Network Packet Broker aplikazioaren identifikazioa DPIn oinarrituta - Deep Packet Inspection

Paketeen ikuskapen sakona (DPI)Network Packet Brokers (NPB) sareko paketeen edukia maila xehean ikuskatu eta aztertzeko erabiltzen den teknologia da. Paketeen karga, goiburuak eta protokolo espezifikoko beste informazio batzuk aztertzea dakar sareko trafikoari buruzko informazio zehatza lortzeko.

DPI goiburuko analisi soiletik haratago doa eta sare batean igarotzen diren datuen ulermen sakona eskaintzen du. Aplikazio-geruzen protokoloak sakon ikuskatzeko aukera ematen du, hala nola HTTP, FTP, SMTP, VoIP edo bideo-streaming protokoloak. Paketeen benetako edukia aztertuz, DPIk aplikazio, protokolo edo datu-eredu zehatz zehatzak detektatu eta identifikatu ditzake.

Iturburu-helbideen, helmuga-helbideen, sorburu-atalen, helmuga-portuen eta protokolo-moten analisi hierarkikoaz gain, DPIk aplikazio-geruzaren azterketa ere gehitzen du hainbat aplikazio eta haien edukia identifikatzeko. 1P paketea, TCP edo UDP datuak DPI teknologian oinarritutako banda zabalera kudeatzeko sistematik igarotzen direnean, sistemak 1P paketeen kargaren edukia irakurtzen du OSI Layer 7 protokoloan aplikazio-geruzen informazioa berrantolatzeko, edukia lortzeko. aplikazio-programa osoa, eta ondoren sistemak zehaztutako kudeaketa-politikaren arabera trafikoa moldatzea.

Nola funtzionatzen du DPIk?

Suebaki tradizionalek askotan ez dute prozesatzeko ahalmenik denbora errealean egiaztapen sakonak egiteko trafiko-bolumen handietan. Teknologiak aurrera egin ahala, DPI goiburuak eta datuak egiaztatzeko egiaztapen konplexuagoak egiteko erabil daiteke. Normalean, intrusioak detektatzeko sistemak dituzten suebakiek DPI erabiltzen dute maiz. Informazio digitala Paramount den munduan, informazio digital bakoitza pakete txikietan ematen da Interneten. Honen barruan sartzen dira posta elektronikoa, aplikazioaren bidez bidalitako mezuak, bisitatutako webguneak, bideo elkarrizketak eta abar. Benetako datuez gain, pakete hauek trafiko-iturria, edukia, helmuga eta beste informazio garrantzitsu batzuk identifikatzen dituzten metadatuak biltzen dituzte. Pakete iragazteko teknologiarekin, datuak etengabe kontrolatu eta kudeatu daitezke leku egokira bidaltzen direla ziurtatzeko. Baina sarearen segurtasuna bermatzeko, paketeen iragazketa tradizionala nahikoa da. Sareen kudeaketan pakete sakonak ikuskatzeko metodo nagusietako batzuk behean zerrendatzen dira:

Bat etortzeko modua/Sinadura

Pakete bakoitza sareko eraso ezagunen datu-base batekin bat etortzea egiaztatzen du intrusioak detektatzeko sistema (IDS) gaitasunak dituen suebaki batek. IDS-k eredu jakin gaizto ezagunak bilatzen ditu eta trafikoa desgaitzen du eredu gaiztoak aurkitzen direnean. Sinadura bat etortzeko politikaren desabantaila da maiz eguneratzen diren sinadurei soilik aplikatzen zaiela. Gainera, teknologia honek mehatxu edo eraso ezagunen aurka bakarrik defenda dezake.

DPI

Protokolo Salbuespena

Protokolo-salbuespen-teknikak sinadura datu-basearekin bat ez datozen datu guztiak onartzen ez dituenez, IDS suebakiak erabiltzen duen protokolo-salbuespen-teknikak ez ditu eredu/sinadura bat etortzeko metodoaren berezko akatsak. Horren ordez, baztertzeko politika lehenetsia hartzen du. Protokoloaren definizioaren arabera, suebakiek erabakitzen dute zer trafiko baimendu behar den eta sarea babesten dute mehatxu ezezagunetatik.

Intrusioak Prebenitzeko Sistema (IPS)

IPS soluzioek pakete kaltegarrien transmisioa blokeatu dezakete haien edukiaren arabera, eta, horrela, ustezko erasoak geldiarazi ditzakete denbora errealean. Horrek esan nahi du pakete batek segurtasun-arrisku ezagun bat adierazten badu, IPS-k sareko trafikoa modu proaktiboan blokeatuko duela definitutako arau-multzo batean oinarrituta. IPSen desabantaila bat ziber-mehatxuen datu-base bat aldizka eguneratu beharra da mehatxu berriei buruzko xehetasunekin eta positibo faltsuak izateko aukerarekin. Baina arrisku hori arin daiteke politika kontserbadoreak eta atalase pertsonalizatuak sortuz, sareko osagaien oinarrizko portaera egokia ezarriz eta aldian-aldian abisuak eta jakinarazitako gertaerak ebaluatuz monitorizazioa eta alertak hobetzeko.

