Inspección profunda de paquetes

Procedimientos que examinan los datos de la red.

La inspección profunda de paquetes ( DPI ) es un tipo de procesamiento de datos que inspecciona en detalle los datos que se envían a través de una red informática y puede tomar acciones como alertar, bloquear, redirigir o registrarlos en consecuencia. La inspección profunda de paquetes se utiliza a menudo para establecer una base de referencia del comportamiento de las aplicaciones, analizar el uso de la red, solucionar problemas de rendimiento de la red, garantizar que los datos estén en el formato correcto, comprobar si hay códigos maliciosos, escuchas ilegales y censura de Internet , ^[1] entre otros fines. ^[2] Hay varios encabezados para los paquetes IP ; El equipo de red solo necesita usar el primero de estos (el encabezado IP ) para el funcionamiento normal, pero el uso del segundo encabezado (como TCP o UDP ) normalmente se considera una inspección superficial de paquetes (generalmente llamada inspección de paquetes con estado ) a pesar de esta definición. . ^[3]

Hay varias formas de adquirir paquetes para una inspección profunda de paquetes. Usar la duplicación de puertos (a veces llamada Span Port ) es una forma muy común, así como insertar físicamente un grifo de red que duplica y envía el flujo de datos a una herramienta analizadora para su inspección.

La inspección profunda de paquetes (y el filtrado) permite funciones avanzadas de gestión de red , servicio de usuario y seguridad , así como extracción de datos de Internet , escuchas ilegales y censura de Internet . Aunque DPI se ha utilizado para la gestión de Internet durante muchos años, algunos defensores de la neutralidad de la red temen que la técnica pueda usarse de manera anticompetitiva o para reducir la apertura de Internet. ^[4]

DPI se utiliza en una amplia gama de aplicaciones, en el llamado nivel "empresarial" (corporaciones e instituciones más grandes), en proveedores de servicios de telecomunicaciones y en gobiernos. ^[5]

Fondo

La tecnología DPI cuenta con una historia larga y tecnológicamente avanzada, que comenzó en la década de 1990, antes de que la tecnología entrara en lo que hoy se considera implementaciones comunes y convencionales. La tecnología tiene sus raíces hace más de 30 años, cuando muchos de los pioneros contribuyeron con sus inventos para su uso entre los participantes de la industria, por ejemplo a través de estándares comunes e innovaciones tempranas, como las siguientes:

• RMÓN
• Oledor
• Wireshark

La funcionalidad DPI esencial incluye el análisis de encabezados de paquetes y campos de protocolo. Por ejemplo, Wireshark ofrece una funcionalidad DPI esencial a través de sus numerosos disectores que muestran los nombres y el contenido de los campos y, en algunos casos, ofrecen interpretación de los valores de los campos.

Algunas soluciones de seguridad que ofrecen DPI combinan la funcionalidad de un sistema de detección de intrusiones (IDS) y un sistema de prevención de intrusiones (IPS) con un firewall con estado tradicional . ^[6] Esta combinación permite detectar ciertos ataques que ni el IDS/IPS ni el firewall con estado pueden detectar por sí solos. Los cortafuegos con estado, si bien pueden ver el principio y el final de un flujo de paquetes, no pueden detectar por sí solos eventos que estarían fuera de los límites de una aplicación en particular. Si bien los IDS pueden detectar intrusiones, tienen muy poca capacidad para bloquear dichos ataques. Los DPI se utilizan para prevenir ataques de virus y gusanos a velocidades de cable. Más específicamente, DPI puede ser eficaz contra ataques de desbordamiento de búfer, ataques de denegación de servicio (DoS), intrusiones sofisticadas y un pequeño porcentaje de gusanos que caben en un solo paquete. ^[7]

Los dispositivos habilitados para DPI tienen la capacidad de mirar la Capa 2 y más allá de la Capa 3 del modelo OSI . En algunos casos, se puede invocar DPI para examinar las capas 2 a 7 del modelo OSI. Esto incluye encabezados y estructuras de protocolo de datos, así como la carga útil del mensaje. La funcionalidad DPI se invoca cuando un dispositivo mira o realiza otra acción basada en información más allá de la Capa 3 del modelo OSI. DPI puede identificar y clasificar el tráfico basándose en una base de datos de firmas que incluye información extraída de la parte de datos de un paquete, lo que permite un control más preciso que la clasificación basada únicamente en la información del encabezado. Los puntos finales pueden utilizar técnicas de cifrado y ofuscación para evadir acciones de DPI en muchos casos.

Un paquete clasificado puede ser redirigido, marcado/etiquetado (ver calidad de servicio ), bloqueado, con velocidad limitada y, por supuesto, reportado a un agente de informes en la red. De esta manera, se pueden identificar errores HTTP de diferentes clasificaciones y enviarlos para su análisis. Muchos dispositivos DPI pueden identificar flujos de paquetes (en lugar de realizar análisis paquete por paquete), lo que permite controlar acciones basadas en la información de flujo acumulada. ^[8]

A nivel empresarial

Inicialmente, la seguridad a nivel empresarial era sólo una disciplina perimetral, con una filosofía dominante de mantener alejados a los usuarios no autorizados y proteger a los usuarios autorizados del mundo exterior. La herramienta más utilizada para lograr esto ha sido un firewall con estado. Puede permitir un control detallado del acceso desde el mundo exterior a destinos predefinidos en la red interna, así como permitir el acceso a otros hosts sólo si se ha realizado previamente una solicitud al mundo exterior. ^[9]

Sin embargo, existen vulnerabilidades en las capas de red que no son visibles para un firewall con estado. Además, un aumento en el uso de computadoras portátiles en las empresas hace que sea más difícil evitar que amenazas como virus , gusanos y software espía penetren en la red corporativa, ya que muchos usuarios conectarán la computadora portátil a redes menos seguras, como conexiones de banda ancha domésticas o Redes inalámbricas en lugares públicos. Los cortafuegos tampoco distinguen entre usos permitidos y prohibidos de aplicaciones a las que se accede legítimamente. DPI permite a los administradores de TI y a los funcionarios de seguridad establecer políticas y aplicarlas en todas las capas, incluida la capa de aplicación y de usuario, para ayudar a combatir esas amenazas. ^{[10] [11]}

La inspección profunda de paquetes puede detectar algunos tipos de ataques de desbordamiento de búfer .

