Inspeksi Paket Mendalam (DPI)adalah teknologi yang digunakan dalam Network Packet Broker (NPB) untuk memeriksa dan menganalisis isi paket jaringan pada tingkat granular. Teknologi ini melibatkan pemeriksaan muatan (payload), header, dan informasi spesifik protokol lainnya di dalam paket untuk mendapatkan wawasan mendetail tentang lalu lintas jaringan.
DPI melampaui analisis header sederhana dan memberikan pemahaman mendalam tentang data yang mengalir melalui jaringan. Ini memungkinkan pemeriksaan mendalam terhadap protokol lapisan aplikasi, seperti HTTP, FTP, SMTP, VoIP, atau protokol streaming video. Dengan memeriksa konten aktual dalam paket, DPI dapat mendeteksi dan mengidentifikasi aplikasi, protokol, atau bahkan pola data tertentu.
Selain analisis hierarkis alamat sumber, alamat tujuan, port sumber, port tujuan, dan jenis protokol, DPI juga menambahkan analisis lapisan aplikasi untuk mengidentifikasi berbagai aplikasi dan isinya. Ketika paket 1P, data TCP atau UDP mengalir melalui sistem manajemen bandwidth berbasis teknologi DPI, sistem membaca isi paket 1P untuk mengatur ulang informasi lapisan aplikasi dalam protokol OSI Layer 7, sehingga mendapatkan isi dari seluruh program aplikasi, dan kemudian membentuk lalu lintas sesuai dengan kebijakan manajemen yang ditentukan oleh sistem.
Bagaimana cara kerja DPI?
Firewall tradisional seringkali kekurangan daya pemrosesan untuk melakukan pemeriksaan real-time menyeluruh pada volume lalu lintas yang besar. Seiring kemajuan teknologi, DPI dapat digunakan untuk melakukan pemeriksaan yang lebih kompleks untuk memeriksa header dan data. Biasanya, firewall dengan sistem deteksi intrusi sering menggunakan DPI. Di dunia di mana informasi digital sangat penting, setiap informasi digital dikirim melalui Internet dalam paket-paket kecil. Ini termasuk email, pesan yang dikirim melalui aplikasi, situs web yang dikunjungi, percakapan video, dan banyak lagi. Selain data aktual, paket-paket ini menyertakan metadata yang mengidentifikasi sumber lalu lintas, konten, tujuan, dan informasi penting lainnya. Dengan teknologi penyaringan paket, data dapat terus dipantau dan dikelola untuk memastikan data tersebut diteruskan ke tempat yang tepat. Tetapi untuk memastikan keamanan jaringan, penyaringan paket tradisional jauh dari cukup. Beberapa metode utama inspeksi paket mendalam dalam manajemen jaringan tercantum di bawah ini:
Mode/Tanda Tangan Pencocokan
Setiap paket diperiksa kecocokannya dengan basis data serangan jaringan yang dikenal oleh firewall dengan kemampuan sistem deteksi intrusi (IDS). IDS mencari pola spesifik berbahaya yang dikenal dan menonaktifkan lalu lintas ketika pola berbahaya ditemukan. Kerugian dari kebijakan pencocokan tanda tangan adalah bahwa kebijakan ini hanya berlaku untuk tanda tangan yang sering diperbarui. Selain itu, teknologi ini hanya dapat melindungi dari ancaman atau serangan yang dikenal.
Pengecualian Protokol
Karena teknik pengecualian protokol tidak hanya mengizinkan semua data yang tidak sesuai dengan basis data tanda tangan, teknik pengecualian protokol yang digunakan oleh firewall IDS tidak memiliki kelemahan bawaan dari metode pencocokan pola/tanda tangan. Sebaliknya, ia mengadopsi kebijakan penolakan default. Berdasarkan definisi protokol, firewall memutuskan lalu lintas mana yang harus diizinkan dan melindungi jaringan dari ancaman yang tidak dikenal.
Sistem Pencegahan Intrusi (IPS)
Solusi IPS dapat memblokir transmisi paket berbahaya berdasarkan isinya, sehingga menghentikan serangan yang dicurigai secara real-time. Ini berarti bahwa jika sebuah paket mewakili risiko keamanan yang diketahui, IPS akan secara proaktif memblokir lalu lintas jaringan berdasarkan serangkaian aturan yang telah ditentukan. Salah satu kelemahan IPS adalah perlunya memperbarui basis data ancaman siber secara berkala dengan detail tentang ancaman baru, dan kemungkinan adanya false positive. Namun, bahaya ini dapat dikurangi dengan membuat kebijakan konservatif dan ambang batas khusus, menetapkan perilaku dasar yang sesuai untuk komponen jaringan, dan secara berkala mengevaluasi peringatan dan peristiwa yang dilaporkan untuk meningkatkan pemantauan dan peringatan.
1- DPI (Deep Packet Inspection) pada Network Packet Broker
"Deep" adalah perbandingan antara analisis paket tingkat lanjut dan analisis paket biasa, sedangkan "inspeksi paket biasa" hanya menganalisis lapisan ke-4 paket IP, termasuk alamat sumber, alamat tujuan, port sumber, port tujuan, dan jenis protokol. Selain analisis hierarkis, DPI juga menambahkan analisis lapisan aplikasi untuk mengidentifikasi berbagai aplikasi dan konten, sehingga fungsi utamanya dapat terwujud:
1) Analisis Aplikasi -- analisis komposisi lalu lintas jaringan, analisis kinerja, dan analisis aliran.
