Dyp pakkeinspeksjon - Deep packet inspection

Del av en serie om
Nettnøytralitet
Emner og problemstillinger
Etter land eller region

Deep packet-inspeksjon ( DPI ) er en type databehandling som i detalj inspiserer dataene som sendes over et datanettverk , og kan utføre handlinger som varsel, blokkering, omdirigering eller logging av dem deretter. Dyp pakkeinspeksjon brukes ofte til å grunnlegge applikasjonsatferd, analysere nettverksbruk, feilsøke nettverksytelse, sikre at data er i riktig format, sjekke om skadelig kode, avlytting og internettsensur , blant andre formål. Det er flere overskrifter for IP -pakker ; nettverksutstyr trenger bare å bruke det første av disse ( IP -hodet ) for normal drift, men bruk av det andre hodet (for eksempel TCP eller UDP ) regnes normalt som grunne pakkeinspeksjon (vanligvis kalt stateful packet inspeksjon ) til tross for denne definisjonen .

Det er flere måter å skaffe pakker for dyp pakkeinspeksjon. Bruk av portspeiling (noen ganger kalt Span Port ) er en veldig vanlig måte, i tillegg til å fysisk sette inn et nettverkskran som dupliserer og sender datastrømmen til et analysatorverktøy for inspeksjon.

Deep Packet Inspection (og filtrering) muliggjør avansert nettverksadministrasjon , brukerservice og sikkerhetsfunksjonene samt internett data mining , avlytting , og internett sensur . Selv om DPI har blitt brukt til Internett -ledelse i mange år, frykter noen talsmenn for nettnøytralitet at teknikken kan brukes konkurransebegrensende eller for å redusere internettets åpenhet.

DPI brukes i et bredt spekter av applikasjoner, på det såkalte "enterprise" -nivået (selskaper og større institusjoner), i teletjenesteleverandører og i myndigheter.

Bakgrunn

DPI -teknologien har en lang og teknologisk avansert historie, som startet på 1990 -tallet, før teknologien gikk inn i det som i dag blir sett på som vanlige, vanlige distribusjoner. Teknologien har sine røtter tilbake over 30 år, da mange av pionerene bidro med sine oppfinnelser til bruk blant bransjedeltagere, for eksempel gjennom felles standarder og tidlig innovasjon, for eksempel følgende:

Essential DPI -funksjonalitet inkluderer analyse av pakkeoverskrifter og protokollfelt. For eksempel tilbyr Wireshark vesentlig DPI -funksjonalitet gjennom sine mange dissektorer som viser feltnavn og innhold, og i noen tilfeller tilbyr tolkning av feltverdier.

Noen sikkerhetsløsninger som tilbyr DPI kombinerer funksjonaliteten til et system for inntrengingsdeteksjon (IDS) og et innbruddsforebyggende system (IPS) med en tradisjonell stateful brannmur . Denne kombinasjonen gjør det mulig å oppdage visse angrep som verken IDS/IPS eller den stateful brannmuren kan fange på egen hånd. Stateful brannmurer, mens de er i stand til å se begynnelsen og slutten av en pakkeflyt, kan ikke fange hendelser på egen hånd som ville være utenfor rammen for en bestemt applikasjon. Selv om IDS -er er i stand til å oppdage inntrengninger, har de svært liten evne til å blokkere et slikt angrep. DPI brukes for å forhindre angrep fra virus og ormer i trådhastigheter. Nærmere bestemt kan DPI være effektivt mot bufferoverløpsangrep, denial-of-service-angrep (DoS), sofistikerte inntrengninger og en liten prosentandel ormer som passer i en enkelt pakke.

DPI-aktiverte enheter har muligheten til å se på lag 2 og utover lag 3 i OSI-modellen . I noen tilfeller kan DPI påkalles for å se gjennom lag 2-7 i OSI-modellen. Dette inkluderer overskrifter og dataprotokollstrukturer samt nyttelasten til meldingen. DPI -funksjonalitet aktiveres når en enhet ser eller foretar andre handlinger basert på informasjon utover lag 3 i OSI -modellen. DPI kan identifisere og klassifisere trafikk basert på en signaturdatabase som inneholder informasjon hentet fra datadelen i en pakke, slik at finere kontroll enn klassifisering bare er basert på topptekstinformasjon. Sluttpunkter kan benytte kryptering og tilsløringsteknikker for å unngå DPI -handlinger i mange tilfeller.

