hluboká kontrola paketů (DPI)

Hluboká kontrola paketů (DPI) je pokročilá metoda zkoumání a správy síťového provozu. Jedná se o formu filtrování paketů, která vyhledává, identifikuje, klasifikuje, přesměrovává nebo blokuje pakety se specifickým datovým nebo kódovým zatížením, které běžné filtrování paketů, které zkoumá pouze hlavičky paketů, nedokáže odhalit.

Hloubková kontrola paketů, která se obvykle provádí jako funkce brány firewall, funguje na aplikační vrstvě referenčního modelu OSI (Open Systems Interconnection).

Jak funguje hloubková kontrola paketů

Hloubková kontrola paketů zkoumá obsah paketů procházejících daným kontrolním bodem a rozhoduje v reálném čase na základě pravidel přiřazených podnikem, poskytovatelem internetových služeb (ISP) nebo správcem sítě v závislosti na tom, co daný paket obsahuje.

Předchozí formy filtrování paketů zkoumaly pouze informace v záhlaví, což je, použijeme-li analogii, ekvivalent čtení adres vytištěných na vnější straně obálky. Částečně to bylo způsobeno technologickými omezeními. Až donedávna neměly firewally výpočetní výkon potřebný k provádění hlubších kontrol velkých objemů provozu v reálném čase. Technologický pokrok umožnil DPI provádět pokročilejší kontroly, které se podobají spíše otevření obálky a přečtení jejího obsahu.

Hloubková kontrola paketů může zkoumat obsah zpráv a identifikovat konkrétní aplikaci nebo službu, ze které pochází. Kromě toho lze filtry naprogramovat tak, aby vyhledávaly a přesměrovávaly síťový provoz z určitého rozsahu adres internetového protokolu (IP) nebo určité online služby, jako je například Facebook.

Obvyklé použití hloubkové kontroly paketů

DPI lze použít pro benevolentní účely jako nástroj zabezpečení sítě: pro detekci a zachycení virů a jiných forem škodlivého provozu. Lze ji však použít i k nekalejším činnostem, například k odposlechu.

Hloubkovou kontrolu paketů lze také použít při správě sítě k zefektivnění toku síťového provozu. Například zpráva označená jako zpráva s vysokou prioritou může být směrována do svého cíle před méně důležitými zprávami nebo pakety s nízkou prioritou, které se týkají běžného prohlížení internetu. DPI lze také použít k přiškrcenému přenosu dat, aby se zabránilo zneužití peer-to-peer, a tím se zlepšil výkon sítě.

Protože hloubková kontrola paketů umožňuje identifikovat původce nebo příjemce obsahu obsahujícího konkrétní pakety, vyvolala obavy mezi zastánci ochrany soukromí a odpůrci síťové neutrality.

Omezení hloubkové kontroly paketů

Hloubková kontrola paketů má přinejmenším tři významná omezení.

První je, že kromě ochrany před stávajícími zranitelnostmi může vytvářet nové. Hloubková kontrola paketů je sice účinná proti útokům typu buffer overflow, útokům typu DoS (denial-of-service) a některým typům malwaru, ale může být také zneužita k usnadnění útoků stejných kategorií.

Druhé, hloubková kontrola paketů zvyšuje složitost a těžkopádnost stávajících firewallů a dalšího softwaru souvisejícího se zabezpečením. Hloubková kontrola paketů vyžaduje vlastní pravidelné aktualizace a revize, aby zůstala optimálně účinná.

Zatřetí, hloubková kontrola paketů může snížit rychlost sítě, protože zvyšuje zátěž procesorů brány firewall.

I přes tato omezení mnoho správců sítí přijalo technologii hloubkové kontroly paketů ve snaze vypořádat se s vnímaným nárůstem složitosti a rozšířenosti nebezpečí spojených s internetem.

Přestože se hloubková kontrola paketů stala základním prvkem bezpečnosti sítě, je nutné ji používat i nadále.