Inspecció profunda de paquets (DPI)és una tecnologia utilitzada en els brokers de paquets de xarxa (NPB) per inspeccionar i analitzar el contingut dels paquets de xarxa a nivell granular. Implica examinar la càrrega útil, les capçaleres i altra informació específica del protocol dins dels paquets per obtenir informació detallada sobre el trànsit de xarxa.
El DPI va més enllà de la simple anàlisi de capçalera i proporciona una comprensió profunda de les dades que flueixen a través d'una xarxa. Permet una inspecció exhaustiva dels protocols de la capa d'aplicació, com ara HTTP, FTP, SMTP, VoIP o protocols de transmissió de vídeo. En examinar el contingut real dels paquets, el DPI pot detectar i identificar aplicacions específiques, protocols o fins i tot patrons de dades específics.
A més de l'anàlisi jeràrquica de les adreces d'origen, les adreces de destinació, els ports d'origen, els ports de destinació i els tipus de protocol, DPI també afegeix anàlisi de la capa d'aplicació per identificar diverses aplicacions i els seus continguts. Quan el paquet 1P, les dades TCP o UDP flueixen a través del sistema de gestió d'ample de banda basat en la tecnologia DPI, el sistema llegeix el contingut de la càrrega de paquets 1P per reorganitzar la informació de la capa d'aplicació al protocol OSI Layer 7, per tal d'obtenir el contingut de tot el programa d'aplicació i, a continuació, configurar el trànsit segons la política de gestió definida pel sistema.
Com funciona el DPI?
Els tallafocs tradicionals sovint no tenen la potència de processament per realitzar comprovacions exhaustives en temps real de grans volums de trànsit. A mesura que la tecnologia avança, el DPI es pot utilitzar per realitzar comprovacions més complexes per comprovar les capçaleres i les dades. Normalment, els tallafocs amb sistemes de detecció d'intrusions sovint utilitzen DPI. En un món on la informació digital és primordial, cada informació digital es lliura a través d'Internet en paquets petits. Això inclou el correu electrònic, els missatges enviats a través de l'aplicació, els llocs web visitats, les converses de vídeo i molt més. A més de les dades reals, aquests paquets inclouen metadades que identifiquen la font del trànsit, el contingut, la destinació i altra informació important. Amb la tecnologia de filtratge de paquets, les dades es poden controlar i gestionar contínuament per garantir que es reenviïn al lloc correcte. Però per garantir la seguretat de la xarxa, el filtratge de paquets tradicional és lluny de ser suficient. Alguns dels principals mètodes d'inspecció profunda de paquets en la gestió de xarxes es mostren a continuació:
Mode/Signatura de coincidència
Un tallafocs amb capacitats de sistema de detecció d'intrusions (IDS) comprova si cada paquet coincideix amb una base de dades d'atacs de xarxa coneguts. L'IDS busca patrons específics maliciosos coneguts i desactiva el trànsit quan es troben patrons maliciosos. El desavantatge de la política de coincidència de signatures és que només s'aplica a les signatures que s'actualitzen amb freqüència. A més, aquesta tecnologia només pot defensar contra amenaces o atacs coneguts.
Excepció de protocol
Com que la tècnica d'excepció de protocol no permet simplement totes les dades que no coincideixen amb la base de dades de signatures, la tècnica d'excepció de protocol utilitzada pel tallafocs IDS no té els defectes inherents del mètode de coincidència de patrons/signatures. En canvi, adopta la política de rebuig per defecte. Per definició de protocol, els tallafocs decideixen quin trànsit s'ha de permetre i protegeixen la xarxa d'amenaces desconegudes.
Sistema de prevenció d'intrusions (IPS)
Les solucions IPS poden bloquejar la transmissió de paquets nocius en funció del seu contingut, aturant així els possibles atacs en temps real. Això significa que si un paquet representa un risc de seguretat conegut, l'IPS bloquejarà proactivament el trànsit de xarxa basant-se en un conjunt de regles definit. Un desavantatge de l'IPS és la necessitat d'actualitzar regularment una base de dades d'amenaces cibernètiques amb detalls sobre noves amenaces i la possibilitat de falsos positius. Però aquest perill es pot mitigar creant polítiques conservadores i llindars personalitzats, establint un comportament de referència adequat per als components de la xarxa i avaluant periòdicament els avisos i els esdeveniments reportats per millorar la supervisió i les alertes.
1- La DPI (Inspecció Profunda de Paquets) al Broker de Paquets de Xarxa
La "profunditat" és una comparació d'anàlisi de paquets de nivell i ordinari, la "inspecció de paquets ordinaris" només fa l'anàlisi següent del paquet IP de 4 capes, incloent-hi l'adreça d'origen, l'adreça de destinació, el port d'origen, el port de destinació i el tipus de protocol, i els DPI, excepte amb l'anàlisi jeràrquica, que també augmenta l'anàlisi de la capa d'aplicació, identifica les diverses aplicacions i continguts, per realitzar les funcions principals:
1) Anàlisi d'aplicacions: anàlisi de la composició del trànsit de xarxa, anàlisi del rendiment i anàlisi del flux
2) Anàlisi d'usuaris: diferenciació de grups d'usuaris, anàlisi del comportament, anàlisi de terminals, anàlisi de tendències, etc.
