Identification des applications du courtier de paquets réseau basée sur le DPI – Inspection approfondie des paquets

Inspection approfondie des paquets (DPI)est une technologie utilisée dans les Network Packet Brokers (NPB) pour inspecter et analyser le contenu des paquets réseau à un niveau granulaire. Cela implique d'examiner la charge utile, les en-têtes et d'autres informations spécifiques au protocole dans les paquets pour obtenir des informations détaillées sur le trafic réseau.

DPI va au-delà de la simple analyse d’en-tête et fournit une compréhension approfondie des données circulant à travers un réseau. Il permet une inspection approfondie des protocoles de la couche application, tels que les protocoles HTTP, FTP, SMTP, VoIP ou de streaming vidéo. En examinant le contenu réel des paquets, DPI peut détecter et identifier des applications, des protocoles ou même des modèles de données spécifiques.

Outre l'analyse hiérarchique des adresses source, des adresses de destination, des ports source, des ports de destination et des types de protocoles, DPI ajoute également une analyse de la couche application pour identifier diverses applications et leur contenu. Lorsque le paquet 1P, les données TCP ou UDP transitent par le système de gestion de bande passante basé sur la technologie DPI, le système lit le contenu de la charge du paquet 1P pour réorganiser les informations de la couche application dans le protocole OSI Layer 7, afin d'obtenir le contenu de l'ensemble du programme d'application, puis façonner le trafic selon la politique de gestion définie par le système.

Comment fonctionne le DPI ?

Les pare-feu traditionnels ne disposent souvent pas de la puissance de traitement nécessaire pour effectuer des contrôles approfondis en temps réel sur de gros volumes de trafic. À mesure que la technologie progresse, le DPI peut être utilisé pour effectuer des contrôles plus complexes pour vérifier les en-têtes et les données. En règle générale, les pare-feu dotés de systèmes de détection d'intrusion utilisent souvent le DPI. Dans un monde où l’information numérique est primordiale, chaque élément d’information numérique est transmis sur Internet sous forme de petits paquets. Cela inclut les e-mails, les messages envoyés via l'application, les sites Web visités, les conversations vidéo, etc. En plus des données réelles, ces paquets incluent des métadonnées qui identifient la source du trafic, son contenu, sa destination et d'autres informations importantes. Grâce à la technologie de filtrage de paquets, les données peuvent être surveillées et gérées en permanence pour garantir qu'elles sont transmises au bon endroit. Mais pour garantir la sécurité du réseau, le filtrage traditionnel des paquets est loin d’être suffisant. Certaines des principales méthodes d'inspection approfondie des paquets dans la gestion de réseau sont répertoriées ci-dessous :

Mode de correspondance/signature

Chaque paquet est vérifié pour sa correspondance avec une base de données d'attaques réseau connues par un pare-feu doté de capacités de système de détection d'intrusion (IDS). IDS recherche des modèles spécifiques malveillants connus et désactive le trafic lorsque des modèles malveillants sont détectés. L’inconvénient de la politique de correspondance des signatures est qu’elle s’applique uniquement aux signatures fréquemment mises à jour. De plus, cette technologie ne peut se défendre que contre les menaces ou attaques connues.

PPP

Exception au protocole

Étant donné que la technique d'exception de protocole n'autorise pas simplement toutes les données qui ne correspondent pas à la base de données de signatures, la technique d'exception de protocole utilisée par le pare-feu IDS ne présente pas les défauts inhérents à la méthode de correspondance de modèle/signature. Au lieu de cela, il adopte la politique de rejet par défaut. Par définition de protocole, les pare-feu décident quel trafic doit être autorisé et protègent le réseau contre les menaces inconnues.

Système de prévention des intrusions (IPS)

Les solutions IPS peuvent bloquer la transmission de paquets nuisibles en fonction de leur contenu, stoppant ainsi les attaques suspectées en temps réel. Cela signifie que si un paquet représente un risque de sécurité connu, IPS bloquera de manière proactive le trafic réseau sur la base d'un ensemble de règles définies. L’un des inconvénients de l’IPS est la nécessité de mettre régulièrement à jour une base de données sur les cybermenaces avec des détails sur les nouvelles menaces et la possibilité de faux positifs. Mais ce danger peut être atténué en créant des politiques prudentes et des seuils personnalisés, en établissant un comportement de base approprié pour les composants réseau et en évaluant périodiquement les avertissements et les événements signalés pour améliorer la surveillance et les alertes.

1- Le DPI (Deep Packet Inspection) dans Network Packet Broker

Le « profond » est une comparaison d'analyse de paquet ordinaire et de niveau, « inspection de paquet ordinaire » uniquement l'analyse suivante de la couche 4 du paquet IP, y compris l'adresse source, l'adresse de destination, le port source, le port de destination et le type de protocole, et le DPI, sauf avec la hiérarchie. L'analyse, a également augmenté l'analyse de la couche d'application, identifier les différentes applications et contenus, pour réaliser les principales fonctions :

1) Analyse des applications : analyse de la composition du trafic réseau, analyse des performances et analyse des flux.

