DPI'ye Dayalı Ağ Paket Broker Uygulaması Tanımlama – Derin Paket Denetimi

Derin Paket İncelemesi ((DPI)Ağ Paket Broker'larında (NPB'ler) ağ paketlerinin içeriklerini ayrıntılı düzeyde incelemek ve analiz etmek için kullanılan bir teknolojidir. Paketlerdeki yükü, başlıkları ve diğer protokole özgü bilgileri inceleyerek ağ trafiğine dair ayrıntılı içgörüler elde etmeyi içerir.

DPI, basit başlık analizinin ötesine geçer ve bir ağ üzerinden akan verilerin derinlemesine anlaşılmasını sağlar. HTTP, FTP, SMTP, VoIP veya video akışı protokolleri gibi uygulama katmanı protokollerinin derinlemesine incelenmesine olanak tanır. Paketler içindeki gerçek içeriği inceleyerek DPI, belirli uygulamaları, protokolleri veya hatta belirli veri modellerini tespit edebilir ve tanımlayabilir.

Kaynak adreslerinin, hedef adreslerinin, kaynak bağlantı noktalarının, hedef bağlantı noktalarının ve protokol türlerinin hiyerarşik analizine ek olarak, DPI ayrıca çeşitli uygulamaları ve içeriklerini tanımlamak için uygulama katmanı analizi ekler. 1P paketi, TCP veya UDP verileri DPI teknolojisine dayalı bant genişliği yönetim sisteminden aktığında, sistem 1P paket yükünün içeriğini okuyarak OSI Katman 7 protokolündeki uygulama katmanı bilgilerini yeniden düzenler, böylece tüm uygulama programının içeriğini alır ve ardından trafiği sistem tarafından tanımlanan yönetim politikasına göre şekillendirir.

DPI nasıl çalışır?

Geleneksel güvenlik duvarları genellikle büyük hacimli trafikte kapsamlı gerçek zamanlı kontroller gerçekleştirmek için gereken işlem gücünden yoksundur. Teknoloji ilerledikçe, DPI başlıkları ve verileri kontrol etmek için daha karmaşık kontroller gerçekleştirmek için kullanılabilir. Genellikle, saldırı tespit sistemlerine sahip güvenlik duvarları genellikle DPI kullanır. Dijital bilginin en önemli olduğu bir dünyada, her dijital bilgi parçası İnternet üzerinden küçük paketler halinde iletilir. Buna e-posta, uygulama aracılığıyla gönderilen mesajlar, ziyaret edilen web siteleri, görüntülü görüşmeler ve daha fazlası dahildir. Gerçek verilere ek olarak, bu paketler trafik kaynağını, içeriği, hedefi ve diğer önemli bilgileri tanımlayan meta verileri içerir. Paket filtreleme teknolojisiyle, veriler doğru yere iletildiğinden emin olmak için sürekli olarak izlenebilir ve yönetilebilir. Ancak ağ güvenliğini sağlamak için geleneksel paket filtreleme yeterli olmaktan uzaktır. Ağ yönetiminde derin paket incelemesinin bazı temel yöntemleri aşağıda listelenmiştir:

Eşleştirme Modu/İmza

Her paket, saldırı tespit sistemi (IDS) yeteneklerine sahip bir güvenlik duvarı tarafından bilinen ağ saldırılarının bir veritabanına karşı eşleşme açısından kontrol edilir. IDS, bilinen kötü amaçlı belirli kalıpları arar ve kötü amaçlı kalıplar bulunduğunda trafiği devre dışı bırakır. İmza eşleştirme politikasının dezavantajı, yalnızca sık sık güncellenen imzalara uygulanmasıdır. Ayrıca, bu teknoloji yalnızca bilinen tehditlere veya saldırılara karşı savunma sağlayabilir.

DPI

Protokol İstisnası

Protokol istisna tekniği, imza veritabanıyla eşleşmeyen tüm verilere izin vermediğinden, IDS güvenlik duvarı tarafından kullanılan protokol istisna tekniği, desen/imza eşleştirme yönteminin içsel kusurlarına sahip değildir. Bunun yerine, varsayılan reddetme politikasını benimser. Protokol tanımı gereği, güvenlik duvarları hangi trafiğin izin verilmesi gerektiğine karar verir ve ağı bilinmeyen tehditlerden korur.

Saldırı Önleme Sistemi (IPS)

IPS çözümleri, zararlı paketlerin içeriğine göre iletimini engelleyebilir ve böylece şüpheli saldırıları gerçek zamanlı olarak durdurabilir. Bu, bir paket bilinen bir güvenlik riski oluşturuyorsa, IPS'nin tanımlanmış bir dizi kurala göre ağ trafiğini proaktif olarak engelleyeceği anlamına gelir. IPS'nin bir dezavantajı, siber tehdit veritabanını yeni tehditler hakkında ayrıntılarla düzenli olarak güncelleme ihtiyacı ve yanlış pozitif olasılığıdır. Ancak bu tehlike, muhafazakar politikalar ve özel eşikler oluşturarak, ağ bileşenleri için uygun temel davranış belirleyerek ve izleme ve uyarıyı geliştirmek için uyarıları ve bildirilen olayları periyodik olarak değerlendirerek azaltılabilir.

