Derin Paket İncelemesi (DPI)Ağ paket aracıları (NPB'ler) tarafından ağ paketlerinin içeriğini ayrıntılı düzeyde incelemek ve analiz etmek için kullanılan bir teknolojidir. Ağ trafiğine ilişkin ayrıntılı bilgiler edinmek için paketlerin içindeki yükü, başlıkları ve diğer protokole özgü bilgileri incelemeyi içerir.
DPI, basit başlık analizinin ötesine geçerek ağ üzerinden akan verilerin derinlemesine anlaşılmasını sağlar. HTTP, FTP, SMTP, VoIP veya video akış protokolleri gibi uygulama katmanı protokollerinin ayrıntılı incelenmesine olanak tanır. Paketlerin içindeki gerçek içeriği inceleyerek, DPI belirli uygulamaları, protokolleri veya hatta belirli veri kalıplarını tespit edebilir ve tanımlayabilir.
DPI, kaynak adresleri, hedef adresleri, kaynak portları, hedef portları ve protokol türlerinin hiyerarşik analizine ek olarak, çeşitli uygulamaları ve içeriklerini belirlemek için uygulama katmanı analizini de ekler. 1P paketi, TCP veya UDP veri akışı DPI teknolojisine dayalı bant genişliği yönetim sisteminden geçtiğinde, sistem 1P paket yükünün içeriğini okuyarak OSI Katman 7 protokolündeki uygulama katmanı bilgilerini yeniden düzenler, böylece tüm uygulama programının içeriğini elde eder ve ardından sistem tarafından tanımlanan yönetim politikasına göre trafiği şekillendirir.
DPI nasıl çalışır?
Geleneksel güvenlik duvarları genellikle büyük miktarda trafiği gerçek zamanlı olarak kapsamlı bir şekilde kontrol etmek için yeterli işlem gücüne sahip değildir. Teknoloji ilerledikçe, DPI (Derin Paket İncelemesi) başlıkları ve verileri kontrol etmek için daha karmaşık kontroller gerçekleştirmek üzere kullanılabilir. Genellikle, saldırı tespit sistemlerine sahip güvenlik duvarları DPI kullanır. Dijital bilginin çok önemli olduğu bir dünyada, her dijital bilgi parçası internet üzerinden küçük paketler halinde iletilir. Buna e-posta, uygulama üzerinden gönderilen mesajlar, ziyaret edilen web siteleri, video görüşmeleri ve daha fazlası dahildir. Gerçek verilere ek olarak, bu paketler trafik kaynağını, içeriği, hedefi ve diğer önemli bilgileri tanımlayan meta veriler içerir. Paket filtreleme teknolojisi ile veriler sürekli olarak izlenebilir ve doğru yere iletilmesini sağlamak için yönetilebilir. Ancak ağ güvenliğini sağlamak için geleneksel paket filtreleme yeterli olmaktan uzaktır. Ağ yönetiminde derin paket incelemesinin başlıca yöntemlerinden bazıları aşağıda listelenmiştir:
Eşleştirme Modu/İmza
Her paket, saldırı tespit sistemi (IDS) özelliklerine sahip bir güvenlik duvarı tarafından bilinen ağ saldırıları veritabanıyla eşleşme açısından kontrol edilir. IDS, bilinen kötü amaçlı belirli kalıpları arar ve kötü amaçlı kalıplar bulunduğunda trafiği devre dışı bırakır. İmza eşleştirme politikasının dezavantajı, yalnızca sık sık güncellenen imzalara uygulanabilmesidir. Ayrıca, bu teknoloji yalnızca bilinen tehditlere veya saldırılara karşı koruma sağlayabilir.
Protokol İstisnası
Protokol istisnası tekniği, imza veritabanıyla eşleşmeyen tüm verilere izin vermediği için, IDS güvenlik duvarı tarafından kullanılan protokol istisnası tekniği, desen/imza eşleştirme yönteminin doğasında bulunan kusurlara sahip değildir. Bunun yerine, varsayılan reddetme politikasını benimser. Protokol tanımı gereği, güvenlik duvarları hangi trafiğe izin verilmesi gerektiğine karar verir ve ağı bilinmeyen tehditlerden korur.
İzinsiz Giriş Önleme Sistemi (IPS)
IPS çözümleri, zararlı paketlerin içeriğine bağlı olarak iletimini engelleyebilir ve böylece şüpheli saldırıları gerçek zamanlı olarak durdurabilir. Bu, bir paketin bilinen bir güvenlik riski oluşturması durumunda, IPS'nin tanımlanmış bir dizi kurala göre ağ trafiğini proaktif olarak engelleyeceği anlamına gelir. IPS'nin bir dezavantajı, siber tehdit veritabanının yeni tehditler hakkında ayrıntılarla düzenli olarak güncellenmesi gerekliliği ve yanlış pozitif olasılığıdır. Ancak bu tehlike, muhafazakar politikalar ve özel eşikler oluşturarak, ağ bileşenleri için uygun temel davranışlar belirleyerek ve izleme ve uyarıyı geliştirmek için uyarıları ve bildirilen olayları periyodik olarak değerlendirerek azaltılabilir.
