¿Cómo se puede utilizar DPI en seguridad?
Tras la última entrada donde conocíamos en qué consistía la inspección profunda de paquetes o deep packet inspection (DPI), hablaremos de cómo esta herramienta puede utilizarse en seguridad en productos como redborder.
1. La DPI examina el contenido de los paquetes de datos utilizando reglas específicas preprogramadas por el usuario o un administrador de red, o un proveedor de servicios de Internet (ISP). Luego, decide cómo manejar las amenazas que descubre. La DPI no solo puede identificar la existencia de amenazas, sino que, además utilizando el contenido del paquete y su encabezado, también puede averiguar de dónde proviene. De esta manera, la DPI puede identificar la aplicación o el servicio que lanzó la amenaza.
2. También puede configurar la DPI para que funcione con filtros que le permitan identificar y redirigir el tráfico de red que proviene de un servicio en línea específico o una dirección IP.
3. El sistema IPS o IDS depende mucho de la inspección profunda de paquetes. Por lo tanto, te permite detectar tipos específicos de ataques que es posible que un firewall normal no pueda detectar.
4. Si la empresa ha permitido que los empleados lleven sus propios dispositivos (BYOD) al trabajo o los usen para conectarse a una red privada virtual (VPN), entonces la DPI puede usarse para evitar que propaguen accidentalmente spyware, gusanos y virus en la red de la organización.
5. Cuando la DPI se implementa correctamente, los resultados permiten tener la opción de decidir con qué aplicaciones pueden interactuar los empleados. Si hay aplicaciones que pueden amenazar la red o dificultar la productividad, se puede usar la DPI para determinar si se está accediendo a ellas. Siempre que descubra que se está accediendo a alguna de estas aplicaciones, se podrá redirigir el tráfico entrante.
6. La DPI puede identificar claramente los paquetes provenientes de sus procesos / aplicaciones más críticas para el negocio y asignar mayor prioridad sobre otros paquetes menos cruciales, como los paquetes de navegación regulares. Además, si está tratando de superar la carga de la descarga de igual a igual, se puede utilizar la DPI para identificar este tipo específico de transmisión y acelerar los datos.
7. La mayoría de los NGFW modernos en el perímetro de la red, utilizan la DPI para detectar el malware antes de que ingrese a la red y ponga en peligro los activos.
8. Además, la DPI puede brindar visibilidad sobre toda la red, analizando la actividad utilizando heurísticas para identificar cualquier anomalía. La heurística implica el examen de paquetes de datos en un esfuerzo por detectar cualquier cosa fuera de lo común que pueda indicar una amenaza potencial para la organización.
9. La DPI también se puede utilizar para inspeccionar el tráfico saliente cuando intenta salir de la red. Puede configurar filtros diseñados para evitar la filtración de datos. También se puede utilizar para averiguar a dónde van los datos.
10. Las capacidades analíticas de la DPI pueden ser utilizadas para bloquear patrones de uso que violen la política de la empresa. Así como para bloquear el acceso no autorizado a datos específicos de aplicaciones aprobadas por la empresa.
Desafíos planteados por DPI
La DPI puede ser una herramienta poderosa. Pero trae tremendos desafíos:
Por ejemplo, muchas organizaciones han descubierto que habilitar la DPI en sus dispositivos de firewall a menudo introduce cuellos de botella inadmisibles en la red y degradación del rendimiento. ¿Y por qué ocurre esto?
– La primera razón es que estos dispositivos locales están vinculados a redes corporativas que tienen sus propios problemas de carga de trabajo y rendimiento.
– El segundo problema es que estas organizaciones tienden a retroceder TODO el tráfico que emana de usuarios remotos a través de esta infraestructura para paquetes, para que se ejecuten a través de los puntos de control de inspección de DPI.
El resultado es una enorme cantidad de latencia que se introduce en el gran número de usuarios / empleados.
Esto da como resultado otra tendencia que consiste en saltarse los DPI por completo. Si no se ha implementado ningún servicio de VPN y estos usuarios se conectan directamente a la nube y a los recursos en línea, terminan evitando las protecciones del perímetro de la red por completo. Y esta es una situación en la que todos pierden …
Luego está el desafío del tráfico cifrado. Si bien algunos firewalls afirman realizar una inspección profunda de paquetes en el tráfico HTTPS, el proceso de descifrar datos e inspeccionarlos en línea con los flujos de tráfico es una actividad intensiva en el procesador que abruma a muchos dispositivos de seguridad basados en hardware. En respuesta, los administradores a menudo optan por desactivar la capacidad dentro de sus firewalls. Otra situación en la que todos pierden …
Y entonces, ¿dónde está la solución?
Se debe asumir que el propósito principal de un Firewall sigue siendo proteger el perímetro de la red. A continuación, se debe adoptar una solución adaptada en la nube como redborder live para eliminar por completo esta carga de rendimiento de la inspección profunda de paquetes de estos dispositivos. Esto ofrece una ruta más coherente para la aplicación de políticas cuando administra políticas de seguridad en varias ubicaciones.