O que é inspeção profunda de pacotes?

A inspeção profunda de pacotes é um tipo de filtragem de pacotes de rede, também conhecida como extração de informações ou inspeção completa de pacotes. Qualquer informação que você enviar ou receber on-line, seja um e-mail ou você se conectando a um site, é dividida em pacotes. Esses pacotes consistem em cabeçalhos e cargas úteis que informam aos dispositivos de onde esses pacotes são e para onde eles estão indo.

Seu roteador, por exemplo, protege seus dispositivos executando a filtragem básica de pacotes, também conhecida como filtragem de pacotes sem monitoração de estado. Ele verifica os cabeçalhos de pacotes de entrada em relação a um conjunto de regras (também chamado de Lista de Controle de Acesso), como endereços IP de origem/destino/números de porta específicos, e descarta os que não o fazem.

Se a filtragem de pacotes sem monitoração de estado verificar apenas os cabeçalhos, o DPI verificará o cabeçalho do pacote e o que está dentro do pacote — sua carga útil. O usuário pode então eliminar qualquer coisa que não corresponda ao conjunto de regras predefinido, como não conformidade com um protocolo, spam, vírus ou invasões. A responsabilidade pela definição dos conjuntos de regras pode ser do usuário final, do provedor de serviços de Internet (ISP) ou do administrador da rede, dependendo do contexto e do controle sobre a rede.

O quão profunda a inspeção de pacotes funciona em seu sistema depende do tipo de ferramenta DPI que você planeja usar. Por exemplo, firewalls de última geração, sistemas de detecção de intrusão, várias ferramentas de monitoramento de rede e até roteadores podem oferecer suporte a DPI.

Veja como funciona a inspeção profunda de pacotes passo a passo:

1. Captura de pacotes. A ferramenta DPI usa uma variedade de métodos, como toques de rede e espelhamento de porta para capturar pacotes de entrada.
2. Decodificação de pacotes. Uma vez que o pacote tenha sido capturado, a ferramenta DPI analisa o pacote de acordo com o modelo OSI, começando com a camada física na parte inferior e indo até a camada de aplicação na parte superior.
3. Análise de protocolos. As ferramentas de inspeção profunda de pacotes têm uma biblioteca de protocolos conhecidos que usam para identificar o protocolo usado pelo pacote. Isso pode ser qualquer coisa, desde HTTP para tráfego da Web, SMTP para e-mail ou FTP para transferências de arquivos.
4. Análise de conteúdo. A parte chave que separa o DPI da filtragem de pacotes tradicional é que o DPI analisa o conteúdo do pacote ou a carga útil. Ele procura determinados padrões ou assinaturas que correspondem a conteúdo mal-intencionado conhecido ou dados não compatíveis.
5. Com base na análise, a ferramenta DPI tomará uma ação predefinida, como permitir que o pacote prossiga, bloqueá-lo, redirecioná-lo ou sinalizá-lo para investigação adicional.
6. Logging. Lastly, DPI tools typically log the results of their analysis for later review. This can be helpful for identifying trends, troubleshooting issues, and documenting network activity.

A menos que sua rede esteja completamente isolada e você esteja planejando não filtrar nenhum pacote, é provável que você enfrente uma escolha entre a inspeção profunda de pacotes e a filtragem convencional de pacotes. Então, qual é a diferença? Você já sabe como o DPI inspeciona o cabeçalho e o conteúdo do pacote. Bem, a filtragem de pacotes apenas verifica o cabeçalho do pacote para obter informações como o endereço IP de origem e destino, o tipo de protocolo e as portas.

Na época, era uma boa solução porque os firewalls não eram capazes de analisar grandes quantidades de dados de forma eficiente. Mas os hackers encontraram maneiras de ir além da filtragem convencional de pacotes. Além disso, configurar regras de filtragem de pacotes pode se tornar um desafio. Quanto mais regras seu roteador tiver, mais lento ele se torna, e alguns roteadores simplesmente não têm poder de processamento suficiente para protegê-lo de todas as ameaças à espreita.

