A inspeção profunda de pacotes

DPI é um tipo de processamento de dados que inspeciona em detalhes os dados que

estão sendo enviados por umarede de computadores e pode executar ações como alertar,
bloquear, redirecionar ou registrar em log de acordo. A inspeção profunda de pacotes é
frequentemente usada para estabelecer o comportamento do aplicativo de linha de base,
analisar o uso da rede, solucionar problemas de desempenho da rede, garantir que os
dados estejam no formato correto, verificar se há código mal-intencionado, espionagem
ecensura na Internet,[1] entre outros fins. [2] Existem vários cabeçalhos parapacotes IP; O
equipamento de rede só precisa usar o primeiro deles (o cabeçalhoIP) para operação
normal, mas o uso do segundo cabeçalho (comoTCP ou UDP) é normalmente considerado
inspeção superficial de pacotes (geralmente chamada deinspeção de pacotes com
monitoração de estado), apesar dessa definição. [3]

Há várias maneiras de adquirir pacotes para inspeção profunda de pacotes. Usaro

espelhamento de porta (às vezes chamado deSpan Port) é uma maneira muito comum,
bem como inserir fisicamente umtoque de redeque duplica e envia o fluxo de dados para
uma ferramenta de analisador para inspeção.

A Inspeção Profunda de Pacotes (e filtragem) permite o gerenciamento avançado derede,

o serviço ao usuário e as funções de segurança, bem como a mineraçãodedados da
Internet, a espionagem ea censura da Internet. Embora o DPI tenha sido usado para o
gerenciamento da Internet por muitos anos, alguns defensores daneutralidade da
redetemem que a técnica possa ser usada de forma anticompetitiva ou para reduzir a
abertura da Internet. [4]

O DPI é usado em uma ampla gama de aplicações, no chamado nível "empresarial"

(corporações e instituições maiores), em provedores de serviços de telecomunicações e
em governos
Para que serve a inspeção profunda de
pacotes?
A inspeção profunda de pacotes é usada para determinar se um
determinado pacote está se movendo em direção ao destino certo. Ao
contrário da filtragem de pacotes, na qual os pacotes são classificados
com base na origem e seu destino, a inspeção profunda de pacotes vai
além de examinar os pacotes para detectar, analisar, localizar e bloquear
os pacotes como e quando necessário.

O DPI oferece análise em nível de pacote para identificar a causa básica

dos problemas de desempenho de rede ou aplicativo. É uma das técnicas
mais precisas para monitorar e analisar o comportamento do aplicativo,
problemas de uso da rede e muito mais. Além disso, a análise profunda
de pacotes também ajuda você a:

 Meça aplicativos essenciais aos negócios com alta latência de rede

 Melhore a disponibilidade dos aplicativos e atenda aos SLAs
 Gerar relatórios sobre dados históricos e realizar análises forenses

Pode ser usado para diferentes fins, tais como:

