Identificazione dell'applicazione Network Packet Broker basata su DPI – Deep Packet Inspection

Ispezione approfondita dei pacchetti (DPI)è una tecnologia utilizzata nei Network Packet Broker (NPB) per ispezionare e analizzare il contenuto dei pacchetti di rete a livello granulare. Implica l'esame del carico utile, delle intestazioni e di altre informazioni specifiche del protocollo all'interno dei pacchetti per ottenere informazioni dettagliate sul traffico di rete.

DPI va oltre la semplice analisi delle intestazioni e fornisce una comprensione approfondita dei dati che fluiscono attraverso una rete. Consente un'ispezione approfondita dei protocolli del livello applicativo, come HTTP, FTP, SMTP, VoIP o protocolli di streaming video. Esaminando il contenuto effettivo dei pacchetti, DPI è in grado di rilevare e identificare applicazioni, protocolli o persino modelli di dati specifici.

Oltre all'analisi gerarchica degli indirizzi di origine, degli indirizzi di destinazione, delle porte di origine, delle porte di destinazione e dei tipi di protocollo, DPI aggiunge anche l'analisi a livello di applicazione per identificare varie applicazioni e i relativi contenuti. Quando il pacchetto 1P, i dati TCP o UDP fluiscono attraverso il sistema di gestione della larghezza di banda basato sulla tecnologia DPI, il sistema legge il contenuto del carico del pacchetto 1P per riorganizzare le informazioni del livello dell'applicazione nel protocollo OSI Layer 7, in modo da ottenere il contenuto di l’intero programma applicativo, per poi modellare il traffico secondo la politica di gestione definita dal sistema.

Come funziona il DPI?

I firewall tradizionali spesso non hanno la potenza di elaborazione necessaria per eseguire controlli approfonditi in tempo reale su grandi volumi di traffico. Con l'avanzare della tecnologia, DPI può essere utilizzato per eseguire controlli più complessi per controllare intestazioni e dati. In genere, i firewall con sistemi di rilevamento delle intrusioni utilizzano spesso DPI. In un mondo in cui l'informazione digitale è fondamentale, ogni informazione digitale viene distribuita su Internet in piccoli pacchetti. Ciò include e-mail, messaggi inviati tramite l'app, siti Web visitati, conversazioni video e altro ancora. Oltre ai dati veri e propri, questi pacchetti includono metadati che identificano la sorgente del traffico, il contenuto, la destinazione e altre informazioni importanti. Con la tecnologia di filtraggio dei pacchetti, i dati possono essere monitorati e gestiti continuamente per garantire che vengano inoltrati al posto giusto. Ma per garantire la sicurezza della rete, il tradizionale filtraggio dei pacchetti è lungi dall’essere sufficiente. Di seguito sono elencati alcuni dei principali metodi di ispezione approfondita dei pacchetti nella gestione della rete:

Modalità/Firma di corrispondenza

Ogni pacchetto viene controllato per verificare la corrispondenza con un database di attacchi di rete noti da parte di un firewall con funzionalità di sistema di rilevamento delle intrusioni (IDS). IDS ricerca modelli specifici dannosi noti e disabilita il traffico quando vengono rilevati modelli dannosi. Lo svantaggio della politica di corrispondenza delle firme è che si applica solo alle firme che vengono aggiornate frequentemente. Inoltre, questa tecnologia può difendere solo da minacce o attacchi noti.

DPI

Eccezione del protocollo

Poiché la tecnica dell'eccezione di protocollo non consente semplicemente tutti i dati che non corrispondono al database delle firme, la tecnica dell'eccezione di protocollo utilizzata dal firewall IDS non presenta i difetti intrinseci del metodo di corrispondenza modello/firma. Adotta invece la politica di rifiuto predefinita. Per definizione del protocollo, i firewall decidono quale traffico dovrebbe essere consentito e proteggono la rete da minacce sconosciute.

Sistema di prevenzione delle intrusioni (IPS)

Le soluzioni IPS possono bloccare la trasmissione di pacchetti dannosi in base al loro contenuto, bloccando così gli attacchi sospetti in tempo reale. Ciò significa che se un pacchetto rappresenta un rischio noto per la sicurezza, IPS bloccherà in modo proattivo il traffico di rete in base a un insieme di regole definite. Uno svantaggio dell’IPS è la necessità di aggiornare regolarmente un database delle minacce informatiche con dettagli sulle nuove minacce e la possibilità di falsi positivi. Ma questo pericolo può essere mitigato creando policy prudenti e soglie personalizzate, stabilendo un comportamento di base appropriato per i componenti di rete e valutando periodicamente gli avvisi e gli eventi segnalati per migliorare il monitoraggio e gli avvisi.

