Inspección profunda de paquetes

Procedimientos para examinar datos de red

La inspección profunda de paquetes ( DPI ) es un tipo de procesamiento de datos que inspecciona en detalle los datos que se envían a través de una red informática y puede tomar medidas como alertar, bloquear, redireccionar o registrarlos en consecuencia. La inspección profunda de paquetes se utiliza a menudo para establecer una línea de base del comportamiento de las aplicaciones, analizar el uso de la red, solucionar problemas de rendimiento de la red, garantizar que los datos estén en el formato correcto, verificar códigos maliciosos, realizar escuchas ilegales y censurar Internet , ^[1] entre otros fines. ^[2] Existen múltiples encabezados para paquetes IP ; el equipo de red solo necesita usar el primero de estos (el encabezado IP ) para el funcionamiento normal, pero el uso del segundo encabezado (como TCP o UDP ) normalmente se considera una inspección superficial de paquetes (generalmente llamada inspección de paquetes con estado ) a pesar de esta definición. ^[3]

Existen múltiples formas de adquirir paquetes para una inspección profunda de los mismos. El uso de duplicación de puertos (a veces denominada Span Port ) es una forma muy común, así como la inserción física de un punto de acceso de red que duplica y envía el flujo de datos a una herramienta de análisis para su inspección.

La inspección profunda de paquetes (DPI) (y su filtrado) permite la gestión avanzada de la red , el servicio al usuario y las funciones de seguridad , así como la minería de datos de Internet , el espionaje y la censura de Internet . Aunque la DPI se ha utilizado para la gestión de Internet durante muchos años, algunos defensores de la neutralidad de la red temen que la técnica pueda utilizarse de forma anticompetitiva o para reducir la apertura de Internet. ^[4]

El DPI se utiliza en una amplia gama de aplicaciones, en el llamado nivel "empresarial" (corporaciones e instituciones más grandes), en proveedores de servicios de telecomunicaciones y en los gobiernos. ^[5]

Fondo

La tecnología DPI cuenta con una larga y avanzada historia tecnológica que comenzó en la década de 1990, antes de que la tecnología entrara en lo que hoy se considera como implementaciones comunes y generalizadas. La tecnología tiene sus raíces hace más de 30 años, cuando muchos de los pioneros contribuyeron con sus inventos para su uso entre los participantes de la industria, por ejemplo a través de estándares comunes e innovaciones tempranas, como las siguientes:

• RMON
• Oledor
• Cableado

La funcionalidad DPI esencial incluye el análisis de los encabezados de los paquetes y los campos de protocolo. Por ejemplo, Wireshark ofrece una funcionalidad DPI esencial a través de sus numerosos disectores que muestran los nombres y el contenido de los campos y, en algunos casos, ofrecen una interpretación de los valores de los campos.

Algunas soluciones de seguridad que ofrecen DPI combinan la funcionalidad de un sistema de detección de intrusiones (IDS) y un sistema de prevención de intrusiones (IPS) con un firewall con estado tradicional . ^[6] Esta combinación permite detectar ciertos ataques que ni el IDS/IPS ni el firewall con estado pueden detectar por sí solos. Los firewalls con estado, si bien pueden ver el comienzo y el final de un flujo de paquetes, no pueden detectar eventos por sí solos que estarían fuera de los límites de una aplicación en particular. Si bien los IDS pueden detectar intrusiones, tienen muy poca capacidad para bloquear tales ataques. Los DPI se utilizan para prevenir ataques de virus y gusanos a velocidades de cable. Más específicamente, DPI puede ser eficaz contra ataques de desbordamiento de búfer, ataques de denegación de servicio (DoS), intrusiones sofisticadas y un pequeño porcentaje de gusanos que caben dentro de un solo paquete. ^[7]

Los dispositivos habilitados para DPI tienen la capacidad de examinar la capa 2 y más allá de la capa 3 del modelo OSI . En algunos casos, se puede invocar DPI para examinar las capas 2 a 7 del modelo OSI. Esto incluye los encabezados y las estructuras de protocolo de datos, así como la carga útil del mensaje. La funcionalidad DPI se invoca cuando un dispositivo examina o realiza otra acción en función de información más allá de la capa 3 del modelo OSI. DPI puede identificar y clasificar el tráfico en función de una base de datos de firmas que incluye información extraída de la parte de datos de un paquete, lo que permite un control más preciso que la clasificación basada solo en la información del encabezado. Los puntos finales pueden utilizar técnicas de cifrado y ofuscación para evadir las acciones de DPI en muchos casos.

Un paquete clasificado puede ser redirigido, marcado/etiquetado (ver calidad de servicio ), bloqueado, limitado en velocidad y, por supuesto, informado a un agente de informes en la red. De esta manera, los errores HTTP de diferentes clasificaciones pueden ser identificados y reenviados para su análisis. Muchos dispositivos DPI pueden identificar flujos de paquetes (en lugar de realizar un análisis paquete por paquete), lo que permite acciones de control basadas en la información de flujo acumulada. ^[8]

A nivel empresarial

En un principio, la seguridad a nivel empresarial era una disciplina que se limitaba al perímetro, con una filosofía dominante de mantener a los usuarios no autorizados fuera y proteger a los usuarios autorizados del mundo exterior. La herramienta más utilizada para lograr esto ha sido un cortafuegos con estado. Puede permitir un control detallado del acceso desde el mundo exterior a destinos predefinidos en la red interna, así como permitir el acceso a otros hosts solo si se ha realizado previamente una solicitud al mundo exterior. ^[9]

Sin embargo, existen vulnerabilidades en las capas de red que no son visibles para un firewall con estado. Además, un aumento en el uso de computadoras portátiles en las empresas hace que sea más difícil evitar que amenazas como virus , gusanos y software espía penetren en la red corporativa, ya que muchos usuarios conectarán la computadora portátil a redes menos seguras, como conexiones de banda ancha domésticas o redes inalámbricas en lugares públicos. Los firewalls tampoco distinguen entre usos permitidos y prohibidos de aplicaciones a las que se accede legítimamente. DPI permite a los administradores de TI y a los funcionarios de seguridad establecer políticas y aplicarlas en todas las capas, incluidas la capa de aplicación y la capa de usuario, para ayudar a combatir esas amenazas. ^{[10] [11]}

La inspección profunda de paquetes puede detectar algunos tipos de ataques de desbordamiento de búfer .

