Zum Hauptinhalt springen

Wie Deep Packet Inspection die Online-Welt verändert: DPI erklärt

Veröffentlicht am:
.
11 Minuten Lesezeit
.
Für die Englische Version

Die wachsende Zahl von Cyberkriminalität und Webangriffen zeigt, wie kontinuierlich der aktuelle Zustand der Websicherheit bedroht ist. Hacker sind begierig darauf, Ihre Websicherheit zu durchbrechen und die Webanwendung zu zerstören, an deren Entwicklung Sie so viel Zeit investiert haben. Darüber hinaus werden Cyberangriffe mit der Zeit immer ausgeklügelter, was es für Ihr Online-Geschäft unerlässlich macht, ihnen entgegenzuwirken, um online zu überleben.

Einer der führenden Akteure im Bereich der Websicherheit, die Deep Packet Inspection (DPI), hat die Fähigkeit, zeitgenössische Web-Bedrohungen zu überlisten. Moderne Web-Sicherheitsprotokolle basieren auf den DPI-Parametern, die Sicherheitsfunktionen, Benutzerdienste und Netzwerkmanagement integrieren. Darüber hinaus hat jeder Sektor der Webindustrie, einschließlich großer Unternehmen, internationaler Telekommunikationsdienste und Regierungen, einen starken Bedarf an einer flexiblen Web-Sicherheitsschicht. Da es neue Wege zur Entwicklung von Webangriffen fördert, wird das Internet der Dinge (IoT) zu einem notwendigen Übel für die moderne Welt. DPI ist eines unserer stärksten Werkzeuge, um diese Gefahren abzuwehren.

Die sogenannte "Enterprise"-Ebene (Unternehmen und größere Institutionen), Telekommunikationsdienstleister und Regierungen nutzen alle DPI in verschiedenen Kontexten.

Regierungen in Nordamerika, Europa und Asien nutzen DPI für eine Vielzahl von Zielen, wie Überwachung und Zensur, zusätzlich zur Sicherung ihrer eigenen Netzwerke.

In diesem Artikel werden wir die folgenden Themen behandeln:

  • Was ist DPI oder Deep Packet Analysis?

  • Wie funktioniert die Deep Packet Inspection?

  • Was sind die Vorteile von DPI?

  • Was sind die Einschränkungen von DPI?

  • Warum ist DPI wichtig?

  • Wofür wird Deep Packet Inspection verwendet?

  • Was sind die besten Deep Packet Inspection Software und Tools?

  • Wie wählt man DPI- und Analyse-Software aus?

  • Was ist der Unterschied zwischen Deep Packet Inspection und konventionellem Paketfiltering?

  • Verwenden Firewalls DPI-Technologie?

  • Wie ist die Geschichte der Deep Packet Inspection?

  • Welche Bedrohungen stellt DPI für die Privatsphäre dar?

Starten Sie noch heute kostenlos mit Zenarmor

Was ist DPI, oder Deep Packet Analysis?

Deep Packet Inspection (DPI) ist eine Art der Paketfilterung, die regelmäßig von Unternehmen und Ihrem Internetdienstanbieter (ISP) verwendet wird, um Cyberangriffe zu identifizieren und zu stoppen, das Nutzerverhalten zu verfolgen, Malware zu stoppen und Verkehrsmuster zu bekämpfen. Die Anwendungsschicht des Open Systems Interconnection (OSI) Modells wird von den DPI-Systemen verwendet, um statistische Informationen zu extrahieren. Der Nutzen von DPI liegt in seiner Fähigkeit, Pakete zu finden, zu erkennen, zu klassifizieren und umzuleiten oder zu blockieren, die bestimmte Daten oder Code-Payloads enthalten. Deep Packet Inspection untersucht eine breitere Palette von Daten und Metadaten, die mit einzelnen Paketen verbunden sind, während Stateful Packet Inspection lediglich die Header-Informationen der Pakete bewertet, wie z.B. Quell-IP-Adresse, Ziel-IP-Adresse und Portnummer.

DPI interceptiert alle Protokollverletzungen, Viren, Spam und andere Anomalien, wenn Pakete einen Inspektionspunkt erreichen, und verhindert, dass das Paket über den Inspektionspunkt hinausgeht.

