Identificación de aplicaciones de intermediario de paquetes de red basada en DPI: inspección profunda de paquetes

Inspección profunda de paquetes (DPI)Es una tecnología utilizada en los intermediarios de paquetes de red (NPB) para inspeccionar y analizar el contenido de los paquetes de red a nivel granular. Implica examinar la carga útil, los encabezados y otra información específica del protocolo dentro de los paquetes para obtener información detallada del tráfico de red.

La DPI va más allá del simple análisis de encabezados y proporciona una comprensión profunda de los datos que fluyen por una red. Permite una inspección exhaustiva de los protocolos de la capa de aplicación, como HTTP, FTP, SMTP, VoIP o los protocolos de transmisión de vídeo. Al examinar el contenido real de los paquetes, la DPI puede detectar e identificar aplicaciones, protocolos o incluso patrones de datos específicos.

Además del análisis jerárquico de direcciones de origen, direcciones de destino, puertos de origen, puertos de destino y tipos de protocolo, DPI también incorpora el análisis de la capa de aplicación para identificar diversas aplicaciones y su contenido. Cuando los paquetes 1P, datos TCP o UDP, fluyen a través del sistema de gestión de ancho de banda basado en tecnología DPI, el sistema lee el contenido de la carga de paquetes 1P para reorganizar la información de la capa de aplicación en el protocolo OSI Capa 7, obteniendo así el contenido de todo el programa de aplicación y, posteriormente, configurando el tráfico según la política de gestión definida por el sistema.

¿Cómo funciona el DPI?

Los firewalls tradicionales suelen carecer de la capacidad de procesamiento necesaria para realizar comprobaciones exhaustivas en tiempo real de grandes volúmenes de tráfico. A medida que la tecnología avanza, la DPI puede utilizarse para realizar comprobaciones más complejas de encabezados y datos. Normalmente, los firewalls con sistemas de detección de intrusiones suelen utilizar DPI. En un mundo donde la información digital es primordial, toda la información digital se distribuye por Internet en pequeños paquetes. Esto incluye correos electrónicos, mensajes enviados a través de aplicaciones, sitios web visitados, conversaciones de vídeo y más. Además de los datos, estos paquetes incluyen metadatos que identifican el origen, el contenido, el destino y otra información importante del tráfico. Con la tecnología de filtrado de paquetes, los datos pueden supervisarse y gestionarse continuamente para garantizar su reenvío al destino correcto. Sin embargo, para garantizar la seguridad de la red, el filtrado de paquetes tradicional no es suficiente. A continuación, se enumeran algunos de los principales métodos de inspección profunda de paquetes en la gestión de redes:

Modo de coincidencia/Firma

Un firewall con sistema de detección de intrusos (IDS) verifica cada paquete para comprobar su coincidencia con una base de datos de ataques de red conocidos. El IDS busca patrones maliciosos específicos conocidos y deshabilita el tráfico cuando los encuentra. La desventaja de la política de coincidencia de firmas es que solo se aplica a firmas que se actualizan con frecuencia. Además, esta tecnología solo ofrece protección contra amenazas o ataques conocidos.

DPI

Excepción del protocolo

Dado que la técnica de excepción de protocolo no permite simplemente todos los datos que no coinciden con la base de datos de firmas, la técnica de excepción de protocolo utilizada por el firewall IDS no presenta las deficiencias inherentes del método de coincidencia de patrones/firmas. En su lugar, adopta la política de rechazo predeterminada. Por definición de protocolo, los firewalls deciden qué tráfico debe permitirse y protegen la red de amenazas desconocidas.

Sistema de prevención de intrusiones (IPS)

Las soluciones IPS pueden bloquear la transmisión de paquetes dañinos según su contenido, deteniendo así los ataques sospechosos en tiempo real. Esto significa que, si un paquete representa un riesgo de seguridad conocido, IPS bloqueará proactivamente el tráfico de red según un conjunto definido de reglas. Una desventaja de IPS es la necesidad de actualizar periódicamente una base de datos de ciberamenazas con detalles sobre nuevas amenazas y la posibilidad de falsos positivos. Sin embargo, este peligro se puede mitigar mediante la creación de políticas conservadoras y umbrales personalizados, el establecimiento de un comportamiento de referencia adecuado para los componentes de la red y la evaluación periódica de las advertencias y los eventos notificados para optimizar la monitorización y las alertas.

1- La DPI (Inspección Profunda de Paquetes) en Network Packet Broker

El análisis "profundo" es el análisis comparativo de paquetes de nivel ordinario y el análisis "ordinario" de paquetes. La "inspección ordinaria de paquetes" solo analiza las cuatro capas del paquete IP, incluyendo la dirección de origen, la dirección de destino, el puerto de origen, el puerto de destino y el tipo de protocolo, y el DPI, además del análisis jerárquico, también aumenta el análisis de la capa de aplicación, identifica las diversas aplicaciones y el contenido para realizar las funciones principales:

1) Análisis de aplicaciones: análisis de la composición del tráfico de red, análisis del rendimiento y análisis del flujo.