En klassifisert pakke kan bli omdirigert, merket/merket (se tjenestekvalitet ), blokkert, takstbegrenset og selvfølgelig rapportert til en rapporteringsagent i nettverket. På denne måten kan HTTP -feil i forskjellige klassifiseringer identifiseres og videresendes for analyse. Mange DPI-enheter kan identifisere pakkestrømmer (i stedet for pakke-for-pakke-analyse), slik at kontrollhandlinger er basert på akkumulert strøminformasjon.

På bedriftsnivå

Opprinnelig var sikkerhet på bedriftsnivå bare en grensedisiplin, med en dominerende filosofi om å holde uautoriserte brukere utenfor, og beskytte autoriserte brukere fra omverdenen. Det mest brukte verktøyet for å oppnå dette har vært en stateful brannmur. Det kan tillate finkornet kontroll av tilgang fra omverdenen til forhåndsdefinerte destinasjoner på det interne nettverket, samt tillate tilgang tilbake til andre verter bare hvis det har blitt fremsatt en forespørsel til omverdenen tidligere.

Det finnes imidlertid sårbarheter i nettverkslag som ikke er synlige for en stateful brannmur. Også en økning i bruken av bærbare datamaskiner i bedriften gjør det vanskeligere å hindre trusler som virus , ormer og spionprogrammer fra å trenge inn i bedriftens nettverk, som mange brukere vil koble datamaskinen til mindre sikre nettverk som hjemme bredbånd tilkoblinger eller trådløse nettverk på offentlige steder. Brannmurer skiller heller ikke mellom tillatt og forbudt bruk av applikasjoner som er legitimt tilgjengelig. DPI gjør det mulig for IT -administratorer og sikkerhetstjenestemenn å sette retningslinjer og håndheve dem på alle lag, inkludert applikasjonen og brukerlaget for å bekjempe disse truslene.

Deep Packet Inspection er i stand til å oppdage noen få typer bufferoverløpsangrep .

DPI kan brukes av bedriften for å forhindre datalekkasje (DLP). Når en e-postbruker prøver å sende en beskyttet fil, kan det hende at brukeren får informasjon om hvordan den får riktig klaring til å sende filen.

Hos nettverks-/internettjenesteleverandører

I tillegg til å bruke DPI for å sikre sine interne nettverk, bruker internettleverandører det også på de offentlige nettverkene som tilbys kundene. Vanlige bruksområder for DPI av Internett -leverandører er lovlig avlytting , politikkdefinisjon og håndhevelse , målrettet annonsering , tjenestekvalitet , tilbud på lagdelte tjenester og håndhevelse av opphavsrett .

Lovlig avlytting

Tjenesteleverandører er pålagt av nesten alle regjeringer over hele verden for å muliggjøre lovlige avlyttingsfunksjoner . For flere tiår siden i et eldre telefonmiljø ble dette møtt ved å opprette et trafikkaksesspunkt (TAP) ved hjelp av en avskjærende proxy -server som kobles til regjeringens overvåkingsutstyr. Oppkjøpskomponenten i denne funksjonaliteten kan tilbys på mange måter, inkludert DPI, DPI -aktiverte produkter som er "LI eller CALEA -kompatible" kan brukes -når det blir pålagt av en rettskjennelse -for å få tilgang til en brukers datastrøm.

Policy definisjon og håndhevelse

Tjenesteleverandører som er forpliktet av servicenivåavtalen med sine kunder til å tilby et visst servicenivå og samtidig håndheve en akseptabel brukspolicy , kan bruke DPI for å implementere visse retningslinjer som dekker brudd på opphavsrett, ulovlig materiale og urettferdig bruk av båndbredde . I noen land er ISP -er pålagt å utføre filtrering, avhengig av landets lover. DPI lar tjenesteleverandører "lett kjenne pakkene med informasjon du mottar online-fra e-post, til nettsteder, til deling av musikk, video og nedlasting av programvare". Det kan defineres retningslinjer som tillater eller ikke tillater tilkobling til eller fra en IP -adresse, visse protokoller eller til og med heuristikk som identifiserer en bestemt applikasjon eller oppførsel.

