Visão geral do firewall stateful para serviços de próxima geração

Benefícios

Inspecionando os dados de protocolo de aplicativos de um fluxo, o firewall stateful aplica políticas de segurança de maneira inteligente e permite apenas o tráfego de pacotes minimamente necessário.

Fluxos e conversas

Uma conversa típica de protocolo de controle de transmissão (TCP) ou protocolo de datagram do usuário (UDP) consiste em dois fluxos: o fluxo de iniciação e o fluxo de resposta. No entanto, algumas conversas, como uma conversa de FTP, podem consistir em dois fluxos de controle e muitos fluxos de dados.

Um fluxo é identificado pelas seguintes cinco propriedades:

• Endereço de origem

• Porta de origem

• Endereço de destino

• Porta de destino

• Protocolo

Regras de firewall stateful

As regras de firewall stateful regem se a conversa pode ser estabelecida. Uma regra consiste em condições e ações correspondentes a tomar.

As condições de correspondência incluem direção, endereço de origem, endereço de destino e protocolo ou serviço de aplicativos. Além dos valores específicos que você configura, você pode atribuir o valorany, any-ipv4any-ipv6ou usar um address-book under services para definir listas de endereços e faixas para uso dentro de regras de firewall stateful. Por fim, você pode especificar correspondências que resultam na aplicação da regranot.

Ações em uma regra de firewall stateful incluem permitir o tráfego ou derrubar o tráfego.

As regras de firewall stateful são direcionais. Para cada nova conversa, o software do roteador determina se a direção do fluxo de iniciação combina com a direção da regra.

As regras de firewall stateful são ordenadas. O software verifica as regras na ordem em que você as inclui na configuração. A primeira vez que o software encontra uma regra de correspondência para um fluxo, o roteador implementa a ação especificada por essa regra e ignora as regras subseqüentes.

As regras de firewall stateful estão configuradas em relação a uma interface. Por padrão, o firewall stateful permite que todas as sessões iniciadas a partir dos hosts por trás da interface passem pelo roteador.

Verificação de anomalias de firewall stateful

O firewall stateful reconhece os seguintes eventos como anomalias e os envia ao software IDS para processamento:

• Anomalias de IP:

  • A versão IP não está correta.

  • O campo de comprimento do cabeçalho IP é muito pequeno.

  • O comprimento do cabeçalho IP é definido maior do que todo o pacote.

  • Checkum de cabeçalho ruim.

  • O campo de comprimento total de IP é menor do que o comprimento do cabeçalho.

  • O pacote tem opções de IP incorretas.

  • Erro no comprimento do pacote do Protocolo de Controle de Internet (ICMP).

  • O tempo de vida (TTL) é igual a 0.

• Anomalias no endereço IP:

  • A origem do pacote IP é broadcast ou multicast.

  • Ataque terrestre (IP de origem é igual a IP de destino).

• Anomalias de fragmentação de IP:

  • Sobreposição de fragmentos de IP.

  • Fragmento de IP perdido.

  • Erro no comprimento do fragmento de IP.

  • O comprimento do pacote IP é de mais de 64 kilobytes (KB).

  • Pequeno ataque de fragmentos.

• Anomalias de TCP:

  • Porta TCP 0.

  • Sequência de TCP número 0 e bandeiras 0.

  • Conjunto de bandeiras DE TCP número 0 e FIN/PSH/RST.

  • Bandeiras TCP com combinação errada (TCP FIN/RST ou SYN/(URG| FIN| RST).

  • Checkum TCP ruim.

• Anomalias de UDP:

  • Origem uDP ou porta de destino 0.

  • A verificação do comprimento do cabeçalho UDP falhou.

  • Checkum UDP ruim.

• Anomalias encontradas por meio de verificações stateful de TCP ou UDP:

  • SYN seguido por pacotes SYN-ACK sem a ACK do iniciador.

  • SYN seguido de pacotes RST.

  • SYN sem SYN-ACK.

  • Pacote de fluxo não SYN em primeiro lugar.

  • ICMP erros inalcançáveis para pacotes SYN.

  • ICMP erros inalcançáveis para pacotes de UDP.

• Os pacotes foram descartados por regras de firewall stateful.