2) Analisis Pengguna -- diferensiasi kelompok pengguna, analisis perilaku, analisis terminal, analisis tren, dll.
3) Analisis Elemen Jaringan -- analisis berdasarkan atribut regional (kota, distrik, jalan, dll.) dan beban stasiun pangkalan.
4) Kontrol Lalu Lintas -- Pembatasan kecepatan P2P, jaminan QoS, jaminan bandwidth, optimasi sumber daya jaringan, dll.
5) Jaminan Keamanan -- Serangan DDoS, badai siaran data, pencegahan serangan virus berbahaya, dll.
2- Klasifikasi Umum Aplikasi Jaringan
Saat ini terdapat aplikasi yang tak terhitung jumlahnya di internet, tetapi aplikasi web umum bisa sangat banyak.
Sejauh yang saya ketahui, perusahaan pengenalan aplikasi terbaik adalah Huawei, yang mengklaim dapat mengenali 4.000 aplikasi. Analisis protokol adalah modul dasar dari banyak perusahaan firewall (Huawei, ZTE, dll.), dan juga merupakan modul yang sangat penting, mendukung realisasi modul fungsional lainnya, identifikasi aplikasi yang akurat, dan sangat meningkatkan kinerja dan keandalan produk. Dalam pemodelan identifikasi malware berdasarkan karakteristik lalu lintas jaringan, seperti yang saya lakukan sekarang, identifikasi protokol yang akurat dan ekstensif juga sangat penting. Dengan mengecualikan lalu lintas jaringan aplikasi umum dari lalu lintas ekspor perusahaan, lalu lintas yang tersisa akan mencakup proporsi yang kecil, yang lebih baik untuk analisis dan peringatan malware.
Berdasarkan pengalaman saya, aplikasi yang umum digunakan saat ini diklasifikasikan menurut fungsinya:
PS: Berdasarkan pemahaman pribadi saya tentang klasifikasi aplikasi, jika Anda memiliki saran yang baik, silakan tinggalkan pesan atau usulan.
1). Email
2). Video
3). Permainan
4). Kelas OA Kantor
5). Pembaruan perangkat lunak
6). Keuangan (bank, Alipay)
7). Saham
8). Komunikasi Sosial (perangkat lunak IM)
9). Penjelajahan web (mungkin lebih tepat diidentifikasi dengan URL)
10). Alat unduhan (web disk, unduhan P2P, yang terkait dengan BT)
Lalu, bagaimana cara kerja DPI (Deep Packet Inspection) di NPB:
1). Penangkapan Paket: NPB menangkap lalu lintas jaringan dari berbagai sumber, seperti switch, router, atau tap. Ia menerima paket yang mengalir melalui jaringan.
2). Penguraian Paket: Paket yang ditangkap diuraikan oleh NPB untuk mengekstrak berbagai lapisan protokol dan data terkait. Proses penguraian ini membantu mengidentifikasi berbagai komponen dalam paket, seperti header Ethernet, header IP, header lapisan transport (misalnya, TCP atau UDP), dan protokol lapisan aplikasi.
3). Analisis Muatan: Dengan DPI, NPB melampaui inspeksi header dan berfokus pada muatan, termasuk data aktual di dalam paket. Ia memeriksa konten muatan secara mendalam, terlepas dari aplikasi atau protokol yang digunakan, untuk mengekstrak informasi yang relevan.
4). Identifikasi Protokol: DPI memungkinkan NPB untuk mengidentifikasi protokol dan aplikasi spesifik yang digunakan dalam lalu lintas jaringan. Ia dapat mendeteksi dan mengklasifikasikan protokol seperti HTTP, FTP, SMTP, DNS, VoIP, atau protokol streaming video.
5). Inspeksi Konten: DPI memungkinkan NPB untuk memeriksa konten paket untuk pola, tanda tangan, atau kata kunci tertentu. Hal ini memungkinkan deteksi ancaman jaringan, seperti malware, virus, upaya intrusi, atau aktivitas mencurigakan. DPI juga dapat digunakan untuk penyaringan konten, penegakan kebijakan jaringan, atau identifikasi pelanggaran kepatuhan data.
6). Ekstraksi Metadata: Selama DPI, NPB mengekstrak metadata yang relevan dari paket. Ini dapat mencakup informasi seperti alamat IP sumber dan tujuan, nomor port, detail sesi, data transaksi, atau atribut relevan lainnya.
7). Pengarahan atau Penyaringan Lalu Lintas: Berdasarkan analisis DPI, NPB dapat mengarahkan paket-paket tertentu ke tujuan yang ditentukan untuk diproses lebih lanjut, seperti perangkat keamanan, alat pemantauan, atau platform analitik. NPB juga dapat menerapkan aturan penyaringan untuk membuang atau mengalihkan paket berdasarkan konten atau pola yang teridentifikasi.
Waktu posting: 25 Juni 2023
