Was ist Deep Packet Inspection?

Deep Packet Inspection (DPI) bezieht sich auf die Methode, den vollständigen Inhalt von Datenpaketen zu untersuchen, während sie einen überwachten Netzwerkkontrollpunkt durchlaufen. Während herkömmliche Formen der Stateful Packet Inspection nur die Header-Informationen der Pakete auswerten, wie z.B. die Quell- und Ziel-IP-Adresse sowie die Port-Nummer, werden bei der Deep Packet Inspection eine ganze Reihe von Daten und Metadaten untersucht, die mit den einzelnen Paketen verbunden sind. Bei der Deep Packet Inspection werden nicht nur die Informationen im Header des Pakets untersucht, sondern auch der Inhalt, der in der Nutzlast des Pakets enthalten ist.

Die umfangreichen Daten, die von der Deep Packet Inspection ausgewertet werden, bieten einen robusteren Mechanismus zur Durchsetzung der Netzwerk-Paketfilterung, da DPI verwendet werden kann, um eine Reihe komplexer Bedrohungen, die sich in Netzwerk-Datenströmen verstecken, genauer zu identifizieren und zu blockieren, einschließlich:

• Malware
• Versuche der Datenexfiltration
• Verstöße gegen Inhaltsrichtlinien
• Kriminelle Befehls- und Kontrollkommunikation

Die Deep Packet Inspection-Funktionen haben sich entwickelt, um die Beschränkungen herkömmlicher Firewalls zu überwinden, die sich auf die Stateful Packet Inspection stützen. Um den Fortschritt zu verstehen, den die Deep Packet Inspection bietet, kann man sie mit der Flughafensicherheit vergleichen.

Stateful Packet Filtering ist vergleichbar mit der Überprüfung der Sicherheit von Gepäckstücken, indem man die Gepäckanhänger überprüft, um sicherzustellen, dass die Abflug- und Zielflughäfen mit den aufgezeichneten Flugnummern übereinstimmen. Im Gegensatz dazu wäre die Filterung mit Deep Packet Inspection eher mit einer Röntgenuntersuchung von Gepäckstücken vergleichbar, um sicherzustellen, dass sich darin nichts Gefährliches befindet, bevor sie zu den richtigen Flügen weitergeleitet werden.

Anwendungsfälle für Deep Packet Inspection

Die Analyse von Verkehrsflüssen durch Deep Packet Inspection eröffnet eine Reihe neuer und verbesserter Anwendungsfälle für die Sicherheit.

Blockieren von Malware

In Verbindung mit Algorithmen zur Erkennung von Bedrohungen kann Deep Packet Inspection verwendet werden, um Malware zu blockieren, bevor sie Endpunkte und andere Netzwerkressourcen gefährdet. Das bedeutet, dass sie dazu beitragen kann, Aktivitäten von Ransomware, Viren, Spyware und Würmern herauszufiltern. Darüber hinaus bietet sie einen Überblick über das gesamte Netzwerk, der mit Hilfe von Heuristiken analysiert werden kann, um anormale Datenverkehrsmuster zu erkennen und Sicherheitsteams vor bösartigem Verhalten zu warnen, das auf eine bestehende Gefährdung hindeutet.

Stopfen von Datenlecks

Die Deep Packet Inspection kann nicht nur für eingehenden Datenverkehr, sondern auch für ausgehende Netzwerkaktivitäten verwendet werden. Das bedeutet, dass Unternehmen diese Analyse nutzen können, um Filter zu setzen, die Datenexfiltrationsversuche durch externe Angreifer oder potenzielle Datenlecks durch böswillige und fahrlässige Insider stoppen.

Durchsetzung von Inhaltsrichtlinien

Die zusätzliche Anwendungstransparenz, die Deep Packet Inspection bietet, ermöglicht es Unternehmen, den Zugriff auf riskante oder nicht autorisierte Anwendungen wie Peer-to-Peer-Downloader zu blockieren oder zu drosseln. Ebenso eröffnet die tiefere Analyse von DPI Unternehmen den Weg, richtlinienwidrige Nutzungsmuster zu blockieren oder den nicht autorisierten Datenzugriff innerhalb unternehmensgenehmigter Anwendungen zu verhindern

Vorteile und Herausforderungen von DPI

Die zusätzliche Transparenz, die die DPI-Analyse bietet, hilft IT-Teams, umfassendere und detailliertere Cybersicherheitsrichtlinien durchzusetzen. Aus diesem Grund haben viele Firewall-Anbieter diese Funktion im Laufe der Jahre in ihre Funktionslisten aufgenommen.

