Sareko Pakete Broker Aplikazioaren Identifikazioa DPI-n Oinarrituta – Paketeen Ikuskapen Sakona

Paketeen Ikuskapen Sakona (DPI)Sare Pakete Brokers (NPB) sisteman erabiltzen den teknologia bat da, sareko paketeen edukia maila xehean ikuskatu eta aztertzeko. Paketeen barruko karga, goiburuak eta bestelako protokolo espezifikoen informazioa aztertzea dakar, sareko trafikoari buruzko informazio zehatza lortzeko.

DPI goiburuaren analisi soil bat baino haratago doa eta sare batetik igarotzen diren datuen ulermen sakona eskaintzen du. Aplikazio-geruzako protokoloen azterketa sakona ahalbidetzen du, hala nola HTTP, FTP, SMTP, VoIP edo bideo-streaming protokoloak. Paketeen barruko benetako edukia aztertuz, DPI-k aplikazio, protokolo edo baita datu-eredu espezifikoak ere detektatu eta identifikatu ditzake.

Jatorrizko helbideen, helmuga helbideen, iturburu portuen, helmuga portuen eta protokolo moten analisi hierarkikoa egiteaz gain, DPI-k aplikazio-geruzako analisia ere gehitzen du hainbat aplikazio eta haien edukia identifikatzeko. 1P paketea, TCP edo UDP datuak DPI teknologian oinarritutako banda-zabalera kudeatzeko sistematik igarotzen direnean, sistemak 1P paketearen kargaren edukia irakurtzen du OSI 7. geruzako protokoloko aplikazio-geruzako informazioa berrantolatzeko, aplikazio programa osoaren edukia lortzeko, eta gero trafikoa sistemak definitutako kudeaketa-politikaren arabera moldatzeko.

Nola funtzionatzen du DPIak?

Suebaki tradizionalek ez dute askotan prozesatzeko ahalmenik trafiko bolumen handietan denbora errealeko egiaztapen sakonak egiteko. Teknologia aurrera doan heinean, DPI erabil daiteke goiburuak eta datuak egiaztatzeko egiaztapen konplexuagoak egiteko. Normalean, intrusioak detektatzeko sistemak dituzten suebakiek DPI erabiltzen dute maiz. Informazio digitala garrantzitsuena den mundu batean, informazio digital guztia pakete txikitan bidaltzen da Interneten bidez. Horrek barne hartzen ditu posta elektronikoa, aplikazioaren bidez bidalitako mezuak, bisitatutako webguneak, bideo-elkarrizketak eta gehiago. Benetako datuez gain, pakete hauek trafikoaren iturria, edukia, helmuga eta bestelako informazio garrantzitsua identifikatzen duten metadatuak dituzte. Paketeak iragazteko teknologiarekin, datuak etengabe kontrolatu eta kudeatu daitezke leku egokira birbidaltzen direla ziurtatzeko. Baina sarearen segurtasuna bermatzeko, paketeak iragazteko ohiko sistema ez da nahikoa. Sarearen kudeaketan paketeak sakonki ikuskatzeko metodo nagusietako batzuk behean zerrendatzen dira:

Bat etortze modua/sinadura

Pakete bakoitza sareko eraso ezagunen datu-base batekin bat datorren egiaztatzen du intrusioak detektatzeko sistema (IDS) gaitasunak dituen suebaki batek. IDS-k ezagunak diren gaiztoen eredu espezifikoak bilatzen ditu eta trafikoa desgaitzen du gaiztoak diren ereduak aurkitzen direnean. Sinadurak bat etortzeko politikaren desabantaila da maiz eguneratzen diren sinadurei bakarrik aplikatzen zaiela. Gainera, teknologia honek mehatxu edo eraso ezagunen aurka bakarrik defenda dezake.

DPI

Protokoloaren salbuespena

Protokolo-salbuespen teknikak ez dituenez sinadura-datu-basearekin bat ez datozen datu guztiak onartzen, IDS suebakiak erabiltzen duen protokolo-salbuespen teknikak ez ditu eredu/sinadura parekatzeko metodoaren berezko akatsak. Horren ordez, lehenetsitako ukapen-politika hartzen du. Protokoloaren definizioaren arabera, suebakiek erabakitzen dute zein trafiko baimendu behar den eta sarea mehatxu ezezagunetatik babesten dute.

Intrusioen Prebentzio Sistema (IPS)

IPS irtenbideek pakete kaltegarrien transmisioa blokeatu dezakete haien edukiaren arabera, eta horrela, ustezko erasoak denbora errealean geldiarazi. Horrek esan nahi du pakete batek segurtasun arrisku ezagun bat adierazten badu, IPSk sareko trafikoa proaktiboki blokeatuko duela arau multzo definitu baten arabera. IPSren desabantaila bat da zibermehatxuen datu-base bat aldizka eguneratu beharra dagoela mehatxu berriei buruzko xehetasunekin eta positibo faltsuen aukerarekin. Baina arrisku hori arindu daiteke politika kontserbadoreak eta atalase pertsonalizatuak sortuz, sareko osagaien oinarrizko portaera egokia ezarriz eta abisuak eta jakinarazitako gertaerak aldizka ebaluatuz jarraipena eta alertak hobetzeko.

