تعریف بازرسی عمیق بسته (DPI).

بازرسی عمیق بسته ها (DPI) که به نام sniffing بسته نیز شناخته می شود، روشی برای بررسی محتوای بسته های داده در هنگام عبور از یک ایست بازرسی در شبکه است. با انواع عادی بازرسی بسته stateful، دستگاه فقط اطلاعات موجود در هدر بسته ، مانند آدرس پروتکل اینترنت مقصد (IP)، آدرس IP منبع و شماره پورت را بررسی می کند. DPI محدوده بزرگتری از ابرداده ها یا متادیتا و داده های مرتبط با هر بسته ای را که دستگاه با آن ارتباط برقرار می کند ، بررسی می نماید.به این معنی که DPI شامل ، فرآیند بازرسی هدر و داده‌هایی است که بسته حمل می‌کند می باشد.

چگونه DPI کار می کند :

DPI محتویات بسته های داده را با استفاده از قوانین خاصی که توسط کاربر، مدیر یا یک ارائه دهنده خدمات اینترنتی (ISP) از پیش برنامه ریزی شده اند، بررسی می کند. سپس، تصمیم می گیرد که چگونه با تهدیداتی که کشف می کند برخورد نماید. DPI نه تنها می تواند وجود تهدیدها را شناسایی کند، بلکه با استفاده از محتویات بسته و هدر آن، می تواند بفهمد که از کجا آمده اند. به این ترتیب، DPI می تواند برنامه یا سرویسی را که تهدید را راه اندازی کرده است مشخص کند.همچنین می‌توان DPI را برای ترافیک شبکه ایی که از یک سرویس آنلاین یا آدرس IP خاص می‌آید ، طوری برنامه ریزی کرد که شناسایی و تغییر مسیر دهد.

فیلترینگ بسته های معمولی فقط قادر به خواندن اطلاعات هدر که با هر بسته داده ارائه می شود، می باشد.فیلترینگ عادی یک رویکرد اساسی و کمتر پیچیده است که به دلیل محدودیت‌های تکنولوژیکی اولیه ضروری می باشد. از آنجایی که فایروال‌ها قادر به پردازش سریع داده‌های زیادی نبودند، آنها فقط بر روی اطلاعات هدر تمرکز می‌کردند، زیرا هر گونه دریافت اطلاعات بیشتر به کار و زمان بیشتری نیاز داشت و عملکرد شبکه را به‌طور غیرعادی قربانی می‌کرد.

• معرفی سرویس امنیتی FortiGuard Web Filtering 
• فایروال چیست و انواع آن کدامند ؟

با این حال، با فن آوری های جدید، پتانسیل برای بازرسی بسته های عمیق تر و در زمان واقعی به وجود آمد.

موارد استفاده برای بازرسی عمیق بسته یا DPI :

• روش های مختلفی برای استفاده از sniffer بسته عمیق وجود دارد. DPI می تواندهم به عنوان یک سیستم تشخیص نفوذ (IDS)  و یا به عنوان یک سیستم پیشگیری از نفوذ (IPS) و همینطور یک سیستم IDS به طور همزمان و با هم کار کند. همچنین به کاربران این امکان را می دهد تا انواع خاصی از حملات را که یک فایروال معمولی قادر به شناسایی آنها نباشد، شناسایی کنند.

«شرکت فنی-مهندسی نوآوران افراتک هوشمند» این ابزارهای آزمون نفوذ ( pentest ) و ارزیابی امنیتی  را تامین و پشتیبانی می‌نماید.

مقایسه WAF با IPS

• می‌توان از DPI برای جلوگیری از انتشار تصادفی نرم‌افزارهای جاسوسی، کرم‌ها و ویروس‌ها در شبکه سازمانهایی که کاربران لپ‌تاپ‌های خود را به محل کار می‌آورند  و یا از آنها برای اتصال به یک شبکه خصوصی مجازی (VPN) استفاده می‌کنند، به کار برد.