Embora o DPI envolva uma análise de pacotes muito mais profunda que também requer mais poder de processamento, os recursos de priorização de tráfego e o bloqueio de ameaças mais eficaz reduzem a necessidade de um grande número de regras que você precisaria na filtragem de pacotes convencional.

Algumas das tarefas que o DPI pode ajudar é melhorar o desempenho do sistema, bloquear malware e evitar vazamentos de dados. Vamos dar uma olhada mais de perto nos casos de uso de DPI:

Bloqueio de malware

Um dos principais casos para o DPI é trabalhar com sistemas de detecção de ameaças para analisar os pacotes de dados e prevenir ameaças como ransomware, vírus e spyware. O DPI também pode fornecer visibilidade abrangente do tráfego de rede, enquanto outras técnicas de análise heurística podem ajudar a identificar padrões de tráfego incomuns e permitir que as equipes de segurança respondam a sinais de possíveis violações de segurança.

Evitando vazamentos de dados

O DPI não apenas verifica pacotes de dados do tráfego de entrada, mas também pode gerenciar o tráfego de saída. Uma empresa pode usar o DPI para evitar o roubo de dados e evitar possíveis vazamentos de dados por acidente e intenção.

Regulatory compliance

As regulamentações de privacidade de dados agora alcançaram a maioria das indústrias em todo o mundo. A DPI pode ajudar a identificar os dados aos quais esses regulamentos se aplicam e garantir a conformidade, gerenciando-os adequadamente.

Controles parentais digitais

Embora o DPI seja frequentemente usado em um ambiente de negócios, você pode usá-lo mesmo em casa para implementar controles parentais. Ao inspecionar o conteúdo do pacote, o DPI pode filtrar o conteúdo da Internet e bloquear o acesso a sites inadequados melhor do que os filtros tradicionais baseados em URL.

VoiP e garantia de qualidade de streaming

Ao identificar VoiP ou streaming e atribuir uma prioridade mais alta a eles, o DPI pode ser usado para reduzir a latência e o buffer e melhorar a qualidade de suas chamadas e streaming de vídeo.

O DPI pode usar várias técnicas e ferramentas para localizar e descartar pacotes que não correspondem às suas regras de filtragem.

• Correspondência de padrão ou assinatura. O DPI analisa pacotes em um banco de dados de ataques de rede conhecidos e procura encontrar padrões de código mal-intencionado. Infelizmente, essa abordagem não protege sua rede contra ataques ainda não descobertos que dependem de vulnerabilidades de dia zero, novos malwares e vírus.
• A anomalia de protocolo tem uma abordagem de “negação padrão”, o que significa que ela nega todo o tráfego, a menos que corresponda às suas regras de protocolo. Essa abordagem protege você de ataques desconhecidos, mas pode ser muito restritiva.
• As soluções de sistema de prevenção de intrusão (IPS) também podem usar tecnologias DPI. Eles têm funcionalidade semelhante e podem detectar ameaças em tempo real. No entanto, eles pegam falsos positivos, o que significa que, para que funcione, você precisará criar políticas bastante conservadoras.

O DPI oferece inúmeros benefícios:

1. Segurança da rede. O DPI pode ser usado como um sistema de detecção de intrusão (IDS) ou uma combinação de prevenção de intrusão (IPS) e detecção de intrusão. Ele pode identificar ataques específicos, como negação de serviço e outros tráfegos maliciosos causados por vírus, worms ou ransomware, que outras ferramentas de segurança podem não ser capazes de captar.

O DPI funciona como um antivírus, mas detecta ameaças na camada de rede antes mesmo que elas cheguem ao usuário final. Por exemplo, em grandes empresas, o DPI pode ajudar a evitar que vírus e worms se espalhem pela rede corporativa. Ele também pode ajudar a detectar usos proibidos dos aplicativos da sua empresa.

2. Prevenção de perda de dados. O DPI pode impedir a saída de dados nas empresas. Por exemplo, ao enviar informações confidenciais por e-mail, o DPI solicitaria que um funcionário obtivesse a permissão e a autorização necessárias para enviá-las.