Deep Packet Inspection wird häufig unter anderem verwendet, um bösartigen Code, Abhörmaßnahmen und Internetzensur zu überprüfen, das Basisverhalten von Anwendungen festzustellen, den Netzwerkverkehr zu überwachen, Netzwerkprobleme zu beheben und sicherzustellen, dass die Daten im richtigen Format vorliegen.

Wie funktioniert die Deep Packet Inspection?

Traditionelle Firewalls verfügten häufig nicht über die erforderliche Verarbeitungsleistung, um umfassendere Echtzeitinspektionen bei großen Datenmengen durchzuführen. Aber mit dem Fortschritt der Technologie kann DPI nun anspruchsvollere Inspektionen durchführen, um sowohl Paket-Header als auch Daten zu überprüfen.

Die Deep Packet Inspection-Technologie wurde von Technikexperten und Netzwerkmanagern als ein entscheidendes Werkzeug zur Bekämpfung der zunehmenden Anzahl, Komplexität und Häufigkeit internetbezogener Gefahren gepriesen. Firewalls mit Intrusion-Detection-Systemen verwenden häufig DPI.

Jedes einzelne digitale Informationsstück wird in einer Welt, in der digitale Informationen an erster Stelle stehen, über das Internet in kleinen Datenpaketen, die als "Pakete" bekannt sind, bereitgestellt. E-Mails, Nachrichten, die Sie über Anwendungen gesendet haben, besuchte Websites, Videoanrufe und vieles mehr fallen in diese Kategorie.

Neben den eigentlichen Daten enthalten diese Pakete Metadaten, die die Verkehrsquelle, den Inhalt, das Ziel und andere wichtige Informationen identifizieren. Mit einer Technik, die als Paketfilterung bekannt ist, werden Daten ständig überwacht und verwaltet, um sicherzustellen, dass sie an den richtigen Ort weitergeleitet werden.

Aber um die Netzwerksicherheit zu gewährleisten, ist herkömmliches Paketfiltern einfach unzureichend. Um Deep Packet Inspection (DPI) als Teil ihrer Netzwerk-Analyseverfahren durchzuführen, müssen Unternehmen eine Lösung haben, die dies im gesamten Netzwerk kann.

Einige der Hauptmethoden zur tiefen Paketinspektion im Netzwerkmanagement sind unten aufgeführt:

  • Muster oder Signaturen abgleichen: Jedes Paket wird von einer Firewall mit Intrusion Detection System (IDS)-Funktionalität gegen eine Datenbank bekannter Netzwerkangriffe untersucht. Das IDS sucht nach spezifischen Mustern, die als bösartig bekannt sind, und deaktiviert den Verkehr, sobald es eines entdeckt. Der Nachteil der Signaturabgleichstrategie besteht darin, dass sie nur mit häufig aktualisierten Signaturen praktikabel ist. Darüber hinaus sind nur bekannte Bedrohungen oder Angriffe gegen diese Technik resistent. Tägliche Bedrohungserkennungen erfordern kontinuierliche Signaturupdates, die für die Firewall unerlässlich sind, um neue Bedrohungen zu erkennen und das Netzwerk sicher und geschützt zu halten.

  • Protokollanomalie: Da es nicht einfach alle Materialien zulässt, die nicht mit der Signaturdatenbank übereinstimmen, hat die Protokollanomalietechnik, die von Firewalls mit einem IDS verwendet wird, nicht den intrinsischen Fehler der Muster-/Signaturabgleichmethode. Stattdessen verfolgt es eine Standard-Verbotsstrategie. Basierend auf Protokolldefinitionen entscheidet die Firewall, welche Materialien und Datenverkehr erlaubt sein sollten. Infolgedessen schützt diese Technik, ähnlich wie die Signaturerkennung, das Netzwerk vor nicht identifizierten Bedrohungen.

