Cómo funciona un firewall sin estado
El objetivo de un firewall es limitar el acceso a una red protegida. Se instala un firewall en línea con el tráfico que entra y sale de la red protegida, lo que le permite inspeccionar cada paquete entrante o saliente. El firewall toma la decisión de permitir o descartar un paquete según su conjunto de reglas integrado.
Si bien existen algunos tipos diferentes de firewalls, un firewall sin estado es aquel que evalúa cada paquete basándose únicamente en los datos que contiene, normalmente el encabezado del paquete. El encabezado del paquete contiene direcciones IP, números de puerto y otra información que el firewall puede usar para determinar si el paquete está autorizado o no.
Un firewall puede configurarse con reglas que limiten el conjunto de direcciones IP permitidas para acceder a la red protegida o que solo permitan que ciertos protocolos de red entren o salgan de la red. Por ejemplo, se puede configurar un firewall sin estado para permitir conexiones HTTPS entrantes pero bloquear SSH entrante. De manera similar, se puede configurar un firewall para bloquear el tráfico de ciertas regiones geográficas o de direcciones IP conocidas como incorrectas.
firewallcon estado o sin estado
firewall sin estado se definen comúnmente en contraste con firewallcon estado. La principal diferencia entre estos es que firewall con estado rastrean cierta información sobre el estado actual de una conexión de red activa, mientras que los sin estado no lo hacen.
Esto es importante porque permite que firewall con estado identifique y bloquee el tráfico aparentemente legítimo pero malicioso. Por ejemplo, el protocolo de enlace TCP implica un paquete SYN del cliente seguido de un paquete SYN/ACK del servidor seguido de un paquete ACK del cliente. Si un atacante envió un paquete ACK a un servidor corporativo que no respondía a un SYN/ACK, un firewall con estado lo bloquearía, pero uno sin estado no. Esto significa que firewall sin estado pasará por alto ciertos tipos de análisis de red y otros ataques que los firewall con estado detectarían y bloquearían.
Pros y contras del firewallsin estado
Un firewall sin estado está diseñado para procesar solo encabezados de paquetes y no almacena ningún estado. Esto proporciona algunas ventajas, incluyendo las siguientes:
- Velocidad: un firewall sin estado realiza relativamente pocos análisis del tráfico de red en comparación con otros tipos de firewalls. Como resultado, podría ofrecer una latencia más baja que firewall con estado.
- Escalabilidad: el procesamiento limitado del firewallsin estado también afecta su escalabilidad. Es posible que el mismo hardware pueda procesar más conexiones con un firewall sin estado debido a los requisitos limitados de procesamiento y datos del firewall.
- Costo: firewall sin estado son menos complejos que otros tipos de firewall. Como resultado, es posible que estén disponibles a un precio más bajo que firewall más sofisticados.
Sin embargo, si bien un firewall sin estado tiene sus ventajas, éstas se compensan con importantes desventajas. firewall sin estado no pueden detectar muchos tipos comunes de ataques, incluidos los siguientes:
- Paquetes fuera de secuencia: los paquetes sin estado carecen de visibilidad del estado actual de una conexión de red y no pueden detectar paquetes legítimos enviados deliberadamente fuera de secuencia. Por ejemplo, un firewall sin estado no podría detectar muchos tipos de escaneos TCP (ACK, FIN, etc.) ni identificar una respuesta DNS enviada sin la solicitud correspondiente.
- malware integrado: firewall sin estado inspecciona solo los encabezados de los paquetes de red, no su contenido. Esto les hace imposible identificar si la carga útil de un paquete contiene contenido malicioso, como malware.
- Ataques a la capa de aplicación: El enfoque del firewallsin estado en los encabezados de los paquetes también los hace ciegos a los ataques realizados en la capa de aplicación. Por ejemplo, la explotación de la vulnerabilidad de una aplicación web o los ataques contra la infraestructura de la nube serían invisibles para estos firewall.
- Ataques de denegación de servicio distribuido (DDoS): un ataque DDoS comúnmente implica el envío de un volumen masivo de paquetes de spam a un objetivo. Dado que estos paquetes parecen legítimos y un firewall sin estado examina cada paquete individualmente, pasaría por alto este tipo de ataque.
firewall sin estado puede ser más eficiente que firewall con estado. Sin embargo, son completamente ciegos a la mayoría de los ataques modernos y proporcionan un valor limitado a una organización.
Seguridad de firewall con Check Point
Elegir el firewall adecuado es esencial para el éxito del programa de ciberseguridad de una organización. Para la protección contra amenazas modernas, la única opción es un Firewall de última generación (NGFW) que integra múltiples capacidades de seguridad para una visibilidad de seguridad en profundidad y una prevención de amenazas efectiva. Obtenga más información sobre qué buscar en un firewall en esta guía del comprador de NGFW.
Check Point ofrece una gama de NGFW diseñados para satisfacer las necesidades únicas de cualquier organización. Para obtener más información sobre las capacidades de los NGFW de Check Point e identificar la opción correcta para su organización, regístrese hoy para una demostración gratuita.
Comentarios