La empresa puede utilizar DPI para la prevención de fugas de datos (DLP). Cuando un usuario de correo electrónico intenta enviar un archivo protegido, es posible que se le brinde información sobre cómo obtener la autorización adecuada para enviar el archivo. ^{[12] [ se necesita ejemplo ] [ se necesita aclaración ]}

En la red/proveedores de servicios de Internet

Además de utilizar DPI para proteger sus redes internas, los proveedores de servicios de Internet también lo aplican en las redes públicas proporcionadas a los clientes. Los usos comunes de DPI por parte de los ISP son la interceptación legal , la definición y aplicación de políticas , la publicidad dirigida , la calidad del servicio , la oferta de servicios escalonados y la aplicación de derechos de autor .

Interceptación legal

Casi todos los gobiernos del mundo exigen a los proveedores de servicios que permitan capacidades de interceptación legales . Hace décadas, en un entorno telefónico tradicional, esto se solucionaba creando un punto de acceso al tráfico (TAP) utilizando un servidor proxy interceptor que se conecta al equipo de vigilancia del gobierno. El componente de adquisición de esta funcionalidad se puede proporcionar de muchas maneras, incluido DPI. Los productos habilitados para DPI que son "compatibles con LI o CALEA " se pueden usar (cuando así lo indique una orden judicial) para acceder al flujo de datos de un usuario. ^[13]

Definición y aplicación de políticas

Los proveedores de servicios obligados por el acuerdo de nivel de servicio con sus clientes a proporcionar un cierto nivel de servicio y al mismo tiempo, hacer cumplir una política de uso aceptable , pueden hacer uso de DPI para implementar ciertas políticas que cubren infracciones de derechos de autor, materiales ilegales y publicidad desleal. uso del ancho de banda . En algunos países, los ISP deben realizar filtrado, según las leyes del país. DPI permite a los proveedores de servicios "conocer fácilmente los paquetes de información que recibe en línea, desde correo electrónico hasta sitios web e intercambio de música, vídeos y descargas de software". ^[14] Se pueden definir políticas que permitan o no la conexión hacia o desde una dirección IP, ciertos protocolos o incluso heurísticas que identifiquen una determinada aplicación o comportamiento.

Publicidad dirigida

Debido a que los ISP dirigen el tráfico de todos sus clientes, pueden monitorear los hábitos de navegación web de una manera muy detallada, lo que les permite obtener información sobre los intereses de sus clientes, que puede ser utilizada por empresas especializadas en publicidad dirigida. Al menos 100.000 clientes estadounidenses son rastreados de esta manera, y hasta el 10% de los clientes estadounidenses han sido rastreados de esta manera. ^[15] Los proveedores de tecnología incluyen NebuAd , Front Porch y Phorm . Los ISP estadounidenses que monitorean a sus clientes incluyen Knology ^[16] y Wide Open West . Además, el ISP del Reino Unido, British Telecom, ha admitido probar soluciones de Phorm sin el conocimiento o consentimiento de sus clientes. ^[15]

Calidad de servicio

El DPI se puede utilizar contra la neutralidad de la red .

Aplicaciones como el tráfico peer-to-peer (P2P) presentan problemas cada vez mayores para los proveedores de servicios de banda ancha. Normalmente, el tráfico P2P lo utilizan aplicaciones que comparten archivos. Pueden ser cualquier tipo de archivos (es decir, documentos, música, vídeos o aplicaciones). Debido al tamaño frecuentemente grande de los archivos multimedia que se transfieren, P2P genera cargas de tráfico cada vez mayores, lo que requiere capacidad de red adicional. Los proveedores de servicios dicen que una minoría de usuarios genera grandes cantidades de tráfico P2P y degrada el rendimiento de la mayoría de los suscriptores de banda ancha que utilizan aplicaciones como el correo electrónico o la navegación web que utilizan menos ancho de banda. ^[17] El rendimiento deficiente de la red aumenta la insatisfacción de los clientes y conduce a una disminución de los ingresos por servicios.

DPI permite a los operadores sobrevender su ancho de banda disponible y al mismo tiempo garantiza una distribución equitativa del ancho de banda para todos los usuarios al evitar la congestión de la red. Además, se puede asignar una mayor prioridad a una llamada de VoIP o videoconferencia que requiere baja latencia frente a la navegación web que no la requiere. ^[18] Este es el enfoque que utilizan los proveedores de servicios para asignar dinámicamente ancho de banda de acuerdo con el tráfico que pasa por sus redes.

Servicios escalonados

Los proveedores de servicios móviles y de banda ancha utilizan DPI como medio para implementar planes de servicios escalonados, para diferenciar los servicios de " jardín vallado " de los servicios de datos de "valor agregado", "todo lo que pueda comer" y "talla única". . ^[19] Al poder cobrar por un "jardín amurallado", por aplicación, por servicio o "todo lo que pueda comer" en lugar de un paquete de "talla única", el operador puede adaptar su ofertas al suscriptor individual y aumentar su ingreso promedio por usuario (ARPU). Se crea una política por usuario o grupo de usuarios y el sistema DPI, a su vez, aplica esa política, permitiendo al usuario acceder a diferentes servicios y aplicaciones.

Aplicación de los derechos de autor

En ocasiones, los propietarios de derechos de autor solicitan a los ISP o los tribunales o las políticas oficiales los exigen para ayudar a hacer cumplir los derechos de autor. En 2006, uno de los ISP más grandes de Dinamarca, Tele2 , recibió una orden judicial y se le dijo que debía bloquear el acceso de sus clientes a The Pirate Bay , un punto de lanzamiento de BitTorrent . ^[20]

En lugar de procesar a quienes comparten archivos uno por uno, ^[21] la Federación Internacional de la Industria Fonográfica (IFPI) y los cuatro grandes sellos discográficos EMI , Sony BMG , Universal Music y Warner Music han demandado a ISP como Eircom por no hacer lo suficiente. sobre la protección de sus derechos de autor. ^[22] La IFPI quiere que los ISP filtren el tráfico para eliminar de su red material protegido por derechos de autor cargado y descargado ilícitamente, a pesar de que la directiva europea 2000/31/EC establece claramente que los ISP no pueden tener la obligación general de monitorear la información que transmiten, y Directiva 2002/58/CE que concede a los ciudadanos europeos el derecho a la privacidad de las comunicaciones.

