Inspección profunda de paquetes (DPI)Es una tecnología utilizada en los agentes de paquetes de red (NPB) para inspeccionar y analizar el contenido de los paquetes de red a un nivel granular. Consiste en examinar la carga útil, los encabezados y otra información específica del protocolo dentro de los paquetes para obtener información detallada sobre el tráfico de red.
La inspección profunda de paquetes (DPI) va más allá del simple análisis de encabezados y proporciona una comprensión profunda de los datos que fluyen a través de una red. Permite una inspección exhaustiva de los protocolos de la capa de aplicación, como HTTP, FTP, SMTP, VoIP o protocolos de transmisión de video. Al examinar el contenido real de los paquetes, la DPI puede detectar e identificar aplicaciones, protocolos o incluso patrones de datos específicos.
Además del análisis jerárquico de direcciones de origen, direcciones de destino, puertos de origen, puertos de destino y tipos de protocolo, DPI también agrega un análisis de la capa de aplicación para identificar diversas aplicaciones y su contenido. Cuando el paquete 1P, TCP o UDP fluye a través del sistema de administración de ancho de banda basado en la tecnología DPI, el sistema lee el contenido de la carga del paquete 1P para reorganizar la información de la capa de aplicación en el protocolo OSI Capa 7, de modo que se obtenga el contenido de todo el programa de aplicación y, luego, se modela el tráfico de acuerdo con la política de administración definida por el sistema.
¿Cómo funciona DPI?
Los firewalls tradicionales suelen carecer de la capacidad de procesamiento necesaria para realizar comprobaciones exhaustivas en tiempo real sobre grandes volúmenes de tráfico. Con el avance de la tecnología, la inspección profunda de paquetes (DPI) permite realizar comprobaciones más complejas de encabezados y datos. Generalmente, los firewalls con sistemas de detección de intrusiones utilizan DPI. En un mundo donde la información digital es primordial, cada fragmento de información digital se transmite a través de Internet en pequeños paquetes. Esto incluye correos electrónicos, mensajes enviados a través de aplicaciones, sitios web visitados, videoconferencias y más. Además de los datos propiamente dichos, estos paquetes incluyen metadatos que identifican el origen del tráfico, el contenido, el destino y otra información importante. Con la tecnología de filtrado de paquetes, los datos se pueden supervisar y gestionar continuamente para garantizar que se envíen al destino correcto. Sin embargo, para garantizar la seguridad de la red, el filtrado de paquetes tradicional dista mucho de ser suficiente. A continuación, se enumeran algunos de los principales métodos de inspección profunda de paquetes en la gestión de redes:
Modo de coincidencia/Firma
Cada paquete se compara con una base de datos de ataques de red conocidos mediante un cortafuegos con capacidad de detección de intrusiones (IDS). El IDS busca patrones maliciosos específicos conocidos y bloquea el tráfico cuando los encuentra. La desventaja de la política de coincidencia de firmas es que solo se aplica a firmas que se actualizan con frecuencia. Además, esta tecnología solo puede proteger contra amenazas o ataques conocidos.
Excepción de protocolo
Dado que la técnica de excepción de protocolo no permite simplemente todos los datos que no coinciden con la base de datos de firmas, la técnica de excepción de protocolo utilizada por el firewall IDS no presenta las deficiencias inherentes al método de coincidencia de patrones/firmas. En cambio, adopta la política de rechazo predeterminada. Por definición de protocolo, los firewalls deciden qué tráfico debe permitirse y protegen la red de amenazas desconocidas.
Sistema de prevención de intrusiones (IPS)
Las soluciones IPS pueden bloquear la transmisión de paquetes dañinos según su contenido, deteniendo así los ataques sospechosos en tiempo real. Esto significa que, si un paquete representa un riesgo de seguridad conocido, IPS bloqueará proactivamente el tráfico de red según un conjunto de reglas predefinidas. Una desventaja de IPS es la necesidad de actualizar periódicamente una base de datos de amenazas cibernéticas con información sobre nuevas amenazas y la posibilidad de falsos positivos. Sin embargo, este riesgo puede mitigarse mediante la creación de políticas conservadoras y umbrales personalizados, el establecimiento de un comportamiento de referencia adecuado para los componentes de la red y la evaluación periódica de las advertencias y los eventos reportados para mejorar la monitorización y las alertas.
1- La DPI (Inspección Profunda de Paquetes) en Network Packet Broker
El análisis "profundo" es una comparación de nivel y análisis de paquetes ordinarios, mientras que la "inspección de paquetes ordinaria" solo realiza el siguiente análisis de la capa 4 del paquete IP, que incluye la dirección de origen, la dirección de destino, el puerto de origen, el puerto de destino y el tipo de protocolo. Además del análisis jerárquico, la DPI también aumenta el análisis de la capa de aplicación, identifica las diversas aplicaciones y el contenido, para realizar las funciones principales:
1) Análisis de la aplicación: análisis de la composición del tráfico de red, análisis del rendimiento y análisis del flujo.
