por qué bloquear el tráfico entrante no bloquea el chat o el VOIP

Navega tus respuestas
4

Recientemente, bloqueé todo el tráfico entrante (todos los puertos locales y todos los ips externos) en mi firewall de Windows 7 y entiendo que eso no me impedirá acceder a los sitios web ya que la navegación necesita una conexión de salida. Eso estuvo bien para mí.

Sin embargo, aunque no puedo acceder a ningún archivo compartido o rdp a esta computadora desde redes locales, encuentro que puedo VOIP o chatear en Internet. Me pregunto cómo es posible.

Según tengo entendido, para enviar mensajes necesitamos que se abran los puertos entrantes, que he bloqueado, por lo que todavía puedo chatear o VOIP.

    
pregunta user1449596 05.02.2013 - 16:22
fuente

3 respuestas

5

La mayoría de las comunicaciones en la actualidad se realiza a través de servidores remotos. Así, los clientes se conectan a un servidor central y el servidor gestiona la comunicación entre los clientes. El bloqueo de los puertos de escucha con un firewall no detendrá esta comunicación.

Pero algunos servicios requieren comunicación directa (Peer to Peer) para disminuir la latencia y aumentar el ancho de banda. VoIP y otros servicios aún pueden comunicarse sin tener abiertos los puertos locales.

Al combinar el modelo cliente-servidor con el modelo P2P, se inventaron nuevas formas de establecer conexiones:

  •   

    Perforación de agujeros UDP es una técnica utilizada comúnmente en la red   Aplicaciones de traductor de direcciones (NAT) para el mantenimiento de datagramas de usuario.   Transmisiones de paquetes de protocolo (UDP) que atraviesan el NAT. NAT transversal   Las técnicas son típicamente requeridas para las redes de cliente a cliente.   Aplicaciones en Internet que involucran hosts conectados en privado.   Redes, especialmente en el protocolo peer-to-peer y Voice over Internet Protocol.   (VoIP) implementaciones.

  •   

    Perforación de agujeros TCP es una técnica de cruce de NAT comúnmente utilizada, para   Envío de mensajes bidireccionales entre nodos en una red informática de Internet.   El término "NAT transversal" es un término general para las técnicas que   establecer y mantener la red TCP / IP y / o las conexiones TCP   Atravesando puertas de enlace de traducción de direcciones de red (NAT).

  •   

    STUN (Utilidades de recorrido de la sesión para NAT) es un conjunto estandarizado de   métodos y un protocolo de red para permitir que un host final descubra su   Dirección IP pública si está ubicada detrás de un NAT. Se utiliza para permitir   NAT transversal para aplicaciones de voz en tiempo real, video, mensajería,   y otras comunicaciones IP interactivas. Está documentado en RFC 5389

Skype utiliza la perforación de agujeros UDP para sortear los cortafuegos .

    
respondido por el Cristian Dobre 05.02.2013 - 16:28
fuente
5

Los cortafuegos normalmente funcionan bloqueando el tráfico no solicitado . Supongamos que visita una página web (stackexchange.com que tiene una dirección IP 69.59.197.21 ) con su navegador web. Realiza un protocolo de enlace de TCP de tres vías con 69.59.197.21 antes de transmitir cualquier información. Es decir, su navegador web primero solicita un SYN (SINCRONIZACIÓN) con un número de secuencia aleatorio de 32 bits al servidor web, por ejemplo (x = 850003392). El servidor web responde con un SYN ACK (ACKnowledgment) que devuelve su número de secuencia (incrementado en 1) como un ACK (x + 1 = 850003393) junto con su número de secuencia aleatorio (y = 4013010515), y luego su cliente envía un ACK (x + 1, y + 1) para completar el saludo de tres vías. El protocolo de enlace garantiza que tanto el servidor web como el cliente estén de acuerdo con los números.

Luego, a través de la conexión TCP establecida, su navegador envía una solicitud HTTP al puerto 80 a 69.59.197.21 desde algún puerto aleatorio desde su computadora (por ejemplo, el puerto 35235) que no se está utilizando en este momento. Un puerto es solo un número entre 0 y 65535 (2 16 -1) que le permite a su tarjeta Ethernet tener múltiples conversaciones distintas al mismo tiempo; para que pueda visitar varias páginas web simultáneamente y tener abiertas varias aplicaciones de Internet; cada uno con una conexión separada. Cada paquete contiene una dirección IP de origen y un puerto, una dirección IP de destino y un puerto). Su firewall ve que acaba de realizar una solicitud de información desde 69.59.197.21:80 y luego permite que la dirección IP 69.59.197.21 envíe una respuesta HTTP (con la página web HTML; imágenes; etc.) a su dirección IP en el puerto 35235 de lo que su sistema operativo pasará a su navegador web.

Es similar a UDP, excepto que no hay un protocolo TCP.

    
respondido por el dr jimbob 05.02.2013 - 16:53
fuente
1

Una conexión TCP establecida funciona mediante el uso de paquetes que viajan en ambas direcciones, y cuando un cortafuegos "solo permite conexiones salientes ", realmente significa que el firewall permite todos los paquetes excepto el paquete entrante que intenta abrir una nueva conexión (es decir, el primer paquete de una conexión entrante ).

VoIP generalmente utiliza UDP , no TCP, y tiene sus propias reglas. El equivalente al sistema de bloqueo TCP sería un cortafuegos que permite paquetes UDP entrantes solo cuando están "en respuesta" a un paquete saliente anterior (es decir, un paquete entrante con dirección de origen s y puerto de origen p , y el puerto de destino q en la máquina local, permitido por el firewall porque vio un paquete saliente con la dirección de destino s y el puerto de destino p , y el puerto de origen q ).

    
respondido por el Thomas Pornin 05.02.2013 - 16:37
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es borrar un dispositivo Android cifrado? ¿Cómo pueden los hoteles recibir de manera segura los detalles de su tarjeta de crédito (para un pago único y personalizado)?