Identifikasi Aplikasi Broker Paket Jaringan Berdasarkan DPI – Inspeksi Paket Mendalam

Inspeksi Paket Mendalam (DPI)adalah teknologi yang digunakan dalam Network Packet Brokers (NPBs) untuk memeriksa dan menganalisis isi paket jaringan pada tingkat granular. Ini melibatkan pemeriksaan payload, header, dan informasi spesifik protokol lainnya dalam paket untuk mendapatkan wawasan rinci tentang lalu lintas jaringan.

DPI lebih dari sekadar analisis header sederhana dan memberikan pemahaman mendalam tentang data yang mengalir melalui jaringan. Hal ini memungkinkan pemeriksaan mendalam terhadap protokol lapisan aplikasi, seperti protokol HTTP, FTP, SMTP, VoIP, atau streaming video. Dengan memeriksa konten sebenarnya di dalam paket, DPI dapat mendeteksi dan mengidentifikasi aplikasi, protokol, atau bahkan pola data tertentu.

Selain analisis hierarki alamat sumber, alamat tujuan, port sumber, port tujuan, dan jenis protokol, DPI juga menambahkan analisis lapisan aplikasi untuk mengidentifikasi berbagai aplikasi dan kontennya. Ketika paket 1P, data TCP atau UDP mengalir melalui sistem manajemen bandwidth berbasis teknologi DPI, sistem membaca konten beban paket 1P untuk mengatur ulang informasi lapisan aplikasi dalam protokol OSI Layer 7, sehingga mendapatkan konten seluruh program aplikasi, dan kemudian membentuk lalu lintas sesuai dengan kebijakan manajemen yang ditentukan oleh sistem.

Bagaimana cara kerja DPI?

Firewall tradisional sering kali kekurangan kekuatan pemrosesan untuk melakukan pemeriksaan menyeluruh secara real-time pada lalu lintas dalam jumlah besar. Seiring kemajuan teknologi, DPI dapat digunakan untuk melakukan pemeriksaan yang lebih kompleks untuk memeriksa header dan data. Biasanya, firewall dengan sistem deteksi intrusi sering menggunakan DPI. Di dunia yang mengutamakan informasi digital, setiap informasi digital dikirimkan melalui Internet dalam paket kecil. Ini termasuk email, pesan yang dikirim melalui aplikasi, situs web yang dikunjungi, percakapan video, dan banyak lagi. Selain data aktual, paket ini menyertakan metadata yang mengidentifikasi sumber lalu lintas, konten, tujuan, dan informasi penting lainnya. Dengan teknologi packet filtering, data dapat terus dipantau dan dikelola untuk memastikan data diteruskan ke tempat yang tepat. Namun untuk menjamin keamanan jaringan, pemfilteran paket tradisional masih jauh dari cukup. Beberapa metode utama pemeriksaan paket mendalam dalam manajemen jaringan tercantum di bawah ini:

Mode Pencocokan/Tanda Tangan

Setiap paket diperiksa kecocokannya dengan database serangan jaringan yang diketahui oleh firewall dengan kemampuan sistem deteksi intrusi (IDS). IDS mencari pola spesifik berbahaya yang diketahui dan menonaktifkan lalu lintas ketika pola berbahaya ditemukan. Kerugian dari kebijakan pencocokan tanda tangan adalah hanya berlaku untuk tanda tangan yang sering diperbarui. Selain itu, teknologi ini hanya dapat bertahan dari ancaman atau serangan yang diketahui.

DPI

Pengecualian Protokol

Karena teknik pengecualian protokol tidak hanya mengizinkan semua data yang tidak cocok dengan database tanda tangan, teknik pengecualian protokol yang digunakan oleh firewall IDS tidak memiliki kelemahan yang melekat pada metode pencocokan pola/tanda tangan. Sebaliknya, ia mengadopsi kebijakan penolakan default. Berdasarkan definisi protokol, firewall memutuskan lalu lintas apa yang boleh diizinkan dan melindungi jaringan dari ancaman yang tidak diketahui.

Sistem Pencegahan Intrusi (IPS)

Solusi IPS dapat memblokir transmisi paket berbahaya berdasarkan kontennya, sehingga menghentikan dugaan serangan secara real time. Artinya, jika sebuah paket menunjukkan risiko keamanan yang diketahui, IPS akan secara proaktif memblokir lalu lintas jaringan berdasarkan serangkaian aturan yang ditentukan. Salah satu kelemahan IPS adalah perlunya memperbarui basis data ancaman siber secara berkala dengan rincian tentang ancaman baru, dan kemungkinan positif palsu. Namun bahaya ini dapat dikurangi dengan membuat kebijakan konservatif dan ambang batas khusus, menetapkan perilaku dasar yang sesuai untuk komponen jaringan, dan secara berkala mengevaluasi peringatan dan kejadian yang dilaporkan untuk meningkatkan pemantauan dan peringatan.