La Motion Picture Association of America (MPAA), que vela por el cumplimiento de los derechos de autor de las películas, ha adoptado la postura ante la Comisión Federal de Comunicaciones (FCC) de que la neutralidad de la red podría perjudicar las técnicas antipiratería como la inspección profunda de paquetes y otras formas de filtrado. ^[23]

Estadísticas

DPI permite a los ISP recopilar información estadística sobre patrones de uso por grupo de usuarios. Por ejemplo, podría ser interesante si los usuarios con una conexión de 2 Mbit utilizan la red de manera diferente a los usuarios con una conexión de 5 Mbit. El acceso a datos de tendencias también ayuda a la planificación de la red. ^{[ se necesita aclaración ]}

Por gobiernos

Además de utilizar DPI para la seguridad de sus propias redes, los gobiernos de América del Norte, Europa y Asia utilizan DPI para diversos fines, como vigilancia y censura . Muchos de estos programas están clasificados. ^[24]

Porcelana

El gobierno chino utiliza una inspección profunda de paquetes para monitorear y censurar el tráfico de la red y el contenido que, según afirma, es perjudicial para los ciudadanos chinos o los intereses estatales. Este material incluye pornografía, información sobre religión y disidencia política. ^[25] Los ISP de redes chinos utilizan DPI para ver si hay alguna palabra clave confidencial en su red. Si es así, se cortará la conexión. Las personas dentro de China a menudo se encuentran bloqueadas al acceder a sitios web que contienen contenido relacionado con la independencia de Taiwán y Tibetano , Falun Gong , el Dalai Lama , las protestas y masacre de la Plaza de Tiananmen de 1989 , partidos políticos que se oponen al del gobernante Partido Comunista, o una variedad de de movimientos anticomunistas ^[26] ya que esos materiales ya estaban firmados como palabras clave sensibles del DPI. Anteriormente, China bloqueaba todo el tráfico VoIP dentro y fuera de su país ^[27], pero muchas aplicaciones VoIP disponibles ahora funcionan en China. El tráfico de voz en Skype no se ve afectado, aunque los mensajes de texto están sujetos a filtrado y los mensajes que contienen material sensible, como malas palabras, simplemente no se entregan y no se notifica a ninguno de los participantes en la conversación. China también bloquea sitios de medios visuales como YouTube.com y varios sitios de fotografía y blogs. ^[28]

Egipto

Según se informa, desde 2015, Egipto comenzó a unirse a la lista, que los funcionarios de la Autoridad Nacional Reguladora de Telecomunicaciones de Egipto (NTRA) negaban constantemente. Sin embargo, saltó a la fama cuando el país decidió bloquear la aplicación de mensajería cifrada Signal , tal y como anunció el desarrollador de la aplicación. ^[29]

En abril de 2017, todas las aplicaciones de VoIP , incluidas FaceTime , Facebook Messenger , Viber , llamadas de WhatsApp y Skype, fueron bloqueadas en el país. ^[30]

A partir de 2022, FaceTime y Facebook Messenger estarán desbloqueados.

India

Se sabe que el ISP indio Jio , que también es el operador de red más grande de la India, emplea sofisticadas técnicas DPI como el filtrado basado en SNI para imponer la censura. ^{[31] [32]}

Indonesia

El gobierno de Indonesia, a través de Telkom Indonesia, ^[33] con el apoyo de la tecnología Cisco Meraki DPI, realiza vigilancia en todo el país mediante una inspección profunda de paquetes, ^[34] y lo asigna al SSN/NIK (Nomor Induk Kependudukan) de sus ciudadanos que se registraron. al ISP estatal. El propósito de una inspección profunda de paquetes incluye filtrar pornografía, incitación al odio y reducir la tensión en Papúa Occidental. ^[35] El gobierno de Indonesia planeó ampliar la vigilancia al siguiente nivel hasta 2030. ^[36]

Irán

El gobierno iraní compró un sistema, supuestamente para inspección profunda de paquetes, en 2008 a Nokia Siemens Networks (NSN) (una empresa conjunta de Siemens AG, el conglomerado alemán, y Nokia Corp., la compañía finlandesa de telefonía celular), ahora NSN es Nokia Solutions. y Networks, según un informe del Wall Street Journal de junio de 2009, citando al portavoz de NSN, Ben Roome. ^[37] Según expertos anónimos citados en el artículo, el sistema "permite a las autoridades no sólo bloquear la comunicación sino también monitorearla para recopilar información sobre individuos, así como alterarla con fines de desinformación".

El sistema fue comprado por Telecommunication Infrastructure Co., parte del monopolio de telecomunicaciones del gobierno iraní. Según el Journal , NSN "proporcionó equipos a Irán el año pasado bajo el concepto internacionalmente reconocido de 'intercepción legal', dijo el Sr. Roome. ^{[ cita necesaria ]} Eso se relaciona con la interceptación de datos con el fin de combatir el terrorismo, la pornografía infantil y el tráfico de drogas. y otras actividades delictivas llevadas a cabo en línea, una capacidad que tienen la mayoría, si no todas, las compañías de telecomunicaciones, dijo... El centro de monitoreo que Nokia Siemens Networks vendió a Irán fue descrito en un folleto de la compañía como que permitía 'el monitoreo e interceptación de todo tipo de comunicaciones de voz y datos en todas las redes.' La empresa conjunta abandonó el negocio que incluía el equipo de monitoreo, lo que llamó "solución de inteligencia", a fines de marzo, vendiéndolo a Perusa ^[38] Partners Fund 1 LP, una firma de inversión con sede en Munich , dijo Roome. Dijo que la empresa determinó que ya no era parte de su negocio principal ^{[ cita necesaria ] .}

El sistema NSN siguió a las compras realizadas por Irán a Secure Computing Corp. a principios de la década. ^[39]

