Qu'est-ce que l'inspection dynamique?
L'inspection avec état est une technique utilisée dans les pare-feu de réseaux informatiques pour protéger un réseau contre les accès non autorisés. Également parfois appelé filtrage dynamique, le procédé est capable d'inspecter un paquet de données entier avant qu'il ne pénètre dans le réseau. De cette manière, la validité de chaque paquet entrant dans une interface du pare-feu est intégralement vérifiée par rapport aux types de connexions autorisées à passer de l'autre côté. Le processus tire son nom car il inspecte non seulement les paquets de données, mais surveille également l'état d'une connexion établie et autorisée via le pare-feu.
L'idée de l'inspection dynamique a été imaginée par le logiciel Check Point®, au milieu des années 90. Avant le logiciel du moteur INSPECT ™ Firewall-1 Fire Check-1, des pare-feu surveillaient la couche d'application, en haut du modèle d'interconnexion de systèmes ouverts (OSI). Cela tendait à être très éprouvant pour le processeur d'un ordinateur, de sorte que l'inspection des paquets a déplacé les couches du modèle OSI vers la troisième couche, la couche réseau. L'inspection précoce des paquets vérifiait uniquement les informations d'en-tête, les informations d'adressage et de protocole des paquets et ne permettait pas de distinguer l'état du paquet, par exemple s'il s'agissait d'une nouvelle demande de connexion.
Dans un pare-feu d'inspection avec état, la méthode de filtrage de paquets rapide et conviviale est un peu fusionnée avec les informations d'application plus détaillées. Cela donne un certain contexte au paquet, fournissant ainsi plus d'informations à partir desquelles baser les décisions de sécurité. Pour stocker toutes ces informations, le pare-feu doit établir une table, qui définit ensuite l'état de la connexion. Les détails de chaque connexion, y compris les informations d'adresse, les ports et les protocoles, ainsi que les informations de séquencement des paquets, sont ensuite stockés dans la table. Le seul temps pendant lequel les ressources sont sollicitées est lors de l'entrée initiale dans la table d'états; ensuite, chaque autre paquet mis en correspondance avec cet état utilise très peu de ressources informatiques.
Le processus d'inspection avec état commence lorsque le premier paquet demandant une connexion est capturé et inspecté. Le paquet est mis en correspondance avec les règles du pare-feu, où il est comparé à un ensemble de paramètres d’autorisation possibles qui sont infiniment personnalisables afin de prendre en charge des logiciels, des services et des protocoles inconnus ou à développer. Le paquet capturé initialise la prise de contact et le pare-feu renvoie une réponse à l'utilisateur demandeur accusant réception d'une connexion. Maintenant que la table a été renseignée avec les informations d'état pour la connexion, le prochain paquet du client est mis en correspondance avec l'état de la connexion. Cela se poursuit jusqu'à ce que la connexion expire ou soit terminée, et que la table soit effacée des informations d'état pour cette connexion.
Cela soulève l’un des problèmes rencontrés par le pare-feu à inspection dynamique, l’attaque par déni de service. Avec ce type d'attaque, la sécurité n'est pas compromise dans la mesure où le pare-feu est bombardé de nombreux paquets initiaux demandant une connexion, ce qui oblige la table d'état à se remplir de requêtes. Une fois remplie, la table d'état ne peut plus accepter aucune demande et toutes les autres demandes de connexion sont donc bloquées. Une autre méthode d'attaque contre un pare-feu avec état utilise les règles du pare-feu pour bloquer le trafic entrant, mais autorise tout le trafic sortant. Un attaquant peut amener un hôte du côté sécurisé du pare-feu à demander des connexions de l'extérieur, ouvrant ainsi tous les services de l'hôte à l'usage de l'attaquant.