Интеллектуальное управление трафиком становится одним из стандартов работы и обеспечения кибербезопасности как для провайдеров, так и корпоративных сетей. Функционала традиционных межсетевых экранов явно недостаточно для этого. Все чаще обращают внимание на Deep Packet Inspection (DPI) – технологию, которая позволяет эффективно управлять трафиком, распределять нагрузку в сети, блокировать потенциально опасный контент. Рассмотрим детально как работает DPI, что подвергается фильтрации, какие преимущества это дает.

Технология DPI основывается на проведении глубокой проверки сетевого трафика. Под термином глубокая проверка подразумевается изучение всех пакетов данных. При стандартной фильтрации проверке подвергаются преимущественно заголовки пакетов, что не дает точной картины о конкретном содержимом пакетов, степени его полезности. Deep Packet Inspection связана с проведением анализа пакетов данных на основании таких параметров как IP-адрес, DNS, HTTP, RTSP. Кроме того, проверка затрагивает поведенческие параметры трафика, происходит на верхних уровнях модели OSI.

Помимо проверки конкретных пакетов данных DPI изучает различные косвенные признаки, как например, поведение или специфику работы присущие определенным группам приложений или протоколам. Кроме фильтрации параллельно происходит статистический анализ данных. Тем самым проверка трафика носит глубокий и детальный характер, позволяет точно установить, что за вид трафика наблюдается в системе, насколько он полезен и безопасен.

принцип работы dpi

Принцип работы DPI

Алгоритм работы DPI основывается на изучении пакетов данных, проходящих через установленную точку. В ходе этой процедуры устанавливается соответствие сетевого трафика действующим правилам в режиме реального времени. Deep Packet Inspection позволяет работать с большими объемами трафика, поэтому наиболее актуальна для использования в корпоративных рабочих сетях. DPI отличается широтой настроек, поэтому может не только пропускать и блокировать трафик, но и перенаправлять его, определять службу, приложение от которых он поступает. Для фильтрации сетевого трафика могут использоваться разные техники DPI:

  • Проверка на соответствие шаблонам и сигнатурам. Пакет данных проходит анализ по БД, где собраны актуальные сетевые угрозы и атаки. Такая техника не идеальна, потому что не способна выявить новые угрозы.

  • Изучение аномалий протокола. Связана с использованием принципа «запрет по умолчанию». Требует точного определения протокола, чтобы понять разрешен контент или нет. В случае невозможности определения блокирует доступ.

Техники DPI разнообразны, и это лишь несколько примеров. При анализе трафика используется группа параметров, политик, чтобы добиться гибкого и эффективного использования.

Назначение DPI-систем

  1. Оптимизация потоков сетевого трафика. Установка приоритетов по трафику исходя из его содержимого или приложения, которое его генерирует. Это помогает избежать снижения пропускной способности канала, ограничить приложения, чья работа перегружает сеть.

  2. Регулировка передачи информации по каналам. DPI способна предотвратить злоупотребление p2p, что положительно отражается на уровне производительности локальной сети.

  3. Предотвращение проникновения внешних угроз в сеть. Deep Packet Inspection блокирует червей, следящее и собирающее информацию ПО, вредоносный код. Помогает противостоять атакам, связанным с переполнением буфера, частично DDoS-атакам.

  4. Блокирование нежелательного контента. Доступ к веб-ресурсам легко ограничивается с помощью фильтров и политик безопасности.

  5. Предотвращение утечек информации. Контролирует передачу конфиденциальной информации, блокирует ее передачу при отсутствии соответствующего разрешения.

назначение deep packet inspection

Какие задачи решает Solar NGFW?

  1. Защита от атак на периметре сети
    фильтрация трафика механизмами межсетевого экрана, IPS, DPI и потокового антивируса.

  2. Управление доступом к веб-ресурсам
    контроль доступа пользователей и приложений с помощью веб-прокси и обратного прокси.

  3. Защита от утечек
    проверка трафика по ключевым словам и наличию конфиденциальных файлов.

Внедрение Deep Packet Inspection становится все более частым явлением в корпоративных сетях. Solar NGFW работает именно с использованием данной технологии и предлагает надежную автоматизацию рутинных процессов по управлению доступом, обеспечение должной защиты информации. С его помощью возможно проанализировать трафик, собрать статистическую информацию и персональное досье на каждого сотрудника, выявить нарушения политик безопасности, предотвратить инциденты безопасности.