[Dr.WoW] [No.6] Apéndice a la inspección de estado y mecanismo de sesión

80 0 0 0

En la sección 5 "Inspección de estado y mecanismo de sesión", aprendemos cómo funciona la inspección de estado y qué significa 5 tuplas. Ahora, puedes tener las siguientes dudas:

¿Una sesión de firewall incluye solo 5-tuplas?

¿Para qué protocolos establece el firewall conexiones?

¿Se aplica la inspección de estado a todos los entornos de red?

En este apéndice de la sección anterior, el Dr. WoW analizará más a fondo la inspección de estado y el mecanismo de sesión, presentará más sobre las sesiones y concluirá cómo el firewall procesa los paquetes con la inspección de estado habilitada o no. Con suerte, este apéndice aclarará sus dudas.

 

1 Más sobre sesiones

Comencemos también desde una configuración de red simple como se muestra en la Figura 1-1, donde la PC y el servidor web están conectados directamente al firewall. El firewall ha agregado los puertos de la PC y del servidor web a diferentes zonas de seguridad y ha aplicado una regla para permitir que la PC acceda al servidor web.

 

Figura 1-1 Configuración de red para el acceso del servidor de PC a Web

092611d9dxkdccqc2c0cqc.png?image.png


La PC está accediendo correctamente al servidor web. Si ejecuta el comando display firewall session table verbose en el firewall, puede encontrar que la sesión se ha establecido correctamente. Este comando incluye el parámetro verbose, que solicita más información sobre la sesión.


[FW] display firewall session table verbose

Current Total Sessions : 1 
  http  VPN:public --> public 
  Zone: trust--> untrust  TTL: 00:00:10  Left: 00:00:04 
  Interface: GigabitEthernet0/0/2  NextHop: 172.16.0.1  MAC: 54-89-98-fc-36-96 
  <--packets:4 bytes:465   -->packets:7 bytes:455 
  192.168.0.1:2052-->172.16.0.1:80

 

 

Además de la tupla 5, la salida del comando incluye más:

 

Zona: la dirección en la que fluyen los paquetes entre las zonas de seguridad. trust-> untrust indica que los paquetes fluyen desde una zona de confianza a una zona no confiable.

TTL: tiempo de envejecimiento de la sesión. Cuando TTL caduque, la sesión será derribada.

Izquierda: queda tiempo para vivir para la sesión.

Interfaz: egreso de paquetes.

NextHop: la dirección IP del siguiente salto para el destino del paquete, que es la dirección IP del servidor web en esta configuración de red.

MAC: la dirección MAC del siguiente salto para el destino del paquete, que es la dirección MAC del servidor web en esta configuración de red.

<- paquetes: 4 bytes: 465: estadísticas de paquetes en la dirección inversa de la sesión, o el número de paquetes y bytes enviados por el servidor web a la PC.

<- paquetes: 7 bytes: 455: estadísticas de paquetes en la dirección de la sesión hacia adelante, o el número de paquetes y bytes enviados por la PC al servidor web.

Entre los elementos anteriores, dos merecen más atención. Uno es el tiempo de envejecimiento de la sesión. Una sesión se genera dinámicamente y no existirá para siempre. Si una sesión no coincide con los paquetes en mucho tiempo, es posible que los interlocutores de la comunicación se hayan desconectado y que esta sesión ya no sea necesaria. Para guardar los recursos del sistema, el firewall eliminará la sesión después de un cierto período de tiempo, lo que se denomina tiempo de caducidad de la sesión.

 

El tiempo de envejecimiento de la sesión debe configurarse correctamente. Si una sesión caduca durante un período de tiempo prolongado, los recursos del sistema se ocuparán innecesariamente, lo que afectará el establecimiento de otras sesiones; Si una sesión caduca durante un período demasiado corto, el cortafuegos puede destruir por la fuerza la conexión de servicio. Para diferentes tipos de protocolos, el firewall de Huawei establece el tiempo de caducidad predeterminado adecuado, por ejemplo, 20 para las sesiones de ICMP y 30 para las sesiones de DNS. En general, el tiempo de caducidad predeterminado garantiza el correcto funcionamiento de los protocolos. Si es necesario cambiar el tiempo de antigüedad predeterminado, use el comando de tiempo de antigüedad de la sesión del cortafuegos. Por ejemplo, puede ejecutar el siguiente comando para cambiar el tiempo de antigüedad de la sesión DNS a 10s.