1- Network Packet Broker'daki DPI (Derin Paket Denetimi)

"Derin" seviye ve sıradan paket analizi karşılaştırmasıdır, "sıradan paket denetimi" yalnızca IP paketinin 4 katmanının kaynak adresi, hedef adresi, kaynak portu, hedef portu ve protokol türü ve DPI dahil olmak üzere hiyerarşik analizle birlikte analizini yapar, ayrıca uygulama katmanı analizini artırır, çeşitli uygulamaları ve içeriği belirler, ana işlevleri gerçekleştirir:

1) Uygulama Analizi - ağ trafiği kompozisyon analizi, performans analizi ve akış analizi

2) Kullanıcı Analizi -- kullanıcı grubu farklılaştırması, davranış analizi, terminal analizi, trend analizi, vb.

3) Ağ Elemanı Analizi - bölgesel niteliklere (şehir, ilçe, sokak vb.) ve baz istasyonu yüküne dayalı analiz

4) Trafik Kontrolü - P2P hız sınırlaması, QoS güvencesi, bant genişliği güvencesi, ağ kaynaklarının optimizasyonu, vb.

5) Güvenlik Güvencesi - DDoS saldırıları, veri yayın fırtınası, kötü amaçlı virüs saldırılarının önlenmesi, vb.

2- Ağ Uygulamalarının Genel Sınıflandırılması

Günümüzde internette sayısız uygulama bulunmaktadır, ancak yaygın web uygulamaları çok sayıda olabilir.

Bildiğim kadarıyla, en iyi uygulama tanıma şirketi, 4.000 uygulamayı tanıdığını iddia eden Huawei'dir. Protokol analizi, birçok güvenlik duvarı şirketinin (Huawei, ZTE, vb.) temel modülüdür ve aynı zamanda diğer işlevsel modüllerin gerçekleştirilmesini, doğru uygulama tanımlamasını ve ürünlerin performansını ve güvenilirliğini büyük ölçüde iyileştirmeyi destekleyen çok önemli bir modüldür. Şu anda yaptığım gibi, ağ trafiği özelliklerine dayalı kötü amaçlı yazılım tanımlamasını modellemede, doğru ve kapsamlı protokol tanımlaması da çok önemlidir. Ortak uygulamaların ağ trafiğini şirketin ihracat trafiğinden hariç tutarsak, kalan trafik küçük bir orana sahip olacaktır ve bu da kötü amaçlı yazılım analizi ve alarmı için daha iyidir.

Deneyimlerime dayanarak, yaygın olarak kullanılan mevcut uygulamalar işlevlerine göre sınıflandırılır:

PS: Uygulama sınıflandırmasının kişisel anlayışına göre, herhangi bir iyi öneriniz varsa bir mesaj önerisi bırakmaktan çekinmeyin

1). E-posta

2). Video

3). Oyunlar

4). Office OA sınıfı

5). Yazılım güncellemesi

6). Finansal (banka, Alipay)

7). Hisse senetleri

8). Sosyal İletişim (IM yazılımı)

9). Web'de gezinme (muhtemelen URL'lerle daha iyi tanımlanabilir)

10). İndirme araçları (web diski, P2P indirme, BT ile ilgili)

20191210153150_32811

Peki NPB'de DPI(Derin Paket İncelemesi) nasıl çalışır:

1). Paket Yakalama: NPB, anahtarlar, yönlendiriciler veya musluklar gibi çeşitli kaynaklardan gelen ağ trafiğini yakalar. Ağ üzerinden akan paketleri alır.

2). Paket Ayrıştırma: Yakalanan paketler, çeşitli protokol katmanlarını ve ilişkili verileri çıkarmak için NPB tarafından ayrıştırılır. Bu ayrıştırma süreci, paketlerdeki farklı bileşenleri tanımlamaya yardımcı olur; örneğin Ethernet başlıkları, IP başlıkları, taşıma katmanı başlıkları (örneğin, TCP veya UDP) ve uygulama katmanı protokolleri.

3). Yük Analizi: DPI ile NPB, başlık incelemesinin ötesine geçer ve paketlerdeki gerçek veriler de dahil olmak üzere yüke odaklanır. İlgili bilgileri çıkarmak için kullanılan uygulama veya protokolden bağımsız olarak yük içeriğini derinlemesine inceler.

4). Protokol Tanımlama: DPI, NPB'nin ağ trafiğinde kullanılan belirli protokolleri ve uygulamaları tanımlamasını sağlar. HTTP, FTP, SMTP, DNS, VoIP veya video akışı protokolleri gibi protokolleri algılayabilir ve sınıflandırabilir.

5). İçerik Denetimi: DPI, NPB'nin paketlerin içeriğini belirli desenler, imzalar veya anahtar sözcükler açısından denetlemesine olanak tanır. Bu, kötü amaçlı yazılımlar, virüsler, izinsiz giriş girişimleri veya şüpheli etkinlikler gibi ağ tehditlerinin tespit edilmesini sağlar. DPI ayrıca içerik filtreleme, ağ politikalarını uygulama veya veri uyumluluğu ihlallerini belirleme için de kullanılabilir.

6). Meta Veri Çıkarımı: DPI sırasında NPB, paketlerden ilgili meta verileri çıkarır. Bu, kaynak ve hedef IP adresleri, port numaraları, oturum ayrıntıları, işlem verileri veya diğer ilgili nitelikler gibi bilgileri içerebilir.

7). Trafik Yönlendirme veya Filtreleme: DPI analizine dayanarak, NPB belirli paketleri güvenlik cihazları, izleme araçları veya analiz platformları gibi daha fazla işleme tabi tutulmak üzere belirlenmiş hedeflere yönlendirebilir. Ayrıca, belirlenen içerik veya kalıplara göre paketleri atmak veya yönlendirmek için filtreleme kuralları uygulayabilir.

ML-NPB-5660 3d


Gönderi zamanı: 25-Haz-2023