Filtrado con estado de ALE
Los filtros instalados en las capas de cumplimiento de la capa de aplicación (ALE) de la Plataforma de filtrado de Windows (PMA) realizan el filtrado de red con estado. Un flujo de ALE se usa como base para el filtrado con estado de ALE.
Un flujo de ALE es una manera de clasificar el tráfico de red mediante su agrupación en función de una dirección IP de origen, una dirección IP de destino, un puerto de origen, un puerto de destino y un protocolo. Un flujo de ALE podría ser genérico, es decir, uno o varios de los descriptores podrían coincidir con todo (o comodín *). Por ejemplo, un flujo de ALE UDP genérico se describiría como Dirección IP de origen = *, Dirección IP de destino = *, Puerto de origen = *, Puerto de destino = *y Protocolo = UDP.
Una vez que se autoriza una conexión (las conexiones entrantes se autorizan en la capa FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} y las conexiones salientes en la capa FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} ), se crea un flujo de ALE de modo que, al barrear un cambio de directiva, todos los paquetes, entrantes y salientes, que pertenecen al mismo flujo de ALE se permiten automáticamente. Dado que un cambio de directiva puede requerir el bloqueo de conexiones permitidas anteriormente, los flujos de ALE deben volver a autorizarse cuando se produce un cambio de directiva.
El filtrado con estado de ALE reduce drásticamente el número de clasificaciones necesarias mediante la clasificación solo del primer paquete que pertenece a un flujo de ALE. En comparación, el filtrado no con estado requiere la clasificación de todos los paquetes que atraviesan la red.
Un flujo de ALE tiene una dirección asociada, que es la dirección del primer paquete del flujo. Esto permite directivas más flexibles, ya que permite que las conexiones iniciadas entrantes tengan diferentes directivas de las conexiones iniciadas por salida.
Flujo de TCP ALE
Un flujo de ALE para el tráfico TCP se identifica mediante la tupla de cinco de TCP/IP (dirección IP de origen, dirección IP de destino, puerto de origen, puerto de destino y protocolo).
Un flujo tcp ALE tiene la misma duración que un socket TCP conectado. Un socket TCP conectado podría ser un socket creado mediante connect() o un socket creado como resultado de una llamada accept().
ALE mantiene una relación uno a uno entre un flujo de ALE TCP y un bloque de control TCP (TCB).
Flujo de ALE udp
Nota:
Los protocolos que no son TCP o ICMP se tratan como UDP.
Un flujo de ALE para el tráfico UDP se identifica mediante la tupla de cinco de TCP/IP (dirección IP de origen, dirección IP de destino, puerto de origen, puerto de destino y protocolo).
Se crea un flujo de ALE udp basado en un socket UDP y representa el elemento del mismo nivel remoto con el que se comunica la aplicación. Un elemento del mismo nivel remoto se identifica mediante una tupla (Dirección IP de destino y puerto de destino).
Hay una relación uno a varios entre un socket UDP y los sistemas del mismo nivel remoto a los que se comunica.
Cuando se cierra el socket UDP local, se eliminarán todos los flujos de ALE asociados a él.
En ausencia de cierres de socket, los flujos de ALE de unidifusión UDP tienen un tiempo de espera de inactividad configurable que tiene como valor predeterminado 60 segundos. Si no se envían o reciben paquetes dentro de esta ventana, se eliminará el flujo de ALE. Este tiempo de espera predeterminado se acorta progresivamente cuando el número de flujos de ALE alcanza un umbral determinado.
Flujo de ALE de ICMP
Un flujo de ALE para el tráfico ICMP se identifica mediante la tupla de seis (dirección IP de origen, dirección IP de destino, tipo ICMP, código ICMP, protocolo e ID de ICMP). El id. de ICMP forma parte del flujo de ALE solo para el tráfico de eco/respuesta ICMP.
En ausencia de cierres de sockets, los flujos de ALE de unidifusión ICMP tienen un tiempo de espera de inactividad configurable que tiene como valor predeterminado 60 segundos. Si no se envían o reciben paquetes dentro de esta ventana, se eliminará el flujo de ALE. Este tiempo de espera predeterminado se acorta progresivamente cuando el número de flujos de ALE alcanza un umbral determinado.
Solo los mensajes que no son de error de ICMP se indican en capas de ALE. Los mensajes de error icMP se pueden inspeccionar en capas de ICMP_ERROR.
Temas relacionados