Qu'est-ce que l'inspection avec état?
L'inspection avec état est une technique utilisée dans les pare-feu de réseau informatique pour protéger un réseau contre un accès non autorisé. Aussi parfois connu sous le nom de filtrage dynamique, la méthode est capable d'inspecter un paquet de données entier avant qu'il ne pénètre dans le réseau. De cette façon, chaque paquet entrant dans n'importe quelle interface sur le pare-feu est complètement vérifié par rapport aux types de connexions qui peuvent passer de l'autre côté. Le processus tire son nom car il inspecte non seulement les paquets de données, mais surveille également l'état d'une connexion qui a été établie et autorisée à travers le pare-feu
L'idée d'inspection avec état a été conçue pour la première fois par le logiciel Check Point®, au milieu des années 1990. Avant de vérifier le logiciel de moteur Inspecte ™ de vérification de Point's® Inspect ™, les pare-feu ont surveillé la couche d'application, en haut du modèle d'interconnexion des systèmes ouverts (OSI). Cela avait tendance à être très éprouvant sur le processeur d'un ordinateur, l'inspection des paquets a donc baissé dans le OLes couches du modèle SI à la troisième couche, la couche réseau. L'inspection précoce des paquets n'a vérifié que les informations de l'en-tête, les informations sur l'adressage et le protocole, les paquets et n'avaient aucun moyen de distinguer l'état du paquet, par exemple s'il s'agissait d'une nouvelle demande de connexion.
Dans un pare-feu d'inspection avec état, la méthode de filtrage des paquets conviviale et rapide est fusionnée avec les informations d'application plus détaillées. Cela donne un certain contexte au paquet, fournissant ainsi plus d'informations à partir desquelles baser les décisions de sécurité. Pour stocker toutes ces informations, le pare-feu doit établir une table, qui définit ensuite l'état de la connexion. Les détails de chaque connexion, y compris les informations d'adresse, les ports et les protocoles, ainsi que les informations de séquençage pour les paquets, sont ensuite stockés dans le tableau. Les seules ressources temporelles sont tendues du tout est pendantl'entrée initiale dans la table d'état; Après cela, tous les autres paquets correspondants à cet état n'utilisent pratiquement aucune ressource informatique.
Le processus d'inspection avec état commence lorsque le premier paquet demandant une connexion est capturé et inspecté. Le paquet est égalé aux règles du pare-feu, où elle est vérifiée par rapport à un éventail de paramètres d'autorisation possibles qui sont infiniment personnalisables afin de prendre en charge auparavant inconnu, ou encore à développer des logiciels, des services et des protocoles. Le paquet capturé initialise la poignée de main et le pare-feu renvoie une réponse à l'utilisateur demandé reconnaissant une connexion. Maintenant que le tableau a été rempli d'informations d'état pour la connexion, le paquet suivant du client est égalé à l'état de connexion. Cela se poursuit jusqu'à ce que la connexion soit à la fin ou est terminée, et le tableau est effacé des informations de l'état pour cette connexion.
Cela amène l'un des problèmes auxquels sont confrontésD par le pare-feu d'inspection avec état l'attaque de déni de service. Avec ce type d'attaque, la sécurité n'est pas compromise autant que le pare-feu est bombardée de nombreux paquets initiaux demandant une connexion, forçant la table d'État à remplir de demandes. Une fois plein, le tableau d'état ne peut plus accepter aucune demande, et donc toutes les autres demandes de connexion sont bloquées. Une autre méthode d'attaque contre un pare-feu avec état tire les règles du pare-feu pour bloquer le trafic entrant, mais permettez tout trafic sortant. Un attaquant peut tromper un hôte du côté sécurisé du pare-feu pour demander des connexions de l'extérieur, ouvrant efficacement tous les services de l'hôte pour l'attaquant à utiliser.