Написать пост

Технология DPI: как работает глубокая фильтрация пакетов и ее применение в сетевой безопасности

Отредактировано

Рассказываем о технологии, которая защищает бизнес от утечек, скандалов и убытков.

2К открытий18К показов
Технология DPI: как работает глубокая фильтрация пакетов и ее применение в сетевой безопасности

Каждый день бизнес в России сталкивается с киберугрозами. Любая утечка может обернуться миллионными расходами. Поэтому компании всё чаще устанавливают технологию Deep Packet Inspection для глубокой фильтрации пакетов, чтобы эффективно защищать свои данные.

Рассказали, как работают DPI-решения, зачем они нужны правительствам, провайдерам и корпорациям и какие сегодня есть инструменты для контроля сетевого трафика.

Что такое Deep Packet Inspection

DPI (Deep Packet Inspection, англ. «глубокая инспекция пакетов») — это технология анализа данных, которые проходят через контрольную точку в сети. Вся информация в интернете распределена по блокам данных, то есть пакетам (англ. «packet»). DPI как бы заглядывает внутрь каждого пакета и тщательно изучает всё, что в нём содержится.

Чтобы лучше понять принцип работы DPI, представьте таможню. Пакеты данных — это грузовики, которые перевозят товары через границу. Обычно таможенники проверяют только документы: если всё в порядке, можно ехать дальше — так работает сеть без DPI. А если подключить технологию глубокой фильтрации, таможенники будут открывать кузов каждого грузовика, чтобы проверить товары внутри.

Решения для глубокой инспекции данных бывают двух видов:

  1. Аппаратное обеспечение. Поставщики продают специализированные устройства с предустановленным DPI, например, маршрутизаторы и сервера. Эти устройства физически подключаются к сети.
  2. Программное обеспечение. Поставщики продают лицензии на софт, который можно интегрировать в уже существующие системы. Примеры таких программ — СКАТ Гарда DPI и система контроля и анализа трафика СКАТ DPI от VAS Experts.  

Аппаратные DPI-решения обычно более надёжные и производительные, но также и более дорогие. Программные же можно установить на имеющееся оборудование, поэтому стоимость у них демократичная. Зато они могут быть ограничены по скорости обработки данных, а также их сложнее масштабировать.

Отличие от обычной фильтрации пакетов

При обычной фильтрации устройство смотрит только на заголовки пакетов. Они содержат IP-адреса отправителя и получателя, номер порта, информацию о длине пакета и другие метаданные.

Deep Packet Inspection идёт дальше: анализирует само наполнение пакета. То есть помимо заголовка оборудование видит и его фактическое содержимое: текст, изображение, аудио, видео.

По сравнению с обычной фильтрацией Deep Packet Inspection обрабатывает бо́льший объём информации. Ведь технология проверяет не только заголовки пакетов, но и их содержимое. Поэтому для глубокой фильтрации нужно больше мощностей, иначе DPI замедлит скорость трафика.

Технология DPI: как работает глубокая фильтрация пакетов и ее применение в сетевой безопасности 1

Чаще всего DPI работает на прикладном уровне модели OSI. Это схема, которая описывает этапы передачи данных по сети. Она разделена на семь уровней: самый базовый отвечает за передачу электрических сигналов в кабелях, а последний седьмой — за взаимодействие с конечным пользователем.

Прикладной уровень модели OSI — это действия на уровне пользовательских приложений. То есть DPI проверяет безопасность пакетов в тот момент, когда их передают браузеры, электронная почта, мессенджеры.

Процесс выглядит так: между устройствами отправителя и получателя расположена контрольная точка, например, брандмауэр. Отправитель посылает пакеты данных по сети, и когда они доходят до брандмауэра, система осуществляет блокировку опасного трафика, чтобы он не дошёл до получателя. В итоге пользователи открывают смешные гифки в Firefox, читают сообщения в Telegram, смотрят видео на YouTube — но все эти данные уже отфильтрованы.

Принцип работы Deep Packet Inspection

Инспекция трафика в DPI-технологиях состоит из трёх шагов.

