Проверка пакетов данных – отдельный вид обработки информации, в ходе которого принимается решение об оповещении, блокировке, протоколировании данных. Позволяет выполнять различные задачи от проверки работы сети и приложений до выявления вредоносного кода, который несет прямую угрозу данным. Типичным объектом защиты при пакетной проверке выступает трафик, а угрозами – вредоносные программы и реклама, которые мешают работать полноценно и безопасно, собирают личные данные, создают инциденты безопасности.

Что такое проверка пакетов трафика, зачем нужна?

В информационной безопасности широко используется понятие глубокой проверки трафика (DPI). Сюда относится фильтрация данных, в ходе которой происходит поиск, идентификация, классификация, передача, блокировка пакетов, не обнаруженных при стандартной процедуре фильтрации. В случае DPI выполняется большее число проверок, а их глубина носит особенный характер. Тем самым становится ясно содержимое пакета, его полезность или опасность для пользователя.

В ходе проверки информация изучается при прохождении в определённой точке. В это время принимается решение о дальнейших действиях согласно политикам безопасности, правилам провайдеров или компании. В ходе проверочных мероприятий становится ясно, с какой службой или приложением проходится иметь дело, откуда оно пришло, есть ли риски взаимодействия пользователя с ним.

DPI чаще всего располагают на границе сети оператора в разрыв текущих uplink-портов от пограничных маршрутизаторов. При такой схеме реализации проверки трафик входит и выходит из сетевого пространства через DPI благодаря чему осуществляются мониторинговые и контрольные мероприятия в полном объеме. Уровень установки системы пакетной проверки может меняться в зависимости от задач, которые преследуются: внутренний контроль, блокировка, защита от внешних угроз.

Как используется DPI в информационной безопасности?

Проверка пакетов данных – важный аспект для предотвращения угроз и утечек информации, как в случае работы одного пользователя, так и группы сотрудников, выполняющих разные задачи. DPI-решения пригодятся в следующих случаях.

  • Обеспечение сетевой безопасности. Используется как решение для выявления вторжений или их предотвращения. Выполнимо путем идентификации конкретных угроз, выявления вредоносного трафика. Здесь присутствует сходство с работой антивируса, но разница заключается в том, что опасность обнаруживается еще на сетевом уровне, пока она не достигла пользователя. Это сильно повышает эффективность работы системы безопасности, т.к. препятствует изначальному распространению вируса или нежелательного трафика по разным уровням корпоративной сети.

  • Содействие в предотвращении информационных утечек. Осуществляется путем получения разрешения на допуск к информации и ее обработке. Например, работает при передаче анонимной информации через почту.

  • Управление сетью и формирование трафика. Реализовывается за счет фильтрации трафика и разгрузки сетевого потока. Например, установление приема отдельного класса сообщений, имеющих приоритетный характер, и блокировка всех остальных.

  • Блокировка нежелательного контента. Создаётся список ресурсов, программ, к которым заблокирован доступ в рабочее время или на постоянной основе. Это полезно для поддержания трудовой дисциплины и контроля персонала компании на рабочих местах.

На каких инструментах базируется работа DPI?

  1. Соответствие сигнатуры или подписи пакета. Анализ ведётся по готовой базе данных, где собраны сетевые атаки и угрозы, встреченные ранее. В этом случае результат справедлив для сетей, где пока не выявлено новых видов угроз.

  2. Готовые стратегии. Например, «default deny», которая полностью отклоняет трафик, противоречащий установленным правилам.

  3. IPS-решения. Схожи по функционалу со встроенными IDS. Блокируют атаки в режиме реального времени. При этом сопровождаются высоким риском ложных срабатываний при проверке пакетов, которые дорабатываются выбором и настройкой консервативной политики управления.

  4. Аномалии протокола. Основываются на использовании изначального запрета, который рассматривают в качестве основополагающего принципа безопасности. Оправдано, когда нужно обеспечить максимальную безопасность и при этом высока вероятность столкнуться с новыми видами угроз, которых нет в опытной базе.

Отличия DPI от других решений

  • Анализу подвергаются не только заголовки пакетов, но и само содержание трафика начиная с третьего уровня OSI и выше. Обработка данных более глубокая и разносторонняя.

  • Принятие конечного решения по управлению пакетом происходит не только на основе содержимого, а с учетом косвенных признаков и особенностей характерных для отдельных групп ПО и приложений. Например, длина пакета, его размерность, анализ частотности отдельных символов.

  • Многообразные модели обработки трафика. Среди доступных управленческих действий – классификация, ограничение полос, маркировка, кэширование, установка приоритетов.

Solar webProxy – шлюз безопасности с функцией DPI

Solar webProxy – это SWG-решение, которое контролирует доступ персонала на рабочем месте к сайтам, приложениям, противостоит рекламе, которая может содержать вредоносный код или собирать информацию. Solar webProxy также осуществляет проверку целостности пакетов используя при этом DPI. Особенности работы шлюза безопасности таковы, что контролирование трафика происходит не только на прикладном уровне через IP- адреса, но и на транспортном (анализ содержания внутренних данных, проверка заголовков). Благодаря такой усложненной обработке сведений легко и точно выявляются сигнатуры характерные для типичных и широко используемых приложений – Zoom, Telegram с последующей блокировкой доступа к использованию.

При использовании SWG-решений отпадает необходимость установки дополнительного ПО в систему для контроля трафика. Он контролируется на уровне сетевого шлюза: направляется, блокируется согласно политикам безопасности и внутренним правилам работы. За счет этого обеспечиваются:

  • блокировка приложений удаленного доступа;

  • блокировка веб-приложений;

  • регулирование трафика из мессенджеров;

  • обнаружение, блокировка трафика принадлежащих сервисам для майнинга.

Проверка пакетов данных занимает важное место в информационной безопасности любой компании, помогает бороться с вредоносным трафиком, усиливает безопасность в корпоративных сетях различного масштаба. Также использование решений на основе DPI позволяет снизить нагрузку на сеть на 20-40%. В то же время предотвращение нежелательных ситуаций в рабочее время и поддержание трудовой атмосферы в коллективе – немаловажные составляющие эффективной работы компании. Ограничение доступа, контроль деятельности, управление временем сотрудников как нельзя лучше показали себя на практике, поэтому внедрение решений по типу Solar webProxy полностью оправдано и окупает себя со временем.