Inspección profunda de paquetes: ¿El futuro de los analizadores?

Como toda tecnología los analizadores de tráfico han venido evolucionado, y ante la pregunta de cuál es el siguiente paso en esta evolución muchos son los expertos que sugieren que la inspección profunda de paquetes o DPI es el punto al que todos habrán de evolucionar.

Sin embargo, DPI no es un concepto nuevo; empresas proveedoras de Internet lo han venido utilizando, no sin controversias, desde hace algunos años. Entonces, ¿por qué es referido como el siguiente paso?

Para responder esto debemos entender bien qué es DPI, en qué se diferencia de la inspección tradicional de paquetes, cuándo se aplica, sus pros y contras y, ya puestos, evaluar si la predicción anterior tiene sentido.

Esto es justo lo que les proponemos con este post.

Las diferencias

Partimos de que tanto las tramas de capa de enlace de datos como los paquetes de las capas superiores se componen de dos grandes partes: el encabezado y la data.

La porción conocida como data o cuerpo del paquete contiene la información que se desea transmitir desde el origen hasta el destino.

Los encabezados, por su parte, son un grupo de bytes que los protocolos colocan delante de la data con toda la información necesaria para establecer la comunicación. Debemos aclarar que en realidad también podemos encontrar los llamados ¨trailers¨, que son piezas agregadas luego de la data.

En este artículo, por simplicidad, llamaremos encabezado a todo lo que no corresponde a data y llamaremos paquetes para referirnos tanto a tramas como a paquetes.

Así pues, en los encabezados encontramos la dirección de origen del paquete, la dirección destino, la longitud total del paquete, códigos asociados con el control y secuenciación de la transmisión, además de aquellos relacionados con el control de errores, etc.

Por lo general los encabezados son de tamaño y estructura fija; ahora bien, qué tamaño y qué campos lo componen depende del protocolo en cuestión (Ethernet, IP, TCP, UDP, etc.).

Por su parte, la porción de data del paquete suele ser de tamaño variable y suele contener información sensible para el usuario.
Pensemos, por ejemplo, en la transmisión de un correo electrónico; dependiendo del tamaño del correo que deseamos transmitir quizás se requieran, digamos, cuatro paquetes, cada uno con 128 bytes de encabezado y 896 bytes de data, conformándose paquetes de 1024 bytes.

Ahora bien, la inspección que tradicionalmente realizan los analizadores de paquetes se fundamenta en la evaluación y estudio de los encabezados y considera intocable la porción de data.

Por el contrario, la inspección profunda de paquetes propone la evaluación del todo el paquete, incluyendo la parte que corresponde a la data del usuario.

Esta es la diferencia fundamental; sin embargo, hay más diferencias que provienen de los esquemas de trabajo y de las acciones ejecutadas.

Por un lado, los analizadores de tráfico intentan no afectar o afectar de forma mínima el tráfico que se está evaluando.

Los analizadores facilitan tanto el análisis en tiempo real como en tiempo diferido, y su objetivo es que el usuario determine situaciones de error o de posibles errores y las corrija ejecutando acciones sobre los elementos que conforman la red, como switches, enrutadores, aplicaciones, etc.

Por otro lado, tenemos a las herramientas que realizan inspección profunda de paquetes cuyo objetivo final es ejercer una acción sobre el tráfico. Para ello parten de las siguientes premisas:

  • La evaluación de los paquetes se realizará cuando dichos paquetes pasen por un punto de inspección.
  • Los paquetes deben decodificarse en caso de que sea necesario y analizarse.
  • Luego, en función de criterios que pueden ser predefinidos y configurados, se decidirá qué hacer con el paquete. Entre las acciones válidas se encuentra modificar su ruta, asignar o modificar su prioridad, asignar una cantidad de ancho de banda específico, ponerlo en cuarentena o incluso eliminarlo.

Aplicación de la inspección profunda de paquetes

Teniendo claras las premisas que dan base a los procedimientos de la inspección profunda podemos establecer las áreas que pueden ser sensibles a la utilización de esta tecnología:

Seguridad

Es fácil entender que una aplicación directa se encuentra en la seguridad de red.

De hecho, este tipo de inspección se aplica para detectar y ejecutar acciones sobre la presencia de malware y en la detección y prevención de intrusos.

Si el lector está interesado en el tema de seguridad de redes le recomendamos revisar el siguiente post.

Monitorización de Tráfico encriptado

Derivado del tema de Seguridad tenemos las aplicaciones en la monitorización de tráfico encriptado.

Siendo que muchas de las amenazas utilizan el tráfico encriptado como vía de ingreso a las redes, se puede relacionar la inspección profunda de paquetes con la monitorización del tráfico encriptado.

Esta relación es especialmente fuerte en el marco de las herramientas que siguen la estrategia de desencriptar el tráfico, evaluarlo y si está libre de sospecha reencriptarlo y permitir su transmisión por la red, y si existe alguna sospecha descartarlo o al menos colocarlo en cuarentena.