1- DPI (Inspeksi Paket Mendalam) di Broker Paket Jaringan

Perbandingan analisis paket tingkat "dalam" dan biasa, "pemeriksaan paket biasa" hanya analisis berikut paket IP lapisan 4, termasuk alamat sumber, alamat tujuan, port sumber, port tujuan dan jenis protokol, dan DPI kecuali dengan hierarki analisis, juga meningkatkan analisis lapisan aplikasi, mengidentifikasi berbagai aplikasi dan konten, untuk mewujudkan fungsi utama:

1) Analisis Aplikasi - analisis komposisi lalu lintas jaringan, analisis kinerja, dan analisis aliran

2) Analisis Pengguna -- diferensiasi kelompok pengguna, analisis perilaku, analisis terminal, analisis tren, dll.

3) Analisis Elemen Jaringan -- analisis berdasarkan atribut regional (kota, kabupaten, jalan, dll.) dan beban stasiun pangkalan

4) Kontrol Lalu Lintas -- Pembatasan kecepatan P2P, jaminan QoS, jaminan bandwidth, optimalisasi sumber daya jaringan, dll.

5) Jaminan Keamanan -- Serangan DDoS, badai siaran data, pencegahan serangan virus berbahaya, dll.

2- Klasifikasi Umum Aplikasi Jaringan

Saat ini ada banyak sekali aplikasi di Internet, namun aplikasi web yang umum bisa sangat lengkap.

Sejauh yang saya tahu, perusahaan pengenalan aplikasi terbaik adalah Huawei, yang mengklaim mengenali 4.000 aplikasi. Analisis protokol adalah modul dasar dari banyak perusahaan firewall (Huawei, ZTE, dll.), dan juga merupakan modul yang sangat penting, mendukung realisasi modul fungsional lainnya, identifikasi aplikasi yang akurat, dan sangat meningkatkan kinerja dan keandalan produk. Dalam memodelkan identifikasi malware berdasarkan karakteristik lalu lintas jaringan, seperti yang saya lakukan sekarang, identifikasi protokol yang akurat dan ekstensif juga sangat penting. Tidak termasuk lalu lintas jaringan aplikasi umum dari lalu lintas ekspor perusahaan, lalu lintas yang tersisa akan berjumlah sebagian kecil, yang lebih baik untuk analisis malware dan alarm.

Berdasarkan pengalaman saya, aplikasi-aplikasi yang umum digunakan saat ini diklasifikasikan menurut fungsinya:

PS: Menurut pemahaman pribadi tentang klasifikasi aplikasi, Anda punya saran bagus, silakan tinggalkan pesan proposal

1). E-mail

2). Video

3). Pertandingan

4). Kelas kantor OA

5). Pembaruan perangkat lunak

6). Keuangan (bank, Alipay)

7). Saham

8). Komunikasi Sosial (perangkat lunak IM)

9). Penjelajahan web (mungkin lebih baik diidentifikasi dengan URL)

10). Alat pengunduhan (disk web, pengunduhan P2P, terkait BT)

20191210153150_32811

Lalu, cara kerja DPI (Deep Packet Inspection) di NPB:

1). Pengambilan Paket: NPB menangkap lalu lintas jaringan dari berbagai sumber, seperti switch, router, atau tap. Ia menerima paket yang mengalir melalui jaringan.

2). Parsing Paket: Paket yang ditangkap diurai oleh NPB untuk mengekstrak berbagai lapisan protokol dan data terkait. Proses parsing ini membantu mengidentifikasi berbagai komponen dalam paket, seperti header Ethernet, header IP, header lapisan transport (misalnya TCP atau UDP), dan protokol lapisan aplikasi.

3). Analisis Muatan: Dengan DPI, NPB lebih dari sekadar inspeksi header dan berfokus pada muatan, termasuk data aktual di dalam paket. Ini memeriksa konten muatan secara mendalam, terlepas dari aplikasi atau protokol yang digunakan, untuk mengekstrak informasi yang relevan.

4). Identifikasi Protokol: DPI memungkinkan NPB untuk mengidentifikasi protokol dan aplikasi spesifik yang digunakan dalam lalu lintas jaringan. Itu dapat mendeteksi dan mengklasifikasikan protokol seperti protokol HTTP, FTP, SMTP, DNS, VoIP, atau streaming video.

5). Inspeksi Konten: DPI memungkinkan NPB memeriksa konten paket untuk pola, tanda tangan, atau kata kunci tertentu. Hal ini memungkinkan deteksi ancaman jaringan, seperti malware, virus, upaya intrusi, atau aktivitas mencurigakan. DPI juga dapat digunakan untuk memfilter konten, menegakkan kebijakan jaringan, atau mengidentifikasi pelanggaran kepatuhan data.

6). Ekstraksi Metadata: Selama DPI, NPB mengekstrak metadata yang relevan dari paket. Ini dapat mencakup informasi seperti alamat IP sumber dan tujuan, nomor port, detail sesi, data transaksi, atau atribut relevan lainnya.

7). Perutean atau Penyaringan Lalu Lintas: Berdasarkan analisis DPI, NPB dapat merutekan paket tertentu ke tujuan yang ditentukan untuk diproses lebih lanjut, seperti peralatan keamanan, alat pemantauan, atau platform analitik. Itu juga dapat menerapkan aturan pemfilteran untuk membuang atau mengalihkan paket berdasarkan konten atau pola yang diidentifikasi.

ML-NPB-5660 3d


Waktu posting: 25 Juni 2023