La inspección profunda de contenido ( DCI ) es una forma de filtrado de red que examina un archivo completo u objeto MIME cuando pasa por un punto de inspección, buscando virus , spam, pérdida de datos, palabras clave u otros criterios de nivel de contenido. La inspección profunda de contenido se considera la evolución de la inspección profunda de paquetes con la capacidad de observar lo que contiene el contenido real en lugar de centrarse en paquetes individuales o múltiples. La inspección profunda de contenido permite a los servicios realizar un seguimiento del contenido en varios paquetes para que las firmas que puedan estar buscando puedan cruzar los límites de los paquetes y, sin embargo, se seguirán encontrando. Una forma exhaustiva de inspección del tráfico de red en la que se examina el tráfico de Internet en los sieteCapas ISO OSI y, lo más importante, la capa de aplicación. [1]
Fondo
Las tecnologías de inspección tradicionales no pueden mantenerse al día con los recientes brotes de ataques generalizados. [2] A diferencia de los métodos de inspección superficial como la inspección profunda de paquetes (DPI), donde solo se inspecciona la parte de datos (y posiblemente también el encabezado) de un paquete, los sistemas basados en la inspección profunda de contenido (DCI) son exhaustivos, por lo que el tráfico de red Los paquetes se vuelven a ensamblar en sus objetos constitutivos, se descodifican y / o descomprimen según sea necesario, y finalmente se presentan para ser inspeccionados en busca de malware, derecho de uso, cumplimiento y comprensión de la intención del tráfico. Si esta reconstrucción y comprensión se puede realizar en tiempo real, entonces se pueden aplicar políticas en tiempo real al tráfico, evitando la propagación de malware, spam y la pérdida de datos valiosos. Además, con DCI, la correlación y comprensión de los objetos digitales transmitidos en muchas sesiones de comunicación conduce a nuevas formas de optimización e inteligencia del rendimiento de la red, independientemente del protocolo o las sesiones de comunicación combinadas.
Históricamente, DPI se desarrolló para detectar y prevenir intrusiones . Luego se usó para proporcionar calidad de servicio donde el flujo de tráfico de red se puede priorizar de manera que los tipos de tráfico sensibles a la latencia (por ejemplo, voz sobre IP) se pueden utilizar para proporcionar una mayor prioridad de flujo.
La nueva generación de dispositivos de seguridad de contenido de red, como la gestión unificada de amenazas o los cortafuegos de próxima generación (Garner RAS Core Research Note G00174908) utilizan DPI para prevenir ataques de un pequeño porcentaje de virus y gusanos; las firmas de este malware encajan dentro de la carga útil del alcance de inspección de un DPI. Sin embargo, la detección y prevención de una nueva generación de malware como Conficker y Stuxnet solo es posible a través del análisis exhaustivo proporcionado por DCI. [3]
La evolución de los sistemas DPI
Las redes informáticas envían información a través de una red de un punto a otro; los datos (a veces denominados carga útil) se 'encapsulan' dentro de un paquete IP , que tiene el siguiente aspecto:
* El encabezado IP proporciona información sobre la dirección: el remitente y las direcciones de destino, mientras que el encabezado TCP / UDP proporciona otra información pertinente, como el número de puerto, etc.
A medida que evolucionan las redes, evolucionan las técnicas de inspección; todos intentando comprender la carga útil. A lo largo de la última década ha habido grandes mejoras que incluyen:
Filtrado de paquetes
Históricamente, la tecnología de inspección examinaba solo el encabezado IP y el encabezado TCP / UDP. Apodado como 'filtrado de paquetes', estos dispositivos descartarían paquetes de secuencia o paquetes que no están permitidos en una red. Este esquema de inspección del tráfico de red fue utilizado por primera vez por cortafuegos para protegerse contra ataques de paquetes.
Inspección de paquetes con estado
La inspección de paquetes con estado se desarrolló para examinar la información del encabezado y el contenido del paquete para aumentar la comprensión del origen y el destino. En lugar de dejar pasar los paquetes como resultado de sus direcciones y puertos, los paquetes permanecían en la red si el contexto era apropiado para el 'estado' actual 'de la red. Este esquema fue utilizado por primera vez por los firewalls de Check Point y, finalmente, por los sistemas de prevención / detección de intrusiones.
