¿Qué es la inspección profunda de paquetes?

La inspección profunda de paquetes (DPI) se refiere al método de examinar el contenido completo de los paquetes de datos mientras atraviesan un punto de control de la red monitorizada. Mientras que las formas convencionales de inspección de paquetes con estado sólo evalúan la información de la cabecera del paquete, como la dirección IP de origen, la dirección IP de destino y el número de puerto, la inspección profunda de paquetes examina una gama más completa de datos y metadatos asociados a los paquetes individuales. La inspección profunda de paquetes no sólo examinará la información de la cabecera del paquete, sino también el contenido de la carga útil del paquete.

La gran cantidad de datos evaluados por la inspección profunda de paquetes proporciona un mecanismo más robusto para aplicar el filtrado de paquetes de red, ya que la DPI puede utilizarse para identificar y bloquear con mayor precisión una serie de amenazas complejas que se esconden en los flujos de datos de la red, incluyendo:

• Malware
• Intentos de exfiltración de datos
• Infracciones de la política de contenidos
• Comunicaciones criminales de comando y control

Las capacidades de inspección profunda de paquetes han evolucionado para superar las limitaciones de los cortafuegos tradicionales que se basan en la inspección de paquetes con estado. Para entender el avance que ofrece la inspección profunda de paquetes, piense en ella en términos de seguridad aeroportuaria.

El filtrado de paquetes con estado sería como validar la seguridad del equipaje comprobando las etiquetas del mismo para asegurarse de que los aeropuertos de origen y destino coinciden con los números de vuelo registrados. Por el contrario, el filtrado mediante la inspección profunda de paquetes sería más parecido a examinar las maletas mediante rayos X para asegurarse de que no hay nada peligroso en su interior antes de dirigirlas a sus vuelos correspondientes.

Casos de uso para la inspección profunda de paquetes

El análisis de los flujos de tráfico a través de la inspección profunda de paquetes abre una gama de casos de uso de seguridad nuevos y mejorados.

Bloqueo de malware

Cuando se combina con algoritmos de detección de amenazas, la inspección profunda de paquetes puede utilizarse para bloquear el malware antes de que comprometa los puntos finales y otros activos de la red. Esto significa que puede ayudar a filtrar la actividad de ransomware, virus, spyware y gusanos. En términos más generales, también proporciona visibilidad a través de la red que puede ser analizada a través de la heurística para identificar patrones de tráfico anormales y alertar a los equipos de seguridad sobre el comportamiento malicioso indicativo de compromisos existentes.

Detener las fugas de datos

La inspección profunda de paquetes se puede utilizar no sólo para el tráfico entrante, sino también para la actividad de la red saliente. Esto significa que las organizaciones pueden utilizar ese análisis para establecer filtros que detengan los intentos de exfiltración de datos por parte de atacantes externos o las posibles fugas de datos causadas por personas internas tanto malintencionadas como negligentes.

Aplicación de la política de contenidos

La mayor visibilidad de las aplicaciones que ofrece la inspección profunda de paquetes permite a las organizaciones bloquear o limitar el acceso a aplicaciones de riesgo o no autorizadas, como los descargadores peer-to-peer. Del mismo modo, el análisis más profundo de DPI abre el camino para que las organizaciones bloqueen los patrones de uso que violan las políticas o impidan el acceso a datos no autorizados dentro de las aplicaciones aprobadas por la empresa

Beneficios y retos de la DPI

La visibilidad añadida que proporciona el análisis de sondeo de la DPI ayuda a los equipos de TI a aplicar políticas de ciberseguridad más completas y detalladas. Esta es la razón por la que muchos proveedores de cortafuegos han pasado a añadirla a sus listas de características a lo largo de los años.

Sin embargo, muchas organizaciones han descubierto que habilitar la DPI en los dispositivos de cortafuegos a menudo introduce cuellos de botella inaceptables en la red y una degradación del rendimiento. En primer lugar, estos dispositivos locales están ligados a las redes corporativas y requieren que las organizaciones transporten el tráfico de los usuarios remotos a través de esta infraestructura para que los paquetes pasen por los puntos de control de la inspección DPI. Esto introduce una tremenda latencia para este creciente número de usuarios y es cada vez más inviable, ya que muchas empresas se han visto obligadas a dar soporte a fuerzas de trabajo completamente distribuidas. Es más, es probable que estos problemas de rendimiento inciten a muchos usuarios y departamentos a saltarse la inspección por completo. Cuando estos usuarios se conectan a la nube y a los recursos en línea directamente sin una conexión VPN, acaban eludiendo por completo las protecciones del perímetro de la red.

Y luego está el reto del tráfico cifrado. Aunque algunos cortafuegos afirman que realizan una inspección profunda de paquetes en el tráfico HTTPS, el proceso de descifrar los datos e inspeccionarlos en línea con los flujos de tráfico es una actividad que requiere un gran número de procesadores y que desborda a muchos dispositivos de seguridad basados en hardware. En respuesta, los administradores a menudo optan por desactivar la capacidad dentro de sus cortafuegos.

Esto deja un enorme punto ciego de visibilidad de la red a medida que crece la prevalencia de TLS/SSL en la web. Las estimaciones actuales de la industria muestran que hasta el 95% de la actividad web actual se produce a través de canales cifrados. Los atacantes reconocen los retos a los que se enfrentan sus víctimas potenciales a la hora de extender el escrutinio de la DPI sobre este tráfico, razón por la cual unos dos tercios del malware se esconden ahora bajo la cobertura de HTTPS.

Como resultado, las organizaciones que buscan aprovechar los beneficios de la DPI tienden a buscar medios técnicos adicionales para habilitar la funcionalidad.

Cómo ofrecen las pasarelas web seguras la funcionalidad DPI

Reconociendo que los cortafuegos siguen siendo valiosos principalmente en el perímetro de la red, muchas organizaciones están recurriendo a las pasarelas web seguras basadas en la nube para ayudarles a eliminar la carga de rendimiento de la inspección profunda de paquetes de estos dispositivos. Estos filtros web protegen el tráfico saliente de los usuarios, idealmente utilizando la funcionalidad DPI que puede examinar tanto el tráfico HTTP como el HTTPS generado por los usuarios, independientemente de su ubicación. Al descargar el tráfico de usuario cifrado y remoto a través de una pasarela web segura basada en la nube, las organizaciones pueden ampliar el análisis profundo del tráfico de DPI sin presionar los dispositivos basados en hardware existentes.

En la misma línea, esa arquitectura también simplifica la realización de la inspección profunda de paquetes fuera de los confines de la red corporativa. Esto ofrece a las organizaciones una vía más coherente para la aplicación de políticas cuando gestionan políticas de seguridad en múltiples ubicaciones y una amplia base de usuarios remotos que se conectan directamente a Internet y a los recursos de la nube.