3) Anàlisi d'elements de xarxa: anàlisi basada en atributs regionals (ciutat, districte, carrer, etc.) i càrrega de l'estació base
4) Control del trànsit: limitació de velocitat P2P, garantia de QoS, garantia d'amplada de banda, optimització de recursos de xarxa, etc.
5) Garantia de seguretat: atacs DDoS, tempestes de difusió de dades, prevenció d'atacs de virus maliciosos, etc.
2- Classificació general de les aplicacions de xarxa
Avui dia hi ha innombrables aplicacions a Internet, però les aplicacions web comunes poden ser exhaustives.
Pel que sé, la millor empresa de reconeixement d'aplicacions és Huawei, que afirma reconèixer 4.000 aplicacions. L'anàlisi de protocols és el mòdul bàsic de moltes empreses de tallafocs (Huawei, ZTE, etc.), i també és un mòdul molt important, que dóna suport a la realització d'altres mòduls funcionals, la identificació precisa de les aplicacions i la millora considerable del rendiment i la fiabilitat dels productes. En el modelatge de la identificació de programari maliciós basada en les característiques del trànsit de xarxa, com estic fent ara, la identificació precisa i extensa del protocol també és molt important. Si excloem el trànsit de xarxa de les aplicacions comunes del trànsit d'exportació de l'empresa, el trànsit restant representarà una petita proporció, cosa que és millor per a l'anàlisi i l'alarma de programari maliciós.
Segons la meva experiència, les aplicacions que s'utilitzen habitualment es classifiquen segons les seves funcions:
PD: Segons la vostra comprensió personal de la classificació de l'aplicació, si teniu algun bon suggeriment, podeu deixar un missatge de proposta.
1). Correu electrònic
2). Vídeo
3). Jocs
4). Classe d'oficina OA
5). Actualització de programari
6). Financer (banc, Alipay)
7). Accions
8). Comunicació social (programari de missatgeria instantània)
9). Navegació web (probablement millor identificada amb URL)
10). Eines de descàrrega (disc web, descàrrega P2P, relacionades amb BT)
Aleshores, com funciona la DPI (Inspecció Profunda de Paquets) en una NPB:
1). Captura de paquets: L'NPB captura el trànsit de xarxa de diverses fonts, com ara commutadors, encaminadors o taps. Rep els paquets que flueixen per la xarxa.
2). Anàlisi de paquets: L'NPB analitza els paquets capturats per extreure'n diverses capes de protocol i dades associades. Aquest procés d'anàlisi ajuda a identificar els diferents components dins dels paquets, com ara les capçaleres Ethernet, les capçaleres IP, les capçaleres de la capa de transport (per exemple, TCP o UDP) i els protocols de la capa d'aplicació.
3). Anàlisi de la càrrega útil: Amb el DPI, l'NPB va més enllà de la inspecció de la capçalera i se centra en la càrrega útil, incloent-hi les dades reals dins dels paquets. Examina el contingut de la càrrega útil en profunditat, independentment de l'aplicació o el protocol utilitzat, per extreure informació rellevant.
4). Identificació de protocols: el DPI permet a la NPB identificar els protocols i les aplicacions específics que s'utilitzen dins del trànsit de xarxa. Pot detectar i classificar protocols com HTTP, FTP, SMTP, DNS, VoIP o protocols de transmissió de vídeo.
5). Inspecció de contingut: El DPI permet a l'NPB inspeccionar el contingut dels paquets per detectar patrons, signatures o paraules clau específics. Això permet la detecció d'amenaces de xarxa, com ara programari maliciós, virus, intents d'intrusió o activitats sospitoses. El DPI també es pot utilitzar per filtrar contingut, fer complir polítiques de xarxa o identificar infraccions de compliment de dades.
6). Extracció de metadades: Durant el DPI, l'NPB extreu metadades rellevants dels paquets. Això pot incloure informació com ara adreces IP d'origen i destinació, números de port, detalls de sessió, dades de transacció o qualsevol altre atribut rellevant.
7). Encaminament o filtratge del trànsit: basant-se en l'anàlisi DPI, l'NPB pot encaminar paquets específics a destinacions designades per al seu processament posterior, com ara dispositius de seguretat, eines de monitorització o plataformes d'anàlisi. També pot aplicar regles de filtratge per descartar o redirigir paquets en funció del contingut o patrons identificats.
Data de publicació: 25 de juny de 2023
