Thứ Hai, ngày 18 tháng 10 năm 2021

Tác dụng của Deep Packet Inspection trong bảo mật mạng

Ngày đăng:11:26 02/04/2021
Lượt xem: 1.168
Cỡ chữ
Trong hoạt động ngân hàng nói riêng và trong bảo mật hệ thống mạng nói chung, Deep Packet Inspection (DPI) là một phương pháp kiểm tra và quản lý lưu lượng mạng tiên tiến, một loại filter (lọc) mạng dùng để trích xuất thông tin, phân tích sâu các gói.
 DPI sẽ loại bỏ phần dữ liệu và tiêu đề của gói được truyền qua điểm kiểm tra, loại bỏ bất kỳ sự không tuân thủ nào đối với protocol, spam, virus, xâm nhập và bất kỳ tiêu chí được xác định nào khác để chặn gói đi qua điểm kiểm tra. DPI mang đến cho các nhà quản trị hệ thống mạng những tính năng quản lý nâng cao hữu ích và triệt để hơn, điều mà các quy trình lọc gói thông thường, vốn chỉ kiểm tra các tiêu đề gói không thể phát hiện.
 

 
Cách thức hoạt động của DPI
 
DPI là một hình thức lọc các gói dữ liệu, thường được thực hiện như một chức năng firewall (tường lửa), nó được áp dụng ở tầng Application trong mô hình OSI (Open Systems Interconnection). DPI đánh giá nội dung của các gói đang đi qua điểm kiểm tra. Sử dụng Rules (hay policy) được chỉ định bởi riêng người sử dụng hay nhà cung cấp dịch vụ internet, DPI xác định những việc cần làm với các gói cụ thể trong thời gian thực.
 
DPI có thể kiểm tra nội dung của các gói này và sau đó tìm ra nó đến từ đâu, chẳng hạn như dịch vụ hoặc ứng dụng đã gửi nó. Ngoài ra, nó có thể hoạt động với các bộ lọc để tìm và chuyển hướng lưu lượng truy cập mạng từ một dịch vụ trực tuyến, chẳng hạn như Twitter hoặc Facebook hoặc từ một địa chỉ IP cụ thể.
 
DPI cũng được sử dụng để quyết định xem một gói cụ thể có được chuyển hướng đến đích khác hay không. Tóm lại, DPI có thể xác định vị trí, phát hiện, phân loại, chặn hoặc định tuyến lại các gói có mã hoặc reroute dữ liệu cụ thể không được phát hiện, định vị, phân loại, chặn hoặc chuyển hướng bằng cách lọc thông thường. Không giống như các giao thức lọc đơn giản, DPI vượt ra ngoài việc kiểm tra các tiêu đề của gói.
 
Trên thực tế, DPI có thể là một phần hoặc được sử dụng kết hợp với hệ thống phòng chống xâm nhập (Intrusion Prevention Systems - IPS), nhưng đồng thời cũng có thể trở thành một tính năng quan trọng thuộc hệ thống tường lửa thế hệ mới nhờ vào khả năng phân tích lưu lượng truy cập chi tiết, đặc biệt là tiêu đề của các gói và dữ liệu lưu lượng. DPI cũng có thể được sử dụng để theo dõi lưu lượng gửi đi nhằm đảm bảo thông tin nhạy cảm không rời khỏi (bị rò rỉ) mạng công ty dựa trên một công nghệ được gọi là ngăn chặn thất thoát dữ liệu DLP (Data Loss Prevention). DPI hoạt động ở lớp ứng dụng của mô hình tham chiếu Liên kết hệ thống mở OSI.
 
Như đã phân tích, DPI có nhiệm vụ kiểm tra nội dung của các gói dữ liệu khi chúng đi qua một điểm kiểm tra nhất định và đưa ra quyết định theo thời gian thực dựa trên các quy tắc được chỉ định cụ thể bởi doanh nghiệp, nhà cung cấp dịch vụ internet hoặc quản trị viên hệ thống mạng, tùy thuộc vào việc gói đó chứa nội dung gì. Nói cách khác, DPI sẽ đánh giá nội dung của một gói đi qua một điểm kiểm tra cụ thể. Sau đó sử dụng các quy tắc được thiết lập bởi tổ chức, nhà cung cấp dịch vụ hoặc quản trị viên hệ thống để xác định những việc cụ thể cần làm với gói đó trong thời gian thực.
 