1- Ağ Paket Aracısında DPI (Derin Paket İncelemesi)
"Derinlemesine" analiz, sıradan paket analizi ile seviye karşılaştırması yaparken, "sıradan paket incelemesi" yalnızca IP paketinin 4 katmanının analizini gerçekleştirir; bunlar arasında kaynak adres, hedef adres, kaynak port, hedef port ve protokol türü bulunur. DPI ise hiyerarşik analize ek olarak uygulama katmanı analizini de ekleyerek çeşitli uygulamaları ve içerikleri tanımlar ve temel işlevleri gerçekleştirir:
1) Uygulama Analizi -- ağ trafiği bileşimi analizi, performans analizi ve akış analizi
2) Kullanıcı Analizi -- kullanıcı grubu farklılaştırması, davranış analizi, terminal analizi, trend analizi vb.
3) Ağ Elemanı Analizi -- bölgesel özelliklere (şehir, ilçe, cadde vb.) ve baz istasyonu yüküne dayalı analiz
4) Trafik Kontrolü -- P2P hız sınırlaması, QoS güvencesi, bant genişliği güvencesi, ağ kaynak optimizasyonu vb.
5) Güvenlik Güvencesi -- DDoS saldırıları, veri yayın fırtınası, kötü amaçlı virüs saldırılarının önlenmesi vb.
2- Ağ Uygulamalarının Genel Sınıflandırılması
Günümüzde internette sayısız uygulama mevcut, ancak yaygın web uygulamaları bile oldukça kapsamlı olabilir.
Bildiğim kadarıyla, en iyi uygulama tanıma şirketi, 4.000 uygulamayı tanıdığını iddia eden Huawei'dir. Protokol analizi, birçok güvenlik duvarı şirketinin (Huawei, ZTE, vb.) temel modülüdür ve diğer fonksiyonel modüllerin gerçekleştirilmesini, doğru uygulama tanımlamasını destekleyen ve ürünlerin performansını ve güvenilirliğini büyük ölçüde artıran çok önemli bir modüldür. Şu anda yaptığım gibi, ağ trafiği özelliklerine dayalı kötü amaçlı yazılım tanımlama modellemesinde de doğru ve kapsamlı protokol tanımlaması çok önemlidir. Şirketin dışa aktardığı trafikten ortak uygulamaların ağ trafiğini hariç tutarsak, kalan trafik küçük bir oranı oluşturacaktır ki bu da kötü amaçlı yazılım analizi ve alarmı için daha iyidir.
Deneyimlerime dayanarak, yaygın olarak kullanılan mevcut uygulamalar işlevlerine göre şu şekilde sınıflandırılabilir:
PS: Başvuru sınıflandırmasına ilişkin kişisel anlayışıma göre, iyi önerileriniz varsa mesaj yoluyla iletebilirsiniz.
1). E-posta
2). Video
3). Oyunlar
4). Ofis OA dersi
5). Yazılım güncellemesi
6). Finansal (banka, Alipay)
7). Hisse Senetleri
8). Sosyal İletişim (Anlık Anlık Mesajlaşma yazılımı)
9). Web tarama (muhtemelen URL'lerle daha iyi tanımlanır)
10). İndirme araçları (web diski, P2P indirme, BT ile ilgili)
Peki, NPB'de DPI (Derin Paket İncelemesi) nasıl çalışır?
1). Paket Yakalama: NPB, anahtarlar, yönlendiriciler veya izleme noktaları gibi çeşitli kaynaklardan ağ trafiğini yakalar. Ağ üzerinden akan paketleri alır.
2). Paket Ayrıştırma: Yakalanan paketler, çeşitli protokol katmanlarını ve ilgili verileri çıkarmak için NPB tarafından ayrıştırılır. Bu ayrıştırma işlemi, Ethernet başlıkları, IP başlıkları, taşıma katmanı başlıkları (örneğin, TCP veya UDP) ve uygulama katmanı protokolleri gibi paketler içindeki farklı bileşenleri tanımlamaya yardımcı olur.
3). Yük Analizi: DPI ile NPB, başlık incelemesinin ötesine geçerek paketlerin içindeki gerçek veriler de dahil olmak üzere yüke odaklanır. Kullanılan uygulama veya protokolden bağımsız olarak, ilgili bilgileri çıkarmak için yük içeriğini derinlemesine inceler.
4). Protokol Tanımlama: DPI, NPB'nin ağ trafiğinde kullanılan belirli protokolleri ve uygulamaları tanımlamasını sağlar. HTTP, FTP, SMTP, DNS, VoIP veya video akışı protokolleri gibi protokolleri tespit edebilir ve sınıflandırabilir.
5). İçerik Denetimi: DPI, NPB'nin paketlerin içeriğini belirli kalıplar, imzalar veya anahtar kelimeler açısından incelemesine olanak tanır. Bu, kötü amaçlı yazılımlar, virüsler, izinsiz giriş girişimleri veya şüpheli faaliyetler gibi ağ tehditlerinin tespit edilmesini sağlar. DPI ayrıca içerik filtreleme, ağ politikalarının uygulanması veya veri uyumluluğu ihlallerinin belirlenmesi için de kullanılabilir.
6). Meta Veri Çıkarma: DPI sırasında, NPB paketlerden ilgili meta verileri çıkarır. Bu, kaynak ve hedef IP adresleri, port numaraları, oturum ayrıntıları, işlem verileri veya diğer ilgili özellikler gibi bilgileri içerebilir.
7). Trafik Yönlendirme veya Filtreleme: DPI analizine dayanarak, NPB belirli paketleri güvenlik cihazları, izleme araçları veya analiz platformları gibi daha fazla işlem için belirlenmiş hedeflere yönlendirebilir. Ayrıca, tanımlanan içerik veya kalıplara göre paketleri atmak veya yeniden yönlendirmek için filtreleme kuralları uygulayabilir.
Yayın tarihi: 25 Haz-2023
