Giriş 

Güvenlik duvarı teknolojileri geliştikçe, bilgisayar korsanları da gelişti. OSI modelinde bulunan IP ve Transport katmanlarında herhangi bir sorun yok fakat  gerçek tehdit paketin veri bölümünde yer alıyorsa ne yapmalıyız?

Tam da bu noktada, Deep Packet Inspection / Derinlemesine Paket İnceleme (DPI) yöntemi gelmektedir.

Örneğin, birçok uygulama (örneğin Skype, P2P torrent uygulamaları) standart HTTP ve HTTPS bağlantı noktalarında çalışır. Statik ve/veya durum bilgisi olan filtreleme kullanan bir güvenlik duvarı, normal web trafiği olduğunu düşünen uygulamalardan gelen trafiğe izin verir.

DPI ise temel olarak, sadece bir paket tarafından taşınan genel bilgileri değil, aynı zamanda paketin içeriğini de inceleyebilir. Yani DPI, “kullanılan port HTTP iken, taşınan uygulama aslında Skype” diyebiliyor. 

Deep Packet Inspection Nedir?

TCP/IP üzerinden gönderilmekte olan bir paket veya veri direkt olarak router üzerinden geçer ve routerlar gönderilmekte olan bu veri router’a iletilen Destination Address ile hedefe ulaştırılmaktadır. Her ne kadar routerların temel amacı veri iletimini en hızlı şekilde gerçekleştirmek olsa da, bir router istenildiğinde sadece veriyi iletmekten daha fazlasını yapabilir; çünkü gönderilmekte olan veri network dışına çıkarken ilk olarak router üzerinden geçmektedir ve router bu verinin içeriğini görüntüleme olanağına sahiptir. 

DPI’da , paket üzerinde sadece basit incelemeler yapmak yerine, diğer paket inceleme metodlarına ek olarak OSI modelindeki tüm layerları, özellikle de Application Layer’ı ve gönderilmekte olan paket içerisindeki Data/Payload bilgisini inceleyerek daha derinlemesine bir inceleme sağlamaktadır.

Deep Packet Inspection Nasıl Çalışır?

Derin paket incelemesi, genellikle güvenlik duvarlarının içine entegre olmuş paket filtrelemedir. 

Derin paket incelemesi, bir kontrol noktasından geçen paketin içeriğini değerlendirir. Internet servis sağlayıcınız veya ağ sistem yöneticiniz tarafından atanan kuralları kullanarak, derin paket incelemesi yapılabilir.

DPI, paketlerin içeriği kontrol edebilir ve ardından onu gönderen hizmetin nereden geldiğini bulabilir. Ayrıca Twitter, Facebook vb. çevrimiçi bir hizmetten veya belirli bir IP adresinden ağ trafiğini bulmak ve yönlendirmek için çeşitli filtreler kullanılabilir.

Deep Packet Inspection Teknikleri

Derin paket incelemesinde kullanılan bazı teknikler aşağıda sıralanmıştır:

• • Desen veya imza eşleştirme

İzinsiz Giriş Algılama Sistemi (IDS) özelliğine sahip bir güvenlik duvarı, her paketi bilinen ağ saldırılarından oluşan bir veritabanına karşı analiz eder. IDS, kötü amaçlı olduğu bilinen belirli imzaları arar ve böyle bir imza bulursa trafiği engeller. İmza eşleştirme tekniğinin dezavantajı, imzalar düzenli olarak güncelleştirildiğinde etkili olan bir yöntemdir.

Ayrıca, bu yöntem yalnızca bilinen tehditlere veya saldırılara karşı çalışır. Her gün yeni tehditler keşfedildiğinden, güvenlik duvarının tehditleri algılayabilmesini ve ağı güvenli ve emniyetli tutmaya devam etmesini sağlamak için devam eden imza güncellemeleri kritik öneme sahiptir.

• • Sezgisel ve Davranış Analizi

Bir uygulamayı veya protokolü anlamak, davranışını incelemekle başlar. Paket boyutlarını, paketler arasındaki zamanlamayı vb. ölçmek gibi. Protokol veya uygulama imzasını değiştirse bile, davranışın aynı kalması muhtemeldir. Örneğin, IP üzerinden Ses (VoIP) trafiği genellikle oturum başlatma ile başlar ve arama trafiğini teslim etmek için birçok UDP paketi kullanılır.

• • Protokol anomalisi

Protokol anomalisi tekniği, IDS’li güvenlik duvarları tarafından da kullanılır, ancak burada güvenlik duvarının protokol tanımlarına dayanarak hangi içeriğe/trafiğe izin verilmesi gerektiğini belirlediği varsayılan bir reddetme yaklaşımı izler. Yani aradaki fark, imza eşleştirmenin aksine, bu yöntemin ağı bilinmeyen saldırılara karşı da korumasıdır.

• • İzinsiz giriş önleme sistemi (IPS)

IPS çözümleri, kötü amaçlı paketlerin içeriğine göre teslim edilmesini engelleyerek algılanan saldırıları gerçek zamanlı olarak engelleyebilir. Bu nedenle, belirli bir paket bilinen bir güvenlik tehdidini temsil ediyorsa, IPS tanımlanmış bir kural kümesine dayanarak ağ trafiğini proaktif olarak engeller. Ancak, veritabanının yeni tehditler hakkında bilgilerle düzenli olarak güncellenmesi gerekir.