3. Modelagem de tráfego de Internet ou gerenciamento de rede. Você pode usar o DPI para filtrar o tráfego e facilitar o fluxo da rede. Por exemplo, você pode configurá-lo para receber mensagens de alta prioridade primeiro ou para diminuir a velocidade ou priorizar seus downloads P2P.

Infelizmente, os ISPs também fazem isso com frequência para limitar o tráfego de usuários. Os detentores de direitos autorais também podem pedir aos ISPs, com a ajuda do DPI, que bloqueiem seu conteúdo de ser baixado ilegalmente.

4. Escutas e censura online. O governo chinês usa o DPI para monitorar e controlar o tráfego de rede do país. Ele os ajuda a bloquear sites indesejados, como pornografia, plataformas de mídia social e oposição religiosa ou política.

5. Publicidade direcionada. O DPI levanta algumas preocupações de privacidade porque pode se aprofundar o suficiente para ver o remetente, o receptor e o conteúdo do pacote de dados. Essas informações podem ser coletadas por ISPs que monitoram seu tráfego e, em seguida, podem ser vendidas para empresas especializadas em publicidade direcionada.

O DPI funciona como um antivírus, mas detecta ameaças na camada de rede antes mesmo que elas cheguem ao usuário final. Por exemplo, em grandes empresas, o DPI pode ajudar a evitar que vírus e worms se espalhem pela rede corporativa. Ele também pode ajudar a detectar usos proibidos dos aplicativos da sua empresa.

2. Prevenção de perda de dados. O DPI pode impedir a saída de dados nas empresas. Por exemplo, ao enviar informações confidenciais por e-mail, o DPI solicitaria que um funcionário obtivesse a permissão e a autorização necessárias para enviá-las.

3. Modelagem de tráfego de Internet ou gerenciamento de rede. Você pode usar o DPI para filtrar o tráfego e facilitar o fluxo da rede. Por exemplo, você pode configurá-lo para receber mensagens de alta prioridade primeiro ou para diminuir a velocidade ou priorizar seus downloads P2P.

Infelizmente, o ISP também faz isso com frequência para limitar o tráfego de usuários. Os detentores de direitos autorais também podem pedir aos ISPs, com a ajuda do DPI, que bloqueiem seu conteúdo de ser baixado ilegalmente.

4. Escutas e censura online. O governo chinês usa o DPI para monitorar e controlar o tráfego de rede do país. Ele os ajuda a bloquear sites indesejados, como pornografia, plataformas de mídia social e oposição religiosa ou política.

5. Publicidade direcionada. O DPI levanta algumas preocupações de privacidade porque pode se aprofundar o suficiente para ver o remetente, o receptor e o conteúdo do pacote de dados. Essas informações podem ser coletadas por ISPs que monitoram seu tráfego e, em seguida, podem ser vendidas para empresas especializadas em publicidade direcionada.

O DPI não é uma ferramenta de gerenciamento de rede impecável. Ele apresenta muitos desafios, e você pode precisar pensar duas vezes antes de confiar nele.

• O DPI pode prejudicar o desempenho, pois requer muito poder de processamento. Seu roteador já faz muito – firewall NAT, inspeção stateful, etc. – adicionar DPI torna toda a rede ainda mais complexa.
• O DPI levanta preocupações de privacidade. O DPI pode ser usado para o bem e para o mal. Ele pode ajudá-lo a bloquear malware e hackers, mas também pode ser abusado por ISPs e governos para bloquear determinados conteúdos e monitorar o que você faz online.
• DPI e criptografia. A criptografia pode dificultar o trabalho do DPI porque, se o tráfego é criptografado de ponta a ponta, como você pode espiar seus pacotes? Mas as coisas não são tão ruins quanto parecem. Dado que muito tráfego de internet é criptografado nos dias de hoje (tráfego VPN ou HTTPS, certas plataformas de e-mail ou mensagens), muitas empresas estão habilitando o DPI por causa de suas necessidades de poder de processamento decrescentes.