Las empresas pueden utilizar DPI para la prevención de fugas de datos (DLP). Cuando un usuario de correo electrónico intenta enviar un archivo protegido, se le puede proporcionar información sobre cómo obtener la autorización adecuada para enviar el archivo. ^{[12] [ ejemplo necesario ] [ aclaración necesaria ]}

En proveedores de servicios de red/Internet

Además de utilizar DPI para proteger sus redes internas, los proveedores de servicios de Internet también lo aplican en las redes públicas que ofrecen a sus clientes. Los usos más comunes de DPI por parte de los ISP son la interceptación legal , la definición y aplicación de políticas , la publicidad dirigida , la calidad del servicio , la oferta de servicios escalonados y la aplicación de derechos de autor .

Interceptación legal

Casi todos los gobiernos del mundo exigen a los proveedores de servicios que habiliten capacidades de interceptación legal . Hace décadas, en un entorno telefónico tradicional, esto se lograba creando un punto de acceso de tráfico (TAP) utilizando un servidor proxy de interceptación que se conecta al equipo de vigilancia del gobierno. El componente de adquisición de esta funcionalidad se puede proporcionar de muchas maneras, incluida la DPI; los productos habilitados para DPI que son "compatibles con LI o CALEA " se pueden utilizar, cuando lo indique una orden judicial, para acceder al flujo de datos de un usuario. ^[13]

Definición y aplicación de políticas

Los proveedores de servicios obligados por el acuerdo de nivel de servicio con sus clientes a proporcionar un cierto nivel de servicio y, al mismo tiempo, hacer cumplir una política de uso aceptable , pueden hacer uso de DPI para implementar ciertas políticas que cubran las infracciones de derechos de autor, materiales ilegales y uso injusto del ancho de banda . En algunos países, los ISP están obligados a realizar filtros, según las leyes del país. DPI permite a los proveedores de servicios "conocer fácilmente los paquetes de información que está recibiendo en línea, desde correo electrónico hasta sitios web, pasando por el intercambio de música, videos y descargas de software". ^[14] Se pueden definir políticas que permitan o no la conexión hacia o desde una dirección IP, ciertos protocolos o incluso heurísticas que identifiquen una determinada aplicación o comportamiento.

Publicidad dirigida

Los proveedores de servicios de Internet (ISP) que dirigen el tráfico de todos sus clientes pueden controlar los hábitos de navegación de sus clientes de forma muy detallada, lo que les permite obtener información sobre los intereses de sus clientes, que puede ser utilizada por empresas especializadas en publicidad dirigida. Al menos 100.000 clientes de Estados Unidos son rastreados de esta forma, y ​​hasta el 10% de los clientes de Estados Unidos han sido rastreados de esta forma. ^[15] Entre los proveedores de tecnología se encuentran NebuAd , Front Porch y Phorm . Entre los ISP estadounidenses que monitorean a sus clientes se encuentran Knology ^[16] y Wide Open West . Además, el ISP del Reino Unido, British Telecom, ha admitido que ha probado soluciones de Phorm sin el conocimiento o consentimiento de sus clientes. ^[15]

Calidad del servicio

El DPI se puede utilizar contra la neutralidad de la red .

Las aplicaciones como el tráfico peer-to-peer (P2P) presentan cada vez más problemas para los proveedores de servicios de banda ancha. Normalmente, el tráfico P2P lo utilizan las aplicaciones que comparten archivos. Estos pueden ser de cualquier tipo (es decir, documentos, música, vídeos o aplicaciones). Debido al gran tamaño de los archivos multimedia que se transfieren, el P2P genera cargas de tráfico cada vez mayores, lo que requiere una capacidad de red adicional. Los proveedores de servicios afirman que una minoría de usuarios genera grandes cantidades de tráfico P2P y degrada el rendimiento de la mayoría de los suscriptores de banda ancha que utilizan aplicaciones como el correo electrónico o la navegación web que utilizan menos ancho de banda. ^[17] El bajo rendimiento de la red aumenta la insatisfacción de los clientes y conduce a una disminución de los ingresos por servicios.

La DPI permite a los operadores vender más ancho de banda disponible y, al mismo tiempo, garantizar una distribución equitativa del ancho de banda entre todos los usuarios, evitando la congestión de la red. Además, se puede asignar una mayor prioridad a una llamada de VoIP o de videoconferencia que requiere baja latencia en comparación con la navegación web, que no la requiere. ^[18] Este es el enfoque que utilizan los proveedores de servicios para asignar dinámicamente el ancho de banda según el tráfico que pasa por sus redes.

Servicios escalonados

Los proveedores de servicios móviles y de banda ancha utilizan la DPI como un medio para implementar planes de servicios escalonados, para diferenciar los servicios de " jardín amurallado " de los servicios de datos de "valor agregado", "todo lo que pueda comer" y "talla única". ^[19] Al poder cobrar por un "jardín amurallado", por aplicación, por servicio o "todo lo que pueda comer" en lugar de un paquete "talla única", el operador puede adaptar sus ofertas a cada suscriptor individual y aumentar su ingreso promedio por usuario (ARPU). Se crea una política por usuario o grupo de usuarios, y el sistema DPI a su vez hace cumplir esa política, lo que permite al usuario acceder a diferentes servicios y aplicaciones.

Cumplimiento de derechos de autor

En ocasiones, los propietarios de derechos de autor solicitan a los ISP o los tribunales o las políticas oficiales les exigen que ayuden a hacer cumplir los derechos de autor. En 2006, uno de los ISP más grandes de Dinamarca, Tele2 , recibió una orden judicial y se le ordenó bloquear a sus clientes el acceso a The Pirate Bay , un punto de lanzamiento para BitTorrent . ^[20]

En lugar de perseguir a quienes comparten archivos uno a uno, ^[21] la Federación Internacional de la Industria Fonográfica (IFPI) y los cuatro grandes sellos discográficos EMI , Sony BMG , Universal Music y Warner Music han demandado a los ISP como Eircom por no hacer lo suficiente para proteger sus derechos de autor. ^[22] La IFPI quiere que los ISP filtren el tráfico para eliminar material con derechos de autor cargado y descargado ilícitamente de su red, a pesar de la directiva europea 2000/31/EC que establece claramente que los ISP no pueden estar sujetos a una obligación general de monitorear la información que transmiten, y la directiva 2002/58/EC que otorga a los ciudadanos europeos un derecho a la privacidad de las comunicaciones.

