Hvad er Deep Packet Inspection?
Alle digitale oplysninger, uanset om det er e-mails, besøgte websteder eller beskeder sendt via apps, overføres via internettet i små datapakker, der kaldes pakker. Disse pakker indeholder ikke kun selve oplysningerne, men også et lag af metadata, der identificerer trafikkens kilde, destination, indhold og andre værdifulde oplysninger, som sikrer, at dataene videresendes til den rette destination. Processen med at analysere disse pakker, kendt som Deep Packet Inspection (DPI), bruges hver dag af virksomheder og internetudbydere (ISP'er) til at opdage og forhindre cyberangreb, bekæmpe malware, optimere servere for at reducere overhead og analysere brugeradfærd.
Hvordan virker DPI?
DPI, også kendt som complete packet inspection (CPI), er en avanceret metode til at inspicere og styre netværkstrafikken og betragtes som et vigtigt værktøj for avanceret it-sikkerhed. DPI går et skridt videre end den grundlæggende pakkefiltrering, der kun undersøger pakkehovedet og normalt anvendes via routere, og analyserer datapakkens faktiske dataindhold sammen med headeren. Den kan søge efter manglende overholdelse af protokoller og filtreringsregler, spam, virus eller malware og på grundlag af resultaterne klassificere, omdirigere eller blokere pakker.
DPI er forankret i netværkssikkerhed på grund af dens anvendelighed til at forebygge og opdage indbrud. Identificering og blokering af IP'en for “skadelig” trafik er f.eks. meget effektiv mod bufferoverløb og DDoS-angreb. DPI registrerer trusler i netværkslaget, før de når slutbrugerne, hvilket kan være med til at forhindre, at virus og malware spredes gennem hele virksomhedens netværk. Derfor indgår DPI ofte i firewalls, hvor det kombineret med yderligere sikkerhedsfunktioner holder virksomhedsnetværk sikre mod en række trusler. Omvendt kan det også bruges som et anti-censur-værktøj, som brugt i eksempelvis Kina. Her bruges DPI til at detektere bruger af VPN.
DPI kan også anvendes til netværksstyring. Den kan filtrere trafikken og lette netværksflowet ved at tildele forskellige prioritetsniveauer til meddelelser og peer-to-peer-downloads (P2P) eller registrere forbudt brug af virksomhedens applikationer.
Men hvordan hænger DPI sammen med Data Loss Prevention (DLP)? Ved at anvende filtreringsregler i forbindelse med fortrolige oplysninger kan DPI blokere for afsendelse af følsomme data og opfordre brugerne til at søge om tilladelse eller godkendelse, før en e-mail sendes. Som et selvstændigt DLP-værktøj er DPI begrænset og kan være en frustrerende oplevelse for både medarbejdere og ledere, men når det bruges som en del af en DLP-løsning, kan det give en række fordele.
Kilder
https://www.sciencedirect.com/topics/computer-science/deep-packet-inspection-firewall