Was ist Stateful Inspection?
Stateful Inspection ist eine Technik, die in Computernetzwerk-Firewalls zum Schutz eines Netzwerks vor unbefugtem Zugriff verwendet wird. Das auch als dynamische Filterung bezeichnete Verfahren ist in der Lage, ein gesamtes Datenpaket zu prüfen, bevor es in das Netzwerk gelangt. Auf diese Weise wird jedes Paket, das an einer Schnittstelle der Firewall eingeht, vollständig auf Gültigkeit überprüft und mit den Verbindungstypen verglichen, die zur anderen Seite durchgelassen werden dürfen. Der Prozess erhält seinen Namen, weil er nicht nur die Datenpakete überprüft, sondern auch den Status einer Verbindung überwacht, die über die Firewall hergestellt und zugelassen wurde.
Die Idee für eine Stateful Inspection wurde bereits Mitte der 1990er-Jahre von der Check Point®-Software entwickelt. Vor der Check Point® Firewall-1 INSPECT ™ Engine-Software haben Firewalls die Anwendungsebene auf der Oberseite des OSI-Modells (Open Systems Interconnection) überwacht. Dies war für den Prozessor eines Computers in der Regel sehr anstrengend, sodass die Paketinspektion die Schichten des OSI-Modells auf die dritte Schicht, die Netzwerkschicht, verlagerte. Die frühe Paketinspektion überprüfte nur die Header-Informationen, die Adressierungs- und Protokollinformationen von Paketen und hatte keine Möglichkeit, den Status des Pakets zu unterscheiden, beispielsweise, ob es sich um eine neue Verbindungsanforderung handelte.
In einer Stateful Inspection-Firewall wird die ressourcenschonende und schnelle Paketfiltermethode etwas mit den detaillierteren Anwendungsinformationen zusammengeführt. Dies gibt dem Paket einen gewissen Kontext, wodurch mehr Informationen bereitgestellt werden, auf deren Grundlage Sicherheitsentscheidungen getroffen werden können. Um all diese Informationen zu speichern, muss die Firewall eine Tabelle erstellen, die den Status der Verbindung definiert. Die Details jeder Verbindung, einschließlich der Adressinformationen, Ports und Protokolle sowie der Sequenzierungsinformationen für die Pakete, werden dann in der Tabelle gespeichert. Die einzige Zeit, in der Ressourcen überhaupt belastet werden, ist der erste Eintrag in die Statustabelle. Danach verbraucht jedes zweite Paket, das mit diesem Status abgeglichen wird, kaum noch Rechenressourcen.
Der zustandsbehaftete Prüfprozess beginnt, wenn das erste Paket, das eine Verbindung anfordert, erfasst und geprüft wird. Das Paket wird mit den Firewall-Regeln abgeglichen, wobei es mit einer Reihe von möglichen Berechtigungsparametern verglichen wird, die endlos anpassbar sind, um bisher unbekannte oder noch zu entwickelnde Software, Dienste und Protokolle zu unterstützen. Das erfasste Paket initialisiert den Handshake und die Firewall sendet eine Antwort an den anfordernden Benutzer, der eine Verbindung bestätigt. Nachdem die Tabelle mit Statusinformationen für die Verbindung gefüllt wurde, wird das nächste Paket vom Client mit dem Verbindungsstatus abgeglichen. Dies wird fortgesetzt, bis die Verbindung entweder eine Zeitüberschreitung aufweist oder beendet wird und die Tabelle von den Statusinformationen für diese Verbindung gelöscht wird.
Dies führt zu einem der Probleme, mit denen die Stateful Inspection-Firewall konfrontiert ist, nämlich zu einem Denial-of-Service-Angriff. Bei dieser Art von Angriff wird die Sicherheit nicht gefährdet, da die Firewall mit zahlreichen anfänglichen Paketen bombardiert wird, die eine Verbindung anfordern, und die Statustabelle gezwungen wird, sich mit Anforderungen zu füllen. Einmal voll, kann die Statustabelle keine Anfragen mehr annehmen, so dass alle anderen Verbindungsanfragen blockiert werden. Eine andere Angriffsmethode gegen eine Stateful-Firewall nutzt die Firewall-Regeln, um eingehenden Datenverkehr zu blockieren, aber ausgehenden Datenverkehr zuzulassen. Ein Angreifer kann einen Host auf der sicheren Seite der Firewall dazu verleiten, nach Verbindungen von außen zu fragen, und so alle Dienste auf dem Host für den Angreifer öffnen.