1. Перехват пакетов

Чтобы отслеживать трафик, DPI-оборудование устанавливают в контрольных точках сети — это маршрутизаторы, коммутаторы и другие устройства. Они работают как шлюзы или фильтры: анализируют данные, которые через них проходят, и принимают решения о том, как их обработать.

DPI перехватывает каждый пакет данных, который передаётся по сети, и распаковывает его. То есть расшифровывает внешние слои: Ethernet, IP-адреса, заголовки транспортного уровня. Этот процесс называется декапсуляция — он помогает устройству получить доступ к содержимому пакетов и проанализировать его.

2. Классификация пакетов

Когда DPI-устройство перехватило пакет данных, оно вычисляет, какое приложение или протокол он использует. То есть начинает искать в пакете сигнатуры — определённые комбинации символов или битов. Например, трафик из приложения Zoom имеет характерные признаки, по которым DPI может его распознать.

Сигнатуры хранятся в базе данных. Устройства DPI сравнивают пакеты с шаблонами и затем определяют, что делать с полученными данными.

Также определить тип пакета можно на основе поведенческого анализа. В стандартных шаблонах зафиксировано «нормальное» поведение. Если пакет делает что-то нетипичное, например, отправляет данные на неизвестные адреса, DPI классифицирует его как вредоносный.

3. Анализ содержимого

На этом этапе Deep Packet Inspection извлекает содержимое пакетов и выявляет запрещённые URL-адреса, ключевые слова и опасные программы. Помимо непосредственного контента устройство получает и метаданные: IP-адреса отправителя и получателя, номера портов, временные метки.

Затем DPI переходит к применению сетевых политик — то есть алгоритмов, которые задают правила обработки данных. Например, трафик из приложения Zoom классифицирован как приоритетный — тогда DPI увеличивает скорость передачи пакетов, которые содержат характерные сигнатуры.

Сетевые политики настраивает пользователь, который занимается внедрением DPI. Благодаря этой функции интернет-провайдеры могут предлагать разные сервисы: например, ускоренный стриминг музыкальных платформ. Когда клиент приобретает такую услугу, к его трафику применяются соответствующие сетевые политики — тогда песни в Spotify грузятся быстрее. Однако могут пострадать пакеты из других приложений.

Зачем нужна технология Deep Packet Inspection

DPI полезна для организаций, которым важно контролировать и анализировать интернет-трафик. Среди них — провайдеры, корпорации, госорганы. Рассмотрим основные сценарии, по которым предприятия внедряют DPI-решения.

Сетевая безопасность

Deep Packet Inspection анализирует данные, которые передаются по сети, и фильтрует вредоносный трафик. Допустим, система обнаруживает, что сетевой пакет пытается получить доступ к опасному веб-сайту. Тогда DPI блокирует этот пакет до того, как он достигнет компьютера, чтобы предотвратить потенциальное нарушение безопасности.

Этой функцией часто пользуются бизнесы и организации. DPI защищает корпоративные сети от киберугроз: DDoS-атак, заражения вирусами, фишинга. Также она предотвращает утечки конфиденциальных данных и оперативно блокирует несанкционированный доступ.

Контроль над интернетом

При помощи Deep Packet Inspection можно:

  • контролировать, какую информацию люди видят в сети;
  • регулировать, какие данные можно передавать через сеть;
  • ускорять или замедлять передачу определённых пакетов;
  • приостанавливать доступ к конкретным сайтам или приложениям.

Некоторые провайдеры используют DPI для блокировки запрещённых ресурсов, например, пиратских и порнографических сайтов. А компании внедряют эту технологию, чтобы регламентировать, как сотрудники используют интернет. К примеру, в корпоративной сети можно отключить доступ к соцсетям и развлекательным порталам — так у работников будет меньше поводов отвлечься от своих задач.

Правительства используют Deep Packet Inspection, чтобы проверять интернет-трафик и выявлять нарушения закона. Также DPI позволяет увидеть IP-адреса отправителя и получателя пакетов с опасной информацией. Это помогает в антитеррористической деятельности и поимке преступников.