1- DPI (Deep Packet Inspection) Network Packet Broker-en

"Sakona" maila eta pakete arrunten analisi konparaketa da, "pakete arrunten ikuskapena" IP paketearen 4. geruzako analisi hau baino ez da, iturri helbidea, helmuga helbidea, iturri ataka, helmuga ataka eta protokolo mota barne, eta DPI, analisi hierarkikoa izan ezik, aplikazio geruzaren analisia ere handituz, aplikazio eta eduki desberdinak identifikatuz, funtzio nagusiak gauzatzeko:

1) Aplikazioen azterketa -- sareko trafikoaren osaera-analisia, errendimendu-analisia eta fluxu-analisia

2) Erabiltzaileen azterketa -- erabiltzaile taldeen bereizketa, portaeraren azterketa, terminalen azterketa, joeren azterketa, etab.

3) Sare Elementuen Analisia -- eskualdeko atributuetan (hiria, barrutia, kalea, etab.) eta oinarrizko estazioaren kargan oinarritutako analisia

4) Trafikoaren kontrola -- P2P abiadura mugatzea, QoS bermea, banda zabaleraren bermea, sareko baliabideen optimizazioa, etab.

5) Segurtasun Bermea -- DDoS erasoak, datu-igorpen ekaitza, birus eraso gaiztoen prebentzioa, etab.

2- Sareko Aplikazioen Sailkapen Orokorra

Gaur egun aplikazio ugari daude Interneten, baina ohiko web aplikazioak oso zabalak izan daitezke.

Dakidanez, aplikazioak ezagutzeko enpresa onena Huawei da, 4.000 aplikazio ezagutzen dituela dioena. Protokoloen analisia suebaki-enpresa askoren oinarrizko modulua da (Huawei, ZTE, etab.), eta oso modulu garrantzitsua ere bada, beste modulu funtzional batzuk gauzatzen laguntzen baitu, aplikazioen identifikazio zehatza egiten du eta produktuen errendimendua eta fidagarritasuna asko hobetzen ditu. Malwarearen identifikazioa sareko trafikoaren ezaugarrietan oinarrituta modelatzean, orain egiten ari naizen bezala, protokoloen identifikazio zehatza eta zabala ere oso garrantzitsua da. Aplikazio arrunten sareko trafikoa enpresaren esportazio-trafikotik kenduta, gainerako trafikoak zati txiki bat izango du, eta hori hobea da malwarearen analisi eta alarmarako.

Nire esperientzian oinarrituta, ohiko aplikazioak funtzioen arabera sailkatzen dira:

PS: Aplikazioaren sailkapenaren ulermen pertsonalaren arabera, iradokizun onak badituzu, mezu bat uzteko aukera duzu.

1). Posta elektronikoa

2). Bideoa

3). Jokoak

4). Bulegoko OA klasea

5). Softwarearen eguneraketa

6). Finantza (bankua, Alipay)

7). Burtsa

8). Gizarte Komunikazioa (IM softwarea)

9). Web nabigazioa (ziurrenik hobeto identifikatzen da URLekin)

10). Deskargatzeko tresnak (web diskoa, P2P deskarga, BTrekin lotutakoak)

20191210153150_32811

Orduan, nola funtzionatzen duen DPI-k (Deep Packet Inspection) NPB batean:

1). Paketeen harrapaketa: NPB-k sareko trafikoa hainbat iturritatik harrapatzen du, hala nola etengailuetatik, bideratzaileetatik edo tap-etatik. Saretik igarotzen diren paketeak jasotzen ditu.

2). Paketeen azterketa: NPB-k hartutako paketeak aztertzen ditu protokolo-geruza desberdinak eta lotutako datuak ateratzeko. Azterketa-prozesu honek paketeen barruko osagai desberdinak identifikatzen laguntzen du, hala nola Ethernet goiburuak, IP goiburuak, garraio-geruzako goiburuak (adibidez, TCP edo UDP) eta aplikazio-geruzako protokoloak.

3). Karga-analisia: DPI-rekin, NPB-k goiburuaren ikuskapena baino haratago doa eta karga-an zentratzen da, paketeen barruko benetako datuak barne. Kargaren edukia sakon aztertzen du, erabilitako aplikazioa edo protokoloa edozein dela ere, informazio garrantzitsua ateratzeko.

4). Protokoloen identifikazioa: DPI-k NPB-ri sareko trafikoan erabiltzen diren protokolo eta aplikazio espezifikoak identifikatzen laguntzen dio. HTTP, FTP, SMTP, DNS, VoIP edo bideo-streaming protokoloak bezalako protokoloak detektatu eta sailka ditzake.

5). Edukiaren ikuskapena: DPI-k NPB-ri paketeen edukia ikuskatzeko aukera ematen dio eredu, sinadura edo gako-hitz espezifikoen bila. Horri esker, sareko mehatxuak detektatu daitezke, hala nola malwarea, birusak, intrusio saiakerak edo jarduera susmagarriak. DPI edukia iragazteko, sareko politikak betearazteko edo datuen betetze-urraketak identifikatzeko ere erabil daiteke.

6). Metadatuen erauzketa: DPI-an zehar, NPB-k metadatu garrantzitsuak ateratzen ditu paketeetatik. Honen barnean egon daitezke iturri eta helmugako IP helbideak, ataka zenbakiak, saio xehetasunak, transakzio datuak edo beste edozein atributu garrantzitsu.

7). Trafikoaren bideratzea edo iragaztea: DPI analisian oinarrituta, NPB-k pakete espezifikoak izendatutako helmugara bideratu ditzake prozesatzeko, hala nola segurtasun-gailuetara, monitorizazio-tresnetara edo analisi-plataformetara. Iragazketa-arauak ere aplika ditzake paketeak baztertzeko edo birbideratzeko, identifikatutako edukiaren edo ereduen arabera.

ML-NPB-5660 3D


Argitaratze data: 2023ko ekainaren 25a