Inspección profunda de paquetes
La inspección profunda de paquetes es actualmente la herramienta de inspección predominante que se utiliza para analizar los paquetes de datos que pasan a través de la red, incluidos los encabezados y las estructuras del protocolo de datos. Estas tecnologías escanean flujos de paquetes y buscan patrones ofensivos.
Para ser efectivos, los sistemas de inspección profunda de paquetes deben hacer coincidir las cargas útiles de paquetes con las firmas de malware y las firmas de especificación (que dictan cómo debe ser la solicitud / respuesta) a velocidades de cable. Para hacerlo, las FPGA, o matrices de puertas programables en campo, procesadores de red o incluso unidades de procesamiento de gráficos (GPU) [4] están programadas para estar cableadas con estas firmas y, como resultado, el tráfico que pasa a través de dichos circuitos se iguala rápidamente.
Si bien el uso de hardware permite coincidencias rápidas y en línea, los sistemas DPI tienen las siguientes limitaciones, que incluyen;
Limitaciones de hardware: dado que los sistemas DPI implementan su coincidencia de patrones (o búsquedas de patrones 'ofensivos') a través del hardware, estos sistemas generalmente están limitados por:
- El número de circuitos que puede tener un chip DPI de gama alta; a partir de 2011, este sistema de DPI de gama alta puede, de manera óptima, procesar alrededor de 512 solicitudes / respuestas por sesión.
- La memoria disponible para coincidencias de patrones; A partir de 2011, los sistemas DPI de alta gama son capaces de realizar coincidencias de hasta 60.000 firmas únicas.
Limitaciones de la carga útil: las aplicaciones web comunican contenido mediante codificación de binario a texto , compresión (comprimida, archivada, etc.), ofuscación e incluso cifrado . Como tal, la estructura de carga útil se está volviendo más compleja, de modo que la coincidencia directa de 'cadenas' de las firmas ya no es suficiente. La solución común es tener las firmas de forma similar 'codificado' o cremallera que, dada la anterior 'limitaciones de la búsqueda', no se puede escalar para soportar cada tipo de aplicación , o archivos comprimidos o archivados anidados .
Inspección profunda de contenido
Paralelamente al desarrollo de Deep Packet Inspection, los inicios de Deep Content Inspection se remontan a 1995 con la introducción de proxies que detuvieron el malware o el spam. La inspección profunda de contenido, puede considerarse como la tercera generación de inspección de contenido de red, donde el contenido de la red se examina exhaustivamente,
Primera generación: puerta de enlace web segura o inspección de contenido de red basada en proxy
Se han implementado proxies para proporcionar servicios de almacenamiento en caché de Internet para recuperar objetos y luego reenviarlos. En consecuencia, todo el tráfico de la red se intercepta y potencialmente se almacena. Estos se graduaron a lo que ahora se conoce como pasarelas web seguras , las inspecciones basadas en proxy recuperan y escanean objetos, secuencias de comandos e imágenes.
Los proxies, que se basan en buscar primero el contenido si no estaba en caché, y luego reenviar el contenido al destinatario introdujeron alguna forma de inspección de archivos ya en 1995 cuando Content Technologies (ahora Clearswift ) lanzó MAILsweeper , que luego fue reemplazado por MIMEsweeper en 2005. 2006 vio el lanzamiento del software antivirus multiplataforma de código abierto ClamAV proporcionó soporte para caché de proxies, Squid y NetCache . Con el Protocolo de adaptación de contenido de Internet (ICAP) , un proxy pasará el contenido descargado para escanearlo a un servidor ICAP que ejecute un software antivirus. Dado que se pasaron archivos u 'objetos' completos para el análisis, las soluciones antivirus basadas en proxy se consideran la primera generación de inspección de contenido de red.
BlueCoat, WebWasher y Secure Computing Inc. (ahora McAfee, ahora una división de Intel), proporcionaron implementaciones comerciales de proxies, convirtiéndose finalmente en un elemento de red estándar en la mayoría de las redes empresariales.
