Deep Packet Inspection (DPI)Die sogenannte „Packet-Review“-Technologie wird in Netzwerk-Paketbrokern (NPBs) eingesetzt, um den Inhalt von Netzwerkpaketen detailliert zu untersuchen und zu analysieren. Dabei werden Nutzdaten, Header und andere protokollspezifische Informationen innerhalb der Pakete geprüft, um detaillierte Einblicke in den Netzwerkverkehr zu gewinnen.
DPI geht über die einfache Header-Analyse hinaus und ermöglicht ein tiefgreifendes Verständnis der Datenflüsse in einem Netzwerk. Es erlaubt die detaillierte Untersuchung von Anwendungsschichtprotokollen wie HTTP, FTP, SMTP, VoIP oder Videostreaming-Protokollen. Durch die Analyse des tatsächlichen Paketinhalts kann DPI spezifische Anwendungen, Protokolle oder sogar bestimmte Datenmuster erkennen und identifizieren.
Zusätzlich zur hierarchischen Analyse von Quell- und Zieladressen, Quell- und Zielports sowie Protokolltypen führt DPI auch eine Anwendungsschichtanalyse durch, um verschiedene Anwendungen und deren Inhalte zu identifizieren. Wenn ein 1P-Paket (TCP oder UDP) das auf DPI basierende Bandbreitenmanagementsystem durchläuft, liest das System den Inhalt des 1P-Pakets, um die Anwendungsschichtinformationen im OSI-Schicht-7-Protokoll neu zu organisieren. Dadurch wird der Inhalt des gesamten Anwendungsprogramms ermittelt und der Datenverkehr gemäß der vom System definierten Managementrichtlinie gesteuert.
Wie funktioniert DPI?
Herkömmliche Firewalls verfügen oft nicht über die nötige Rechenleistung, um große Datenmengen in Echtzeit gründlich zu prüfen. Mit dem technologischen Fortschritt kann Deep Packet Inspection (DPI) komplexere Prüfungen von Headern und Daten durchführen. Firewalls mit Intrusion-Detection-Systemen nutzen DPI häufig. In einer Welt, in der digitale Informationen von zentraler Bedeutung sind, werden alle digitalen Daten in kleinen Paketen über das Internet übertragen. Dazu gehören E-Mails, App-Nachrichten, besuchte Websites, Videogespräche und vieles mehr. Neben den eigentlichen Daten enthalten diese Pakete Metadaten, die Quelle, Inhalt, Ziel und weitere wichtige Informationen identifizieren. Mithilfe von Paketfiltertechnologie können Daten kontinuierlich überwacht und verwaltet werden, um sicherzustellen, dass sie an den richtigen Ort weitergeleitet werden. Für die Netzwerksicherheit ist herkömmliche Paketfilterung jedoch bei Weitem nicht ausreichend. Einige der wichtigsten Methoden der Deep Packet Inspection im Netzwerkmanagement sind im Folgenden aufgeführt:
Abgleichmodus/Signatur
Jedes Datenpaket wird von einer Firewall mit Intrusion-Detection-System (IDS) auf Übereinstimmungen mit einer Datenbank bekannter Netzwerkangriffe geprüft. Das IDS sucht nach bekannten, schädlichen Mustern und blockiert den Datenverkehr, sobald schädliche Muster gefunden werden. Der Nachteil dieser Signaturabgleichsmethode besteht darin, dass sie nur auf Signaturen anwendbar ist, die regelmäßig aktualisiert werden. Zudem kann diese Technologie nur vor bekannten Bedrohungen oder Angriffen schützen.
Protokollausnahme
Da die Protokollausnahmetechnik nicht einfach alle Daten zulässt, die nicht mit der Signaturdatenbank übereinstimmen, weist die von der IDS-Firewall verwendete Protokollausnahmetechnik nicht die inhärenten Schwächen der Muster-/Signaturabgleichmethode auf. Stattdessen verwendet sie die Standard-Ablehnungsrichtlinie. Gemäß der Protokolldefinition legen Firewalls fest, welcher Datenverkehr zugelassen werden soll, und schützen das Netzwerk vor unbekannten Bedrohungen.
Intrusion Prevention System (IPS)
IPS-Lösungen können die Übertragung schädlicher Datenpakete anhand ihres Inhalts blockieren und so vermutete Angriffe in Echtzeit stoppen. Das bedeutet: Stellt ein Datenpaket ein bekanntes Sicherheitsrisiko dar, blockiert IPS proaktiv den Netzwerkverkehr gemäß definierten Regeln. Ein Nachteil von IPS ist die Notwendigkeit, die Datenbank für Cyberbedrohungen regelmäßig mit Informationen zu neuen Bedrohungen zu aktualisieren, sowie die Möglichkeit von Fehlalarmen. Dieses Risiko lässt sich jedoch durch konservative Richtlinien und benutzerdefinierte Schwellenwerte, die Festlegung eines angemessenen Basisverhaltens für Netzwerkkomponenten und die regelmäßige Auswertung von Warnungen und gemeldeten Ereignissen minimieren, um Überwachung und Alarmierung zu verbessern.
1. Die DPI (Deep Packet Inspection) im Netzwerk-Paketbroker
Der Vergleich zwischen „Deep Packet Inspection“ (DPI) und herkömmlicher Paketanalyse (DPI) beschränkt sich auf die Analyse von IP-Paketen der Schicht 4, einschließlich Quelladresse, Zieladresse, Quellport, Zielport und Protokolltyp. DPI bietet zusätzlich zur hierarchischen Analyse auch eine erweiterte Analyse der Anwendungsschicht, um verschiedene Anwendungen und Inhalte zu identifizieren und so die Hauptfunktionen zu realisieren.
