Խորը փաթեթների ստուգում (ՀՏՊ)ցանցային փաթեթային բրոքերներում (NPB) օգտագործվող տեխնոլոգիա է՝ ցանցային փաթեթների պարունակությունը մանրամասնորեն ստուգելու և վերլուծելու համար: Այն ներառում է փաթեթների ներսում առկա բեռի, վերնագրերի և այլ արձանագրությանը հատուկ տեղեկատվության ուսումնասիրություն՝ ցանցային երթևեկության վերաբերյալ մանրամասն պատկերացում ստանալու համար:
DPI-ն գերազանցում է վերնագրերի պարզ վերլուծությունը և ապահովում է ցանցով հոսող տվյալների խորը ըմբռնում: Այն թույլ է տալիս խորը ուսումնասիրել կիրառական մակարդակի արձանագրությունները, ինչպիսիք են HTTP-ն, FTP-ն, SMTP-ն, VoIP-ը կամ տեսանյութերի հոսքային արձանագրությունները: Փաթեթների մեջ իրական բովանդակությունը ուսումնասիրելով՝ DPI-ն կարող է հայտնաբերել և նույնականացնել որոշակի ծրագրեր, արձանագրություններ կամ նույնիսկ որոշակի տվյալների օրինաչափություններ:
Բացի աղբյուրի հասցեների, նպատակակետի հասցեների, աղբյուրի միացքների, նպատակակետի միացքների և արձանագրությունների տեսակների հիերարխիկ վերլուծությունից, DPI-ն նաև ավելացնում է կիրառական շերտի վերլուծություն՝ տարբեր ծրագրերը և դրանց բովանդակությունը նույնականացնելու համար: Երբ 1P փաթեթը, TCP կամ UDP տվյալները հոսում են DPI տեխնոլոգիայի վրա հիմնված թողունակության կառավարման համակարգով, համակարգը կարդում է 1P փաթեթի բեռնման բովանդակությունը՝ OSI Layer 7 արձանագրության կիրառական շերտի տեղեկատվությունը վերակազմակերպելու համար՝ ամբողջ կիրառական ծրագրի բովանդակությունը ստանալու համար, ապա ձևավորում է երթևեկությունը՝ համաձայն համակարգի կողմից սահմանված կառավարման քաղաքականության:
Ինչպե՞ս է աշխատում DPI-ն։
Ավանդական firewall-ները հաճախ չունեն բավարար մշակողական հզորություն՝ մեծ ծավալի երթևեկության վրա իրական ժամանակում մանրակրկիտ ստուգումներ կատարելու համար: Տեխնոլոգիաների զարգացմանը զուգընթաց, DPI-ն կարող է օգտագործվել ավելի բարդ ստուգումներ կատարելու համար՝ վերնագրերը և տվյալները ստուգելու համար: Սովորաբար, ներխուժման հայտնաբերման համակարգերով firewall-ները հաճախ օգտագործում են DPI: Աշխարհում, որտեղ թվային տեղեկատվությունը գերակա է, թվային տեղեկատվության յուրաքանչյուր կտոր ինտերնետով մատակարարվում է փոքր փաթեթներով: Սա ներառում է էլ. փոստը, հավելվածի միջոցով ուղարկված հաղորդագրությունները, այցելված կայքերը, տեսազրույցները և այլն: Բացի իրական տվյալներից, այս փաթեթները ներառում են մետատվյալներ, որոնք նույնականացնում են երթևեկության աղբյուրը, բովանդակությունը, նպատակակետը և այլ կարևոր տեղեկություններ: Փաթեթների ֆիլտրման տեխնոլոգիայի միջոցով տվյալները կարող են անընդհատ վերահսկվել և կառավարվել՝ ապահովելու համար, որ դրանք ուղարկվեն ճիշտ տեղ: Սակայն ցանցային անվտանգությունն ապահովելու համար ավանդական փաթեթների ֆիլտրումը բավարար չէ: Ստորև ներկայացված են ցանցի կառավարման մեջ խորը փաթեթների ստուգման որոշ հիմնական մեթոդներ.
