Qual é a situação que requer firewall com estado?

3

Eu só sei que há dois tipos de firewalls. Sem estado e com estado. É difícil determinar que tipo de firewall eu tenho que usar. Atualmente eu tenho que executar o firewall dentro da mesma máquina executa serviços, basicamente eu quero stateless por causa de seu menor consumo de recursos. No entanto, se não for suficiente para segurança, não tem sentido. Eu vou rodar HTTP, SSH, NFS (somente por SSH), e algum servidor customizado em várias portas TCP / UDP. Devo usar firewall com estado?

(edit) Talvez a pergunta possa ser assumida como "Devo usar regras com estado?".

    
por Eonil 09.03.2011 / 07:27

3 respostas

6

Hoje em dia, há uma resposta muito simples a essa pergunta: todos os firewalls adequados agora são stateful.

    
por 09.03.2011 / 07:34
5

regras com estado simplificam bastante o design da política de firewall e melhoram a segurança. HTTP e SSH funcionam com sessões tcp desde que usam porta única. Qualquer firewall com monitoração de estado pode manipular isso e tudo o que você precisa fazer é gravar uma regra para permitir que o pacote original abra a sessão e outra regra permita pacotes de resposta que correspondam aos estados conhecidos. No caso do iptables, o último se parece com

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

(assumindo que o firewall seja executado no servidor, portanto, encadeie o INPUT).

Protocolos mais complexos, como por exemplo o ftp, podem exigir várias sessões e o mecanismo de estado no firewall precisa ser capaz de rastrear essas sessões separadas para corresponder aos pacotes. Geralmente, os firewalls com monitoração de estado suportam a maioria dos protocolos populares, mas é improvável que eles suportem protocolos personalizados. O problema com protocolos customizados não é que eles usem portas tcp ou udp exclusivas, mas podem usar várias conexões que são dinamicamente criadas e derrubadas. O firewall pode abrir e fechar dinamicamente "buracos" para o canal de dados FTP, pois ele pode rastrear e interpretar os comandos que fluem através do canal de comando fto. Se o protocolo for proprietário e exclusivo, o firewall não poderá interpretá-lo e, para fazê-lo funcionar, você terá que criar regras sem estado e tentar torná-las tão restritas quanto o protocolo permitir.

No entanto, se o protocolo usa conexão tcp única, a regra stateful funcionará bem.

    
por 09.03.2011 / 07:59
1

A única vez que você possivelmente precisará de um firewall sem estado atualmente é para melhorar o desempenho da velocidade.

    
por 09.03.2011 / 08:01

Tags