IPS’nin dezavantajı, FP durumlar ortaya çıkabilir ancak bunlar ağ bileşenleri için uygun temel davranışlar, koruma amaçlı düzenlenen politikalar ve özel eşik değerleri oluşturarak ağ izleme ve uyarılarını iyileştirmek için günlüğe kaydedilen olaylar düzenli olarak gözden geçirilerek azaltılabilir.

Deep Packet Inspection Avantajları ve Dezavantajları

Avantajları

• • Normal paket filtreleme ile tespit edilemeyen kötü amaçlı kodları tespit etme, tanımlama, sınıflandırma, yeniden yönlendirme veya engelleme sağlar.
  • İletişim hizmeti sağlayıcıları, DPI’ı trafik akışını kolaylaştırmak için kullanılabilir.
  • Ağın kötüye kullanımı önlemek için kısıtlanmış veri aktarımı sağlanabilir, böylece çoğu kullanıcı için ağ performansını artırır.

Dezavantajları

• • Yeni güvenlik açıkları oluşturabilir.
  • Bazı kategorilerdeki saldırıları kolaylaştırmak için kullanılabilir.
  • Mevcut güvenlik duvarlarına ve güvenlikle ilgili diğer yazılımlara ek güvenlik önlemleri katsa da kullanımı zorlaştırır.
  • İşlemcinin yükünü arttırdığı için bilgisayar hızını azaltabilir.

Deep Packet Inspection İçin Kullanım Örnekleri

Derin paket incelemesi için çeşitli kullanımlar vardır. Hem bir saldırı tespit sistemi hem de izinsiz giriş önleme ve izinsiz giriş algılamanın bir kombinasyonu olarak kullanılabilir. Güvenlik duvarınızın, izinsiz giriş önleme ve izinsiz giriş algılama sistemlerinizin yeterince algılayamadığı saldırıları tanımlayabilir.

Kuruluşunuzda dizüstü bilgisayarlarını iş için kullanan kullanıcılar varsa, solucanların, casus yazılımların ve virüslerin şirket ağınıza girmesini önlemek için derin paket incelemesi hayati önem taşır. Ayrıca, derin paket incelemesi kullanmak, sizin tarafınızdan tanımlanan kurallara ve politikalara dayanır. Ağınızın onaylanmış uygulamaların yasaklanmış kullanımları olup olmadığını tespit etmesini sağlar.

Derin paket incelemesi, ağ yöneticileri tarafından ağ trafiğinin akışını kolaylaştırmaya yardımcı olmak için de kullanılır. Örneğin, yüksek öncelikli bir veriniz varsa, yüksek öncelikli verilerin diğer düşük öncelikli verilerin önce iletilmesini sağlamak için derin paket incelemesini kullanabilir. Ayrıca, sıradan tarama paketlerinden önce, görev açısından kritik olan paketlere öncelik verebilir. 

Son olarak, derin paket incelemesi, gizli bir dosyayı e-postayla gönderme gibi herhangi bir bilgi sızdırmayı önlemenize yardımcı olabilir. 

Deep Packet Inspection Neden Önemlidir?

Derin paket incelemesi gelişmiş ağ yönetimi, kullanıcı hizmeti ve güvenlik işlevlerinin yanı sıra internet veri madenciliği, gizlice dinleme ve internet sansürü sağlar. DPI, telekomünikasyon servis sağlayıcıları ve devlet tarafından çok çeşitli kurumsal uygulamalarda kullanılır.

Hızla gelişen tehditler ve sıfırıncı gün saldırılarına karşı DPI, etkili bir ağ güvenliği stratejisi sağlaması yönünden oldukça kritiktir.

Deep Packet Inspection Çözümü Sunan Bazı Yazılımlar

DPI çözümü genellikle farklı ürünlerin içerisinde konumlandırılmış bir özelliktir. Aşağıda bu çözümü sağlayan bazı teknolojiler sıralanmıştır:

1. Omnis CyberStream Network Security Sensor: Herhangi bir ağ ortamında (genel bulut dahil) stratejik olarak dağıtılan NETSCOUT CyberStream ağ güvenliği sensörleri, ham paketleri siber güvenlik ekiplerine kapsamlı ağ görünürlüğü ve daha iyisi için zengin bir veri kaynağı sağlayan zengin bir katman 2-7 meta veri kaynağına dönüştürmek için patentli, yüksek oranda ölçeklenebilir, Derin Paket İnceleme (DPI) teknolojisini kullanır.
2. SolarWinds Ağ Performans İzleyicisi: Bu ağ izleme aracı, ağ trafiğindeki kaynak ve hedef uygulamaları,uç noktaları tanımlamak için derin paket incelemesi sağlar.Otomatik algılama ve sürekli cihaz izlemeyi içeren bu ürünün sadece bir özelliğidir. Windows Server üzerinde çalışır.
3. PRTG ile Paessler Paket Koklama: Altyapı izleme aracıdır ve paket sensörü içerir.
4. OpManager: Çevrimdışı analiz için paketleri yakalayabilen bir ağ performans izleyicisidir. Windows ve Linux üzerinde çalışır.
5. nDPI: Uygulama katmanındaki paketleri inceler.
6. Netifyd: Diğer hizmetler tarafından incelenmek üzere paketleri yakalayan bir nDPI uyarlamasıdır.
7. AppNeta: Çevrimdışı trafik analizi içeren Bulut tabanlı bir ağ izleme sistemidir.
8. NetFort LANGuardian: DPI kullanan ve Linux üzerinde çalışan bir ağ güvenliği analiz aracıdır.