¿Cuál es la diferencia entre firewalls con estado y sin estado? ¿Hay diferentes aplicaciones para cada uno?

Hola,

los firewalls sin estado son firewalls que, como dicen, no mantienen el estado de las conexiones que los atraviesan.

Cuando se inicia una sesión de IP, por ejemplo en el protocolo TCP, y se autoriza la conexión, supongamos que una conexión HTTP desde una red interna hacia un sitio web externo en el puerto 80, el firewall realizará un seguimiento de quién ha iniciado el conexión y a qué destino, inspeccionará y comprenderá la información intercambiada dentro de la comunicación, y abrirá otros puertos en consecuencia para permitir que la conexión sea instanciada y mantenida; por ejemplo, el firewall debe aceptar el paquete de confirmación del servidor y hacer eso, tiene que permitir que la respuesta ocurra en un determinado puerto desde el servidor de regreso al cliente, tal vez realice la NAT / P (traducción de red y dirección de puerto) hasta el cliente (si se colocó, por ejemplo, en un rango privado direccionamiento). Esta apertura de red ocurre “sobre la marcha” en el firewall, ya que normalmente no se permitiría el mismo paquete de externo a interno, si la sesión no se inició desde el interno (espero que esto sea lo suficientemente claro).

Al mismo tiempo, el firewall sin estado recordará el estado de la sesión; Si la sesión se agota o se completa, el firewall cierra el puerto abierto sobre la marcha. Es por eso que se llama “con estado”, porque entiende el estado de la conexión. Los firewalls con estado a menudo también comprenden los detalles íntimos de varios protocolos y se ajustan a ellos (por ejemplo, hay protocolos como FTP, SIP y varios protocolos basados ​​en RPC que negocian más canales y puertos entre el cliente y el servidor, o basados ​​en PNP protocolos que negocian conexiones NAT / P sobre la marcha).

A diferencia de los firewalls con estado, los sin estado no tienen tales capacidades. Básicamente, solo mantienen una lista de puertos permitidos o no, y no pueden ajustarlos dinámicamente según el protocolo involucrado. Esto significa, por ejemplo, que en el caso de un cliente en una red interna que se conecta a un servidor FTP en una red externa, necesitaría permitir el puerto FTP saliente de cliente a servidor, y luego un rango de puertos altos (para “alto “puertos significa cualquier puerto> 1024) que se conecta entre el cliente y el servidor; el firewall sin estado no puede abrir el puerto alto sobre la marcha y, por lo tanto, debe mantener abiertos todos los puertos que pueden negociarse todo el tiempo, lo que, por supuesto, expone su superficie a muchos más riesgos.

¿Cuál es el uso de ambos? Básicamente, cualquier firewall decente de hoy tiene estado. Lo que realmente debe tener cuidado es qué tan bien entienden los protocolos que puede necesitar. Por ejemplo, no todos entienden SIP, que es un conjunto de protocolos que puede ser complicado. O no todos los firewalls pueden (o funcionan bien) al inspeccionar el tráfico encriptado; por lo tanto, cosas como FTP / S (que no es SFTP) o Messenger / Lync pueden romperse.

Los firewalls sin estado se basan básicamente en ACL (Lista de control de acceso), es decir, son el software que a menudo proporciona ACL en los enrutadores. Aunque muchos proveedores están convergiendo la base de software de firewall y enrutadores (para facilitar la implementación en las redes de los clientes, simplificar el mantenimiento de una menor base de código y ofrecer más funciones a los clientes), en muchos casos siguen siendo equipos diferentes con diferentes propósitos y características Por ejemplo, Cisco Nexus Traffic Director no realiza un filtrado con estado, que Juniper MX puede, ya que ejecuta el mismo software JunOS que todos los sistemas Juniper, incluidos los firewalls Juniper SRX (y, por el contrario, el SRX puede hacer protocolos de enrutamiento sin limitaciones, y aunque un firewall Cisco ASA puede hacer algo como OSPF, no puede hacer BGP, por ejemplo).

