Cortafuegos con estado

En informática, un cortafuegos con estado es un cortafuegos basado en red que realiza un seguimiento individual de las sesiones de las conexiones de red que lo atraviesan. La inspección de paquetes con estado, también conocida como filtrado dinámico de paquetes, es una función de seguridad que se utiliza a menudo en redes empresariales y no comerciales.

Descripción

Un cortafuegos con estado realiza un seguimiento del estado de las conexiones de red, como transmisiones TCP, datagramas UDP y mensajes ICMP, y puede aplicar etiquetas como ESCUCHAR, ESTABLECIDO o CIERRE. Las entradas de la tabla de estado se crean para flujos TCP o datagramas UDP que pueden comunicarse a través del firewall de acuerdo con la política de seguridad configurada. Una vez en la tabla, todos los paquetes RELACIONADOS de una sesión almacenada se simplifican y requieren menos ciclos de CPU que la inspección estándar. Los paquetes relacionados también pueden regresar a través del firewall incluso si no se configura ninguna regla para permitir las comunicaciones desde ese host. Si no se ve tráfico durante un tiempo específico (depende de la implementación), la conexión se elimina de la tabla de estado. Las aplicaciones pueden enviar mensajes de actividad periódicamente para evitar que un cortafuegos interrumpa la conexión durante períodos de inactividad o para aplicaciones que, por diseño, tienen largos períodos de silencio.

El método para mantener el estado de una sesión depende del protocolo de transporte que se utilice. TCP es un protocolo orientado a la conexión y las sesiones se establecen con un protocolo de enlace de tres vías utilizando paquetes SYN y finalizan enviando una notificación FIN. El firewall puede usar estos identificadores de conexión únicos para saber cuándo eliminar una sesión de la tabla de estado sin esperar un tiempo de espera. UDP es un protocolo sin conexión, lo que significa que no envía identificadores únicos relacionados con la conexión mientras se comunica. Por eso, una sesión solo se eliminará de la tabla de estado después del tiempo de espera configurado. La perforación de agujeros UDP es una tecnología que aprovecha esta característica para permitir la configuración dinámica de túneles de datos a través de Internet. Los mensajes ICMP son distintos de TCP y UDP y comunican información de control de la propia red. Un ejemplo bien conocido de esto es la utilidad ping. Las respuestas ICMP podrán regresar a través del firewall. En algunos escenarios, la comunicación UDP puede usar ICMP para proporcionar información sobre el estado de la sesión, por lo que también se permitirá el retorno de las respuestas ICMP relacionadas con una sesión UDP.

Ventajas del cortafuegos de inspección de estado

• Supervisa toda la sesión para el estado de la conexión, al tiempo que revisa las direcciones IP y las cargas de pago para una seguridad más completa
• Ofrece un alto grado de control sobre qué contenido se deja entrar o salir de la red
• No necesita abrir numerosos puertos para permitir el tráfico dentro o fuera
• Proporciona capacidades sustantivas de registro

Desventajas del cortafuegos de inspección de estado

• Intensivo en materia de recursos e interfiere con la velocidad de las comunicaciones de red
• Más caro que otras opciones de cortafuegos
• No proporciona capacidades de autenticación para validar las fuentes de tráfico no son esponjosas
• No funciona con enrutamiento asimétrico (las direcciones opuestas utilizan diferentes caminos)