Seguridad perimetral 4min de Leitura - 24 de enero de 2017

Firewall: Mecanismos de filtrado stateless y stateful

This post is also available in: Português English Español

Dos de los primeros y principales mecanismos de filtrado presentes en los firewalls fueron creados entre los años 1989 y 1994, inicialmente por Digital Equipments y posteriormente por el laboratorio Bell Labs de AT&T.

A pesar de la avanzada edad, en lo que se refiere a aspectos tecnológicos, los filtrados sin y con estado, stateless y stateful respectivamente, formaron la base para la construcción y evolución de soluciones de firewall, siendo utilizadas en la actualidad.

Comprender el funcionamiento de dichos mecanismos facilita el entendimiento de las nuevas tecnologías, además de auxiliar de manera sustancial en la definición de una mejor aplicación, de acuerdo con la necesidad del ambiente.

Incluso con la complejidad detrás de las soluciones de seguridad y firewall, los filtros stateful se utilizan con gran frecuencia en la actualidad, sin embargo, casi siempre de manera transparente, no siendo manejable o visible por los administradores y analistas de seguridad.

Trataremos de manera introductoria el tema para garantizar que usted pueda beneficiarse del entendimiento de ambos conceptos que fueron (y siguen siendo) tan importantes para los firewalls.

Filtrado de paquetes

Toda comunicación en una red de computadoras se segmenta en pequeños paquetes de acuerdo con la unidad de transferencia máxima entre las redes (MTU), generalmente de 1500 bytes. En cada una de las capas hay información de encabezado, útiles para el procesamiento, además de la parte de datos (payload), donde la información es de hecho transportada.

El filtrado de paquetes no es más que un mecanismo capaz de analizar los encabezados en determinadas capas de la suite TCP/IP y, sobre la base de un patrón de reglas preestablecido, reenviar el paquete al siguiente paso, o desconsiderarlo.

Este es el concepto básico de entendimiento de una estructura de control de paquetes, y sólo es posible porque los firewalls se colocan de manera estratégica en una topología de red, por donde el tráfico entre redes es afilado o estrangulado.

Una vez que el paquete pasa por el firewall, y sólo de esta manera él puede llegar hasta el destino final, el mismo tiene el poder de definir si eso debe o no ser encaminado. El encaminamiento de paquetes es la función fundamental de enrutamiento, función también desempeñada por un firewall.

Filtrado stateless o sin estado

El filtrado sin estado ofrece una característica de evaluación de paquetes de manera independiente, donde no hay conocimiento sobre la conexión. Esto quiere decir que cada paquete que pasa por el firewall, independientemente de ser una nueva conexión o ya existente, es evaluado de acuerdo a las reglas establecidas por el administrador.

Es común en estas arquitecturas crear una regla para cada dirección de tráfico, previendo tanto la salida (envío) de un paquete, como la entrada (recepción) del mismo, lo que ocurre comúnmente en interfaces de red distintas. Como no hay conocimiento de las conexiones, no es posible predecir el retorno de la conexión.

Los ambientes que poseen este mecanismo de filtrado tienen la tendencia común de tener un número mayor de reglas, por la necesidad de prever siempre los dos sentidos de la comunicación (entrada y salida).

Los firewalls stateless son cada vez menos utilizados, pero todavía está presente en dispositivos de red cuyo principal foco no es la seguridad, garantizando que se puedan crear reglas básicas de acceso al mismo, evitando exposiciones innecesarias.

El concepto más importante que se debe registrar sobre los firewalls stateless es que los mismos no tienen conocimiento acerca de las conexiones y por ello aplican sus reglas en todos los paquetes que atraviesan el dispositivo.

Firewall stateful o con estado

Los firewalls stateful se diseñaron posteriormente para solucionar aspectos de seguridad que surgieron con la primera generación, como por ejemplo el caso de forjar (spoof) información de conexión.

La importancia fundamental fue orientar el filtrado a la conexión, permitiendo que el mecanismo de filtrado pasara a conocer las conexiones y con base en ello legitimaría un paquete o no. Esta característica auxiliar se conoce como tabla de conexiones o tabla de estados.

Con la tabla de estados, todo inicio de conexión está debidamente registrado (se crea un nuevo estado). Cuando el paquete regresa, antes de iniciar el proceso de evaluación de las reglas de acceso, el firewall stateful comprueba la tabla de estados, validando si hay alguna conexión asociada, y si es así, acepta la conexión sin procesar las reglas. De lo contrario, descarta el paquete.

La seguridad del ambiente se incrementa considerablemente con el uso de firewall stateful, teniendo en cuenta que hay trazabilidad de parámetros utilizados para validar una conexión activa en la estructura. El nivel y la complejidad del tracking dependen del fabricante. Algunos utilizan sólo parámetros de direcciones así como puertos de origen y destino, mientras que otros utilizan número de secuencia y reconocimiento, tamaño de ventana y etc., en el caso del protocolo TCP.

A medida que la conexión evoluciona en términos de intercambio de paquetes, la tabla de estados siempre se actualiza con la información para garantizar la continuidad de seguridad e integridad. Este proceso también garantiza la validez de la conexión, sin que sea necesario evaluar las reglas de acceso definidas por el administrador.

En un firewall stateful hay un ahorro considerable de recursos computacionales, ya que hay un esfuerzo inicial para la creación de nuevas conexiones, que es recompensado hasta el cierre por la no necesidad de procesar las reglas de acceso. Es muy común encontrar este mecanismo de filtrado en las más modernas soluciones, lo que sigue siendo un elemento fundamental en la estrategia de defensa en profundidad.

¿Usted ya puede reconocer que tecnología de filtrado de paquetes se utiliza en el firewall de su empresa? Añada información y conocimiento a este post dejando su comentario.

This post is also available in: Português English Español