Netwerken achter SPI-firewalls zijn bijzonder bestand tegen hacking.
Afbeelding tegoed: Getty Images/Digital Vision/Getty Images
Een firewall voorkomt ongeautoriseerde toegang tot het netwerk van een onderneming. Het gebruik van een SPI-firewall gaat verder dan het onderzoek van een staatloos filtersysteem naar slechts een de header en de bestemmingspoort van het pakket voor authenticatie, waarbij de inhoud van het volledige pakket wordt gecontroleerd voordat wordt bepaald of het doorgang naar de netwerk. Dit hogere niveau van controle biedt veel robuustere beveiliging en relevante informatie over netwerkverkeer dan een staatloos filtersysteem.
Zwakke punten van staatloze pakketinspectie
In een artikel van februari 2002 voor Security Pro News merkt auteur Jay Fougere op dat, hoewel staatloze IP-filters dat wel kunnen: verkeer efficiënt routeren en weinig eisen stellen aan computerbronnen, ze bieden serieuze netwerkbeveiliging tekortkomingen. Stateless filters bieden geen pakketauthenticatie, kunnen niet worden geprogrammeerd om verbindingen te openen en te sluiten als reactie op gespecificeerde gebeurtenissen, en bieden gemakkelijke netwerktoegang voor hackers met behulp van IP-spoofing, waarbij inkomende pakketten een vervalst IP-adres dragen dat de firewall identificeert als afkomstig van een vertrouwd adres bron.
Video van de dag
Hoe een SPI-firewall netwerktoegang regelt?
Een SPI-firewall registreert de identifiers van alle pakketten die zijn netwerk verzendt en wanneer een binnenkomend pakket probeert: netwerktoegang te krijgen, kan de firewall bepalen of het een reactie is op een pakket dat door zijn netwerk is verzonden of dat het ongevraagd. Een SPI-firewall kan een toegangscontrolelijst, een database met vertrouwde entiteiten en hun netwerktoegangsrechten gebruiken. De SPI-firewall kan naar de ACL verwijzen bij het onderzoeken van een pakket om te bepalen of het afkomstig is van een vertrouwde bron, en zo ja, waar het binnen het netwerk kan worden gerouteerd.
Reageren op verdacht verkeer
De SPI-firewall kan worden geprogrammeerd om alle pakketten te laten vallen die worden verzonden van bronnen die niet in de ACL zijn vermeld, waardoor een denial-of-service-aanval wordt voorkomen, in waarbij een aanvaller het netwerk overspoelt met inkomend verkeer in een poging om zijn bronnen te verzanden en het niet in staat te stellen te reageren op legitieme verzoeken. De website van Netgear merkt in het artikel "Security: Comparing NAT, Static Content Filtering, SPI en Firewalls" op dat SPI-firewalls ook pakketten kunnen onderzoeken voor kenmerken van degene die worden gebruikt in bekende hack-exploits, zoals DoS-aanvallen en IP-spoofing, en laat elk pakket vallen dat als potentieel wordt herkend kwaadaardig.
Diepe pakketinspectie
Diepe pakketinspectie biedt geavanceerde functionaliteit via SPI en is in staat om pakket te onderzoeken inhoud in realtime terwijl u diep genoeg graaft om informatie te herstellen, zoals de volledige tekst van een e-mail. Routers die zijn uitgerust met DPI kunnen zich concentreren op verkeer van specifieke sites of naar specifieke bestemmingen, en kunnen geprogrammeerd om specifieke acties uit te voeren, zoals loggen of pakketten laten vallen, wanneer pakketten een bron ontmoeten of bestemmingscriteria. DPI-compatibele routers kunnen ook worden geprogrammeerd om bepaalde soorten dataverkeer te onderzoeken, zoals VoIP of streaming media.
