Ispezione approfondita dei pacchetti (DPI)È una tecnologia utilizzata nei Network Packet Broker (NPB) per ispezionare e analizzare il contenuto dei pacchetti di rete a livello granulare. Consiste nell'esaminare il payload, le intestazioni e altre informazioni specifiche del protocollo all'interno dei pacchetti per ottenere informazioni dettagliate sul traffico di rete.
DPI va oltre la semplice analisi dell'intestazione e fornisce una comprensione approfondita dei dati che transitano attraverso una rete. Consente un'ispezione dettagliata dei protocolli del livello applicativo, come HTTP, FTP, SMTP, VoIP o protocolli di streaming video. Esaminando il contenuto effettivo dei pacchetti, DPI è in grado di rilevare e identificare applicazioni, protocolli o persino modelli di dati specifici.
Oltre all'analisi gerarchica degli indirizzi sorgente, degli indirizzi di destinazione, delle porte sorgente, delle porte di destinazione e dei tipi di protocollo, DPI aggiunge anche un'analisi a livello applicativo per identificare le varie applicazioni e il loro contenuto. Quando il pacchetto 1P, i dati TCP o UDP attraversano il sistema di gestione della larghezza di banda basato sulla tecnologia DPI, il sistema legge il contenuto del pacchetto 1P per riorganizzare le informazioni a livello applicativo nel protocollo OSI di livello 7, in modo da ottenere il contenuto dell'intero programma applicativo e quindi modellare il traffico in base alla politica di gestione definita dal sistema.
Come funziona il DPI?
I firewall tradizionali spesso non dispongono della potenza di elaborazione necessaria per eseguire controlli approfonditi in tempo reale su grandi volumi di traffico. Con l'avanzare della tecnologia, l'ispezione approfondita dei pacchetti (DPI) può essere utilizzata per eseguire controlli più complessi, analizzando intestazioni e dati. In genere, i firewall con sistemi di rilevamento delle intrusioni utilizzano spesso la DPI. In un mondo in cui l'informazione digitale è fondamentale, ogni informazione digitale viene trasmessa su Internet in piccoli pacchetti. Questo include e-mail, messaggi inviati tramite app, siti web visitati, videochiamate e altro ancora. Oltre ai dati effettivi, questi pacchetti includono metadati che identificano la sorgente del traffico, il contenuto, la destinazione e altre informazioni importanti. Grazie alla tecnologia di filtraggio dei pacchetti, i dati possono essere monitorati e gestiti continuamente per garantire che vengano inoltrati correttamente. Tuttavia, per garantire la sicurezza della rete, il filtraggio tradizionale dei pacchetti è ben lungi dall'essere sufficiente. Di seguito sono elencati alcuni dei principali metodi di ispezione approfondita dei pacchetti nella gestione della rete:
Modalità di corrispondenza/firma
Ogni pacchetto viene controllato da un firewall dotato di sistema di rilevamento delle intrusioni (IDS) per verificarne la corrispondenza con un database di attacchi di rete noti. L'IDS ricerca specifici pattern dannosi noti e blocca il traffico quando ne rileva. Lo svantaggio della politica di corrispondenza delle firme è che si applica solo alle firme che vengono aggiornate frequentemente. Inoltre, questa tecnologia può proteggere solo da minacce o attacchi noti.
Eccezione del protocollo
Poiché la tecnica di eccezione del protocollo non si limita a consentire tutti i dati che non corrispondono al database delle firme, la tecnica di eccezione del protocollo utilizzata dal firewall IDS non presenta i difetti intrinseci del metodo di corrispondenza di pattern/firme. Al contrario, adotta la politica di rifiuto predefinita. Per definizione, i firewall decidono quale traffico deve essere consentito e proteggono la rete da minacce sconosciute.
Sistema di prevenzione delle intrusioni (IPS)
Le soluzioni IPS possono bloccare la trasmissione di pacchetti dannosi in base al loro contenuto, arrestando così i sospetti attacchi in tempo reale. Ciò significa che se un pacchetto rappresenta un rischio per la sicurezza noto, l'IPS bloccherà proattivamente il traffico di rete in base a una serie di regole predefinite. Uno svantaggio dell'IPS è la necessità di aggiornare regolarmente un database delle minacce informatiche con dettagli sulle nuove minacce e la possibilità di falsi positivi. Tuttavia, questo rischio può essere mitigato creando policy conservative e soglie personalizzate, definendo comportamenti di base appropriati per i componenti di rete e valutando periodicamente avvisi ed eventi segnalati per migliorare il monitoraggio e gli avvisi.
1- Il DPI (Deep Packet Inspection) nel Network Packet Broker
Il confronto tra l'analisi "profonda" e l'analisi ordinaria dei pacchetti, l'"ispezione ordinaria dei pacchetti" si limita all'analisi dei 4 livelli del pacchetto IP, inclusi indirizzo sorgente, indirizzo di destinazione, porta sorgente, porta di destinazione e tipo di protocollo, e DPI, oltre all'analisi gerarchica, ha aggiunto anche l'analisi del livello applicativo, identificando le varie applicazioni e i contenuti, per realizzare le funzioni principali:
1) Analisi delle applicazioni: analisi della composizione del traffico di rete, analisi delle prestazioni e analisi dei flussi.
