Inspección profunda de paquetes

Una de las tareas clave de la DPI es capturar el tráfico a las velocidades requeridas. Para solucionar esto, utilizamos tarjetas de red especializadas con captura garantizada (Napatech, AF_PACKET, PFRING), pero esto complicó la selección del hardware. DPDK, un conjunto de bibliotecas y controladores para el procesamiento de paquetes de red, solucionó este problema, permitiendo que la DPI funcionara con tarjetas de red convencionales (Intel, Broadcom, Melanox).

La tecnología admite una amplia gama de protocolos de tunelización, incluso aquellos anidados arbitrariamente. Independientemente del protocolo, la DPI elimina los túneles para acceder a la sesión de red original entre el cliente y el servidor. Esto permite la implementación en varios nodos de red para analizar tráfico tanto desde derivaciones físicas (TAP) como desde equipos compatibles con protocolos de duplicación de tráfico (SPAN, RSPAN, ERSPAN, TZSP).

La DPI permite identificar los protocolos más populares mediante métodos basados en firmas. Para protocolos sin firmas explícitas (como Telegram o protocolos cifrados), utilizamos aprendizaje virtual. Los algoritmos de aprendizaje automático analizan los canales laterales, incluidos el tamaño de los fragmentos de datos transmitidos, los retrasos y la frecuencia de los caracteres.

Los protocolos de aplicación actuales se denominan «aplicación» solo de forma nominal. El protocolo HTTPS puede transportar millones de aplicaciones diferentes (incluidos correo web, redes sociales, transmisión de audio/video y VPN). Dado que la DPI analiza el tráfico sin descifrarlo, detecta el protocolo TLS, no HTTPS.

Para comprender el contenido del protocolo, se requiere el mecanismo app_detect, que utiliza partes no cifradas de la sesión para identificar aplicaciones. Esto puede utilizar el campo SNI de TLS o JA3, que es la huella digital de TLS. Los algoritmos de aprendizaje automático también permiten identificar aplicaciones a través de canales laterales.

Para detectar ataques en el tráfico de red, especialmente en redes internas, no basta con conocer el protocolo o la aplicación. Es necesario analizar las solicitudes específicas y los datos transmitidos. La DPI admite el análisis detallado de la mayoría de los protocolos ampliamente utilizados en redes corporativas, incluidos los protocolos específicos de Windows (DCE/RPC, SMB, LDAP, Kerberos, NTLM).

La DPI extrae más de 1 200 campos diferentes del tráfico para la detección de ataques. Los operadores los utilizan para filtrar sesiones durante análisis retrospectivos, investigación de incidentes o búsqueda proactiva de amenazas.

La DPI también admite la extracción de archivos de los protocolos HTTP, SMTP, POP3, IMAP, SMB, NFS, FTP y TFTP. Todos los archivos reciben sumas de verificación para la detección de malware basada en IoC. La DPI extrae archivos directamente en el flujo de datos y puede enviarlos a PT Sandbox para análisis conductual. Para investigaciones de ciberataques, los archivos extraídos pueden recuperarse manualmente.

La DPI admite la sintaxis de reglas de Suricata, lo que permite el uso tanto de la experiencia de PT ESC como de las reglas respaldadas por la comunidad (ETOpen, ETPro), además de reglas personalizadas. Manteniendo la compatibilidad con la sintaxis original, la DPI amplía el motor con nuevas palabras clave que aceleran y simplifican la creación de reglas.

La DPI traslada todo el tráfico original a un almacenamiento especializado prácticamente en tiempo real. El sistema de almacenamiento proporciona acceso rápido a los paquetes originales de las conexiones, que se pueden buscar por identificador y marca de tiempo. Encontrar una sesión en la interfaz PT NAD permite la descarga instantánea de los paquetes originales desde un almacenamiento a escala de petabytes, lo que constituye una fuente de datos ideal para las investigaciones de incidentes y, en ocasiones, se utiliza como evidencia.