Cortafuegos con estado - Stateful firewall
| Parte de una serie sobre |
| Seguridad de información |
|---|
| Categorías de seguridad relacionadas |
| Amenazas |
|
| Defensas |
En informática, un firewall con estado es un firewall basado en red que rastrea individualmente las sesiones de conexiones de red que lo atraviesan. La inspección de paquetes con estado , también conocida como filtrado dinámico de paquetes, es una característica de seguridad que se usa a menudo en redes comerciales y no comerciales.
Descripción
Un firewall con estado realiza un seguimiento del estado de las conexiones de red, como transmisiones TCP , datagramas UDP y mensajes ICMP , y puede aplicar etiquetas como LISTEN , ESTABLISHED o CLOSING . Las entradas de la tabla de estado se crean para transmisiones TCP o datagramas UDP que pueden comunicarse a través del firewall de acuerdo con la política de seguridad configurada. Una vez en la tabla, todos los paquetes RELACIONADOS de una sesión almacenada se simplifican, lo que requiere menos ciclos de CPU que la inspección estándar. Los paquetes relacionados también pueden regresar a través del firewall incluso si no se configura ninguna regla para permitir las comunicaciones desde ese host. Si no se ve tráfico durante un tiempo específico (depende de la implementación), la conexión se elimina de la tabla de estado. Las aplicaciones pueden enviar mensajes keepalive periódicamente para evitar que un firewall interrumpa la conexión durante períodos de inactividad o para aplicaciones que, por diseño, tienen largos períodos de silencio.
El método de mantener el estado de una sesión depende del protocolo de transporte que se utilice. TCP es un protocolo orientado a la conexión y las sesiones se establecen con un protocolo de enlace de tres vías utilizando paquetes SYN y finalizan enviando una notificación FIN . El cortafuegos puede usar estos identificadores de conexión únicos para saber cuándo eliminar una sesión de la tabla de estado sin esperar un tiempo de espera. UDP es un protocolo sin conexión, lo que significa que no envía identificadores únicos relacionados con la conexión mientras se comunica. Por eso, una sesión solo se eliminará de la tabla de estado después del tiempo de espera configurado. La perforación de orificios UDP es una tecnología que abusa de este rasgo para permitir la configuración dinámica de túneles de datos a través de Internet. Los mensajes ICMP son distintos de TCP y UDP y comunican información de control de la propia red. Un ejemplo bien conocido de esto es la utilidad ping . Las respuestas ICMP se permitirán volver a través del firewall. En algunos escenarios, la comunicación UDP puede utilizar ICMP para proporcionar información sobre el estado de la sesión, por lo que las respuestas ICMP relacionadas con una sesión UDP también podrán volver a pasar.
Ver también
Referencias