  • Intrusion Prevention System (IPS): IPS-Lösungen können schädliche Pakete je nach ihrem Inhalt daran hindern, übertragen zu werden, wodurch sie verdächtige Angriffe in Echtzeit blockieren können. Das bedeutet, dass das IPS den Netzwerkverkehr aktiv basierend auf einem definierten Regelwerk blockiert, wenn ein bestimmtes Paket eine bekannte Sicherheitsgefahr darstellt. Die Notwendigkeit, die Cyber-Bedrohungsdatenbank regelmäßig mit Informationen über neue Bedrohungen zu aktualisieren, ist ein Nachteil von IPS. Die Gefahr von Fehlalarmen ist ebenfalls erheblich, kann jedoch durch die Erstellung konservativer Richtlinien und benutzerdefinierter Schwellenwerte, die Festlegung geeigneter Basisverhalten für Netzwerkkomponenten und die routinemäßige Bewertung von Warnungen und gemeldeten Vorfällen zur Verbesserung der Überwachung und Alarmierung verringert werden.

Was sind die Vorteile von DPI?

Wenn es um die Netzwerkleistung eines Unternehmensnetzwerks oder einer Organisation geht, bieten Deep Packet Inspections eine Reihe bedeutender Vorteile.

  • DPI ist ein wichtiges Werkzeug für die Netzwerksicherheit. DPIs sind in der Lage, Risiken zu erkennen oder Angriffe zu stoppen, die in den Daten verborgen sein könnten, indem sie Pakete nicht nur im Header scannen. Dies erleichtert es einem Unternehmen, Nutzungstrends zu erkennen, Malware zu entdecken, Datenlecks zu stoppen und andere Sicherheitsbedrohungen für das Netzwerk und seine Benutzer zu verhindern.

  • DPI bietet weitere Möglichkeiten zur Steuerung von Netzwerkverkehrsströmen. Deep Packet Inspection ermöglicht die Programmierung von Regeln, um nach bestimmten Datentypen zu suchen und zwischen hoch- und niedrigpriorisierten Paketen zu unterscheiden. Deep Packet Inspection kann in dieser Weise hochpriorisierte oder geschäftskritische Pakete im Datenstrom priorisieren, und diese Pakete werden vor Surf-Paketen oder weniger priorisierten Kommunikationen über das Netzwerk gesendet.

  • Sobald diese Richtlinien von einer Organisation festgelegt wurden, ist das Netzwerk in der Lage, jede verbotene Nutzung erlaubter Anwendungen zu identifizieren.

  • Sie können den ausgehenden Datenverkehr untersuchen, während er versucht, das Netzwerk zu verlassen, indem Sie eine tiefgehende Paketinspektion verwenden. Dies bedeutet, dass Unternehmen Filter entwickeln können, die darauf abzielen, Datenlecks zu verhindern. Um herauszufinden, wohin Ihr Datenpaket reist, können Sie die Deep Packet Inspection verwenden.

  • Die Echtzeitverarbeitung von Paketen durch DPI wird durch vordefinierte Regeln gesteuert. Basierend auf den vordefinierten Regeln, die Ihr Team implementiert, werden alle Paketdaten, vom Header bis zu den Inhalten, untersucht und automatisch verarbeitet. Dies verhindert, dass das Netzwerk verlangsamt wird, während Ihr System automatisch jedes Paket sortiert, filtert und priorisiert.

  • Deep Packet Inspection gibt Ihnen die Möglichkeit, auf Verkehr zu reagieren, der einem Profil entspricht, indem Sie beispielsweise über verlorene oder verlorene Pakete informiert werden oder die Bandbreite reduzieren, die diesem Verkehr zur Verfügung steht.

Was sind die Einschränkungen von DPI?

Es gibt einige Dinge, auf die man achten sollte, wenn es um DPI geht, obwohl es für die Netzwerküberwachung und -sicherheit sehr vorteilhaft ist. Denn während es Schutz vor aktuellen Schwachstellen bietet, führt DPI neue Schwachstellen in das Netzwerk ein.

  • DPI wird verwendet, um genau die Angriffe zu erleichtern, die es verhindern soll. Deep Packet Inspection ist sehr gut darin, Angriffe wie Bufferüberläufe, Denial-of-Service (DoS)-Angriffe und sogar einige Arten von Malware zu stoppen. Aber es könnte auch eingesetzt werden, um vergleichbare Angriffe zu entwickeln.

  • DPI macht bestehende Firewalls und andere sicherheitsrelevante Technologien viel komplizierter und umständlicher. Damit die Regeln zur tiefen Paketinspektion effektiv bleiben, müssen Sie sicherstellen, dass Sie sie häufig aktualisieren und anpassen.