La Asociación Cinematográfica de Estados Unidos (MPAA), que hace cumplir los derechos de autor de las películas, ha adoptado la postura de la Comisión Federal de Comunicaciones (FCC) de que la neutralidad de la red podría perjudicar las técnicas antipiratería como la inspección profunda de paquetes y otras formas de filtrado. ^[23]

Estadística

La DPI permite a los ISP recopilar información estadística sobre los patrones de uso por grupo de usuarios. Por ejemplo, podría ser de interés saber si los usuarios con una conexión de 2 Mbit utilizan la red de forma diferente a los usuarios con una conexión de 5 Mbit. El acceso a los datos de tendencias también ayuda a la planificación de la red. ^{[ Aclaración necesaria ]}

Por los gobiernos

Además de utilizar DPI para la seguridad de sus propias redes, los gobiernos de América del Norte, Europa y Asia utilizan DPI para diversos fines, como vigilancia y censura . Muchos de estos programas son clasificados. ^[24]

Porcelana

El gobierno chino utiliza la inspección profunda de paquetes para controlar y censurar el tráfico de la red y el contenido que, según afirma, es perjudicial para los ciudadanos chinos o los intereses del Estado. Este material incluye pornografía, información sobre religión y disidencia política. ^[25] Los ISP de la red china utilizan la DPI para ver si hay alguna palabra clave sensible que pase por su red. Si es así, se cortará la conexión. Las personas dentro de China a menudo se encuentran bloqueadas al acceder a sitios web que contienen contenido relacionado con la independencia de Taiwán y el Tíbet , Falun Gong , el Dalai Lama , las protestas y la masacre de la Plaza de Tiananmen de 1989 , partidos políticos que se oponen a los del partido comunista gobernante, o una variedad de movimientos anticomunistas ^[26] ya que esos materiales ya estaban firmados como palabras clave sensibles de la DPI. China anteriormente bloqueaba todo el tráfico de VoIP dentro y fuera de su país ^[27], pero muchas aplicaciones de VoIP disponibles ahora funcionan en China. El tráfico de voz en Skype no se ve afectado, aunque los mensajes de texto están sujetos a filtrado y los mensajes que contienen material sensible, como malas palabras, simplemente no se envían, sin que se proporcione ninguna notificación a ninguno de los participantes en la conversación. China también bloquea sitios de medios visuales como YouTube.com y varios sitios de fotografía y blogs. ^[28]

Egipto

Desde 2015, Egipto supuestamente comenzó a unirse a la lista, algo que los funcionarios de la Autoridad Nacional Reguladora de Telecomunicaciones (NTRA) de Egipto negaron constantemente. Sin embargo, se convirtió en noticia cuando el país decidió bloquear la aplicación de mensajería cifrada Signal, según anunció el desarrollador de la aplicación. ^[29]

En abril de 2017, todas las aplicaciones de VoIP, incluidas FaceTime , Facebook Messenger , Viber , llamadas de WhatsApp y Skype, fueron bloqueadas en el país. ^[30]

A partir de 2022, FaceTime y Facebook Messenger estarán desbloqueados.

India

Se sabe que el ISP indio Jio , que también es el operador de red más grande de la India, emplea técnicas DPI sofisticadas como el filtrado basado en SNI para imponer la censura. ^{[31] [32]}

Indonesia

El gobierno de Indonesia, a través de Telkom Indonesia ^[33], con el apoyo de la tecnología Cisco Meraki DPI, realiza una vigilancia a nivel nacional mediante una inspección profunda de paquetes ^[34] y la asigna al SSN/NIK (Nomor Induk Kependudukan) de sus ciudadanos registrados en el ISP estatal. El objetivo de la inspección profunda de paquetes incluye filtrar pornografía, discursos de odio y reducir la tensión en Papúa Occidental ^[35] . El gobierno de Indonesia planeaba ampliar la vigilancia al siguiente nivel hasta 2030 ^[36].

Irán

El gobierno iraní compró en 2008 un sistema, supuestamente para inspección profunda de paquetes, a Nokia Siemens Networks (NSN) (una empresa conjunta de Siemens AG, el conglomerado alemán, y Nokia Corp., la compañía finlandesa de telefonía móvil), ahora NSN es Nokia Solutions and Networks, según un informe del Wall Street Journal de junio de 2009, que cita al portavoz de NSN, Ben Roome. ^[37] Según expertos anónimos citados en el artículo, el sistema "permite a las autoridades no sólo bloquear la comunicación, sino también vigilarla para reunir información sobre individuos, así como alterarla con fines de desinformación".

El sistema fue adquirido por la Telecommunication Infrastructure Co., parte del monopolio de telecomunicaciones del gobierno iraní. Según el Journal , NSN "suministró equipos a Irán el año pasado bajo el concepto internacionalmente reconocido de 'interceptación legal', dijo el Sr. Roome. ^{[ cita requerida ]} Eso se relaciona con la interceptación de datos con el propósito de combatir el terrorismo, la pornografía infantil, el tráfico de drogas y otras actividades delictivas llevadas a cabo en línea, una capacidad que la mayoría de las compañías de telecomunicaciones, si no todas, tienen, dijo.... El centro de monitoreo que Nokia Siemens Networks vendió a Irán fue descrito en un folleto de la compañía como permitiendo 'el monitoreo e interceptación de todo tipo de comunicación de voz y datos en todas las redes'. La empresa conjunta abandonó el negocio que incluía el equipo de monitoreo, lo que llamó 'solución de inteligencia', a fines de marzo, vendiéndolo a Perusa ^[38] Partners Fund 1 LP, una firma de inversión con sede en Munich , dijo el Sr. Roome. Dijo que la compañía determinó que ya no era parte de su negocio principal. ^{[ cita requerida ]}

El sistema NSN surgió a partir de compras realizadas por Irán a Secure Computing Corp. a principios de la década. ^[39]

