La inspección de estado, también conocida como “seguimiento de estado” o “stateful inspection” en inglés, es una técnica avanzada utilizada en la seguridad de las redes para mejorar la eficiencia y la eficacia de los firewalls.

Seguimiento de estado (stateful inspection)

Los firewalls con inspección de estado no sólo examinan cada paquete de datos individual, sino que también mantienen un registro del estado de las conexiones de red activas.

Este registro puede incluir detalles como las direcciones IP de origen y destino, los números de puerto, los números de secuencia de paquetes, las marcas de tiempo y más.

A diferencia de los firewalls sin seguimiento de estado (stateless), que tratan cada paquete de datos como una transacción independiente, los firewalls con inspección de estado entienden que los paquetes de datos se envían como parte de las conexiones de red.

Estos firewalls pueden recordar que un paquete de datos entrante específico es la respuesta a una solicitud saliente que se hizo anteriormente.

Cómo funciona la Inspección de estado

Aquí hay algunos detalles adicionales sobre cómo funciona la inspección de estado:

1. Establecimiento de conexión

Cuando se inicia una conexión de red (por ejemplo, cuando un usuario dentro de la red solicita una página web), el firewall registra detalles de la conexión en su tabla de estados.

Esta información incluye cosas como la dirección IP de la computadora que está realizando la solicitud, la dirección IP de la página web que está siendo solicitada, y los números de puerto que están siendo utilizados.

2. Monitoreo de la conexión

A medida que los paquetes de datos continúan fluyendo a través de la conexión, el firewall sigue registrando y actualizando los detalles en su tabla de estados.

Esto puede incluir, por ejemplo, el seguimiento de los números de secuencia de los paquetes para asegurarse de que están llegando en el orden correcto.

3. Terminación de la conexión

Cuando la conexión de red se cierra (por ejemplo, cuando el usuario cierra la página web que había solicitado), el firewall nota que la conexión se ha terminado y la elimina de su tabla de estados.

La inspección de estado proporciona una serie de ventajas para la seguridad de la red. En primer lugar, permite a los firewalls bloquear más eficazmente el tráfico no deseado o sospechoso, ya que pueden reconocer cuando un paquete de datos entrante no está asociado con una conexión de red válida.

También puede ayudar a detectar y prevenir ciertos tipos de ataques, como los ataques de falsificación de IP o los ataques de inundación de SYN, que intentan explotar la forma en que se establecen las conexiones de red.

A nivel más técnico, un firewall stateful mantiene una tabla de estado para rastrear todas las sesiones de comunicación existentes. Cada sesión se registra con detalles como direcciones IP de origen y destino, números de puerto, números de secuencia de paquetes y marcas de tiempo.

Registros del estado de las conexiones (tablas de estado)

Los “registros del estado de las conexiones de red activas”, también conocidos como la tabla de estados de un firewall, es una estructura de datos utilizada en firewalls stateful (con seguimiento de estado) para rastrear los detalles de todas las conexiones de red que están atravesando el firewall.

Los detalles exactos que se rastrean pueden variar según el sistema, pero a menudo incluyen los siguientes elementos:

1. Dirección IP de origen

Esta es la dirección IP de la máquina que inició la conexión. En una conexión web típica, sería la dirección IP del usuario que solicita ver una página web.

2. Dirección IP de destino

Esta es la dirección IP a la que se está enviando la conexión. En una conexión web típica, sería la dirección IP del servidor que aloja la página web solicitada.

3. Puertos de origen y destino

Los puertos son números que identifican los procesos específicos que están comunicándose dentro de la máquina de origen y destino. El puerto de origen se asigna aleatoriamente por el sistema que inicia la conexión, mientras que el puerto de destino es generalmente un número estándar que corresponde a un servicio de red particular (por ejemplo, el puerto 80 para el tráfico HTTP).

4. Número de secuencia y número de acuse de recibo

Estos son valores utilizados en el protocolo TCP para garantizar que los paquetes de datos lleguen en el orden correcto y para confirmar la recepción de los paquetes.

5. Flags de TCP

Los flags de TCP son parte de la cabecera de los paquetes TCP y proporcionan información sobre el estado de la conexión. Los flags comunes incluyen SYN (synchronize, para establecer conexiones), ACK (acknowledge, para confirmar la recepción de paquetes), FIN (finish, para cerrar conexiones) y RST (reset, para abortar conexiones).

6. Estado de la conexión

Este es un valor que indica si la conexión se está estableciendo, si está activa, si se está cerrando, etc.

7. Marca de tiempo

Esta es una marca de tiempo que indica cuándo se vio por última vez la actividad en la conexión. Esto puede ser útil para limpiar las conexiones inactivas de la tabla de estado.

Al mantener esta tabla de estado, los firewalls stateful pueden monitorear y controlar el tráfico de la red de manera más eficaz que los firewalls sin seguimiento de estado (stateless).

Esto es particularmente útil para bloquear tráfico no solicitado desde el exterior de la red, permitiendo respuestas a solicitudes iniciadas desde dentro de la red, y detectando y previniendo ciertos tipos de ataques.

El seguimiento de estado proporciona una mayor seguridad que un firewall stateless porque tiene una visión más completa de la actividad de la red. Sin embargo, también puede consumir más recursos de computación, porque tiene que mantener y actualizar constantemente su tabla de estado.

Inspección profunda de paquetes

Un aspecto adicional que podría considerarse en un firewall stateful es la inspección profunda de paquetes (DPI, por sus siglas en inglés), que permite examinar el contenido del paquete de datos en sí.

Esto puede ayudar a detectar ciertos tipos de ataques que no serían visibles solo mediante el seguimiento del estado de la conexión, como los virus que se propagan a través de archivos adjuntos de correo electrónico.

En resumen, un firewall stateful es un componente crítico en la ciberseguridad, proporcionando una defensa avanzada al ser capaz de rastrear el estado completo de las conexiones de red y tomar decisiones basadas en ese contexto.