Målrettet annonsering

Fordi Internett-leverandører dirigerer trafikken til alle kundene sine, kan de overvåke nettleservaner på en veldig detaljert måte, slik at de kan få informasjon om kundenes interesser, som kan brukes av selskaper som spesialiserer seg på målrettet annonsering. Minst 100 000 amerikanske kunder spores på denne måten, og så mange som 10% av amerikanske kunder har blitt sporet på denne måten. Teknologileverandører inkluderer NebuAd , Front Porch og Phorm . Amerikanske internettleverandører som overvåker kundene inkluderer Knology og Wide Open West . I tillegg har Storbritannias ISP British Telecom innrømmet testløsninger fra Phorm uten kundenes viten eller samtykke.

Tjenestekvalitet

DPI kan brukes mot nettnøytralitet .

Applikasjoner som peer-to-peer (P2P) -trafikk gir stadig større problemer for leverandører av bredbåndstjenester. Vanligvis brukes P2P -trafikk av programmer som utfører fildeling. Disse kan være alle slags filer (dvs. dokumenter, musikk, videoer eller applikasjoner). På grunn av den store størrelsen på mediefiler som overføres, driver P2P økende trafikkbelastning, noe som krever ekstra nettverkskapasitet. Tjenesteleverandører sier at et mindretall av brukerne genererer store mengder P2P-trafikk og forringer ytelsen for de fleste bredbåndsabonnenter som bruker applikasjoner som e-post eller nettlesing som bruker mindre båndbredde. Dårlig nettverksytelse øker kundenes misnøye og fører til en nedgang i tjenesteinntektene.

DPI lar operatørene overselge sin tilgjengelige båndbredde samtidig som de sikrer en rettferdig båndbreddefordeling til alle brukere ved å forhindre overbelastning av nettverk. I tillegg kan en høyere prioritet tildeles en VoIP- eller videokonferansesamtale som krever lav latens versus nettlesing som ikke gjør det. Dette er tilnærmingen som tjenesteleverandører bruker for å dynamisk tildele båndbredde i henhold til trafikk som passerer gjennom nettverkene deres.

Tiered services

Mobil- og bredbåndstjenesteleverandører bruker DPI som et middel for å implementere lagdelte serviceplaner, for å skille "inngjerdede hager" -tjenester fra "verdiøkende", "alt-du-kan-spise" og "en-størrelse-passer-alle" -tjenester . Ved å kunne betale for en "inngjerdet hage", per søknad, per tjeneste eller "alt-du-kan-spise" i stedet for en "en-størrelse-passer-alt" -pakke, kan operatøren skreddersy tilbudet til individuell abonnent og øke gjennomsnittlig inntekt per bruker (ARPU). En policy opprettes per bruker eller brukergruppe, og DPI -systemet håndhever i sin tur denne policyen, slik at brukeren får tilgang til forskjellige tjenester og applikasjoner.

Opphavsrettshåndhevelse

Internett -leverandører blir noen ganger bedt om av opphavsrettseiere eller pålagt av domstoler eller offisielle retningslinjer for å hjelpe med å håndheve opphavsrett. I 2006 fikk en av Danmarks største Internett -leverandører, Tele2 , et domstolsforbud og fortalte at den måtte blokkere kundene fra å få tilgang til The Pirate Bay , et utgangspunkt for BitTorrent .

I stedet for å forfølge fildelere en om gangen, har International Federation of the Phonographic Industry (IFPI) og de fire store plateselskapene EMI , Sony BMG , Universal Music og Warner Music saksøkt Internett -leverandører som Eircom for ikke å ha gjort nok med å beskytte sine opphavsrett. IFPI vil at Internett -leverandører skal filtrere trafikk for å fjerne ulovlig opplastet og nedlastet opphavsrettslig beskyttet materiale fra nettverket, til tross for at europeisk direktiv 2000/31/EF tydelig sier at det ikke er en generell forpliktelse til Internett -leverandører å overvåke informasjonen de sender, og direktiv 2002/ 58/EC som gir europeiske borgere rett til personvern for kommunikasjon.

