Stateful inspection est une technique utilisée dans pare-feu de réseau informatique pour protéger un réseau contre les accès non autorisés. Également parfois connu sous le nom de filtrage dynamique, le procédé est capable d'inspection d'un paquet de données entier avant qu'il n'entre dans le réseau. De cette façon, chaque paquet entrant dans une interface sur le pare-feu est contrôlé complètement validité contre les types de connexions qui sont autorisés à passer à travers de l'autre côté. Le processus tire son nom car non seulement il inspecte les paquets de données, mais aussi contrôle l'état d'une connexion qui a été mis en place et a permis à travers le pare-feu.
L'idée de stateful inspection a été conçu par Check Point Software, au milieu des années 1990. Avant Check Firewall-1 de point de Inspecter logiciel de moteur de , pare-feu surveillé la couche d'application, au sommet de l'interconnexion des systèmes ouverts (OSI) de modèle. Cette tendance à être très taxation sur le processeur d'un ordinateur, de sorte que l'inspection des paquets déplacés vers le bas les couches du modèle OSI à la troisième couche, la couche réseau. Au début inspection de paquets que la vérification des informations d'en-tête, les informations d'adressage et le protocole, de paquets et n'avait aucun moyen de distinguer l'état du paquet, comme s'il s'agissait d'une nouvelle demande de connexion.
Annonce
Dans un pare-feu stateful inspection, la méthode de filtrage de paquets ressources amical et rapide est fusionné quelque peu avec les informations d'application plus détaillées. Cela donne un certain contexte pour le paquet, offrant ainsi plus d'informations à partir de laquelle les décisions de sécurité de base. Pour stocker toutes ces informations, le pare-feu doit établir un tableau, qui définit alors l'état de la connexion. Les détails de chaque connexion, comprenant des informations d'adresse, les ports et les protocoles, ainsi que les informations de séquencement pour les paquets, sont ensuite stockés dans la table. Les seules ressources de temps sont tendues à tous est au cours de la première entrée dans la table d'état; après que tous les autres paquets en correspondance avec cet état n'utilisent pratiquement pas de ressources informatiques.
Le procédé d'inspection d'état commence lorsque le premier paquet de demande d'une connexion est capturé et inspecté. Le paquet est comparé à des règles de pare-feu, où il est comparé à un tableau de paramètres possibles d'autorisation qui sont sans cesse personnalisable afin de soutenir jusque-là inconnues, ou encore d'être développés, logiciels, services et protocoles. Le paquet capturé initialise la poignée de main, et le pare-feu envoie une réponse à l'utilisateur de demander la reconnaissance d'une connexion. Maintenant que la table a été remplie avec des informations d'état de la connexion, le prochain paquet du client est comparée à l'état de connexion. Cela continue jusqu'à ce que la connexion soit fois sur ou est résilié, et la table est débarrassée de l'information d'état pour cette connexion.
Cela porte sur l'un des problèmes rencontrés par le pare-feu stateful inspection du déni de service. Avec ce type d'attaque, la sécurité n'est pas compromise pour autant que le pare-feu est bombardée avec de nombreux paquets initiaux demander une connexion, forçant la table d'état pour remplir les demandes. Une fois pleine, la table d'état ne peut plus accepter toutes les demandes, et ainsi de toutes les autres demandes de connexion sont bloquées. Une autre méthode d'attaque contre un pare-feu dynamique profite des règles de pare-feu pour bloquer le trafic entrant, mais permettre à tout le trafic sortant. Un attaquant peut tromper un hôte sur le côté sécurisé du pare-feu en demandant pour les connexions de l'extérieur, de manière efficace l'ouverture des services sur l'hôte pour l'attaquant à utiliser.