El filtrado sin estado todavía se utiliza en ciertos casos, especialmente en redes WAN y donde no puede permitirse reemplazar equipos o tiene limitaciones tecnológicas.

Por ejemplo, supongamos que necesita permitir que un tercero se conecte a su red corporativa a través de VPN, y está utilizando un enrutador como un terminador VPN de sitio a sitio; este enrutador no admite el filtrado con estado, y no puede permitirse el lujo de instalar un firewall con estado adecuado, pero aún así desea limitar de alguna manera el acceso que esta compañía externa tiene a su red; estoy consciente de que no es realmente un filtrado seguro, pero las ACL pueden ser mejores que nada.

Otro caso, supongamos que tiene enrutadores Cisco que no admiten filtros con estado, pero aún desea aplicar algo de seguridad, por ejemplo en WAN o enlaces. Los enrutadores y otros equipos se utilizan como saltos de red WAN o enrutadores BGP para dirigir el tráfico de Internet; en general, no puede permitirse instalar un cortafuegos frente a cada enrutador expuesto a Internet y, por lo tanto, limitaría el filtrado a ACL simples (por ejemplo, permitiendo que los paquetes ICMP en la interfaz pública y la administración solo a la interfaz interna), que es todo lo que puede hacer con ciertos enrutadores Cisco, pero creo que en este caso es lo suficientemente bueno, ya que no hay un protocolo sofisticado que reconozca el estado que deba autorizarse en las interfaces expuestas.

Espero que esto sea útil.

Related Content

¿Se considera NAT como un firewall? ¿Puede proporcionar una seguridad de red adecuada?

¿Cuándo debutó la primera conexión WiFi?

¿Cuál es la diferencia entre el dispositivo y las direcciones IP de Internet y cómo funcionan juntas?

¿Cómo se comparan los diferentes tipos de medios de red?

¿Qué es SolarWinds IP Address Manager y cómo puede mejorar la confiabilidad de mi red? Quiero saber qué tan bueno es para poder proponerle esto a mi jefe.

Los cortafuegos sin estado son básicamente ACL. Contienen reglas sobre qué tráfico permitir o bloquear según la IP de origen, la IP de destino, los números de puerto, los protocolos de red y muchas otras cosas. Los firewalls sin estado realmente no intentan interpretar los datos de tráfico que permiten bloquear. Solo ven la información básica sobre ellos y los permiten o bloquean. Esto les permite ser mucho más rápidos, pero cualquier paquete falsificado o diferentes técnicas de ataque pueden pasarlos por alto.

Los firewalls con estado son “más inteligentes” en el sentido de que pueden interpretar información como el estado actual de una conexión TCP, ya sea que los paquetes se hayan fragmentado para omitir los firewalls, entre otras cosas.

Por ejemplo, ejecutar un análisis ACK contra puertos en un host es una buena manera de descubrir si está ejecutando firewalls con estado o sin estado. Si el host responde con un paquete RST al recibir un ACK, entonces el puerto no se está filtrando. Si recibe un ICMP inalcanzable al enviar un paquete ACK, entonces se está filtrando. Ahora, si todos los puertos se muestran como filtrados, podemos suponer con seguridad que lo está dejando caer una ACL o un firewall sin estado. Sin embargo, si algunos puertos no se filtran y otros se filtran, un firewall con estado lo descarta sobre la base de la inspección de paquetes.

Stanley Hutchinson

Un buen firewall (FW) abrirá el paquete y dejará el encabezado solo y mirará la carga útil. Un paquete tiene dos partes, 1) el encabezado; 2) la carga útil.

El encabezado contiene las instrucciones, como el puerto de origen (que identifica la aplicación), la dirección IP de origen; luego el puerto de destino y la dirección IP de destino , pero también contiene otras cosas en los bits del encabezado, como en qué secuencia se encuentra. Es como si no pudieras tragar una comida completa de McDonalds Big Mac de un solo bocado. Tienes que tomar un montón de bocados pequeños. Un correo electrónico transmitido puede tomar miles y millones de bytes, y mantenerlo en orden para que el otro extremo pueda volver a ensamblar todo el correo electrónico; usan números de secuencia.