2) Análisis de usuarios: diferenciación de grupos de usuarios, análisis de comportamiento, análisis de terminales, análisis de tendencias, etc.

3) Análisis de elementos de red: análisis basado en atributos regionales (ciudad, distrito, calle, etc.) y carga de la estación base

4) Control de tráfico: limitación de velocidad P2P, garantía de calidad de servicio, garantía de ancho de banda, optimización de recursos de red, etc.

5) Garantía de seguridad: ataques DDoS, tormentas de transmisión de datos, prevención de ataques de virus maliciosos, etc.

2- Clasificación general de aplicaciones de red

Hoy en día existen innumerables aplicaciones en Internet, pero las aplicaciones web comunes pueden ser exhaustivas.

Hasta donde sé, la mejor empresa de reconocimiento de aplicaciones es Huawei, que afirma reconocer 4000 aplicaciones. El análisis de protocolos es el módulo básico de muchas empresas de firewalls (Huawei, ZTE, etc.) y también es un módulo muy importante, que facilita la implementación de otros módulos funcionales, la identificación precisa de aplicaciones y mejora considerablemente el rendimiento y la fiabilidad de los productos. Al modelar la identificación de malware según las características del tráfico de red, como estoy haciendo ahora, una identificación de protocolos precisa y exhaustiva también es fundamental. Si se excluye el tráfico de red de las aplicaciones comunes del tráfico de exportación de la empresa, el tráfico restante representará una pequeña proporción, lo que resulta más beneficioso para el análisis y la gestión de alarmas de malware.

Según mi experiencia, las aplicaciones existentes más utilizadas se clasifican según sus funciones:

PD: De acuerdo con la comprensión personal de la clasificación de la aplicación, si tiene alguna buena sugerencia, le invitamos a dejar una propuesta de mensaje.

1) Correo electrónico

2) Vídeo

3) Juegos

4) Clase de OA de oficina

5) Actualización de software

6) Financiero (banco, Alipay)

7) Acciones

8) Comunicación social (software de mensajería instantánea)

9) Navegación web (probablemente se identifique mejor con URL)

10) Herramientas de descarga (disco web, descarga P2P, relacionadas con Bluetooth)

20191210153150_32811

Entonces, cómo funciona DPI (Inspección profunda de paquetes) en un NPB:

1) Captura de paquetes: El NPB captura el tráfico de red de diversas fuentes, como conmutadores, enrutadores o taps. Recibe los paquetes que fluyen por la red.

2) Análisis de paquetes: El NPB analiza los paquetes capturados para extraer diversas capas de protocolo y los datos asociados. Este proceso de análisis ayuda a identificar los diferentes componentes de los paquetes, como los encabezados Ethernet, los encabezados IP, los encabezados de la capa de transporte (p. ej., TCP o UDP) y los protocolos de la capa de aplicación.

3) Análisis de la Carga Útil: Con DPI, el NPB va más allá de la inspección del encabezado y se centra en la carga útil, incluyendo los datos reales dentro de los paquetes. Examina el contenido de la carga útil a fondo, independientemente de la aplicación o el protocolo utilizado, para extraer información relevante.

4) Identificación de Protocolo: DPI permite al NPB identificar los protocolos y aplicaciones específicos que se utilizan en el tráfico de red. Puede detectar y clasificar protocolos como HTTP, FTP, SMTP, DNS, VoIP o de streaming de vídeo.

5) Inspección de contenido: La DPI permite al NPB inspeccionar el contenido de los paquetes en busca de patrones, firmas o palabras clave específicas. Esto permite detectar amenazas de red, como malware, virus, intentos de intrusión o actividades sospechosas. La DPI también puede utilizarse para filtrar contenido, aplicar políticas de red o identificar infracciones de cumplimiento normativo de datos.

6) Extracción de metadatos: Durante la DPI, el NPB extrae metadatos relevantes de los paquetes. Estos pueden incluir información como direcciones IP de origen y destino, números de puerto, detalles de la sesión, datos de transacciones o cualquier otro atributo relevante.

7) Enrutamiento o filtrado de tráfico: Con base en el análisis de DPI, el NPB puede enrutar paquetes específicos a destinos designados para su posterior procesamiento, como dispositivos de seguridad, herramientas de monitoreo o plataformas de análisis. También puede aplicar reglas de filtrado para descartar o redirigir paquetes según el contenido o los patrones identificados.

ML-NPB-5660 3d


Hora de publicación: 25 de junio de 2023