kompromitteres ikke sikkerheden, da firewall bombarderes med adskillige indledende pakker, der anmoder om en forbindelse, hvilket tvinger statustabellen til at udfylde med anmodninger. Når den er fuld, kan statstabellen ikke længere acceptere nogen anmodninger, og derfor blokeres alle andre forbindelsesanmodninger. En anden angrebsmetode mod en tilstandfuld firewall drager fordel af firewallens regler for at blokere indgående trafik, men tillader enhver udgående trafik. En angriber kan narre en vært på den sikre side af firewallen til at bede om forbindelser udefra og effektivt åbne alle tjenester på værten for angriberen til at bruge.