Inspection approfondie des paquets (DPI)Cette technologie est utilisée dans les courtiers de paquets réseau (NPB) pour inspecter et analyser le contenu des paquets réseau de manière granulaire. Elle consiste à examiner la charge utile, les en-têtes et d'autres informations spécifiques au protocole contenues dans les paquets afin d'obtenir des informations détaillées sur le trafic réseau.
L'inspection approfondie des paquets (DPI) va au-delà de la simple analyse d'en-tête et offre une compréhension fine des données circulant sur un réseau. Elle permet une inspection détaillée des protocoles de la couche application, tels que HTTP, FTP, SMTP, VoIP ou les protocoles de diffusion vidéo. En examinant le contenu même des paquets, la DPI peut détecter et identifier des applications, des protocoles ou même des modèles de données spécifiques.
Outre l'analyse hiérarchique des adresses source et de destination, des ports source et de destination, ainsi que des types de protocole, l'inspection approfondie des paquets (DPI) intègre également une analyse de la couche application afin d'identifier les différentes applications et leur contenu. Lorsqu'un paquet 1P, des données TCP ou UDP transitent par le système de gestion de bande passante basé sur la technologie DPI, ce dernier analyse le contenu du paquet chargé pour réorganiser les informations de la couche application selon le modèle OSI de couche 7. Ceci permet d'obtenir le contenu complet du programme applicatif et de moduler ensuite le trafic conformément à la politique de gestion définie par le système.
Comment fonctionne le DPI ?
Les pare-feu traditionnels manquent souvent de puissance de traitement pour effectuer des contrôles approfondis en temps réel sur de gros volumes de trafic. Avec les progrès technologiques, l'inspection approfondie des paquets (DPI) permet d'effectuer des contrôles plus complexes, notamment au niveau des en-têtes et des données. Les pare-feu équipés de systèmes de détection d'intrusion utilisent généralement la DPI. Dans un monde où l'information numérique est primordiale, chaque donnée est transmise sur Internet par petits paquets. Cela inclut les courriels, les messages envoyés via des applications, les sites web visités, les conversations vidéo, etc. Outre les données elles-mêmes, ces paquets contiennent des métadonnées identifiant la source, le contenu, la destination et d'autres informations importantes. Grâce au filtrage des paquets, les données peuvent être surveillées et gérées en continu afin de garantir leur acheminement vers la destination appropriée. Cependant, pour assurer la sécurité du réseau, le filtrage traditionnel des paquets est loin d'être suffisant. Voici quelques-unes des principales méthodes d'inspection approfondie des paquets utilisées dans la gestion de réseau :
Mode de correspondance/Signature
Chaque paquet est analysé par un pare-feu doté d'un système de détection d'intrusion (IDS) afin de vérifier sa correspondance avec une base de données d'attaques réseau connues. L'IDS recherche des schémas malveillants spécifiques et bloque le trafic lorsqu'il en détecte. L'inconvénient de cette politique de correspondance de signatures est qu'elle ne s'applique qu'aux signatures fréquemment mises à jour. De plus, cette technologie ne protège que contre les menaces ou attaques connues.
Exception de protocole
Puisque la technique d'exception de protocole n'autorise pas systématiquement toutes les données ne correspondant pas à la base de données de signatures, elle est exempte des défauts inhérents à la méthode de correspondance de modèles/signatures. Elle adopte en effet la politique de rejet par défaut. Par définition, les pare-feu déterminent le trafic autorisé et protègent le réseau contre les menaces inconnues.
Système de prévention des intrusions (IPS)
Les solutions IPS peuvent bloquer la transmission de paquets malveillants en fonction de leur contenu, stoppant ainsi les attaques suspectées en temps réel. Concrètement, si un paquet représente un risque de sécurité connu, l'IPS bloquera proactivement le trafic réseau selon un ensemble de règles définies. Un inconvénient des IPS réside dans la nécessité de mettre à jour régulièrement une base de données sur les cybermenaces avec les informations relatives aux nouvelles menaces, ainsi que dans le risque de faux positifs. Ce danger peut toutefois être atténué par la mise en place de politiques prudentes et de seuils personnalisés, l'établissement d'un comportement de référence approprié pour les composants du réseau et l'évaluation périodique des alertes et des événements signalés afin d'améliorer la surveillance et les alertes.
1- L'inspection approfondie des paquets (DPI) dans le courtier de paquets réseau
L'analyse approfondie (DPI) compare l'analyse de paquets ordinaire et l'analyse de paquets de niveau « profond ». L'« inspection de paquets ordinaire » se limite à l'analyse de la couche 4 des paquets IP, incluant l'adresse source, l'adresse de destination, le port source, le port de destination et le type de protocole. La DPI, outre l'analyse hiérarchique, étend également l'analyse à la couche application, identifiant les différentes applications et contenus, afin de réaliser les fonctions principales :
1) Analyse des applications – analyse de la composition du trafic réseau, analyse des performances et analyse des flux
2) Analyse des utilisateurs -- différenciation des groupes d'utilisateurs, analyse comportementale, analyse des terminaux, analyse des tendances, etc.