The Motion Picture Association of America (MPAA) som håndhever film opphavsrett, har tatt stilling med Federal Communications Commission (FCC) at nettnøytralitet kan skade anti-piratkopiering teknikker som dyp pakkeinspeksjon og andre former for filtrering.

Statistikk

DPI lar Internett -leverandører samle statistisk informasjon om bruksmønstre etter brukergruppe. For eksempel kan det være av interesse om brukere med en 2Mbit -tilkobling bruker nettverket på en annen måte enn brukere med en 5Mbit -tilkobling. Tilgang til trenddata hjelper også med nettverksplanlegging.

Av regjeringer

Se også: nettverksovervåking og internettsensur

I tillegg til å bruke DPI for sikkerheten til sine egne nettverk, bruker regjeringer i Nord -Amerika, Europa og Asia DPI til forskjellige formål som overvåking og sensur . Mange av disse programmene er klassifisert.

forente stater

Hovedartikkel: NSA -garantiløs overvåkningskontrovers

FCC vedtar Internett CALEA -krav: FCC, i henhold til sitt mandat fra den amerikanske kongressen, og i tråd med politikken til de fleste land over hele verden, har krevd at alle telekommunikasjonsleverandører, inkludert internettjenester, kan støtte gjennomføring av en rettskjennelse å gi sanntids kommunikasjonsforensikk til spesifiserte brukere. I 2006 vedtok FCC nye tittel 47, underpart Z, regler som krever at Internett -tilgangsleverandører oppfyller disse kravene. DPI var en av plattformene som var avgjørende for å oppfylle dette kravet, og har blitt distribuert for dette formålet i hele USA

The National Security Agency (NSA), med samarbeid fra AT & T Inc. , har brukt Deep Packet Inspection å gjøre Internett-trafikk overvåking, sortering og videresending mer intelligent. DPI brukes til å finne hvilke pakker som har e-post eller VoIP-telefonsamtaler ( Voice over Internet Protocol ). Trafikk assosiert med AT & T's Common Backbone ble "delt" mellom to fibre, og delte signalet slik at 50 prosent av signalstyrken gikk til hver utgangsfibre. En av utgangsfibrene ble omdirigert til et sikkert rom; den andre videreførte kommunikasjon til AT & Ts koblingsutstyr. Det sikre rommet inneholdt Narus trafikkanalysatorer og logiske servere; Narus uttaler at slike enheter er i stand til å samle data i sanntid (registrere data for vurdering) og fange med 10 gigabit per sekund. En viss trafikk ble valgt og sendt over en dedikert linje til et "sentralt sted" for analyse. I følge en erklæring fra ekspertvitne J. Scott Marcus, en tidligere seniorrådgiver for Internett -teknologi ved US Federal Communications Commission, representerte den omdirigerte trafikken "alt, eller i det vesentlige alt, AT & Ts liknende trafikk i San Francisco Bay -området", og Dermed gjorde "designerne av ... konfigurasjonen ikke noe, med hensyn til plassering eller posisjon av fibersplittingen, for å ekskludere datakilder som hovedsakelig består av innenlandske data". Narus Semantic Traffic Analyzer-programvare, som kjører på IBM eller Dell Linux- servere ved bruk av DPI, sorterer gjennom IP-trafikk på 10 Gbit/s for å plukke ut bestemte meldinger basert på en målrettet e-postadresse, IP-adresse eller, i tilfelle VoIP, telefon Nummer. President George W. Bush og riksadvokat Alberto R. Gonzales har hevdet at de mener presidenten har myndighet til å beordre hemmelige avlyttinger av telefon- og e-postutvekslinger mellom mennesker i USA og deres kontakter i utlandet uten å få FISA- ordre.

Den Defense Information Systems Agency har utviklet en sensor plattform som bruker Deep Packet Inspection.

