[Dr.WoW] [No.5] Inspección de estado y mecanismo de sesión

117 0 0 0

Como se mencionó en la sección "Desarrollo de firewalls", hay un firewall de tercera generación, es decir, firewall de inspección de estado. Este tipo de servidor de seguridad establece un hito en la historia del servidor de seguridad y su mecanismo de inspección y sesión con estado se ha utilizado como una función básica para que los servidores de seguridad proporcionen defensa de seguridad. Ahora, el Dr. WoW está introduciendo el mecanismo de inspección y sesión con estado.


1 inspección de estado


Vamos a empezar desde el fondo del firewall de inspección de estado. En una configuración de red simple que se muestra en la Figura 1-1, la PC y el servidor web se implementan en redes diferentes y ambas están conectadas directamente al firewall, que controla la comunicación.

Figura 1-1 Configuración de red para el acceso del servidor de PC a Web


084402ajnj7ru5ymzrz79m.png?image.png


Cuando la PC necesita acceder al servidor web para las páginas web, una regla numerada 1 que figura en la Tabla 1-1 debe configurarse en el firewall, lo que permite que los paquetes de acceso pasen como lo hace una política de seguridad. Como esta sección se centra en la inspección de estado y el mecanismo de sesión en lugar de una política de seguridad, se utiliza una regla para su fácil comprensión. Las políticas de seguridad se describirán en "Políticas de seguridad".

Tabla 1-1 Regla 1 en el firewall

No.

 Dirección   IP fuente

 Puerto   Fuente

 Dirección   IP destino

 Puerto   destino

 Acción

 1

 192.168.0.1

 ANY

 172.16.0.1

 80

 Permitido

 

En esta regla, CUALQUIER indica que el puerto de origen puede ser cualquier puerto, ya que es el sistema operativo de la PC lo que determina el puerto de origen cuando la PC accede al servidor web. Para el sistema operativo Windows, el número de puerto de origen puede ser cualquiera entre 1024 y 65535. Este número de puerto es incierto y se puede establecer en CUALQUIER.

Cuando se aplica esta regla, todos los paquetes de la PC pueden pasar el firewall y llegar al servidor web. Al recibir los paquetes, el servidor web responde con paquetes, que también llegarán a la PC a través del firewall. Antes de que se activara el firewall de inspección de estado, se debe implementar un firewall de filtrado de paquetes para esta función, para lo cual se debe configurar otra regla numerada 2 para permitir que pasen los paquetes desde la dirección inversa.

 

Tabla 1-2 Regla 2 en el firewall

No.

 Dirección   IP fuente

 Puerto   Fuente

 Dirección   IP destino

 Puerto   destino

 Acción

 1

    192.168.0.1

 ANY

 172.16.0.1

  80

 Permitido

 2

 172.16.0.1

 80

 

 

 Permitido

 

En la regla 2, el puerto de destino puede ser cualquier puerto, ya que la PC utiliza un puerto de origen incierto para acceder al servidor web. Para que los paquetes de respuesta del servidor web atraviesen el firewall y lleguen a la PC, el puerto de destino debe ser cualquier puerto en la regla 2.

Si la PC se ejecuta en una red protegida adecuadamente, esta configuración puede suponer un grave riesgo para la seguridad. Como la regla 2 abre todos los puertos de destino que conducen a la PC, un atacante con atención maliciosa puede atacar a la PC disfrazada del servidor web y los paquetes de ataque atravesarán el firewall de forma directa.

A continuación, veamos cómo un firewall de inspección de estado resuelve este problema. En la configuración de red anterior, la regla 1 también debe aplicarse al firewall para permitir que la PC acceda al servidor web. Cuando los paquetes de acceso llegan al firewall, el firewall les permite pasar y configurar una sesión para el acceso. Esta sesión incluirá información sobre los paquetes enviados por la PC, como las direcciones IP y los puertos.

Al recibir los paquetes de respuesta del servidor web, el firewall compara la información del paquete con la que se incluye en la sesión. Si la información del paquete coincide y los paquetes de respuesta concuerdan con el protocolo HTTP, el firewall toma los paquetes de respuesta como los siguientes paquetes de respuesta asociados con el acceso del servidor de la PC a la Web, y permite que los paquetes pasen. La figura 1-2 muestra el proceso.


NOTA Para facilitar la comprensión, esta sección utiliza un ejemplo en el que la PC y el servidor web están conectados directamente a un firewall. En una configuración práctica, si la PC y el servidor web se implementan en redes diferentes y se conectan directamente al firewall, las rutas deben configurarse en el firewall para que la PC y el servidor web sean mutuamente accesibles. En otras palabras, se debe encontrar una ruta a la PC en el firewall incluso cuando los paquetes de respuesta coinciden con la sesión. Solo de esta manera los paquetes de respuesta pueden llegar a la PC como se esperaba.

