Deep Packet Inspection (DPI) là gì? Vận hành ra sao và có tác dụng như thế nào trong bảo mật mạng?

Còn được biết đến với cụm từ viết tắt là DPI, Deep Packet Inspection (tạm dịch: Phân tích sâu các gói) là một phương pháp kiểm tra và quản lý lưu lượng mạng tiên tiến. Cũng có thể hiểu DPI là một phương thức lọc gói để đánh giá dữ liệu. DPI mang đến cho các nhà quản trị hệ thống mạng những tính năng quản lý nâng cao hữu ích và triệt để hơi, điều mà các quy trình lọc gói thông thường - vốn chỉ kiểm tra các tiêu đề gói - không thể phát hiện.

Ngoài ra, DPI cũng có thể được sử dụng để chuyển hướng một gói dữ liệu đến điểm đích khác. Nói theo cách chi tiết hơn, DPI có thể được sử dụng để phát hiện, định vị, phân loại, định tuyến lại hoặc chặn bất kỳ gói nào có tải trọng dữ liệu hoặc mã cụ thể, vốn không thể thực hiện được bằng cách lọc gói thông thường. Điều này vượt ra ngoài khả năng của việc chỉ kiểm tra các tiêu đề gói.

Deep Packet Inspection là một phương pháp kiểm tra và quản lý lưu lượng mạng tiên tiếnDeep Packet Inspection là một phương pháp kiểm tra và quản lý lưu lượng mạng tiên tiến

Trên thực tế, DPI có thể là một phần hoặc được sử dụng kết hợp với hệ thống phòng chống xâm nhập (Intrusion Prevention Systems - IPS), nhưng đồng thời cũng có thể trở thành một tính năng quan trọng thuộc hệ thống tường lửa thế hệ mới nhờ vào khả năng phân tích lưu lượng truy cập chi tiết, đặc biệt là tiêu đề của các gói và dữ liệu lưu lượng. DPI cũng có thể được sử dụng để theo dõi lưu lượng gửi đi nhằm đảm bảo thông tin nhạy cảm không rời khỏi (bị rò rỉ) mạng công ty dựa trên một công nghệ được gọi là ngăn chặn thất thoát dữ liệu (Data Loss Prevention - DLP). DPI hoạt động ở lớp ứng dụng của mô hình tham chiếu Liên kết hệ thống mở (Open Systems Interconnection - OSI).

Vậy DPI vận hành như thế nào, thường được sử dụng trong những trường hợp nào, kỹ thuật triển khai ra sao và liệu có chứa đựng những hạn chế hay không? Chúng ta sẽ cùng tìm hiểu ngay sau đây.

DPI vận hành như thế nào?

Như đã nói, DPI có nhiệm vụ kiểm tra nội dung của các gói dữ liệu khi chúng đi qua một điểm kiểm tra nhất định, và đưa ra quyết định theo thời gian thực dựa trên các quy tắc được chỉ định cụ thể bởi doanh nghiệp, nhà cung cấp dịch vụ internet (ISP) hoặc quản trị viên hệ thống mạng, tùy thuộc vào việc gói đó chứa nội dung gì. Nói cách khác, DPI sẽ đánh giá nội dung của một gói đi qua một điểm kiểm tra cụ thể. Sau đó sử dụng các quy tắc được thiết lập bởi tổ chức, nhà cung cấp dịch vụ hoặc quản trị viên hệ thống để xác định những việc cụ thể cần làm với đó trong thời gian thực.

Các hình thức lọc gói trước đây thường chỉ xem xét đến thông tin tiêu đề, cũng giống như việc bạn nhận được một lá thư nhưng chỉ đọc nội dung người gửi ghi ngoài phong bì vậy. Sự “thiếu chặt chẽ” trong trường hợp này là khó tránh khỏi bởi điều đó một phần là do những hạn chế về mặt công nghệ. Cho đến thời gian gần đây, tường lửa vẫn không sở hữu đủ khả năng xử lý cần thiết để thực thi các quy trình kiểm tra sâu hơn về lưu lượng traffic lớn trong thời gian thực. Những tiến bộ về công nghệ đã cho phép DPI thực hiện các kiểm tra nâng cao phức tạp hơn giống như việc bạn không chỉ đọc dòng thông tin bên ngoài phong bì, mà còn biết cách mở phong bì đó và đọc nội dung bức thư.

DPI có nhiệm vụ kiểm tra nội dung của các gói đi qua một điểm kiểm tra nhất định và đưa ra quyết định theo thời gian thựcDPI có nhiệm vụ kiểm tra nội dung của các gói đi qua một điểm kiểm tra nhất định và đưa ra quyết định theo thời gian thực

DPI có thể kiểm tra nội dung của các thông điệp, tin nhắn và xác định nguồn gốc cụ thể của ứng dụng hoặc dịch vụ. Sau đó, DPI có thể xác định những gì cần làm với ứng dụng hoặc dịch vụ đó dựa trên thông tin đã thu được.

Ngoài ra, các bộ lọc còn có thể được lập trình để tìm kiếm và định tuyến lại lưu lượng mạng từ một địa chỉ Giao thức Internet (Internet Protocol - IP) cụ thể hoặc một dịch vụ trực tuyến nhất định nào đó, chẳng hạn như Facebook.

Các trường hợp sử dụng DPI trong thực tế

DPI mang tính ứng dụng cao và đặc biệt hữu ích trong nhiều trường hợp sử dụng thực tế. Nó có thể được sử dụng như một lớp phát hiện xâm nhập để giúp xác định sớm các cuộc tấn công có nguy cơ vượt qua được hệ thống tường lửa.

