En el caso de un dispositivo de firewall separado de un servidor host, creo que hay un claro beneficio al usar un firewall con estado.
Pero en el caso de un servidor de seguridad , donde los servicios en el alcance están bien definidos, ¿qué escenarios específicos se evitarían mediante un servidor de seguridad con estado que no sería bloqueado por un servidor de seguridad sin estado?
Considere una política para un servidor web y ssh, conectándose a una base de datos ...
- permitir cualquier dirección / puerto IP a la dirección IP local en los puertos 80 y 22 (local como servidor)
- permitir los puertos 80 y 22 en la IP local a cualquier IP / puerto de destino (local como servidor)
- permitir IP / puerto local a mydbserver.example.com, puerto 3306 (local como cliente)
- permitir mydbserver.example.com, puerto 3306 a cualquier IP / puerto local (local como cliente)
Un firewall sin estado configurado como un anterior, en teoría podría ser subvertido. Un remitente de correo no deseado puede vincular a un cliente de arma de correo al puerto 80 en una IP local y disparar el tráfico SMTP a través del firewall. Sin embargo, el privilegio requerido para lograr esto, en todos los casos que he encontrado, también le otorgaría los derechos para cambiar una configuración de firewall con estado en el host . Por lo tanto, para este modo de amenaza, no hay ninguna ventaja.