  • DPI kann die Netzwerkleistung und -geschwindigkeit verringern, da es Netzwerkengpässe verursacht und die Anforderungen an die Firewall-Prozessoren für die Inline-Inspektion und Datenentschlüsselung erhöht.

  • Einige Datenschutzbefürworter und Gegner der Netzneutralität könnten gegen DPI sein, da DPI Zugriff auf spezifische Informationen darüber hat, wer Informationen sendet und empfängt und wohin sie gehen.

Warum ist DPI wichtig?

Deep Packet Inspection verbessert das Verständnis der Netzwerkbenutzer und die Sicherheit des Unternehmens erheblich. Kontinuierliche DPI ermöglicht es Sicherheitsteams, gefährlichere und komplexere Angriffe zu erkennen, indem sie Heuristiken und verhaltensbasierte Analysen kombinieren, die gesamte Anwendungsnutzlast eines Pakets gründlich analysieren und den Datenverkehr neu zusammensetzen.

Kontinuierliches DPI hilft bei der Erkennung von Netzwerkaktivitäten und der Überwachung des Datenverkehrs. Infolgedessen können Unternehmen Richtlinien umsetzen, die verhindern, dass private Informationen das Netzwerk verlassen, und erhalten Benachrichtigungen, wenn ein Datenleck auftritt.

Jedes Jahr kommen Millionen neuer IoT-Geräte auf den Markt, und die Mehrheit von ihnen wurde nicht nach den Prinzipien der Sicherheit von Anfang an entwickelt. Es gibt keine eingebauten Sicherheitsmaßnahmen, um sich gegen Hacking zu schützen. Kontinuierliches DPI kann dabei helfen, IoT-DDoS- und Botnet-Angriffe zu verhindern, indem es Sicherheitsteams über IoT-Sicherheitsprobleme aufklärt.

DPI ist grundlegend für die Netzwerksicherheit aufgrund seines Wertes bei der Verhinderung und Identifizierung von Sicherheitsverletzungen, um es kurz zu machen. Um sich effektiv gegen Pufferüberläufe und DDoS-Angriffe zu verteidigen, identifizieren und blockieren Sie beispielsweise die IP bösartiger Datenströme. DPI stoppt Risiken, indem es sie auf der Netzwerkschicht identifiziert, bevor sie sich im gesamten Unternehmensnetzwerk ausbreiten und Endbenutzer beeinträchtigen können. Infolgedessen wird DPI häufig in Firewalls integriert, wo es zusammen mit anderen Sicherheitsfunktionen Unternehmensnetzwerke vor einer Vielzahl von Bedrohungen schützt.

Was sind die Anwendungsfälle für Deep Packet Inspection?

Die Netzwerksicherheit hängt von Funktionen zur tiefen Paketinspektion ab, die bewerten, ob ein bestimmtes Paket durch den Netzwerkverkehr zu seinem vorgesehenen Ziel reist.

Deep Packet Inspection geht über das bloße Betrachten der eingehenden Pakete hinaus, um Protokollanomalien zu erkennen, und analysiert, findet und blockiert die Pakete nach Bedarf. Dies steht im Gegensatz zur standardmäßigen Netzwerkpaketfilterung, die Pakete nach Quelle und Ziel sortiert.

Eine zusätzliche Funktion eines DPI-Systems ist die Paket-Analyse, die verwendet wird, um die Quelle von Anwendungs- oder Netzwerkleistungsproblemen zu finden. Es wird als eine der genauesten Methoden angesehen, um das Verhalten von Anwendungen, Netzwerknutzungsprobleme, Datenverletzungen und andere Schwierigkeiten zu verfolgen und zu analysieren. Die tiefgehende Paket-Analyse hilft zusätzlich bei der Durchführung der folgenden Aufgaben:

  • Messen übermäßiger Netzwerkverzögerungen für geschäftskritische Anwendungen

  • Verbesserung der Anwendungszugänglichkeit und Erfüllung der SLAs

  • Erstellung von historischen Datenberichten und Durchführung von Forensik

Darüber hinaus hilft die Deep Packet Inspection Urheberrechtsinhabern, wie Plattenfirmen, indem sie unbefugte Downloads ihrer Inhalte verhindert. DPI kann auch zur Durchsetzung von Richtlinien, zur Bereitstellung maßgeschneiderter Werbung für Benutzer und zur Durchführung legitimer Abhörmaßnahmen verwendet werden.

