Wat is stateful inspectie?
Stateful inspectie is een techniek die wordt gebruikt in firewalls van computernetwerken om een netwerk tegen onbevoegde toegang te beschermen. Ook wel bekend als dynamisch filteren, is de methode in staat een heel datapakket te inspecteren voordat het het netwerk binnenkomt. Op deze manier wordt elk pakket dat een interface op de firewall binnengaat volledig gecontroleerd op geldigheid tegen de soorten verbindingen die mogen passeren naar de andere kant. Het proces krijgt zijn naam omdat het niet alleen de datapakketten inspecteert, maar ook de status bewaakt van een verbinding die tot stand is gebracht en is toegestaan via de firewall.
Het idee voor stateful inspectie werd voor het eerst bedacht door Check Point®-software, midden jaren negentig. Voorafgaand aan Check Point's Firewall-1 INSPECT ™ -software bewaakte firewalls de applicatielaag, bovenaan het open systems interconnection (OSI) -model. Dit was vaak erg belastend voor de processor van een computer, dus pakketinspectie verplaatste de lagen van het OSI-model naar de derde laag, de netwerklaag. Vroege pakketinspectie controleerde alleen de kopinformatie, de adressering en protocolinformatie van pakketten en kon de status van het pakket niet onderscheiden, bijvoorbeeld of het een nieuw verbindingsverzoek was.
In een stateful inspectiefirewall is de resource-vriendelijke en snelle pakketfiltermethode enigszins samengevoegd met de meer gedetailleerde applicatie-informatie. Dit geeft enige context aan het pakket, waardoor meer informatie wordt geboden om beveiligingsbeslissingen te baseren. Om al deze informatie op te slaan, moet de firewall een tabel opstellen, die vervolgens de status van de verbinding definieert. De details van elke verbinding, inclusief de adresinformatie, poorten en protocollen, evenals de volgorde-informatie voor de pakketten, worden vervolgens opgeslagen in de tabel. De enige keer dat middelen worden belast, is tijdens de eerste invoer in de toestandstabel; daarna gebruikt elk ander pakket vergeleken met die status nauwelijks computerhulpmiddelen.
Het stateful inspectieproces begint wanneer het eerste pakket dat een verbinding aanvraagt, wordt vastgelegd en geïnspecteerd. Het pakket wordt vergeleken met de regels van de firewall, waar het wordt gecontroleerd aan de hand van een reeks mogelijke autorisatieparameters die eindeloos kunnen worden aangepast om voorheen onbekende, of nog te ontwikkelen, software, services en protocollen te ondersteunen. Het vastgelegde pakket initialiseert de handshake en de firewall stuurt een antwoord terug naar de aanvragende gebruiker die een verbinding bevestigt. Nu de tabel is gevuld met statusinformatie voor de verbinding, wordt het volgende pakket van de client vergeleken met de verbindingsstatus. Dit gaat door totdat de verbinding een time-out heeft of wordt verbroken en de tabel de statusinformatie voor die verbinding wist.
Dit veroorzaakt een van de problemen waarmee de stateful inspection firewall de denial of service-aanval wordt geconfronteerd. Met dit type aanval wordt de beveiliging niet aangetast, omdat de firewall wordt gebombardeerd met tal van initiële pakketten die om een verbinding vragen, waardoor de staatstabel gedwongen wordt om met verzoeken in te vullen. Eenmaal vol, kan de statustabel geen verzoeken meer accepteren en worden alle andere verbindingsverzoeken geblokkeerd. Een andere aanvalsmethode tegen een stateful firewall maakt gebruik van de regels van de firewall om inkomend verkeer te blokkeren, maar uitgaand verkeer toe te staan. Een aanvaller kan een host aan de veilige kant van de firewall misleiden om van buitenaf om verbindingen te vragen, waardoor alle services op de host voor de aanvaller kunnen worden gebruikt.