Qué es un cortafuegos SPI
Un cortafuegos impide el acceso no autorizado a la red de una empresa, utilizando un servidor de seguridad SPI que va más allá de un examen de un sistema de filtrado sin estado de sólo un encabezado de un paquete y el puerto de destino para la autenticación; en cambio, se produce una revisión del contenido de todo el paquete antes de determinar si se debe permitir el paso en la red. Este mayor nivel de escrutinio ofrece una seguridad mucho más robusta y la información pertinente sobre el tráfico de red de un sistema de filtrado sin estado.
Debilidades de inspección de los paquetes sin estado
En un artículo publicado en febrero de 2002 para Security Pro News, el autor Jay Fougere señala que, aunque los filtros IP sin estado pueden eficazmente enrutar el tráfico y poner poca demanda de los recursos informáticos, presentan graves deficiencias de seguridad de red. Los filtros sin estado no proporcionan autenticación de paquetes, no pueden ser programados para conexiones abiertas y cerradas en respuesta a eventos específicos y ofrecen un acceso fácil a la red para los hackers que usan la suplantación de IP, en las que los paquetes entrantes llevan una dirección IP falsa que el cortafuegos identifica como procedente de una fuente de confianza.
Cómo un cortafuegos SPI regula el acceso a la red
Un servidor de seguridad SPI registra los identificadores de todos los paquetes que su red transmite y cuándo un paquete entrante intenta obtener acceso a la red; el servidor de seguridad puede determinar si se trata de una respuesta a un paquete enviado desde tu red o si es no solicitado. Un cortafuegos SPI puede utilizar una lista de control de acceso, una base de datos de entidades de confianza y sus privilegios de acceso a la red. El cortafuegos SPI puede hacer referencia a la ACL al examinar cualquier paquete para determinar si proviene de una fuente de confianza, y si es así, dónde se puede dirigir dentro de la red.
En respuesta al tráfico sospechoso
El cortafuegos SPI puede ser programado para dejar caer los paquetes enviados a partir de fuentes que no figuran dentro de la ACL, lo que ayuda a prevenir un ataque de denegación de servicio, en el que un atacante inunda la red con tráfico entrante en un esfuerzo para empantanar sus recursos y hacer que sea incapaz de responder a solicitudes legítimas. El sitio web de Netgear indica en su artículo de "Security: Comparing NAT, Static Content Filtering, SPI, and Firewalls" que los cortafuegos SPI también pueden examinar los paquetes para ver las características de aquellos utilizados en la explotación de hacking conocidas, como los ataques DoS y suplantación de IP, y desechan cualquier paquete que reconozca como potencialmente malicioso.
Inspección pofunda de paquetes
Una inspección profunda de paquetes ofrece una funcionalidad avanzada sobre SPI y es capaz de examinar el contenido del paquete en tiempo real, mientras que ahonda profundamente para recuperar información, tales como el texto completo de un correo electrónico. Los routers equipados con DPI pueden centrarse en el tráfico de los sitios específicos o con destinos específicos y se pueden programar para realizar acciones específicas, tales como la tala o eliminación de paquetes, cuando los paquetes se encuentran en una fuente o criterio de destino. Los routers DPI habilitados también se pueden programar para examinar determinados tipos de tráfico de datos, tales como VoIP o transmisiones multimedia.
Referencias
- Business Continuity Management; E. A. Mathys
- Microsoft: Windows: Windows Dev Center - Desktop: Listas de control de acceso
- Microsoft: Windows: Windows Dev Center - Desktop: Síndicos
- Netgear: Ataques de denegación de servicio y la inspección de estado de paquetes
- United States Computer Emergency Readiness Team: National Cyber Alert System: Entendiendo a los ataques de denegación de servicio
- Netgear: Seguridad: Comparando NAT, filtrado de contenido estático, SPI y cortafuegos
- Ars Technica: Hardware: una inspección profunda de paquetes reúne una "neutralidad de la red, CALEA"
- Symantec: IP Spoofing: Introducción