¿Qué es la inspección con estado?
La inspección con estado es una técnica utilizada en los firewalls de la red de computadoras para proteger una red del acceso no autorizado. También a veces conocido como filtrado dinámico, el método es capaz de inspeccionar un paquete de datos completo antes de ingresar a la red. De esta manera, cada paquete que ingresa a cualquier interfaz en el firewall se verifica por completo para la validez contra los tipos de conexiones que pueden pasar al otro lado. El proceso recibe su nombre porque no solo inspecciona los paquetes de datos, sino que también monitorea el estado de una conexión que se ha establecido y permitido a través del firewall.
La idea para la inspección estatosa fue ideada por primera vez por el software Check Point®, a mediados de la década de 1990. Antes de Check Point's® Firewall-1 Inspect ™ Engine Software, Firewalls monitoreó la capa de aplicación, en la parte superior del modelo de interconexión de sistemas abiertos (OSI). Esto tendió a ser muy exigente en el procesador de una computadora, por lo que la inspección de paquetes redujo la OCapas del modelo SI a la tercera capa, la capa de red. La inspección temprana de paquetes solo verificó la información del encabezado, la información de direccionamiento y protocolo, de los paquetes y no tenía forma de distinguir el estado del paquete, como si se trataba de una nueva solicitud de conexión.
En un firewall de inspección con estado, el método de filtrado de paquetes rápidos y amigables para los recursos se fusiona un poco con la información de la aplicación más detallada. Esto le da cierto contexto al paquete, proporcionando así más información para basar las decisiones de seguridad. Para almacenar toda esta información, el firewall necesita establecer una tabla, que luego define el estado de la conexión. Los detalles de cada conexión, incluida la información de la dirección, los puertos y los protocolos, así como la información de secuenciación para los paquetes, se almacenan en la tabla. El único tiempo que se tensan en absoluto es durantela entrada inicial en la tabla de estado; Después de eso, cualquier otro paquete coincidente con ese estado usa apenas recursos informáticos.
El proceso de inspección con estado comienza cuando se captura e inspecciona el primer paquete que solicita una conexión. El paquete se combina con las reglas del firewall, donde se verifica con una variedad de posibles parámetros de autorización que son infinitamente personalizables para admitir previamente desconocidas o aún por desarrollarse, software, servicios y protocolos. El paquete capturado inicializa el apretón de manos, y el firewall envía una respuesta al usuario solicitante que reconoce una conexión. Ahora que la tabla se ha poblado con información de estado para la conexión, el siguiente paquete del cliente coincide con el estado de conexión. Esto continúa hasta la conexión, ya sea fuera o termina, y la tabla se borra de la información de estado para esa conexión.
Esto trae uno de los problemasD por el firewall de inspección con estado, el ataque de negación del servicio. Con este tipo de ataque, la seguridad no se ve comprometida tanto como el firewall es bombardeado con numerosos paquetes iniciales que solicitan una conexión, lo que obliga a la tabla estatal a llenar las solicitudes. Una vez llena, la tabla de estado ya no puede aceptar ninguna solicitud, por lo que todas las demás solicitudes de conexión están bloqueadas. Otro método de ataque contra un firewall con estado aprovecha las reglas del firewall para bloquear el tráfico entrante, pero permitir cualquier tráfico saliente. Un atacante puede engañar a un host en el lado seguro del firewall para que solicite conexiones desde el exterior, abriendo efectivamente cualquier servicio en el host para que el atacante use.