i. Fuente y destino:
* Dirección IP de origen: La dirección IP del dispositivo de envío. Puede ser una sola IP, una gama de IP (usando notación CIDR) o un comodín.
* Dirección IP de destino: La dirección IP del dispositivo receptor. Las mismas opciones que la fuente de IP.
* Puerto fuente: El número de puerto utilizado por la aplicación de envío. (por ejemplo, 80 para http, 443 para https, 22 para ssh).
* Puerto de destino: El número de puerto utilizado por la aplicación receptor.
* Dirección MAC de origen: La dirección física del dispositivo de envío (capa 2).
* Dirección MAC de destino: La dirección física del dispositivo receptor (capa 2).
ii. Protocolo:
* Protocolo IP: Identifica el protocolo de capa de red (por ejemplo, TCP, UDP, ICMP).
* Protocolo de transporte: Especifica el protocolo de la capa de transporte (TCP o UDP, implícito en el protocolo IP en la mayoría de los casos).
iii. Contenido de paquetes (Inspección profunda de paquetes - DPI):
* Secuencias de bytes específicas: Examinar los datos de paquetes sin procesar para patrones de bytes particulares (requiere más potencia de procesamiento).
* Palabras clave en carga útil: Buscando palabras o frases específicas dentro de los datos de la aplicación (por ejemplo, filtrar el correo electrónico que contiene ciertas palabras). A menudo se usa junto con el filtrado de protocolo (por ejemplo, solo inspeccione los paquetes HTTP).
* Expresiones regulares: Coincidencia de patrones más compleja dentro de la carga útil.
iv. Características del paquete:
* Tamaño del paquete: Tamaño mínimo o máximo del paquete (en bytes).
* Hora del día: Filtrar tráfico basado en tiempos o horarios específicos.
* Banderas de paquetes (TCP): Examinar los indicadores TCP (SYN, ACK, FIN, RST, etc.) para identificar fases de conexión o comportamiento anormal.
* ttl (hora de vivir): El número de saltos un paquete puede viajar antes de ser descartado. Se puede utilizar para identificar posibles ataques.
* TOS/Diffserv (tipo de servicio/servicios diferenciados): Marcas de calidad de servicio (QoS) en el encabezado IP.
V. Información de la capa de aplicación (DPI avanzado):
* Tipo de aplicación: Identificación de la aplicación basada en el número de puerto y el análisis de carga útil (por ejemplo, HTTP, FTP, SMTP, DNS).
* url: Extracción y filtrado basado en la URL dentro de los paquetes HTTP.
Condiciones de combinación:
El poder del filtrado de paquetes proviene de combinar estas condiciones. Por ejemplo, puede crear una regla que permita todo el tráfico TCP desde una dirección IP específica al puerto 443 en un servidor web, mientras bloquea todo el tráfico UDP de la misma dirección IP a cualquier puerto. Esto permite el acceso seguro HTTPS al tiempo que evita otra comunicación UDP potencialmente maliciosa.
nota: El nivel de detalle disponible para el filtrado depende del firewall o el dispositivo de red que se utiliza. Los dispositivos más simples solo pueden admitir el filtrado básico de IP, puerto y protocolo de IP, puerto y protocolos, mientras que los dispositivos más sofisticados ofrecen capacidades DPI avanzadas.