En cuanto al monitoreo de tráfico encriptado debemos mencionar que existe otra estrategia que desestima la desencriptación de los paquetes y opta por la evaluación de la metadata asociada con el tráfico encriptado y a partir de la cual realiza inferencia sobre si el tráfico puede ser malicioso o no.

Con esta estrategia de no desencriptar la inspección profunda de paquetes no tiene sentido.

Obtención de información estadística

Una de las aplicaciones más interesantes de la inspección profunda de paquetes es justamente la obtención de información estadística del comportamiento de la red o de los usuarios.

Una aplicación interesante, pero no exenta de controversia.

Sin duda vivimos una época caracterizada por una alta sensibilidad por la protección de datos personales y constantes juicios legales por aplicaciones poco claras en sus actividades de minería de datos.

En este escenario, la aplicación de DPI en el marco de Internet (ejecutada por empresas proveedoras de transporte u organizaciones que desarrollan aplicaciones de consumo masivo) suele ser vista con suspicacia e incluso con temor.

El lector interesado en este aspecto particular de seguro encontrará interesante este documento donde ya hace algunos años se evaluaban las actividades basadas en DPI de empresas proveedoras de Internet.

En todo caso, sea cual sea la aplicación de DPI, esta siempre ha estado condicionada por un aspecto técnico: la cantidad de recursos informáticos requeridos para sustentar el trabajo en tiempo real de evaluar cada paquete en su totalidad y tomar las acciones necesarias.

Todo esto sin afectar el rendimiento global de la plataforma.

De hecho, los detractores de la inspección profunda de paquetes, luego de mencionar los aspectos éticos, argumentan como principal contra el costo su aplicación.

En este punto entran en juego las dos metodologías de aplicación de la tecnología DPI:

DPI por stream

En esta metodología cada paquete que es capturado es analizado y se toman las decisiones paquete a paquete.

Los detractores de esta metodología argumentan que con comunicaciones de gran tamaño, en las que se requiere la transmisión de muchos paquetes por transacción, esta metodología puede resultar muy costosa e incluso ineficiente.

DPI por proxy

En DPI por proxy la unidad básica no es el paquete sino la transacción; por lo tanto,, los paquetes se capturan y se almacena hasta contar con todos los paquetes asociados con una transacción y es en ese momento en que se realiza el análisis.

Si con los primeros paquetes de una transacción queda claro que se trata de una comunicación riesgosa o que cumple la condición predefinida, se detendrá el análisis y la acción, sea la que fuere, se aplicará a todo el grupo de paquetes.

Los detractores de DPI por proxy argumentan que el dimensionamiento del búfer necesario para almacenar los paquetes asociados con una transacción particular se convierte en un punto de falla que puede afectar en mucho el rendimiento de las aplicaciones y por lo tanto de la plataforma.

En todo caso, la existencia de estas dos metodologías y toda la controversia alrededor de las mismas muestra que el rendimiento es un punto crucial en la aplicación de DPI y que la configuración de las herramientas ha de ser efectuada manteniendo una balanza positiva entre los beneficios obtenidos y el costo de su aplicación.

¿Es DPI el futuro?

Como dijimos antes, la inspección profunda de paquetes viene utilizándose desde hace ya algún tiempo, en particular en las empresas proveedoras de servicio de Internet como parte de sus procesos de gestión de tráfico y optimización de los anchos de banda.

Más recientemente el uso de DPI ha pasado al mundo corporativo, en especial por aplicaciones en el área de la seguridad, la detección de intrusos, etc.

Ahora bien, la pregunta que nos interesa es si la inspección profunda de paquetes es el futuro para las herramientas de análisis de tráfico e incluso para herramientas de análisis y monitoreo de propósitos generales como Pandora FMS.

En principio debemos decir que las herramientas de análisis de tráfico y las herramientas de monitorización son capaces de extraer una cantidad enorme de información muy valiosa, haciendo inspección tradicional de los paquetes y utilizando protocolos como SNMP, WMI, etc.

Si el lector desea tener una visión general de las potencialidades de Pandora FMS en su versión Enterprise le recomendamos visitar este enlace.

Dicho esto, suena lógico que antes de pensar en si deben o no hacer DPI se debería evaluar si los usuarios de estas herramientas sacan todo el provecho posible de las mismas.

Quizás en el futuro pase por efectuar esfuerzos por hacer aún más intuitivas las herramientas, contemplar la integración de diferentes herramientas o desarrollar planes de asesoría que resulten en la definición de procesos de optimización en función de la información extraída.

No sabemos lo que deparará el futuro, pero lo que sí es cierto es que la monitorización y el análisis del tráfico son, cada día más, actividades indispensables para el funcionamiento óptimo cualquier empresa.

banner full pandora fms free demo
banner tablet pandora fms free demo
banner mobile pandora fms free demo

Finalmente les invitamos a compartir sus inquietudes sobre DPI dejando sus comentarios.

Shares