Podsłuch w Sieci - czy można go wykryć
- 26.06.2009, godz. 11:56
"Głęboka analiza pakietów została opracowana w celu walki ze złośliwym oprogramowaniem i atakami na sieci firmowe. Jednak od zaawansowanego narzędzia służącego do identyfikowania zagrożeń w przesyłanym ruchu dzieli nas już tylko krok od filtrowania ruchu w zależności od przesyłanej treści, słów kluczowych itp." - mówi w rozmowie z serwisem PC World Adrian Dorobisz, Inżynier systemowy w firmy Dagma.
PC World: Na czym polega działanie mechanizmu DPI?
Adrian Dorobisz, Dagma: "Deep Packet Inspection" to ogólna nazwa typu filtrowania pakietów, w którym oprócz skanowania nagłówków badana jest również zawartość pakietów - a więc transportowane dane. Urządzenia posiadające możliwości filtrowania DPI sprawdzają więc ruch od warstwy 2 do 7 modelu OSI. Ponieważ oprócz typu ruchu badamy też dane, możliwe staje się filtrowanie i monitorowanie ruchu w zależności od treści, które są przesyłane.
Początkowo tak głęboka analiza pakietów została opracowana w celu walki ze złośliwym oprogramowaniem i atakami na sieci firmowe. Klasyczne firewalle nie posiadały możliwości analizy zawartości samego ruchu, a więc ich możliwości ochronne były bardzo ograniczone - można było jedynie zablokować lub zezwolić na dany ruch w zależności od portu i protokołu. Stąd narodziła się potrzeba powstania systemów IPS/IDS i stopniowo rozwijano technologie coraz dokładniej monitorujące przesyłany ruch. Obecnie dzięki głębokiej analizie pakietów firmy mogą lepiej chronić się przed wirusami, robakami internetowymi, atakami przepełnienia bufora, czy atakami typu denial-of-service.
Czy można rozpoznać, gdy DPI jest wykorzystywana do podsłuchu przesyłanych Internetem informacji?
Od zaawansowanego narzędzia służącego do identyfikowania zagrożeń w przesyłanym ruchu dzieli nas już tylko krok od filtrowania ruchu w zależności od przesyłanej treści, słów kluczowych itp. Politycznie niepoprawna treść może być raportowana do odpowiednich władz, wstrzymywana itp.
Adrian Dorobisz, inżynier systemowy w firmie DAGMA
Można też wtedy próbować ominąć takie serwery proxy, chociażby poprzez tunelowanie do ruchu innych proxy z wykorzystaniem protokołu SSL. Istnieje również mechanizm specjalnie stworzony do anonimizacji ruchu internetowego - nazywany TOR (the onion router). Jeśli jednak inspekcja następuje na poziomie firewalla/IPS bądź jeszcze niżej, na poziomie samego osprzętu sieciowego (switche, routery) to wykrycie takiego podsłuchu może być niemożliwe.