Identification d'applications de courtier de paquets réseau basée sur DPI – Inspection approfondie des paquets

Inspection approfondie des paquets (DPI)Il s'agit d'une technologie utilisée par les courtiers de paquets réseau (NPB) pour inspecter et analyser le contenu des paquets réseau à un niveau granulaire. Elle consiste à examiner la charge utile, les en-têtes et d'autres informations spécifiques au protocole au sein des paquets afin d'obtenir des informations détaillées sur le trafic réseau.

Le DPI va au-delà de la simple analyse des en-têtes et offre une compréhension approfondie des données circulant sur un réseau. Il permet une inspection approfondie des protocoles de la couche applicative, tels que HTTP, FTP, SMTP, VoIP ou les protocoles de streaming vidéo. En examinant le contenu réel des paquets, le DPI peut détecter et identifier des applications, des protocoles, voire des modèles de données spécifiques.

Outre l'analyse hiérarchique des adresses source, des adresses de destination, des ports source et de destination et des types de protocole, DPI propose également une analyse de la couche applicative pour identifier les différentes applications et leur contenu. Lorsque les données TCP ou UDP transitent par un paquet 1P via le système de gestion de bande passante basé sur la technologie DPI, le système lit le contenu du paquet 1P afin de réorganiser les informations de la couche applicative dans le protocole OSI Layer 7, de manière à obtenir le contenu de l'ensemble du programme applicatif, puis à moduler le trafic selon la politique de gestion définie par le système.

Comment fonctionne le DPI ?

Les pare-feu traditionnels manquent souvent de puissance de traitement pour effectuer des contrôles approfondis en temps réel sur d'importants volumes de trafic. Avec les avancées technologiques, le DPI permet d'effectuer des contrôles plus complexes, notamment sur les en-têtes et les données. Généralement, les pare-feu dotés de systèmes de détection d'intrusion utilisent souvent le DPI. Dans un monde où l'information numérique est primordiale, chaque information numérique est transmise sur Internet par petits paquets. Cela inclut les e-mails, les messages envoyés via l'application, les sites web visités, les conversations vidéo, etc. Outre les données elles-mêmes, ces paquets contiennent des métadonnées qui identifient la source, le contenu, la destination du trafic et d'autres informations importantes. Grâce au filtrage des paquets, les données peuvent être surveillées et gérées en continu pour garantir leur transmission au bon endroit. Cependant, pour garantir la sécurité du réseau, le filtrage traditionnel des paquets est loin d'être suffisant. Voici quelques-unes des principales méthodes d'inspection approfondie des paquets pour la gestion réseau :

Mode de correspondance/signature

Chaque paquet est vérifié par un pare-feu doté d'un système de détection d'intrusion (IDS) afin de vérifier sa correspondance avec une base de données d'attaques réseau connues. L'IDS recherche des schémas malveillants spécifiques connus et désactive le trafic lorsqu'ils sont détectés. L'inconvénient de la politique de correspondance des signatures est qu'elle ne s'applique qu'aux signatures fréquemment mises à jour. De plus, cette technologie ne protège que contre les menaces ou attaques connues.

DPI

Exception de protocole

Étant donné que la technique d'exception de protocole n'autorise pas simplement toutes les données non conformes à la base de données de signatures, la technique d'exception de protocole utilisée par le pare-feu IDS ne présente pas les défauts inhérents à la méthode de correspondance modèle/signature. Elle adopte plutôt la politique de rejet par défaut. Par définition, les pare-feu décident du trafic autorisé et protègent le réseau contre les menaces inconnues.

Système de prévention des intrusions (IPS)

Les solutions IPS peuvent bloquer la transmission de paquets malveillants en fonction de leur contenu, stoppant ainsi les attaques suspectées en temps réel. Ainsi, si un paquet représente un risque de sécurité avéré, le système IPS bloquera proactivement le trafic réseau selon un ensemble de règles définies. L'un des inconvénients du système IPS est la nécessité de mettre à jour régulièrement une base de données de cybermenaces avec des informations sur les nouvelles menaces et le risque de faux positifs. Cependant, ce danger peut être atténué en créant des politiques prudentes et des seuils personnalisés, en définissant un comportement de référence approprié pour les composants réseau et en évaluant régulièrement les avertissements et les événements signalés afin d'améliorer la surveillance et les alertes.

1- Le DPI (Deep Packet Inspection) dans Network Packet Broker

La comparaison « profonde » est celle de l'analyse de paquets de niveau et ordinaire, « l'inspection ordinaire des paquets » ne fait que l'analyse suivante de la couche 4 des paquets IP, y compris l'adresse source, l'adresse de destination, le port source, le port de destination et le type de protocole, et le DPI, sauf avec l'analyse hiérarchique, a également augmenté l'analyse de la couche d'application, identifie les différentes applications et contenus, pour réaliser les fonctions principales :

1) Analyse des applications : analyse de la composition du trafic réseau, analyse des performances et analyse des flux

2) Analyse des utilisateurs : différenciation des groupes d'utilisateurs, analyse du comportement, analyse des terminaux, analyse des tendances, etc.

