Mi a mély csomagvizsgálat?

A mély csomagvizsgálat (DPI) az adatcsomagok teljes tartalmának vizsgálatát jelenti, miközben azok áthaladnak egy ellenőrzött hálózati ellenőrzőponton. Míg az állapotfüggő csomagellenőrzés hagyományos formái csak a csomagfejléc adatait értékelik, például a forrás IP-címet, a cél IP-címet és a portszámot, a mély csomagellenőrzés az egyes csomagokhoz kapcsolódó adatok és metaadatok teljesebb körét vizsgálja. A mély csomagellenőrzés nemcsak a csomag fejlécében szereplő információkat vizsgálja meg, hanem a csomag hasznos tartalmát is.

A mély csomagvizsgálat által kiértékelt gazdag adatmennyiség robusztusabb mechanizmust biztosít a hálózati csomagszűrés érvényesítéséhez, mivel a DPI segítségével pontosabban azonosítható és blokkolható a hálózati adatfolyamokban megbújó számos összetett fenyegetés, többek között:

  • Rontott szoftverek
  • Adatszivárgási kísérletek
  • Tartalomszabályzatok megsértése
  • Bűnügyi parancs- és vezérlési kommunikáció

A mély csomagvizsgálati képességek azért fejlődtek ki, hogy leküzdjék az állapotfüggő csomagvizsgálatra épülő hagyományos tűzfalak korlátait. A mély csomagvizsgálat által kínált előrelépés megértéséhez gondoljon rá a repülőtéri biztonság szempontjából.

A statikus csomagszűrés olyan lenne, mintha a poggyászok biztonságát a poggyászcímkék ellenőrzésével igazolnánk, hogy a kiindulási és a célrepülőtér megegyezik-e a nyilvántartott járatszámokkal. Ezzel szemben a mély csomagvizsgálatot alkalmazó szűrés inkább olyan lenne, mintha a csomagokat röntgenvizsgálaton vizsgálnánk át, hogy megbizonyosodjunk arról, hogy nincs bennük semmi veszélyes, mielőtt a megfelelő járatra irányítanánk őket.

A mély csomagvizsgálat felhasználási esetei

A forgalom mély csomagvizsgálattal történő elemzése számos új és továbbfejlesztett biztonsági felhasználási esetet nyit meg.

Kártékony programok blokkolása

A fenyegetésfelismerő algoritmusokkal párosítva a mély csomagvizsgálat felhasználható a kártékony programok blokkolására, mielőtt azok veszélyeztetnék a végpontokat és más hálózati eszközöket. Ez azt jelenti, hogy segíthet kiszűrni a zsarolóprogramok, vírusok, kémprogramok és férgek tevékenységét. Tágabb értelemben a hálózat egészére kiterjedő átláthatóságot is biztosít, amelyet heurisztikák segítségével lehet elemezni a rendellenes forgalmi minták azonosítására és a biztonsági csapatok figyelmeztetésére a meglévő veszélyekre utaló rosszindulatú viselkedésre.

Az adatszivárgás megállítása

A mély csomagvizsgálat nemcsak a bejövő forgalomra, hanem a kimenő hálózati tevékenységre is alkalmazható. Ez azt jelenti, hogy a szervezetek ezt az elemzést szűrők beállítására használhatják, hogy megállítsák a külső támadók adatszivárgási kísérleteit vagy a rosszindulatú és gondatlan bennfentesek által okozott potenciális adatszivárgásokat.

Tartalomirányelvek érvényesítése

A mély csomagvizsgálat által biztosított hozzáadott alkalmazási átláthatóság lehetővé teszi a szervezetek számára, hogy blokkolják vagy korlátozzák a kockázatos vagy nem engedélyezett alkalmazásokhoz, például a peer-to-peer letöltőkhöz való hozzáférést. Hasonlóképpen, a DPI mélyebb elemzése megnyitja az utat a szervezetek előtt, hogy blokkolják a házirendeket sértő használati mintákat, vagy megakadályozzák az illetéktelen adathozzáférést a vállalat által jóváhagyott alkalmazásokon belül

Secure web gateway service

Teljesen menedzselt web- és internetbiztonság az SD-WAN, a mobilitás és a felhő számára.

