Co je hloubková kontrola paketů?

Hloubková kontrola paketů (DPI) označuje metodu zkoumání celého obsahu datových paketů při jejich průchodu monitorovaným kontrolním bodem sítě. Zatímco běžné formy stavové kontroly paketů vyhodnocují pouze informace v záhlaví paketů, jako je zdrojová IP adresa, cílová IP adresa a číslo portu, hloubková kontrola paketů zkoumá úplnější rozsah dat a metadat spojených s jednotlivými pakety. Hloubková kontrola paketů nezkoumá pouze informace v záhlaví paketu, ale také obsah obsažený v užitečném zatížení paketu.

Bohatá data vyhodnocovaná hloubkovou kontrolou paketů poskytují robustnější mechanismus pro vynucování filtrování síťových paketů, protože DPI lze použít k přesnější identifikaci a blokování řady komplexních hrozeb skrývajících se v síťových datových tocích, mj:

• Malware
• Pokusy o exfiltraci dat
• Porušení zásad obsahu
• Kriminální příkazová a řídicí komunikace

Možnosti hloubkové kontroly paketů se vyvinuly s cílem překonat omezení tradičních firewallů, které se spoléhají na stavovou kontrolu paketů. Chcete-li pochopit pokrok, který nabízí hloubková kontrola paketů, představte si ji v termínech letištní bezpečnosti.

Stavové filtrování paketů by bylo jako ověřování bezpečnosti zavazadel kontrolou visaček zavazadel, zda se výchozí a cílové letiště shodují s evidovanými čísly letů. Naproti tomu filtrování pomocí hloubkové kontroly paketů by se podobalo spíše prohlídce zavazadel rentgenem, aby se před jejich nasměrováním ke správným letům zajistilo, že v nich není nic nebezpečného.

Případy použití hloubkové kontroly paketů

Analýza dopravních toků pomocí hloubkové kontroly paketů otevírá řadu nových a vylepšených případů použití v oblasti zabezpečení.

Blokování malwaru

Při spojení s algoritmy detekce hrozeb lze hloubkovou kontrolu paketů použít k blokování malwaru dříve, než ohrozí koncové body a další síťová zařízení. To znamená, že může pomoci odfiltrovat aktivity ransomwaru, virů, spywaru a červů. V širším měřítku také poskytuje viditelnost v celé síti, kterou lze analyzovat pomocí heuristiky a identifikovat tak neobvyklé vzorce provozu a upozornit bezpečnostní týmy na škodlivé chování svědčící o existující kompromitaci.

Zastavení úniku dat

Hloubkovou kontrolu paketů lze použít nejen pro příchozí provoz, ale také pro odchozí síťové aktivity. To znamená, že organizace mohou tuto analýzu využít k nastavení filtrů, které zastaví pokusy o exfiltraci dat ze strany externích útočníků nebo potenciální úniky dat způsobené škodlivými i nedbalými zasvěcenými osobami.

Vynucování zásad obsahu

Dodatečný přehled o aplikacích poskytovaný hloubkovou kontrolou paketů umožňuje organizacím blokovat nebo omezit přístup k rizikovým nebo neautorizovaným aplikacím, jako jsou například peer-to-peer downloadery. Podobně hlubší analýza díky DPI otevírá organizacím cestu k blokování vzorců používání porušujících zásady nebo k zabránění neoprávněného přístupu k datům v rámci firemních schválených aplikací

Přínosy a výzvy DPI

Dodatečný přehled poskytovaný sondážní analýzou DPI pomáhá týmům IT prosazovat komplexnější a podrobnější zásady kybernetické bezpečnosti. Proto mnoho dodavatelů brány firewall v průběhu let přistoupilo k jejímu přidání do seznamu funkcí.

Mnoho organizací však zjistilo, že zapnutí DPI v zařízeních firewall často přináší nepřijatelná úzká místa v síti a snížení výkonu. Především jsou tato lokální zařízení vázána na podnikové sítě a vyžadují, aby organizace zpětně přenášely provoz od vzdálených uživatelů přes tuto infrastrukturu, aby pakety prošly kontrolními body inspekce DPI. To přináší obrovské zpoždění pro tento rostoucí počet uživatelů a je to stále více neproveditelné, protože mnoho společností bylo nuceno podporovat zcela distribuované pracovní síly. Navíc tyto výkonnostní problémy pravděpodobně podnítí mnoho uživatelů a oddělení k tomu, aby kontrolu zcela vynechali. Když se tito uživatelé připojují ke cloudovým a online zdrojům přímo bez připojení VPN, nakonec zcela obejdou ochranu perimetru sítě.

A pak je tu ještě problém šifrovaného provozu. Některé brány firewall sice tvrdí, že provádějí hloubkovou kontrolu paketů u provozu HTTPS, ale proces dešifrování dat a jejich kontrola inline s provozními toky je procesorově náročná činnost, která zahlcuje mnoho hardwarových bezpečnostních zařízení. V reakci na to se správci často rozhodnou tuto funkci v rámci svých firewallů vypnout.

S rostoucím rozšířením TLS/SSL na webu tak vzniká obrovské slepé místo pro viditelnost sítě. Současné průmyslové odhady ukazují, že až 95 % webových aktivit dnes probíhá prostřednictvím šifrovaných kanálů. Útočníci si uvědomují problémy, kterým jejich potenciální oběti čelí při rozšiřování kontroly DPI na tento provoz, a proto se nyní přibližně dvě třetiny škodlivého softwaru skrývají pod krytím HTTPS.

V důsledku toho mají organizace, které chtějí využít výhod DPI, tendenci hledat další technické prostředky, jak tuto funkci umožnit.

Jak zabezpečené webové brány nabízejí funkce DPI

Uvědomujíce si, že brány firewall stále slouží cennému účelu především na perimetru sítě, mnoho organizací se obrací na zabezpečené webové brány založené na cloudu, které jim pomáhají odstranit výkonnostní zátěž hloubkové kontroly paketů z těchto zařízení. Tyto webové filtry chrání odchozí uživatelský provoz, v ideálním případě pomocí funkce DPI, která dokáže prověřit provoz HTTP i HTTPS generovaný uživateli bez ohledu na jejich umístění. Odlehčením šifrovaného a vzdáleného uživatelského provozu prostřednictvím zabezpečené webové brány založené na cloudu mohou organizace rozšířit hloubkovou analýzu provozu DPI, aniž by zatěžovaly stávající hardwarová zařízení.

Ve stejném duchu tato architektura také zjednodušuje provádění hloubkové kontroly paketů mimo hranice podnikové sítě. To nabízí organizacím konzistentnější cestu k prosazování zásad, pokud spravují zásady zabezpečení na více místech a s rozsáhlou základnou vzdálených uživatelů, kteří se připojují přímo k internetu a cloudovým zdrojům.