Limitaciones: si bien los proxies (o puertas de enlace web seguras) brindan una inspección en profundidad del tráfico de la red, su uso es limitado ya que:
- requieren la reconfiguración de la red que se logra a través de: a) dispositivos finales para que sus navegadores apunten a estos proxies; o b) en los enrutadores de la red para que el tráfico se enrute a través de estos dispositivos
- están limitados a protocolos web (http) y ftp; no puede escanear otros protocolos como el correo electrónico
- y finalmente, arquitecturas de proxy que normalmente se construyen alrededor de Squid, que no pueden escalar con sesiones concurrentes, lo que limita su implementación a las empresas.
Segunda generación: inspección profunda de paquetes de tráfico de red basada en puerta de enlace / firewall asistida por proxy
La segunda generación de soluciones de inspección de tráfico de red se implementó en firewalls y / o UTM. Dado que el tráfico de la red se bloquea a través de estos dispositivos, además de la inspección DPI, es posible realizar una inspección similar a la de un proxy. Este enfoque fue iniciado por primera vez por NetScreen Technologies Inc. (adquirido por Juniper Networks Inc ). Sin embargo, dado el alto costo de dicha operación, esta función se aplicó en conjunto con un sistema DPI y solo se activó según las necesidades, o cuando el contenido no se calificó a través del sistema DPI.
Tercera generación: inspección de contenido de red transparente y con reconocimiento de aplicaciones, o inspección profunda de contenido
La tercera y actual generación de inspección de contenido de red, conocida como soluciones de inspección profunda de contenido, se implementa como dispositivos totalmente transparentes que realizan una inspección completa del contenido a nivel de aplicación a la velocidad del cable. Para comprender la intención de la sesión de comunicación —en su totalidad—, un sistema de inspección de contenido profundo debe escanear tanto el apretón de manos como la carga útil. Una vez que se construyen los objetos digitales (ejecutables, imágenes, JavaScript, .pdfs, etc., también denominados Data-In-Motion) transportados dentro de la carga útil, se puede lograr la usabilidad, el cumplimiento y el análisis de amenazas de esta sesión y su carga útil. Dado que la secuencia de protocolo de enlace y la carga útil completa de la sesión están disponibles para el sistema DCI, a diferencia de los sistemas DPI donde solo son posibles la búsqueda de reputación y la coincidencia de patrones simples, es posible un análisis de objetos exhaustivo. La inspección proporcionada por los sistemas DCI puede incluir coincidencia de firmas, análisis de comportamiento, análisis de cumplimiento y reglamentaciones, y correlación de la sesión bajo inspección con el historial de sesiones anteriores. Debido a la disponibilidad de los objetos de la carga útil completa y a estos esquemas de inspección, los sistemas de inspección profunda de contenido se implementan generalmente donde se requiere seguridad y cumplimiento de alto grado o donde las soluciones de seguridad de punto final no son posibles, como traer su propio dispositivo , o instalaciones en la nube.
Este enfoque tercera generación de profundo contenido inspección se desarrolló dentro de la comunidad de defensa e inteligencia, apareciendo por primera vez en guardia productos como SyBard, [5] y más tarde por la cuña Networks Inc. . Los aspectos más destacados de la implementación clave del enfoque de esta empresa se pueden deducir de su patente USPTO n.º 7,630,379 [6]
Los principales diferenciadores de la inspección profunda de contenido son:
Contenido
La inspección profunda de contenido se centra en el contenido en lugar de analizar paquetes o clasificar el tráfico según los tipos de aplicaciones, como en los firewalls de próxima generación . "Comprender" el contenido y su intención es el nivel más alto de inteligencia que se puede obtener del tráfico de la red. Esto es importante ya que el flujo de información se está alejando del paquete, hacia la aplicación y, en última instancia, hacia el contenido.
Niveles de inspección de ejemplo:
- Paquete: muestra aleatoria para ampliar la imagen
- Aplicación: Perfiles de grupos o aplicaciones. Ciertas aplicaciones, o áreas de aplicaciones, están permitidas / no permitidas o se escanean más.