Was sind die besten Deep Packet Inspection Software und Tools?

Die tiefgehende Paket-Analyse ist besonders hilfreich bei Next-Generation-Firewalls. Da es sowohl als Bestandteil von Intrusion Detection Systemen (IDS) als auch von Intrusion Prevention Systemen (IPS) verwendet wird, hat die Verbreitung der Deep Packet Inspection-Technologie in den letzten Jahren zugenommen. DPI ist typischerweise als Funktion in Sicherheitsgeräten enthalten oder wird als virtuelles DPI auf einem Server eingerichtet. Obwohl dedizierte Sicherheits-/DPI-Geräte die beste Option für die Installation sind, können Sie auch Software oder Dienste wählen, um DPI zu implementieren.

Einige der beliebtesten Deep Packet Inspection-Tools für DPI sind unten aufgeführt:

  • SolarWinds Netzwerkleistungsmonitor: Die SolarWinds Deep Packet Inspection und Analyse mit NPM überwacht und verwaltet den Netzwerkverkehr auf verschiedene Weise. Die Hauptkomponente nutzt das native SNMP-Nachrichtensystem, das in der Firmware der Netzwerkausrüstung zu finden ist. Deep Packet Inspection (DPI) wird jedoch in den Analyseabschnitten des Monitors als Teil der Netzwerkaktivitäts-Transparenzdienste des Tools verwendet.

  • Paessler-Paket-Sniffing mit PRTG: Das PRTG-System verfügt über einen Paket-Sensor und ist ein Infrastrukturüberwachungstool. Eine umfassende Netzwerküberwachungslösung, die DPI zur Datenerfassung verwendet, ist das Paessler-Paket-Sniffing mit PRTG. PRTGs Paket-Sniffer untersucht bestimmte Verkehrsarten, um die Ressourcennutzung und unregelmäßiges Verhalten im Auge zu behalten. Die Verkehrskategorien und deren Durchsatz, wie Webverkehr, Mailserver-Aktivitäten und Dateiübertragungen, werden vom Verkehrsmonitor gemeldet. Sie können diese Kontrollen verwenden, um die Vorschriften für E-Mail- und Datensicherheit durchzusetzen und Verkehrsspitzen zu identifizieren, die Anzeichen für Eindringversuche oder Cyberangriffe sein könnten.

  • OpManager: OpManager ist ein Netzwerkleistungsmonitor, der die Fähigkeit hat, Pakete für eine spätere Offline-Untersuchung aufzuzeichnen. Sowohl Linux als auch Windows können das Tool verwenden. Eines der besten Netzwerküberwachungssysteme auf dem Markt ist derzeit ManageEngine's OpManager. Für die kontinuierliche Netzwerküberwachung und die Verfolgung des Gerätestatus verwendet dieser Monitor SNMP-Techniken. Die Funktionen zur tiefen Paketinspektion von OpManager verbessern das Verkehrsmanagement des Systems.

  • nDPI: Da dieses Tool Pakete auf der Anwendungsschicht untersucht, muss der Verkehr vor der Inspektion gepuffert werden. Deep-Paket-Analysewerkzeuge sind Teil des OpenDPI-Open-Source-Projekts. Jeder kann den Quellcode einer Anwendung in einem Open-Source-Projekt einsehen. Dies beruhigt die Benutzer, dass keine gefährlichen Virentechniken oder geheimen Taktiken darin verborgen sind. Basierend auf dem OpenDPI-Code verbessert nDPI von Ntop seine Funktionen.

  • Netifyd: Netifyd ist eine nDPI-Anpassung, die Pakete zur weiteren Inspektion durch andere Dienste sammelt. Trotz der Zugehörigkeit zu OpenDPI entwickelt sich nDPI zu einem eigenen Standard und dient als Grundlage für zahlreiche andere Anpassungen. Eine davon ist Netifyd. Deshalb ist Netifyd eine Anpassung von OpenDPI. Wie seine Vorgänger ist Netifyd ein Open-Source-Tool, das es Ihnen ermöglicht, den Quellcode des Programms anzusehen, zu kompilieren und zu verwenden. Alternativ könnten Sie den Code selbst modifizieren.

