Solución:
Estás casi en lo correcto. Pero la inspección de estado le permite tener más control sobre los flujos de datos que atraviesan el firewall.
Un artículo de Cybrary dice:
Los firewalls sin estado vigilan el tráfico de la red y restringen o bloquean los paquetes según las direcciones de origen y destino u otros valores estáticos. No son “conscientes” de los patrones de tráfico ni de los flujos de datos. Un cortafuegos sin estado utiliza conjuntos de reglas simples que no tienen en cuenta la posibilidad de que el cortafuegos pueda recibir un paquete “fingiendo” ser algo que usted solicitó.
Un filtro de firewall sin estado, también conocido como lista de control de acceso (ACL), no inspecciona el tráfico con estado. En cambio, evalúa el contenido del paquete de forma estática y no realiza un seguimiento del estado de las conexiones de red.
Los firewalls con estado pueden observar los flujos de tráfico de un extremo a otro. Conocen las rutas de comunicación y pueden implementar varias funciones de seguridad IP (IPsec), como túneles y cifrado. En términos técnicos, esto significa que los firewalls con estado pueden indicar en qué etapa se encuentra una conexión TCP (abierta, abierta enviada, sincronizada, confirmación de sincronización o establecida). Puede decir si la MTU ha cambiado y si los paquetes se han fragmentado. etc.
Se denominan así porque realmente están haciendo lo que significa el nombre.
Apátrida: no recuerda ningún estado, simplemente filtre el paquete actual que pasa de acuerdo con la lista de reglas.
Con estado: recuerde el estado del flujo de datos atravesado (lo que sucedió en todos los paquetes anteriores) y filtre en función de la misma lista que en el caso de apátridas, pero también filtre en función de la información de estado.
La información de estado almacenada en la memoria del firewall le permite hacer exactamente lo que pidió antes y mucho más.
Puede agregar una regla que permita pasar la nueva conexión TCP entrante adentro (paquete TCP marcado con una bandera SYN) y todo el tráfico establecido / relacionado adentro / afuera.
En el caso de TCP, el cliente (SRC IP / SRC PORT) envía el paquete SYN al servidor (DST IP / DST PORT) para abrir la conexión TCP. El cortafuegos tiene una regla que este paquete puede pasar (solo nuevas conexiones TCP a ese servidor). Firewall ahora recuerda que la solicitud para abrir la conexión se envió al servidor (recuerda, entre otros, src IP, src port, dst IP, dst port y el estado de la conexión, en este caso CONNECT) y ahora solo espera el paquete SYN / ACK del servidor lado. Ningún otro paquete de esta conexión TCP concreta puede atravesarlo (en ambas direcciones). A continuación, el servidor envía SYN / ACK, el cortafuegos recuerda el estado HALF-OPEN y espera solo el paquete marcado ACK del cliente. Una vez que el cliente envía ACK, el estado de la conexión cambia a CONNECTED y solo los paquetes con el indicador ACK (datos) FIN / ACK (conexión cercana) pueden pasar ahora. Lo mismo ocurre durante el procedimiento de cierre de la conexión, por lo que es posible tener un control completo por encima del protocolo que pasa y filtrar los paquetes no válidos.
Para TCP, es un poco difícil de explicar y comprender. ICMP es mucho más fácil. Hay dos paquetes ICMP básicos: ECHO y REPLY.
En el caso de un firewall con estado, puede asegurarse de que REPLY pueda pasar el firewall solo en caso de que el ECHO se haya enviado previamente.
En caso de apátridas, solo es posible controlar si ECHO y REPLY pueden pasar para que el servidor pueda enviar REPLY en cualquier momento, incluso si no se lo solicitó.
Apátrida significa tomar una decisión (descartar, aceptar, …) basándose únicamente en un solo paquete sin ningún contexto adicional. Con estado significa mantener cierta información de contexto basada en paquetes anteriores e incluirla al decidir qué hacer con un paquete.
Este contexto trata sobre conexiones previamente establecidas (es decir, conexiones “reales” como en TCP o asociaciones similares a conexiones como en UDP). El almacenado estado de una conexión incluye la IP y los puertos de origen y destino, la hora de la última actividad (para los estados de tiempo de espera) y, en el caso de TCP, también los números de secuencia actuales. Se actualiza cuando llegan nuevos paquetes que coinciden con el estado actual. Se elimina si las conexiones se cierran explícitamente (protocolo de enlace TCP FIN) o se cierran implícitamente (tiempo de espera inactivo).
Mantener dicho estado permite hacer coincidir los paquetes que pertenecen a las conexiones establecidas. Esto permite permitir fácilmente las conexiones de coincidencia de tráfico iniciadas previamente desde el interior de una red de confianza, pero negar cualquier conexión iniciada desde el exterior que no es de confianza. Esto hace que las configuraciones de firewall sean más simples y seguras, pero a costa de un mayor uso de memoria (para los estados) y un rendimiento reducido (debido al tiempo necesario para la búsqueda de estados).
Cortafuegos con estado: un cortafuegos con estado es consciente de las conexiones que lo atraviesan. Agrega y mantiene información sobre las conexiones de un usuario en una tabla de estado, denominada tabla de conexiones. Luego usa esta tabla de conexión para implementar las políticas de seguridad para las conexiones de los usuarios. Un ejemplo de firewall con estado es PIX, ASA, Checkpoint.
Cortafuegos sin estado: (filtrado de paquetes) Los cortafuegos sin estado, por otro lado, no miran el estado de las conexiones sino solo los paquetes en sí. Un ejemplo de un firewall de filtrado de paquetes son las listas de control de acceso extendidas en los routers Cisco IOS.