Inspección profunda de paquetes (ppp)es una tecnología utilizada en Network Packet Brokers (NPB) para inspeccionar y analizar el contenido de los paquetes de red a nivel granular. Implica examinar la carga útil, los encabezados y otra información específica del protocolo dentro de los paquetes para obtener información detallada sobre el tráfico de la red.
DPI va más allá del simple análisis de encabezados y proporciona una comprensión profunda de los datos que fluyen a través de una red. Permite una inspección en profundidad de los protocolos de la capa de aplicación, como HTTP, FTP, SMTP, VoIP o protocolos de transmisión de video. Al examinar el contenido real de los paquetes, DPI puede detectar e identificar aplicaciones, protocolos o incluso patrones de datos específicos.
Además del análisis jerárquico de direcciones de origen, direcciones de destino, puertos de origen, puertos de destino y tipos de protocolo, DPI también agrega análisis de la capa de aplicación para identificar varias aplicaciones y sus contenidos. Cuando los datos del paquete 1P, TCP o UDP fluyen a través del sistema de administración de ancho de banda basado en la tecnología DPI, el sistema lee el contenido de la carga del paquete 1P para reorganizar la información de la capa de aplicación en el protocolo OSI Capa 7, a fin de obtener el contenido de todo el programa de aplicación y luego dar forma al tráfico de acuerdo con la política de gestión definida por el sistema.
¿Cómo funciona el DPI?
Los cortafuegos tradicionales a menudo carecen de la capacidad de procesamiento para realizar comprobaciones exhaustivas en tiempo real de grandes volúmenes de tráfico. A medida que avanza la tecnología, DPI se puede utilizar para realizar comprobaciones más complejas para verificar encabezados y datos. Normalmente, los firewalls con sistemas de detección de intrusos suelen utilizar DPI. En un mundo donde la información digital es primordial, cada pieza de información digital se entrega a través de Internet en pequeños paquetes. Esto incluye correo electrónico, mensajes enviados a través de la aplicación, sitios web visitados, conversaciones de vídeo y más. Además de los datos reales, estos paquetes incluyen metadatos que identifican la fuente del tráfico, el contenido, el destino y otra información importante. Con la tecnología de filtrado de paquetes, los datos se pueden monitorear y administrar continuamente para garantizar que se envíen al lugar correcto. Pero para garantizar la seguridad de la red, el filtrado de paquetes tradicional está lejos de ser suficiente. Algunos de los principales métodos de inspección profunda de paquetes en la gestión de redes se enumeran a continuación:
Modo/Firma de coincidencia
Un firewall con capacidades de sistema de detección de intrusiones (IDS) verifica que cada paquete coincida con una base de datos de ataques de red conocidos. IDS busca patrones maliciosos específicos conocidos y desactiva el tráfico cuando se encuentran patrones maliciosos. La desventaja de la política de coincidencia de firmas es que solo se aplica a firmas que se actualizan con frecuencia. Además, esta tecnología sólo puede defender contra amenazas o ataques conocidos.
Excepción de protocolo
Dado que la técnica de excepción de protocolo no permite simplemente todos los datos que no coincidan con la base de datos de firmas, la técnica de excepción de protocolo utilizada por el firewall IDS no tiene los defectos inherentes del método de coincidencia de patrón/firma. En cambio, adopta la política de rechazo por defecto. Por definición de protocolo, los firewalls deciden qué tráfico se debe permitir y protegen la red de amenazas desconocidas.
Sistema de prevención de intrusiones (IPS)
Las soluciones IPS pueden bloquear la transmisión de paquetes dañinos en función de su contenido, deteniendo así los ataques sospechosos en tiempo real. Esto significa que si un paquete representa un riesgo de seguridad conocido, IPS bloqueará proactivamente el tráfico de la red según un conjunto definido de reglas. Una desventaja de IPS es la necesidad de actualizar periódicamente una base de datos de amenazas cibernéticas con detalles sobre nuevas amenazas y la posibilidad de falsos positivos. Pero este peligro se puede mitigar creando políticas conservadoras y umbrales personalizados, estableciendo un comportamiento básico adecuado para los componentes de la red y evaluando periódicamente las advertencias y los eventos informados para mejorar el monitoreo y las alertas.
1- El DPI (Inspección profunda de paquetes) en Network Packet Broker
La "inspección profunda" es la comparación de análisis de nivel y de paquetes ordinarios, la "inspección de paquetes ordinarios" solo realiza el siguiente análisis del paquete IP de 4 capas, incluida la dirección de origen, la dirección de destino, el puerto de origen, el puerto de destino y el tipo de protocolo, y DPI, excepto con el nivel jerárquico. Análisis, también aumentó el análisis de la capa de aplicación, identifique las diversas aplicaciones y contenidos, para realizar las funciones principales:
1) Análisis de aplicaciones: análisis de composición del tráfico de red, análisis de rendimiento y análisis de flujo.