1) Anwendungsanalyse – Analyse der Netzwerkverkehrszusammensetzung, Leistungsanalyse und Flussanalyse
2) Nutzeranalyse – Differenzierung von Nutzergruppen, Verhaltensanalyse, Terminalanalyse, Trendanalyse usw.
3) Netzwerkelementanalyse – Analyse basierend auf regionalen Attributen (Stadt, Bezirk, Straße usw.) und der Auslastung der Basisstationen
4) Verkehrssteuerung – P2P-Geschwindigkeitsbegrenzung, QoS-Sicherung, Bandbreitensicherung, Optimierung der Netzwerkressourcen usw.
5) Sicherheitsgewährleistung – Schutz vor DDoS-Angriffen, Datenstürmen, Verhinderung von bösartigen Virenangriffen usw.
2. Allgemeine Klassifizierung von Netzwerkanwendungen
Heutzutage gibt es unzählige Anwendungen im Internet, aber die gängigen Webanwendungen können schon sehr umfangreich sein.
Meines Wissens ist Huawei führend in der App-Erkennung und gibt an, 4.000 Apps zu erkennen. Die Protokollanalyse ist ein Basismodul vieler Firewall-Hersteller (Huawei, ZTE usw.) und spielt eine entscheidende Rolle für die Realisierung anderer Funktionsmodule, die präzise Anwendungserkennung und die deutliche Verbesserung von Leistung und Zuverlässigkeit der Produkte. Auch bei der Modellierung der Malware-Erkennung anhand von Netzwerkverkehrscharakteristika, wie ich sie aktuell durchführe, ist eine genaue und umfassende Protokollanalyse unerlässlich. Durch den Ausschluss des Netzwerkverkehrs gängiger Anwendungen aus dem Gesamtdatenverkehr des Unternehmens reduziert sich der verbleibende Anteil erheblich, was die Malware-Analyse und -Warnung verbessert.
Meiner Erfahrung nach lassen sich die gängigen Anwendungen nach ihren Funktionen klassifizieren:
PS: Gemäß meiner persönlichen Einschätzung der Anwendungsklassifizierung können Sie gerne Verbesserungsvorschläge hinterlassen.
1) E-Mail
2) Video
3) Spiele
4) Büro OA-Klasse
5) Software-Update
6) Finanzwesen (Bank, Alipay)
7) Aktien
8) Soziale Kommunikation (Instant Messaging-Software)
9) Web-Browsing (wahrscheinlich besser mit URLs zu beschreiben)
10) Download-Tools (Web-Disk, P2P-Download, BT-bezogen)
Und so funktioniert DPI (Deep Packet Inspection) in einem NPB:
1) Paketerfassung: Der NPB erfasst Netzwerkverkehr von verschiedenen Quellen, wie z. B. Switches, Routern oder Taps. Er empfängt Pakete, die durch das Netzwerk fließen.
2) Paketanalyse: Die erfassten Pakete werden vom NPB analysiert, um verschiedene Protokollschichten und zugehörige Daten zu extrahieren. Dieser Analyseprozess hilft, die verschiedenen Komponenten innerhalb der Pakete zu identifizieren, wie z. B. Ethernet-Header, IP-Header, Transportschicht-Header (z. B. TCP oder UDP) und Anwendungsschichtprotokolle.
3) Nutzlastanalyse: Mit DPI geht NPB über die Header-Prüfung hinaus und konzentriert sich auf die Nutzlast, einschließlich der eigentlichen Daten in den Paketen. Es untersucht den Nutzlastinhalt eingehend, unabhängig von der verwendeten Anwendung oder dem Protokoll, um relevante Informationen zu extrahieren.
4) Protokollidentifizierung: DPI ermöglicht es dem NPB, die im Netzwerkverkehr verwendeten Protokolle und Anwendungen zu identifizieren. Es kann Protokolle wie HTTP, FTP, SMTP, DNS, VoIP oder Videostreaming-Protokolle erkennen und klassifizieren.
5) Inhaltsprüfung: DPI ermöglicht es dem NPB, den Inhalt von Datenpaketen auf spezifische Muster, Signaturen oder Schlüsselwörter zu untersuchen. Dies ermöglicht die Erkennung von Netzwerkbedrohungen wie Malware, Viren, Eindringversuchen oder verdächtigen Aktivitäten. DPI kann auch zur Inhaltsfilterung, zur Durchsetzung von Netzwerkrichtlinien oder zur Identifizierung von Verstößen gegen Datenschutzbestimmungen eingesetzt werden.
6) Metadatenextraktion: Während der DPI extrahiert der NPB relevante Metadaten aus den Paketen. Dies können Informationen wie Quell- und Ziel-IP-Adressen, Portnummern, Sitzungsdetails, Transaktionsdaten oder andere relevante Attribute sein.
7) Datenverkehrsweiterleitung oder -filterung: Basierend auf der DPI-Analyse kann der NPB bestimmte Pakete zur Weiterverarbeitung an festgelegte Ziele weiterleiten, beispielsweise an Sicherheitsgeräte, Überwachungstools oder Analyseplattformen. Er kann außerdem Filterregeln anwenden, um Pakete anhand des identifizierten Inhalts oder Musters zu verwerfen oder umzuleiten.
Veröffentlichungsdatum: 25. Juni 2023