 


Figura 1-2 Intercambio de paquetes a través del firewall de detección de estado


084512x7k5vm5vm2dmkj7o.png?image.png


Si un atacante con intenciones maliciosas solicita acceso a la PC mientras está disfrazado del servidor web, el firewall toma los paquetes de solicitud, no como los siguientes paquetes de respuesta asociados con la sesión del servidor de PC a web, y luego los niega. Este diseño evita los riesgos de seguridad asociados con los puertos abiertos al tiempo que permite que la PC acceda al servidor web.

En resumen, antes de que se activara el firewall de inspección de estado, un firewall de filtrado de paquetes permite o niega paquetes basados en reglas estáticas, ya que toma los paquetes como aislados sin estado, mientras ignora sus asociaciones. Luego, el firewall de filtrado de paquetes debe configurar una regla para los paquetes en cada dirección, lo que significa una baja eficiencia y riesgos de alta seguridad.

El firewall de inspección de estado corrige este defecto de un firewall de filtrado de paquetes. El firewall de inspección de estado utiliza un mecanismo de inspección basado en el estado de la conexión y toma todos los paquetes intercambiados a través de la misma conexión entre pares de comunicación como un flujo de fecha completo. Para este firewall, los paquetes en un flujo de datos están asociados, no aislados. Se establece una sesión para el primer paquete y los siguientes paquetes se reenviarán directamente sin ninguna inspección por regla, dado que coinciden con la sesión. Este diseño mejora la eficiencia en el reenvío de paquetes.

 

 


2 sesiones

Entonces vamos a ver "sesión". En un servidor de seguridad, una sesión se refiere a una conexión establecida entre compañeros de comunicación. Una colección de sesiones forma una tabla de sesiones. El siguiente ejemplo es una entrada de tabla de sesión estándar.


http  VPN:public --> public 192.168.0.1:2049-->172.16.0.1:80

 

The key fields in the session table entry are as follows:

·         http: application-layer protocol

·         192.168.0.1: source IP address

·         2049: source port

·         172.16.0.1: destination IP address

·         80: destination port

Entonces, ¿cómo saber la fuente y el destino? Necesitas encontrar el símbolo "->" en la entrada. El campo antes del símbolo está asociado a la fuente y el que está después del símbolo está asociado al destino.

Los cinco campos (dirección de origen, puerto de origen, dirección de destino, puerto de destino y protocolo) son información importante para una sesión y se denominan "5-tupla". El firewall de inspección de estado toma los paquetes que tienen la misma dupla de 5 como un flujo e identifica de forma única una conexión por la dupla de 5.

¿Cómo genera el firewall una tabla de sesión cuando trata con algunos paquetes de protocolo que no incluyen información de puerto? Por ejemplo, los paquetes de protocolo ICMP no incluyen información de puerto. Luego, el firewall usa el campo ID en el encabezado del paquete como puerto de origen y 2048 como puerto de destino para la sesión ICMP. Para otros ejemplos, los paquetes de protocolo de encabezado de autenticación (AH) y de encapsulación de la carga útil de seguridad (ESP), que se utilizan en IPSec (que se describirá en secciones posteriores), tampoco incluyen información del puerto. Para estos paquetes, el firewall toma los puertos de origen y destino como 0 para las sesiones AH y ESP.

3 Verificación de inspección de estado

Hablar es barato. Luego, el Dr. WoW utiliza un simulador de eNSP para configurar una red simple para verificar la inspección de estado del firewall. La red utiliza la misma topología que se muestra en la Figura 1-1.


NOTA. La plataforma de simulación de red empresarial (eNSP) es una plataforma de simulación de dispositivo de red gráfica proporcionada por Huawei de forma gratuita. Es capaz de simular dispositivos de red como enrutadores empresariales, conmutadores y cortafuegos, con el fin de verificar funciones y aprender tecnologías de red sin tener que usar dispositivos reales. El eNSP puede simular el firewall USG5500 y es compatible con la mayoría de sus funciones de seguridad. Como se menciona en las siguientes secciones, el eNSP se utilizará para la verificación.

 

Solo se configura una regla (enumerada en la Tabla 1-1) en el servidor de seguridad para permitir que los paquetes de servidor de PC a Web pasen. Cuando se ejecuta el HttpClient en la PC para acceder al servidor web, el acceso es exitoso. En el servidor de seguridad, al usar el comando de visualización de la tabla de sesión del servidor de seguridad para verificar la información de la tabla de la sesión, puede encontrar una sesión.


084534z3u699xq99ypx3gu.png?image.png


 

La información anterior muestra que el mecanismo de inspección de estado está funcionando. Específicamente, cuando recibe los paquetes de respuesta del servidor web, el firewall los toma como coincidentes de sesión y les permite pasar, incluso si no hay una regla para permitir que los paquetes pasen en la dirección inversa.

Con suerte, la introducción del Dr. WoW lo ayuda a comprender el mecanismo de inspección y sesión con estado y el Dr. WoW sugiere que también practique el uso del eNSP.

Para ver la lista de todas las publicaciones técnicas de Dr. WoW, haga clic aquí.


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje