Was ist eine staatliche Inspektion?
Stateful Inspection ist eine Technik, die in Firewalls des Computer -Netzwerks zum Schutz eines Netzwerks vor unbefugtem Zugriff verwendet wird. Auch als dynamisches Filterung bezeichnet, kann die Methode ein gesamtes Datenpaket inspizieren, bevor es in das Netzwerk eintritt. Auf diese Weise wird jedes Paket, das eine Schnittstelle in der Firewall eingibt, vollständig auf die Gültigkeit der Arten von Verbindungen überprüft, die auf die andere Seite gelangen dürfen. Der Prozess hat seinen Namen, da er nicht nur die Datenpakete inspiziert, sondern auch den Zustand einer Verbindung überwacht, die durch die Firewall hergestellt und zugelassen wurde. Vor dem Check Point's® Firewall-1 Inspect ™ Engine-Software überwachten Firewalls die Anwendungsebene oben im OP-Modell der Open Systems Interconnection (OSI). Dies war tendenziell sehr anstrengend für den Prozessor eines ComputersDie Ebenen des SI -Modells zur dritten Ebene, die Netzwerkschicht. Frühe Paketsprüfung überprüfte nur die Header -Informationen, die Adressierungs- und Protokollinformationen von Paketen und hatten keine Möglichkeit, den Zustand des Pakets zu unterscheiden, z. B. ob es sich um eine neue Verbindungsanforderung handelte.
In einer staatlichen Inspektion Firewall wird die ressourcenfreundliche und schnelle Paketfiltermethode mit den detaillierteren Anwendungsinformationen verschmolzen. Dies gibt dem Paket einen gewissen Kontext und liefert so mehr Informationen, um Sicherheitsentscheidungen zu stützen. Um all diese Informationen zu speichern, muss die Firewall eine Tabelle festlegen, die dann den Zustand der Verbindung definiert. Die Details jeder Verbindung, einschließlich der Adressinformationen, Ports und Protokolle sowie der Sequenzierungsinformationen für die Pakete, werden dann in der Tabelle gespeichert. Das einzige Mal, dass Ressourcen überhaupt angespannt sindder anfängliche Eintritt in die Staatstabelle; Danach verwendet jedes andere Paket gegen diesen Zustand kaum Rechenressourcen.
Der staatliche Inspektionsprozess beginnt, wenn das erste Paket, das eine Verbindung beantragt, erfasst und inspiziert wird. Das Paket wird mit den Regeln der Firewall abgestimmt, in denen es gegen eine Reihe möglicher Autorisierungsparameter überprüft wird, die endlos anpassbar sind, um bisher unbekannte oder noch nicht entwickelt zu werden, Software, Dienste und Protokolle. Das erfasste Paket initialisiert den Handschlag und die Firewall sendet eine Antwort an den anfordernden Benutzer, der eine Verbindung bestätigt. Nachdem die Tabelle mit staatlichen Informationen für die Verbindung besiedelt wurde, wird das nächste Paket des Kunden gegen den Verbindungsstatus abgestimmt. Dies wird fortgesetzt, bis die Verbindung entweder ausfällt oder beendet wird, und die Tabelle wird von den Zustandsinformationen für diese Verbindung gelöscht.
Dies bringt eines der Probleme mit sichd durch die staatliche Inspektion Firewall die Ablehnung des Dienstangriffs. Mit dieser Art von Angriff wird die Sicherheit nicht so stark beeinträchtigt, wie die Firewall mit zahlreichen anfänglichen Paketen bombardiert wird, die eine Verbindung anfordern, und zwingt die Staatstabelle, sich mit Anfragen zu füllen. Sobald die Staatstabelle voll ist, kann die Staatstabelle keine Anfragen mehr annehmen, sodass alle anderen Verbindungsanforderungen blockiert sind. Eine weitere Angriffsmethode gegen eine staatliche Firewall nutzt die Regeln der Firewall, um eingehenden Verkehr zu blockieren, aber einen ausgehenden Verkehr zuzulassen. Ein Angreifer kann einen Host auf der sicheren Seite der Firewall dazu bringen, Verbindungen von außen zu bitten, und öffnen alle Dienste auf dem Host für den Angreifer effektiv.