Identificación da aplicación Network Packet Broker baseada en DPI - Inspección profunda de paquetes

Inspección profunda de paquetes (DPI)é unha tecnoloxía utilizada nos Network Packet Brokers (NPB) para inspeccionar e analizar o contido dos paquetes de rede a un nivel granular. Implica examinar a carga útil, as cabeceiras e outra información específica do protocolo dentro dos paquetes para obter información detallada sobre o tráfico da rede.

DPI vai máis aló da simple análise de cabeceira e proporciona unha comprensión profunda dos datos que flúen a través dunha rede. Permite a inspección en profundidade dos protocolos da capa de aplicación, como HTTP, FTP, SMTP, VoIP ou protocolos de transmisión de vídeo. Ao examinar o contido real dos paquetes, DPI pode detectar e identificar aplicacións específicas, protocolos ou mesmo patróns de datos específicos.

Ademais da análise xerárquica de enderezos de orixe, enderezos de destino, portos de orixe, portos de destino e tipos de protocolo, DPI tamén engade análise da capa de aplicación para identificar varias aplicacións e os seus contidos. Cando os datos do paquete 1P, TCP ou UDP flúen polo sistema de xestión de ancho de banda baseado na tecnoloxía DPI, o sistema le o contido da carga do paquete 1P para reorganizar a información da capa de aplicación no protocolo OSI Layer 7, para obter o contido de todo o programa da aplicación, e despois configurando o tráfico segundo a política de xestión definida polo sistema.

Como funciona DPI?

Os firewalls tradicionais adoitan carecer da potencia de procesamento para realizar comprobacións exhaustivas en tempo real de grandes volumes de tráfico. A medida que avanza a tecnoloxía, DPI pódese usar para realizar comprobacións máis complexas para comprobar as cabeceiras e os datos. Normalmente, os firewalls con sistemas de detección de intrusos adoitan usar DPI. Nun mundo onde a información dixital é Paramount, cada peza de información dixital entrégase a través de Internet en pequenos paquetes. Isto inclúe correo electrónico, mensaxes enviadas a través da aplicación, sitios web visitados, conversacións de vídeo e moito máis. Ademais dos datos reais, estes paquetes inclúen metadatos que identifican a fonte do tráfico, o contido, o destino e outra información importante. Coa tecnoloxía de filtrado de paquetes, os datos pódense supervisar e xestionar continuamente para garantir que se reenvíen ao lugar correcto. Pero para garantir a seguridade da rede, o filtrado de paquetes tradicional está lonxe de ser suficiente. Algúns dos principais métodos de inspección profunda de paquetes na xestión de redes enuméranse a continuación:

Modo de coincidencia/Sinatura

Un cortalumes con capacidade de sistema de detección de intrusións (IDS) comproba que cada paquete coincide cunha base de datos de ataques de rede coñecidos. IDS busca patróns específicos maliciosos coñecidos e desactiva o tráfico cando se atopan patróns maliciosos. A desvantaxe da política de coincidencia de sinaturas é que só se aplica ás sinaturas que se actualizan con frecuencia. Ademais, esta tecnoloxía só pode defenderse contra ameazas ou ataques coñecidos.

DPI

Excepción de protocolo

Dado que a técnica de excepción de protocolo non permite simplemente todos os datos que non coinciden coa base de datos de sinaturas, a técnica de excepción de protocolo utilizada polo firewall IDS non ten os fallos inherentes ao método de coincidencia de patróns/sinaturas. Pola contra, adopta a política de rexeitamento predeterminada. Segundo a definición do protocolo, os firewalls deciden que tráfico se debe permitir e protexen a rede de ameazas descoñecidas.

Sistema de prevención de intrusións (IPS)

As solucións IPS poden bloquear a transmisión de paquetes prexudiciais en función do seu contido, detendo así os ataques sospeitosos en tempo real. Isto significa que se un paquete representa un risco de seguridade coñecido, IPS bloqueará de forma proactiva o tráfico de rede en función dun conxunto de regras definidos. Unha desvantaxe de IPS é a necesidade de actualizar regularmente unha base de datos de ameazas cibernéticas con detalles sobre novas ameazas e a posibilidade de falsos positivos. Pero este perigo pódese mitigar creando políticas conservadoras e limiares personalizados, establecendo un comportamento de referencia axeitado para os compoñentes da rede e avaliando periodicamente as advertencias e os eventos informados para mellorar o seguimento e as alertas.