Համապատասխանեցման ռեժիմ/ստորագրություն
Յուրաքանչյուր փաթեթ ստուգվում է հայտնի ցանցային հարձակումների տվյալների բազայի հետ համապատասխանության համար՝ ներխուժման հայտնաբերման համակարգի (IDS) հնարավորություններով firewall-ի կողմից: IDS-ը որոնում է հայտնի չարամիտ կոնկրետ օրինաչափություններ և անջատում է երթևեկությունը, երբ հայտնաբերվում են չարամիտ օրինաչափություններ: Ստորագրության համապատասխանեցման քաղաքականության թերությունն այն է, որ այն վերաբերում է միայն հաճախակի թարմացվող ստորագրություններին: Բացի այդ, այս տեխնոլոգիան կարող է պաշտպանվել միայն հայտնի սպառնալիքներից կամ հարձակումներից:
Արձանագրության բացառություն
Քանի որ արձանագրության բացառության տեխնիկան պարզապես չի թույլատրում բոլոր այն տվյալները, որոնք չեն համապատասխանում ստորագրությունների տվյալների բազային, IDS firewall-ի կողմից օգտագործվող արձանագրության բացառության տեխնիկան չունի կաղապարի/ստորագրության համապատասխանեցման մեթոդի բնորոշ թերությունները: Դրա փոխարեն, այն ընդունում է լռելյայն մերժման քաղաքականությունը: Արձանագրության սահմանման համաձայն, firewall-ները որոշում են, թե որ երթևեկությունը պետք է թույլատրվի և պաշտպանում են ցանցը անհայտ սպառնալիքներից:
Ներխուժման կանխարգելման համակարգ (IPS)
IPS լուծումները կարող են արգելափակել վնասակար փաթեթների փոխանցումը՝ հիմնվելով դրանց բովանդակության վրա, այդպիսով կանխելով կասկածելի հարձակումները իրական ժամանակում: Սա նշանակում է, որ եթե փաթեթը ներկայացնում է հայտնի անվտանգության ռիսկ, IPS-ը կանխարգելիչ կերպով կարգելափակի ցանցային երթևեկությունը՝ հիմնվելով սահմանված կանոնների ամբողջության վրա: IPS-ի թերություններից մեկը կիբեռսպառնալիքների տվյալների բազան պարբերաբար թարմացնելու անհրաժեշտությունն է՝ նոր սպառնալիքների և կեղծ դրական արդյունքների հնարավորության մասին մանրամասներով: Սակայն այս վտանգը կարող է մեղմվել՝ ստեղծելով պահպանողական քաղաքականություն և հատուկ շեմեր, սահմանելով ցանցային բաղադրիչների համար համապատասխան բազային վարքագիծ, և պարբերաբար գնահատելով նախազգուշացումները և հաղորդված իրադարձությունները՝ մոնիթորինգն ու ահազանգումը բարելավելու համար:
1- DPI-ն (Deep Packet Inspection) ցանցային փաթեթային բրոքերում
«Խորը» մակարդակը և սովորական փաթեթային վերլուծության համեմատությունն է, «սովորական փաթեթային ստուգումը» միայն հետևյալ վերլուծությունն է IP փաթեթի 4-րդ շերտի համար, ներառյալ աղբյուրի հասցեն, նպատակակետի հասցեն, աղբյուրի նավահանգիստը, նպատակակետի նավահանգիստը և արձանագրության տեսակը, և DPI-ն, բացի հիերարխիկ վերլուծության հետ, նաև բարձրացնում է կիրառական շերտի վերլուծությունը, նույնականացնում տարբեր ծրագրերը և բովանդակությունը՝ իրականացնելու համար հիմնական գործառույթները.
1) Կիրառման վերլուծություն -- ցանցային երթևեկության կազմի վերլուծություն, կատարողականի վերլուծություն և հոսքի վերլուծություն
2) Օգտատիրոջ վերլուծություն -- օգտատերերի խմբի տարբերակում, վարքագծի վերլուծություն, տերմինալների վերլուծություն, միտումների վերլուծություն և այլն:
3) Ցանցի տարրերի վերլուծություն -- վերլուծություն, որը հիմնված է տարածաշրջանային ատրիբուտների (քաղաք, շրջան, փողոց և այլն) և բազային կայանի ծանրաբեռնվածության վրա
4) Երթևեկության կառավարում -- P2P արագության սահմանափակում, QoS ապահովում, թողունակության ապահովում, ցանցային ռեսուրսների օպտիմալացում և այլն:
5) Անվտանգության ապահովում -- DDoS հարձակումներ, տվյալների հեռարձակման փոթորիկ, չարամիտ վիրուսային հարձակումների կանխարգելում և այլն։
2- Ցանցային կիրառությունների ընդհանուր դասակարգում
Այսօր ինտերնետում կան անթիվ հավելվածներ, բայց տարածված վեբ հավելվածները կարող են սպառիչ լինել։
Ինչքան ես գիտեմ, հավելվածների լավագույն ճանաչման ընկերությունը Huawei-ն է, որը պնդում է, որ ճանաչում է 4000 հավելված: Արձանագրության վերլուծությունը շատ firewall ընկերությունների (Huawei, ZTE և այլն) հիմնական մոդուլն է, և այն նաև շատ կարևոր մոդուլ է, որը աջակցում է այլ ֆունկցիոնալ մոդուլների իրականացմանը, հավելվածների ճշգրիտ նույնականացմանը և զգալիորեն բարելավում է արտադրանքի աշխատանքը և հուսալիությունը: Ցանցային երթևեկության բնութագրերի հիման վրա չարամիտ ծրագրերի նույնականացման մոդելավորման ժամանակ, ինչպես ես հիմա անում եմ, ճշգրիտ և լայնածավալ արձանագրությունների նույնականացումը նույնպես շատ կարևոր է: Ընկերության արտահանման երթևեկությունից բացառելով ընդհանուր հավելվածների ցանցային երթևեկությունը, մնացած երթևեկությունը կկազմի փոքր մաս, ինչը ավելի լավ է չարամիտ ծրագրերի վերլուծության և ահազանգման համար:
Իմ փորձի հիման վրա, առկա լայնորեն օգտագործվող ծրագրերը դասակարգվում են ըստ իրենց գործառույթների՝
Հ.Գ. Դիմումի դասակարգման անձնական ըմբռնման համաձայն, դուք ունեք որևէ լավ առաջարկ, ողջունելի է հաղորդագրություն թողնելու առաջարկը
1). Էլ․ փոստ
2). Տեսանյութ
3). Խաղեր
4). Գրասենյակային OA դաս
5). Ծրագրային ապահովման թարմացում
6). Ֆինանսական (բանկ, Alipay)
7). Բաժնետոմսեր
8). Սոցիալական հաղորդակցություն (IM ծրագիր)
9). Վեբ զննարկում (հավանաբար ավելի լավ է նույնականացվել URL-ներով)
10). Ներբեռնման գործիքներ (վեբ սկավառակ, P2P ներբեռնում, BT-ի հետ կապված)
Ապա, ինչպես է DPI-ն (Deep Packet Inspection) աշխատում NPB-ում.
