Herramientas de inspección profunda de paquetes: Proxy contra Stream

Consejo

Herramientas de inspección profunda de paquetes: Proxy contra Stream

Las herramientas de inspección profunda de paquetes (DPI) normalmente se asocian con los proveedores de servicio de red, pero los gestores de redes empresariales están adoptando también esta tecnología para mejorar la gestión y el rendimiento de las aplicaciones, garantizado un mayor nivel de seguridad.

Los firewalls básicos inspeccionan las cabeceras de los paquetes para asegurarse de que las peticiones HTTP se dirigen al Servidor Web y que el tráfico SMTP se dirige al servidor de email, pero esto no protege de los ataques web ni del malware adjunto en los correos. Las herramientas DPI pueden inspeccionar el contenido completo del paquete y analizar el rendimiento en función del protocolo con el que estemos trabajando. De este modo, DPI hace posible poder encontrar, identificar, clasificar, redirigir o bloquear paquetes con ciertos contenidos o códigos determinados que otros sistemas convencionales no pueden detectar.

Herramientas DPI: Stream contra Proxy

Las estrategias de inspección de paquetes se dividen en dos categorías: por stream y por proxy.

La inspección basada en stream examina los datos de cada paquete recibido. Si no se encuentran amenazas el paquete se entrega a su destino. Por el contrario, la inspección basada en proxy conecta todos los paquetes que forman parte de una misma transacción y efectúa el análisis de riesgo cuando se han recibido todos los paquetes. Ambos sistemas utilizan firmas de amenazas conocidas y también emplean técnicas heurísticas para detectar amenazas desconocidas.

Los críticos de las herramientas DPI basadas en proxy indican que el volumen de datos que pasa a través de dispositivos de protección (especialmente con archivos cada vez más grandes) hace imposible que los productos basados en proxy puedan cargar todo el tráfico entrante. Es más, piensan que el proceso de búfer de grandes archivos retrasa de forma inaceptable el rendimiento de la aplicación.

Para resolver el problema del tamaño del búfer, Fortinet, por ejemplo, ofrece un producto que incluye un parámetro de configuración que permite limitar su tamaño. La empresa incluye las explicaciones necesarias respecto de la relación entre el tamaño del búfer y la posibilidad de dejar pasar un ataque. Además, la inspección basada en proxy afirma que la diferencia de rendimiento entre ambos sistemas no existe y que el tiempo empleado en la operación viene a ser el mismo.

Mientras tanto, los críticos de la tecnología en stream afirman que estas herramientas no son tan minuciosas como las soluciones en proxy, porque es imposible detectar ataques si no puede comprobarse toda la operación. También afirman que los productos basados en stream sólo pueden descomprimir los archivos más básicos, como los Zip, mientras que los productos basados en proxy cuentan con más técnicas de descompresión. Los fabricantes de productos en stream sostienen que sus programas pueden detectar malware inspeccionando los paquetes uno a uno.

Wedge Networks añade una tecnología adicional de DPI: inspección de contenido en profundidad. Los productos de Wedge reensamblan la secuencia de paquetes y los descomprimen y codifican como si fueran objetos. Luego, productos Wedge anti-spam, anti-virus y Web monitor inspeccionan el objeto completo buscando amenazas.

Integrando sistemas DPI en la seguridad de red y la gestión de dispositivos

Las funciones DPI se están incorporando a otras formas de seguridad y gestión en red que permiten controlar mejor los accesos y asegurar la calidad del servicio (QoS).

Las funciones DPI trabajan junto con Sistemas de Prevención de Intrusiones (IPS), Gestión Unificada de Amenazas (UTM) y Prevención de Fuga de Datos (DLP) para mantener a raya los riesgos de tener dispositivos personales conectados a la red corporativa, yendo más allá de una protección contra malware.

Además, estas herramientas DPI muestran el porcentaje de ancho de banda que usa cada aplicación. De esta forma los dispositivos DPI permiten a los gestores de la red controlar el tráfico de datos y su distribución. DPI también puede usarse para probar dispositivos de red y permitir a los gestores registrar eventos concretos a nivel de aplicación.

Ahora que los sistemas DPI se están incorporando a la gestión de red y a los dispositivos de seguridad, hay una gama mucho más amplia de fabricantes de tecnología de red que ofrecen estas herramientas. En el segundo artículo de esta serie hablaremos sobre varios de estos fabricantes de DPI.

 

Sobre el autor: David B. Jacobs, de The Jacobs Group, cuenta con más de 20 años de experiencia en el sector de redes. Ha gestionado proyectos de desarrollo de software de primera línea y ha atendido a varias empresas de Fortune 500, así como a algunas start-ups de software.

Esto fue publicado por primera vez en noviembre 2012

Unirse a la conversación Comenta

Compartir
Comentas

    Resultados

    Contribuye a la conversacion

    Todos los campos son obligatorios. Los comentarios aparecerán en la parte inferior del artículo

    Aviso Legal: Nuestro Intercambio de Consejos es un foro para compartir asesoramiento técnico y conocimientos con sus compañeros y aprender de otros profesionales de TI . TechTarget proporciona la infraestructura para facilitar este intercambio de información. Sin embargo, no podemos garantizar la exactitud o validez del material presentado. Usted acepta que el uso del servicio de Preguntale al Experto su dependencia en las preguntas, respuestas, información u otros materiales recibidos a través de este sitio web está bajo su propio riesgo.