בדיקת חבילות עמוקה (DPI)היא טכנולוגיה המשמשת ברשתות מתווכי חבילות רשת (NPBs) לבדיקה וניתוח של תוכן חבילות רשת ברמה מפורטת. היא כוללת בחינת המטען, הכותרות ומידע ספציפי אחר לפרוטוקול בתוך חבילות כדי לקבל תובנות מפורטות על תעבורת הרשת.
DPI חורג מניתוח כותרות פשוט ומספק הבנה מעמיקה של הנתונים הזורמים דרך רשת. הוא מאפשר בדיקה מעמיקה של פרוטוקולי שכבת היישומים, כגון HTTP, FTP, SMTP, VoIP או פרוטוקולי הזרמת וידאו. על ידי בחינת התוכן בפועל בתוך חבילות, DPI יכול לזהות יישומים ספציפיים, פרוטוקולים או אפילו דפוסי נתונים ספציפיים.
בנוסף לניתוח ההיררכי של כתובות מקור, כתובות יעד, יציאות מקור, יציאות יעד וסוגי פרוטוקולים, DPI מוסיף גם ניתוח שכבת יישומים כדי לזהות יישומים שונים ותוכנם. כאשר נתוני חבילת 1P, TCP או UDP זורמים דרך מערכת ניהול רוחב פס המבוססת על טכנולוגיית DPI, המערכת קוראת את תוכן טעינת חבילת 1P כדי לארגן מחדש את מידע שכבת היישומים בפרוטוקול OSI Layer 7, על מנת לקבל את תוכן תוכנית היישומים כולה, ולאחר מכן לעצב את התעבורה בהתאם למדיניות הניהול שהוגדרה על ידי המערכת.
איך DPI עובד?
חומות אש מסורתיות לרוב חסרות את כוח העיבוד לביצוע בדיקות יסודיות בזמן אמת על כמויות גדולות של תעבורה. ככל שהטכנולוגיה מתקדמת, ניתן להשתמש ב-DPI לביצוע בדיקות מורכבות יותר לבדיקת כותרות ונתונים. בדרך כלל, חומות אש עם מערכות גילוי חדירות משתמשות לעתים קרובות ב-DPI. בעולם שבו מידע דיגיטלי הוא בעל חשיבות עליונה, כל פיסת מידע דיגיטלית מועברת דרך האינטרנט בחבילות קטנות. זה כולל דוא"ל, הודעות שנשלחות דרך האפליקציה, אתרים שביקרו בהם, שיחות וידאו ועוד. בנוסף לנתונים עצמם, חבילות אלו כוללות מטא-נתונים המזהים את מקור התעבורה, התוכן, היעד ומידע חשוב אחר. בעזרת טכנולוגיית סינון חבילות, ניתן לנטר ולנהל נתונים באופן רציף כדי להבטיח שהם מועברים למקום הנכון. אך כדי להבטיח אבטחת רשת, סינון חבילות מסורתי רחוק מלהספיק. כמה מהשיטות העיקריות לבדיקת חבילות עמוקה בניהול רשת מפורטות להלן:
מצב התאמה/חתימה
כל חבילה נבדקת להתאמה מול מסד נתונים של התקפות רשת ידועות על ידי חומת אש עם יכולות מערכת זיהוי חדירות (IDS). IDS מחפש דפוסים זדוניים ספציפיים ידועים ומשבית תעבורה כאשר נמצאים דפוסים זדוניים. החיסרון של מדיניות התאמת החתימות הוא שהיא חלה רק על חתימות שמתעדכנות לעתים קרובות. בנוסף, טכנולוגיה זו יכולה להגן רק מפני איומים או התקפות ידועות.
חריג פרוטוקול
מכיוון שטכניקת חריגות הפרוטוקול אינה מאפשרת פשוט את כל הנתונים שאינם תואמים למסד הנתונים של החתימות, טכניקת חריגות הפרוטוקול בה משתמשת חומת האש של IDS אינה סובלת מהפגמים הטבועים בשיטת התאמת תבניות/חתימות. במקום זאת, היא מאמצת את מדיניות הדחייה המוגדרת כברירת מחדל. לפי הגדרת הפרוטוקול, חומות אש מחליטות איזו תעבורה צריכה להיות מותרת ומגנות על הרשת מפני איומים לא ידועים.
מערכת למניעת חדירות (IPS)
פתרונות IPS יכולים לחסום את שידורן של חבילות מזיקות על סמך תוכנן, ובכך לעצור התקפות חשודות בזמן אמת. משמעות הדבר היא שאם חבילה מייצגת סיכון אבטחה ידוע, IPS תחסום באופן יזום את תעבורת הרשת על סמך מערכת כללים מוגדרת. חיסרון אחד של IPS הוא הצורך לעדכן באופן קבוע מסד נתונים של איומי סייבר בפרטים על איומים חדשים, והאפשרות לתוצאות חיוביות שגויות. אך ניתן למתן סכנה זו על ידי יצירת מדיניות שמרנית וספים מותאמים אישית, קביעת התנהגות בסיס מתאימה לרכיבי רשת, והערכה תקופתית של אזהרות ואירועים מדווחים כדי לשפר את הניטור וההתראות.