1). Փաթեթների գրանցում. NPB-ն գրանցում է ցանցային երթևեկությունը տարբեր աղբյուրներից, ինչպիսիք են կոմուտատորները, ռաութերները կամ կարգավորիչները: Այն ստանում է ցանցով հոսող փաթեթներ:
2). Փաթեթների վերլուծություն. Գրանցված փաթեթները վերլուծվում են NPB-ի կողմից՝ տարբեր արձանագրային շերտեր և դրանց հետ կապված տվյալներ արդյունահանելու համար: Այս վերլուծման գործընթացը օգնում է նույնականացնել փաթեթների ներսում տարբեր բաղադրիչները, ինչպիսիք են Ethernet վերնագրերը, IP վերնագրերը, տրանսպորտային շերտի վերնագրերը (օրինակ՝ TCP կամ UDP) և կիրառական շերտի արձանագրությունները:
3). Օգտակար բեռնվածության վերլուծություն. DPI-ի դեպքում NPB-ն անցնում է վերնագրի ստուգումից այն կողմ և կենտրոնանում է օգտակար բեռնվածության վրա, ներառյալ փաթեթների մեջ առկա իրական տվյալները: Այն մանրամասն ուսումնասիրում է օգտակար բեռնվածության պարունակությունը՝ անկախ օգտագործվող հավելվածից կամ արձանագրությունից, համապատասխան տեղեկատվություն արդյունահանելու համար:
4). Արձանագրության նույնականացում. DPI-ն թույլ է տալիս NPB-ին նույնականացնել ցանցային երթևեկության մեջ օգտագործվող կոնկրետ արձանագրությունները և ծրագրերը: Այն կարող է հայտնաբերել և դասակարգել HTTP, FTP, SMTP, DNS, VoIP կամ տեսանյութերի հոսքային արձանագրությունների նման արձանագրությունները:
5). Պարունակության ստուգում. DPI-ն թույլ է տալիս NPB-ին ստուգել փաթեթների բովանդակությունը՝ որոշակի նախշերի, ստորագրությունների կամ բանալի բառերի համար: Սա հնարավորություն է տալիս հայտնաբերել ցանցային սպառնալիքներ, ինչպիսիք են վնասակար ծրագրերը, վիրուսները, ներխուժման փորձերը կամ կասկածելի գործողությունները: DPI-ն կարող է նաև օգտագործվել բովանդակության զտման, ցանցային քաղաքականության կիրառման կամ տվյալների համապատասխանության խախտումները հայտնաբերելու համար:
6). Մետատվյալների արդյունահանում. DPI-ի ընթացքում NPB-ն փաթեթներից արդյունահանում է համապատասխան մետատվյալները: Սա կարող է ներառել այնպիսի տեղեկություններ, ինչպիսիք են աղբյուրի և նպատակակետի IP հասցեները, միացքի համարները, սեսիայի մանրամասները, գործարքի տվյալները կամ ցանկացած այլ համապատասխան ատրիբուտ:
7). Երթևեկության ուղղորդում կամ ֆիլտրացում. DPI վերլուծության հիման վրա NPB-ն կարող է որոշակի փաթեթներ ուղղորդել նշանակված վայրեր՝ հետագա մշակման համար, ինչպիսիք են անվտանգության սարքավորումները, մոնիթորինգի գործիքները կամ վերլուծական հարթակները: Այն կարող է նաև կիրառել ֆիլտրման կանոններ՝ փաթեթները մերժելու կամ վերահասցեագրելու համար՝ հիմնվելով նույնականացված բովանդակության կամ օրինաչափությունների վրա:
Հրապարակման ժամանակը. Հունիս-25-2023