2) Analyse des utilisateurs : différenciation des groupes d'utilisateurs, analyse du comportement, analyse des terminaux, analyse des tendances, etc.

3) Analyse des éléments du réseau : analyse basée sur les attributs régionaux (ville, district, rue, etc.) et la charge de la station de base.

4) Contrôle du trafic – limitation de vitesse P2P, assurance QoS, assurance bande passante, optimisation des ressources réseau, etc.

5) Assurance de sécurité – Attaques DDoS, tempête de diffusion de données, prévention des attaques de virus malveillants, etc.

2- Classification générale des applications réseau

Il existe aujourd’hui d’innombrables applications sur Internet, mais les applications Web courantes peuvent être exhaustives.

Pour autant que je sache, la meilleure société de reconnaissance d'applications est Huawei, qui prétend reconnaître 4 000 applications. L'analyse de protocole est le module de base de nombreuses sociétés de pare-feu (Huawei, ZTE, etc.), et c'est également un module très important, prenant en charge la réalisation d'autres modules fonctionnels, l'identification précise des applications et améliorant considérablement les performances et la fiabilité des produits. Dans la modélisation de l'identification des logiciels malveillants basée sur les caractéristiques du trafic réseau, comme je le fais actuellement, une identification précise et approfondie du protocole est également très importante. En excluant le trafic réseau des applications courantes du trafic d'exportation de l'entreprise, le trafic restant ne représentera qu'une petite proportion, ce qui est meilleur pour l'analyse et l'alarme des logiciels malveillants.

D'après mon expérience, les applications existantes couramment utilisées sont classées selon leurs fonctions :

PS : selon votre compréhension personnelle de la classification des candidatures, vous avez de bonnes suggestions, bienvenue pour laisser une proposition de message

1). E-mail

2). Vidéo

3). Jeux

4). Classe Office OA

5). Mise à jour du logiciel

6). Financier (banque, Alipay)

7). Actions

8). Communication sociale (logiciel de messagerie instantanée)

9). Navigation Web (probablement mieux identifiée grâce aux URL)

10). Outils de téléchargement (disque Web, téléchargement P2P, lié au BT)

20191210153150_32811

Ensuite, comment fonctionne le DPI (Deep Packet Inspection) dans un NPB :

1). Capture de paquets : le NPB capture le trafic réseau provenant de diverses sources, telles que des commutateurs, des routeurs ou des taps. Il reçoit les paquets circulant sur le réseau.

2). Analyse des paquets : les paquets capturés sont analysés par le NPB pour extraire diverses couches de protocole et les données associées. Ce processus d'analyse permet d'identifier les différents composants des paquets, tels que les en-têtes Ethernet, les en-têtes IP, les en-têtes de couche transport (par exemple, TCP ou UDP) et les protocoles de couche application.

3). Analyse de la charge utile : avec DPI, le NPB va au-delà de l'inspection de l'en-tête et se concentre sur la charge utile, y compris les données réelles contenues dans les paquets. Il examine le contenu de la charge utile en profondeur, quel que soit l'application ou le protocole utilisé, pour en extraire les informations pertinentes.

4). Identification du protocole : DPI permet au NPB d'identifier les protocoles et applications spécifiques utilisés dans le trafic réseau. Il peut détecter et classer des protocoles tels que HTTP, FTP, SMTP, DNS, VoIP ou des protocoles de streaming vidéo.

5). Inspection du contenu : DPI permet au NPB d'inspecter le contenu des paquets à la recherche de modèles, de signatures ou de mots-clés spécifiques. Cela permet de détecter les menaces réseau, telles que les logiciels malveillants, les virus, les tentatives d'intrusion ou les activités suspectes. DPI peut également être utilisé pour filtrer le contenu, appliquer des politiques réseau ou identifier les violations de conformité des données.

6). Extraction de métadonnées : pendant le DPI, le NPB extrait les métadonnées pertinentes des paquets. Cela peut inclure des informations telles que les adresses IP source et de destination, les numéros de port, les détails de la session, les données de transaction ou tout autre attribut pertinent.

7). Routage ou filtrage du trafic : sur la base de l'analyse DPI, le NPB peut acheminer des paquets spécifiques vers des destinations désignées pour un traitement ultérieur, telles que des dispositifs de sécurité, des outils de surveillance ou des plateformes d'analyse. Il peut également appliquer des règles de filtrage pour éliminer ou rediriger les paquets en fonction du contenu ou des modèles identifiés.

ML-NPB-5660 3d


Heure de publication : 25 juin 2023