2) Análisis de usuarios: diferenciación de grupos de usuarios, análisis de comportamiento, análisis de terminales, análisis de tendencias, etc.
3) Análisis de elementos de red: análisis basado en atributos regionales (ciudad, distrito, calle, etc.) y carga de la estación base.
4) Control de tráfico: limitación de velocidad P2P, garantía de QoS, garantía de ancho de banda, optimización de recursos de red, etc.
5) Garantía de seguridad: ataques DDoS, tormenta de difusión de datos, prevención de ataques de virus maliciosos, etc.
2- Clasificación general de las aplicaciones de red
Hoy en día existen innumerables aplicaciones en Internet, pero las aplicaciones web más comunes pueden resultar agotadoras.
Hasta donde sé, la mejor empresa de reconocimiento de aplicaciones es Huawei, que afirma reconocer 4000 aplicaciones. El análisis de protocolos es el módulo básico de muchas empresas de firewalls (Huawei, ZTE, etc.), y también es un módulo muy importante, ya que respalda la implementación de otros módulos funcionales, la identificación precisa de aplicaciones y mejora considerablemente el rendimiento y la fiabilidad de los productos. En el modelado de identificación de malware basado en las características del tráfico de red, como estoy haciendo ahora, la identificación precisa y exhaustiva de protocolos también es muy importante. Excluyendo el tráfico de red de las aplicaciones comunes del tráfico de exportación de la empresa, el tráfico restante representará una pequeña proporción, lo cual es mejor para el análisis y la alerta de malware.
Según mi experiencia, las aplicaciones de uso común existentes se clasifican según sus funciones:
PD: Según mi interpretación personal de la clasificación de la aplicación, si tiene alguna buena sugerencia, no dude en dejar un mensaje con su propuesta.
1). Correo electrónico
2). Vídeo
3). Juegos
4). Clase de oficina OA
5). Actualización de software
6). Financiero (banco, Alipay)
7). Acciones
8). Comunicación social (software de mensajería instantánea)
9). Navegación web (probablemente mejor identificada con las URL).
10). Herramientas de descarga (disco web, descarga P2P, relacionadas con BT)
A continuación, se explica cómo funciona la DPI (Inspección Profunda de Paquetes) en un NPB:
1). Captura de paquetes: El NPB captura el tráfico de red de varias fuentes, como conmutadores, enrutadores o derivadores. Recibe los paquetes que fluyen a través de la red.
2) Análisis de paquetes: El NPB analiza los paquetes capturados para extraer las distintas capas de protocolo y los datos asociados. Este proceso de análisis ayuda a identificar los diferentes componentes dentro de los paquetes, como las cabeceras Ethernet, las cabeceras IP, las cabeceras de la capa de transporte (por ejemplo, TCP o UDP) y los protocolos de la capa de aplicación.
3) Análisis de la carga útil: Con DPI, el NPB va más allá de la inspección de encabezados y se centra en la carga útil, incluyendo los datos reales dentro de los paquetes. Examina el contenido de la carga útil en profundidad, independientemente de la aplicación o el protocolo utilizado, para extraer información relevante.
4). Identificación de protocolos: DPI permite al NPB identificar los protocolos y aplicaciones específicos que se utilizan en el tráfico de red. Puede detectar y clasificar protocolos como HTTP, FTP, SMTP, DNS, VoIP o protocolos de transmisión de video.
5) Inspección de contenido: La DPI permite al NPB inspeccionar el contenido de los paquetes en busca de patrones, firmas o palabras clave específicas. Esto posibilita la detección de amenazas a la red, como malware, virus, intentos de intrusión o actividades sospechosas. La DPI también se puede utilizar para filtrar contenido, aplicar políticas de red o identificar infracciones de cumplimiento de datos.
6). Extracción de metadatos: Durante la inspección profunda de paquetes (DPI), el procesador de paquetes de red (NPB) extrae los metadatos relevantes de los paquetes. Esto puede incluir información como direcciones IP de origen y destino, números de puerto, detalles de la sesión, datos de transacción o cualquier otro atributo relevante.
7) Enrutamiento o filtrado de tráfico: Basándose en el análisis DPI, el NPB puede enrutar paquetes específicos a destinos designados para su posterior procesamiento, como dispositivos de seguridad, herramientas de monitorización o plataformas de análisis. También puede aplicar reglas de filtrado para descartar o redirigir paquetes según el contenido o los patrones identificados.
Fecha de publicación: 25 de junio de 2023