Se han planteado dudas sobre la confiabilidad del informe del Journal por parte de David Isenberg, un analista independiente con sede en Washington, DC y académico adjunto del Cato Institute , diciendo específicamente que el Sr. Roome niega las citas que se le atribuyen y que él, Isenberg, también Tuve quejas similares con uno de los mismos reporteros del Journal en una historia anterior. ^[40] NSN ha emitido el siguiente desmentido: NSN "no ha proporcionado ninguna inspección profunda de paquetes, censura web o capacidad de filtrado de Internet a Irán". ^[41] Un artículo simultáneo en The New York Times afirmó que la venta de NSN había sido cubierta en una "serie de noticias en abril [2009], incluido The Washington Times ", y revisó la censura de Internet y otros medios en el país. pero no mencionó DPI. ^[42]

Según Walid Al-Saqaf, el desarrollador del sistema para eludir la censura de Internet Alkasir , Irán estaba utilizando una inspección profunda de paquetes en febrero de 2012, lo que casi paralizó las velocidades de Internet en todo el país. Esto eliminó brevemente el acceso a herramientas como Tor y Alkasir. ^[43]

Malasia

Se dijo que el actual gobierno de Malasia, encabezado por Barisan Nasional, estaba utilizando el DPI contra un oponente político durante el período previo a las 13.ª elecciones generales celebradas el 5 de mayo de 2013.

El objetivo del DPI, en este caso, era bloquear y/o dificultar el acceso a sitios web seleccionados, por ejemplo, cuentas de Facebook, blogs y portales de noticias. ^{[44] [45]}

Pakistán

La Autoridad de Telecomunicaciones de Pakistán (PTA) afirma que el sistema DPI se ha instalado para implementar la Ley de Prevención de Delitos Electrónicos (PECA) de 2016, en particular para filtrar y bloquear contenido blasfemo y cualquier material que se considere contrario a la integridad o seguridad de Pakistán. . ^[46] Se contrató a la empresa canadiense Sandvine para que proporcionara e instalara el equipo en Pakistán. ^[47]

Federación Rusa

El DPI aún no es obligatorio en Rusia. La Ley Federal No.139 exige el bloqueo de sitios web en la lista negra de Internet rusa mediante filtrado de IP, pero no obliga a los ISP a analizar la parte de datos de los paquetes. Sin embargo, algunos ISP todavía utilizan diferentes soluciones DPI para implementar listas negras. Para 2019, la agencia gubernamental Roskomnadzor está planeando una implementación a nivel nacional del DPI después del proyecto piloto en una de las regiones del país, con un costo estimado de 20 mil millones de rublos (300 millones de dólares). ^[48]

Algunos activistas de derechos humanos ^{[ ¿quién? ]} consideran que la inspección profunda de paquetes es contraria al artículo 23 de la Constitución de la Federación de Rusia , aunque nunca se ha llevado a cabo un proceso legal para probar o refutar esto. ^{[ cita necesaria ] [49]}

Singapur

Según se informa, la ciudad-estado emplea una inspección profunda de paquetes del tráfico de Internet. ^[50]

Siria

Según se informa, el Estado emplea una inspección profunda de paquetes del tráfico de Internet para analizar y bloquear el tránsito prohibido.

Estados Unidos

La FCC adopta los requisitos de Internet CALEA : La FCC, de conformidad con su mandato del Congreso de los EE. UU., y en línea con las políticas de la mayoría de los países del mundo, ha exigido que todos los proveedores de telecomunicaciones, incluidos los servicios de Internet, sean capaces de respaldar la ejecución de una orden judicial. para proporcionar análisis forense de comunicación en tiempo real de usuarios específicos. En 2006, la FCC adoptó nuevas reglas del Título 47, Subparte Z, que exigen que los proveedores de acceso a Internet cumplan con estos requisitos. DPI fue una de las plataformas esenciales para cumplir con este requisito y se ha implementado con este propósito en todo Estados Unidos.

La Agencia de Seguridad Nacional (NSA), con la cooperación de AT&T Inc. , ha utilizado la inspección profunda de paquetes para hacer que la vigilancia, clasificación y reenvío del tráfico de Internet sean más inteligentes. El DPI se utiliza para encontrar qué paquetes transportan correo electrónico o una llamada telefónica de Voz sobre Protocolo de Internet (VoIP). ^[51] El tráfico asociado con la red troncal común de AT&T se "dividió" entre dos fibras, dividiendo la señal de modo que el 50 por ciento de la intensidad de la señal iba a cada fibra de salida. Una de las fibras de salida fue desviada a una habitación segura; el otro transmitía comunicaciones al equipo de conmutación de AT&T. La sala segura contenía analizadores de tráfico y servidores lógicos de Narus ; Narus afirma que dichos dispositivos son capaces de recopilar datos en tiempo real (grabar datos para su consideración) y capturarlos a 10 gigabits por segundo. Cierto tráfico fue seleccionado y enviado a través de una línea dedicada a una "ubicación central" para su análisis. Según una declaración jurada del perito J. Scott Marcus, ex asesor principal de tecnología de Internet de la Comisión Federal de Comunicaciones de EE. UU., el tráfico desviado "representaba todo, o sustancialmente todo, el tráfico de intercambio de tráfico de AT&T en el área de la Bahía de San Francisco", y por lo tanto, "los diseñadores de la... configuración no intentaron, en términos de ubicación o posición de la división de fibra, excluir fuentes de datos compuestas principalmente de datos nacionales". ^[52] El software Semantic Traffic Analyzer de Narus, que se ejecuta en servidores IBM o Dell Linux usando DPI, clasifica el tráfico IP a 10 Gbit/s para seleccionar mensajes específicos basándose en una dirección de correo electrónico específica, una dirección IP o, en el caso de VoIP, número de teléfono. ^[53] El presidente George W. Bush y el fiscal general Alberto R. Gonzales han afirmado que creen que el presidente tiene la autoridad para ordenar interceptaciones secretas de intercambios telefónicos y de correo electrónico entre personas dentro de los Estados Unidos y sus contactos en el extranjero sin obtener una FISA. orden. ^[54]

La Agencia de Sistemas de Información de Defensa ha desarrollado una plataforma de sensores que utiliza la inspección profunda de paquetes. ^[55]

