¿Ya sabes qué es el puerto espejo y para qué se utiliza en ciberseguridad?
La seguridad de una red es indispensable para un sistema informático. A través de ella pasan todas las comunicaciones entre dispositivos y servidores web en forma de peticiones y respuestas, que pueden ser interceptadas. De hecho, este procedimiento es indispensable para la ciberseguridad.
Para la seguridad de las redes, se suelen utilizar herramientas como los firewalls y los IDS/IPS. Los firewalls o cortafuegos filtran el tráfico de entrada y salida de un dispositivo con el fin de bloquear todas las amenazas. Los IDS/IPS se basan en detectar y eliminar anomalías a partir de reglas de comportamiento, que permiten realizar este proceso de forma automática.
Estos dos tipos de software (o appliances), entre otros, dependen de la técnica que hemos mencionado anteriormente, es decir, la captura del tráfico. Por tanto, en este post, hablaremos específicamente sobre uno de los métodos más comunes y eficientes para llevarla a cabo. A continuación, te explicaremos qué es el puerto espejo o port mirroring y por qué se usa en ciberseguridad.
¿Qué es el puerto espejo?
El puerto espejo o port mirroring es una técnica que consiste en replicar todas las peticiones (hechas desde los dispositivos de los usuarios) y las respuestas (recibidas desde los servidores web de las páginas) que son gestionadas en una red. Este tráfico se duplica en uno de los puertos de la red física, que es capaz de recibir todos los datos recopilados sobre los demás puertos. Es decir, la técnica del puerto espejo le permite al Blue Team, que se encarga de la protección del sistema, obtener una copia exacta y completa de todo el tráfico de la red.
Además, utilizar un puerto espejo como método de captura de tráfico en redes tiene las siguientes ventajas:
- Permite capturar el tráfico de todos los puertos del switch de red de manera simultánea, a diferencia de los dispositivos físicos, que solamente pueden capturar tráfico de puertos individuales.
- No se visualizan los errores de la capa física, ya que todo el proceso ocurre directamente en el switch de la red.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaNo obstante, al aprender qué es el puerto espejo, verás que la principal desventaja de este método consiste en que aumenta la carga de procesamiento de la CPU del switch. Esta es una consecuencia negativa que se deriva de la duplicación de todo el tráfico, el cual se envía después a un Network-based Intrusion Detection System (NIDS), desde el que se analiza la información.
TAP (Terminal Access Point)
Ya sabes qué es el puerto espejo, uno de los métodos más utilizados para capturar el tráfico de una red. Sin embargo, existen otras formas de hacerlo, como puede ser a través de un TAP (Terminal Acces Point).
Un TAP es un dispositivo físico que se conecta a un puerto con el fin de duplicar la información de manera pasiva y enviarla a una locación central. La desventaja de este método, en comparación al anterior, es que se requiere un dispositivo para cada puerto que se desee analizar.
¿Cómo aprender más?
Ya hemos visto qué es el puerto espejo y cuál es su importancia en ciberseguridad. Si quieres aprender más sobre esta y otras técnicas relacionadas con el Blue Team, en KeepCoding encontrarás la formación intensiva ideal para ti. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y conviértete en todo un experto en tan solo 7 meses. ¡No sigas esperando e inscríbete ahora!