Was ist Deep Packet Inspection? - Deep Packet Inspection

Deep Packet Inspection, auch bekannt als DPI, Informationsextraktion, IX oder vollständige Paketinspektion, ist eine Art der Netzwerkpaketfilterung. Bei der Deep Packet Inspection werden der Datenteil und der Header eines Pakets ausgewertet, das über einen Inspektionspunkt übertragen wird, wobei jegliche Nichteinhaltung von Protokollen, Spam, Viren, Eindringlingen und anderen definierten Kriterien beseitigt wird, um zu verhindern, dass das vom Internetdienstanbieter oder dem Netzwerk- oder Systemadministrator unerwünschte Paket die Inspektion durchläuft.

Die Deep Packet Inspection wird auch verwendet, um zu entscheiden, ob ein bestimmtes Paket an ein anderes Ziel umgeleitet wird. Kurz gesagt, Deep Packet Inspection ist in der Lage, Pakete mit bestimmten Code- oder Datennutzdaten zu lokalisieren, zu erkennen, zu kategorisieren, zu blockieren oder umzuleiten, die durch herkömmliche Paketfilterung nicht erkannt, lokalisiert, kategorisiert, blockiert oder umgeleitet werden. Im Gegensatz zur einfachen Paketfilterung geht die Deep Packet Inspection über die Prüfung von Paket-Headern hinaus.

Wie Deep Packet Inspection funktioniert

Deep Packet Inspection ist eine Form der Paketfilterung, die normalerweise in Abhängigkeit von Ihrer Firewall durchgeführt wird. Es wird auf der Anwendungsschicht von OSI (Open Systems Interconnection) angewendet.

Bei der Deep Packet Inspection wird der Inhalt eines Pakets ausgewertet, das einen Prüfpunkt durchläuft. Anhand von Regeln, die von Ihnen, Ihrem Internetdienstanbieter oder dem Netzwerk- oder Systemadministrator zugewiesen wurden, wird bei der eingehenden Paketprüfung in Echtzeit festgelegt, was mit diesen Paketen geschehen soll.

Deep Packet Inspection kann den Inhalt dieser Pakete überprüfen und dann herausfinden, woher sie stammen, z. B. den Dienst oder die Anwendung, die sie gesendet hat. Darüber hinaus kann es mit Filtern arbeiten, um den Netzwerkverkehr von einem Onlinedienst wie Twitter oder Facebook oder von einer bestimmten IP-Adresse zu finden und umzuleiten.

Deep Packet Inspection vs. konventionelle Paketfilterung

Bei der herkömmlichen Paketfilterung werden nur die Header-Informationen jedes Pakets gelesen. Dies war ein grundlegender Ansatz, der weniger ausgefeilt war als der moderne Ansatz zur Paketfilterung, hauptsächlich aufgrund der damaligen technologischen Einschränkungen. Firewalls hatten sehr wenig Rechenleistung und es reichte nicht aus, um große Paketmengen zu verarbeiten. Mit anderen Worten, die herkömmliche Paketfilterung ähnelte dem Lesen des Titels eines Buches, ohne den Inhalt innerhalb des Covers zu kennen oder zu bewerten.

Mit dem Aufkommen neuer Technologien wurde eine eingehende Paketinspektion möglich. Je gründlicher und vollständiger es wurde, desto vergleichbarer wurde es, alle Bücher automatisch von vorne bis hinten lesen zu können und alle Inhalte in Echtzeit auswerten zu können.

Anwendungsfälle für die Deep Packet Inspection

Es gibt verschiedene Verwendungszwecke für die Deep Packet Inspection. Es kann sowohl als Intrusion Detection-System als auch als Kombination aus Intrusion Prevention und Intrusion Detection fungieren. Es kann bestimmte Angriffe identifizieren, die Ihre Firewall-, Intrusion Prevention- und Intrusion Detection-Systeme nicht angemessen erkennen können.