Đối với các tổ chức chủ yếu sử dụng máy tính xách tay trong quy trình làm việc, DPI có thể đóng vai trò như một lớp bảo mật quan trọng, có nhiệm vụ ngăn chặn việc các chương trình độc hại xâm nhập vào mạng một cách chủ động hơn. Ví dụ, DPI có thể phát hiện và đưa ra phản hồi kịp thời trong trường hợp máy tính xách tay đang được sử dụng để chạy những ứng dụng thuộc danh sách cấm.

Một ứng dụng tuyệt vời khác của DPI đối với các tổ chức, doanh nghiệp là trong quản lý mạng để hợp lý hóa luồng lưu lượng mạng. DPI giúp xác định và ưu tiên lượng dữ liệu truyền đến qua mạng bởi trong nhiều trường hợp, có một lượng lớn traffic tồn tại trong hệ thống mạng. Ví dụ, một tin nhắn được gắn thẻ với mức độ ưu tiên cao có thể được chuyển đến đích trước các tin nhắn hoặc gói ít quan trọng hơn, hoặc mức độ quan trọng thấp liên quan đến duyệt internet thông thường. DPI cũng có thể được sử dụng để truyền dữ liệu được điều chỉnh để ngăn chặn lạm dụng ngang hàng, từ đó góp phần cải thiện hiệu suất mạng.

Phạm vi tác động của DPI so với các kỹ thuật phân tích gói truyền thốngPhạm vi tác động của DPI so với các kỹ thuật phân tích gói truyền thống

Ngoài ra, tính năng này cũng sẽ mang lại hiệu quả nhất định trong việc chặn các yêu cầu độc hại. DPI có thể được sử dụng cho mục đích phòng vệ như một công cụ bảo mật mạng: Phát hiện và ngăn chặn virus cũng như các hình thức lưu lượng độc hại khác.

Cuối cùng, DPI cũng có thể được sử dụng nhằm ngăn chặn rủi ro rò rỉ dữ liệu, chẳng hạn như từ mail gửi đi. Nó có thể kiểm tra không chỉ lượng dữ liệu đến mà còn cả lượng dữ liệu được chuyển đi từ dữ liệu mạng. Bằng cách sử dụng các quy tắc cụ thể, quản trị viên có thể ngăn dữ liệu nhạy cảm bị truyền ra khỏi hệ thống mạng.

Các kỹ thuật triển khai DPI

Có một số kỹ thuật liên quan đến quy trình DPI mà một tổ chức có thể tận dụng, bao gồm:

  • Sự tương xứng trong mẫu và chữ ký. Có thể phân tích một gói bằng cách sử dụng cơ sở dữ liệu liên quan các cuộc tấn công mạng đã ghi nhận.
  • Các giải pháp IPS. Có thể chặn các cuộc tấn công đã được phát hiện, cũng như những dữ liệu không mong muốn.
  • Các giao thức bất thường. Tùy chọn từ chối truy cập mặc định (default deny) có thể được sử dụng ở trường hợp này, giúp xác định xem nội dung nào sẽ được phép thông qua.

Những mặt hạn chế của DPI

Không có công nghệ nào là hoàn hảo 100%, DPI cũng không nằm ngoài quy luật đó. Mặc dù mang đến nhiều lợi ích, nhưng DPI cũng ẩn chứa một vài thách thức trong nhiều trường hợp. Có thể kể đến ít nhất 3 hạn chế lớn của DPI, bao gồm:

Đầu tiên, DPI mang lại hiệu quả tuyệt vời trong việc bảo vệ hệ thống mạng trước những lỗ hổng đã được biết đến. Nhưng trớ trêu thay, nó lại có thể là “chất xúc tác” tạo ra các lỗ hổng mới. Cụ thể hơn, DPI mang lại hiệu quả cao trong việc ngăn ngừa các cuộc tấn công tràn bộ đệm (overflow attack), các cuộc tấn công từ chối dịch vụ (DoS), cũng như một số loại phần mềm độc hại. Tuy nhiên nó cũng có thể bị kẻ gian khai thác và trở thành một công cụ tạo điều kiện cho các cuộc tấn công tương tự.

Thứ hai, DPI góp phần tăng thêm tính phức tạp và khó sử dụng của hệ thống tường lửa hiện có, cũng như các phần mềm liên quan đến bảo mật khác. Công nghệ này đòi hỏi phải được cập nhật và sửa đổi đều đặn theo định kỳ riêng thì mới có thể duy trì hiệu quả tối ưu.

Thứ ba, DPI có thể làm giảm tốc độ mạng bởi nó làm tăng thêm “gánh nặng” cho các bộ xử lý tường lửa.

Dù chứa đựng một số nhược điểm, DPI vẫn là sự lựa chọn bảo mật đáng tin cậy của nhiều quản trị viên hệ thống mạngDù chứa đựng một số nhược điểm, DPI vẫn là sự lựa chọn bảo mật đáng tin cậy của nhiều quản trị viên hệ thống mạng

Đặt sang một bên những hạn chế nêu trên, nhiều quản trị viên hệ thống mạng vẫn chọn áp dụng công nghệ DPI như một nỗ lực hiệu quả nhằm đối phó với sự gia tăng về tính phức tạp và phổ biến của các nguy cơ bảo mật liên quan đến internet.

Thứ Sáu, 06/09/2019 08:28
51 👨 382