Vietnam

Vietnam lanzó su centro de seguridad de red y exigió a los ISP que actualizaran sus sistemas de hardware para utilizar una inspección profunda de paquetes para bloquear el tráfico de Internet. ^[56]

Neutralidad de la red

Las personas y organizaciones preocupadas por la privacidad o la neutralidad de la red consideran ofensiva la inspección de las capas de contenido del protocolo de Internet, ^[13] diciendo, por ejemplo, "¡la Red se construyó sobre la base del acceso abierto y la no discriminación de paquetes!". ^[57] Mientras tanto, los críticos de las reglas de neutralidad de la red las llaman "una solución en busca de un problema" y dicen que las reglas de neutralidad de la red reducirían los incentivos para actualizar las redes y lanzar servicios de red de próxima generación . ^[58]

Muchos consideran que la inspección profunda de paquetes socava la infraestructura de Internet. ^[59]

Cifrado y tunelización que subvierten el DPI

Inspección profunda SSL/TLS

Con un mayor uso de HTTPS y túneles de privacidad mediante VPN, la efectividad del DPI está siendo cuestionada. ^[60] En respuesta, muchos firewalls de aplicaciones web ahora ofrecen inspección HTTPS , donde descifran el tráfico HTTPS para analizarlo. ^[61] El WAF puede terminar el cifrado, de modo que la conexión entre el WAF y el navegador del cliente utilice HTTP simple, o volver a cifrar los datos utilizando su propio certificado HTTPS, que debe distribuirse a los clientes de antemano. ^[62] Las técnicas utilizadas en la inspección HTTPS/SSL (también conocida como interceptación HTTPS/SSL) son las mismas que utilizan los ataques man-in-the-middle (MiTM) . ^{[ cita necesaria ]}

Funciona así: ^[63]

1. El cliente quiere conectarse a https://www.targetwebsite.com
2. El tráfico pasa a través de un cortafuegos o un producto de seguridad.
3. El firewall funciona como proxy transparente
4. Firewall crea un certificado SSL firmado por su propia "CompanyFirewall CA "
5. Firewall presenta este certificado firmado "CompanyFirewall CA " al cliente (no el certificado de targetwebsite.com)
6. Al mismo tiempo, el Firewall por sí solo se conecta a https://www.targetwebsite.com
7. targetwebsite.com presenta su certificado firmado oficialmente (firmado por una CA de confianza )
8. El firewall verifica la cadena de confianza del certificado por sí solo
9. El firewall ahora funciona como intermediario .
10. El tráfico del Cliente será descifrado (con información de intercambio de claves del Cliente), analizado (en busca de tráfico dañino, violación de políticas o virus), cifrado (con información de intercambio de claves de targetwebsite.com) y enviado a targetwebsite.com
11. El tráfico de targetwebsite.com también será descifrado (con información de intercambio de claves de targetwebsite.com), analizado (como arriba), cifrado (con información de intercambio de claves del Cliente) y enviado al Cliente.
12. El Producto Firewall puede leer toda la información intercambiada entre el Cliente SSL y el Servidor SSL (targetwebsite.com)

Esto se puede hacer con cualquier conexión terminada en TLS (no solo HTTPS) siempre que el producto de firewall pueda modificar el TrustStore del cliente SSL.

Software

nDPI (una bifurcación de OpenDPI ^[64] que es EoL por los desarrolladores de ntop ) ^{[65] [66]} es la versión de código abierto para protocolos no ofuscados . PACE, otro motor de este tipo, incluye protocolos ofuscados y cifrados, que son los tipos asociados con Skype o BitTorrent cifrado . ^[67] Como OpenDPI ya no se mantiene, se ha creado una bifurcación de OpenDPI llamada nDPI ^{[65] , que se mantiene activamente y se amplía con nuevos protocolos, incluidos} Skype , Webex , Citrix y muchos otros.

L7-Filter es un clasificador para Netfilter de Linux que identifica paquetes basándose en datos de la capa de aplicación. ^[68] Puede clasificar paquetes como Kazaa , HTTP , Jabber , Citrix , Bittorrent , FTP , Gnucleus , eDonkey2000 y otros. Clasifica aplicaciones de streaming, correo, P2P, VoIP , protocolos y juegos. El software ha sido retirado y reemplazado por Netify DPI Engine de código abierto. ^[69]

Hippie (motor de identificación de protocolo de alto rendimiento) es un proyecto de código abierto que se desarrolló como módulo del kernel de Linux. ^[70] Fue desarrollado por Josh Ballard. Admite tanto DPI como funcionalidad de firewall. ^[71]

El proyecto SPID (Statistical Protocol IDentification) se basa en el análisis estadístico de los flujos de red para identificar el tráfico de aplicaciones. ^[72] El algoritmo SPID puede detectar el protocolo de la capa de aplicación (capa 7) mediante firmas (una secuencia de bytes en un desplazamiento particular en el protocolo de enlace), analizando información de flujo (tamaños de paquetes, etc.) y estadísticas de carga útil (con qué frecuencia el El valor del byte ocurre para medir la entropía) de los archivos pcap. Es solo una aplicación de prueba de concepto y actualmente admite aproximadamente 15 aplicaciones/protocolos como el tráfico de ofuscación de eDonkey , Skype UDP y TCP, BitTorrent , IMAP , IRC , MSN y otros.