Các hình thức lọc gói trước đây thường chỉ xem xét đến thông tin tiêu đề, cũng giống như việc bạn nhận được một lá thư nhưng chỉ đọc nội dung người gửi ghi ngoài phong bì vậy. Sự “thiếu chặt chẽ” trong trường hợp này là khó tránh khỏi bởi điều đó một phần là do những hạn chế về mặt công nghệ. Cho đến thời gian gần đây, tường lửa vẫn không sở hữu đủ khả năng xử lý cần thiết để thực thi các quy trình kiểm tra sâu hơn về lưu lượng traffic lớn trong thời gian thực. Những tiến bộ về công nghệ đã cho phép DPI thực hiện các kiểm tra nâng cao phức tạp hơn giống như việc bạn không chỉ đọc dòng thông tin bên ngoài phong bì, mà còn biết cách mở phong bì đó và đọc nội dung bức thư.
 
Ứng dụng DPI trong thực tế
 
DPI mang tính ứng dụng cao và đặc biệt hữu ích trong nhiều trường hợp sử dụng thực tế. Nó có thể được sử dụng như một lớp phát hiện xâm nhập để giúp xác định sớm các cuộc tấn công có nguy cơ vượt qua được hệ thống tường lửa.
 
Đối với các tổ chức chủ yếu sử dụng máy tính xách tay trong quy trình làm việc, DPI có thể đóng vai trò như một lớp bảo mật quan trọng, có nhiệm vụ ngăn chặn việc các chương trình độc hại xâm nhập vào mạng một cách chủ động hơn. Ví dụ, DPI có thể phát hiện và đưa ra phản hồi kịp thời trong trường hợp máy tính xách tay đang được sử dụng để chạy những ứng dụng thuộc danh sách cấm.
 
Một ứng dụng khác của DPI đối với các tổ chức, doanh nghiệp là trong quản lý mạng để hợp lý hóa luồng lưu lượng mạng. DPI giúp xác định và ưu tiên lượng dữ liệu truyền đến qua mạng bởi trong nhiều trường hợp, có một lượng lớn traffic tồn tại trong hệ thống mạng. Ví dụ, một tin nhắn được gắn thẻ với mức độ ưu tiên cao có thể được chuyển đến đích trước các tin nhắn hoặc gói ít quan trọng hơn, hoặc mức độ quan trọng thấp liên quan đến duyệt internet thông thường. DPI cũng có thể được sử dụng để truyền dữ liệu được điều chỉnh để ngăn chặn lạm dụng ngang hàng, từ đó góp phần cải thiện hiệu suất mạng.
 
Ngoài ra, tính năng này cũng sẽ mang lại hiệu quả nhất định trong việc chặn các yêu cầu độc hại. DPI có thể được sử dụng cho mục đích phòng vệ như một công cụ bảo mật mạng: Phát hiện và ngăn chặn virus cũng như các hình thức lưu lượng độc hại khác. DPI cũng có thể được sử dụng để tăng cường khả năng của ISPs để ngăn chặn việc khai thác các thiết bị IoT trong các cuộc tấn công DDOS bằng cách chặn các request độc hại.
 
Trong thực tế, DPI cũng có thể được sử dụng nhằm ngăn chặn rủi ro rò rỉ dữ liệu, chẳng hạn như từ email gửi đi. Nó có thể kiểm tra không chỉ lượng dữ liệu đến mà còn cả lượng dữ liệu được chuyển đi từ dữ liệu mạng. Bằng cách sử dụng các quy tắc cụ thể, quản trị viên có thể ngăn dữ liệu nhạy cảm bị truyền ra khỏi hệ thống mạng.
 