Deep Packet Inspection zum Schutz im Unternehmen

Wenn in Ihrem Unternehmen Benutzer vorhanden sind, die ihre Laptops für die Arbeit verwenden, ist eine gründliche Paketinspektion von entscheidender Bedeutung, um zu verhindern, dass Würmer, Spyware und Viren in Ihr Unternehmensnetzwerk gelangen. Darüber hinaus basiert die Verwendung der Deep Packet Inspection auf von Ihnen festgelegten Regeln und Richtlinien, sodass Ihr Netzwerk erkennen kann, ob die Verwendung genehmigter Anwendungen verboten ist.

Unternehmen können durch eine eingehende Paketprüfung zudem verhindern, dass Personen Informationen ungeprüft weitergeben, z. B. beim Versenden einer vertraulichen Datei per E-Mail. Anstatt eine Datei erfolgreich versenden zu können, erhält der Benutzer stattdessen Informationen darüber, wie er die erforderliche Berechtigung und Freigabe zum Senden erhält.

Deep Packet Inspection wird auch von Netzwerkmanagern verwendet, um den Fluss des Netzwerkverkehrs zu vereinfachen. Wenn Sie beispielsweise eine Nachricht mit hoher Priorität haben, können Sie die Deep Packet Inspection verwenden, um zu ermöglichen, dass Informationen mit hoher Priorität sofort vor anderen Nachrichten mit niedrigerer Priorität weitergeleitet werden. Sie können auch geschäftskritische Pakete vor normalen Browsing-Paketen priorisieren. Wenn Sie Probleme mit Peer-to-Peer-Downloads haben, können Sie die Deep Packet Inspection verwenden, um die Datenübertragungsrate zu drosseln oder zu verlangsamen. DPI kann auch verwendet werden, um die Funktionen von ISPs zu verbessern und die Ausnutzung von IoT-Geräten bei DDOS-Angriffen zu verhindern, indem böswillige Anforderungen von Geräten blockiert werden.

Deep Packet Inspection zum Urheberrechtsschutz

Mobilfunkbetreiber und andere ähnliche Dienstanbieter verwenden auch die Deep Packet Inspection, um ihre Angebote auf einzelne Abonnenten abzustimmen. Plattenlabels und andere Inhaber von Urheberrechten können ISPs auch auffordern, das illegale Herunterladen ihrer Inhalte zu blockieren – ein Prozess, der durch eingehende Paketprüfung erreicht wird.

Deep Packet Inspection für Werbezwecke

In anderen Fällen wird die Deep Packet Inspection verwendet, um Benutzern gezielte Werbung, rechtmäßiges Abfangen und die Durchsetzung von Richtlinien zu ermöglichen. Deep Packet Inspection kann auch einige Arten von Pufferüberlaufangriffen verhindern.

Deep Packet Inspection für Spionage und Internetzensur

Wie bei anderen Technologien kann auch die Deep Packet Inspection für zweifelhafte Zwecke wie Abhören und Zensur eingesetzt werden. Tatsächlich ist bekannt, dass die chinesische Regierung Deep Packet Inspection einsetzt, um den Netzwerkverkehr des Landes zu überwachen und einige Inhalte und Websites zu zensieren, die für ihre Interessen schädlich sind. Auf diese Weise konnte China Pornografie, religiöse Informationen, Materialien zu politischen Meinungsverschiedenheiten und sogar beliebte Websites wie Wikipedia, Google und Facebook blockieren.

Während DPI viele potenzielle Anwendungsfälle hat, kann es den Empfänger oder Absender des von ihm überwachten Inhalts leicht erkennen, sodass einige Bedenken hinsichtlich des Datenschutzes bestehen. Dies ist in erster Linie ein Problem, wenn DPI im Zusammenhang mit Marketing und Werbung verwendet wird, indem das Verhalten der Benutzer überwacht und Browsing- und andere Daten an Marketing- oder Werbefirmen verkauft werden.

