Visão geral do firewall stateful para serviços de próxima geração

Benefícios

Inspecionando os dados de protocolo de aplicativo de um fluxo, o firewall stateful aplica políticas de segurança de maneira inteligente e permite apenas o tráfego de pacotes minimamente necessário.

Fluxos e conversas

Uma conversa típica de protocolo de controle de transmissão (TCP) ou protocolo de datagrama de usuário (UDP) consiste em dois fluxos: o fluxo de iniciação e o fluxo de resposta. No entanto, algumas conversas, como uma conversa de FTP, podem consistir em dois fluxos de controle e muitos fluxos de dados.

Um fluxo é identificado pelas seguintes cinco propriedades:

• Endereço fonte

• Porta de origem

• Endereço de destino

• Porta de destino

• Protocolo

Regras de firewall stateful

As regras de firewall stateful regem se a conversa pode ser estabelecida. Uma regra consiste em condições e ações correspondentes a serem tomadas.

As condições de correspondência incluem direção, endereço fonte, endereço de destino, protocolo ou serviço de aplicativo. Além dos valores específicos que você configura, você pode atribuir o valor any, any-ipv4any-ipv6ou você pode usar um address-book under services para definir listas de endereços e intervalos para uso dentro de regras de firewall stateful. Por fim, você pode especificar correspondências que resultam na aplicação da regranot.

Ações em uma regra de firewall stateful incluem permitir o tráfego ou soltar o tráfego.

As regras de firewall stateful são direcionais. Para cada nova conversa, o software do roteador determina se a direção de fluxo de iniciação corresponde à direção da regra.

As regras de firewall stateful são ordenadas. O software verifica as regras na ordem em que você as inclui na configuração. Na primeira vez que o software encontra uma regra correspondente para um fluxo, o roteador implementa a ação especificada por essa regra e ignora as regras subsequentes.

As regras de firewall stateful estão configuradas em relação a uma interface. Por padrão, o firewall stateful permite que todas as sessões iniciadas a partir dos hosts por trás da interface passem pelo roteador.

Verificação de anomalias de firewall stateful

O firewall stateful reconhece os seguintes eventos como anomalias e os envia ao software IDS para processamento:

• Anomalias de IP:

  • A versão IP não está correta.

  • O campo de comprimento do cabeçalho IP é muito pequeno.

  • O comprimento do cabeçalho IP é definido maior do que todo o pacote.

  • Checkum de cabeçalho ruim.

  • O campo de comprimento total de IP é menor que o comprimento do cabeçalho.

  • O pacote tem opções de IP incorretas.

  • Erro no comprimento do pacote do Protocolo de Mensagem de Controle de Internet (ICMP).

  • O tempo de vida (TTL) é igual a 0.

• Anomalias no endereço IP:

  • A fonte de pacotes IP é transmitida ou multicast.

  • Ataque terrestre (IP de origem é igual a IP de destino).

• Anomalias de fragmentação de IP:

  • Sobreposição de fragmentos de IP.

  • Fragmento de IP perdido.

  • Erro no comprimento do fragmento de IP.

  • O comprimento do pacote IP é superior a 64 kilobytes (KB).

  • Pequeno ataque de fragmento.

• Anomalias de TCP:

  • Porta TCP 0.

  • Sequência de TCP número 0 e bandeiras 0.

  • Conjunto de bandeiras FIN/PSH/RST com sequência de TCP 0.

  • Bandeiras de TCP com combinação errada (TCP FIN/RST ou SYN/(URG|FIN|RST).

  • Checkum de TCP ruim.

• Anomalias de UDP:

  • Porta de origem ou destino UDP 0.

  • A verificação do comprimento do cabeçalho do UDP falhou.

  • Verificação ruim de UDP.

• Anomalias encontradas por meio de verificações stateful de TCP ou UDP:

  • SYN seguido por pacotes SYN-ACK sem ACK do iniciador.

  • SYN seguido por pacotes RST.

  • SYN sem SYN-ACK.

  • Pacote de fluxo não SYN em primeiro lugar.

  • ICMP erros inalcançáveis para pacotes SYN.

  • ICMP erros inalcançáveis para pacotes UDP.

• Pacotes derrubados por regras de firewall stateful.