Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral do firewall stateful para serviços de próxima geração

Os PICs de serviços empregam um tipo de firewall chamado firewall stateful. Contrastado com um firewall sem estado, que inspeciona pacotes isoladamente, um firewall stateful oferece uma camada extra de segurança usando informações de estado derivadas de comunicações passadas e outros aplicativos para tomar decisões de controle dinâmico para novas tentativas de comunicação.

Firewalls stateful agrupam fluxos relevantes em conversas e decidem se a conversa pode ser estabelecida. Se uma conversa for permitida, todos os fluxos dentro da conversa são permitidos, incluindo fluxos que são criados durante o ciclo de vida da conversa.

Benefícios

Inspecionando os dados de protocolo de aplicativo de um fluxo, o firewall stateful aplica políticas de segurança de maneira inteligente e permite apenas o tráfego de pacotes minimamente necessário.

Fluxos e conversas

Uma conversa típica de protocolo de controle de transmissão (TCP) ou protocolo de datagrama de usuário (UDP) consiste em dois fluxos: o fluxo de iniciação e o fluxo de resposta. No entanto, algumas conversas, como uma conversa de FTP, podem consistir em dois fluxos de controle e muitos fluxos de dados.

Um fluxo é identificado pelas seguintes cinco propriedades:

  • Endereço fonte

  • Porta de origem

  • Endereço de destino

  • Porta de destino

  • Protocolo

Regras de firewall stateful

As regras de firewall stateful regem se a conversa pode ser estabelecida. Uma regra consiste em condições e ações correspondentes a serem tomadas.

As condições de correspondência incluem direção, endereço fonte, endereço de destino, protocolo ou serviço de aplicativo. Além dos valores específicos que você configura, você pode atribuir o valor any, any-ipv4any-ipv6ou você pode usar um address-book under services para definir listas de endereços e intervalos para uso dentro de regras de firewall stateful. Por fim, você pode especificar correspondências que resultam na aplicação da regranot.

Ações em uma regra de firewall stateful incluem permitir o tráfego ou soltar o tráfego.

As regras de firewall stateful são direcionais. Para cada nova conversa, o software do roteador determina se a direção de fluxo de iniciação corresponde à direção da regra.

As regras de firewall stateful são ordenadas. O software verifica as regras na ordem em que você as inclui na configuração. Na primeira vez que o software encontra uma regra correspondente para um fluxo, o roteador implementa a ação especificada por essa regra e ignora as regras subsequentes.

As regras de firewall stateful estão configuradas em relação a uma interface. Por padrão, o firewall stateful permite que todas as sessões iniciadas a partir dos hosts por trás da interface passem pelo roteador.

Verificação de anomalias de firewall stateful

O firewall stateful reconhece os seguintes eventos como anomalias e os envia ao software IDS para processamento:

  • Anomalias de IP:

    • A versão IP não está correta.

    • O campo de comprimento do cabeçalho IP é muito pequeno.

    • O comprimento do cabeçalho IP é definido maior do que todo o pacote.

    • Checkum de cabeçalho ruim.

    • O campo de comprimento total de IP é menor que o comprimento do cabeçalho.

    • O pacote tem opções de IP incorretas.

    • Erro no comprimento do pacote do Protocolo de Mensagem de Controle de Internet (ICMP).

    • O tempo de vida (TTL) é igual a 0.

  • Anomalias no endereço IP:

    • A fonte de pacotes IP é transmitida ou multicast.

    • Ataque terrestre (IP de origem é igual a IP de destino).

  • Anomalias de fragmentação de IP:

    • Sobreposição de fragmentos de IP.

    • Fragmento de IP perdido.

    • Erro no comprimento do fragmento de IP.

    • O comprimento do pacote IP é superior a 64 kilobytes (KB).

    • Pequeno ataque de fragmento.

  • Anomalias de TCP:

    • Porta TCP 0.

    • Sequência de TCP número 0 e bandeiras 0.

    • Conjunto de bandeiras FIN/PSH/RST com sequência de TCP 0.

    • Bandeiras de TCP com combinação errada (TCP FIN/RST ou SYN/(URG|FIN|RST).

    • Checkum de TCP ruim.

  • Anomalias de UDP:

    • Porta de origem ou destino UDP 0.

    • A verificação do comprimento do cabeçalho do UDP falhou.

    • Verificação ruim de UDP.

  • Anomalias encontradas por meio de verificações stateful de TCP ou UDP:

    • SYN seguido por pacotes SYN-ACK sem ACK do iniciador.

    • SYN seguido por pacotes RST.

    • SYN sem SYN-ACK.

    • Pacote de fluxo não SYN em primeiro lugar.

    • ICMP erros inalcançáveis para pacotes SYN.

    • ICMP erros inalcançáveis para pacotes UDP.

  • Pacotes derrubados por regras de firewall stateful.