 

[FW] firewall session aging-time dns 10 

 

Para un tipo de servicios en vivo en redes, como los servicios de bases de datos SQL, los dos paquetes consecutivos en una conexión pueden tener un intervalo de tiempo extendido. Cuando un usuario recupera datos en un servidor de base de datos SQL, el intervalo de tiempo entre recuperaciones puede exceder por mucho el tiempo de antigüedad de la sesión del servicio de base de datos SQL. Después de que el servidor de seguridad caduca la sesión para este servicio, el usuario puede experimentar un acceso lento o incluso fallido a la base de datos SQL.

 

Una forma de resolver el problema es extender el tiempo de caducidad de la sesión para tales servicios, pero es posible que algunas otras sesiones no necesiten un tiempo de caducidad prolongado y deban ocupar innecesariamente los recursos del sistema.

 

Para resolver completamente este problema, el firewall de Huawei proporciona la función de conexión larga, que extiende el tiempo de antigüedad de la sesión solo para los paquetes especificados que coinciden con ciertas reglas de ACL. A diferencia de la forma de extender el tiempo de envejecimiento de sesión específico del protocolo, la función de conexión larga extiende el tiempo de envejecimiento de sesión con mayor precisión. De forma predeterminada, el tiempo de caducidad de la sesión para los paquetes con la función de conexión larga aplicada es de 168 horas (tiempo suficiente), que también se puede cambiar manualmente.

 

NOTA

 

Actualmente, la función de conexión larga se aplica solo a los paquetes de protocolo TCP.

 

La función de conexión larga puede configurarse para aplicarse dentro o entre zonas de seguridad. A continuación se proporciona un ejemplo de la configuración de la función de conexión larga que se aplicará entre las zonas de seguridad de confianza y no confiables. Es específico para los paquetes de la base de datos SQL desde la dirección IP 192.168.0.1 (fuente) a la dirección IP 172.16.0.2 (destino).

 

[FW] acl 3000 
[FW-acl-adv-3000] rule permit tcp source 192.168.0.1 0 destination 172.16.0.2 0 destination-port eq sqlnet 
[FW-acl-adv-3000] quit 
[FW] firewall interzone trust untrust 
[FW-interzone-trust-untrust] long-link 3000 outbound 
WARNING: Too large range of ACL maybe affect the performance of firewall, please use this command carefully! 
Are you sure?[Y/N]y 

 

 

La otra es la estadística de paquetes. Las estadísticas de paquetes en ambas direcciones (identificadas por los símbolos <- y ->) son importantes para localizar fallas en la red. Si hay estadísticas de paquetes solo en la dirección "->" pero no en la dirección "<-", los paquetes de servidor de PC a Web han pasado el firewall pero los paquetes de servidor a PC de web no, lo que significa una comunicación anomalía. Con respecto a las posibles causas de anomalía, es posible que el firewall haya descartado los paquetes del servidor web al PC, que el firewall y el servidor web puedan haber fallado la comunicación, o que el servidor web no esté funcionando correctamente. Entonces, el alcance de las fallas puede reducirse para facilitar la resolución de problemas. Seguramente puede haber excepciones. En un entorno de red especial, la comunicación puede ser funcional incluso si no hay estadísticas de paquetes en una dirección. ¿Qué tan especial es el entorno de red? Esto queda por ver en las secciones posteriores.

 

2 Inspección de estado y establecimiento de sesión

La función de inspección de estado del firewall lleva los paquetes a través de una conexión como un flujo de datos completo. ¿Cómo expresar una conexión como una sesión? Esto requiere los *** ysis de cortafuegos de los modos de intercambio específicos del protocolo. Lo siguiente usa TCP como ejemplo. Para una conexión TCP, los interlocutores de la comunicación deben tener un protocolo de enlace de tres vías, como se muestra en la Figura 1-2.

 

Figura 1-2 apretones de manos de tres vías de TCP


092631gzxmmt0qg6swqsz6.png?image.png


Como un paquete SYN identifica una conexión TCP, el paquete SYN generalmente se denomina paquete principal. Para una conexión TCP, el firewall establece una sesión solo después de recibir paquetes SYN y la regla aplicada les permite pasar. Luego, los paquetes TCP que coincidan con la sesión se reenviarán directamente. Si el firewall no recibe ningún paquete SYN, pero sí los siguientes paquetes SYN + ACK o ACK, no establece una sesión y descarta directamente estos paquetes.