Kina

Hovedartikler: Internett -sensur i Folkerepublikken Kina og Liste over nettsteder blokkert i Kina

Den kinesiske regjeringen bruker Deep Packet Inspection til å overvåke og sensurere nettverkstrafikk og innhold som den hevder er skadelig for kinesiske borgere eller statlige interesser. Dette materialet inkluderer pornografi, informasjon om religion og politisk uenighet. Kinesiske nett ISPer bruker DPI for å se om det er noen sensitive søkeord går gjennom deres nettverk. I så fall blir forbindelsen kuttet. Folk i Kina finner seg ofte blokkert mens de får tilgang til nettsteder som inneholder innhold relatert til taiwanesisk og tibetansk uavhengighet, Falun Gong , Dalai Lama , Tiananmen -plassens protester og massakre i 1989 , politiske partier som motsetter seg det regjerende kommunistpartiets, eller en rekke forskjellige av antikommunistiske bevegelser ettersom disse materialene allerede var signert som DPI-sensitive nøkkelord. Kina har tidligere blokkert all VoIP -trafikk inn og ut av landet, men mange tilgjengelige VOIP -applikasjoner fungerer nå i Kina. Taletrafikk i Skype er upåvirket, selv om tekstmeldinger er gjenstand for filtrering, og meldinger som inneholder sensitivt materiale, for eksempel forbannelse, blir rett og slett ikke levert, uten at noen av deltakerne i samtalen blir varslet. Kina blokkerer også visuelle mediesider som YouTube.com og forskjellige fotografi- og bloggsider.

Høytstående nettsteder blokkert på fastlands-Kina ved hjelp av Deep Packet Inspection
Alexa rangering Nettsted Domene URL Kategori Morsmål
6 Wikipedia wikipedia.org www.wikipedia.org Sensurfritt leksikon Engelsk
1 Google google.com www.google.com Verdensomspennende søkemotor på internett Engelsk
1 Google -kryptert google.com encrypted.google.com Søk Engelsk
2 Facebook facebook.com www.facebook.com Sosialt nettverk Engelsk
3 YouTube youtube.com www.youtube.com Video Engelsk
557 JW.ORG jw.org www.jw.org Åndelig, kristendom Flerspråklig
24693 OpenVPN openvpn.net www.openvpn.net Unngå politisk internettsensur Engelsk
33553 Sterk VPN strongvpn.com www.strongvpn.com Unngå politisk internettsensur Engelsk
78873 Falun Dafa falundafa.org www.falundafa.org Åndelig Engelsk
1413995 VPN -kuponger vpncoupons.com www.vpncoupons.com Unngå politisk internettsensur Engelsk
2761652 ElephantVPN elephantvpn.com www.elephantvpn.com Unngå politisk internettsensur Engelsk

Iran

Hovedartikkel: Internett -sensur i Iran

Den iranske regjeringen kjøpte et system, angivelig for dyp pakkeinspeksjon, i 2008 fra Nokia Siemens Networks (NSN) (et joint venture Siemens AG, det tyske konglomeratet og Nokia Corp., det finske mobiltelefonselskapet), nå NSN er Nokia Solutions og nettverk, ifølge en rapport i Wall Street Journal i juni 2009, som siterer NSN -talsmann Ben Roome. Ifølge ikke navngitte eksperter som er sitert i artikkelen, gjør systemet "det mulig for myndigheter å ikke bare blokkere kommunikasjon, men å overvåke den for å samle informasjon om enkeltpersoner, samt endre den for desinformasjonsformål".

Systemet ble kjøpt av Telecommunication Infrastructure Co., en del av den iranske regjeringens telekommonopol. Ifølge Journal , leverte NSN "utstyr til Iran i fjor under det internasjonalt anerkjente konseptet" lovlig avskjæring ", sa Roome. Det gjelder avlytting av data for å bekjempe terrorisme, barnepornografi, narkotikahandel og annen kriminell handling aktiviteter utført på nettet, en evne som de fleste om ikke alle teleselskaper har, sa han .... Overvåkingssenteret som Nokia Siemens Networks solgte til Iran ble beskrevet i en selskapsbrosjyre som tillater 'overvåking og avlytting av alle typer stemmer og datakommunikasjon på alle nettverk. ' Joint venture avsluttet virksomheten som inkluderte overvåking utstyr, det de kaller 'intelligens løsning' på slutten av mars, ved å selge den til Perusa Partners Fund en LP, en München -baserte verdipapirforetak, sa Mr. Roome. Han sa selskapet bestemte at det ikke lenger var en del av kjernevirksomheten.