- Contenido: Mira todo. Escanee todo. Someta el contenido a las reglas de inspección (como las reglas de Cumplimiento / Prevención de pérdida de datos). Comprende la intención.
Inspección multiservicios
Debido a la disponibilidad de los objetos completos de esa carga útil para un sistema de inspección profunda de contenido, algunos de los ejemplos de servicios / inspección pueden incluir:
- Anti Malware
- Anti-spam
- Pérdida de datos para datos en movimiento
- Amenazas desconocidas o de día cero
- Visualización y análisis del tráfico de red
- Ataques / inyección de código
- Manipulación de contenido
Aplicaciones de la inspección profunda de contenido
Actualmente, DCI está siendo adoptado por empresas, proveedores de servicios y gobiernos como reacción al tráfico de Internet cada vez más complejo con los beneficios de comprender los tipos de archivos completos y su intención. Normalmente, estas organizaciones tienen aplicaciones de misión crítica con requisitos rígidos. [7]
Obstáculos para la inspección profunda del contenido
Rendimiento de la red
Este tipo de inspección se ocupa de protocolos en tiempo real que solo continúan aumentando en complejidad y tamaño. Una de las barreras clave para proporcionar este nivel de inspección, que es mirar todo el contenido, es lidiar con el rendimiento de la red. Las soluciones deben superar este problema sin introducir latencia en el entorno de red. También deben poder escalar de manera efectiva para satisfacer las demandas del mañana y las demandas previstas por la creciente tendencia de Cloud Computing. Un enfoque es utilizar el escaneo selectivo; sin embargo, para evitar comprometer la precisión, los criterios de selección deben basarse en la recurrencia. La siguiente patente USPTO # 7,630,379 [8] proporciona un esquema sobre cómo se puede llevar a cabo la inspección profunda de contenido de manera efectiva utilizando un esquema de selección de recurrencia. La novedad introducida por esta patente es que aborda cuestiones como el contenido (por ejemplo, un archivo mp3) que podría haber sido renombrado antes de la transmisión.
Precisión de los servicios
Lidiar con la cantidad de tráfico e información y luego aplicar los servicios requiere búsquedas de muy alta velocidad para poder ser efectivo. Es necesario compararlo con plataformas de servicios completos o, de lo contrario, no se utiliza todo el tráfico de manera eficaz. A menudo se encuentra un ejemplo al tratar con virus y contenido malicioso, donde las soluciones solo comparan el contenido con una pequeña base de datos de virus en lugar de una completa y completa.
Ver también
Referencias
- ^ "Inspección profunda de contenido frente a inspección profunda de paquetes" Archivado el 16 de septiembre de 2011en Wayback Machine , Wedge Networks Inc. , 2 de agosto de 2011, consultado el 23 de agosto de 2011.
- ^ Adhikari, Richard. "Seeking Tomorrow's Security Solutions Today, Part 1" , Tech News World , 21 de julio de 2011, consultado el 23 de agosto de 2011.
- ^ Xu, Chengcheng (enero de 2016). "Una encuesta sobre la coincidencia de expresiones regulares para la inspección profunda de paquetes: aplicaciones, algoritmos y plataformas de hardware". Encuestas y tutoriales de comunicaciones de IEEE . 18 (4): 2991-3029. doi : 10.1109 / COMST.2016.2566669 .
- ^ Sarang, Dharmapurikar. "Inspección profunda de paquetes: qué plataforma de implementación" . Archivado desde el original el 31 de marzo de 2012 . Consultado el 31 de agosto de 2011 .
- ^ "Soluciones de dominio cruzado SyBard®" (PDF) . 2012.
- ^ Morishita; et al. "Patente de Estados Unidos 7.630.379" (PDF) . Consultado el 8 de diciembre de 2009 .
- ^ Racoma, Angelo J. "Wedge Networks BeSecure usa inspección profunda de contenido para protegerse contra malware" , CMS Wire , 19 de mayo de 2011, consultado el 1 de agosto de 2011.
- ^ Morishita; et al. "Patente de Estados Unidos 7.630.379" (PDF) . Consultado el 8 de diciembre de 2009 .