Tstat (Herramienta de análisis y estadísticas de TCP) proporciona información sobre los patrones de tráfico y brinda detalles y estadísticas para numerosas aplicaciones y protocolos. ^[73]

Libprotoident presenta la inspección ligera de paquetes (LPI), que examina solo los primeros cuatro bytes de la carga útil en cada dirección. Esto permite minimizar los problemas de privacidad y, al mismo tiempo, reducir el espacio en disco necesario para almacenar los rastros de paquetes necesarios para la clasificación. Libprotoident admite más de 200 protocolos diferentes y la clasificación se basa en un enfoque combinado que utiliza coincidencia de patrones de carga, tamaño de carga, números de puerto y coincidencia de IP. ^[74]

Una empresa francesa llamada Amesys , diseñó y vendió un sistema intrusivo y masivo de monitoreo de Internet Eagle a Muammar Gaddafi . ^[75]

Comparación

En la Comparación independiente de herramientas DPI populares para clasificación de tráfico se muestra una comparación completa de varios clasificadores de tráfico de red, que dependen de la inspección profunda de paquetes (PACE, OpenDPI, 4 configuraciones diferentes de filtro L7, NDPI, Libprotoident y Cisco NBAR). . ^[76]

Hardware

Se está poniendo un mayor énfasis en la inspección profunda de paquetes; esto sale a la luz ^{[ se necesita aclaración ]} después del rechazo de los proyectos de ley SOPA y PIPA . Muchos métodos DPI actuales son lentos y costosos, especialmente para aplicaciones de gran ancho de banda. Se están desarrollando métodos más eficientes de DPI. Los enrutadores especializados ahora pueden realizar DPI; Los enrutadores equipados con un diccionario de programas ayudarán a identificar los propósitos detrás del tráfico de LAN y de Internet que están enrutando. Cisco Systems se encuentra ahora en su segunda versión de enrutadores habilitados para DPI, con el anuncio del enrutador CISCO ISR G2. ^[77]

Ver también

• Transportista común
• Directiva de retención de datos
• Inspección profunda del contenido
• ESCALÓN
• Cortafuegos
• Ley de vigilancia de inteligencia extranjera
• Escudo dorado
• Sistema de Prevención de Intrusión
• Neutralidad de la red
• Controversia de vigilancia sin orden judicial de la NSA
• analizador de paquetes
• Cortafuegos con estado
• Redes theta
• Wireshark