Bloqueando malware: O DPI ajuda a bloquear ameaças e malware antes

que ele interrompa os ativos de rede. Ele também fornece visibilidade dos
padrões de rede para ajudá-lo a identificar anomalias e notificar as
equipes relevantes para agir.
Prevenção de vazamentos de dados: A inspeção profunda de pacotes
também pode ser usada para analisar dados e definir filtros para evitar
tentativas de exfiltração de aplicativos e possíveis vazamentos de dados
por ameaças externas.
Definição e aplicação da política: Os provedores de serviços usam o DPI
em seus contratos de nível de serviço para implementar políticas ou
fornecer um determinado nível de serviço. Essas políticas podem
abranger o uso injusto de largura de banda ou protocolos, violações de
direitos autorais ou o uso de materiais ilegais. O DPI ajuda os provedores
de serviços a conhecer cada detalhe dos pacotes recebidos on-line.
Intercepção legal: As agências governamentais usam diferentes tipos de
serviços para permitir recursos de interceptação legal. Os produtos
habilitados para DPI ou DPI são considerados compatíveis com LI ou
CALEA (Communications Assistance for Law Enforcement Act) e são
usados para acessar o fluxo de dados de um usuário somente com
permissões de autoridade.
Qualidade do serviço: Aplicativos baseados no compartilhamento de
tráfego ponto a ponto (P2P) de documentos, mídias e arquivos maiores
aumentam o tráfego. Devido ao compartilhamento frequente de grandes
quantidades de dados, a carga de tráfego aumenta e requer capacidade
de rede adicional para melhorar o desempenho da rede. O DPI ajuda a
evitar o congestionamento da rede, permitindo que as operadoras
supervendam sua largura de banda disponível, ajudando a garantir a
distribuição equitativa da largura de banda pela rede.
Benefícios do uso do software de inspeção
profunda de pacotes (ferramentas DPI)
 Detecta e resolve a lentidão do usuário final: O software de
inspeção profunda de pacotes foi projetado para medir e monitorar
o tempo de resposta da rede, a latência da rede, os aplicativos e
muito mais. Ele ajuda a determinar o tempo necessário para chegar
ao pacote até o seu destino a partir da origem. Essas informações
permitem que os administradores encontrem a causa raiz dos
problemas, os aplicativos afetados, o volume de tráfego, a
contagem de tráfego e muito mais.
 Analisa os aplicativos instantaneamente: Com a
implementaçãoprofunda de inspeção de pacotes, torna-se mais
fácil analisar um grande número de aplicativos e seus tempos de
resposta. Ele pode monitorar várias métricas e ajudá-lo a se
concentrar nos metavalores dos aplicativos.
 Classifica o tráfego de rede: Com o software de inspeção
profunda de pacotes, os usuários ou as organizações de TI podem
identificar, filtrar e remover o tráfego não comercial. Ele detecta o
tráfego que flui em servidores específicos, em uma rede ou em
aplicativos para ajudar os usuários com o gerenciamento de
capacidade.
 Melhora a qualidade da experiência: O software de inspeção
profunda de pacotes oferece painéis de Qualidade da Experiência
para ajudar a monitorar fatores críticos de desempenho de
aplicativos. O painel fornece as principais métricas de desempenho
para ajudar os usuários a filtrar os resultados conforme necessário.
 Configurar alertas: As ferramentas de inspeção profunda de
pacotes podem ser integradas às ferramentas de monitoramento
de rede para receber alertas e atualizaçõesautomatizadassobre
problemas, desempenho da rede e muito mais. O DPI ajuda a
analisar as mudanças no desempenho do aplicativo com base nas
quais as equipes relevantes podem ser alertadas e tomar ações
rápidas.
Firewall
Firewall é um dispositivo de segurança da rede que monitora o tráfego de rede de entrada e
saída e decide permitir ou bloquear tráfegos específicos de acordo com um conjunto definido
de regras de segurança. Os firewalls têm sido a linha de frente da defesa na segurança de rede
há mais de 25 anos. Eles colocam uma barreira entre redes internas protegidas e controladas
que podem ser redes externas confiáveis ou não, como a Internet. Um firewall pode ser um
hardware, software ou ambos.

Características:

●Pelo firewall devem passar todos os pacotes que chegam ou saem de uma rede.

● Somente o tráfego autorizado na política de segurança da organização será encaminhado.

●O firewall deve prover ferramentas para registro e monitoramento do tráfego, como logs e
envios de alertas.

Modo de funcionamento
Os firewalls são dispositivos que combinam software e/ou hardware. Eles são
colocados entre sua rede interna e a internet para realizar uma filtragem de
pacotes com objetivo de evitar dados que possam conter códigos perigosos ou
vetores de ataque que já foram identificados como ameaças estabelecidas. Se
um pacote de dados for sinalizado e considerado um risco à segurança, o
firewall impede que ele entre na rede e chegue ao seu computador.