3) Analyse des éléments du réseau – analyse basée sur les attributs régionaux (ville, district, rue, etc.) et la charge de la station de base

4) Contrôle du trafic – Limitation de vitesse P2P, assurance QoS, assurance de bande passante, optimisation des ressources réseau, etc.

5) Assurance de sécurité – attaques DDoS, tempête de diffusion de données, prévention des attaques de virus malveillants, etc.

2- Classification générale des applications réseau

Aujourd’hui, il existe d’innombrables applications sur Internet, mais les applications Web courantes peuvent être exhaustives.

À ma connaissance, Huawei est la meilleure entreprise de reconnaissance d'applications, qui affirme en reconnaître 4 000. L'analyse de protocole est le module de base de nombreux éditeurs de pare-feu (Huawei, ZTE, etc.). C'est également un module essentiel, qui permet la réalisation d'autres modules fonctionnels, l'identification précise des applications et améliore considérablement les performances et la fiabilité des produits. Pour modéliser l'identification des logiciels malveillants à partir des caractéristiques du trafic réseau, comme je le fais actuellement, une identification précise et complète des protocoles est également essentielle. En excluant le trafic réseau des applications courantes du trafic d'exportation de l'entreprise, le trafic restant ne représentera qu'une faible proportion, ce qui est plus efficace pour l'analyse et l'alerte des logiciels malveillants.

D'après mon expérience, les applications courantes existantes sont classées en fonction de leurs fonctions :

PS : Selon ma compréhension personnelle de la classification des applications, si vous avez de bonnes suggestions, n'hésitez pas à laisser un message de proposition

1). Courriel

2). Vidéo

3). Jeux

4). Classe Office OA

5). Mise à jour du logiciel

6). Finances (banque, Alipay)

7). Actions

8). Communication sociale (logiciel de messagerie instantanée)

9). Navigation Web (probablement mieux identifiée par les URL)

10). Outils de téléchargement (disque Web, téléchargement P2P, Bluetooth)

20191210153150_32811

Ensuite, comment fonctionne le DPI (Deep Packet Inspection) dans un NPB :

1) Capture de paquets : le NPB capture le trafic réseau provenant de diverses sources, telles que les commutateurs, les routeurs ou les robinets. Il reçoit les paquets circulant sur le réseau.

2) Analyse des paquets : Les paquets capturés sont analysés par le NPB afin d'en extraire les différentes couches de protocole et les données associées. Ce processus d'analyse permet d'identifier les différents composants des paquets, tels que les en-têtes Ethernet, les en-têtes IP, les en-têtes de la couche transport (par exemple, TCP ou UDP) et les protocoles de la couche application.

3) Analyse de la charge utile : Avec DPI, le NPB va au-delà de l'inspection des en-têtes et se concentre sur la charge utile, y compris les données réelles contenues dans les paquets. Il examine en profondeur le contenu de la charge utile, indépendamment de l'application ou du protocole utilisé, afin d'en extraire les informations pertinentes.

4) Identification du protocole : Le DPI permet au NPB d'identifier les protocoles et applications spécifiques utilisés dans le trafic réseau. Il peut détecter et classer des protocoles tels que HTTP, FTP, SMTP, DNS, VoIP ou les protocoles de streaming vidéo.

5) Inspection du contenu : Le DPI permet au NPB d'inspecter le contenu des paquets à la recherche de modèles, de signatures ou de mots-clés spécifiques. Cela permet de détecter les menaces réseau, telles que les logiciels malveillants, les virus, les tentatives d'intrusion ou les activités suspectes. Le DPI peut également être utilisé pour le filtrage de contenu, l'application des politiques réseau ou l'identification des violations de conformité des données.

6) Extraction de métadonnées : Lors de l'analyse DPI, le NPB extrait les métadonnées pertinentes des paquets. Celles-ci peuvent inclure des informations telles que les adresses IP source et de destination, les numéros de port, les détails de session, les données de transaction ou tout autre attribut pertinent.

7) Routage ou filtrage du trafic : en fonction de l'analyse DPI, le NPB peut acheminer des paquets spécifiques vers des destinations désignées pour traitement ultérieur, telles que des dispositifs de sécurité, des outils de surveillance ou des plateformes d'analyse. Il peut également appliquer des règles de filtrage pour rejeter ou rediriger les paquets en fonction du contenu ou des modèles identifiés.

ML-NPB-5660 3d


Date de publication : 25 juin 2023