Top Deep Packet Inspection Software und Tools

Abbildung 1. Top Deep Packet Inspection Software und Tools

Wie wählt man DPI- und Analyse-Software aus?

Um sicherzustellen, dass ihr System wenig Bandbreite nutzt und die Knoten nicht stark belastet, müssen Organisationen Software zur tiefen Paketinspektion einsetzen. Sie können Sensoren bereitstellen, Sicherheitsmetriken konfigurieren und mehr mit Hilfe von DPI-Software. Für die Auswahl von DPI- und Analysetools sollten die folgenden Standards berücksichtigt werden:

  • Es sollte einen Paket-Scanner haben, der in der Lage ist, Header zu lesen und SSL-Offloading in einem privaten Netzwerk durchzuführen, damit der Payload gelesen werden kann.

  • Es sollte ein System sein, das Netzwerkgeräte kontinuierlich überwacht.

  • Es sollte möglich sein, von DPI auf SPI (Stateful Packet Inspection) umzuschalten.

  • Die Anweisungen zum Dereferenzieren von Paketkopfzeilen-Codes sollten vorhanden sein.

  • Um das Programm kostenlos zu bewerten, sollte es eine kostenlose Testversion oder Demodienst anbieten.

  • Ein System, das einen wertvollen Service zu einem angemessenen Preis oder kostenlos anbietet, sollte als ein gutes Preis-Leistungs-Verhältnis angesehen werden.

Was ist der Unterschied zwischen Deep Packet Inspection und herkömmlicher Paketfilterung?

Jedes Datenpaket in einem Netzwerk hat einen Header, der grundlegende Details über seinen Absender, Empfänger und die Übertragungszeit enthält. Nur diese Informationen können mit herkömmlicher Paketfilterung gelesen werden. Ältere Firewalls arbeiteten typischerweise auf diese Weise, da sie andere Datenformen nicht schnell genug verarbeiten konnten, um negative Auswirkungen auf die Netzwerkleistung zu verhindern.

Firewalls können diese Probleme mit einer tiefen Paketinspektion umgehen, um eine gründlichere, kontinuierliche Paketüberprüfung zu gewährleisten. Sie extrahieren oder filtern jetzt Daten, die über Paket-Header hinausgehen, für eine gründlichere und ausgeklügelte Netzwerküberwachung und -verteidigung. DPI ist ein leistungsstarker Bestandteil des Netzwerksicherheits-Ökosystems innerhalb der ständig wachsenden Cyber-Bedrohungslandschaft.

Deep Packet Inspection geht über das bloße Betrachten der eingehenden Pakete hinaus, um Protokollanomalien zu erkennen, und analysiert, findet und blockiert die Pakete nach Bedarf. Dies steht im Gegensatz zur standardmäßigen Netzwerkpaketfilterung, die Pakete nach Quelle und Ziel sortiert.

Deep Packet InspectionStateful Packet Inspection/konventionelles Paketfiltern
Identifizieren von Paketquelle und -zielJaJa
Analysieren von Anwendungsdaten auf der Anwendungsschicht, um verdächtiges Verhalten zu erkennenJaNein
Einblick über Paket-Header hinaus gewinnenJaNein
Inhalt, Kontext und Absicht der Kommunikation bestimmenJaNein

Tabelle 1. Deep Packet Inspection vs. Konventionelles Paketfiltern

Verwenden Firewalls DPI-Technologie?

Ja. Um das Netzwerk zu verteidigen, wird eine tiefgehende Paketinspektion durchgeführt, anstatt nur Bedrohungen zu erkennen und die Teams zu benachrichtigen. Deep Packet Inspection wird von Next-Generation-Firewalls (NGFW) mit Merkmalen wie Inhaltsinspektion und Intrusion Detection Systemen verwendet, um das Netzwerk zu sichern. Insbesondere verwenden eigenständige IDS, die sowohl Angriffe identifizieren als auch das Netzwerk sichern sollen, sowie Firewalls mit einer Funktion zur Eindringungserkennung, beide umfangreich DPI.

Firewalls klassifizieren den Netzwerkverkehr in Echtzeit bis zur Anwendungsebene dank der Integration von DPI-gestützten Protokollen und der Anwendungskategorisierung. Firewalls können dank der Anwendungs-Transparenz Zugriffsberechtigungen verwalten, den Datenverkehr priorisieren oder depriorisieren und die Dienstgüte für geschäftskritische Anwendungen optimieren. Vor allem wird jederzeit ein ungehinderter Zugang zu Cloud-Diensten gewährleistet, und das Unternehmensnetzwerk ist durchgehend vor Malware und Cyberangriffen geschützt.

