Hola,
los firewalls sin estado son firewalls que, como dicen, no mantienen el estado de las conexiones que los atraviesan.
Cuando se inicia una sesión de IP, por ejemplo en el protocolo TCP, y se autoriza la conexión, supongamos que una conexión HTTP desde una red interna hacia un sitio web externo en el puerto 80, el firewall realizará un seguimiento de quién ha iniciado el conexión y a qué destino, inspeccionará y comprenderá la información intercambiada dentro de la comunicación, y abrirá otros puertos en consecuencia para permitir que la conexión sea instanciada y mantenida; por ejemplo, el firewall debe aceptar el paquete de confirmación del servidor y hacer eso, tiene que permitir que la respuesta ocurra en un determinado puerto desde el servidor de regreso al cliente, tal vez realice la NAT / P (traducción de red y dirección de puerto) hasta el cliente (si se colocó, por ejemplo, en un rango privado direccionamiento). Esta apertura de red ocurre “sobre la marcha” en el firewall, ya que normalmente no se permitiría el mismo paquete de externo a interno, si la sesión no se inició desde el interno (espero que esto sea lo suficientemente claro).
- ¿Cuál es el propósito de los firewalls?
- ¿Existe algún software que mejore el enrutamiento (y la latencia) en Internet?
- ¿Por qué la certificación CCNP es la clave del éxito en la industria de las redes?
- Cuando estoy en roaming internacional desde mi móvil, ¿por qué se me asigna una dirección IP de EE.
- ¿Cuáles son los tipos de redes?
Al mismo tiempo, el firewall sin estado recordará el estado de la sesión; Si la sesión se agota o se completa, el firewall cierra el puerto abierto sobre la marcha. Es por eso que se llama “con estado”, porque entiende el estado de la conexión. Los firewalls con estado a menudo también comprenden los detalles íntimos de varios protocolos y se ajustan a ellos (por ejemplo, hay protocolos como FTP, SIP y varios protocolos basados en RPC que negocian más canales y puertos entre el cliente y el servidor, o basados en PNP protocolos que negocian conexiones NAT / P sobre la marcha).
A diferencia de los firewalls con estado, los sin estado no tienen tales capacidades. Básicamente, solo mantienen una lista de puertos permitidos o no, y no pueden ajustarlos dinámicamente según el protocolo involucrado. Esto significa, por ejemplo, que en el caso de un cliente en una red interna que se conecta a un servidor FTP en una red externa, necesitaría permitir el puerto FTP saliente de cliente a servidor, y luego un rango de puertos altos (para “alto “puertos significa cualquier puerto> 1024) que se conecta entre el cliente y el servidor; el firewall sin estado no puede abrir el puerto alto sobre la marcha y, por lo tanto, debe mantener abiertos todos los puertos que pueden negociarse todo el tiempo, lo que, por supuesto, expone su superficie a muchos más riesgos.
¿Cuál es el uso de ambos? Básicamente, cualquier firewall decente de hoy tiene estado. Lo que realmente debe tener cuidado es qué tan bien entienden los protocolos que puede necesitar. Por ejemplo, no todos entienden SIP, que es un conjunto de protocolos que puede ser complicado. O no todos los firewalls pueden (o funcionan bien) al inspeccionar el tráfico encriptado; por lo tanto, cosas como FTP / S (que no es SFTP) o Messenger / Lync pueden romperse.
Los firewalls sin estado se basan básicamente en ACL (Lista de control de acceso), es decir, son el software que a menudo proporciona ACL en los enrutadores. Aunque muchos proveedores están convergiendo la base de software de firewall y enrutadores (para facilitar la implementación en las redes de los clientes, simplificar el mantenimiento de una menor base de código y ofrecer más funciones a los clientes), en muchos casos siguen siendo equipos diferentes con diferentes propósitos y características Por ejemplo, Cisco Nexus Traffic Director no realiza un filtrado con estado, que Juniper MX puede, ya que ejecuta el mismo software JunOS que todos los sistemas Juniper, incluidos los firewalls Juniper SRX (y, por el contrario, el SRX puede hacer protocolos de enrutamiento sin limitaciones, y aunque un firewall Cisco ASA puede hacer algo como OSPF, no puede hacer BGP, por ejemplo).
El filtrado sin estado todavía se utiliza en ciertos casos, especialmente en redes WAN y donde no puede permitirse reemplazar equipos o tiene limitaciones tecnológicas.
Por ejemplo, supongamos que necesita permitir que un tercero se conecte a su red corporativa a través de VPN, y está utilizando un enrutador como un terminador VPN de sitio a sitio; este enrutador no admite el filtrado con estado, y no puede permitirse el lujo de instalar un firewall con estado adecuado, pero aún así desea limitar de alguna manera el acceso que esta compañía externa tiene a su red; estoy consciente de que no es realmente un filtrado seguro, pero las ACL pueden ser mejores que nada.
Otro caso, supongamos que tiene enrutadores Cisco que no admiten filtros con estado, pero aún desea aplicar algo de seguridad, por ejemplo en WAN o enlaces. Los enrutadores y otros equipos se utilizan como saltos de red WAN o enrutadores BGP para dirigir el tráfico de Internet; en general, no puede permitirse instalar un cortafuegos frente a cada enrutador expuesto a Internet y, por lo tanto, limitaría el filtrado a ACL simples (por ejemplo, permitiendo que los paquetes ICMP en la interfaz pública y la administración solo a la interfaz interna), que es todo lo que puede hacer con ciertos enrutadores Cisco, pero creo que en este caso es lo suficientemente bueno, ya que no hay un protocolo sofisticado que reconozca el estado que deba autorizarse en las interfaces expuestas.
Espero que esto sea útil.