Stateful vs Stateless * host * firewall - c'è qualche vantaggio?

0

Nel caso di un dispositivo firewall separato da un host server, credo che ci sia un chiaro vantaggio nell'utilizzo di un firewall stateful.

Ma nel caso di un firewall host , dove i servizi in ambito sono ben definiti, quali scenari specifici verrebbero prevenuti da un firewall stateful che non verrebbe bloccato da un firewall stateless?

Considera una politica per un server web e ssh, collegandosi a un database ...

  • consente qualsiasi IP / porta di origine all'indirizzo IP locale sulle porte 80 e 22 (locale come server)
  • consente le porte 80 e 22 sull'IP locale a qualsiasi IP / porta di destinazione (locale come server)
  • consenti l'IP / porta locale a mydbserver.example.com, porta 3306 (locale come client)
  • consenti mydbserver.example.com, porta 3306 a qualsiasi IP / porta locale (locale come client)

Un firewall stateless configurato come sopra potrebbe teoricamente essere sovvertito. Uno spammer può associare un client mailgun alla porta 80 su un IP locale e generare il traffico SMTP attraverso il firewall. Tuttavia, il privilegio richiesto per raggiungere questo obiettivo, in tutti i casi in cui mi sono imbattuto, gli conferisce anche i diritti di modificare una configurazione di firewall stateful sull'host . Quindi, per questa modalità di minaccia, non vi è alcun vantaggio.

    
posta symcbean 30.11.2016 - 15:06
fonte

1 risposta

1

Fammi prendere una pugnalata a questa domanda ...

Il termine Stateful è spesso associato sia a "Deep Packet Inspection" che a "Stateful Packet Inspection":

  1. Deep Packet Inspection: la capacità di esaminare un pacchetto e vedere quale comando è in corso Usato. Ad esempio, consentirò la richiesta FTP in entrata, ma no consentire i comandi PUT e DELETE da FTP. Questo renderebbe il mio FTP essenzialmente solo a leggere.
  2. Controllo dei pacchetti con stato: la capacità di ricordare una connessione. Molti protocolli (come HTTP) avere una porta ben nota (come la porta 80) per la "richiesta" in uscita, ma usare a porta "pubblica" (> 1024) per la risposta in arrivo. SPI può ricordare il restituire il numero di porta e consentirgli espressamente. Senza l'abilità per ricordare la connessione, dovresti consentire tutti gli indirizzi IP in entrata tutti i numeri di porta > 1024 per ottenere la risposta

Quindi, come ha fatto notare Marcus ... queste sono caratteristiche molto comuni della maggior parte dei "firewall personali". Sebbene il firewall personale di Microsoft esegua SPI in modo leggermente diverso rispetto a un firewall perimetrale. Questo perché nell'host è possibile includere l'applicazione o il servizio a cui è connessa la connessione (qualcosa di cui un firewall perimetrale non sarebbe a conoscenza). Quindi, ad esempio, non dovrei accettare tutti gli IP e le porte in arrivo > 1024 per tutti i pacchetti ... solo quei pacchetti associati a IE. Sì, non è abbastanza buono come l'approccio più formale, ma è qualcosa.

Quindi, sì ... il firewall "personale" basato su software Microsoft che appare nelle moderne versioni di Windows è (a malapena) un firewall Stateful.

    
risposta data 30.11.2016 - 17:49
fonte

Leggi altre domande sui tag