Обеспечение качества обслуживания

Провайдеры используют DPI для реализации QoS (Quality of Service, англ. «качество обслуживания»). Технология помогает оптимально распределять нагрузку между приложениями: повышать пропускную способность для приоритетного трафика или, наоборот пессимизировать его, то есть замедлять.

К примеру, во время расцвета VoIP-телефонии мобильные операторы пытались внедрить блокировку Skype-трафика: интернет помогал абонентам экономить на сотовой связи. Тогда операторы обратились к Deep Packet Inspection — с помощью глубокой фильтрации можно поставить лимит на скорость передачи пакетов от сервисов VoIP. Ограничения мотивировали бы клиентов переходить на новые абонентские планы и приобретать дополнительные услуги. Например, после замедления Skype мобильные операторы могли предложить тариф «Skype без границ», который снимает лимит для VoIP-трафика.

Другой пример — скачивание файлов через BitTorrent. При обычной фильтрации сетевых пакетов провайдеры не могли контролировать, какие приложения забирают больше скорости. Поэтому раньше BitTorrent занимал весь канал и замедлял работу других приложений. С Deep Packet Inspection операторы могут распределять нагрузку между разными программами. Например, ограничить скорость BitTorrent в час пик, когда интернетом пользуется наибольшее число пользователей, а ночью разрешить неограниченный обмен сетевого трафика.

Сбор статистики

Некоторые DPI-решения умеют собирать подробную статистику соединения и разбивать её по параметрам. Примеры таких параметров:

  • приложение;
  • тарифный план;
  • регион;
  • тип абонентского устройства.

Поэтому некоторые компании внедряют Deep Packet Inspection, чтобы собрать и проанализировать данные о том, как люди используют интернет: на какие сайты заходят, какие приложения используют, сколько данных передают. Углубленное понимание сетевого трафика помогает разработать решения о том, как далее оптимизировать работу сети и повысить её эффективность.

Допустим, сотрудники компании тратят много времени на то, чтобы работать в Figma. Но им совсем не нужно смотреть потоковые видео в высоком разрешении. Тогда компания может увеличить пропускную способность для пакетов данных из Figma, но ограничить скорость стриминга.

Какие проблемы возникают при использовании DPI

Нарушение приватности. С помощью DPI можно просматривать данные пользователей, а это угрожает их конфиденциальности, особенно при сборе и обработке личной информации. Потенциально использование DPI может привести к утечкам, нарушить права пользователей, а также подвергнуть их опасности, если личные данные попадут в руки злоумышленников.

Замедление сети. Deep Packet Inspection создаёт дополнительную нагрузку на сеть и её компоненты. Анализ каждого пакета занимает больше времени, поэтому DPI снижает скорость интернет-соединения. Это создаёт неудобства для пользователей и вынуждает провайдеров искать способы оптимизировать сеть, чтобы компенсировать задержки.

Риск появления уязвимости. Если некорректно настроить DPI, в инфраструктуре сети возникают уязвимости, которые угрожают её целостности. К примеру, если сеть не успевает обработать столь большой объём данных, это может привести к перегрузке ресурсов и компрометировать инфраструктуру.

Неэффективность против VPN и шифрования. VPN-инструменты — это сервисы обхода блокировки, которые создают зашифрованный туннель между пользователем и удалённым сервером. Если все данные передаются в зашифрованном виде через VPN, анализировать содержимое трафика становится труднее. Но существуют мощные DNI-решения, которые способны распознавать трафик даже после применения VPN.

Цензура. Применение Deep Packet Inspection может привести к ограничениям свободы слова, особенно в странах с авторитарными системами правления. Например, с помощью глубокого инспектирования трафика госорганы блокируют доступ к ресурсам, на которых пользователи публикуют несанкционированную информацию и обмениваются мнениями о политике.

Слежка. Поскольку DPI позволяет просматривать фактическое содержимое пакетов, провайдеры и правительства могут читать личную переписку: сообщения в мессенджерах, электронную почту и так далее. Также метаданные, вроде IP-адресов отправителя и получателя, можно использовать для отслеживания местоположения и активности пользователей.