Se han planteado dudas sobre la fiabilidad del informe del Journal elaborado por David Isenberg, un analista independiente con sede en Washington, DC y catedrático adjunto del Cato Institute , que afirma específicamente que Roome niega las citas que se le atribuyen y que él, Isenberg, también había tenido quejas similares con uno de los mismos periodistas del Journal en un artículo anterior. ^[40] NSN ha emitido la siguiente negación: NSN "no ha proporcionado ninguna inspección profunda de paquetes, censura web o capacidad de filtrado de Internet a Irán". ^[41] Un artículo concurrente en The New York Times afirmó que la venta de NSN había sido cubierta en una "serie de informes de noticias en abril [de 2009], incluido The Washington Times ", y revisó la censura de Internet y otros medios en el país, pero no mencionó al DPI. ^[42]

Según Walid Al-Saqaf, el desarrollador del programa para burlar la censura de Internet Alkasir , Irán utilizó la inspección profunda de paquetes en febrero de 2012, lo que prácticamente paralizó la velocidad de Internet en todo el país. Esto eliminó brevemente el acceso a herramientas como Tor y Alkasir. ^[43]

Malasia

Se dice que el actual gobierno de Malasia, encabezado por Barisan Nasional, utilizó el DPI contra un oponente político durante el período previo a las 13ª elecciones generales celebradas el 5 de mayo de 2013.

El propósito del DPI, en este caso, era bloquear y/o dificultar el acceso a sitios web seleccionados, por ejemplo, cuentas de Facebook, blogs y portales de noticias. ^{[44] [45]}

Pakistán

La Autoridad de Telecomunicaciones de Pakistán (PTA) afirma que el sistema DPI se ha instalado para implementar la Ley de Prevención de Delitos Electrónicos (PECA) de 2016, en particular para filtrar y bloquear contenido blasfemo y cualquier material que se considere contrario a la integridad o seguridad de Pakistán. ^[46] La empresa canadiense Sandvine fue contratada para proporcionar e instalar el equipo en Pakistán. ^[47]

Federación Rusa

En Rusia, la DPI aún no es obligatoria. La Ley Federal N° 139 obliga a bloquear sitios web incluidos en la lista negra de Internet rusa mediante el uso de filtros IP, pero no obliga a los ISP a analizar la parte de datos de los paquetes. Sin embargo, algunos ISP aún utilizan diferentes soluciones DPI para implementar la inclusión en listas negras. Para 2019, la agencia gubernamental Roskomnadzor está planeando una implementación nacional de la DPI después del proyecto piloto en una de las regiones del país, con un costo estimado de 20 mil millones de rublos (US$300 millones). ^[48]

Algunos activistas de derechos humanos ^{[ ¿quiénes? ]} consideran que la inspección profunda de paquetes es contraria al artículo 23 de la Constitución de la Federación Rusa , aunque nunca se ha llevado a cabo un proceso legal para probarlo o refutarlo. ^{[ cita requerida ] [49]}

Singapur

Según se informa, la ciudad-estado emplea una inspección profunda de paquetes del tráfico de Internet. ^[50]

Siria

Según se informa, el estado emplea una inspección profunda de paquetes del tráfico de Internet para analizar y bloquear el tránsito prohibido.

Estados Unidos

La FCC adopta los requisitos de Internet CALEA : La FCC, de conformidad con su mandato del Congreso de los EE. UU. y en línea con las políticas de la mayoría de los países del mundo, ha exigido que todos los proveedores de telecomunicaciones, incluidos los servicios de Internet, sean capaces de respaldar la ejecución de una orden judicial para proporcionar análisis forense de comunicaciones en tiempo real de usuarios específicos. En 2006, la FCC adoptó nuevas normas del Título 47, Subparte Z, que exigen que los proveedores de acceso a Internet cumplan con estos requisitos. DPI fue una de las plataformas esenciales para cumplir con este requisito y se ha implementado para este propósito en todo Estados Unidos.

La Agencia de Seguridad Nacional (NSA), con la cooperación de AT&T Inc. , ha utilizado la inspección profunda de paquetes para hacer que la vigilancia, clasificación y reenvío del tráfico de Internet sea más inteligente. La DPI se utiliza para encontrar qué paquetes transportan correo electrónico o una llamada telefónica de Voz sobre Protocolo de Internet (VoIP). ^[51] El tráfico asociado con la red troncal común de AT&T se "dividió" entre dos fibras, dividiendo la señal de modo que el 50 por ciento de la intensidad de la señal fuera a cada fibra de salida. Una de las fibras de salida se desvió a una sala segura; la otra transportó comunicaciones al equipo de conmutación de AT&T. La sala segura contenía analizadores de tráfico y servidores lógicos de Narus ; Narus afirma que estos dispositivos son capaces de recopilar datos en tiempo real (registrar datos para su consideración) y capturarlos a 10 gigabits por segundo. Se seleccionó cierto tráfico y se envió a través de una línea dedicada a una "ubicación central" para su análisis. Según una declaración jurada del testigo experto J. Scott Marcus, ex asesor principal de Tecnología de Internet en la Comisión Federal de Comunicaciones de Estados Unidos, el tráfico desviado "representaba todo, o prácticamente todo, el tráfico de interconexión de AT&T en el área de la Bahía de San Francisco", y por lo tanto, "los diseñadores de la... configuración no hicieron ningún intento, en términos de ubicación o posición de la división de la fibra, de excluir fuentes de datos compuestas principalmente por datos nacionales". ^[52] El software Semantic Traffic Analyzer de Narus, que se ejecuta en servidores Linux de IBM o Dell utilizando DPI, clasifica el tráfico IP a 10 Gbit/s para seleccionar mensajes específicos en función de una dirección de correo electrónico, una dirección IP o, en el caso de VoIP, un número de teléfono. ^[53] El presidente George W. Bush y el fiscal general Alberto R. Gonzales han afirmado que creen que el presidente tiene la autoridad para ordenar interceptaciones secretas de intercambios telefónicos y de correo electrónico entre personas dentro de los Estados Unidos y sus contactos en el extranjero sin obtener una orden judicial FISA . ^[54]

La Agencia de Sistemas de Información de Defensa ha desarrollado una plataforma de sensores que utiliza la inspección profunda de paquetes. ^[55]