2) Análisis de usuarios: diferenciación de grupos de usuarios, análisis de comportamiento, análisis de terminales, análisis de tendencias, etc.
3) Análisis de elementos de red: análisis basado en atributos regionales (ciudad, distrito, calle, etc.) y carga de la estación base.
4) Control de tráfico: limitación de velocidad P2P, garantía de QoS, garantía de ancho de banda, optimización de recursos de red, etc.
5) Garantía de seguridad: ataques DDoS, tormentas de transmisión de datos, prevención de ataques de virus maliciosos, etc.
2- Clasificación General de Aplicaciones de Red
Hoy en día existen infinidad de aplicaciones en Internet, pero las aplicaciones web comunes pueden ser exhaustivas.
Hasta donde yo sé, la mejor empresa de reconocimiento de aplicaciones es Huawei, que afirma reconocer 4.000 aplicaciones. El análisis de protocolo es el módulo básico de muchas empresas de firewall (Huawei, ZTE, etc.), y también es un módulo muy importante que respalda la realización de otros módulos funcionales, la identificación precisa de aplicaciones y mejora en gran medida el rendimiento y la confiabilidad de los productos. Al modelar la identificación de malware basándose en las características del tráfico de la red, como lo estoy haciendo ahora, también es muy importante una identificación precisa y exhaustiva del protocolo. Excluyendo el tráfico de red de aplicaciones comunes del tráfico de exportación de la empresa, el tráfico restante representará una pequeña proporción, lo que es mejor para el análisis y las alarmas de malware.
Según mi experiencia, las aplicaciones existentes de uso común se clasifican según sus funciones:
PD: Según su comprensión personal de la clasificación de la aplicación, si tiene alguna buena sugerencia, le invitamos a dejar una propuesta de mensaje.
1). Correo electrónico
2). Video
3). Juegos
4). Clase de Office OA
5). Actualización de software
6). Financiero (banco, Alipay)
7). Cepo
8). Comunicación social (software de mensajería instantánea)
9). Navegación web (probablemente mejor identificada con URL)
10). Herramientas de descarga (disco web, descarga P2P, relacionadas con BT)
Entonces, cómo funciona DPI (Inspección profunda de paquetes) en un NPB:
1). Captura de paquetes: el NPB captura el tráfico de red de diversas fuentes, como conmutadores, enrutadores o grifos. Recibe paquetes que fluyen a través de la red.
2). Análisis de paquetes: el NPB analiza los paquetes capturados para extraer varias capas de protocolo y datos asociados. Este proceso de análisis ayuda a identificar los diferentes componentes dentro de los paquetes, como encabezados Ethernet, encabezados IP, encabezados de la capa de transporte (por ejemplo, TCP o UDP) y protocolos de la capa de aplicación.
3). Análisis de carga útil: con DPI, el NPB va más allá de la inspección del encabezado y se centra en la carga útil, incluidos los datos reales dentro de los paquetes. Examina en profundidad el contenido de la carga útil, independientemente de la aplicación o protocolo utilizado, para extraer información relevante.
4). Identificación de protocolo: DPI permite al NPB identificar los protocolos y aplicaciones específicos que se utilizan dentro del tráfico de la red. Puede detectar y clasificar protocolos como HTTP, FTP, SMTP, DNS, VoIP o protocolos de transmisión de video.
5). Inspección de contenido: DPI permite al NPB inspeccionar el contenido de los paquetes en busca de patrones, firmas o palabras clave específicos. Esto permite la detección de amenazas a la red, como malware, virus, intentos de intrusión o actividades sospechosas. DPI también se puede utilizar para filtrar contenido, hacer cumplir políticas de red o identificar violaciones de cumplimiento de datos.
6). Extracción de metadatos: durante DPI, el NPB extrae metadatos relevantes de los paquetes. Esto puede incluir información como direcciones IP de origen y destino, números de puerto, detalles de sesión, datos de transacciones o cualquier otro atributo relevante.
7). Enrutamiento o filtrado de tráfico: según el análisis de DPI, el NPB puede enrutar paquetes específicos a destinos designados para su posterior procesamiento, como dispositivos de seguridad, herramientas de monitoreo o plataformas de análisis. También puede aplicar reglas de filtrado para descartar o redirigir paquetes según el contenido o los patrones identificados.
Hora de publicación: 25 de junio de 2023