Как DPI работает в реальных сетевых инфраструктурах

В августе 2024 года российские пользователи столкнулись с замедлением YouTube: не открывается лента видео на главной странице, долго грузятся видеоролики. Чтобы получить доступ к популярному видеохостингу, приходится включать VPN. Замедление осуществили на государственном уровне через технологию DPI: теперь скорость обмена данными с доменом googlevideo.com снижена.

Deep Packet Inspection задействована и в Великом китайском файрволе — это система интернет-цензуры, которая блокирует контент в сети на национальном уровне. Файрвол сканирует сетевой трафик в режиме реального времени и фильтрует его содержимое. Например, в Китае запрещено упоминать протесты на площади Тяньаньмэнь, когда несколько сотен студентов погибли под танками. Сигнатурами для этих трагических событий служат даты протестов, записанные в разном формате: 04.06.1989, 06/04/1989, June 4th, 1989 и так далее. DPI сканирует интернет-трафик и блокирует URL-адреса, которые содержат эти даты.

Также DPI-решения пользуются популярностью у различных организаций. Южно-Уральский государственный медицинский университет приобрёл у поставщика программное DPI-решение, чтобы защищать публикации и фильтровать контент. Межсетевой экран Ideco NGFW VPP помогает университету управлять трафиком, контролировать приложения, предотвращать вторжения и защищать корпоративную сеть от несанкционированного доступа.

Какие решения на основе DPI можно приобрести на рынке

Компании, которые производят DPI-оборудование, как правило, создают собственные классификаторы трафика или используют сторонние. Их устройства делятся на две категории:

  • Интегрированные — решения для глубокого анализа, встроенные в телекоммуникационное оборудование: маршрутизаторы, межсетевые экраны и так далее. Популярные производители: Cisco, Huawei.
  • Автономные — самостоятельное DPI-оборудование, которое специализируется на кибербезопасности, сборе статистики, блокировке трафика. Более мощное в сравнении с интегрированными решениями. Популярные производители: Allot Ltd., Sandvine, Gigamon, Semptian Technologies, BAE Systems.

Согласно исследованию от фирмы MordorIntelligence, наиболее крупные игроки на рынке оборудования Deep Packet Inspection — Nokia, Huawei, Cisco, ManageEngine, SolarWinds. Наибольшим спросом DPI-решения пользуются в Северной Америке. Рынок постоянно развивается: появляются инновационные решения, такие как NGFW — межсетевые экраны нового поколения, которые могут анализировать трафик на всех уровнях модели OSI.

Чтобы развернуть технологию DPI в офисе, нужно установить специализированное оборудование, способное анализировать сетевой трафик на глубоком уровне. Это можно сделать за четыре шага:

1. Определить, какое оборудование нужно организации: аппаратное или программное, интегрированное или автономное. Выбор зависит от потребностей бизнеса, бюджета и ожидаемых объёмов трафика.

2. Приобрести необходимые решения. На российском рынке не всегда доступны предложения иностранных поставщиков, поэтому компании часто переходят на отечественное DPI-оборудование. Например:

3. Установить оборудование. Как правило, поставщики помогают клиентам подключить DPI-решения к корпоративной сети. А вот более тонкая настройка — это внутренняя задача компании. Необходимо задать правила фильтрации, определить приоритетные типы трафика и так далее. Установкой и настройкой оборудования занимаются сетевые инженеры и специалисты по информационной безопасности.

4. Обучить персонал. Следующий шаг — помочь сотрудникам, которые отвечают за поддержку сети, разобраться в новом DPI-оборудовании. Также важно обновить политику сетевой безопасности для остальных работников: после внедрения DPI прежние рекомендации по кибер-гигиене могут оказаться неактуальными.

Использование DPI должно соблюдать правовые нормы, учитывать приватность и безопасность пользователей, а также защищать их конфиденциальность. Тогда организация будет надёжно защищена от всех связанных рисков.

Следите за новыми постами
Следите за новыми постами по любимым темам
2К открытий18К показов