Viele Unternehmen haben jedoch festgestellt, dass die Aktivierung von DPI in Firewall-Appliances häufig zu inakzeptablen Netzwerkengpässen und Leistungseinbußen führt. Zunächst einmal sind diese lokalen Appliances an Unternehmensnetzwerke gebunden und erfordern, dass Unternehmen den Datenverkehr von Remote-Benutzern durch diese Infrastruktur leiten, damit die Pakete die DPI-Prüfpunkte durchlaufen können. Dies führt zu enormen Latenzzeiten für diese wachsende Zahl von Benutzern und ist zunehmend unpraktikabel, da viele Unternehmen gezwungen sind, vollständig verteilte Belegschaften zu unterstützen. Darüber hinaus werden diese Leistungsprobleme viele Benutzer und Abteilungen dazu veranlassen, die Überprüfung ganz zu überspringen. Wenn diese Benutzer ohne VPN-Verbindung direkt auf Cloud- und Online-Ressourcen zugreifen, umgehen sie den Schutz des Netzwerkrands vollständig.

Und dann ist da noch die Herausforderung des verschlüsselten Datenverkehrs. Zwar behaupten einige Firewalls, eine Deep Packet Inspection für HTTPS-Verkehr durchzuführen, aber der Prozess der Entschlüsselung von Daten und deren Prüfung zusammen mit dem Verkehrsfluss ist eine prozessorintensive Tätigkeit, die viele hardwarebasierte Sicherheitsgeräte überfordert. Als Reaktion darauf entscheiden sich die Administratoren oft dafür, diese Funktion in ihren Firewalls zu deaktivieren.

Dies hinterlässt einen riesigen blinden Fleck in der Netzwerkübersicht, da die Verbreitung von TLS/SSL im Internet zunimmt. Aktuellen Branchenschätzungen zufolge erfolgen heute bis zu 95 % der Web-Aktivitäten über verschlüsselte Kanäle. Angreifer wissen, wie schwierig es für ihre potenziellen Opfer ist, die DPI-Prüfung auf diesen Datenverkehr auszudehnen, weshalb sich etwa zwei Drittel der Malware unter dem Deckmantel von HTTPS verstecken.

Infolgedessen suchen Unternehmen, die von den Vorteilen der DPI profitieren möchten, nach zusätzlichen technischen Mitteln, um die Funktionalität zu aktivieren.

Wie sichere Web-Gateways DPI-Funktionalität bieten

In der Erkenntnis, dass Firewalls nach wie vor einen wertvollen Hauptzweck an der Netzwerkgrenze erfüllen, wenden sich viele Unternehmen an Cloud-basierte sichere Web-Gateways, um diese Geräte von der Leistungslast der Deep Packet Inspection zu befreien. Diese Webfilter schützen den ausgehenden Benutzerverkehr, idealerweise mit einer DPI-Funktionalität, die sowohl HTTP- als auch HTTPS-Verkehr untersuchen kann, der von Benutzern unabhängig von ihrem Standort generiert wird. Durch die Auslagerung von verschlüsseltem und Remote-Benutzerverkehr über ein Cloud-basiertes sicheres Web-Gateway können Unternehmen die DPI-Tiefenanalyse des Datenverkehrs skalieren, ohne die vorhandenen hardwarebasierten Geräte zu belasten.

Diese Architektur macht es auch einfacher, Deep Packet Inspection außerhalb der Grenzen des Unternehmensnetzwerks durchzuführen. Dies bietet Unternehmen einen konsistenteren Weg zur Durchsetzung von Richtlinien, wenn sie Sicherheitsrichtlinien über mehrere Standorte und eine weit verbreitete Remote-Benutzerbasis verwalten, die sich direkt mit dem Internet und Cloud-Ressourcen verbindet.