Was ist die Geschichte der Deep Packet Inspection?

Bevor die Technologie in das, was heute als reguläre, gängige Einsätze betrachtet wird, eintrat, konnte die DPI-Technologie auf eine lange und hochentwickelte Geschichte zurückblicken, die bis in die 1990er Jahre zurückreicht. Die Geschichte der Technologie erstreckt sich über mehr als 30 Jahre und beginnt mit den Beiträgen mehrerer Pioniere, die ihre Entdeckungen durch frühe Innovationen und gemeinsame Standards mit anderen Mitgliedern der Branche teilten.

Das ARPAnet ist der Ort, an dem die Deep Packet Inspection, oft auch als Full Packet Inspection oder Data Packet Inspection bezeichnet, erstmals auftauchte. Das TCP/IP-Datenübertragungsprotokoll wurde erstmals vom ARPAnet verwendet, einem Netzwerk, das vor dem heutigen Internet existierte. Ingenieure lernten, wie man Header- und Metadaten verwendet, um UNIX-Sicherheitsprobleme durch die Verwaltung von Proto-Paketen zu lösen.

Im Jahr 1990 wurde ARPAnet abgeschaltet, aber TCP/IP-Probleme traten häufiger auf, als das zeitgenössische Internet an Popularität gewann. Netzingenieure entwickelten in den 1980er Jahren das Konzept der Open Systems Interconnect (OSI), um die bis Mitte der 1990er Jahre gesammelten Metadaten zu standardisieren. Das OSI-Modell ermöglichte eine breite Palette statistischer Analysen, indem es die Ebenen der Paket-Metadaten formalisierte. Zum Beispiel reduzieren sekundäre Header, auch als zustandsbehaftete oder flache Daten bezeichnet, die Bandbreite und ermöglichen gleichzeitig die richtige Weiterleitung von Informationen.

Gestufte Paket-Metadaten erleichterten es ISPs, zwischen verschiedenen Datenkategorien zu unterscheiden. Tiefe Pakete könnten neue Geschäftsmodelle anstoßen, wie ISPs in den frühen 2000er Jahren mit dem Aufstieg von Web 2.0 und Mobilgeräten gelernt haben. Seit über zwei Jahrzehnten ist die Netzneutralität ein umstrittenes Thema, und die Technologie der Deep Packet Inspection hat Rohrbesitzer in Datenbesitzer verwandelt.

Wie arbeiten DLP und DPI zusammen?

Mit Hunderten von verschiedenen Dateitypen, die häufig von DLP (Data Loss Prevention)-Lösungen abgedeckt werden, sind bereits fortschrittliche Inhalts- und Kontext-Scanning-Tools verfügbar. Diese Werkzeuge verfügen über vordefinierte Regeln für Datenschutzstandards und -vorschriften wie GDPR, HIPAA oder PCI DSS sowie für geistiges Eigentum wie Patente, proprietäre Algorithmen oder audiovisuellen Inhalt. Ihre Regeln werden auf der Endpoint-Ebene, direkt auf den Daten, die geschützt werden müssen, in die Tat umgesetzt. DPI gibt Endpunkten Zugang zu Netzwerkfähigkeiten, wodurch die Flexibilität und Genauigkeit der Ausführung von DLP-Richtlinien verbessert wird.

Unternehmen können bestimmte Websites einfacher einschränken oder auf eine Whitelist setzen, indem sie DLP-Lösungen in Verbindung mit DPI verwenden, um den genauen Ort zu bestimmen, an den eine Datei gesendet wird. Indem sie dies tun, ermöglichen Unternehmen die Nutzung von Browsern wie Chrome, Firefox und anderen, während sie sicherstellen, dass sie wissen, wo Datenübertragungsversuche stattfinden. Es ermöglicht Unternehmen, mit Wissen zu entscheiden, welche Websites für den Transfer erlaubt und welche eingeschränkt werden sollten.

