Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general del firewall stateful para servicios de última generación

Las PIC de servicios emplean un tipo de firewall llamado firewall de estado. En contraste con un firewall sin estado, que inspecciona paquetes de forma aislada, un firewall con estado proporciona una capa adicional de seguridad mediante el uso de información de estado derivada de comunicaciones anteriores y otras aplicaciones para tomar decisiones de control dinámico para nuevos intentos de comunicación.

Los firewalls con estado agrupan flujos relevantes en conversaciones y deciden si se permite establecer la conversación. Si se permite una conversación, se permiten todos los flujos de la conversación, incluidos los flujos que se crean durante el ciclo de vida de la conversación.

Ventajas

Al inspeccionar los datos del protocolo de aplicación de un flujo, el firewall de estado aplica inteligentemente las políticas de seguridad y permite solo el tráfico de paquetes mínimamente necesario.

Flujos y conversaciones

Una conversación típica de protocolo de control de transmisión (TCP) o protocolo de datagramas de usuario (UDP) consta de dos flujos: el flujo de iniciación y el flujo de respuesta. Sin embargo, algunas conversaciones, como una conversación FTP, pueden consistir en dos flujos de control y muchos flujos de datos.

Un flujo se identifica mediante las siguientes cinco propiedades:

  • Dirección de origen

  • Puerto de origen

  • Dirección de destino

  • Puerto de destino

  • Protocolo

Reglas de firewall de estado

Las reglas de firewall de estado rigen si se permite establecer la conversación. Una regla consiste en hacer coincidir las condiciones y las acciones que se deben tomar.

Las condiciones de coincidencia incluyen dirección, dirección de origen, dirección de destino y protocolo o servicio de aplicación. Además de los valores específicos que configure, puede asignar el valor any, , any-ipv4any-ipv6, o puede usar un address-book bajo services para definir listas de direcciones y rangos para su uso dentro de reglas de firewall de estado. Por último, puede especificar coincidencias que dan como resultado la aplicación de la reglanot.

Las acciones en una regla de estado de firewall incluyen permitir el tráfico o dejar que el tráfico se caiga.

Las reglas de firewall de estado son direccionales. Para cada nueva conversación, el software del enrutador determina si la dirección del flujo de iniciación coincide con la dirección de la regla.

Se ordenan las reglas de estado del firewall. El software comprueba las reglas en el orden en que las incluya en la configuración. La primera vez que el software encuentra una regla coincidente para un flujo, el enrutador implementa la acción especificada por esa regla e ignora las reglas posteriores.

Las reglas de estado del firewall se configuran en relación con una interfaz. De forma predeterminada, el firewall de estado permite que todas las sesiones iniciadas desde los hosts detrás de la interfaz pasen por el enrutador.

Comprobación de anomalías de estado del firewall

El firewall de estado reconoce los siguientes eventos como anomalías y los envía al software IDS para su procesamiento:

  • Anomalías de IP:

    • La versión de IP no es correcta.

    • El campo de longitud de encabezado IP es demasiado pequeño.

    • La longitud del encabezado IP se establece más grande que todo el paquete.

    • Suma de comprobación de encabezado errónea.

    • El campo de longitud total ip es más corto que la longitud del encabezado.

    • El paquete tiene opciones IP incorrectas.

    • Error de longitud de paquete del Protocolo de mensajes de control de Internet (ICMP).

    • El tiempo de duración (TTL) es igual a 0.

  • Anomalías de la dirección IP:

    • El origen del paquete IP es difusión o multidifusión.

    • Ataque terrestre (IP de origen es igual a IP de destino).

  • Anomalías de fragmentación de IP:

    • Superposición de fragmento de IP.

    • Fragmento de IP perdido.

    • Error de longitud de fragmento de IP.

    • La longitud del paquete IP es de más de 64 kilobytes (KB).

    • Pequeños fragmentos de ataque.

  • Anomalías TCP:

    • Puerto TCP 0.

    • Número de secuencia TCP 0 y indicadores 0.

    • Número de secuencia TCP 0 y conjunto de indicadores FIN/PSH/RST.

    • Marcas TCP con combinación incorrecta (TCP FIN/RST o SYN/(URG|FIN|RST).

    • Suma de comprobación TCP errónea.

  • Anomalías UDP:

    • Puerto UDP de origen o destino 0.

    • Error en la comprobación de longitud del encabezado UDP.

    • Suma de comprobación UDP errónea.

  • Anomalías encontradas mediante comprobaciones TCP o UDP con estado:

    • SYN seguido de paquetes SYN-ACK sin ACK del iniciador.

    • SYN seguido de paquetes RST.

    • SYN sin SYN-ACK.

    • Primer paquete de flujo no SYN.

    • Errores inalcanzables de ICMP para paquetes SYN.

    • Errores inalcanzables de ICMP para paquetes UDP.

  • Paquetes caídos por reglas de firewall de estado.