mély csomagvizsgálat (DPI)

A mély csomagvizsgálat (DPI) a hálózati forgalom vizsgálatának és kezelésének fejlett módszere. Ez a csomagszűrés egy olyan formája, amely felkutatja, azonosítja, osztályozza, átirányítja vagy blokkolja a meghatározott adat- vagy kódtartalommal rendelkező csomagokat, amelyeket a hagyományos csomagszűrés, amely csak a csomagcímeket vizsgálja, nem képes felismerni.

A mély csomagvizsgálat általában tűzfalfunkcióként történik, és az Open Systems Interconnection (OSI) referenciamodell alkalmazási rétegén működik.

Hogyan működik a mély csomagvizsgálat

A mély csomagvizsgálat megvizsgálja az adott ellenőrzési ponton áthaladó csomagok tartalmát, és valós idejű döntéseket hoz a vállalat, az internetszolgáltató (ISP) vagy a hálózatkezelő által kijelölt szabályok alapján, attól függően, hogy mit tartalmaz egy csomag.

A csomagszűrés korábbi formái csak a fejlécinformációkat vizsgálták, ami – egy hasonlattal élve – a boríték külső oldalára nyomtatott címek olvasásával egyenértékű. Ez részben a technológia korlátai miatt volt így. A közelmúltig a tűzfalak nem rendelkeztek a nagy mennyiségű forgalom mélyebb, valós idejű vizsgálatához szükséges feldolgozási kapacitással. A technológiai fejlődés lehetővé tette a DPI számára, hogy fejlettebb vizsgálatokat végezzen, amelyek inkább hasonlítanak egy boríték felnyitására és tartalmának elolvasására.

A mély csomagvizsgálat képes megvizsgálni az üzenetek tartalmát és azonosítani az adott alkalmazást vagy szolgáltatást, ahonnan az érkezik. Ezenkívül a szűrők úgy is programozhatók, hogy egy adott IP-címtartományból (Internet Protocol) vagy egy bizonyos online szolgáltatásból, például a Facebookból származó hálózati forgalmat keressenek és irányítsanak át.

A mély csomagvizsgálat általános felhasználási területei

ADPI jótékony célokra is használható hálózati biztonsági eszközként: vírusok és más rosszindulatú forgalom észlelésére és elfogására. De olyan aljasabb tevékenységekre is használható, mint a lehallgatás.

A mély csomagvizsgálat a hálózatirányításban is használható a hálózati forgalom áramlásának racionalizálására. Például egy magas prioritásúnak címkézett üzenet a kevésbé fontos vagy alacsony prioritású üzeneteket vagy az alkalmi internetböngészésben részt vevő csomagokat megelőzve továbbítható a célállomásra. A DPI a peer-to-peer visszaélések megakadályozása érdekében az adatátvitel korlátozására is használható, így javítva a hálózat teljesítményét.

Mivel a mély csomagvizsgálat lehetővé teszi az egyes csomagokat tartalmazó tartalmak kibocsátójának vagy címzettjének azonosítását, aggodalmat váltott ki az adatvédelem hívei és a hálózatsemlegesség ellenzői körében.

A mély csomagvizsgálat korlátai

A mély csomagvizsgálatnak legalább három jelentős korlátja van.

Először is, a meglévők elleni védelem mellett új sebezhetőségeket is létrehozhat. Bár hatékony a puffer túlcsordulási támadások, a szolgáltatásmegtagadási (DoS) támadások és bizonyos típusú rosszindulatú programok ellen, a DPI kihasználható az ugyanezen kategóriákba tartozó támadások megkönnyítésére is.

Második, a mély csomagvizsgálat növeli a meglévő tűzfalak és más biztonsággal kapcsolatos szoftverek összetettségét és nehézkességét. A mély csomagvizsgálat saját rendszeres frissítéseket és felülvizsgálatokat igényel ahhoz, hogy optimálisan hatékony maradjon.

Harmadszor, a DPI csökkentheti a hálózat sebességét, mivel növeli a tűzfal processzorainak terhelését.

A fenti korlátok ellenére sok hálózati rendszergazda átvette a mély csomagvizsgálati technológiát, hogy megpróbáljon megbirkózni az internettel kapcsolatos veszélyek összetettségének és elterjedtségének érzékelhető növekedésével.