1- Il DPI (Deep Packet Inspection) nel Network Packet Broker

Il confronto "profondo" è il livello e l'analisi ordinaria dei pacchetti, "l'ispezione ordinaria dei pacchetti" è solo la seguente analisi del livello 4 del pacchetto IP, incluso l'indirizzo di origine, l'indirizzo di destinazione, la porta di origine, la porta di destinazione e il tipo di protocollo e DPI tranne che con il livello gerarchico analisi, ha anche aumentato l'analisi del livello applicativo, identifica le varie applicazioni e contenuti, per realizzare le funzioni principali:

1) Analisi dell'applicazione: analisi della composizione del traffico di rete, analisi delle prestazioni e analisi del flusso

2) Analisi degli utenti: differenziazione del gruppo di utenti, analisi del comportamento, analisi dei terminali, analisi delle tendenze, ecc.

3) Analisi degli elementi di rete: analisi basata sugli attributi regionali (città, distretto, strada, ecc.) e sul carico della stazione base

4) Controllo del traffico: limitazione della velocità P2P, garanzia della QoS, garanzia della larghezza di banda, ottimizzazione delle risorse di rete, ecc.

5) Garanzia di sicurezza: attacchi DDoS, tempesta di trasmissione di dati, prevenzione di attacchi di virus dannosi, ecc.

2- Classificazione generale delle applicazioni di rete

Oggi esistono innumerevoli applicazioni su Internet, ma le comuni applicazioni web possono essere esaustive.

Per quanto ne so, la migliore società di riconoscimento delle app è Huawei, che afferma di riconoscere 4.000 app. L'analisi del protocollo è il modulo base di molte aziende firewall (Huawei, ZTE, ecc.) ed è anche un modulo molto importante, poiché supporta la realizzazione di altri moduli funzionali, l'identificazione accurata delle applicazioni e migliora notevolmente le prestazioni e l'affidabilità dei prodotti. Nel modellare l'identificazione del malware in base alle caratteristiche del traffico di rete, come sto facendo ora, è molto importante anche un'identificazione accurata ed estesa del protocollo. Escludendo il traffico di rete delle applicazioni comuni dal traffico di esportazione dell'azienda, il traffico rimanente rappresenterà una piccola percentuale, il che è migliore per l'analisi e l'allarme del malware.

In base alla mia esperienza, le applicazioni comunemente utilizzate esistenti sono classificate in base alle loro funzioni:

PS: in base alla comprensione personale della classificazione dell'applicazione, sono benvenuti eventuali buoni suggerimenti per lasciare una proposta di messaggio

1). E-mail

2). Video

3). Giochi

4). Classe OA per ufficio

5). Aggiornamento del software

6). Finanziario (banca, Alipay)

7). Azioni

8). Comunicazione sociale (software di messaggistica istantanea)

9). Navigazione Web (probabilmente meglio identificata con gli URL)

10). Strumenti di download (disco Web, download P2P, correlato a BT)

20191210153150_32811

Quindi, come funziona DPI (Deep Packet Inspection) in un NPB:

1). Acquisizione dei pacchetti: l'NPB acquisisce il traffico di rete da varie fonti, come switch, router o tap. Riceve i pacchetti che fluiscono attraverso la rete.

2). Analisi dei pacchetti: i pacchetti catturati vengono analizzati dall'NPB per estrarre vari livelli di protocollo e dati associati. Questo processo di analisi aiuta a identificare i diversi componenti all'interno dei pacchetti, come intestazioni Ethernet, intestazioni IP, intestazioni del livello di trasporto (ad esempio, TCP o UDP) e protocolli del livello di applicazione.

3). Analisi del carico utile: con DPI, l'NPB va oltre l'ispezione dell'intestazione e si concentra sul carico utile, compresi i dati effettivi all'interno dei pacchetti. Esamina in modo approfondito il contenuto del payload, indipendentemente dall'applicazione o dal protocollo utilizzato, per estrarre informazioni rilevanti.

4). Identificazione del protocollo: DPI consente all'NPB di identificare i protocolli e le applicazioni specifici utilizzati nel traffico di rete. È in grado di rilevare e classificare protocolli come HTTP, FTP, SMTP, DNS, VoIP o protocolli di streaming video.

5). Ispezione del contenuto: DPI consente all'NPB di ispezionare il contenuto dei pacchetti per modelli, firme o parole chiave specifici. Ciò consente il rilevamento di minacce di rete, come malware, virus, tentativi di intrusione o attività sospette. DPI può essere utilizzato anche per filtrare i contenuti, applicare policy di rete o identificare violazioni della conformità dei dati.

6). Estrazione dei metadati: durante il DPI, l'NPB estrae i metadati rilevanti dai pacchetti. Ciò può includere informazioni quali indirizzi IP di origine e destinazione, numeri di porta, dettagli della sessione, dati delle transazioni o qualsiasi altro attributo rilevante.

7). Instradamento o filtraggio del traffico: sulla base dell'analisi DPI, l'NPB può instradare pacchetti specifici verso destinazioni designate per ulteriori elaborazioni, come dispositivi di sicurezza, strumenti di monitoraggio o piattaforme di analisi. Può anche applicare regole di filtraggio per scartare o reindirizzare i pacchetti in base al contenuto o ai modelli identificati.

ML-NPB-5660 3d


Orario di pubblicazione: 25 giugno 2023