1- ה-DPI (בדיקת חבילות עמוקה) ברשת חבילות מתווך
"עמוק" הוא השוואה בין ניתוח מנות ברמה רגילה לבין ניתוח מנות רגילות. "בדיקת מנות רגילה" רק את הניתוח הבא של מנות IP בשכבה הרביעית, כולל כתובת המקור, כתובת היעד, יציאת המקור, יציאת היעד וסוג הפרוטוקול, ו-DPI למעט ניתוח היררכי, גם ניתוח שכבת היישומים מוגבר, זיהוי יישומים ותוכן שונים, כדי לממש את הפונקציות העיקריות:
1) ניתוח יישומים -- ניתוח הרכב תעבורת הרשת, ניתוח ביצועים וניתוח זרימה
2) ניתוח משתמשים -- בידול קבוצות משתמשים, ניתוח התנהגות, ניתוח טרמינלים, ניתוח מגמות וכו'.
3) ניתוח רכיבי רשת - ניתוח המבוסס על מאפיינים אזוריים (עיר, מחוז, רחוב וכו') ועומס על תחנת הבסיס
4) בקרת תעבורה - הגבלת מהירות P2P, אבטחת QoS, אבטחת רוחב פס, אופטימיזציה של משאבי רשת וכו'.
5) אבטחת אבטחה -- התקפות DDoS, סערת שידור נתונים, מניעת התקפות וירוסים זדוניות וכו'.
2- סיווג כללי של יישומי רשת
כיום יש אינספור אפליקציות באינטרנט, אך יישומי האינטרנט הנפוצים יכולים להיות ממצים.
ככל הידוע לי, חברת זיהוי האפליקציות הטובה ביותר היא Huawei, שטוענת שהיא מזהה 4,000 אפליקציות. ניתוח פרוטוקולים הוא המודול הבסיסי של חברות חומת אש רבות (Huawei, ZTE וכו'), והוא גם מודול חשוב מאוד, התומך במימוש מודולים פונקציונליים אחרים, זיהוי אפליקציות מדויק ושיפור משמעותי של הביצועים והאמינות של מוצרים. במידול זיהוי תוכנות זדוניות המבוסס על מאפייני תעבורת רשת, כפי שאני עושה כעת, זיהוי פרוטוקולים מדויק ונרחב הוא גם חשוב מאוד. אם לא כוללים את תעבורת הרשת של אפליקציות נפוצות מתעבורת הייצוא של החברה, התעבורה הנותרת תהווה חלק קטן, וזה טוב יותר לניתוח תוכנות זדוניות ואזעקה.
בהתבסס על ניסיוני, היישומים הנפוצים הקיימים מסווגים לפי תפקידיהם:
נ.ב.: בהתאם להבנה אישית של סיווג האפליקציה, אם יש לכם הצעות טובות, נשמח אם תהשאירו הודעה.
1). דוא"ל
2). וידאו
3). משחקים
4). שיעור OA במשרד
5). עדכון תוכנה
6). פיננסי (בנק, Alipay)
7). מניות
8). תקשורת חברתית (תוכנת מסרים מיידיים)
9). גלישה באינטרנט (כנראה מזוהה טוב יותר עם כתובות URL)
10). כלי הורדה (דיסק אינטרנט, הורדת P2P, קשור ל-BT)
לאחר מכן, כיצד DPI (Deep Packet Inspection) פועל ב-NPB:
1). לכידת חבילות: ה-NPB לוכד תעבורת רשת ממקורות שונים, כגון מתגים, נתבים או טפסים. הוא מקבל חבילות הזורמות דרך הרשת.
2). ניתוח חבילות: החבילות שנלכדו מנותחות על ידי ה-NPB כדי לחלץ שכבות פרוטוקול שונות ונתונים נלווים. תהליך ניתוח זה מסייע בזיהוי הרכיבים השונים בתוך החבילות, כגון כותרות Ethernet, כותרות IP, כותרות שכבת התעבורה (למשל, TCP או UDP) ופרוטוקולי שכבת היישומים.
3). ניתוח מטען: בעזרת DPI, ה-NPB חורג מבדיקת כותרת ומתמקד במטען, כולל הנתונים בפועל בתוך החבילות. הוא בוחן את תוכן המטען לעומק, ללא קשר ליישום או לפרוטוקול בו נעשה שימוש, כדי לחלץ מידע רלוונטי.
4). זיהוי פרוטוקול: DPI מאפשר ל-NPB לזהות את הפרוטוקולים והיישומים הספציפיים הנמצאים בשימוש בתוך תעבורת הרשת. הוא יכול לזהות ולסווג פרוטוקולים כמו HTTP, FTP, SMTP, DNS, VoIP או פרוטוקולי הזרמת וידאו.
5). בדיקת תוכן: DPI מאפשר ל-NPB לבדוק את תוכן החבילות לאיתור דפוסים, חתימות או מילות מפתח ספציפיות. זה מאפשר זיהוי של איומי רשת, כגון תוכנות זדוניות, וירוסים, ניסיונות חדירה או פעילויות חשודות. DPI יכול לשמש גם לסינון תוכן, אכיפת מדיניות רשת או זיהוי הפרות תאימות נתונים.
6). חילוץ מטא-נתונים: במהלך DPI, ה-NPB מחלץ מטא-נתונים רלוונטיים מהחבילות. מידע זה יכול לכלול מידע כגון כתובות IP של המקור והיעד, מספרי פורטים, פרטי סשן, נתוני עסקאות או כל מאפיין רלוונטי אחר.
7). ניתוב או סינון תעבורה: בהתבסס על ניתוח ה-DPI, ה-NPB יכול לנתב חבילות ספציפיות ליעדים ייעודיים לעיבוד נוסף, כגון מכשירי אבטחה, כלי ניטור או פלטפורמות ניתוח. הוא יכול גם להחיל כללי סינון כדי להשליך או להפנות מחדש חבילות בהתבסס על התוכן או הדפוסים שזוהו.
זמן פרסום: 25 ביוני 2023
