Estructura de filtro de paquetes de estado

Primero, definamos qué es un cortafuegos con estado o un firewall con estado :

Cortafuegos sin estado: este fue el método de cortafuegos original. Usted da las reglas del firewall en cuanto a qué puertos IP están abiertos o no. Si un paquete entrante (generalmente de Internet) no especifica un puerto permitido por las reglas, el firewall lo elimina / detiene.

Cortafuegos con estado: todos los puertos están bloqueados por el cortafuegos (de forma predeterminada, y esto solo se aplica al tráfico del exterior / Internet). Cuando una computadora detrás / dentro del firewall quiere establecer una conexión a través del firewall, el firewall observa cómo sale el primer paquete (en el puerto que seleccione su computadora) hacia una computadora remota (web). El firewall recuerda la dirección IP a la que se envió el paquete y qué puerto usó la computadora emisora / interna, y (por un tiempo limitado) permitirá que los paquetes de esa dirección IP externa que usan ese puerto pasen a través del firewall para llegar a la red interna. El estado en este caso significa que el estado de filtrado (reglas) del firewall depende de qué tráfico ha sido iniciado por las computadoras en el lado interno (nominalmente seguro) del firewall. De forma predeterminada, cualquier paquete desde el exterior es detenido por el firewall a menos que sea parte de una conversación en curso iniciada por la computadora interna.

Ambos de los anteriores solo requieren mirar los encabezados de paquetes entrantes y salientes, que incluyen las direcciones IP enviadas y direccionadas (desde y hacia las direcciones) así como el puerto IP.

Más tarde, los firewalls también comenzaron a hacer una "inspección profunda de paquetes" donde también observaron el contenido de los paquetes.

Si entiendo tu pregunta, estás preguntando sobre la capacidad de un firewall para saber qué aplicación está intentando conectarse a través del firewall.

Muchas aplicaciones utilizan ciertos puertos predeterminados . Por ejemplo, HTTP (páginas web) usa el puerto 80, mientras que HTTPS (páginas web seguras / encriptadas) usa el puerto 443. Por lo tanto, solo mirando el puerto usado le dice al firewall qué aplicación se está usando. A medida que Internet se mueve más y más a la comunicación encriptada (HTTPS en todas partes y el uso de VPN u otros enlaces de comunicación encriptados), los firewalls son cada vez menos capaces de ver el contenido de tráfico IP, por lo que ver el puerto IP con el tiempo se convertirá en el único La forma en que el firewall puede indicar qué aplicación se está comunicando. Hay formas de permitir que un cortafuegos sofisticado busque en paquetes cifrados , pero normalmente solo serán empleados por grandes organizaciones (y algunos ISP snoopy) pero no por usuarios domésticos.

  

En primer lugar, ¿por qué no se puede ver que los datos de la aplicación sean una de las desventajas de Stateful Packet Filter?

El análisis del nivel de la aplicación es importante para filtrar el malware, ya que debes entender el protocolo de las aplicaciones para extraer el malware potencial para el análisis.

Pero, esto es, por supuesto, solo una desventaja en comparación con una puerta de enlace / proxy de nivel de aplicación. Un filtro de paquetes (no de estado) tampoco puede ver los datos de la aplicación.

  

En segundo lugar, ¿cómo puede el filtro de paquetes con estado monitorear el seguimiento de la conexión?

Las conexiones TCP se definen por el puerto y la IP de origen / destino, pero también por números de secuencia, etc. Una conexión TCP tiene un inicio y un final que se señalan con SYN, indicadores FIN. Al tener una tabla interna del estado de cada conexión, el filtro de paquetes con estado puede hacer un seguimiento de estas conexiones. De esta manera, por ejemplo, se puede utilizar para asegurarse de que los paquetes desde el exterior solo se pasen dentro si coinciden con una conexión existente que se estableció de adentro hacia afuera.