Wat is stateful inspectie?

Stateful inspectie is een techniek die wordt gebruikt in computernetwerkfirewalls voor het beschermen van een netwerk tegen ongeautoriseerde toegang. Ook soms wel dynamische filtering genoemd, is de methode in staat om een ​​volledig gegevenspakket te inspecteren voordat het het netwerk binnenkomt. Op deze manier wordt elk pakket dat elke interface op de firewall binnenkomt volledig gecontroleerd op geldigheid tegen de soorten verbindingen die naar de andere kant mogen doorgaan. Het proces krijgt zijn naam omdat het niet alleen de datapakketten inspecteert, maar ook de status van een verbinding in de gaten houdt en toegestaan ​​via de firewall.

Het idee voor stateful inspectie werd voor het eerst bedacht door Check Point® Software, in het midden van de jaren negentig. Voorafgaand aan Check Point's® Firewall-1 Inspectie ™ Engine-software, bewaakte Firewalls de applicatielaag, bovenaan het Open Systems Interconnection (OSI) -model. Dit was meestal erg belastend op de processor van een computer, dus pakketinspectie verplaatst de ODe lagen van het SI -model naar de derde laag, de netwerklaag. Vroege pakketinspectie controleerde alleen de koptekstinformatie, de adresserings- en protocolinformatie, van pakketten en had geen manier om de status van het pakket te onderscheiden, zoals of het een nieuw verbindingsverzoek was.

In een stateful inspectie-firewall wordt de resource-vriendelijke en snelle pakketfilteringsmethode enigszins samengevoegd met de meer gedetailleerde applicatie-informatie. Dit geeft een context aan het pakket, waardoor meer informatie wordt verstrekt om beveiligingsbeslissingen te baseren. Om al deze informatie op te slaan, moet de firewall een tabel opzetten, die vervolgens de status van de verbinding definieert. De details van elke verbinding, inclusief de adresinformatie, poorten en protocollen, evenals de sequencing -informatie voor de pakketten, worden vervolgens in de tabel opgeslagen. De enige keer dat middelen zijn gespannen is tijdensde eerste invoer in de staatstabel; Daarna gebruikt elk ander pakket dat tegen die staat is gekoppeld, nauwelijks computerbronnen.

Het stateful inspectieproces begint wanneer het eerste pakket dat een verbinding aanvraagt, wordt vastgelegd en geïnspecteerd. Het pakket is gekoppeld aan de regels van de firewall, waar het wordt gecontroleerd aan de hand van een reeks mogelijke autorisatieparameters die eindeloos aanpasbaar zijn om eerder onbekende, of nog te ontwikkelen, software, services en protocollen te ondersteunen. Het vastgelegde pakket initialiseert de handdruk en de firewall stuurt een antwoord terug naar de aanvragende gebruiker die een verbinding bevestigt. Nu de tabel is ingevuld met statusinformatie voor de verbinding, wordt het volgende pakket van de klant gekoppeld aan de verbindingstoestand. Dit gaat door totdat de verbinding tijden uit of is beëindigd en de tabel wordt vrijgemaakt van de statusinformatie voor die verbinding.

Dit brengt een van de problemen met zich meeD door de stateful inspectie firewall de ontkenning van serviceaanval. Met dit soort aanvallen is de beveiliging niet zo veel gecompromitteerd als de firewall wordt gebombardeerd met tal van initiële pakketten die om een ​​verbinding vragen, waardoor de staatstabel wordt gedwongen om te vullen met verzoeken. Eenmaal vol, kan de staatstabel geen aanvragen meer accepteren, en dus worden alle andere verbindingsverzoeken geblokkeerd. Een andere aanvalsmethode tegen een stateful firewall maakt gebruik van de regels van de firewall om inkomend verkeer te blokkeren, maar staat uitgaande verkeer toe. Een aanvaller kan een gastheer aan de veilige kant van de firewall misleiden om van buitenaf om verbindingen te vragen, waardoor alle services op de host effectief worden geopend voor de aanvaller om te gebruiken.