Referencias

1. Duncan Geere, https://www.wired.co.uk/article/how-deep-packet-inspection-works
2. Dharmapurikarg, Sarang; Krishnamurthy, Praveen; Sproull, Todd; Lockwood, Juan. "Inspección profunda de paquetes mediante filtros de floración paralelos". XI Simposio sobre Interconexiones de Alto Rendimiento .
3. Thomas Porter (11 de enero de 2005). "Los peligros de la inspección profunda de paquetes". SecurityFocus.com .​ Consultado el 2 de marzo de 2008 .
4. Hal Abelson; Ken Ledeen; Chris Lewis (2009). "Simplemente entregue los paquetes, en:" Ensayos sobre inspección profunda de paquetes ", Ottawa". Oficina del Comisionado de Privacidad de Canadá . Consultado el 8 de enero de 2010 .
5. Ralf Bendrath (16 de marzo de 2009). "Tendencias tecnológicas globales y regulación nacional: explicación de la variación en la gobernanza de la inspección profunda de paquetes, documento presentado en la Convención Anual de Estudios Internacionales, ciudad de Nueva York, 15 a 18 de febrero de 2009" (PDF) . Asociación de Estudios Internacionales . Consultado el 8 de enero de 2010 .
6. Ido Dubrawsky (29 de julio de 2003). "Evolución del firewall: inspección profunda de paquetes". SecurityFocus.com .​ Consultado el 2 de marzo de 2008 .
7. Khachatryan, Artavazd (1 de febrero de 2020). "DPI de red de 100 Gbps, extracción de contenido en FPGA de Xilinx". Medio . Consultado el 23 de octubre de 2020 .
8. Moscola, James y col. "Implementación de un módulo de escaneo de contenidos para un firewall de Internet." Máquinas de computación personalizadas programables en campo, 2003. FCCM 2003. 11º Simposio anual del IEEE sobre. IEEE, 2003.
9. Elan Amir (29 de octubre de 2007). "El caso de la inspección profunda de paquetes". itbusinessedge.com . Archivado desde el original el 4 de febrero de 2008 . Consultado el 2 de marzo de 2008 .
10. Noferesti, Morteza; Jalili, Rasool (15 de enero de 2020). "ACoPE: un enfoque de aprendizaje semisupervisado adaptativo para la aplicación de políticas complejas en redes de gran ancho de banda". Red de computadoras . 166 : 106943. doi : 10.1016/j.comnet.2019.106943. ISSN  1389-1286. S2CID  208094726.
11. "cortafuegos". TechTarget.com .​
12. Tahboub, Radwan; Saleh, Yousef (enero de 2014). "Sistemas de prevención de pérdidas/fugas de datos (DLP)". Congreso Mundial de 2014 sobre Aplicaciones Informáticas y Sistemas de Información (WCCAIS) : 1–6. doi :10.1109/WCCAIS.2014.6916624. S2CID  1022898.
13. Nate Anderson (25 de julio de 2007). "La inspección profunda de paquetes cumple con la 'neutralidad de la red, CALEA". Ars Técnica . Consultado el 6 de febrero de 2006 .
14. Jeff Chester (1 de febrero de 2006). "¿El fin de Internet?". La Nación . Consultado el 6 de febrero de 2006 .
15. Peter Whoriskey (4 de abril de 2008). "Cada clic que realiza: los proveedores de Internet prueban silenciosamente el seguimiento ampliado del uso de la Web para orientar la publicidad". El Washington Post . Consultado el 8 de abril de 2008 .
16. "Charter Communications: experiencia en línea mejorada" . Consultado el 14 de mayo de 2008 .
17. "Inspección profunda de paquetes: domesticar a la bestia del tráfico P2P". Lectura ligera . Archivado desde el original el 2 de marzo de 2008 . Consultado el 3 de marzo de 2008 .
18. Matt Hamblen (17 de septiembre de 2007). "Ball State utiliza la inspección profunda de paquetes para garantizar el rendimiento de las videoconferencias". mundo de la computadora.com . Consultado el 3 de marzo de 2008 .
19. "Allot implementa una solución DPI en dos operadores móviles de nivel 1 para ofrecer paquetes de servicios escalonados y de valor agregado". noticias.moneycentral. MSN.com .​ 2008-02-05 . Consultado el 3 de marzo de 2008 .^{[ enlace muerto permanente ]}
20. Jeremy Kirk (13 de febrero de 2008). "El ISP danés se prepara para luchar contra la orden judicial de Pirate Bay". InfoWorld.com .​ Archivado desde el original el 14 de febrero de 2008 . Consultado el 12 de marzo de 2008 .
21. Matthew Clark (5 de julio de 2005). "Eircom y BT no se opondrán a las empresas musicales". enn.ie. ​Archivado desde el original el 14 de agosto de 2007 . Consultado el 12 de marzo de 2008 .
22. Eric Bangeman (11 de marzo de 2008). "El "Año de los filtros" se convierte en un año de demandas contra los ISP". Ars Técnica . Consultado el 12 de marzo de 2008 .
23. Anne Broach (19 de julio de 2007). "MPAA: La neutralidad de la red podría perjudicar la tecnología antipiratería". Noticias CNET . Consultado el 12 de marzo de 2008 .^{[ enlace muerto permanente ]}
24. Carolyn Duffy Marsan (27 de junio de 2007). "El proveedor OEM Bivio apunta al mercado gubernamental". NetworkWorld.com .​ Archivado desde el original el 23 de abril de 2014 . Consultado el 13 de marzo de 2008 .
25. Ben Elgin; Bruce Einhorn (12 de enero de 2006). "El gran cortafuegos de China". Semana Empresarial . Archivado desde el original el 28 de febrero de 2008 . Consultado el 13 de marzo de 2008 .
26. "Filtrado de Internet en China en 2004-2005: un estudio de país". Iniciativa OpenNet . Archivado desde el original el 28 de septiembre de 2007 . Consultado el 13 de marzo de 2008 .
27. Guy Kewney, China bloquea Skype y VoIP, The Register, 2005
28. "China bloquea YouTube, restaura Flickr y Blogspot". Mundo PC . 2007-10-18. Archivado desde el original el 13 de marzo de 2008 . Consultado el 3 de marzo de 2008 .
29. "Egipto ha bloqueado la aplicación de mensajería cifrada Signal". 18 de julio de 2019.
30. "تعاني من مشكلة توقُّف خدمات الاتصال عبر الإنترنت في مصر…هذه هي أسباب الأزمة". HuffPost árabe . Archivado desde el original el 23 de abril de 2017 . Consultado el 22 de abril de 2017 .
31. "Reliance Jio está utilizando la inspección SNI para bloquear sitios web: el Centro para Internet y la Sociedad". cis-india.org . Consultado el 13 de noviembre de 2022 .
32. Singh, Kushagra; Grover, Gurshabad; Bansal, Varun (2020). "Cómo la India censura la Web". 12ª Conferencia ACM sobre ciencia web . págs. 21-28. arXiv : 1912.08590 . doi :10.1145/3394231.3397891. ISBN 9781450379892. S2CID  209405297 . Consultado el 13 de noviembre de 2022 .
33. Thompson, Nik; McGill, Tanya; Khristianto, Daniel Vero (1 de enero de 2021). "Aceptación pública de la censura de Internet en Indonesia". Actas de ACIS 2021 . Consultado el 21 de agosto de 2022 .
34. Tremblay, Jessika (2018). "Internet Kampung: Internet comunitario en la Indonesia posterior a Suharto". Indonesia . 105 : 97-125. doi :10.1353/ind.2018.0004. hdl : 1813/60028 . S2CID  158357806 - a través del Proyecto MUSE Universidad Johns Hopkins.
35. Wildana, Faiq (30 de octubre de 2021). "Un estudio exploratorio sobre el bloqueo de redes sociales en Indonesia". La Revista de Sociedad y Medios . 5 (2): 456–484. doi : 10.26740/jsm.v5n2.p456-484 . ISSN  2580-1341. S2CID  248056103.
36. Paterson, Thomas (4 de mayo de 2019). "La expansión del ciberespacio en Indonesia: un arma de doble filo". Revista de política cibernética . 4 (2): 216–234. doi : 10.1080/23738871.2019.1627476 . ISSN  2373-8871. S2CID  197825581.
37. Christensen, cristiano (1 de julio de 2009). "Irán: disidencia en red". El mundo diplomático 1 .
38. "Perusa :: Quiénes somos". perusa-partners.de . Archivado desde el original el 24 de septiembre de 2015.