1- O DPI (Deep Packet Inspection) en Network Packet Broker

O "profundo" é a comparación de análise de paquetes de nivel e normal, "inspección de paquetes ordinaria" só a seguinte análise da capa de paquete IP 4, incluíndo o enderezo de orixe, o enderezo de destino, o porto de orixe, o porto de destino e o tipo de protocolo e DPI, excepto co xerárquico. análise, tamén aumentou a análise da capa de aplicación, identifica as distintas aplicacións e contidos, para realizar as principais funcións:

1) Análise da aplicación: análise da composición do tráfico da rede, análise do rendemento e análise do fluxo

2) Análise de usuarios: diferenciación de grupos de usuarios, análise de comportamento, análise de terminais, análise de tendencias, etc.

3) Análise de elementos de rede: análise baseada nos atributos rexionais (cidade, distrito, rúa, etc.) e a carga da estación base

4) Control de tráfico: limitación de velocidade P2P, garantía de QoS, garantía de ancho de banda, optimización de recursos de rede, etc.

5) Garantía de seguridade: ataques DDoS, tormenta de transmisión de datos, prevención de ataques de virus maliciosos, etc.

2- Clasificación Xeral de Aplicacións de Rede

Hoxe hai infinidade de aplicacións en Internet, pero as aplicacións web comúns poden ser exhaustivas.

Polo que sei, a mellor empresa de recoñecemento de aplicacións é Huawei, que afirma recoñecer 4.000 aplicacións. A análise de protocolos é o módulo básico de moitas empresas de firewall (Huawei, ZTE, etc.), e tamén é un módulo moi importante, que admite a realización doutros módulos funcionais, unha identificación precisa de aplicacións e mellora moito o rendemento e a fiabilidade dos produtos. Ao modelar a identificación de malware en función das características do tráfico da rede, como estou a facer agora, tamén é moi importante a identificación de protocolos precisa e extensa. Excluíndo o tráfico de rede das aplicacións comúns do tráfico de exportación da empresa, o tráfico restante representará unha pequena proporción, o que é mellor para a análise e alarma de malware.

Segundo a miña experiencia, as aplicacións de uso habitual clasifícanse segundo as súas funcións:

PS: Segundo a comprensión persoal da clasificación da aplicación, tes algunha boa suxestión benvida para deixar unha proposta de mensaxe

1). Correo electrónico

2). Vídeo

3). Xogos

4). Clase de Office OA

5). Actualización de software

6). Financeiro (banco, Alipay)

7). Stocks

8). Comunicación Social (software IM)

9). Navegación web (probablemente mellor identificada con URL)

10). Ferramentas de descarga (disco web, descarga P2P, relacionadas con BT)

20191210153150_32811

Entón, como funciona DPI (Inspección profunda de paquetes) nun NPB:

1). Captura de paquetes: o NPB captura o tráfico de rede de varias fontes, como conmutadores, enrutadores ou toques. Recibe paquetes que flúen pola rede.

2). Análise de paquetes: os paquetes capturados son analizados polo NPB para extraer varias capas de protocolo e datos asociados. Este proceso de análise axuda a identificar os diferentes compoñentes dos paquetes, como cabeceiras Ethernet, cabeceiras IP, cabeceiras da capa de transporte (por exemplo, TCP ou UDP) e protocolos da capa de aplicación.

3). Análise de carga útil: con DPI, o NPB vai máis aló da inspección de cabeceira e céntrase na carga útil, incluíndo os datos reais dentro dos paquetes. Examina o contido da carga útil en profundidade, independentemente da aplicación ou protocolo utilizado, para extraer información relevante.

4). Identificación do protocolo: DPI permite que o NPB identifique os protocolos e aplicacións específicos que se están a utilizar no tráfico de rede. Pode detectar e clasificar protocolos como HTTP, FTP, SMTP, DNS, VoIP ou protocolos de transmisión de vídeo.

5). Inspección de contido: DPI permite que o NPB inspeccione o contido dos paquetes para buscar patróns, sinaturas ou palabras clave específicos. Isto permite detectar ameazas de rede, como malware, virus, intentos de intrusión ou actividades sospeitosas. DPI tamén se pode usar para filtrar contido, facer cumprir políticas de rede ou identificar infraccións de conformidade cos datos.

6). Extracción de metadatos: durante o DPI, o NPB extrae metadatos relevantes dos paquetes. Isto pode incluír información como enderezos IP de orixe e destino, números de porto, detalles da sesión, datos de transaccións ou calquera outro atributo relevante.

7). Enrutamento ou filtrado de tráfico: baseándose na análise de DPI, o NPB pode dirixir paquetes específicos a destinos designados para o seu procesamento posterior, como dispositivos de seguridade, ferramentas de vixilancia ou plataformas de análise. Tamén pode aplicar regras de filtrado para descartar ou redirixir paquetes en función do contido ou patróns identificados.

ML-NPB-5660 3d


Hora de publicación: 25-Xun-2023