 

Este proceso está bien a menos que se encuentre en entornos de red especiales. Como se muestra en la Figura 1-3, los paquetes de solicitud de la red interna van directamente a la red externa a través del enrutador, y los paquetes de respuesta de la red externa son enviados por el enrutador al firewall, que luego los reenvía al enrutador despues de procesarlas Finalmente, el enrutador reenvía los paquetes de respuesta a la red interna. En otras palabras, el servidor de seguridad no recibe ningún paquete SYN sino solo paquetes SYN + ACK. En este ejemplo, los paquetes de solicitud y respuesta se reenvían a través de diferentes rutas.

 

Figura 1-3 Paquetes de solicitud y respuesta que se reenvían a través de diferentes rutas

 


092644t9j51smkc5p57pkp.png?image.png


En este entorno de red, el firewall descarta los paquetes SYN + ACK recibidos ya que no hay sesión para ellos. En consecuencia, las redes internas y externas han interrumpido la comunicación. Entonces, ¿qué hacer a continuación?

 

El firewall proporciona una solución para deshabilitar la inspección de estado. Una vez que se deshabilita la inspección de estado, el firewall no analizará el estado de la conexión como lo hace un firewall de filtrado de paquetes. Luego, el firewall establece una sesión para los siguientes paquetes si las reglas (políticas de seguridad) les permiten pasar, lo que garantiza una comunicación ininterrumpida.

 

PRECAUCIÓN

La desactivación de la inspección de estado cambiará el modo de trabajo del firewall. En redes en vivo, no deshabilite la inspección de estado, a menos que se requiera lo contrario.

 

Lo siguiente utiliza una configuración de red donde los paquetes de solicitud y respuesta se reenvían a través de diferentes rutas como ejemplo para mostrar cómo el firewall procesa los paquetes de protocolo TCP, UDP e ICMP, cuando su inspección de estado está habilitada y deshabilitada.

 

 

TCP

Vamos a empezar con el protocolo TCP. La configuración de la red se simula utilizando el eNSP. Los paquetes de solicitud de la PC llegan al servidor web a través del enrutador y los paquetes de respuesta del servidor web se reenvían al firewall, luego al enrutador y finalmente a la PC. La Figura 1-4 muestra la topología de la red.

 

NOTA

 

Para simular la configuración de la red, el enrutamiento basado en políticas (PBR) debe configurarse en el enrutador para que los paquetes de respuesta del servidor web se redirijan al firewall. Para obtener detalles sobre cómo configurar PBR, consulte las guías de configuración asociadas al enrutador. Además, una ruta a la PC debe configurarse en el servidor de seguridad y el siguiente salto de la ruta debe ser el puerto del enrutador (se supone que la dirección IP: 10.1.2.2) está conectada al puerto GE0 / 0/1 del servidor de seguridad.

 

Figura 1-4 Paquetes de solicitud y respuesta TCP que se reenvían a través de diferentes rutas

 


092656cpe80ie8deex08km.png?image.png


Una regla enumerada en la Tabla 1-1 se configura en el servidor de seguridad para permitir que los paquetes de respuesta del servidor web pasen.

Tabla 1-1 Regla para permitir que los paquetes de respuesta del servidor web pasen

 

 

No.

IP Address    fuente

Puerto Fuente

IP Address de    Destino

Puerto    destino

Acción

1

172.16.0.1

80

192.168.0.1

Cualquiera

Permitir

Cuando se habilita la inspección de estado en el firewall, falla el intento de que la PC acceda al servidor web, como se muestra en la Figura 1-5.

 

Figura 1-5 Error de PC para acceder al servidor web

 


092708czbnnnwv4b74vj7g.png?image.png


En el firewall, no se puede encontrar información de sesión.

 

[FW] display firewall session table 
Current Total Sessions : 0
 

 

Cuando ejecute el display firewall statistic system discard  para verificar la pérdida de paquetes en el firewall, encontrará que los paquetes perdidos de sesión se descartan.

 

[FW] display firewall statistic system discard 

Packets discarded statistic 
                            Total packets discarded:   8 
                    Session miss packets discarded:   8

 

Esta información indica que el firewall tiene que descartar paquetes para los que no se puede encontrar una sesión. A medida que el firewall recibe los paquetes SYN + ACK de respuesta pero no los paquetes SYN, no hay sesión y el firewall debe descartar los paquetes SYN + ACK.

 

Luego usa el comando undo firewall session link-state check para deshabilitar la inspección de estado.

[FW] undo firewall session link-state check

 

Luego, un intento para que la PC acceda al servidor web tiene éxito, y la información de la sesión se puede encontrar en el firewall.

