stringtranslate.com

Cortafuegos con estado

En informática, un cortafuegos con estado es un cortafuegos basado en red que rastrea individualmente las sesiones de conexiones de red que lo atraviesan. La inspección de paquetes con estado , también conocida como filtrado dinámico de paquetes, [1] es una función de seguridad que se utiliza a menudo en redes comerciales y no comerciales.

Descripción

Un firewall con estado realiza un seguimiento del estado de las conexiones de red, como flujos TCP , datagramas UDP y mensajes ICMP , y puede aplicar etiquetas como LISTEN , ESTABLISHED o CLOSING . [2] Las entradas de la tabla de estado se crean para flujos TCP o datagramas UDP que pueden comunicarse a través del firewall de acuerdo con la política de seguridad configurada. Una vez en la tabla, todos los paquetes RELATED de una sesión almacenada se optimizan, lo que requiere menos ciclos de CPU que la inspección estándar. También se permite que los paquetes relacionados regresen a través del firewall incluso si no se configura ninguna regla para permitir las comunicaciones desde ese host. Si no se ve tráfico durante un tiempo específico (depende de la implementación del tiempo de espera), la conexión se elimina de la tabla de estado. Esto puede provocar que las aplicaciones experimenten desconexiones inesperadas o conexiones TCP medio abiertas . Las aplicaciones se pueden escribir para enviar mensajes de mantenimiento de conexión [3] periódicamente para evitar que un firewall pierda la conexión durante períodos de inactividad o para aplicaciones que, por diseño, tienen largos períodos de silencio.

El método para mantener el estado de una sesión depende del protocolo de transporte que se utilice. TCP es un protocolo orientado a la conexión [4] y las sesiones se establecen con un protocolo de enlace de tres vías mediante paquetes SYN y finalizan enviando una notificación FIN . [5] El cortafuegos puede utilizar estos identificadores de conexión únicos para saber cuándo eliminar una sesión de la tabla de estados sin esperar a que se agote el tiempo de espera. UDP es un protocolo sin conexión [4], lo que significa que no envía identificadores únicos relacionados con la conexión mientras se comunica. Debido a eso, una sesión solo se eliminará de la tabla de estados después del tiempo de espera configurado. La perforación de agujeros UDP es una tecnología que aprovecha esta característica para permitir la configuración dinámica de túneles de datos a través de Internet. [6] Los mensajes ICMP son distintos de TCP y UDP y comunican información de control de la propia red. Un ejemplo bien conocido de esto es la utilidad ping . [7] Las respuestas ICMP se permitirán de vuelta a través del cortafuegos. En algunos escenarios, la comunicación UDP puede usar ICMP para proporcionar información sobre el estado de la sesión, de modo que las respuestas ICMP relacionadas con una sesión UDP también podrán transmitirse.

Ventajas del firewall con inspección de estado

Desventajas del firewall con inspección de estado

Véase también

Referencias

  1. ^ Goralski, Walter (12 de mayo de 2017). La red ilustrada: cómo funciona TCP/IP en una red moderna. Elsevier Science. ISBN 978-0-12-811027-0.OCLC 986540207  .
  2. ^ "Estado de la conexión TCP". IBM Knowledge Center . 12 de febrero de 2015 . Consultado el 6 de septiembre de 2020 .
  3. ^ "TCP Keepalive HOWTO". Proyecto de documentación de Linux . Consultado el 6 de septiembre de 2020 .
  4. ^ ab Mitchell, Bradley (1 de abril de 2020). "TCP vs UDP". Lifewire . Consultado el 6 de septiembre de 2020 .
  5. ^ "Apretón de manos de tres vías TCP". Estudio-CCNA . 6 de septiembre de 2018 . Consultado el 6 de septiembre de 2020 .
  6. ^ "Travesía NAT automática para tunelización VPN automática entre pares Cisco Meraki". Meraki . Consultado el 6 de septiembre de 2020 .
  7. ^ Mitchell, Bradley (3 de diciembre de 2018). "Guía del protocolo de mensajes de control de Internet (ICMP)". Lifewire . Consultado el 6 de septiembre de 2020 .