O que é uma inspeção de estado?
A inspeção de estado é uma técnica usada nos firewalls da rede de computadores para proteger uma rede contra acesso não autorizado. Também às vezes conhecido como filtragem dinâmica, o método é capaz de inspecionar um pacote de dados inteiro antes de entrar na rede. Dessa forma, cada pacote que entra em qualquer interface no firewall é verificado completamente quanto à validade contra os tipos de conexões que podem passar para o outro lado. O processo recebe seu nome porque não apenas inspeciona os pacotes de dados, mas também monitora o estado de uma conexão que foi estabelecida e permitida através do firewall. Antes da verificação do software de mecanismo Firewall-1 Point'S®, o Firewalls monitorava a camada de aplicativos, na parte superior do modelo de interconexão de sistemas abertos (OSI). Isso tendia a ser muito cansativo do processador de um computador, então a inspeção de pacotes se moveu para baixo do OAs camadas do modelo SI para a terceira camada, a camada de rede. A inspeção antecipada de pacotes apenas verificou as informações do cabeçalho, as informações de endereçamento e protocolo, de pacotes e não tinham como distinguir o estado do pacote, como se era uma nova solicitação de conexão.
Em um firewall de inspeção com estado, o método de filtragem de pacotes rápido e acelerado de recursos é mesclado com as informações de aplicação mais detalhadas. Isso fornece algum contexto ao pacote, fornecendo mais informações para basear as decisões de segurança. Para armazenar todas essas informações, o firewall precisa estabelecer uma tabela, que define o estado da conexão. Os detalhes de todas as conexões, incluindo as informações de endereço, portas e protocolos, bem como as informações de sequenciamento para os pacotes, são armazenados na tabela. O único tempo que os recursos são tensos é durantea entrada inicial na tabela de estado; Depois disso, todos os outros pacotes combinados com esse estado usam quase nenhum recurso de computação.
O processo de inspeção com estado começa quando o primeiro pacote solicitando uma conexão é capturado e inspecionado. O pacote é comparado com as regras do firewall, onde é verificado em relação a uma variedade de possíveis parâmetros de autorização que são infinitamente personalizáveis, a fim de suportar anteriormente desconhecidos ou ainda a serem desenvolvidos, software, serviços e protocolos. O pacote capturado inicializa o aperto de mão e o firewall envia uma resposta de volta ao usuário solicitante reconhecendo uma conexão. Agora que a tabela foi preenchida com informações de estado para a conexão, o próximo pacote do cliente é comparado com o estado de conexão. Isso continua até que a conexão seja divulgada ou seja encerrada, e a tabela é limpa das informações do estado para essa conexão.
Isso traz sobre um dos problemas que enfrentamd pelo firewall de inspeção com estado do ataque de negação de serviço. Com esse tipo de ataque, a segurança não está comprometida, pois o firewall é bombardeado com vários pacotes iniciais solicitando uma conexão, forçando a tabela de estado a se encher de solicitações. Uma vez cheio, a tabela de estado não pode mais aceitar solicitações e, portanto, todas as outras solicitações de conexão estão bloqueadas. Outro método de ataque contra um firewall com estado de Estado aproveita as regras do firewall para bloquear o tráfego recebido, mas permita qualquer tráfego de saída. Um invasor pode enganar um anfitrião no lado seguro do firewall a pedir conexões de fora, abrindo efetivamente quaisquer serviços no host para o invasor usar.