Vietnam

Vietnam lanzó su centro de seguridad de red y exigió a los ISP que actualizaran sus sistemas de hardware para utilizar la inspección profunda de paquetes para bloquear el tráfico de Internet. ^[56]

Neutralidad de la red

Las personas y organizaciones preocupadas por la privacidad o la neutralidad de la red consideran ofensiva la inspección de las capas de contenido del protocolo de Internet, ^[13] diciendo, por ejemplo, que "la red se construyó sobre la base del acceso abierto y la no discriminación de paquetes". ^[57] Mientras tanto, los críticos de las normas de neutralidad de la red las llaman "una solución en busca de un problema" y dicen que las normas de neutralidad de la red reducirían los incentivos para actualizar las redes y lanzar servicios de red de próxima generación . ^[58]

Muchos consideran que la inspección profunda de paquetes socava la infraestructura de Internet. ^[59]

El cifrado y la tunelización subvierten el DPI

Inspección profunda de SSL/TLS

Con el aumento del uso de HTTPS y la tunelización de privacidad mediante VPN, la eficacia de la DPI está siendo cuestionada. ^[60] En respuesta, muchos firewalls de aplicaciones web ahora ofrecen inspección HTTPS , donde descifran el tráfico HTTPS para analizarlo. ^[61] El WAF puede terminar el cifrado, por lo que la conexión entre el WAF y el navegador del cliente utiliza HTTP simple, o volver a cifrar los datos utilizando su propio certificado HTTPS, que debe distribuirse a los clientes de antemano. ^[62] Las técnicas utilizadas en la inspección HTTPS/SSL (también conocida como intercepción HTTPS/SSL) son las mismas que se utilizan en los ataques del tipo man-in-the-middle (MiTM) . ^[63]

Funciona así: ^[64]

1. El cliente desea conectarse a https://www.targetwebsite.com
2. El tráfico pasa a través de un firewall o producto de seguridad
3. El firewall funciona como un proxy transparente
4. Firewall crea un certificado SSL firmado por su propia "CompanyFirewall CA "
5. Firewall presenta este certificado firmado "CompanyFirewall CA " al cliente (no el certificado targetwebsite.com)
6. Al mismo tiempo, el Firewall se conecta por sí solo a https://www.targetwebsite.com
7. targetwebsite.com presenta su Certificado Firmado Oficialmente (Firmado por una CA de Confianza )
8. El firewall comprueba la cadena de confianza del certificado por sí solo
9. El firewall ahora funciona como "Man-in-the-middle" .
10. El tráfico del Cliente se descifrará (con información de intercambio de claves del Cliente), se analizará (para detectar tráfico dañino, violación de políticas o virus), se cifrará (con información de intercambio de claves de targetwebsite.com) y se enviará a targetwebsite.com.
11. El tráfico de targetwebsite.com también será descifrado (con información de intercambio de claves de targetwebsite.com), analizado (como se indicó anteriormente), cifrado (con información de intercambio de claves del Cliente) y enviado al Cliente.
12. El producto Firewall puede leer toda la información intercambiada entre el cliente SSL y el servidor SSL (sitios web de destino.com)

Esto se puede hacer con cualquier conexión terminada en TLS (no solo HTTPS) siempre que el producto de firewall pueda modificar el TrustStore del cliente SSL.

Software

nDPI (una bifurcación de OpenDPI ^[65] que está al final de su vida útil gracias a los desarrolladores de ntop ) ^{[66] [67]} es la versión de código abierto para protocolos no ofuscados . PACE, otro de estos motores, incluye protocolos ofuscados y cifrados, que son los tipos asociados con Skype o BitTorrent cifrado . ^[68] Como OpenDPI ya no se mantiene, se ha creado una bifurcación de OpenDPI llamada nDPI ^{[66] , que se mantiene activamente y se extiende con nuevos protocolos, incluidos} Skype , Webex , Citrix y muchos otros.

L7-Filter es un clasificador para Netfilter de Linux que identifica paquetes en función de los datos de la capa de aplicación. ^[69] Puede clasificar paquetes como Kazaa , HTTP , Jabber , Citrix , Bittorrent , FTP , Gnucleus , eDonkey2000 y otros. Clasifica streaming, correo, P2P, VoIP , protocolos y aplicaciones de juegos. El software ha sido retirado y reemplazado por el motor DPI de código abierto Netify. ^[70]

Hippie (Hi-Performance Protocol Identification Engine) es un proyecto de código abierto que se desarrolló como módulo del kernel de Linux. ^[71] Fue desarrollado por Josh Ballard. Admite tanto DPI como funcionalidad de firewall. ^[72]

El proyecto SPID (Statistical Protocol IDentification) se basa en el análisis estadístico de los flujos de red para identificar el tráfico de aplicaciones. ^[73] El algoritmo SPID puede detectar el protocolo de la capa de aplicación (capa 7) mediante firmas (una secuencia de bytes en un desplazamiento particular en el protocolo de enlace), analizando la información de flujo (tamaños de paquetes, etc.) y las estadísticas de carga útil (con qué frecuencia se produce el valor del byte para medir la entropía) de los archivos pcap. Es solo una aplicación de prueba de concepto y actualmente admite aproximadamente 15 aplicaciones/protocolos como el tráfico de ofuscación de eDonkey , Skype UDP y TCP, BitTorrent , IMAP , IRC , MSN y otros.

Tstat (herramienta de análisis y estadísticas TCP) proporciona información sobre los patrones de tráfico y ofrece detalles y estadísticas para numerosas aplicaciones y protocolos. ^[74]

Libprotoident presenta la inspección ligera de paquetes (LPI), que examina solo los primeros cuatro bytes de la carga útil en cada dirección. Esto permite minimizar las preocupaciones sobre la privacidad, al tiempo que reduce el espacio en disco necesario para almacenar los rastros de paquetes necesarios para la clasificación. Libprotoident admite más de 200 protocolos diferentes y la clasificación se basa en un enfoque combinado que utiliza la coincidencia de patrones de carga útil, el tamaño de la carga útil, los números de puerto y la coincidencia de IP. ^[75]

Una empresa francesa llamada Amesys diseñó y vendió a Muammar Gaddafi un sistema de vigilancia masiva e intrusiva de Internet , Eagle . ^[76]

Comparación

En la Comparación independiente de herramientas DPI populares para la clasificación de tráfico se muestra una comparación exhaustiva de varios clasificadores de tráfico de red que dependen de la inspección profunda de paquetes (PACE, OpenDPI, 4 configuraciones diferentes de filtro L7, NDPI, Libprotoident y Cisco NBAR). ^[77]

Hardware

Se está poniendo un mayor énfasis en la inspección profunda de paquetes, lo que surge ^{[ se necesita una aclaración ]} después del rechazo de los proyectos de ley SOPA y PIPA . Muchos de los métodos DPI actuales son lentos y costosos, especialmente para aplicaciones de gran ancho de banda. Se están desarrollando métodos de DPI más eficientes. Los enrutadores especializados ahora pueden realizar DPI; los enrutadores equipados con un diccionario de programas ayudarán a identificar los propósitos detrás del tráfico de LAN e Internet que están enrutando. Cisco Systems se encuentra ahora en su segunda iteración de enrutadores habilitados para DPI, con su anuncio del enrutador CISCO ISR G2. ^[78]

Véase también

• Transportista común
• Directiva sobre conservación de datos
• Inspección profunda de contenido
• ESCALÓN
• Cortafuegos
• Ley de Vigilancia de Inteligencia Extranjera
• Escudo dorado
• Sistema de prevención de intrusiones
• Neutralidad de la red
• La controversia sobre la vigilancia sin orden judicial de la NSA
• Analizador de paquetes
• Cortafuegos con estado
• Redes Theta
• Cableado

Referencias

1. Duncan Geere, https://www.wired.co.uk/article/how-deep-packet-inspection-works
2. Dharmapurikarg, Sarang; Krishnamurthy, Praveen; Sproull, Todd; Lockwood, John. "Inspección profunda de paquetes mediante filtros bloom paralelos". 11.º Simposio sobre interconexiones de alto rendimiento .
3. Thomas Porter (11 de enero de 2005). "Los peligros de la inspección profunda de paquetes". SecurityFocus.com . Consultado el 2 de marzo de 2008 .
4. Hal Abelson; Ken Ledeen; Chris Lewis (2009). "Just Deliver the Packets", en: "Essays on Deep Packet Inspection", Ottawa". Oficina del Comisionado de Privacidad de Canadá . Consultado el 8 de enero de 2010 .
5. Ralf Bendrath (16 de marzo de 2009). "Tendencias tecnológicas globales y regulación nacional: explicación de la variación en la gobernanza de la inspección profunda de paquetes, documento presentado en la Convención Anual de Estudios Internacionales, Nueva York, 15-18 de febrero de 2009" (PDF) . Asociación de Estudios Internacionales . Consultado el 8 de enero de 2010 .
6. Ido Dubrawsky (29 de julio de 2003). "Evolución del cortafuegos: inspección profunda de paquetes". SecurityFocus.com . Consultado el 2 de marzo de 2008 .
7. Khachatryan, Artavazd (1 de febrero de 2020). "DPI de red de 100 Gbps, extracción de contenido en FPGA de Xilinx". Medium . Consultado el 23 de octubre de 2020 .
8. Moscola, James, et al. "Implementación de un módulo de escaneo de contenido para un cortafuegos de Internet". Field-Programmable Custom Computing Machines, 2003. FCCM 2003. 11.º Simposio anual del IEEE sobre. IEEE, 2003.
9. Elan Amir (29 de octubre de 2007). "El caso de la inspección profunda de paquetes". itbusinessedge.com . Archivado desde el original el 4 de febrero de 2008. Consultado el 2 de marzo de 2008 .
10. Noferesti, Morteza; Jalili, Rasool (15 de enero de 2020). "ACoPE: un enfoque de aprendizaje semisupervisado adaptativo para la aplicación de políticas complejas en redes de gran ancho de banda". Redes de computadoras . 166 : 106943. doi :10.1016/j.comnet.2019.106943. ISSN  1389-1286. S2CID  208094726.
11. "cortafuegos". TechTarget .com .
12. Tahboub, Radwan; Saleh, Yousef (enero de 2014). "Sistemas de prevención de pérdida/fuga de datos (DLP)". Congreso Mundial de Aplicaciones Informáticas y Sistemas de Información (WCCAIS) de 2014 : 1–6. doi :10.1109/WCCAIS.2014.6916624. S2CID  1022898.
13. Nate Anderson (25 de julio de 2007). "La inspección profunda de paquetes se encuentra con la 'neutralidad de la red, CALEA'". Ars Technica . Consultado el 6 de febrero de 2006 .
14. Jeff Chester (1 de febrero de 2006). "¿El fin de Internet?". The Nation . Consultado el 6 de febrero de 2006 .
15. Peter Whoriskey (4 de abril de 2008). "Every Click You Make: Internet Providers Quietly Test Expanded Tracking of Web Use to Target Advertising" (Cada clic que haces: los proveedores de Internet prueban silenciosamente un seguimiento ampliado del uso de la Web para orientar la publicidad). The Washington Post . Consultado el 8 de abril de 2008 .
16. "Charter Communications: Enhanced Online Experience" (Comunicaciones de la Carta: una experiencia en línea mejorada) . Consultado el 14 de mayo de 2008 .
17. "Inspección profunda de paquetes: cómo domar a la bestia del tráfico P2P". Light Reading . Archivado desde el original el 2008-03-02 . Consultado el 2008-03-03 .
18. Matt Hamblen (17 de septiembre de 2007). "Ball State utiliza la inspección profunda de paquetes para garantizar el rendimiento de las videoconferencias". computerworld.com . Consultado el 3 de marzo de 2008 .
19. "Allot implementa una solución DPI en dos operadores móviles de primer nivel para ofrecer paquetes de servicios de valor añadido y por niveles". news.moneycentral. MSN .com . 2008-02-05 . Consultado el 2008-03-03 .^{[ enlace muerto permanente ]}
20. Jeremy Kirk (13 de febrero de 2008). «El proveedor de servicios de Internet danés se prepara para luchar contra la orden judicial de Pirate Bay». InfoWorld .com . Archivado desde el original el 14 de febrero de 2008. Consultado el 12 de marzo de 2008 .
21. Matthew Clark (5 de julio de 2005). "Eircom y BT no se opondrán a las empresas musicales". enn.ie. Archivado desde el original el 14 de agosto de 2007. Consultado el 12 de marzo de 2008 .
22. Eric Bangeman (11 de marzo de 2008). "El "año de los filtros" se convierte en un año de demandas contra los ISP". Ars Technica . Consultado el 12 de marzo de 2008 .
23. Anne Broach (19 de julio de 2007). "MPAA: La neutralidad de la red podría perjudicar a la tecnología antipiratería". CNET News . Archivado desde el original el 29 de enero de 2013. Consultado el 12 de marzo de 2008 .
24. Carolyn Duffy Marsan (27 de junio de 2007). "El proveedor OEM Bivio apunta al mercado gubernamental". NetworkWorld.com . Archivado desde el original el 23 de abril de 2014. Consultado el 13 de marzo de 2008 .
25. Ben Elgin; Bruce Einhorn (12 de enero de 2006). "El gran cortafuegos de China". Business Week . Archivado desde el original el 28 de febrero de 2008. Consultado el 13 de marzo de 2008 .
26. "El filtrado de Internet en China en 2004-2005: un estudio de país". Iniciativa OpenNet . Archivado desde el original el 28 de septiembre de 2007. Consultado el 13 de marzo de 2008 .
27. Guy Kewney, China bloquea Skype y VoIP, The Register, 2005
28. "China bloquea YouTube y restaura Flickr y Blogspot". PC World . 18 de octubre de 2007. Archivado desde el original el 13 de marzo de 2008. Consultado el 3 de marzo de 2008 .
29. "Egipto ha bloqueado la aplicación de mensajería cifrada Signal". 18 de julio de 2019.
30. "تعاني من مشكلة توقُّف خدمات الاتصال عبر الإنترنت في مصر…هذه هي أسباب الأزمة". HuffPost árabe . Archivado desde el original el 23 de abril de 2017 . Consultado el 22 de abril de 2017 .
31. "Reliance Jio está utilizando la inspección SNI para bloquear sitios web — Centro para Internet y Sociedad". cis-india.org . Consultado el 13 de noviembre de 2022 .
32. Singh, Kushagra; Grover, Gurshabad; Bansal, Varun (2020). "Cómo India censura la Web". 12.ª Conferencia ACM sobre Ciencia Web . págs. 21–28. arXiv : 1912.08590 . doi :10.1145/3394231.3397891. ISBN . 9781450379892. S2CID  209405297 . Consultado el 13 de noviembre de 2022 .
33. Thompson, Nik; McGill, Tanya; Khristianto, Daniel Vero (1 de enero de 2021). "Aceptación pública de la censura en Internet en Indonesia". Actas de ACIS 2021. Consultado el 21 de agosto de 2022 .
34. Tremblay, Jessika (2018). "Internet Kampung: Internet comunitaria en la Indonesia posterior a Suharto". Indonesia . 105 : 97–125. doi :10.1353/ind.2018.0004. hdl : 1813/60028 . S2CID  158357806 – vía Project MUSE Johns Hopkins University.
35. Wildana, Faiq (30 de octubre de 2021). "Un estudio exploratorio sobre el bloqueo de las redes sociales en Indonesia". Revista de Sociedad y Medios . 5 (2): 456–484. doi : 10.26740/jsm.v5n2.p456-484 . ISSN  2580-1341. S2CID  248056103.
36. Paterson, Thomas (4 de mayo de 2019). «Expansión del ciberespacio en Indonesia: un arma de doble filo». Journal of Cyber ​​Policy . 4 (2): 216–234. doi : 10.1080/23738871.2019.1627476 . ISSN  2373-8871. S2CID  197825581.
37. Christensen, cristiano (1 de julio de 2009). "Irán: disidencia en red". El mundo diplomático 1 .
38. "Perusa :: Quiénes somos". perusa-partners.de . Archivado desde el original el 24 de septiembre de 2015.
39. "El espionaje web de Irán con la ayuda de la tecnología occidental", por Christopher Rhoads en Nueva York y Loretta Chao en Pekín, The Wall Street Journal , 22 de junio de 2009. Consultado el 22/6/09.
40. "Preguntas sobre el artículo del WSJ sobre la gestión de la red en Irán", por David S. Isenberg, isen.blog, 23 de junio de 2009. Consultado el 22/6/09.
41. "Provisión de capacidad de interceptación legal en Irán" Archivado el 25 de junio de 2009 en Wayback Machine . Comunicado de prensa de la empresa. 22 de junio de 2009. Consultado el 22/6/09.
42. "Web Pries Lid of Iranian Censorship" por Brian Stelter y Brad Stone, The New York Times , 22 de junio de 2009. Consultado el 23 de junio de 2009.
43. 14 de febrero de 2012 "Rompiendo y doblando la censura con Walid Al-Saqaf" Archivado el 2 de mayo de 2013 en Wayback Machine . Entrevista con Arseh Sevom Archivado el 12 de junio de 2017 en Wayback Machine . Última visita el 23 de febrero de 2012.
44. Goh Kheng Teong (20 de mayo de 2013). "DAP se queja ante MCMC por el bloqueo de sus sitios web, videos, Facebook y redes sociales" . Consultado el 21 de mayo de 2013 .
45. "En Malasia, las batallas electorales en línea toman un giro desagradable". Reuters. 4 de mayo de 2013. Archivado desde el original el 7 de mayo de 2013. Consultado el 22 de mayo de 2013 .
46. "Los espacios digitales y la privacidad de Pakistán: análisis de la DPI y sus implicaciones | Economía política | thenews.com.pk". www.thenews.com.pk . Consultado el 21 de noviembre de 2023 .
47. Desk, Monitoring (2019-10-25). "El gobierno trabaja con una empresa controvertida para monitorear el tráfico de Internet: informe". DAWN.COM . Consultado el 21 de noviembre de 2023 . {{cite web}}: |last=tiene nombre genérico ( ayuda )
48. "Roskomnadzor implementará nueva tecnología de bloqueo (en ruso)". BBC News Русская Служба . 18 de diciembre de 2018.
49. "Constitución de la Federación Rusa (traducción al español)". Archivado desde el original el 4 de mayo de 2013.
50. "La inspección profunda de paquetes muestra su fea cara" . Consultado el 28 de abril de 2015 .
51. JI Nelson (26 de septiembre de 2006). "Cómo funciona el sistema de escuchas telefónicas sin orden judicial de la NSA" . Consultado el 3 de marzo de 2008 .
52. Bellovin, Steven M. ; Matt Blaze; Whitfield Diffie; Susan Landau; Peter G. Neumann; Jennifer Rexford (enero-febrero de 2008). "Arriesgar la seguridad de las comunicaciones: posibles peligros de la Ley de Protección de los Estados Unidos" (PDF) . IEEE Security and Privacy . 6 (1). IEEE Computer Society: 24–33. doi :10.1109/MSP.2008.17. S2CID  874506. Archivado desde el original (PDF) el 27 de febrero de 2008 . Consultado el 3 de marzo de 2008 .
53. Robert Poe (17 de mayo de 2006). "La herramienta definitiva de monitoreo de red". Wired . Consultado el 3 de marzo de 2008 .
54. Carol D. Leonnig (7 de enero de 2007). "Informe refuta a Bush sobre espionaje: se cuestiona la legalidad de la iniciativa Domestic Action". The Washington Post . Consultado el 3 de marzo de 2008 .
55. Cheryl Gerber (18 de septiembre de 2008). "Seguridad profunda: DISA refuerza la seguridad con la inspección profunda de paquetes de transmisiones IP". Archivado desde el original el 26 de julio de 2011. Consultado el 30 de octubre de 2008 .
56. "Ra mắt Nền tảng cung cấp dịch vụ Trung tâm điều hành an toàn, an ninh mạng đáp ứng yêu cầu kết nối, chia sẻ tông tin".
57. Genny Pershing. «Network Neutrality: Historic Neutrality». Cybertelecom . Archivado desde el original el 2008-05-11 . Consultado el 2008-06-26 .
58. Genny Pershing. «Network Neutrality: Insufficient Harm». Cybertelecom . Archivado desde el original el 2008-05-11 . Consultado el 2008-06-26 .
59. Fuchs, Christian. "Implicaciones de la inspección profunda de paquetes (DPI) en la vigilancia de Internet para la sociedad" (PDF) . Archivado desde el original (PDF) el 2013-08-29 . Consultado el 2022-07-23 .
60. Sherry Justine, Chang Lan, Raluca Ada Popa y Sylvia Ratnasamy, Blindbox: Inspección profunda de paquetes sobre tráfico cifrado, ACM SIGCOMM Computer Communication Review, 2015
61. "Mejores prácticas: inspección HTTPS". Centro de soporte de Check Point . 21 de julio de 2017. Con la inspección HTTPS, Security Gateway puede inspeccionar el tráfico cifrado mediante HTTPS. Security Gateway utiliza certificados y se convierte en un intermediario entre el equipo cliente y el sitio web seguro. Todos los datos se mantienen privados en los registros de inspección HTTPS. Solo los administradores con permisos de inspección HTTPS pueden ver todos los campos de un registro.
62. "Especificaciones de SecureSphere WAF". Archivado desde el original el 16 de noviembre de 2016.
63. "La intercepción de HTTPS debilita la seguridad de TLS". Agencia de Seguridad de Infraestructura y Ciberseguridad .
64. García Peláez, Pedro. "WO2005060202 - MÉTODO Y SISTEMA DE ANÁLISIS Y FILTRADO DE TRÁFICO HTTPS EN REDES CORPORATIVAS (11-12-2003)". Organización Mundial de la Propiedad Intelectual (OMPI) .
65. "OpenDPI.org". Archivado desde el original el 7 de diciembre de 2015.
66. ntop (2 de febrero de 2012). «nDPI - Biblioteca de inspección profunda de paquetes LGPLv3 abierta y extensible». ntop .org . Consultado el 23 de marzo de 2015 .
67. Fichtner, Franco (6 de agosto de 2012). "Adiós OpenDPI". lastsummer.de . Consultado el 23 de marzo de 2015 .
68. "El motor de inspección profunda de paquetes pasa a ser de código abierto". Ars Technica . 9 de septiembre de 2009.
69. "Clasificador de paquetes de capa de aplicación para Linux". sourceforge.net .
70. "Una cariñosa despedida a l7-filter".
71. "Repositorio SourceForge.net - [hippie] Índice de". sourceforge.net .
72. "HiPPIE - Descarga gratuita". linux112.com . Archivado desde el original el 7 de abril de 2012. Consultado el 28 de diciembre de 2011 .
73. hjelmvik (23 de abril de 2013). "Identificación del protocolo estadístico SPID". SourceForge .
74. "Tstat - Herramienta de análisis y estadística TCP". tstat.tlc.polito.it .
75. "Grupo de investigación de redes WAND: libprotoident". wand.net.nz . Archivado desde el original el 24 de febrero de 2021 . Consultado el 6 de febrero de 2014 .
76. Se venderá negocio de equipos de espionaje - Amesys venderá negocio que proveía tecnología de vigilancia utilizada por Gadafi , The Wall Street Journal, edición alemana, 9 de marzo de 2012.
77. Tomasz Bujlow; Valentín Carela-Español; Pere Barlet-Ros (2015). "Comparación independiente de herramientas DPI populares para la clasificación del tráfico". Redes informáticas . 76 : 75–89. CiteSeerX 10.1.1.697.8589 . doi :10.1016/j.comnet.2014.11.001. S2CID  7464085 . Consultado el 10 de noviembre de 2014 . 
78. "Visibilidad y control de aplicaciones de Cisco (AVC)". Cisco .

Enlaces externos

• ¿Qué es la "Inspección profunda"? por Marcus J. Ranum . Consultado el 10 de diciembre de 2018.
• Una colección de ensayos de expertos de la industria.
• ¿Qué es la inspección profunda de paquetes y por qué existe tanta controversia?
• Libro blanco "Inspección profunda de paquetes: tecnología, aplicaciones y neutralidad de la red"
• La empresa estadounidense ayudó a la represión cibernética de Egipto: el gobierno egipcio utilizó DPI en la reciente represión de Internet
• La inspección profunda de paquetes deja su impronta en una Internet en evolución
• Inspección profunda de paquetes mediante filtro de cociente