Hva er statlig inspeksjon?

Stateful Inspection er en teknikk som brukes i datanettverksbrannmurer for å beskytte et nettverk mot uautorisert tilgang. Noen ganger kjent som dynamisk filtrering, er metoden i stand til å inspisere en hel datapakke før den kommer inn i nettverket. På denne måten kontrolleres hver pakke som går inn i ethvert grensesnitt på brannmuren fullstendig for gyldighet mot hvilke typer forbindelser som får lov til å gå gjennom til den andre siden. Prosessen får navnet sitt fordi den ikke bare inspiserer datapakkene, men også overvåker tilstanden til en forbindelse som er etablert og tillatt gjennom brannmuren.

Ideen til statlig inspeksjon ble først utviklet av Check Point® -programvaren, tilbake på midten av 1990 -tallet. Før Check Point's® Firewall-1 Inspect ™ motorprogramvare, overvåket brannmurer applikasjonslaget, øverst på OSI-modellen (Open Systems Interconnection (OSI). Dette hadde en tendens til å være veldig beskatning på en datamaskins prosessor, så pakkeinspeksjon flyttet ned O ned OSI -modellens lag til det tredje laget, nettverkslaget. Tidlig pakkeinspeksjon sjekket bare overskriftsinformasjonen, adressering og protokollinformasjon, av pakker og hadde ingen måte å skille pakkenes tilstand, for eksempel om det var en ny tilkoblingsforespørsel.

I en statlig inspeksjonsbrannmur blir den ressursvennlige og raske pakkefiltreringsmetoden slått sammen noe med den mer detaljerte applikasjonsinformasjonen. Dette gir en viss kontekst til pakken, og gir dermed mer informasjon som skal basere sikkerhetsbeslutninger fra. For å lagre all denne informasjonen, trenger brannmuren å etablere en tabell, som deretter definerer tilstanden til forbindelsen. Detaljene i hver tilkobling, inkludert adresseinformasjon, porter og protokoller, samt sekvenseringsinformasjonen for pakkene, lagres deretter i tabellen. Den eneste tidsressursene er anstrengt i det hele tatt er underden første inngangen til statstabellen; Etter det bruker alle andre pakke matchet mot denne staten knapt noen databehandlingsressurser.

Den statlige inspeksjonsprosessen begynner når den første pakken som ber om en forbindelse blir fanget og inspisert. Pakken er matchet mot brannmurens regler, der den sjekkes mot en rekke mulige autorisasjonsparametere som kan tilpasses uendelig for å støtte tidligere ukjente, eller ennå ikke utvikles, programvare, tjenester og protokoller. Den fangede pakken initialiserer håndtrykk, og brannmuren sender et svar tilbake til den anmodende brukeren som anerkjenner en tilkobling. Nå som tabellen er befolket med statlig informasjon for tilkoblingen, blir den neste pakken fra klienten matchet mot tilkoblingsstaten. Dette fortsetter til forbindelsen enten er ute eller avsluttes, og tabellen er ryddet for statsinformasjonen for den forbindelsen.

Dette fører til et av problemene med ansiktetd av den statlige inspeksjonsbrannmuren nektelsen av serviceangrep. Med denne typen angrep er sikkerheten ikke kompromittert i like mye som brannmuren blir bombardert med mange innledende pakker som ber om en forbindelse, og tvinger statens bord til å fylle opp med forespørsler. Når den er full, kan statsbordet ikke lenger godta noen forespørsler, og alle andre tilkoblingsforespørsler blir blokkert. En annen angrepsmetode mot en statlig brannmur drar fordel av brannmurens regler for å blokkere innkommende trafikk, men tillater all utgående trafikk. En angriper kan lure en vert på den sikre siden av brannmuren til å be om forbindelser utenfra, og effektivt åpne opp alle tjenester på verten for angriperen å bruke.