Bei der Deep Packet Inspection (DPI) handelt es sich um eine der gründlichsten Methoden zur Analyse und Überwachung von Datenpaketen, die in einem Netzwerk übertragen werden. Während einfache Packet-Inspection-Ansätze lediglich den Daten-Header eines Pakets untersuchen, um Routing-Entscheidungen zu treffen, inspiziert ein DPI-System das gesamte Datenpaket – sowohl den Header als auch Inhalt und Nutzlast.

Andreas Junck, Senior Sales Director DACH von Gigamon verrät, warum DPI-Systeme im Umgang mit komplexen Netzwerkumgebungen zukünftig nicht mehr wegzudenken sind.

DPI: Tiefgreifende Analysen von Datenpaketen
Den Kern von DPI-Engines bildet in der Regel die signaturbasierte Analyse. Da Malware bestimmte Merkmale oder „Signaturen“ aufweisen, die sie von seriöser Software unterscheidet, enthalten DPI-Systeme umfangreiche Datenbanken, die diese Merkmale sammeln.

Bei Datenverkehr scannt die DPI-Engine den Inhalt der Datenpakete und gleicht ihn mit den Datenbanken ab. Erkennt sie eine Übereinstimmung, blockiert das System den Inhalt. Dieses Vorgehen ist zwar wirksam, um bekannte Bedrohungen zu entdecken, lässt Zero-Day-Malware, also neue oder bisher unbekannte Bedrohungen allerdings außen vor. Um diese Lücke zu schließen, kommen heuristische Analysen zum Einsatz.

Sie untersuchen die Inhalte der Datenpakte auch dann, wenn dieser laut signaturbasierter Analyse keine verdächtigen Merkmale aufweist. Dazu prüft die DPI die Eigenschaften von Dateien und Datenströmen, bewertet Datenstrukturen, verwendete Protokolle und die Art der Anfrage. Weicht das Verhalten des Datenpakets deutlich von der Norm ab, schätzt die DPI-Engine es als schädlich ein.

Um Anomalien und damit Sicherheitsrisiken zu erkennen, blickt das DPI-System aber nicht nur auf die Inhalte der Datenpakete, sondern auch auf das Netzwerkverhalten. Anhand von Parametern wie den üblichen Datenübertragungsgrößen oder verwendeten Protokollen erstellt die DPI-Engine eine Referenz für normales Verhalten des Netzwerks. Der eingehende Datenverkehr wird damit verglichen und Abweichungen als Risiko gewertet.

Mehr als nur ein Sicherheitssystem
Der Einsatz eines solchen DPI-Systems geht Hand in Hand mit einer Vielzahl an Vorteilen. Dazu gehört neben erhöhter Netzwerksicherheit auch eine optimierte Netzwerkleistung. Da DPI-Systeme die Art des Datenverkehrs nur zu gut kennen, können sie die Bandbreitennutzung effizient einteilen und etwa wichtigen Anwendungen Vorrang einräumen. Das hat nicht nur einen positiven Einfluss auf Quality of Service (QoS)-Mechanismen, sondern führt auch zu einem besseren Nutzererlebnis, da kritische Anwendungen zuverlässig abgerufen werden können.

Zusätzlich unterstützen DPI-Systeme auch bei der Einhaltung von gesetzlichen Vorschriften. Sie stellen etwa sicher, dass sensible Daten nicht unsachgemäß oder an nicht autorisierte Personen weitergegeben werden. Mit Hilfe von DPI erhalten Betreiber außerdem ein besseres Verständnis des Netzwerkverhaltens und können so Fehler schneller lokalisieren und Engpässe einfacher feststellen.

Trotzdem können DPI-Systeme nicht blindlinks eingeführt werden, da sie die richtigen Voraussetzungen benötigen, damit Unternehmen tatsächlich von diesen Vorteilen profitieren. Zum einen muss sichergestellt werden, dass die DPI gemäß geltender Datenschutzbestimmungen arbeitet, zum anderen ist die Verwaltung dieser komplexen Systeme anspruchsvoll und erfordert geschulte Administration, da DPI-Engines anderenfalls die Netzwerkgeschwindigkeit beeinträchtigen.

Fazit
Deep Packet Inspection ist im Umgang mit modernen Netzwerken eine unverzichtbare Herangehensweise. Von verbesserter Netzwerksicherheit bis hin zu optimierter Leistung liefern DPI-Systeme die nötigen Voraussetzungen, um mit zunehmend komplexen Umgebungen und wachsenden Sicherheitsrisiken Schritt halten zu können.

Weitere Beiträge....