Các công nghệ sử dụng DPI
 
Một số công nghệ và kỹ thuật liên quan đến quy trình DPI mà một tổ chức có thể sử dụng:
 
- Sự tương xứng trong mẫu và chữ ký: Có thể phân tích một gói bằng cách sử dụng cơ sở dữ liệu liên quan các cuộc tấn công mạng đã ghi nhận. Phương pháp này chỉ có hiệu quả đối với các cuộc tấn công đã biết.
 
- Các giải pháp IPS: Có thể chặn các cuộc tấn công đã được phát hiện, cũng như những dữ liệu không mong muốn, các giải pháp này có chức năng tương tự như trong dòng IDS (Intrusion Detection Systems - Hệ thống phát hiện xâm nhập), mặc dù chúng có khả năng chặn các cuộc tấn công được phát hiện trong thời gian thực tế. Một trong những thách thức lớn nhất trong việc sử dụng kỹ thuật này là nguy cơ phát hiện sai, có thể được giảm thiểu ở một mức độ nào đó thông qua các chính sách cụ thể.
 
- Các giao thức bất thường: Tùy chọn từ chối truy cập mặc định (default deny) có thể được sử dụng ở trường hợp này, giúp xác định xem nội dung nào sẽ được phép thông qua.
 
Một số hạn chế của DPI
 
Với những gì mà cách mạng công nghiệp 4.0 mang lại, các công nghệ mới đang phát triển rất nhanh và đem lại nhiều lợi ích trong nhiều lĩnh vực, ngành nghề. Vì vậy, DPI cũng không tránh khỏi những nhược điểm và DPI cũng ẩn chứa một vài thách thức trong một số trường hợp. Những hạn chế đáng lưu tâm nhất đối với công nghệ DPI đó là:
 
Thứ nhất, DPI mang lại hiệu quả cao trong việc bảo vệ hệ thống mạng trước những lỗ hổng đã được biết đến, nhưng nó lại có thể là “chất xúc tác” tạo ra các lỗ hổng mới. Cụ thể, DPI mang lại hiệu quả cao trong việc ngăn ngừa các cuộc tấn công tràn bộ đệm (overflow attack), các cuộc tấn công từ chối dịch vụ (DDoS), cũng như một số loại phần mềm độc hại. Tuy nhiên, nó cũng có thể bị kẻ gian khai thác và trở thành một công cụ tạo điều kiện cho các cuộc tấn công tương tự.
 
Thứ hai, DPI góp phần tăng thêm tính phức tạp và khó sử dụng của hệ thống tường lửa hiện có, cũng như các phần mềm liên quan đến bảo mật khác. Công nghệ này đòi hỏi phải được cập nhật và sửa đổi đều đặn theo định kỳ riêng thì mới có thể duy trì hiệu quả tối ưu.
 
Thứ ba, DPI có thể làm giảm tốc độ mạng bởi nó làm tăng thêm “gánh nặng” cho các bộ xử lý tường lửa.
 
Mặc dù DPI vẫn tồn tại một số hạn chế nêu trên, nhưng ưu điểm mà DPI mang lại là không thể phủ nhận và nhiều quản trị viên hệ thống mạng vẫn chọn công nghệ DPI như một nỗ lực hiệu quả nhằm đối phó với sự gia tăng về tính phức tạp và phổ biến của các nguy cơ bảo mật liên quan đến internet. Vì vậy, DPI vẫn là sự lựa chọn có giá trị cho các mục đích từ quản lý hiệu suất đến phân tích và bảo mật doanh nghiệp.

 
Tài liệu tham khảo:
 
1. https://securitydaily.net/;
2. http://tptechs.vn/index.php/;
3. https://vietnetco.vn/.

Phạm Quốc Hưng

Đại học Bách khoa Hà Nội

Chuyên đề Công nghệ và Ngân hàng số, số 07/2020
Bình luận Ý kiến của bạn sẽ được biên tập trước khi đăng. Xin vui lòng gõ tiếng Việt có dấu