Deep Packet Inspection – Ist es ausreichend?

Veröffentlicht am: 26.Nov.2018

 

Sicherheitsanalysten sind oftmals der Meinung, dass Deep Packet Inspection (DPI) eine grundlegende Voraussetzung für die Erkennung von Malware und die Nachverfolgung von Datenverlusten im Netzwerk ist. Diese bewährte Methode gibt es bereits seit den frühen 2000er Jahren und hat durchaus ihre Vorteile. Aber ist sie auch ausreichend, um eingehende Bedrohungen zu verhindern und die Ausschleusung von Daten nachzuverfolgen?

In der großen Glanzzeit stand Deep Packet Inspection als Technologie für Firewalls, Intrusion Prevention-Systeme und sichere Web-Gateways unangefochten an erster Stelle. Diese Lösungen mussten Netzwerkpakete so effizient wie möglich verarbeiten, um jedwede Verzögerung bei der Datenübertragung zu vermeiden. Die Überprüfung der Datenpakete (Packet Inspection) wurde ein bedeutendes Sicherheitselement in diesen Lösungen. Der Fokus lag auf der Bedrohungsanalyse mit minimaler Netzwerklatenz – und so beschränkte sich die Untersuchung auf die Inhalte eines jeden einzelnen Datenpakets.

Deep Packet Inspection bietet die Möglichkeit, Paket-Header wie TCP/UDP-Header zu überprüfen. Im Laufe der DPI-Entwicklung wurde die Technik verbessert, um auch die Nutzdaten der Pakete zu analysieren und wertvolle Informationen zu extrahieren. Dies umfasst beispielsweise Webadressen oder auch Benutzerattribute. Unabhängig von dieser Entwicklung sind die Bewertung und Analyse jedoch immer nur auf ein einzelnes Paket beschränkt.

Deep Packet Inspection hat in der heutigen Welt der modernen Bedrohungen nach wie vor einen hohen Stellenwert. Es war und ist eine effektive Methode zur Erkennung von Sicherheitsproblemen wie DDoS-Angriffen, SQL-Injection-Versuchen und Pufferüberlauf-Attacken. Dies sind alles Beispiele für Bedrohungen innerhalb eines Pakets. DPI eignet sich aufgrund der Datenfluss-basierten Analyse hervorragend dazu, die Kommunikation mit oder von bekannten Angriffsvektoren zu erkennen.

Diese Technologie unterliegt jedoch auch einer wesentlichen Einschränkung, die Sie bei der Konzeption einer modernen Sicherheitsarchitektur für Ihr Netzwerk berücksichtigen sollten – und dies betrifft die grundlegende Transparenz. Dies liegt daran, dass – im Rahmen eines einzelnen Pakets – die Möglichkeit, den eigentlichen Inhalt zu prüfen, beschränkt ist. Mit dieser Technik können Sie den Paketinhalt lesen, um den Zeichensatz (z. B. Englisch, Chinesisch oder Russisch) zu bestimmen und einen Domänennamen oder eine URL zu extrahieren. Es ist jedoch unglaublich schwierig, den tatsächlichen Inhalt des Pakets zu extrahieren – beispielsweise eingebettete Binär- und Textdaten, die eine Bedrohung darstellen oder Datenverlust nach sich ziehen könnten. Das bedeutet, dass der Host, der die Netzwerkdaten empfängt, mit den Paketen nichts weiter tun kann, als diese in einen für die jeweilige Anwendung nützlichen Inhalt zusammenzusetzen. Wenn Sie Ihre Inhalte schützen möchten, ist ein Sicherheitsprozess erforderlich, der den Inhalt auf dieselbe Weise wie der Host, der ihn verwendet, verstehen kann.

Wie können Sie diese kritische Lücke schließen? Die Deep Packet Inspection-Technologie hat sich als notwendiges, aber unzureichendes Mittel zur Abwehr von Cyberangriffen erwiesen. Die Abwehr von Netzwerkbedrohungen erfordert Transparenz für die Inhalte und den Kontext. Gibt es Technologien, die die beschränkte Transparenz der Deep Packet Inspection überwinden und zusätzlichen inhaltlichen Kontext bieten können? Das Zusammensetzen des Datenverkehrs im Netzwerk zu Inhalten auf Anwendungsebene und die anschließende Entschlüsselung für die Gewinnung wertvoller Erkenntnisse ist von entscheidender Bedeutung, um Content-bezogene Sicherheitsprobleme wie etwa Malware oder Datenmissbrauch zu erkennen.

 

Fidelis Cybersecurity hat eine solche Technologie patentiert – Deep Session Inspection® (DSI).

Deep Session Inspection wurde entwickelt, um diese Lücke zu schließen und als Host zu fungieren, um den Datenverkehr im Netzwerk zu Anwendungsinhalten zusammenzusetzen. DSI ähnelt konzeptionell dem Endpunktschutz. Die Funktionalitäten können für Choke Points im Netzwerk, E-Mail-Systeme, Proxy-Verkehr und Access Points im Data Center genutzt werden. Neben den Schutzfunktionen bietet DSI auch die Möglichkeit, alle Netzwerkaktivitäten zu überwachen und Metadaten aufzuzeichnen, die als Basis für eine manuelle oder automatisierte Analyse verwendet werden können.

 

– Autor: Roland Messmer – Fidelis Cybersecurity GmbH

Schreiben Sie einen Kommentar