NSN -systemet fulgte opp kjøp fra Iran fra Secure Computing Corp. tidligere på tiåret.

Det er reist spørsmål om rapporteringspåliteligheten til Journal -rapporten av David Isenberg, en uavhengig Washington, DC -basert analytiker og Cato Institute Adjunct Scholar, som spesifikt sa at Roome benekter sitatene som er tilskrevet ham og at han, Isenberg, også hadde lignende klager med en av de samme Journal -reporterne i en tidligere historie. NSN har utstedt følgende benektelse: NSN "har ikke gitt Iran noen dyp pakkeinspeksjon, websensur eller internettfiltreringsevne". En samtidig artikkel i The New York Times uttalte at NSN -salget hadde blitt dekket i en "mengde med nyhetsrapporter i april [2009], inkludert The Washington Times ," og gjennomgikk sensur av Internett og andre medier i landet, men gjorde det ikke nevne DPI.

I følge Walid Al-Saqaf, utvikleren av internettsensuromgåeren Alkasir , brukte Iran dyp pakkeinspeksjon i februar 2012, noe som førte til at internetthastigheter i hele landet nærmet seg en stillstand. Dette eliminerte kort tilgang til verktøy som Tor og Alkasir.

Russland

Hovedartikkel: SORM

DPI er ennå ikke mandat i Russland. Federal Law No.139 håndhever blokkering av nettsteder på den russiske Internett -svartelisten ved hjelp av IP -filtrering, men tvinger ikke Internett -leverandører til å analysere datadelen i pakker. Noen Internett -leverandører bruker imidlertid fortsatt forskjellige DPI -løsninger for å implementere svarteliste. For 2019 planlegger myndigheten Roskomnadzor en landsdekkende utrulling av DPI etter pilotprosjektet i en av landets regioner, til en estimert kostnad på 20 milliarder rubler (300 millioner dollar).

Noen menneskerettighetsaktivister anser Deep Packet -inspeksjon i strid med artikkel 23 i grunnloven for Den russiske føderasjon , selv om en juridisk prosess for å bevise eller tilbakevise som aldri har funnet sted.

Singapore

Hovedartikkel: Internett -sensur i Singapore

Bystaten bruker angivelig dyp pakkeinspeksjon av internettrafikk.

Syria

Staten benytter angivelig dyp pakkeinspeksjon av internettrafikk for å analysere og blokkere forbudt transitt.

Malaysia

Den sittende malaysiske regjeringen, ledet av Barisan Nasional, ble sagt å bruke DPI mot en politisk motstander under opptaket til det 13. stortingsvalget som ble avholdt 5. mai 2013.

Formålet med DPI, i dette tilfellet, var å blokkere og/eller hindre tilgang til utvalgte nettsteder, f.eks. Facebook -kontoer, blogger og nyhetsportaler.

Egypt

Siden 2015 begynte Egypt angivelig å bli med på listen som stadig ble nektet av tjenestemenn i den egyptiske nasjonale telekommunikasjonsmyndigheten (NTRA). Imidlertid kom det til nyheter da landet bestemte seg for å blokkere den krypterte meldingsappen Signal som annonsert av programmets utvikler.

I april 2017 har alle VOIP -applikasjoner inkludert FaceTime, Facebook Messenger, Viber, Whatsapp -samtaler og Skype blitt blokkert i landet.

Vietnam

Hovedartikkel: Internett -sensur i Vietnam

Vietnam lanserte sitt nettverkssikkerhetssenter og krevde Internett -leverandører å oppgradere maskinvaresystemene sine for å bruke dyp pakkeinspeksjon for å blokkere internettrafikk.

Nettnøytralitet

Se også: nettverksnøytralitet

Personer og organisasjoner som er bekymret for personvern eller nettverksnøytralitet, synes inspeksjon av innholdslagene i Internett-protokollen er støtende, og sier for eksempel "" Nettet ble bygget på åpen tilgang og ikke-diskriminering av pakker! " Kritikere av regler for nettnøytralitet kaller dem i mellomtiden "en løsning på jakt etter et problem" og sier at regler for nettnøytralitet vil redusere insentiver til å oppgradere nettverk og lansere neste generasjons nettverkstjenester .

