¬аш вопрос св€зан с хэштэгами # орпоративные сети, #“еори€? —просите в Telegram!

ћерион Ќетворкс

5 минут чтени€

ѕривет, друг! “ы, наверное, слышал аббревиатуру DPI. ј как это расшифровываетс€ и что это вообще такое? Ёто сейчас и узнаем.


„то такое DPI?

Deep Packet Inspection (DPI) - это продвинутый метод проверки и управлени€ сетевым трафиком. DPI представл€ет собой форму фильтрации пакетов, котора€ обнаруживает, идентифицирует, классифицирует, перенаправл€ет или блокирует пакеты с конкретными данными или полезной нагрузкой, которые обычна€ фильтраци€ пакетов (котора€ провер€ет только заголовки пакетов) не может обнаружить.

ќбычно функции глубокой проверки пакетов работают на уровне приложений (Application) модели OSI, в то врем€ как традиционна€ фильтраци€ пакетов только сообщает информацию заголовка каждого пакета. ƒругими словами, традиционна€ фильтраци€ пакетов была похожа на чтение названи€ книги без осознани€ или оценки содержимого внутри.

DPI

 ак работает DPI?

DPI провер€ет содержимое пакетов, проход€щих через заданную точку, и принимает решени€ в режиме реального времени на основе правил, назначенных компанией, провайдером или сетевым администратором, в зависимости от того, что содержит пакет. ƒо недавнего времени фаерволы не обладали вычислительной мощностью, необходимой дл€ более глубоких проверок больших объемов трафика в режиме реального времени.

√лубока€ проверка пакетов может проверить содержимое сообщений и определить конкретное приложение или службу, из которой оно поступает.  роме того, фильтры могут быть запрограммированы дл€ поиска и перенаправлени€ сетевого трафика из определенного диапазона адресов »нтернет-протокола (IP) или определенной онлайн-службы, например, такой как Facebook.


 ак используетс€ DPI?

√лубока€ проверка пакетов также может использоватьс€ в управлении сетью дл€ оптимизации потока сетевого трафика. Ќапример, сообщение, помеченное как высокоприоритетное, может быть направлено к месту назначени€ раньше менее важных или низкоприоритетных сообщений, или пакетов, участвующих в случайном просмотре »нтернета. DPI также может использоватьс€ дл€ регулировани€ передачи данных, чтобы предотвратить злоупотребление p2p, что улучшает производительность сети.

“акже DPI используетс€ дл€ предотвращени€ проникновени€ в вашу корпоративную сеть червей, шпионских программ и вирусов.  роме того, DPI также можно использовать дл€ расширени€ возможностей интернет провайдеров по предотвращению использовани€ IoT-устройств при DDOS-атаках путем блокировани€ вредоносных запросов от устройств. √лубока€ проверка пакетов также может предотвратить некоторые типы атак переполнени€ буфера.

Ќаконец, глубока€ проверка пакетов может помочь вам предотвратить утечку информации, например, при отправке конфиденциального файла по электронной почте. ¬место того, чтобы успешно отправить файл, пользователь вместо этого получит информацию о том, как получить необходимое разрешение и разрешение на его отправку.


“ехники DPI

ƒва основных типа продуктов используют глубокую проверку пакетов: межсетевые экраны, в которых реализованы такие функции IDS (Intrusion Detection System Ц система обнаружени€ вторжений), как проверка содержимого, и системы IDS, которые нацелены на защиту сети, а не только на обнаружение атак. Ќекоторые из основных методов, используемых дл€ глубокой проверки пакетов, включают в себ€:

  • —опоставление шаблонов или сигнатур (Pattern or signature matching) - ќдин из подходов к использованию фаерволов, которые используют функции IDS, анализирует каждый пакет на основе базы данных известных сетевых атак. Ќедостатком этого подхода €вл€етс€ то, что он эффективен только дл€ известных атак, а не дл€ атак, которые еще предстоит обнаружить.
  • јномали€ протокола (Protocol anomaly) - ƒругой подход к использованию фаерволов с функци€ми IDS, аномали€ протокола использует подход Ђзапрет по умолчаниюї, который €вл€етс€ ключевым принципом безопасности. ¬ этой технике используютс€ определени€ протокола (protocol definitions), дл€ того чтобы определить, какой контент должен быть разрешен. ќсновным преимуществом этого подхода €вл€етс€ то, что он обеспечивает защиту от неизвестных атак.
  • –ешени€ IPS - Ќекоторые решени€ IPS (Intrusion Prevention System Ц система предотвращени€ вторжений) используют технологии DPI. Ёти решени€ имеют функции, аналогичные встроенным IDS, хот€ они могут блокировать обнаруженные атаки в режиме реального времени. ќдной из самых больших проблем при использовании этого метода €вл€етс€ риск ложных срабатываний, который может быть см€гчен до некоторой степени, путем создани€ консервативной политики.

—уществуют некоторые ограничени€ дл€ этих и других методов DPI, хот€ поставщики предлагают решени€, направленные на устранение практических и архитектурных проблем различными способами.  роме того, решени€ DPI теперь предлагают р€д других дополнительных технологий, таких как VPN, анализ вредоносных программ, антиспам-фильтраци€, фильтраци€ URL-адресов и другие технологии, обеспечивающие более комплексную защиту сети.


Ќедостатки DPI

Ќи одна технологи€ не €вл€етс€ идеальной, и DPI не €вл€етс€ исключением. ” нее есть несколько слабых сторон:

  • √лубока€ проверка пакетов очень эффективна дл€ предотвращени€ таких атак, как атаки типа Ђотказ в обслуживанииї, атаки с переполнением буфера и даже некоторых форм вредоносных программ. Ќо это также может быть использовано дл€ создани€ подобных атак.
  • √лубока€ проверка пакетов может сделать ваш текущий фаервол и другое программное обеспечение безопасности, которое вы используете, более сложным в управлении. ¬ы должны быть уверены, что вы посто€нно обновл€ете и пересматриваете политики глубокой проверки пакетов, чтобы обеспечить посто€нную эффективность.
  • √лубока€ проверка пакетов может замедлить работу вашей сети, выделив ресурсы дл€ фаервола, чтобы он мог справитьс€ с нагрузкой обработки.

ѕомимо проблем конфиденциальности и внутренних ограничений глубокой проверки пакетов, некоторые проблемы возникли из-за использовани€ сертификатов HTTPS и даже VPN с туннелированием. Ќекоторые фаерволы теперь предлагают проверки HTTPS, которые расшифровывают трафик, защищенный HTTPS, и определ€ют, разрешено ли пропускать контент.

“ем не менее, глубока€ проверка пакетов продолжает оставатьс€ ценной практикой дл€ многих целей, начина€ от управлени€ производительностью и заканчива€ аналитикой сети, экспертизой и безопасностью предпри€ти€.


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: