La inspección profunda de paquetes ( DPI ) es un tipo de procesamiento de datos que inspecciona en detalle los datos que se envían a través de una red informática y puede tomar acciones como alertar, bloquear, redirigir o registrarlos en consecuencia. La inspección profunda de paquetes se utiliza a menudo para establecer una base de referencia del comportamiento de las aplicaciones, analizar el uso de la red, solucionar problemas de rendimiento de la red, garantizar que los datos estén en el formato correcto, comprobar si hay códigos maliciosos, escuchas ilegales y censura de Internet , [1] entre otros fines. [2] Hay varios encabezados para los paquetes IP ; El equipo de red solo necesita usar el primero de estos (el encabezado IP ) para el funcionamiento normal, pero el uso del segundo encabezado (como TCP o UDP ) normalmente se considera una inspección superficial de paquetes (generalmente llamada inspección de paquetes con estado ) a pesar de esta definición. . [3]
Hay varias formas de adquirir paquetes para una inspección profunda de paquetes. Usar la duplicación de puertos (a veces llamada Span Port ) es una forma muy común, así como insertar físicamente un grifo de red que duplica y envía el flujo de datos a una herramienta analizadora para su inspección.
La inspección profunda de paquetes (y el filtrado) permite funciones avanzadas de gestión de red , servicio de usuario y seguridad , así como extracción de datos de Internet , escuchas ilegales y censura de Internet . Aunque DPI se ha utilizado para la gestión de Internet durante muchos años, algunos defensores de la neutralidad de la red temen que la técnica pueda usarse de manera anticompetitiva o para reducir la apertura de Internet. [4]
DPI se utiliza en una amplia gama de aplicaciones, en el llamado nivel "empresarial" (corporaciones e instituciones más grandes), en proveedores de servicios de telecomunicaciones y en gobiernos. [5]
La tecnología DPI cuenta con una historia larga y tecnológicamente avanzada, que comenzó en la década de 1990, antes de que la tecnología entrara en lo que hoy se considera implementaciones comunes y convencionales. La tecnología tiene sus raíces hace más de 30 años, cuando muchos de los pioneros contribuyeron con sus inventos para su uso entre los participantes de la industria, por ejemplo a través de estándares comunes e innovaciones tempranas, como las siguientes:
La funcionalidad DPI esencial incluye el análisis de encabezados de paquetes y campos de protocolo. Por ejemplo, Wireshark ofrece una funcionalidad DPI esencial a través de sus numerosos disectores que muestran los nombres y el contenido de los campos y, en algunos casos, ofrecen interpretación de los valores de los campos.
Algunas soluciones de seguridad que ofrecen DPI combinan la funcionalidad de un sistema de detección de intrusiones (IDS) y un sistema de prevención de intrusiones (IPS) con un firewall con estado tradicional . [6] Esta combinación permite detectar ciertos ataques que ni el IDS/IPS ni el firewall con estado pueden detectar por sí solos. Los cortafuegos con estado, si bien pueden ver el principio y el final de un flujo de paquetes, no pueden detectar por sí solos eventos que estarían fuera de los límites de una aplicación en particular. Si bien los IDS pueden detectar intrusiones, tienen muy poca capacidad para bloquear dichos ataques. Los DPI se utilizan para prevenir ataques de virus y gusanos a velocidades de cable. Más específicamente, DPI puede ser eficaz contra ataques de desbordamiento de búfer, ataques de denegación de servicio (DoS), intrusiones sofisticadas y un pequeño porcentaje de gusanos que caben en un solo paquete. [7]
Los dispositivos habilitados para DPI tienen la capacidad de mirar la Capa 2 y más allá de la Capa 3 del modelo OSI . En algunos casos, se puede invocar DPI para examinar las capas 2 a 7 del modelo OSI. Esto incluye encabezados y estructuras de protocolo de datos, así como la carga útil del mensaje. La funcionalidad DPI se invoca cuando un dispositivo mira o realiza otra acción basada en información más allá de la Capa 3 del modelo OSI. DPI puede identificar y clasificar el tráfico basándose en una base de datos de firmas que incluye información extraída de la parte de datos de un paquete, lo que permite un control más preciso que la clasificación basada únicamente en la información del encabezado. Los puntos finales pueden utilizar técnicas de cifrado y ofuscación para evadir acciones de DPI en muchos casos.
Un paquete clasificado puede ser redirigido, marcado/etiquetado (ver calidad de servicio ), bloqueado, con velocidad limitada y, por supuesto, reportado a un agente de informes en la red. De esta manera, se pueden identificar errores HTTP de diferentes clasificaciones y enviarlos para su análisis. Muchos dispositivos DPI pueden identificar flujos de paquetes (en lugar de realizar análisis paquete por paquete), lo que permite controlar acciones basadas en la información de flujo acumulada. [8]
Inicialmente, la seguridad a nivel empresarial era sólo una disciplina perimetral, con una filosofía dominante de mantener alejados a los usuarios no autorizados y proteger a los usuarios autorizados del mundo exterior. La herramienta más utilizada para lograr esto ha sido un firewall con estado. Puede permitir un control detallado del acceso desde el mundo exterior a destinos predefinidos en la red interna, así como permitir el acceso a otros hosts sólo si se ha realizado previamente una solicitud al mundo exterior. [9]
Sin embargo, existen vulnerabilidades en las capas de red que no son visibles para un firewall con estado. Además, un aumento en el uso de computadoras portátiles en las empresas hace que sea más difícil evitar que amenazas como virus , gusanos y software espía penetren en la red corporativa, ya que muchos usuarios conectarán la computadora portátil a redes menos seguras, como conexiones de banda ancha domésticas o Redes inalámbricas en lugares públicos. Los cortafuegos tampoco distinguen entre usos permitidos y prohibidos de aplicaciones a las que se accede legítimamente. DPI permite a los administradores de TI y a los funcionarios de seguridad establecer políticas y aplicarlas en todas las capas, incluida la capa de aplicación y de usuario, para ayudar a combatir esas amenazas. [10] [11]
La inspección profunda de paquetes puede detectar algunos tipos de ataques de desbordamiento de búfer .
La empresa puede utilizar DPI para la prevención de fugas de datos (DLP). Cuando un usuario de correo electrónico intenta enviar un archivo protegido, es posible que se le brinde información sobre cómo obtener la autorización adecuada para enviar el archivo. [12] [ se necesita ejemplo ] [ se necesita aclaración ]
Además de utilizar DPI para proteger sus redes internas, los proveedores de servicios de Internet también lo aplican en las redes públicas proporcionadas a los clientes. Los usos comunes de DPI por parte de los ISP son la interceptación legal , la definición y aplicación de políticas , la publicidad dirigida , la calidad del servicio , la oferta de servicios escalonados y la aplicación de derechos de autor .
Casi todos los gobiernos del mundo exigen a los proveedores de servicios que permitan capacidades de interceptación legales . Hace décadas, en un entorno telefónico tradicional, esto se solucionaba creando un punto de acceso al tráfico (TAP) utilizando un servidor proxy interceptor que se conecta al equipo de vigilancia del gobierno. El componente de adquisición de esta funcionalidad se puede proporcionar de muchas maneras, incluido DPI. Los productos habilitados para DPI que son "compatibles con LI o CALEA " se pueden usar (cuando así lo indique una orden judicial) para acceder al flujo de datos de un usuario. [13]
Los proveedores de servicios obligados por el acuerdo de nivel de servicio con sus clientes a proporcionar un cierto nivel de servicio y al mismo tiempo, hacer cumplir una política de uso aceptable , pueden hacer uso de DPI para implementar ciertas políticas que cubren infracciones de derechos de autor, materiales ilegales y publicidad desleal. uso del ancho de banda . En algunos países, los ISP deben realizar filtrado, según las leyes del país. DPI permite a los proveedores de servicios "conocer fácilmente los paquetes de información que recibe en línea, desde correo electrónico hasta sitios web e intercambio de música, vídeos y descargas de software". [14] Se pueden definir políticas que permitan o no la conexión hacia o desde una dirección IP, ciertos protocolos o incluso heurísticas que identifiquen una determinada aplicación o comportamiento.
Debido a que los ISP dirigen el tráfico de todos sus clientes, pueden monitorear los hábitos de navegación web de una manera muy detallada, lo que les permite obtener información sobre los intereses de sus clientes, que puede ser utilizada por empresas especializadas en publicidad dirigida. Al menos 100.000 clientes estadounidenses son rastreados de esta manera, y hasta el 10% de los clientes estadounidenses han sido rastreados de esta manera. [15] Los proveedores de tecnología incluyen NebuAd , Front Porch y Phorm . Los ISP estadounidenses que monitorean a sus clientes incluyen Knology [16] y Wide Open West . Además, el ISP del Reino Unido, British Telecom, ha admitido probar soluciones de Phorm sin el conocimiento o consentimiento de sus clientes. [15]
El DPI se puede utilizar contra la neutralidad de la red .
Aplicaciones como el tráfico peer-to-peer (P2P) presentan problemas cada vez mayores para los proveedores de servicios de banda ancha. Normalmente, el tráfico P2P lo utilizan aplicaciones que comparten archivos. Pueden ser cualquier tipo de archivos (es decir, documentos, música, vídeos o aplicaciones). Debido al tamaño frecuentemente grande de los archivos multimedia que se transfieren, P2P genera cargas de tráfico cada vez mayores, lo que requiere capacidad de red adicional. Los proveedores de servicios dicen que una minoría de usuarios genera grandes cantidades de tráfico P2P y degrada el rendimiento de la mayoría de los suscriptores de banda ancha que utilizan aplicaciones como el correo electrónico o la navegación web que utilizan menos ancho de banda. [17] El rendimiento deficiente de la red aumenta la insatisfacción de los clientes y conduce a una disminución de los ingresos por servicios.
DPI permite a los operadores sobrevender su ancho de banda disponible y al mismo tiempo garantiza una distribución equitativa del ancho de banda para todos los usuarios al evitar la congestión de la red. Además, se puede asignar una mayor prioridad a una llamada de VoIP o videoconferencia que requiere baja latencia frente a la navegación web que no la requiere. [18] Este es el enfoque que utilizan los proveedores de servicios para asignar dinámicamente ancho de banda de acuerdo con el tráfico que pasa por sus redes.
Los proveedores de servicios móviles y de banda ancha utilizan DPI como medio para implementar planes de servicios escalonados, para diferenciar los servicios de " jardín vallado " de los servicios de datos de "valor agregado", "todo lo que pueda comer" y "talla única". . [19] Al poder cobrar por un "jardín amurallado", por aplicación, por servicio o "todo lo que pueda comer" en lugar de un paquete de "talla única", el operador puede adaptar su ofertas al suscriptor individual y aumentar su ingreso promedio por usuario (ARPU). Se crea una política por usuario o grupo de usuarios y el sistema DPI, a su vez, aplica esa política, permitiendo al usuario acceder a diferentes servicios y aplicaciones.
En ocasiones, los propietarios de derechos de autor solicitan a los ISP o los tribunales o las políticas oficiales los exigen para ayudar a hacer cumplir los derechos de autor. En 2006, uno de los ISP más grandes de Dinamarca, Tele2 , recibió una orden judicial y se le dijo que debía bloquear el acceso de sus clientes a The Pirate Bay , un punto de lanzamiento de BitTorrent . [20]
En lugar de procesar a quienes comparten archivos uno por uno, [21] la Federación Internacional de la Industria Fonográfica (IFPI) y los cuatro grandes sellos discográficos EMI , Sony BMG , Universal Music y Warner Music han demandado a ISP como Eircom por no hacer lo suficiente. sobre la protección de sus derechos de autor. [22] La IFPI quiere que los ISP filtren el tráfico para eliminar de su red material protegido por derechos de autor cargado y descargado ilícitamente, a pesar de que la directiva europea 2000/31/EC establece claramente que los ISP no pueden tener la obligación general de monitorear la información que transmiten, y Directiva 2002/58/CE que concede a los ciudadanos europeos el derecho a la privacidad de las comunicaciones.
La Motion Picture Association of America (MPAA), que vela por el cumplimiento de los derechos de autor de las películas, ha adoptado la postura ante la Comisión Federal de Comunicaciones (FCC) de que la neutralidad de la red podría perjudicar las técnicas antipiratería como la inspección profunda de paquetes y otras formas de filtrado. [23]
DPI permite a los ISP recopilar información estadística sobre patrones de uso por grupo de usuarios. Por ejemplo, podría ser interesante si los usuarios con una conexión de 2 Mbit utilizan la red de manera diferente a los usuarios con una conexión de 5 Mbit. El acceso a datos de tendencias también ayuda a la planificación de la red. [ se necesita aclaración ]
Además de utilizar DPI para la seguridad de sus propias redes, los gobiernos de América del Norte, Europa y Asia utilizan DPI para diversos fines, como vigilancia y censura . Muchos de estos programas están clasificados. [24]
El gobierno chino utiliza una inspección profunda de paquetes para monitorear y censurar el tráfico de la red y el contenido que, según afirma, es perjudicial para los ciudadanos chinos o los intereses estatales. Este material incluye pornografía, información sobre religión y disidencia política. [25] Los ISP de redes chinos utilizan DPI para ver si hay alguna palabra clave confidencial en su red. Si es así, se cortará la conexión. Las personas dentro de China a menudo se encuentran bloqueadas al acceder a sitios web que contienen contenido relacionado con la independencia de Taiwán y Tibetano , Falun Gong , el Dalai Lama , las protestas y masacre de la Plaza de Tiananmen de 1989 , partidos políticos que se oponen al del gobernante Partido Comunista, o una variedad de de movimientos anticomunistas [26] ya que esos materiales ya estaban firmados como palabras clave sensibles del DPI. Anteriormente, China bloqueaba todo el tráfico VoIP dentro y fuera de su país [27], pero muchas aplicaciones VoIP disponibles ahora funcionan en China. El tráfico de voz en Skype no se ve afectado, aunque los mensajes de texto están sujetos a filtrado y los mensajes que contienen material sensible, como malas palabras, simplemente no se entregan y no se notifica a ninguno de los participantes en la conversación. China también bloquea sitios de medios visuales como YouTube.com y varios sitios de fotografía y blogs. [28]
Según se informa, desde 2015, Egipto comenzó a unirse a la lista, que los funcionarios de la Autoridad Nacional Reguladora de Telecomunicaciones de Egipto (NTRA) negaban constantemente. Sin embargo, saltó a la fama cuando el país decidió bloquear la aplicación de mensajería cifrada Signal , tal y como anunció el desarrollador de la aplicación. [29]
En abril de 2017, todas las aplicaciones de VoIP , incluidas FaceTime , Facebook Messenger , Viber , llamadas de WhatsApp y Skype, fueron bloqueadas en el país. [30]
A partir de 2022, FaceTime y Facebook Messenger estarán desbloqueados.
Se sabe que el ISP indio Jio , que también es el operador de red más grande de la India, emplea sofisticadas técnicas DPI como el filtrado basado en SNI para imponer la censura. [31] [32]
El gobierno de Indonesia, a través de Telkom Indonesia, [33] con el apoyo de la tecnología Cisco Meraki DPI, realiza vigilancia en todo el país mediante una inspección profunda de paquetes, [34] y lo asigna al SSN/NIK (Nomor Induk Kependudukan) de sus ciudadanos que se registraron. al ISP estatal. El propósito de una inspección profunda de paquetes incluye filtrar pornografía, incitación al odio y reducir la tensión en Papúa Occidental. [35] El gobierno de Indonesia planeó ampliar la vigilancia al siguiente nivel hasta 2030. [36]
El gobierno iraní compró un sistema, supuestamente para inspección profunda de paquetes, en 2008 a Nokia Siemens Networks (NSN) (una empresa conjunta de Siemens AG, el conglomerado alemán, y Nokia Corp., la compañía finlandesa de telefonía celular), ahora NSN es Nokia Solutions. y Networks, según un informe del Wall Street Journal de junio de 2009, citando al portavoz de NSN, Ben Roome. [37] Según expertos anónimos citados en el artículo, el sistema "permite a las autoridades no sólo bloquear la comunicación sino también monitorearla para recopilar información sobre individuos, así como alterarla con fines de desinformación".
El sistema fue comprado por Telecommunication Infrastructure Co., parte del monopolio de telecomunicaciones del gobierno iraní. Según el Journal , NSN "proporcionó equipos a Irán el año pasado bajo el concepto internacionalmente reconocido de 'intercepción legal', dijo el Sr. Roome. [ cita necesaria ] Eso se relaciona con la interceptación de datos con el fin de combatir el terrorismo, la pornografía infantil y el tráfico de drogas. y otras actividades delictivas llevadas a cabo en línea, una capacidad que tienen la mayoría, si no todas, las compañías de telecomunicaciones, dijo... El centro de monitoreo que Nokia Siemens Networks vendió a Irán fue descrito en un folleto de la compañía como que permitía 'el monitoreo e interceptación de todo tipo de comunicaciones de voz y datos en todas las redes.' La empresa conjunta abandonó el negocio que incluía el equipo de monitoreo, lo que llamó "solución de inteligencia", a fines de marzo, vendiéndolo a Perusa [38] Partners Fund 1 LP, una firma de inversión con sede en Munich , dijo Roome. Dijo que la empresa determinó que ya no era parte de su negocio principal [ cita necesaria ] .
El sistema NSN siguió a las compras realizadas por Irán a Secure Computing Corp. a principios de la década. [39]
Se han planteado dudas sobre la confiabilidad del informe del Journal por parte de David Isenberg, un analista independiente con sede en Washington, DC y académico adjunto del Cato Institute , diciendo específicamente que el Sr. Roome niega las citas que se le atribuyen y que él, Isenberg, también Tuve quejas similares con uno de los mismos reporteros del Journal en una historia anterior. [40] NSN ha emitido el siguiente desmentido: NSN "no ha proporcionado ninguna inspección profunda de paquetes, censura web o capacidad de filtrado de Internet a Irán". [41] Un artículo simultáneo en The New York Times afirmó que la venta de NSN había sido cubierta en una "serie de noticias en abril [2009], incluido The Washington Times ", y revisó la censura de Internet y otros medios en el país. pero no mencionó DPI. [42]
Según Walid Al-Saqaf, el desarrollador del sistema para eludir la censura de Internet Alkasir , Irán estaba utilizando una inspección profunda de paquetes en febrero de 2012, lo que casi paralizó las velocidades de Internet en todo el país. Esto eliminó brevemente el acceso a herramientas como Tor y Alkasir. [43]
Se dijo que el actual gobierno de Malasia, encabezado por Barisan Nasional, estaba utilizando el DPI contra un oponente político durante el período previo a las 13.ª elecciones generales celebradas el 5 de mayo de 2013.
El objetivo del DPI, en este caso, era bloquear y/o dificultar el acceso a sitios web seleccionados, por ejemplo, cuentas de Facebook, blogs y portales de noticias. [44] [45]
La Autoridad de Telecomunicaciones de Pakistán (PTA) afirma que el sistema DPI se ha instalado para implementar la Ley de Prevención de Delitos Electrónicos (PECA) de 2016, en particular para filtrar y bloquear contenido blasfemo y cualquier material que se considere contrario a la integridad o seguridad de Pakistán. . [46] Se contrató a la empresa canadiense Sandvine para que proporcionara e instalara el equipo en Pakistán. [47]
El DPI aún no es obligatorio en Rusia. La Ley Federal No.139 exige el bloqueo de sitios web en la lista negra de Internet rusa mediante filtrado de IP, pero no obliga a los ISP a analizar la parte de datos de los paquetes. Sin embargo, algunos ISP todavía utilizan diferentes soluciones DPI para implementar listas negras. Para 2019, la agencia gubernamental Roskomnadzor está planeando una implementación a nivel nacional del DPI después del proyecto piloto en una de las regiones del país, con un costo estimado de 20 mil millones de rublos (300 millones de dólares). [48]
Algunos activistas de derechos humanos [ ¿quién? ] consideran que la inspección profunda de paquetes es contraria al artículo 23 de la Constitución de la Federación de Rusia , aunque nunca se ha llevado a cabo un proceso legal para probar o refutar esto. [ cita necesaria ] [49]
Según se informa, la ciudad-estado emplea una inspección profunda de paquetes del tráfico de Internet. [50]
Según se informa, el Estado emplea una inspección profunda de paquetes del tráfico de Internet para analizar y bloquear el tránsito prohibido.
La FCC adopta los requisitos de Internet CALEA : La FCC, de conformidad con su mandato del Congreso de los EE. UU., y en línea con las políticas de la mayoría de los países del mundo, ha exigido que todos los proveedores de telecomunicaciones, incluidos los servicios de Internet, sean capaces de respaldar la ejecución de una orden judicial. para proporcionar análisis forense de comunicación en tiempo real de usuarios específicos. En 2006, la FCC adoptó nuevas reglas del Título 47, Subparte Z, que exigen que los proveedores de acceso a Internet cumplan con estos requisitos. DPI fue una de las plataformas esenciales para cumplir con este requisito y se ha implementado con este propósito en todo Estados Unidos.
La Agencia de Seguridad Nacional (NSA), con la cooperación de AT&T Inc. , ha utilizado la inspección profunda de paquetes para hacer que la vigilancia, clasificación y reenvío del tráfico de Internet sean más inteligentes. El DPI se utiliza para encontrar qué paquetes transportan correo electrónico o una llamada telefónica de Voz sobre Protocolo de Internet (VoIP). [51] El tráfico asociado con la red troncal común de AT&T se "dividió" entre dos fibras, dividiendo la señal de modo que el 50 por ciento de la intensidad de la señal iba a cada fibra de salida. Una de las fibras de salida fue desviada a una habitación segura; el otro transmitía comunicaciones al equipo de conmutación de AT&T. La sala segura contenía analizadores de tráfico y servidores lógicos de Narus ; Narus afirma que dichos dispositivos son capaces de recopilar datos en tiempo real (grabar datos para su consideración) y capturarlos a 10 gigabits por segundo. Cierto tráfico fue seleccionado y enviado a través de una línea dedicada a una "ubicación central" para su análisis. Según una declaración jurada del perito J. Scott Marcus, ex asesor principal de tecnología de Internet de la Comisión Federal de Comunicaciones de EE. UU., el tráfico desviado "representaba todo, o sustancialmente todo, el tráfico de intercambio de tráfico de AT&T en el área de la Bahía de San Francisco", y por lo tanto, "los diseñadores de la... configuración no intentaron, en términos de ubicación o posición de la división de fibra, excluir fuentes de datos compuestas principalmente de datos nacionales". [52] El software Semantic Traffic Analyzer de Narus, que se ejecuta en servidores IBM o Dell Linux usando DPI, clasifica el tráfico IP a 10 Gbit/s para seleccionar mensajes específicos basándose en una dirección de correo electrónico específica, una dirección IP o, en el caso de VoIP, número de teléfono. [53] El presidente George W. Bush y el fiscal general Alberto R. Gonzales han afirmado que creen que el presidente tiene la autoridad para ordenar interceptaciones secretas de intercambios telefónicos y de correo electrónico entre personas dentro de los Estados Unidos y sus contactos en el extranjero sin obtener una FISA. orden. [54]
La Agencia de Sistemas de Información de Defensa ha desarrollado una plataforma de sensores que utiliza la inspección profunda de paquetes. [55]
Vietnam lanzó su centro de seguridad de red y exigió a los ISP que actualizaran sus sistemas de hardware para utilizar una inspección profunda de paquetes para bloquear el tráfico de Internet. [56]
Las personas y organizaciones preocupadas por la privacidad o la neutralidad de la red consideran ofensiva la inspección de las capas de contenido del protocolo de Internet, [13] diciendo, por ejemplo, "¡la Red se construyó sobre la base del acceso abierto y la no discriminación de paquetes!". [57] Mientras tanto, los críticos de las reglas de neutralidad de la red las llaman "una solución en busca de un problema" y dicen que las reglas de neutralidad de la red reducirían los incentivos para actualizar las redes y lanzar servicios de red de próxima generación . [58]
Muchos consideran que la inspección profunda de paquetes socava la infraestructura de Internet. [59]
Con un mayor uso de HTTPS y túneles de privacidad mediante VPN, la efectividad del DPI está siendo cuestionada. [60] En respuesta, muchos firewalls de aplicaciones web ahora ofrecen inspección HTTPS , donde descifran el tráfico HTTPS para analizarlo. [61] El WAF puede terminar el cifrado, de modo que la conexión entre el WAF y el navegador del cliente utilice HTTP simple, o volver a cifrar los datos utilizando su propio certificado HTTPS, que debe distribuirse a los clientes de antemano. [62] Las técnicas utilizadas en la inspección HTTPS/SSL (también conocida como interceptación HTTPS/SSL) son las mismas que utilizan los ataques man-in-the-middle (MiTM) . [ cita necesaria ]
Funciona así: [63]
Esto se puede hacer con cualquier conexión terminada en TLS (no solo HTTPS) siempre que el producto de firewall pueda modificar el TrustStore del cliente SSL.
nDPI (una bifurcación de OpenDPI [64] que es EoL por los desarrolladores de ntop ) [65] [66] es la versión de código abierto para protocolos no ofuscados . PACE, otro motor de este tipo, incluye protocolos ofuscados y cifrados, que son los tipos asociados con Skype o BitTorrent cifrado . [67] Como OpenDPI ya no se mantiene, se ha creado una bifurcación de OpenDPI llamada nDPI [65] , que se mantiene activamente y se amplía con nuevos protocolos, incluidos Skype , Webex , Citrix y muchos otros.
L7-Filter es un clasificador para Netfilter de Linux que identifica paquetes basándose en datos de la capa de aplicación. [68] Puede clasificar paquetes como Kazaa , HTTP , Jabber , Citrix , Bittorrent , FTP , Gnucleus , eDonkey2000 y otros. Clasifica aplicaciones de streaming, correo, P2P, VoIP , protocolos y juegos. El software ha sido retirado y reemplazado por Netify DPI Engine de código abierto. [69]
Hippie (motor de identificación de protocolo de alto rendimiento) es un proyecto de código abierto que se desarrolló como módulo del kernel de Linux. [70] Fue desarrollado por Josh Ballard. Admite tanto DPI como funcionalidad de firewall. [71]
El proyecto SPID (Statistical Protocol IDentification) se basa en el análisis estadístico de los flujos de red para identificar el tráfico de aplicaciones. [72] El algoritmo SPID puede detectar el protocolo de la capa de aplicación (capa 7) mediante firmas (una secuencia de bytes en un desplazamiento particular en el protocolo de enlace), analizando información de flujo (tamaños de paquetes, etc.) y estadísticas de carga útil (con qué frecuencia el El valor del byte ocurre para medir la entropía) de los archivos pcap. Es solo una aplicación de prueba de concepto y actualmente admite aproximadamente 15 aplicaciones/protocolos como el tráfico de ofuscación de eDonkey , Skype UDP y TCP, BitTorrent , IMAP , IRC , MSN y otros.
Tstat (Herramienta de análisis y estadísticas de TCP) proporciona información sobre los patrones de tráfico y brinda detalles y estadísticas para numerosas aplicaciones y protocolos. [73]
Libprotoident presenta la inspección ligera de paquetes (LPI), que examina solo los primeros cuatro bytes de la carga útil en cada dirección. Esto permite minimizar los problemas de privacidad y, al mismo tiempo, reducir el espacio en disco necesario para almacenar los rastros de paquetes necesarios para la clasificación. Libprotoident admite más de 200 protocolos diferentes y la clasificación se basa en un enfoque combinado que utiliza coincidencia de patrones de carga, tamaño de carga, números de puerto y coincidencia de IP. [74]
Una empresa francesa llamada Amesys , diseñó y vendió un sistema intrusivo y masivo de monitoreo de Internet Eagle a Muammar Gaddafi . [75]
En la Comparación independiente de herramientas DPI populares para clasificación de tráfico se muestra una comparación completa de varios clasificadores de tráfico de red, que dependen de la inspección profunda de paquetes (PACE, OpenDPI, 4 configuraciones diferentes de filtro L7, NDPI, Libprotoident y Cisco NBAR). . [76]
Se está poniendo un mayor énfasis en la inspección profunda de paquetes; esto sale a la luz [ se necesita aclaración ] después del rechazo de los proyectos de ley SOPA y PIPA . Muchos métodos DPI actuales son lentos y costosos, especialmente para aplicaciones de gran ancho de banda. Se están desarrollando métodos más eficientes de DPI. Los enrutadores especializados ahora pueden realizar DPI; Los enrutadores equipados con un diccionario de programas ayudarán a identificar los propósitos detrás del tráfico de LAN y de Internet que están enrutando. Cisco Systems se encuentra ahora en su segunda versión de enrutadores habilitados para DPI, con el anuncio del enrutador CISCO ISR G2. [77]
Con la inspección HTTPS, Security Gateway puede inspeccionar el tráfico cifrado mediante HTTPS. Security Gateway utiliza certificados y se convierte en un intermediario entre la computadora cliente y el sitio web seguro. Todos los datos se mantienen privados en los registros de inspección HTTPS. Solo los administradores con permisos de inspección HTTPS pueden ver todos los campos de un registro.