Dyp pakkeinspeksjon anses av mange for å undergrave infrastrukturen på internett.

Kryptering og tunneling undergraver DPI

SSL / TLS dyp inspeksjon

Med økt bruk av HTTPS og personverntunnel ved bruk av VPN -er, blir effektiviteten til DPI tvilsom. Som svar tilbyr mange nettapplikasjonsbrannmurerHTTPS -inspeksjon , der de dekrypterer HTTPS -trafikk for å analysere den. WAF kan enten avslutte krypteringen, så forbindelsen mellom WAF og klientleseren bruker vanlig HTTP, eller krypter dataene på nytt ved å bruke sitt eget HTTPS-sertifikat, som må distribueres til klienter på forhånd. Teknikkene som brukes i HTTPS / SSL Inspection (også kjent som HTTPS / SSL Interception) er de samme som brukes av man-in-the-middle (MiTM) angrep

Det fungerer slik:

  1. Klienten ønsker å koble til https://www.targetwebsite.com
  2. Trafikk går gjennom brannmur eller sikkerhetsprodukt
  3. Brannmur fungerer som gjennomsiktig proxy
  4. Brannmur lager SSL -sertifikat signert av sin egen "CompanyFirewall CA "
  5. Brannmur presenterer dette "CompanyFirewall CA " signerte sertifikatet til klienten (ikke targetwebsite.com sertifikatet)
  6. Samtidig kobler brannmuren i seg selv til https://www.targetwebsite.com
  7. targetwebsite.com presenterer sitt offisielt signerte sertifikat (signert av en godkjent CA )
  8. Brannmur sjekker Certificate Trust -kjeden alene
  9. Brannmur fungerer nå som Man-in-the-middle .
  10. Trafikk fra klienten vil bli dekryptert (med Key Exchange -informasjon fra klienten), analysert (for skadelig trafikk, brudd på retningslinjer eller virus), kryptert (med Key Exchange -informasjon fra targetwebsite.com) og sendt til targetwebsite.com
  11. Trafikk fra targetwebsite.com vil også bli dekryptert (med Key Exchange -informasjon fra targetwebsite.com), analysert (som ovenfor), kryptert (med Key Exchange -informasjon fra Client) og sendt til Client.
  12. Brannmurproduktet kan lese all informasjon som utveksles mellom SSL-klient og SSL-server (targetwebsite.com)

Dette kan gjøres med en hvilken som helst TLS-avsluttet tilkobling (ikke bare HTTPS) så lenge brannmurproduktet kan endre TrustStore til SSL-klienten

Infrastruktur sikkerhet

Tradisjonelt har mantraet som har tjent ISP godt vært å bare operere på lag 4 og under av OSI -modellen. Dette er fordi ganske enkelt å bestemme hvor pakker går og rute dem er relativt lett å håndtere sikkert. Denne tradisjonelle modellen tillater fortsatt Internett -leverandører å utføre nødvendige oppgaver på en trygg måte, for eksempel å begrense båndbredden, avhengig av mengden båndbredde som brukes (lag 4 og under) i stedet for per protokoll eller applikasjonstype (lag 7). Det er et veldig sterkt og ofte ignorert argument om at ISP -handling over lag 4 i OSI -modellen gir det som er kjent i sikkerhetssamfunnet som "stepping stones" eller plattformer for å lede mennesker i midten angrep fra. Dette problemet forverres ved at ISP ofte velger billigere maskinvare med dårlige sikkerhetsregistre for de svært vanskelige og uten tvil umulige oppgavene til Deep Packet Inspection.

OpenBSDs pakkfilter unngår spesielt DPI av den grunn at det ikke kan gjøres sikkert med tillit.

Dette betyr at DPI -avhengige sikkerhetstjenester som TalkTalks tidligere HomeSafe -implementering faktisk handler sikkerheten til noen få (som kan beskyttes og ofte allerede kan beskyttes på mange mer effektive måter) til en kostnad av redusert sikkerhet for alle der brukerne også har en langt mindre mulighet for redusere risikoen. Spesielt HomeSafe -tjenesten velger å blokkere, men DPI -en kan ikke velges, selv for forretningsbrukere.

