Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general del firewall de estado para servicios de próxima generación

Las PIC de servicios emplean un tipo de firewall denominado firewall de estado. A diferencia de un firewall sin estado, que inspecciona paquetes de forma aislada, un firewall con estado proporciona una capa adicional de seguridad mediante el uso de información de estado derivada de comunicaciones pasadas y otras aplicaciones para tomar decisiones de control dinámico para nuevos intentos de comunicación.

Los firewalls de estado agrupan los flujos relevantes en conversaciones y deciden si se permite establecer la conversación. Si se permite una conversación, se permiten todos los flujos dentro de la conversación, incluidos los flujos que se crean durante el ciclo de vida de la conversación.

Beneficios

Al inspeccionar los datos del protocolo de aplicación de un flujo, el firewall con estado aplica de forma inteligente las políticas de seguridad y solo permite el tráfico de paquetes mínimamente necesario.

Flujos y conversaciones

Una conversación típica de protocolo de control de transmisión (TCP) o protocolo de datagramas de usuario (UDP) consta de dos flujos: el flujo de iniciación y el flujo de respondedor. Sin embargo, algunas conversaciones, como una conversación FTP, pueden constar de dos flujos de control y muchos flujos de datos.

Un flujo se identifica por las cinco propiedades siguientes:

  • Dirección de origen

  • Puerto de origen

  • Dirección de destino

  • Puerto de destino

  • Protocolo

Reglas de firewall con estado

Las reglas de firewall con estado rigen si se permite establecer la conversación. Una regla consiste en hacer coincidir las condiciones y las acciones a tomar.

Las condiciones coincidentes incluyen dirección, dirección de origen, dirección de destino y protocolo o servicio de aplicación. Además de los valores específicos que configure, puede asignar el valor any, any-ipv4, any-ipv6, o puede usar un address-book bajo services para definir listas de direcciones y rangos para usarlos dentro de las reglas de firewall con estado. Por último, puede especificar coincidencias que den como resultado la aplicación de la regla not .

Las acciones de una regla de firewall con estado incluyen permitir el tráfico o eliminarlo.

Las reglas de firewall con estado son direccionales. Para cada conversación nueva, el software del enrutador determina si la dirección del flujo de iniciación coincide con la dirección de la regla.

Se ordenan las reglas de firewall con estado. El software comprueba las reglas en el orden en que las incluye en la configuración. La primera vez que el software encuentra una regla coincidente para un flujo, el enrutador implementa la acción especificada por esa regla e ignora las reglas posteriores.

Las reglas de firewall con estado se configuran en relación con una interfaz. De forma predeterminada, el firewall con estado permite que todas las sesiones iniciadas desde los hosts detrás de la interfaz pasen a través del enrutador.

Comprobación de anomalías de firewall de estado

El firewall de estado reconoce los siguientes eventos como anomalías y los envía al software IDS para su procesamiento:

  • Anomalías de IP:

    • La versión IP no es correcta.

    • El campo de longitud del encabezado IP es demasiado pequeño.

    • La longitud del encabezado IP se establece más grande que todo el paquete.

    • Suma de comprobación de encabezado incorrecta.

    • El campo de longitud total de IP es más corto que la longitud del encabezado.

    • El paquete tiene opciones de IP incorrectas.

    • Error de longitud de paquete del Protocolo de mensajes de control de Internet (ICMP).

    • Tiempo de vida (TTL) es igual a 0.

  • Anomalías de la dirección IP:

    • El origen del paquete IP es de difusión o multidifusión.

    • Ataque terrestre (IP de origen es igual a IP de destino).

  • Anomalías de fragmentación de IP:

    • Superposición de fragmentos IP.

    • Fragmento de IP perdido.

    • Error de longitud de fragmento IP.

    • La longitud del paquete IP es de más de 64 kilobytes (KB).

    • Pequeño fragmento de ataque.

  • Anomalías TCP:

    • Puerto TCP 0.

    • Número de secuencia TCP 0 y indicadores 0.

    • Número de secuencia TCP 0 y marcado FIN/PSH/RST establecidos.

    • Indicadores TCP con combinación incorrecta (TCP FIN/RST o SYN/(URG|FIN|RST).

    • Suma de comprobación TCP incorrecta.

  • Anomalías del UDP:

    • Puerto de origen o destino UDP 0.

    • Error en la comprobación de longitud del encabezado UDP.

    • Suma de comprobación UDP incorrecta.

  • Anomalías encontradas a través de comprobaciones TCP o UDP con estado:

    • SYN seguido de paquetes SYN-ACK sin ACK del iniciador.

    • SYN seguido de paquetes RST.

    • SYN sin SYN-ACK.

    • Primer paquete de flujo que no es SYN.

    • Errores inalcanzables ICMP para paquetes SYN.

    • Errores inalcanzables ICMP para paquetes UDP.

  • Paquetes descartados por reglas de firewall de estado.