deep packet inspection (DPI)

Deep packet inspection (DPI) is een geavanceerde methode voor het onderzoeken en beheren van netwerkverkeer. Het is een vorm van pakketfiltering die pakketten met specifieke gegevens of code payloads lokaliseert, identificeert, classificeert, omleidt of blokkeert die conventionele pakketfiltering, die alleen de headers van pakketten onderzoekt, niet kan detecteren.

Uitgevoerd als een firewall-functie, functioneert deep packet inspection op de toepassingslaag van het Open Systems Interconnection (OSI)-referentiemodel.

Hoe deep packet inspection werkt

Deep packet inspection onderzoekt de inhoud van pakketten die door een bepaald controlepunt gaan en neemt real-time beslissingen op basis van regels die zijn toegewezen door een onderneming, internet service provider (ISP) of netwerkbeheerder, afhankelijk van wat een pakket bevat.

Vorige vormen van pakketfiltering keken alleen naar header-informatie, die, om een analogie te gebruiken, het equivalent is van het lezen van adressen die op de buitenkant van een envelop zijn afgedrukt. Dit was gedeeltelijk te wijten aan de beperkingen van de technologie. Tot voor kort beschikten firewalls niet over de verwerkingskracht die nodig is om diepgaande inspecties uit te voeren op grote hoeveelheden verkeer in real time. Technologische vooruitgang heeft DPI in staat gesteld om meer geavanceerde inspecties uit te voeren die meer lijken op het openen van een envelop en het lezen van de inhoud.

Deep packet inspection kan de inhoud van berichten onderzoeken en de specifieke applicatie of service identificeren waar deze vandaan komt. Bovendien kunnen filters worden geprogrammeerd om te zoeken naar en omleiden van netwerkverkeer van een specifiek Internet Protocol (IP)-adresbereik of een bepaalde online dienst zoals Facebook.

Gemeenschappelijke toepassingen van deep packet inspection

DPI kan voor welwillende doeleinden worden gebruikt als een netwerkbeveiligingshulpmiddel: voor het detecteren en onderscheppen van virussen en andere vormen van kwaadaardig verkeer. Maar het kan ook worden gebruikt voor meer snode activiteiten zoals afluisteren.

Deep packet inspection kan ook worden gebruikt in netwerkbeheer om de stroom van netwerkverkeer te stroomlijnen. Een bericht met een hoge prioriteit kan bijvoorbeeld naar zijn bestemming worden gerouteerd vóór berichten met een minder belangrijke of lage prioriteit of pakketten die betrokken zijn bij toevallig surfen op internet. DPI kan ook worden gebruikt voor het smoren van gegevensoverdracht om peer-to-peer misbruik te voorkomen, waardoor de netwerkprestaties verbeteren.

Omdat deep packet inspection het mogelijk maakt om de originator of de ontvanger van inhoud met specifieke pakketten te identificeren, heeft het de bezorgdheid gewekt van voorstanders van privacy en tegenstanders van netneutraliteit.

Beperkingen van deep packet inspection

Deep packet inspection heeft ten minste drie belangrijke beperkingen.

Ten eerste kan het nieuwe kwetsbaarheden creëren in aanvulling op de bescherming tegen bestaande. Hoewel DPI effectief is tegen bufferoverloopaanvallen, denial-of-service-aanvallen (DoS) en bepaalde soorten malware, kan het ook worden gebruikt om aanvallen in diezelfde categorieën te vergemakkelijken.

Tweede maakt deep packet inspection de bestaande firewalls en andere beveiligingsgerelateerde software complexer en logger. Deep packet inspection vereist zijn eigen periodieke updates en revisies om optimaal effectief te blijven.

Ten derde kan DPI de netwerksnelheid verminderen omdat het de belasting op firewall-processoren verhoogt.

Ondanks deze beperkingen hebben veel netwerkbeheerders deep packet inspection-technologie omarmd in een poging het hoofd te bieden aan een waargenomen toename van de complexiteit en de wijdverbreide aard van internetgerelateerde gevaren.