O firewall atua de duas formas estas são estática e dinâmica, na forma

estática, o dispositivo analisa os dados independente da relação dos pacotes.
Já na dinâmica, o mecanismo se adapta ao uso e corrige possíveis falhas na
atuação estática.
Quais os tipos de Firewalls?
O Packet filtering, conhecido como filtragem de pacotes, é uma técnica de
segurança de rede usada para controlar o acesso à rede monitorando os
pacotes de entrada e saída e permitindo que eles passem ou parem com base
nos endereços, protocolos e portas de protocolo da Internet (IP) de origem e
destino pré-definidos pelo desenvolvedor.

Os Proxy services são os tipos mais seguros de firewalls por atuar como um
intermediário entre a rede e os computadores impedindo conexões diretas e
transferência de pacotes entre os lados do firewall, o que torna mais difícil para
os invasores descobrirem de onde as informações dos pacotes estão
localizadas na rede.

Os servidores proxy de firewall filtram, armazenam em cache, registram e

controlam as solicitações provenientes de um cliente para manter a rede
segura e livre de intrusos.

Stateful inspection são firewalls que monitoram o estado completo das

conexões de rede ativas. Isso significa que esse tipo de firewall analisa
constantemente o tráfego dos pacotes de dados comparando a movimentação
com as configurações de padrões aceitáveis.

Depois que um determinado tipo de tráfego é aprovado por esse firewall, ele é
adicionado a uma tabela que permite que os dados possam viajar de um ponto
ao outro com liberdade para a rede protegida. 
Diferença que existe entre DPI E Firewall

A Inspeção Profunda de Pacotes (DPI) analisa não apenas o cabeçalho e o rodapé de um

pacote, mas também examina a parte de dados (conteúdo) do pacote em busca de
declarações ilegais e critérios predefinidos, permitindo que um firewall tome uma decisão mais
informada sobre se deve ou não permitir que o pacote passe com base em seu conteúdo.
Simplificando, o DPI investiga o conteúdo de dados do pacote, o que permite que
determinações adicionais sejam feitas antes que o pacote possa viajar para a rede.

O DPI realiza isso descartando pacotes de entrada, examinando a carga útil (dados),
comparando esses dados com critérios definidos e, em seguida, remontando o pacote para
transmissão (ou rejeição). Ao examinar a carga útil, os mecanismos de DPI também podem
empregar correspondência de assinatura, detecção de carga útil furtiva e vários outros
recursos de segurança.

Enquanto que o Firewall com monitoração de estado pode descobrir qual

protocolo de aplicativo foi usado examinando o segmento TCP da camada de
transporte, mas não é capaz de ver os dados em si. A tecnologia DPI dá um
passo à frente.

Ele pode abrir o pacote e examinar a camada 2-7 do modelo OSI. Em outras
palavras, a tecnologia DPI pode analisar:

 Quadros de camada 2.
 Cabeçalhos IP de camada 3.
 Estruturas de protocolo de dados
 Mas o mais importante, a carga útil da mensagem

A carga útil são os dados reais que não devem ser descartados ou abertos até
chegarem ao destino final.

Se você capturar o fluxo de tráfego e abrir um único pacote da origem/destino

específico no Wireshark, poderá abri-lo e visualizar sua carga útil (assim como
o DPI faria).

O problema aqui é que os resultados são muito detalhados.

Para fazer algum sentido com isso, talvez seja necessário fazer muitas
conversões em Hexadecimal para Decimal; seria muito demorado para apenas
um pacote.

O DPI é tão importante porque pode ajudar as grandes corporações a melhorar

seu ponto de vista de segurança, moldando seu tráfego.

Mas nem todo roteador (ou firewall) pode lidar com a inspeção profunda de
pacotes.
A tecnologia requer recursos substanciais para funcionar, por isso não é
comum em PMEs (Small-to-Medium-Businesses) e, se não for configurada
corretamente, pode ser um verdadeiro gargalo de tráfego.

Um roteador com DPI precisa ser poderoso para poder abrir cada pacote,
inspecioná-lo, envolvê-lo e enviá-lo novamente.

Somente grandes empresas, governos e provedores de serviços de

telecomunicações têm os recursos para colocar essa tecnologia para funcionar.