آیا VPN ها امنیت موثری را برای مشاغل فراهم می کنند؟

• همچنین، با DPI، می توانید قوانین خود را داشت. DPI به مدیران این امکان را می دهد که برنامه های وب تعاملی و قابل دسترسی کارمندان خود را انتخاب کنند. همینطور اگر برنامه‌هایی شبکه سازمان را تهدید و یا بهره‌وری را با مشکل مواجه کنند، می‌توان از DPI برای تعیین دسترسی به آنها و همچنین تغییر مسیر ترافیک ورودی آنها استفاده نمود.
• DPI همچنین یک ابزار مفید برای مدیرانی است که می خواهند ترافیک شبکه را بهتر مدیریت کنند و بار سیستم را کاهش دهند. اگر پیامی با اولویت بالا وجود داشته باشد، از DPI می توان برای اطمینان از اینکه فوراً از آن عبور می کند استفاده کرد. به این ترتیب می توان به مهمترین پیام ها اولویت داد.

• همچنین با DPI می‌توان تصمیم گرفت که کدام بسته‌ها برای کسب‌وکار حیاتی‌تر هستند و مطمئن شد که آنها نسبت به بسته‌های دیگر، مانند بسته‌های مرور معمولی، اولویت دارند. علاوه بر این، اگر سازمان در تلاش است بر بار دانلود نظیر به نظیر غلبه کند، DPI می تواند برای شناسایی این نوع خاص از انتقال و کاهش داده ها استفاده شود.
• ISP ها می توانند از DPI برای جلوگیری از سوء استفاده مهاجمان از دستگاه های اینترنت اشیا (IoT) با جلوگیری از درخواست های مخرب استفاده کنند. به این ترتیب، یک ISP می تواند از DPI برای جلوگیری از حملات انکار سرویس توزیع شده (DDoS) روی دستگاه های اینترنت اشیا استفاده کند.

راه حل حفاظتی FortiDDoS

محافظت از لبه ها با NGFW

• DPI را می توان با الگوریتم هایی برای شناسایی تهدیدات سایبری ترکیب کرد و سپس برای مسدود کردن بدافزارها استفاده کرد. در مورد فایروال نسل بعدی (NGFW) در لبه شبکه شما، DPI بدافزار را قبل از ورود به شبکه می گیرد و دارایی های آن را به خطر می اندازد.
• DPI همچنین می تواند برای بازرسی ترافیک خروجی هنگام تلاش برای خروج از شبکه استفاده شود و بدین ترتیب از نشت داده جلوگیری نماید. بنابراین، کسب‌وکارها می‌توانند فیلترهایی را برای جلوگیری از نفوذ داده‌ها تنظیم کنند. همچنین می توانید از DPI استفاده کنید تا بفهمید داده های شما به کجا می رود. برای مثال، با بازرسی بسته عمیق UniFi، داده‌های مربوط به محل ارسال داده‌ها در گیت نگهداری می‌شوند تا شما آن‌ها را بررسی کنید تا زمانی که آن‌ها را به صورت دستی حذف کنید.

• با DPI، دید برنامه‌ها را افزایش می‌دهید، که منجر به مسدود کردن دسترسی به برنامه‌های غیرمجاز یا مشکوک می شود. همچنین می‌توانید از قابلیت‌های تحلیلی DPI برای مسدود کردن الگوهایی که خط‌مشی شرکت را نقض می‌کنند استفاده کنید. DPI همچنین می تواند برای جلوگیری از دسترسی غیرمجاز به داده های خاص برنامه های مورد تایید شرکت استفاده شود.

تکنیک های بازرسی عمیق بسته ها (DPI) :

فایروالهایی با قابلیت IDS و سیستم های IDS که برای محافظت از شبکه در نظر گرفته شده اند هر دو از DPI استفاده می کنند. تکنیک هایی که در هر دو به کار برده شده است شامل ناهنجاری پروتکل (protocol anomaly ) ، راه حل های IPS، و تطبیق الگو یا امضا است.

