¿Qué es un Firewall Stateful?

firewall con estado intercepta paquetes en la capa de red y luego deriva y analiza datos de todas las capas de comunicación para mejorar la seguridad. La información sobre el estado de conexión y otros datos contextuales se almacena y se actualiza dinámicamente. Esto proporciona un contexto valioso al evaluar futuros intentos de comunicación.

Get a Personal Firewall Demo Punto de referencia de seguridad NGFW de Miercom 2024

¿Cómo funciona el firewall con estado?

Las computadoras utilizan protocolos bien definidos para comunicarse a través de la red local e Internet.

Estos incluyen protocolos de transporte de capa baja, como TCP y UDP, y también protocolos de capa de aplicación superior, como HTTP y FTP.

firewall con estado inspecciona los paquetes de red y rastrea el estado de las conexiones utilizando lo que se sabe sobre los protocolos que se utilizan en la conexión de red. Por ejemplo, TCP es un protocolo orientado a la conexión con comprobación de errores para garantizar la entrega de paquetes.

Una conexión TCP entre el cliente y el servidor primero comienza con un apretón de manos de tres vías para establecer la conexión. Un paquete se envía desde un cliente con un indicador SYN (sincronizar) establecido en el paquete. El servidor que recibe el paquete entiende que se trata de un intento de establecer una conexión y responde con un paquete con los indicadores SYN y ACK (reconocimiento) establecidos. Cuando el cliente recibe este paquete, responde con un ACK para comenzar a comunicarse a través de la conexión.

Este es el comienzo de una conexión que otros protocolos utilizan para transmitir datos o comunicarse.

Por ejemplo, el navegador del cliente puede usar la conexión TCP establecida para llevar el protocolo web, HTTP GET, para obtener el contenido de una página web.

 

Cuando se establece la conexión, se dice que el estado está establecido. Al final de la conexión, el cliente y el servidor derriban la conexión usando indicadores en el protocolo como FIN (terminar). A medida que la conexión cambia de estado de abierta a establecida, firewall con estado almacena la información de estado y contexto en tablas y actualiza esta información dinámicamente a medida que avanza la comunicación. La información almacenada en las tablas de estado proporciona datos acumulativos que se pueden usar para evaluar conexiones futuras.

 

Para protocolos sin estado como UDP, el firewall con estado crea y almacena datos de contexto que no existen dentro del protocolo mismo. Esto permite que el firewall rastree una conexión virtual además de la conexión UDP en lugar de tratar cada paquete de solicitud y respuesta entre una aplicación cliente y servidor como una comunicación individual.

Ejemplo de FTP

Las sesiones FTP utilizan más de una conexión. Una es una conexión de comando y la otra es una conexión de datos por la que pasan los datos.

Stateful firewalls examine the FTP command connection for requests from the client to the server. For instance, the client may create a data connection using an FTP PORT command. This packet contains the port number of the data connection, which a stateful firewall will extract and save in a table along with the client and server IP addresses and server port.4

Cuando se establece la conexión de datos, debe usar las direcciones IP y los puertos contenidos en esta tabla de conexión. Un firewall con estado utilizará estos datos para verificar que cualquier intento de conexión de datos FTP responda a una solicitud válida. Una vez que se cierra la conexión, el registro se elimina de la tabla y los puertos se bloquean, evitando el tráfico no autorizado.

Estado vs. apátrida

Un firewall sin estado evalúa cada paquete de forma individual. Puede inspeccionar las direcciones IP de origen y destino y los puertos de un paquete y filtrarlo según listas simples de control de acceso (ACL). Por ejemplo, un firewall sin estado puede implementar una política de “denegación predeterminada” para la mayor parte del tráfico entrante, permitiendo solo conexiones a sistemas particulares, como servidores web y de correo electrónico. Por ejemplo, permitir conexiones a direcciones IP específicas en el puerto TCP 80 (HTTP) y 443 (HTTPS) para web y el puerto TCP 25 (SMTP) para correo electrónico.

firewall con estado, por otro lado, rastrea y examina una conexión en su conjunto. Hacen un seguimiento del estado actual de los protocolos con estado, como TCP, y crean una superposición de conexión virtual para conexiones como UDP.

firewall con estado tienen las mismas capacidades que los sin estado, pero también pueden detectar dinámicamente y permitir comunicaciones de aplicaciones que los sin estado no permitirían. firewall sin estado no reconocen la aplicación, es decir, no pueden comprender el contexto de una comunicación determinada.

firewall con estado con Check Point

El firewall con estado de Check Point está integrado en la pila de red del kernel del sistema operativo. Se encuentra en la capa de software más baja entre la tarjeta de interfaz de red física (Capa 2) y la capa más baja de la pila de protocolos de red, generalmente IP.

Al insertarse entre los componentes físicos y de software de la pila de red de un sistema, el firewall con estado de Check Point garantiza una visibilidad completa de todo el tráfico que entra y sale del sistema. Ninguna de las capas superiores de la pila de protocolos procesa ningún paquete hasta que el firewall verifica primero que el paquete cumple con la política de control de acceso de seguridad de la red.

El firewall con estado de Check Point proporciona una serie de beneficios valiosos, que incluyen:

  • Extensible: La implementación de inspección de estado de Check Point admite cientos de aplicaciones, servicios y protocolos predefinidos, más que cualquier otro proveedor de firewall.
  • Performance: El diseño simple y efectivo del firewall de Check Point logra un rendimiento óptimo al ejecutarse dentro del kernel del sistema operativo. Esto reduce la sobrecarga de procesamiento y elimina la necesidad de cambiar de contexto. Además, el almacenamiento en caché y las tablas hash se utilizan para almacenar y acceder a los datos de manera eficiente. Finalmente, la inspección de paquetes del firewall se optimiza para garantizar la utilización óptima de las interfaces de red modernas, la CPU y los diseños de SO.
  • Escalable: Hiperescala, en pocas palabras, es la capacidad de una arquitectura tecnológica de escalar a medida que se agrega más demanda al sistema. Check Point Maestro aporta agilidad, escalabilidad y elasticidad de la nube local con una eficaz agrupación en clústeres N+1 basada en la tecnología Check Point HyperSync, que maximiza las capacidades del firewall existente. Se pueden apilar varios firewalls de Check Point, lo que agrega ganancias de rendimiento casi lineales con cada firewall adicional agregado al clúster.

Check Point’s next-generation firewalls (NGFW) integran las características de un firewall con estado con otras funciones esenciales de seguridad de red. Para obtener más información sobre qué buscar en un NGFW, consulte esta guía del comprador. También es bienvenido a solicitar una demostración gratuita para ver los NGFW de Check Point en acción.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.