További információ

A DPI előnyei és kihívásai

A DPI szondázó elemzése által biztosított többlet átláthatóság segít az IT-csapatoknak abban, hogy átfogóbb és részletesebb kiberbiztonsági irányelveket érvényesítsenek. Ezért számos tűzfalgyártó az évek során arra törekedett, hogy felvegye a funkciólistájára.

Mégis sok szervezet azt tapasztalta, hogy a DPI engedélyezése a tűzfalberendezésekben gyakran elfogadhatatlan hálózati szűk keresztmetszeteket és teljesítménycsökkenést okoz. Először is, ezek a helyben telepített készülékek a vállalati hálózatokhoz vannak kötve, és a szervezeteknek a távoli felhasználóktól származó forgalmat ezen az infrastruktúrán keresztül kell visszairányítaniuk, hogy a csomagok átfussanak a DPI-ellenőrzési ellenőrzőpontokon. Ez óriási késleltetést eredményez a felhasználók e növekvő csoportja számára, és egyre kevésbé kivitelezhető, mivel sok vállalat kénytelen teljesen elosztott munkaerőt támogatni. Ráadásul ezek a teljesítményproblémák valószínűleg sok felhasználót és részleget arra ösztönöznek, hogy teljesen kihagyják az ellenőrzést. Amikor ezek a felhasználók VPN-kapcsolat nélkül közvetlenül csatlakoznak a felhő- és online erőforrásokhoz, végül teljesen megkerülik a hálózat peremének védelmét.

És ott van még a titkosított forgalom kihívása. Bár egyes tűzfalak azt állítják, hogy mély csomagvizsgálatot végeznek a HTTPS-forgalmon, az adatok dekódolása és a forgalomáramlással egyidejűleg történő vizsgálata olyan processzorigényes tevékenység, amely sok hardveralapú biztonsági eszközt túlterhel. Válaszul a rendszergazdák gyakran úgy döntenek, hogy kikapcsolják ezt a képességet a tűzfalakon belül.

Ez a TLS/SSL webes elterjedtségének növekedésével hatalmas hálózati láthatósági vakfoltot hagy maga után. A jelenlegi iparági becslések szerint napjainkban a webes tevékenység 95%-a titkosított csatornákon keresztül történik. A támadók felismerik azokat a kihívásokat, amelyekkel potenciális áldozataiknak szembe kell nézniük a DPI-ellenőrzés kiterjesztése során erre a forgalomra, ezért a rosszindulatú programok mintegy kétharmada ma már a HTTPS álcája alatt rejtőzik.

Ennek eredményeképpen a DPI előnyeit kihasználni kívánó szervezetek általában további technikai eszközöket keresnek a funkció engedélyezéséhez.

Hogyan kínálnak a biztonságos webes átjárók DPI-funkciót

A felismerve, hogy a tűzfalak még mindig értékes, elsősorban a hálózat peremén lévő célt szolgálnak, sok szervezet a felhőalapú biztonságos webes átjárók felé fordul, amelyek segítségével levehetik a mély csomagvizsgálat teljesítményterheit ezekről az eszközökről. Ezek a webszűrők védik a kimenő felhasználói forgalmat, ideális esetben olyan DPI-funkciók segítségével, amelyek a felhasználók által generált HTTP- és HTTPS-forgalmat is képesek megvizsgálni, függetlenül azok helyétől. Azáltal, hogy a titkosított és távoli felhasználói forgalmat egy felhőalapú biztonságos webes átjárón keresztül terhelik, a szervezetek a meglévő hardveralapú eszközök megterhelése nélkül bővíthetik a DPI mélyreható adatforgalom-elemzését.

Ez az architektúra a vállalati hálózat határain kívül is egyszerűbbé teszi a mélyreható csomagvizsgálat elvégzését. Ez következetesebb utat kínál a szervezeteknek a házirendek érvényesítéséhez, amikor a biztonsági házirendeket több helyszínen és egy széleskörű távoli felhasználói bázison keresztül kezelik, amely közvetlenül csatlakozik az internethez és a felhőalapú erőforrásokhoz.

By: adminPosted on

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.