Deep Packet Inspection-Techniken

Zwei Haupttypen von Produkten verwenden die Deep Packet Inspection: Firewalls, die IDS-Funktionen wie die Inhaltsinspektion implementiert haben, und IDS-Systeme, die darauf abzielen, das Netzwerk zu schützen, anstatt sich nur auf die Erkennung von Angriffen zu konzentrieren. Einige der Haupttechniken, die für die Prüfung tiefer Pakete verwendet werden, umfassen:

Muster- oder Signaturabgleich – Ein Ansatz zur Verwendung von Firewalls, die IDS-Funktionen, Muster- oder Signaturabgleich übernommen haben, analysiert jedes Paket anhand einer Datenbank bekannter Netzwerkangriffe. Der Nachteil dieses Ansatzes ist, dass er nur für bekannte Angriffe wirksam ist und nicht für Angriffe, die noch entdeckt werden müssen.
Protokollanomalie – Ein weiterer Ansatz zur Verwendung von Firewalls mit IDS-Funktionen, die Protokollanomalie, verwendet einen Standardverweigerungsansatz, der ein wichtiges Sicherheitsprinzip darstellt. Mit dieser Technik werden Protokolldefinitionen verwendet, um zu bestimmen, welcher Inhalt zulässig sein soll. Dies unterscheidet sich von dem Ansatz, einfach alle Inhalte zuzulassen, die nicht mit der Signaturdatenbank übereinstimmen, wie dies beim Muster- oder Signaturabgleich der Fall ist. Der Hauptvorteil einer Protokollanomalie besteht darin, dass sie Schutz vor unbekannten Angriffen bietet.
IPS-Lösungen – Einige IPS-Lösungen implementieren DPI-Technologien. Diese Lösungen verfügen über ähnliche Funktionen wie Inline-IDS, können jedoch erkannte Angriffe in Echtzeit blockieren. Eine der größten Herausforderungen bei der Verwendung dieser Technik ist das Risiko von Fehlalarmen, das durch die Schaffung konservativer Strategien in gewissem Maße gemindert werden kann.

Bei diesen und anderen DPI-Techniken bestehen einige Einschränkungen, obwohl Anbieter Lösungen anbieten, die darauf abzielen, die praktischen und architektonischen Herausforderungen auf verschiedene Weise zu beseitigen. Darüber hinaus bieten DPI-Lösungen jetzt eine Reihe weiterer ergänzender Technologien wie VPNs, Malware-Analyse, Anti-Spam-Filterung, URL-Filterung und andere Technologien, die einen umfassenderen Netzwerkschutz bieten.

Herausforderungen der Deep Packet Inspection

Keine Technologie ist perfekt, und auch die Netzwerkpaketfilterung ist keine Ausnahme. Die Deep Packet Inspection hat drei verschiedene Schwächen:

1. Deep Packet Inspection ist sehr effektiv, um Angriffe wie Denial-of-Service-Angriffe, Pufferüberlauf-Angriffe und sogar einige Formen von Malware zu verhindern. Es kann aber auch verwendet werden, um ähnliche Angriffe zu erstellen.

2. Eine eingehende Paketinspektion kann Ihre aktuelle Firewall und andere Sicherheitssoftware, die Sie verwenden, komplizierter und schwieriger zu verwalten machen. Sie müssen sicherstellen, dass Sie die Richtlinien für die eingehende Paketinspektion ständig aktualisieren und überarbeiten, um eine kontinuierliche Effektivität sicherzustellen.

3. Deep Packet Inspection kann Ihr Netzwerk verlangsamen, da viele Ressourcen für Ihre Firewall bereitgestellt werden müssen, um die Verarbeitungslast bewältigen zu können.

Abgesehen von Datenschutzbedenken und den inhärenten Einschränkungen der Deep Packet Inspection sind einige Bedenken aufgrund der Verwendung von HTTPS-Zertifikaten und sogar VPNs mit Datenschutz-Tunneling aufgetreten. Einige Firewalls bieten jetzt HTTPS-Inspektionen an, mit denen der HTTPS-geschützte Datenverkehr entschlüsselt und festgestellt wird, ob der Inhalt durchgelassen werden darf. Deep Packet Inspection ist jedoch weiterhin eine wertvolle Praxis für Zwecke, die vom Leistungsmanagement über Netzwerkanalysen, Forensik bis hin zur Unternehmenssicherheit reichen.

Cookie	Dauer	Beschreibung
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.