1- DPI (Deep Packet Inspection) Network Packet Broker-en

"Sakona" maila eta paketeen analisi arruntaren konparazioa da, "pakete arruntaren ikuskapena" IP paketearen 4 geruzaren analisia soilik, iturburu helbidea, helmuga helbidea, iturburu-ataka, helmuga-ataka eta protokolo-mota eta DPI hierarkikoarekin izan ezik. azterketa, aplikazio geruzen azterketa ere handitu, aplikazio eta eduki desberdinak identifikatu, funtzio nagusiak gauzatzeko:

1) Aplikazioaren analisia -- sareko trafikoaren konposizioaren azterketa, errendimenduaren azterketa eta fluxuaren azterketa

2) Erabiltzaileen analisia -- erabiltzaile-taldeen bereizketa, portaeraren analisia, terminalen azterketa, joera-analisia, etab.

3) Sare-elementuen analisia -- eskualdeko atributuetan (hiria, auzoa, kalea, etab.) eta oinarrizko estazioaren kargaren araberako analisia.

4) Trafiko kontrola -- P2P abiadura mugatzea, QoS bermatzea, banda zabalera bermatzea, sareko baliabideen optimizazioa, etab.

5) Segurtasun-bermea -- DDoS erasoak, datuen igorpen ekaitza, birus maltzurren erasoen prebentzioa, etab.

2- Sareko Aplikazioen Sailkapen Orokorra

Gaur egun, aplikazio ugari daude Interneten, baina web aplikazio arruntak osoak izan daitezke.

Nik dakidala, aplikazioak aitortzeko konpainiarik onena Huawei da, 4.000 aplikazio aitortzen dituela dio. Protokoloaren analisia suebaki-enpresa askoren oinarrizko modulua da (Huawei, ZTE, etab.), eta oso modulu garrantzitsua da, beste modulu funtzional batzuk gauzatzen laguntzen duena, aplikazioen identifikazio zehatza eta produktuen errendimendua eta fidagarritasuna asko hobetzen dituena. Sareko trafikoaren ezaugarrietan oinarritutako malwarearen identifikazioa modelatzerakoan, orain egiten ari naizen bezala, protokoloaren identifikazio zehatza eta zabala ere oso garrantzitsua da. Aplikazio arrunten sareko trafikoa konpainiaren esportazio-trafikotik kenduta, gainerako trafikoak proportzio txiki bat hartuko du, hau da, malwarearen analisirako eta alarmarako hobea da.

Nire esperientzian oinarrituta, lehendik erabiltzen diren aplikazioak funtzioen arabera sailkatzen dira:

PS: Aplikazioen sailkapenaren ulermen pertsonalaren arabera, iradokizun onak dituzu ongi etorria mezu-proposamena uzteko

1). Posta elektronikoa

2). Bideoa

3). Jolasak

4). Office OA klasea

5). Software eguneratzea

6). Finantza (bankua, Alipay)

7). Izakinak

8). Gizarte Komunikazioa (IM softwarea)

9). Web arakatzea (seguruenik URLekin hobeto identifikatuta)

10). Deskargatzeko tresnak (web diskoa, P2P deskarga, BT erlazionatuta)

20191210153150_32811

Ondoren, nola funtzionatzen duen DPI (Paketeen Ikuskapen Sakona) NPB batean:

1). Pakete Harrapaketa: NPB-k sareko trafikoa harrapatzen du hainbat iturritatik, hala nola, etengailuetatik, bideratzaileetatik edo ukituetatik. Sarean zehar doazen paketeak jasotzen ditu.

2). Pakete-analisia: harrapatutako paketeak NPBk analizatzen ditu hainbat protokolo-geruza eta lotutako datuak ateratzeko. Analisi-prozesu honek paketeen osagai desberdinak identifikatzen laguntzen du, hala nola, Ethernet goiburuak, IP goiburuak, garraio-mailako goiburuak (adibidez, TCP edo UDP) eta aplikazio-geruzen protokoloak.

3). Kargaren analisia: DPI-rekin, NPB goiburuko ikuskapenetik haratago doa eta kargari arreta jartzen dio, paketeen benetako datuak barne. Karga erabilgarriaren edukia sakon aztertzen du, erabilitako aplikazioa edo protokoloa edozein dela ere, informazio garrantzitsua ateratzeko.

4). Protokoloaren identifikazioa: DPI-k NPBri sareko trafikoan erabiltzen ari diren protokolo eta aplikazio zehatzak identifikatzeko aukera ematen dio. HTTP, FTP, SMTP, DNS, VoIP edo bideo streaming protokoloak bezalako protokoloak hauteman eta sailka ditzake.

5). Edukiaren ikuskapena: DPI-k NPBri paketeen edukia ikuskatzeko aukera ematen dio eredu, sinadura edo gako-hitz zehatzetarako. Horrek sareko mehatxuak detektatzeko aukera ematen du, hala nola malwarea, birusak, intrusio saiakerak edo jarduera susmagarriak. DPI edukia iragazteko, sareko politikak betearazteko edo datuen betetze-urraketak identifikatzeko ere erabil daiteke.

6). Metadatuen erauzketa: DPI-n zehar, NPB-k metadatu garrantzitsuak ateratzen ditu paketeetatik. Honek informazio iturria eta helmuga IP helbideak, ataka-zenbakiak, saioen xehetasunak, transakzio-datuak edo beste edozein atributu garrantzitsu izan ditzake.

7). Trafikoa bideratzea edo iragaztea: DPI analisian oinarrituta, NPBk pakete zehatzak bideratu ditzake izendatutako helmugetara prozesatzeko, hala nola, segurtasun-tresnak, monitorizazio-tresnak edo analisi-plataformak. Era berean, iragazketa-arauak aplika ditzake paketeak baztertzeko edo birbideratzeko identifikatutako eduki edo ereduetan oinarrituta.

ML-NPB-5660 3d


Argitalpenaren ordua: 2023-06-25