Nettverk bak SPI-brannmurer er spesielt motstandsdyktige mot hacking.
Bildekreditt: Getty Images/Digital Vision/Getty Images
En brannmur forhindrer uautorisert tilgang til en bedrifts nettverk, bruk av en SPI-brannmur går utover et statsløst filtreringssystems undersøkelse av bare en pakkens overskrift og destinasjonsport for autentisering, kontrollerer hele pakkens innhold før du bestemmer om den skal gå inn i Nettverk. Dette høyere nivået av gransking gir mye mer robust sikkerhet og relevant informasjon om nettverkstrafikk enn et statsløst filtreringssystem.
Svakheter ved statsløs pakkeinspeksjon
I en artikkel fra februar 2002 for Security Pro News, bemerker forfatter Jay Fougere at mens statsløse IP-filtre kan ruter trafikk effektivt og stiller lite krav til dataressurser, de presenterer seriøs nettverkssikkerhet mangler. Statsløse filtre gir ikke pakkeautentisering, kan ikke programmeres til å åpne og lukke tilkoblinger som svar på spesifiserte hendelser, og tilbyr enkel nettverkstilgang til hackere som bruker IP-spoofing, der innkommende pakker har en forfalsket IP-adresse som brannmuren identifiserer som kommer fra en klarert kilde.
Dagens video
Hvordan en SPI-brannmur regulerer nettverkstilgang
En SPI-brannmur registrerer identifikatorene til alle pakkene nettverket sender, og når en innkommende pakke forsøker å får nettverkstilgang, kan brannmuren avgjøre om det er et svar på en pakke sendt fra nettverket eller om det er uoppfordret. En SPI-brannmur kan bruke en tilgangskontrollliste, en database med pålitelige enheter og deres nettverkstilgangsprivilegier. SPI-brannmuren kan referere til ACL når den gransker en pakke for å finne ut om den kom fra en pålitelig kilde, og i så fall hvor den kan rutes i nettverket.
Reagerer på mistenkelig trafikk
SPI-brannmuren kan programmeres til å slippe alle pakker som sendes fra kilder som ikke er oppført i ACL, og hjelper til med å forhindre et tjenestenektangrep, i som en angriper oversvømmer nettverket med innkommende trafikk i et forsøk på å kutte ned ressursene og gjøre det ute av stand til å svare på legitime forespørsler. Netgears nettsted bemerker i artikkelen "Sikkerhet: Sammenligning av NAT, Statisk innholdsfiltrering, SPI og brannmurer" at SPI-brannmurer også kan undersøke pakker for egenskapene til de som brukes i kjente hackingutnyttelser, for eksempel DoS-angrep og IP-spoofing, og slipp enhver pakke som den gjenkjenner som potensielt ondsinnet.
Deep Packet Inspection
Deep packet inspection tilbyr avansert funksjonalitet over SPI og er i stand til å undersøke pakker innhold i sanntid mens du dykker dypt nok til å gjenopprette informasjon som for eksempel fullteksten til en e-post. Rutere utstyrt med DPI kan fokusere på trafikk fra bestemte nettsteder eller til bestemte destinasjoner, og kan være det programmert til å utføre spesifikke handlinger, som å logge eller slippe pakker, når pakker møter en kilde eller destinasjonskriterier. DPI-aktiverte rutere kan også programmeres til å undersøke bestemte typer datatrafikk, for eksempel VoIP eller streaming media.