2) Analisi degli utenti: differenziazione dei gruppi di utenti, analisi del comportamento, analisi dei terminali, analisi delle tendenze, ecc.
3) Analisi degli elementi di rete: analisi basata su attributi regionali (città, distretto, via, ecc.) e carico della stazione base.
4) Controllo del traffico: limitazione della velocità P2P, garanzia della qualità del servizio (QoS), garanzia della larghezza di banda, ottimizzazione delle risorse di rete, ecc.
5) Garanzia di sicurezza: attacchi DDoS, tempeste di dati broadcast, prevenzione di attacchi virus dannosi, ecc.
2- Classificazione generale delle applicazioni di rete
Oggi esistono innumerevoli applicazioni su Internet, ma le applicazioni web più comuni possono risultare davvero tante.
Per quanto ne so, la migliore azienda nel riconoscimento delle app è Huawei, che dichiara di riconoscerne 4.000. L'analisi dei protocolli è il modulo base di molte aziende produttrici di firewall (Huawei, ZTE, ecc.) ed è anche un modulo molto importante, in quanto supporta la realizzazione di altri moduli funzionali, l'identificazione accurata delle applicazioni e migliora notevolmente le prestazioni e l'affidabilità dei prodotti. Nella modellazione dell'identificazione del malware basata sulle caratteristiche del traffico di rete, come sto facendo ora, un'identificazione accurata ed esaustiva dei protocolli è altrettanto importante. Escludendo il traffico di rete delle applicazioni comuni dal traffico esportato dall'azienda, il traffico rimanente rappresenterà una piccola percentuale, il che è più adatto all'analisi e all'allarme del malware.
In base alla mia esperienza, le applicazioni attualmente più utilizzate si classificano in base alle loro funzioni:
PS: In base alla mia personale interpretazione della classificazione dell'applicazione, se avete suggerimenti validi, siete invitati a lasciare un messaggio con la vostra proposta.
1). E-mail
2). Video
3). Giochi
4). Classe Office OA
5). Aggiornamento del software
6). Finanziario (banca, Alipay)
7). Azioni
8). Comunicazione sociale (software di messaggistica istantanea)
9). Navigazione web (probabilmente meglio identificata con gli URL)
10). Strumenti di download (web disk, download P2P, relativi a BT)
Quindi, come funziona la DPI (Deep Packet Inspection) in un NPB:
1) Cattura dei pacchetti: l'NPB cattura il traffico di rete da varie fonti, come switch, router o punti di intercettazione. Riceve i pacchetti che transitano attraverso la rete.
2) Analisi dei pacchetti: i pacchetti acquisiti vengono analizzati dall'NPB per estrarre i vari livelli del protocollo e i dati associati. Questo processo di analisi aiuta a identificare i diversi componenti all'interno dei pacchetti, come le intestazioni Ethernet, le intestazioni IP, le intestazioni del livello di trasporto (ad esempio, TCP o UDP) e i protocolli del livello applicativo.
3) Analisi del payload: con DPI, NPB va oltre l'ispezione dell'intestazione e si concentra sul payload, compresi i dati effettivi all'interno dei pacchetti. Esamina in profondità il contenuto del payload, indipendentemente dall'applicazione o dal protocollo utilizzato, per estrarre le informazioni rilevanti.
4) Identificazione del protocollo: DPI consente all'NPB di identificare i protocolli e le applicazioni specifici utilizzati nel traffico di rete. Può rilevare e classificare protocolli come HTTP, FTP, SMTP, DNS, VoIP o protocolli di streaming video.
5) Ispezione del contenuto: DPI consente all'NPB di ispezionare il contenuto dei pacchetti alla ricerca di modelli, firme o parole chiave specifici. Ciò permette di rilevare minacce di rete, come malware, virus, tentativi di intrusione o attività sospette. DPI può essere utilizzato anche per il filtraggio dei contenuti, l'applicazione delle policy di rete o l'identificazione di violazioni della conformità dei dati.
6) Estrazione dei metadati: Durante il DPI, l'NPB estrae i metadati rilevanti dai pacchetti. Questi possono includere informazioni come indirizzi IP di origine e di destinazione, numeri di porta, dettagli di sessione, dati di transazione o qualsiasi altro attributo rilevante.
7) Instradamento o filtraggio del traffico: in base all'analisi DPI, l'NPB può instradare pacchetti specifici verso destinazioni designate per l'ulteriore elaborazione, come dispositivi di sicurezza, strumenti di monitoraggio o piattaforme di analisi. Può anche applicare regole di filtraggio per scartare o reindirizzare i pacchetti in base al contenuto o ai modelli identificati.
Data di pubblicazione: 25 giugno 2023
