Hva er tilstrekkelig inspeksjon?
Statisk inspeksjon er en teknikk som brukes i brannmurer i datanettverket for å beskytte et nettverk mot uautorisert tilgang. Også kjent som dynamisk filtrering, er metoden i stand til å inspisere en hel datapakke før den kommer inn i nettverket. På denne måten blir hver pakke som kommer inn i hvilket som helst grensesnitt på brannmuren, sjekket fullstendig for gyldighet mot de forskjellige tilkoblingene som får passere til den andre siden. Prosessen får navnet fordi den ikke bare inspiserer datapakkene, men også overvåker tilstanden til en forbindelse som er opprettet og tillatt gjennom brannmuren.
Ideen til god inspeksjon ble først utviklet av Check Point®-programvaren, allerede på midten av 1990-tallet. Før Check Point's® Firewall-1 INSPECT ™ -programvare, overvåket brannmurer applikasjonslaget øverst på OSI-modellen (Open Systems Interconnection). Dette hadde en tendens til å være veldig skatterende på en datamaskins prosessor, så pakkeinspeksjon flyttet ned OSI-modellens lag til det tredje laget, nettverkslaget. Tidlig pakkeinspeksjon sjekket bare overskriftsinformasjon, adresserings- og protokollinformasjon for pakker og hadde ingen måte å skille pakkenes tilstand på, for eksempel om det var en ny tilkoblingsforespørsel.
I en tilstrekkelig inspeksjonsbrannmur blir den ressursvennlige og raske pakkefiltreringsmetoden slått sammen noe med den mer detaljerte applikasjonsinformasjonen. Dette gir en viss kontekst til pakken, og gir dermed mer informasjon å basere sikkerhetsvedtak på. For å lagre all denne informasjonen, trenger brannmuren å opprette en tabell som deretter definerer tilkoblingsstatusen. Detaljer om hver tilkobling, inkludert adresseinformasjon, porter og protokoller, samt sekvenseringsinformasjon for pakkene, blir deretter lagret i tabellen. Den eneste tiden ressursene er anstrengt i det hele tatt er under den første inngangen til statstabellen; etter det bruker hver annen pakke som matches mot den staten knapt noen datamaskinressurser.
Den tilsynsrike inspeksjonsprosessen begynner når den første pakken som ber om tilkobling blir fanget og inspisert. Pakken samsvarer med brannmurens regler, der den sjekkes mot en rekke mulige autorisasjonsparametere som er uendelige tilpassbare for å støtte tidligere ukjente, eller som ennå ikke er utviklet, programvare, tjenester og protokoller. Den fangede pakken initialiserer håndtrykkene, og brannmuren sender svar tilbake til den anmodende brukeren som erkjenner en tilkobling. Nå som tabellen er fylt med tilstandsinformasjon for tilkoblingen, matches den neste pakken fra klienten mot tilkoblingsstatusen. Dette fortsetter til tilkoblingen enten avbrytes eller avsluttes, og tabellen er slettet for tilstandsinformasjonen for den tilkoblingen.
Dette fører til et av problemene som den statlige inspeksjonsbrannmuren står overfor angrepet på tjenestenektet. Med denne typen angrep blir ikke sikkerheten kompromittert i så stor grad at brannmuren er bombardert med mange innledende pakker som ber om en tilkobling, og tvinger statstabellen til å fylle opp med forespørsler. Når den er full, kan ikke statstabellen lenger godta forespørsler, og alle andre tilkoblingsforespørsler blokkeres. En annen angrepsmetode mot en statlig brannmur utnytter brannmurens regler for å blokkere innkommende trafikk, men tillater all utgående trafikk. En angriper kan lure en vert på den sikre siden av brannmuren til å be om tilkoblinger utenfra, og effektivt åpne for alle tjenester på verten for angriperen å bruke.