3) Analyse des éléments du réseau – analyse basée sur les attributs régionaux (ville, quartier, rue, etc.) et la charge de la station de base
4) Contrôle du trafic -- limitation de vitesse P2P, assurance QoS, assurance de bande passante, optimisation des ressources réseau, etc.
5) Assurance de sécurité -- attaques DDoS, tempête de diffusion de données, prévention des attaques de virus malveillants, etc.
2- Classification générale des applications réseau
Aujourd'hui, il existe d'innombrables applications sur Internet, mais la liste des applications web courantes peut s'avérer exhaustive.
À ma connaissance, Huawei est la meilleure entreprise en matière de reconnaissance d'applications, affirmant en reconnaître 4 000. L'analyse de protocole est un module de base pour de nombreux pare-feu (Huawei, ZTE, etc.) et un module essentiel qui permet la mise en œuvre d'autres modules fonctionnels, une identification précise des applications et améliore considérablement les performances et la fiabilité des produits. Dans la modélisation de l'identification des logiciels malveillants basée sur les caractéristiques du trafic réseau, comme je le fais actuellement, une identification précise et exhaustive des protocoles est également cruciale. En excluant le trafic réseau des applications courantes du trafic exporté de l'entreprise, le trafic restant représente une faible proportion, ce qui est plus favorable à l'analyse et à la détection des logiciels malveillants.
D’après mon expérience, les applications couramment utilisées sont classées selon leurs fonctions :
PS : D’après ma propre interprétation de la classification des applications, si vous avez des suggestions, n’hésitez pas à laisser un message.
1) Courriel
2) Vidéo
3) Jeux
4) Classe Office OA
5) Mise à jour du logiciel
6) Services financiers (banque, Alipay)
7) Actions
8) Communication sociale (logiciel de messagerie instantanée)
9) Navigation Web (probablement mieux identifiée par les URL)
10) Outils de téléchargement (disque web, téléchargement P2P, outils liés à BT)
Ensuite, comment fonctionne l'inspection approfondie des paquets (DPI) dans un NPB :
1) Capture de paquets : Le NPB capture le trafic réseau provenant de diverses sources, telles que des commutateurs, des routeurs ou des points d’accès. Il reçoit les paquets circulant sur le réseau.
2) Analyse des paquets : Les paquets capturés sont analysés par le NPB afin d’en extraire les différentes couches de protocole et les données associées. Ce processus d’analyse permet d’identifier les différents composants des paquets, tels que les en-têtes Ethernet, les en-têtes IP, les en-têtes de la couche transport (par exemple, TCP ou UDP) et les protocoles de la couche application.
3) Analyse de la charge utile : grâce à l’inspection approfondie des paquets (DPI), le NPB va au-delà de l’inspection des en-têtes et se concentre sur la charge utile, y compris les données contenues dans les paquets. Il examine en détail le contenu de la charge utile, indépendamment de l’application ou du protocole utilisé, afin d’en extraire les informations pertinentes.
4) Identification des protocoles : L’inspection approfondie des paquets (DPI) permet au NPB d’identifier les protocoles et applications spécifiques utilisés dans le trafic réseau. Elle peut détecter et classifier des protocoles tels que HTTP, FTP, SMTP, DNS, VoIP ou les protocoles de diffusion vidéo.
5) Inspection du contenu : L’inspection approfondie des paquets (DPI) permet au NPB d’examiner le contenu des paquets afin d’y rechercher des modèles, des signatures ou des mots-clés spécifiques. Ceci permet de détecter les menaces réseau, telles que les logiciels malveillants, les virus, les tentatives d’intrusion ou les activités suspectes. La DPI peut également servir au filtrage du contenu, à l’application des politiques réseau et à l’identification des violations de la conformité des données.
6) Extraction des métadonnées : Lors de l’inspection approfondie des paquets (DPI), le NPB extrait les métadonnées pertinentes des paquets. Celles-ci peuvent inclure des informations telles que les adresses IP source et de destination, les numéros de port, les détails de session, les données de transaction ou tout autre attribut pertinent.
7) Routage et filtrage du trafic : À partir de l’analyse DPI, le NPB peut acheminer des paquets spécifiques vers des destinations désignées pour un traitement ultérieur, telles que des dispositifs de sécurité, des outils de surveillance ou des plateformes d’analyse. Il peut également appliquer des règles de filtrage pour rejeter ou rediriger les paquets en fonction de leur contenu ou des modèles identifiés.
Date de publication : 25 juin 2023