39. "El espionaje web de Irán con la ayuda de tecnología occidental" por Christopher Rhoads en Nueva York y Loretta Chao en Beijing, The Wall Street Journal , 22 de junio de 2009. Consultado el 22 de junio de 2009.
40. "Preguntas sobre la historia del WSJ sobre Net Management en Irán" por David S. Isenberg, isen.blog, 23 de junio de 2009. Consultado el 22 de junio de 2009.
41. "Provisión de capacidad de intercepción legal en Irán" Archivado el 25 de junio de 2009 en el comunicado de prensa de Wayback Machine Company. 22 de junio de 2009. Consultado el 22 de junio de 2009.
42. "La tapa de los sacerdotes web a la censura iraní" por Brian Stelter y Brad Stone, The New York Times , 22 de junio de 2009. Consultado el 23 de junio de 2009.
43. 14 de febrero de 2012 "Rompiendo y doblegando la censura con Walid Al-Saqaf" Archivado el 2 de mayo de 2013 en Wayback Machine , una entrevista con Arseh Sevom Archivada el 12 de junio de 2017 en Wayback Machine . Visto por última vez el 23 de febrero de 2012.
44. Goh Kheng Teong (20 de mayo de 2013). "DAP se queja ante MCMC por bloqueo en sus sitios web, videos, FB, redes sociales" . Consultado el 21 de mayo de 2013 .
45. "En Malasia, las batallas electorales en línea dan un giro desagradable". Reuters. 2013-05-04. Archivado desde el original el 7 de mayo de 2013 . Consultado el 22 de mayo de 2013 .
46. "Los espacios digitales y la privacidad de Pakistán: analizando el DPI y sus implicaciones | Economía política | thenews.com.pk". www.thenews.com.pk . Consultado el 21 de noviembre de 2023 .
47. Escritorio, Monitoreo (25/10/2019). "El gobierno trabaja con una empresa controvertida para monitorear el tráfico de Internet: informe". AMANECER.COM . Consultado el 21 de noviembre de 2023 .
48. "Roskomnadzor implementará nueva tecnología de bloqueo (en ruso)". BBC News Русская Служба . 18 de diciembre de 2018.
49. "Constitución de la Federación de Rusia (traducción al inglés)". Archivado desde el original el 4 de mayo de 2013.
50. "La inspección profunda de paquetes muestra una cara fea" . Consultado el 28 de abril de 2015 .
51. JI Nelson (26 de septiembre de 2006). "Cómo funciona el sistema de escuchas telefónicas sin orden judicial de la NSA" . Consultado el 3 de marzo de 2008 .
52. Bellovin, Steven M .; Matt Blaze; Whitfield Diffie; Susan Landau; Peter G. Neumann; Jennifer Rexford (enero-febrero de 2008). "Arriesgar la seguridad de las comunicaciones: peligros potenciales de la Ley Protect America" ​​(PDF) . Seguridad y privacidad de IEEE . 6 (1). Sociedad de Computación IEEE : 24–33. doi :10.1109/MSP.2008.17. S2CID  874506. Archivado desde el original (PDF) el 27 de febrero de 2008 . Consultado el 3 de marzo de 2008 .
53. Robert Poe (17 de mayo de 2006). "La herramienta definitiva de seguimiento de red". Cableado . Consultado el 3 de marzo de 2008 .
54. Carol D. Leonnig (7 de enero de 2007). "Informe refuta a Bush sobre el espionaje: se cuestiona la legalidad de la acción nacional". El Washington Post . Consultado el 3 de marzo de 2008 .
55. Cheryl Gerber (18 de septiembre de 2008). "Seguridad profunda: DISA refuerza la seguridad con una inspección profunda de paquetes de transmisiones IP". Archivado desde el original el 26 de julio de 2011 . Consultado el 30 de octubre de 2008 .
56. "Ra mắt Nền tảng cung cấp dịch vụ Trung tâm điều hành an toàn, an ninh mạng đáp ứng yêu cầu kết nối, chia sẻ tông tin".
57. Genny Pershing. "Neutralidad de la red: neutralidad histórica". Cibertelecom . Archivado desde el original el 11 de mayo de 2008 . Consultado el 26 de junio de 2008 .
58. Genny Pershing. "Neutralidad de la red: daño insuficiente". Cibertelecom . Archivado desde el original el 11 de mayo de 2008 . Consultado el 26 de junio de 2008 .
59. Fuchs, cristiano. "Implicaciones de la vigilancia de Internet con inspección profunda de paquetes (DPI) para la sociedad" (PDF) . Archivado desde el original (PDF) el 29 de agosto de 2013 . Consultado el 23 de julio de 2022 .
60. Sherry Justine, Chang Lan, Raluca Ada Popa y Sylvia Ratnasamy, Blindbox: inspección profunda de paquetes sobre tráfico cifrado, ACM SIGCOMM Computer Communication Review, 2015
61. "Mejores prácticas: inspección HTTPS". Centro de soporte de Check Point . 2017-07-21. Con la inspección HTTPS, Security Gateway puede inspeccionar el tráfico cifrado mediante HTTPS. Security Gateway utiliza certificados y se convierte en un intermediario entre la computadora cliente y el sitio web seguro. Todos los datos se mantienen privados en los registros de inspección HTTPS. Solo los administradores con permisos de inspección HTTPS pueden ver todos los campos de un registro.
62. "Especificaciones de SecureSphere WAF". Archivado desde el original el 16 de noviembre de 2016.
63. García Peláez, Pedro. «WO2005060202 - MÉTODO Y SISTEMA PARA ANALIZAR Y FILTRAR TRÁFICO HTTPS EN REDES CORPORATIVAS (12-11-2003)». Organización Mundial de la Propiedad Intelectual (OMPI) .
64. "OpenDPI.org". Archivado desde el original el 7 de diciembre de 2015.
65. ntop (2 de febrero de 2012). "nDPI: biblioteca de inspección profunda de paquetes LGPLv3 abierta y extensible". ntop.org .​ Consultado el 23 de marzo de 2015 .
66. Fichtner, Franco (6 de agosto de 2012). "Adiós OpenDPI". lastsummer.de . Consultado el 23 de marzo de 2015 .
67. "El motor de inspección profunda de paquetes se vuelve de código abierto". Ars Técnica . 9 de septiembre de 2009.
68. "Clasificador de paquetes de capa de aplicación para Linux". fuenteforge.net .
69. "Una cariñosa despedida del filtro l7".
70. "Repositorio SourceForge.net - Índice [hippie] de". fuenteforge.net .
71. "HiPPIE - Descarga gratuita". linux112.com . Archivado desde el original el 7 de abril de 2012 . Consultado el 28 de diciembre de 2011 .
72. hjelmvik (23 de abril de 2013). "Identificación del protocolo estadístico SPID". FuenteForge .
73. "Tstat - Herramienta de análisis y estadísticas de TCP". tstat.tlc.polito.it .
74. "Grupo de investigación de la red WAND: libprotoident". wand.net.nz. ​Archivado desde el original el 24 de febrero de 2021 . Consultado el 6 de febrero de 2014 .
75. Se venderá el negocio de equipos de espionaje: Amesys venderá el negocio que proporcionaba tecnología de vigilancia utilizada por Gadafi , Wall Street Journal, edición alemana, 9 de marzo de 2012.
76. Tomasz Bujlow; Valentín Carela-Español; Pere Barlet-Ros (2015). "Comparación independiente de herramientas DPI populares para clasificación de tráfico". Red de computadoras . 76 : 75–89. CiteSeerX 10.1.1.697.8589 . doi :10.1016/j.comnet.2014.11.001. S2CID  7464085 . Consultado el 10 de noviembre de 2014 . 
77. "Control y visibilidad de aplicaciones de Cisco (AVC)". Cisco .

enlaces externos

• ¿Qué es la "inspección profunda"? por Marcus J. Ranum . Consultado el 10 de diciembre de 2018.
• Una colección de ensayos de expertos de la industria.
• ¿Qué es la inspección profunda de paquetes y por qué la controversia?
• Libro blanco "Inspección profunda de paquetes: tecnología, aplicaciones y neutralidad de la red"
• La represión cibernética de Egipto con la ayuda de una empresa estadounidense: DPI utilizada por el gobierno egipcio en la reciente represión de Internet
• La inspección profunda de paquetes pone su sello en una Internet en evolución
• Inspección profunda de paquetes mediante filtro de cociente