Cos'è l'ispezione statale?
L'ispezione a stato è una tecnica utilizzata nei firewall di rete di computer per proteggere una rete dall'accesso non autorizzato. Anche a volte noto come filtraggio dinamico, il metodo è in grado di ispezionare un intero pacchetto di dati prima di entrare nella rete. In questo modo, ogni pacchetto che entra in qualsiasi interfaccia sul firewall viene controllato completamente per la validità rispetto ai tipi di connessioni che possono passare dall'altra parte. Il processo prende il suo nome perché non solo ispeziona i pacchetti di dati, ma monitora anche lo stato di una connessione che è stata stabilita e consentita attraverso il firewall.
L'idea di ispezione a stato è stata ideata per la prima volta dal software Control Point®, a metà degli anni '90. Prima di Controllare il software del motore Firewall-1 Inspect ™, firewall ha monitorato il livello dell'applicazione, nella parte superiore del modello OPI (Open Systems Interconnection). Questo tendeva a essere molto faticoso per il processore di un computer, quindi l'ispezione dei pacchetti è passata giù perLivelli del modello SI al terzo livello, il livello di rete. L'ispezione dei pacchetti precoci ha controllato solo le informazioni sull'intestazione, le informazioni di indirizzamento e protocollo, dei pacchetti e non avevano modo di distinguere lo stato del pacchetto, ad esempio se si trattava di una nuova richiesta di connessione.
In un firewall di ispezione statale, il metodo di filtraggio dei pacchetti a misura di risorse e rapido viene unita in qualche modo con le informazioni più dettagliate dell'applicazione. Ciò fornisce un certo contesto al pacchetto, fornendo così maggiori informazioni da cui basare le decisioni di sicurezza. Per archiviare tutte queste informazioni, il firewall deve stabilire una tabella, che quindi definisce lo stato della connessione. I dettagli di ogni connessione, comprese le informazioni sull'indirizzo, le porte e i protocolli, nonché le informazioni di sequenziamento per i pacchetti, vengono quindi archiviati nella tabella. L'unica volta che le risorse sono tese è durantela voce iniziale nella tabella dello stato; Successivamente, ogni altro pacchetto abbinato a quello stato non utilizza quasi alcuna risorsa informatica.
Il processo di ispezione statale inizia quando il primo pacchetto che richiede una connessione viene catturato e ispezionato. Il pacchetto è abbinato alle regole del firewall, in cui viene controllato contro una serie di possibili parametri di autorizzazione che sono infinitamente personalizzabili al fine di supportare precedentemente sconosciuti o che non saranno ancora sviluppati software, servizi e protocolli. Il pacchetto catturato inizializza la stretta di mano e il firewall invia una risposta all'utente richiesto che riconosce una connessione. Ora che la tabella è stata popolata con informazioni sullo stato per la connessione, il pacchetto successivo del client viene abbinato allo stato di connessione. Ciò continua fino a quando la connessione è interrotta o viene terminata e la tabella viene cancellata dalle informazioni dello stato per quella connessione.
Questo provoca uno dei problemid dall'ispezione statale firewall la negazione dell'attacco di servizio. Con questo tipo di attacco, la sicurezza non è compromessa tanto da quanto il firewall viene bombardato da numerosi pacchetti iniziali che richiedono una connessione, costringendo la tabella statale a riempire le richieste. Una volta pieno, la tabella di stato non può più accettare alcuna richiesta e quindi tutte le altre richieste di connessione sono bloccate. Un altro metodo di attacco contro un firewall statale sfrutta le regole del firewall per bloccare il traffico in arrivo, ma consentire qualsiasi traffico in uscita. Un utente malintenzionato può ingannare un host sul lato sicuro del firewall per chiedere connessioni dall'esterno, aprendo efficacemente qualsiasi servizio sull'host che l'attaccante può utilizzare.