La inspección de estado es una técnica utilizada en los cortafuegos de redes informáticas para proteger una red del acceso no autorizado. También conocido como filtrado dinámico, el método es capaz de inspeccionar un paquete de datos completo antes de que ingrese a la red. De esta manera, cada paquete que ingresa a cualquier interfaz en el firewall se verifica completamente para verificar su validez contra los tipos de conexiones que pueden pasar al otro lado. El proceso recibe su nombre porque no solo inspecciona los paquetes de datos, sino que también monitorea el estado de una conexión que se ha establecido y permitido a través del firewall.
La idea de la inspección de estado fue ideada por primera vez por el software Check Point®, a mediados de la década de 1990. Antes del software del motor Check Point’s® Firewall-1 INSPECT ™, los firewalls monitoreaban la capa de aplicación, en la parte superior del modelo de interconexión de sistemas abiertos (OSI). Esto tendía a ser muy exigente para el procesador de una computadora, por lo que la inspección de paquetes bajó de las capas del modelo OSI a la tercera capa, la capa de red. La inspección temprana de paquetes solo verificaba la información del encabezado, el direccionamiento y la información del protocolo de los paquetes y no tenía forma de distinguir el estado del paquete, como si se trataba de una nueva solicitud de conexión.
En un firewall de inspección de estado, el método de filtrado de paquetes rápido y fácil de usar se fusiona de alguna manera con la información más detallada de la aplicación. Esto le da algo de contexto al paquete, proporcionando así más información a partir de la cual basar las decisiones de seguridad. Para almacenar toda esta información, el firewall necesita establecer una tabla, que luego define el estado de la conexión. Los detalles de cada conexión, incluida la información de dirección, puertos y protocolos, así como la información de secuenciación de los paquetes, se almacenan en la tabla. El único momento en que los recursos se agotan es durante la entrada inicial en la tabla de estado; después de eso, todos los demás paquetes comparados con ese estado apenas utilizan recursos informáticos.
El proceso de inspección de estado comienza cuando se captura e inspecciona el primer paquete que solicita una conexión. El paquete se compara con las reglas del firewall, donde se compara con una serie de posibles parámetros de autorización que son infinitamente personalizables para admitir software, servicios y protocolos previamente desconocidos o aún por desarrollar. El paquete capturado inicializa el protocolo de enlace y el cortafuegos envía una respuesta al usuario solicitante reconociendo una conexión. Ahora que la tabla se ha llenado con información de estado para la conexión, el siguiente paquete del cliente se compara con el estado de la conexión. Esto continúa hasta que la conexión se agota o se termina, y la tabla se borra de la información de estado para esa conexión.
Esto provoca uno de los problemas que enfrenta el firewall de inspección de estado: el ataque de denegación de servicio. Con este tipo de ataque, la seguridad no se ve comprometida en la medida en que el firewall es bombardeado con numerosos paquetes iniciales que solicitan una conexión, lo que obliga a que la tabla de estado se llene de solicitudes. Una vez llena, la tabla de estado ya no puede aceptar ninguna solicitud, por lo que se bloquean todas las demás solicitudes de conexión. Otro método de ataque contra un firewall con estado aprovecha las reglas del firewall para bloquear el tráfico entrante, pero permite el tráfico saliente. Un atacante puede engañar a un host en el lado seguro del firewall para que solicite conexiones desde el exterior, abriendo efectivamente cualquier servicio en el host para que lo utilice el atacante.