Cortafuegos de estado * vs Sin estado * host *: ¿hay alguna ventaja?

0

En el caso de un dispositivo de firewall separado de un servidor host, creo que hay un claro beneficio al usar un firewall con estado.

Pero en el caso de un servidor de seguridad , donde los servicios en el alcance están bien definidos, ¿qué escenarios específicos se evitarían mediante un servidor de seguridad con estado que no sería bloqueado por un servidor de seguridad sin estado?

Considere una política para un servidor web y ssh, conectándose a una base de datos ...

  • permitir cualquier dirección / puerto IP a la dirección IP local en los puertos 80 y 22 (local como servidor)
  • permitir los puertos 80 y 22 en la IP local a cualquier IP / puerto de destino (local como servidor)
  • permitir IP / puerto local a mydbserver.example.com, puerto 3306 (local como cliente)
  • permitir mydbserver.example.com, puerto 3306 a cualquier IP / puerto local (local como cliente)

Un firewall sin estado configurado como un anterior, en teoría podría ser subvertido. Un remitente de correo no deseado puede vincular a un cliente de arma de correo al puerto 80 en una IP local y disparar el tráfico SMTP a través del firewall. Sin embargo, el privilegio requerido para lograr esto, en todos los casos que he encontrado, también le otorgaría los derechos para cambiar una configuración de firewall con estado en el host . Por lo tanto, para este modo de amenaza, no hay ninguna ventaja.

    
pregunta symcbean 30.11.2016 - 15:06
fuente

1 respuesta

1

Déjame intentarlo con esta pregunta ...

El término Stateful se asocia a menudo con la "Inspección profunda de paquetes" y la "Inspección Stateful Packet":

  1. Inspección profunda de paquetes: la capacidad de mirar un paquete y ver qué comando se está ejecutando usado. Así, por ejemplo, permitiré la solicitud entrante de FTP, pero no Permitir los comandos PUT y DELETE desde FTP. Esto haría que mi FTP esencialmente solo lectura.
  2. Inspección de paquetes de estado: la capacidad de recordar una conexión. Muchos protocolos (como HTTP) tener un puerto conocido (como el puerto 80) para la "solicitud" saliente, pero use un Puerto "público" (> 1024) para la respuesta entrante. SPI puede recordar el Devuelve el número de puerto y específicamente lo permite. Sin la habilidad para recordar la conexión, tendría que permitir todas las direcciones IP entrantes en todo el número de puerto > 1024 para obtener la respuesta

Entonces, como Marcus ha señalado ... estas son características muy comunes de la mayoría de los "cortafuegos personales". Aunque el firewall personal de Microsoft hace SPI de forma un poco diferente a lo que haría un firewall basado en perímetro. Esto se debe a que en el host, puede incluir la aplicación o el servicio con el que está asociada la conexión (algo que un servidor de seguridad perimetral no conocería). Así, por ejemplo, no tendría que permitir todos los IP y puertos entrantes > 1024 para todos los paquetes ... solo los paquetes asociados con IE. Sí, eso no es tan bueno como el enfoque más formal, pero es algo.

Entonces, sí ... el firewall "personal" basado en software de Microsoft que aparece en las versiones modernas de Windows es (apenas) un firewall con estado.

    
respondido por el egray 30.11.2016 - 17:49
fuente

Lea otras preguntas en las etiquetas