La carga útil lleva el mensaje o los datos.

De ahí los protocolos TCP o UDP. El primer TCP es la traducción con estado, esto mantiene la memoria de la secuencia.

El segundo UDP es la traducción sin estado, este “NO” mantiene la memoria de la secuencia. Cuando se estropea o algo se sale de orden, lo hará o el usuario tendrá que reiniciar toda la transmisión desde el principio.

Pero lo que hará un firewall es ABRIR CADA PAQUETE FREAKING y mirar el contenido interno de las cargas útiles (buscar contenido malicioso), luego cerrar el paquete o volver a colocar el paquete antes de dejarlo pasar a su negocio.

Mientras el FW está haciendo esto en Stateful, el FW recordará y mantendrá la conexión para que todo el proceso sea “transparente y transparente” para el usuario . El usuario nunca debe notar o experimentar una interrupción. Esto usualmente usa TCP.

En Stateless, el FW continuará haciendo lo mismo de manera transparente y transparente, pero cuando haya una pérdida de conexión, la fuente tendrá que reiniciar y reiniciar la transmisión de la conexión.

Mohan BVK

No es tanto una diferencia en la aplicación.

Un cortafuegos sin estado “clásico” también conocido como un dispositivo pasivo programado para imponer ciertas reglas para la comunicación de red a través de un límite.

Su función básica es filtrar paquetes de acuerdo con el puerto (permitido o prohibido) y las direcciones IP.

Un firewall con estado asociará cada paquete con una “conexión”, de modo que pueda decidir si un paquete entrante está relacionado con un paquete saliente anterior. La palabra conexión es, por supuesto, engañosa; en realidad, registra un estado para cada paquete saliente, de modo que también puede grabar y ver solicitudes DNS basadas en UDP. El efecto es una flexibilidad mucho mayor para el usuario.

Con más y más funcionalidades empaquetadas en productos de firewall comerciales, la diferencia es borrosa; por lo general, los firewalls de hoy hacen una inspección profunda de paquetes, prevención de DDOS y todo eso.

Stanley Hutchinson

No quiero dar una respuesta larga. Lo mantendré breve y simple.

Un firewall con estado cuando permite una conexión de salida sabe que tiene que permitir la conexión de retorno para la misma sesión sin necesidad de una regla de acceso.

Por lo tanto, solo tiene que agregar una sola regla para la conexión saliente.

Mientras que en un firewall sin estado, debe agregar una regla para permitir que se cierre una conexión y otra regla para permitir la conexión de retorno para la misma sesión.

Realmente no hay ninguna aplicación en particular que use inspección sin estado, todos los firewalls modernos incluyen inspección con estado por defecto, se llama SPI, Inspección de paquete con estado.

Mohan BVK

More Interesting

¿Es posible usar un servidor DNS personalizado y AmazonProvidedDNS dentro de una VPC?

Cómo acceder a la red del protocolo SS7 Exploit y ejecutarlo

¿Una ruta de Euler termina en el mismo nodo en el gráfico, independientemente de con qué nodo comience?

¿Qué es un proyecto simple relacionado con la red informática?

Cómo hacer una copia de seguridad de una carpeta de unidad de red en mi máquina Win10 local

¿La ICANN y el DNS alguna vez serán reemplazados por un sistema de igual a igual?

¿Cuál es la mejor manera de bloquear todos los servidores proxy o VPN en mi foro MyBB?

¿Por qué el rendimiento de datos disminuye tanto con la distancia?

¿Qué es la traducción de direcciones de red (NAT)?

Si todos los que trabajan en Internet se van de vacaciones al mismo tiempo, ¿cuánto tiempo pasará antes de que Internet falle?

¿Hay algún uso del comando ping que no sea verificar la conectividad?

¿Qué es la conectividad?

¿Qué agente de túnel IPv6 debo usar?

¿Las redes de circuitos virtuales necesitan la capacidad de enrutar paquetes aislados desde una fuente arbitraria a un destino arbitrario?

¿Qué es un ingeniero de redes? ¿Son ingenieros de hardware o ingenieros de software?