Vad är statlig inspektion?
Statlig inspektion är en teknik som används i datornätverkets brandväggar för att skydda ett nätverk från obehörig åtkomst. Också ibland känd som dynamisk filtrering kan metoden inspektera ett helt datapaket innan det går in i nätverket. På detta sätt kontrolleras varje paket som kommer in i alla gränssnitt på brandväggen helt för giltighet mot de typer av anslutningar som får passera till den andra sidan. Processen får sitt namn eftersom den inte bara inspekterar datapaketen utan också övervakar tillståndet för en anslutning som har upprättats och tillåtits via brandväggen.
Idén för tillfredsställande inspektion utvecklades först av Check Point®-programvaran redan i mitten av 1990-talet. Innan Check Points® Firewall-1 INSPECT ™ -programvara övervakade brandväggar applikationsskiktet, överst i OSI-modellen (open systems interconnection). Detta tenderade att vara mycket beskattande på en dators processor, så paketkontroll flyttade ner OSI-modellens lager till det tredje lagret, nätverkslagret. Tidig paketinspektion kontrollerade endast rubrikinformationen, adresserings- och protokollinformationen för paketen och hade inget sätt att särskilja paketets tillstånd, till exempel om det var en ny anslutningsbegäran.
I en tillräcklig inspektionsbrandvägg slås den resursvänliga och snabba paketfiltreringsmetoden samman med den mer detaljerade applikationsinformationen. Detta ger ett visst sammanhang till paketet, vilket ger mer information för att basera säkerhetsbeslut. För att lagra all denna information måste brandväggen skapa en tabell som sedan definierar anslutningstillståndet. Detaljerna för varje anslutning, inklusive adressinformation, portar och protokoll, samt sekvenseringsinformation för paketen, lagras sedan i tabellen. Den enda tid resurserna är ansträngda överhuvudtaget är under den första inträde i statstabellen; därefter använder alla andra paket som matchas mot det tillståndet knappast några datorresurser.
Den tillåtna inspektionsprocessen börjar när det första paketet som begär en anslutning fångas och inspekteras. Paketet matchas mot brandväggens regler, där det kontrolleras mot en rad möjliga auktorisationsparametrar som är oändliga anpassningsbara för att stödja tidigare okända, eller ännu inte utvecklade, programvara, tjänster och protokoll. Det fångade paketet initialiserar handskakningen och brandväggen skickar ett svar tillbaka till den begärande användaren som bekräftar en anslutning. Nu när tabellen har fyllts med tillståndsinformation för anslutningen matchas nästa paket från klienten mot anslutningstillståndet. Detta fortsätter tills anslutningen antingen avbryts eller avslutas, och tabellen rensas för tillståndsinformationen för den anslutningen.
Detta åstadkommer en av de problem som den statliga inspektionsbrandväggen står inför för att avslå tjänsten attack. Med den här typen av attacker äventyras inte säkerheten så mycket som brandväggen bombarderas med många initiala paket som begär en anslutning, vilket tvingar tillståndstabellen att fylla på med förfrågningar. När den är fullständig kan statstabellen inte längre acceptera några förfrågningar, så alla andra anslutningsförfrågningar blockeras. En annan attackmetod mot en tillåten brandvägg utnyttjar brandväggens regler för att blockera inkommande trafik, men tillåter all utgående trafik. En angripare kan lura en värd på den säkra sidan av brandväggen att be om anslutningar från utsidan, vilket effektivt öppnar upp alla tjänster på värden som angriparen kan använda.