ناهنجاری پروتکل (protocol anomaly) :

ناهنجاری پروتکل از رویکردی به نام «انکار پیش‌فرض» استفاده می کند. با رد و یا انکار پیش‌فرض (default deny) ، محتوا مجاز است طبق پروتکل‌های از پیش تعیین شده ارسال شود. فقط محتوایی که متناسب با نمایه قابل قبول باشد می تواند از آن عبور کند. این رویکرد با اجازه دادن به هر چیزی که به عنوان مخرب شناخته نشده و می تواند همچنان به حملات ناشناخته اجازه نفوذ به شبکه را بدهد متفاوت می باشد.

راه حل های IPS :

راه حل های IPS می توانند تهدیدها را در زمان واقعی مسدود کنند و برخی از آنها از DPI استفاده می کنند. با این حال، یکی از چالشهای استفاده از راه‌حل‌های IPS این است که گاهی اوقات مثبت کاذب صادر می کنند. استفاده از سیاست های محافظه کارانه می تواند تأثیر یک IPS را که تمایل به نشان دادن هشدارهای مثبت کاذب دارد، کاهش دهد.

تطبیق الگو یا امضا :

با تطبیق الگو یا امضا، محتویات یک بسته داده با پایگاه داده تهدیدهای شناسایی شده قبلی ، تجزیه و تحلیل و مقایسه می شود. اگر سیستم به طور مداوم با اطلاعات تهدید به روز شود، این رویکرد می تواند یک دفاع بسیار موثر در برابر حملات باشد. با این حال، اگر حمله جدید باشد، سیستم ممکن است آن را از دست بدهد.

مزایای DPI :

از آنجایی که DPI دید و محافظت بهتری از برنامه های وب به شما می دهد، استفاده از آن در سیستم مزایای متعددی دارد. مدیران فناوری بهتر می توانند شبکه خود را با DPI مدیریت نمایند. همانطور که داده ها از طریق شبکه عبور می کنند، حجم وسیعی از اطلاعات در مورد ماهیت آن،  اینکه از کجا آمده  و به کجا می رود، با خود حمل می کنند. با DPI، می‌توان فایروال را به گونه ای برنامه‌ریزی نمود تا داده‌های در حال حرکت از طریق شبکه را بررسی نمایند و همینطور نحوه جریان داده‌های خاص، جایی که مسیریابی می‌شوند و نحوه پردازش آن‌ها را مدیریت کنند.

DPI همچنین می تواند برای افزایش امنیت استفاده شود. هکرها ممکن است از وب سایت ها یا برنامه های خاصی برای انجام حملات خود استفاده کنند. با DPI، می‌توان تمام داده‌های دریافتی از سایت‌ها یا برنامه‌های خاص را کاملاً مسدود نمود ، در نتیجه شبکه خود را در برابر تهدیدات مرتبط با آنها محافظت کرد. همچنین  نه تنها از اینکه یک بسته داده از کجا می‌آید آگاه شد  بلکه چه چیزی در محموله آن است نیز مشخص می شود. DPI می‌تواند بسته‌هایی با داده خطرناک که ممکن است توسط فایروال‌های معمولی شناسایی نشوند را مشخص کند.

DPI همچنین گزینه های پیشرفته ای را در مورد کنترل ترافیک در شبکه به مدیران می دهد. به عنوان مثال، اگر سازمان  از Voice over Internet Protocol (VoIP) یا Zoom استفاده می کند، DPI می تواند برای اولویت بندی آن ترافیک استفاده شود. به جای تعجب که آیا تماس‌ها و کنفرانس‌ها توسط ترافیک دیگر قطع می‌شوند، می‌توانید ابتدا از DPI برای ارسال آن داده‌ها استفاده کنید.

DPI همچنین برای فعالیت هایی غیر از امنیت و مدیریت داده ها استفاده می شود. دولت ها می توانند از DPI برای اجرای طرح سانسور اینترنتی استفاده کنند. در این سناریو، DPI ترافیک را اسکن می‌کند و انتقال‌هایی را که از منابع غیرمجاز، به‌ویژه منابعی که از خارج از کشور می‌آیند یا از سایت‌هایی که دولت آنها را تهدیدی برای مردمش می‌داند ناشی می‌شوند، مسدود می‌کند. علاوه بر این، DPI می تواند برای استراق سمع ارتباطات اینترنتی و داده کاوی اینترنتی استفاده شود.