Programvare

nDPI (en gaffel fra OpenDPI som er EoL av utviklerne av ntop ) er åpen kildekode- versjon for ikke- skjulte protokoller . PACE, en annen slik motor, inkluderer skjulte og krypterte protokoller, som er typene knyttet til Skype eller kryptert BitTorrent . Siden OpenDPI ikke lenger vedlikeholdes, er det opprettet en OpenDPI-gaffel ved navn nDPI, aktivt vedlikeholdt og utvidet med nye protokoller inkludert Skype , Webex , Citrix og mange andre.

L7-Filter er en klassifikator for Linux's Netfilter som identifiserer pakker basert på applikasjonslagsdata. Det kan klassifisere pakker som Kazaa , HTTP , Jabber , Citrix , Bittorrent , FTP , Gnucleus , eDonkey2000 og andre. Det klassifiserer streaming, mailing, P2P, VOIP , protokoller og spillapplikasjoner. Programvaren har blitt pensjonert og erstattet av åpen kildekode Netify DPI Engine .

Hippie (Hi-Performance Protocol Identification Engine) er et åpen kildekode-prosjekt som ble utviklet som Linux-kjernemodul. Det ble utviklet av Josh Ballard. Den støtter både DPI og brannmurfunksjonalitet.

SPID -prosjektet (Statistical Protocol IDentification) er basert på statistisk analyse av nettverksstrømmer for å identifisere applikasjonstrafikk. SPID -algoritmen kan detektere applikasjonslagprotokollen (lag 7) ved signaturer (en sekvens av byte ved en bestemt forskyvning i håndtrykket), ved å analysere flyteinformasjon (pakkestørrelser, etc.) og nyttelaststatistikk (hvor ofte byteverdien forekommer for å måle entropi) fra pcap -filer. Det er bare et bevis på konseptapplikasjon og støtter for tiden omtrent 15 applikasjoner/protokoller som eDonkey Obfuscation -trafikk, Skype UDP og TCP, BitTorrent , IMAP , IRC , MSN og andre.

Tstat (TCP STatistic and Analysis Tool) gir innsikt i trafikkmønstre og gir detaljer og statistikk for en rekke applikasjoner og protokoller.

Libprotoident introduserer Lightweight Packet Inspection (LPI), som bare undersøker de fire første byte nyttelast i hver retning. Det gjør det mulig å minimere personvernproblemer, samtidig som du reduserer diskplassen som trengs for å lagre pakkesporene som er nødvendige for klassifiseringen. Libprotoident støtter over 200 forskjellige protokoller, og klassifiseringen er basert på en kombinert tilnærming ved bruk av nyttelastmønstermatching, nyttelaststørrelse, portnummer og IP -matching.

En fransk firma som heter AMESYS , utviklet og solgt en påtrengende og massive internett overvåking system Eagle til Muammar Gaddafi .

Sammenligning

En omfattende sammenligning av ulike nettverkstrafikk klassifiseringer, som er avhengig av Deep Packet Inspection (PACE, OpenDPI, 4 forskjellige konfigurasjoner av L7-filter, NDPI, Libprotoident og Cisco NBAR), er vist i den uavhengige sammenligningen av populære DPI-verktøy for trafikklassifisering .

Maskinvare

Det er lagt større vekt på dyp pakkeinspeksjon - dette kommer i lyset etter avvisning av både SOPA- og PIPA -regningene. Mange nåværende DPI -metoder er langsomme og kostbare, spesielt for applikasjoner med høy båndbredde. Mer effektive metoder for DPI utvikles. Spesialiserte rutere kan nå utføre DPI; rutere bevæpnet med en ordbok med programmer vil hjelpe til med å identifisere formålene bak LAN og internettrafikk de dirigerer. Cisco Systems er nå på sin andre iterasjon av DPI -aktiverte rutere, med kunngjøringen av CISCO ISR G2 -ruteren.

Se også

Referanser

Eksterne linker