Organisationen können auch Domains für E-Mail-Clients auf die Whitelist setzen, was den Transfer sensibler Daten auf die entsprechenden Abteilungen wie Finanzen und Personal beschränkt und für alle anderen Adressen sperrt. Flexibilität ist entscheidend, um sicherzustellen, dass DLP-Richtlinien die Arbeit der Mitarbeiter, die täglich auf sensible Daten zugreifen müssen, um ihre Aufgaben zu erfüllen, nicht behindern.

DPI ist eine fantastische Ergänzung zu DLP-Lösungen, da es die Genauigkeit verbessert, mit der DLP-Richtlinien angewendet werden. Durch das automatische Entfernen unerwünschter Ziele für die Übertragung sensibler Daten und die gleichzeitige Erlaubnis der Nutzung gültiger Kanäle verringert es aktiv die Auswirkungen von DLP auf die Produktivität der Mitarbeiter.

Kann DPI VPN erkennen?

Ja. Mit Deep Packet Inspection kann Ihr ISP (Internet Service Provider) die meisten VPN-Protokolle entdecken und blockieren, aber sie können die in den VPN-Paketen verschlüsselten Daten nicht sehen. Sie können nur sehen, dass Sie mit einem VPN-Server verbunden sind und die Menge der Daten, die Sie heruntergeladen oder hochgeladen haben. Sie kennen die Quell- und Ziel-IP-Adressen des VPN-Servers.

Welche Bedrohungen stellt DPI für die Privatsphäre dar?

Deep Packet Inspection (DPI) ist eine Methode zur Filterung von Netzwerkpaketen, die den Inhalt der Pakete überprüft, während sie über das Netzwerk gesendet werden. DPI ist manchmal als "Vollpaketinspektion" bekannt. Aufgrund der Menge an Verkehr in den meisten Netzwerken wird DPI oft automatisiert und von Software gemäß den vordefinierten Kriterien des Netzwerkbetreibers ausgeführt. Deep Packet Inspection kann verwendet werden, um den Inhalt aller unverschlüsselten Netzwerkdaten zu identifizieren. DPI ermöglicht es Internetdienstanbietern (ISPs), nahezu alle Internetaktivitäten ihrer Kunden abzufangen, einschließlich Web-Browsing-Daten, E-Mails und Peer-to-Peer-Downloads, da der Großteil des Internetverkehrs nicht verschlüsselt ist. ISPs können DPI nutzen, um Operationen basierend auf Filterkriterien durchzuführen, nachdem sie den Inhalt der Pakete der Nutzer untersucht haben. Deep Packet Inspection wurde in Versuchen eingesetzt, um:

  • Verbraucherprofile zu Marketingzwecken erstellen; Kommunikation auf Anfrage der Strafverfolgungsbehörden abfangen (mit und ohne Durchsuchungsbefehle)

  • Urheberrechtsgesetze durchsetzen

  • die Übertragung bestimmter Pakete gegenüber anderen priorisieren

  • Computer-Viren und Spam identifizieren.

DPI ermöglicht es Nicht-ISP-Dienstanbietern, wie Suchmaschinen und Webmail-Anbietern, Benutzerprofile basierend auf der Internetnutzung zu erstellen. ISPs analysieren traditionell Paket-Header zu verschiedenen Zwecken, einschließlich der Optimierung der Paketweiterleitung, der Erkennung von Netzwerkmissbrauch und der statistischen Analyse. Diese Inspektion, die häufig als "oberflächliche Paketinspektion" bezeichnet wird, bietet ISPs Zugang zu grundlegenden Informationen über den Internetverkehr, ohne den Inhalt der E-Mails oder des Web-Browsings der Verbraucher preiszugeben. Deep Packet Inspection hingegen ermöglicht es ISPs, auf die Inhalte aller unverschlüsselten Internetverkehrsdaten zuzugreifen, die ihre Kunden senden oder empfangen. In den frühen Tagen des Internets war DPI in großem Maßstab aufgrund begrenzter Verarbeitungsgeschwindigkeit und Ressourcen nahezu unmöglich. ISPs und Dienstanbieter können aufgrund jüngster technologischer Fortschritte nun Deep Packet Inspection in großem Maßstab einsetzen. Deep Packet Inspection ist umstritten, und Datenschutz- sowie Netzneutralitätsorganisationen haben es angegriffen.

Letztes Update am von Zenarmor