 

FW] display firewall session table verbose 
Current Total Sessions : 1 
  tcp  VPN:public --> public 
  Zone: untrust--> trust  TTL: 00:00:10  Left: 00:00:10 
  Interface: GigabitEthernet0/0/1  NextHop: 10.1.2.2  MAC: 54-89-98-e4-79-d5 
  <--packets:0 bytes:0   -->packets:5 bytes:509 
  172.16.0.1:80-->192.168.0.1:2051

En la información de la sesión, hay estadísticas de paquetes en la dirección "->" pero ninguna en la dirección "<-", lo que significa que solo los paquetes de respuesta del servidor pasan el firewall. Luego podemos concluir que después de que se deshabilita la inspección de estado, el firewall establece una sesión para los paquetes SYN + ACK recibidos, manteniendo la comunicación entre la PC y el servidor web.

 

En una red donde los paquetes de solicitud y respuesta se reenvían a través de diferentes rutas, y la inspección de estado está deshabilitada en el firewall, no hay estadísticas de paquetes en una dirección de sesión, pero la comunicación es normal. Así es como decimos "especial" en las secciones anteriores. Para redes en vivo, ninguna regla siempre se aplica.

UDP

 

Entonces veamos el protocolo UDP. A diferencia de TCP, UDP es un protocolo sin conexión. El firewall establece una sesión para los paquetes UDP recibidos si la regla les permite pasar, independientemente de si la inspección de estado está habilitada o no.

 

ICMP

Veamos el protocolo ICMP al fin. ICMP es un recordatorio de las pruebas de ping. Las pruebas de ping generalmente se usan en el mantenimiento de rutina para verificar si se puede acceder a un dispositivo en una red. El dispositivo donde se realiza una prueba de ping envía una solicitud de eco, y el dispositivo de destino responde con una respuesta de eco.

 

Cuando la inspección de estado está habilitada, el cortafuegos establece una sesión para la solicitud de eco recibida solo si la regla del cortafuegos le permite pasar, y no establece ninguna sesión para la respuesta de eco recibida si no recibe la solicitud de eco, y descarta la respuesta de eco. Cuando la inspección de estado está deshabilitada, el firewall establece una sesión para la solicitud o respuesta de eco.

 

A continuación se proporciona un ejemplo de información de sesión para una red donde los paquetes de solicitud y respuesta se reenvían a través de diferentes rutas, y la inspección de estado se desactiva en el firewall.

 

[FW] display firewall session table verbose 
Current Total Sessions : 1 
  icmp  VPN:public --> public 
  Zone: untrust--> trust  TTL: 00:00:20  Left: 00:00:11 
  Interface: GigabitEthernet0/0/1  NextHop: 10.1.2.2  MAC: 54-89-98-e4-79-d5 
  <--packets:0 bytes:0   -->packets:1 bytes:60 
  172.16.0.1:2048-->192.168.0.1:45117

 

Para otros tipos de paquetes ICMP, el firewall establece una sesión para los paquetes recibidos si la regla les permite pasar, independientemente de si la inspección de estado está habilitada o no.

 

La Tabla 1-2 concluye cómo el firewall procesa los paquetes TCP, UDP e ICMP cuando la inspección de estado está habilitada o inhabilitada, dado que la regla del firewall permite que los paquetes pasen.

 

Tabla 1-2 Establecimiento de sesión para los paquetes TCP, UDP e ICMP

Protocol

Inspección de    estado habilitada

Inspección    con estado desactivado

TCP

SYN packets

Sesión establecida, paquetes reenviados.

Sesión establecida, paquetes reenviados.

SYN+ACK y paquetes ACK

Sesión establecida, paquetes descartados

Sesión establecida, paquetes reenviados.

UDP

Sesión establecida, paquetes reenviados.

Sesión establecida, paquetes reenviados.

ICMP

Ping solicitudes de eco

Sesión establecida, paquetes reenviados.

Sesión establecida, paquetes reenviados.

Respuestas de eco de ping

Sesión establecida, paquetes descartados.

Sesión establecida, paquetes reenviados.

Otros paquetes ICMP

Sesión establecida, paquetes reenviados.

Sesión establecida, paquetes reenviados.

 

 

Las secciones anteriores explican cómo el firewall procesa los paquetes TCP, UDP e ICMP cuando la inspección de estado está habilitada o deshabilitada, para que usted entienda mejor la inspección de estado y el mecanismo de sesión. La siguiente sección describirá las precauciones esenciales para configurar las zonas de seguridad y el mecanismo de inspección y sesión con estado, y también proporcionará pautas para la solución de problemas.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje