Inspección profunda de paquete

Deep Packet Inspection (DPI) o Inspección a fondo de los paquetes, es el acto de inspección realizado por cualquier equipo de red de paquetes que no sea punto final de comunicación, utilizando con algún propósito el contenido (normalmente la parte útil) que no sea el encabezamiento del paquete. Esto se efectúa en el momento en que el paquete pasa un punto de inspección en la búsqueda de incumplimientos del protocolo, virus, spam, intrusiones o criterios predefinidos para decidir qué medidas tomar sobre el paquete, incluyendo la obtención de información estadística. Esto contrasta con la inspección superficial de paquetes (usualmente llamada Packet Inspection) que solo inspecciona el encabezamiento de los paquetes.[1]

Como muchas tecnologías de red, el DPI (y el filtrado) permiten funciones avanzadas de seguridad así como minería de datos, escuchas ocultas y censura. Pese a que la tecnología DPI ha sido utilizada para administrar Internet durante muchos años, algunos defensores de la neutralidad de la red temen que la tecnología DPI pueda ser utilizada como competencia deshonesta o para restringir la apertura de Internet.[2]

DPI está siendo utilizada actualmente por empresas, proveedores de servicios y gobiernos en una amplia gama de programas.[3]

Trasfondo

El DPI combina las funciones de un sistema de detección de Intrusiones (IDS) y de un sistema de prevención de intrusiones (IPS) con un tradicional cortafuegos de estado.[4]​ Esta combinación permite detectar ciertos ataques que ni los sistemas de detección de intrusiones ni los sistemas de prevención de intrusiones ni los cortafuegos de estado pueden detectar por sí solos. Los cortafuegos de estado, que son capaces de ver el comienzo y el fin del flujo de paquetes no pueden por su cuenta descubrir eventos que estarían fuera de los límites de una determinada aplicación. Mientras que los IDS son capaces de detectar intrusiones, tienen muy poca capacidad de bloquear dicho ataque. Los DPI son utilizados para prevenir ataques de virus y gusanos a velocidades de conducción. Más específicamente, DPI pueden ser efectivos contra ataques de sobresaturación de búferes, ataques de negación de servicio, intrusiones sofisticadas y un pequeño porcentaje de gusanos que caben en un solo paquete.

Los dispositivos con habilitación DPI tienen la habilidad de mirar en la capa 2 y más allá de la capa 3 del modelo OSI en aquellos casos en que el DPI puede ser evocado para que mire a través de las capas 2-7 del modelo OSI. Esto incluye encabezados y estructuras de datos del protocolo así como la real carga útil del mensaje. La funcionalidad de DPI es evocada cuando un dispositivo mira o efectúa otras acciones basadas en información que está más allá de la capa 3 del modelo OSI. DPI puede identificar y clasificar el tráfico basado en una base de datos que incluya información extraída de la porción de datos del paquete, permitiendo un control más fino que la clasificación solo basada en el encabezado de la información. Las terminales pueden utilizar técnicas de cifrado y ofuscación para evadir en muchos casos las acciones DPI.

Un paquete clasificado puede ser re direccionado, marcado/rotulado (véase calidad de servicio), bloqueado, limitado y por supuesto denunciado a un agente receptor de la red. De esta manera, errores HTTP de diferentes clasificaciones pueden ser identificados y enviados para su análisis. Muchos dispositivos DPI pueden identificar flujo de paquetes (en lugar de análisis de paquete por paquete), permitiendo acciones de control basadas en información de flujo acumulada.

DPI en la empresa

Hasta recientemente, la seguridad en la empresa era solamente una disciplina perimetral, con una filosofía dominante de mantener a los usuarios no autorizados fuera y proteger a los usuarios autorizados del mundo exterior. La herramienta más frecuentemente utilizada para conseguir esto ha sido un cortafuegos de estado. Puede permitir un control fino del acceso del mundo exterior a destinos predefinidos dentro de la red interna, así como permitir el retorno a otros anfitriones solo si se ha efectuado una solicitud del mundo exterior previamente.[5]

Sin embargo, existen vulnerabilidades en las capas de la red que no son visibles a los cortafuegos de estado. Asimismo, el incremento de uso de portátiles en las empresas dificultan la prevención de ingresos en la red corporativa de amenazas como los virus y gusanos, ya que muchos usuarios conectarán el portátil a redes menos seguras tales como conexiones hogareñas de banda ancha o redes inalámbricas en sitios públicos. Los cortafuegos tampoco distinguen entre usos permitidos y prohibidos de programas legítimamente accedidos. DPI permite a los administradores de IT y a los oficiales de seguridad fijar políticas que ayuden a combatir esos ataques y obligar a que se cumplan en todos los niveles, incluyendo los niveles de aplicaciones y de usuario.

Deep Packet Inspection es capaz de detectar un pequeño número de ataques por desbordamiento de buffer.

DPI puede ser utilizado por empresas para DLP (Data Leak Prevention = Prevención de escurrimiento de datos). Cuando un usuario de e-mail trata de enviar un archivo protegido puede recibir la información sobre cómo obtener la compensación apropiada para enviar el archivo.

DPI en los proveedores de servicios de Internet

Además de utilizar los DPI para asegurar las redes internas, los Proveedores de Servicios de Internet también aplican esta tecnología en las redes públicas que sirven a los clientes. DPI es usada por los ISP comúnmente como intercepción legal, definición de políticas y cumplimiento de políticas, publicidad dirigida, calidad de servicio, oferta de niveles de servicio y cumplimiento de derechos de autor.

Los proveedores de servicios son requeridos por varios gobiernos del mundo y por sus agencias que permiten la capacidad de intercepción legal. Hace unas décadas, dentro del antiguo marco telefónico, esto se lograba mediante la creación de un punto de acceso al tráfico (TAP) mediante un servidor proxy interceptador que se conectaba con el equipo gubernamental de control. Esto no es posible en las redes digitales de hoy día. El componente adquirido con esta funcionalidad puede ser provisto de varias maneras, incluyendo DPI, cuando una orden judicial lo habilita, pueden utilizarse productos habilitados DPI que cumplen con los requisitos LI ó CALEA, para acceder al flujo de datos del usuario.

Definición de políticas y cumplimiento

Los proveedores de servicio obligados por el acuerdo de nivel de servicio con sus clientes para proveer un cierto nivel de servicio y al mismo tiempo para forzar una política aceptable de uso, pueden utilizar el DPI para implementar ciertas políticas que cubren infracciones al derecho de autor, materiales ilegales y uso injusto del ancho de banda. En algunos países, se requiere que los ISP efectúen un filtrado que está basado en las leyes de cada país. DPI permite a los proveedores de servicios “rápidamente conocer los paquetes de información que se están recibiendo en línea- desde e-mail, a sitios web, música compartida, descargas de videos y de programas”. Pueden definirse políticas que permiten o impiden la conexión hacia o desde una dirección IP, ciertos protocolos, o hasta la heurística que identifica ciertos programas o conductas.

Publicidad dirigida

Porque los ISP dirigen todo el tráfico de sus clientes, también son capaces de monitorizar los hábitos de navegación de una manera muy detallada permitiéndoles obtener información de los intereses de sus clientes los cuales pueden ser utilizados por compañías especializadas en publicidad dirigida. Al menos 100.000 clientes de los Estados Unidos de Norte América (EUNA) han sido seguidos de esta forma y el nivel de clientes que en EUNA ha sido seguido de esta manera son tanto como el 10%. Los proveedores de tecnología incluyen a NebuAD, Front Porch y Phorm. Los proveedores de servicios de Internet de los Estados Unidos que monitorizan a sus clientes incluyen a Knology, Wide Open West y probablemente también a Embarq. Además el proveedor de servicios de Internet del Reino Unido British Telecom ha admitido haber probado tecnología de Phorm con el consentimiento o conocimiento de sus clientes.

Calidad de servicio

Programas tales como tráfico peer-to-peer (P2P) presentan cada vez más problemas a los proveedores de servicios de banda ancha. El tráfico P2P es utilizado típicamente por programas que comparten archivos. Estos pueden ser documentos, música y videos. Debido al frecuente gran tamaño de los archivos que se utilizan, P2P incrementa la carga del tráfico lo cual requiere una capacidad de red adicional. Los proveedores de servicio dicen que una pequeña cantidad de usuarios general una gran cantidad de tráfico P2P y degradan el desempeño de la mayoría de los suscriptores de banda ancha que utilizan aplicaciones tales como e-mail y navegadores que utilizan mucho menos ancho de banda. El pobre desempeño de la banda ancha incrementa la insatisfacción del cliente y lleva a una declinación en la rentabilidad del servicio.

DPI permite a los operadores asegurar una distribución equitativa del ancho de la banda evitando congestión de la red. Adicionalmente, puede asignarse una prioridad más alta a VoIP o videoconferencias que requieren baja latencia en contraste con la navegación que no la requiere. Este es el enfoque que los proveedores de servicio utilizan para dinámicamente asignar ancho de banda de acuerdo con el tráfico que está pasando por sus redes.

Otros vendedores afirman que el DPI es inefectivo frente al P2P y que otros métodos de administración de banda ancha son más efectivos.

Tiered services (Servicios por niveles)

Proveedores de servicios móviles o de banda ancha utilizan DPI como un medio para implementar planes de servicios con niveles, para diferenciar tecnologías de servicio de “jardín cercado” de servicios de “valor agregado”, “tenedor libre” y “talle único”. La capacidad de poder facturar por un “jardín cercado”, por programa, por servicio ó por “tenedor libre” en lugar de por un paquete de “talle único” permite al operador hacer ofertas a la medida del subscriptor individual e incrementar sus Ingresos Promedios Por Usuario (ARPU por las siglas en inglés). Se elabora una política por usuario o grupo de usuarios y el sistema DPI obliga a cumplir dicha política, permitiendo al usuario el acceso a diferentes tipos de servicios y aplicaciones.

Cumplimiento de derechos de autor

Los ISP son a veces requeridos por propietarios de derechos de autor o por jueces o por la política oficial para que ayuden a hacer cumplir los derechos de autor. En el 2006, una de los mayores ISP de Dinamarca, Tele2, recibió una orden judicial por la que debía bloquear a sus clientes de acceder a The Pirate Bay, un punto de acceso a Bit Torrent. En lugar de demandar a los compartidores de archivos de a uno por vez, la Federación Internacional de la Industria Fonográfica (IFPI = siglas en inglés) y los 4 grandes marcas grabadoras EMI, Sony BMB, Universal Music y Warner Music han comenzado demandando a ISP tales como Eircom por no haber hecho lo suficiente para proteger sus derechos de autor. El IFPI quiere que los ISP filtren el tráfico para eliminar el material con derechos de autor que haya sido ilícitamente subido o bajado de su red, pese a la directiva Europea 2000/31/EC que claramente afirma que las ISP no pueden ser obligadas a monitorizar la información que transmiten y la 2002/58/EC que garantiza a los ciudadanos europeos el derecho a la privacidad de sus comunicaciones. La Motion Picture Association of América (MPAA) que obliga a cumplir los derechos de autor de las películas cinematográficas, por el otro lado, ha tomado posición junto con la Comisión de Comunicaciones Federal (FCC) en el sentido de que la neutralidad de la red podría lesionar la tecnología antipiratería tales como la DPI y otras formas de filtrado.

Estadísticas

DPI permite que los ISP obtengan información estadística sobre modalidades de uso por grupos de usuarios. Podría ser interesante saber si los usuarios con una conexión de 2 Mbit utilizan la red de una manera distinta a los que tienen una conexión de 5 Mbit. El tener acceso a los datos de tendencia también ayuda a planear la red.

DPI por el gobierno

Véase también: supervisión de la red y censura.

Además de usar DPI para la seguridad de sus propias redes, los gobiernos de Norte América, Europa y Asia usan DPI para varios propósitos tales como la supervisión y censura. Muchos de estos programas son clasificados.

Estados Unidos

La Comisión de Comunicaciones Federal de los Estados Unidos (FCC) adopta los requerimientos de Internet de la Communications Assistance for Law Enforcement Act (CALEA). Como en la mayoría de los países del mundo, el FCC, en armonía con el Congreso de los EU., ha requerido que todos los proveedores de telecomunicaciones, incluyendo los servicios de Internet, sean capaces de cumplir órdenes judiciales para proveer comunicaciones forenses en tiempo real de usuarios especificados. En 2006, la FCC adoptó las reglas del Título 47, Subparte Z, que requieren que los proveedores de acceso a Internet cumplan con dichos requerimientos. DPI fue una de las plataformas esenciales para cumplir con dichos requerimientos y ha sido adoptado con este fin en todo los EU.

La NSA, con la cooperación de AT&T ha utilizado tecnología DPI para hacer más inteligente la supervisión, clasificación y envío del tráfico de Internet. El DPI es utilizado para detectar que paquetes están llevando e-mail ó una comunicación telefónica con Protocolo de Voz sobre Internet (Voice over Internet Protocol = VoIP). El tráfico asociado con la red troncal común de AT&T fue “separado” entre dos fibras, dividiendo la señal de manera que 50 por ciento de la fuerza de la señal fuera a cada fibra resultante. Una de las fibras resultantes fue derivada a un sitio seguro, el otro llevaba las comunicaciones al equipo de conmutación de AT&T. El sitio seguro contenía el analizador de tráfico Narus y servidores lógicos; Narus afirma que dicho dispositivo es capaz de recolección de datos en tiempo real (registro de datos a considerar) y captura de 10 gigabits por segundo. Cierto tráfico fue seleccionado y enviado a través de una línea dedicada a una “ubicación central” para su análisis. De acuerdo con la declaración jurada de Marcus, el tráfico derivado “representaba todo, o sustancialmente todo, el tráfico de intercambio directo del área de la Bahía de San Francisco” y por lo tanto, “los diseñadores de la … configuración, no hicieron ningún intento en términos de ubicación o posicionamiento de la “separación” de la fibra, por excluir fuentes de datos compuestos primariamente por datos domésticos”. El programa Analizador Semántico de Tráfico de la empresa Narus que corre en servidores IBM ó Dell Linux, utilizando tecnología DPI, seleccionan el tráfico de los IP a 10Gbits/s para seleccionar mensajes específicos basados en una dirección de correo electrónico determinada previamente, dirección de IP, ó en el caso de VoIP, número telefónico. El presidente George W. Bush y el fiscal general Alberto R. González han afirmado que creen que el presidente tiene la autoridad de ordenar intercepciones secretas de intercambios telefónicos o de e-mails de personas dentro de los Estados Unidos y de sus contactos en el exterior sin obtener cumplir los requisitos del Acta de Supervisión de Inteligencia Foránea (FISA)

La Agencia de Sistemas de Información de Defensa ha desarrollado una plataforma censora que utiliza DPI

China

El gobierno chino utilizar DPI para monitorizar y censurar el tráfico de la red y el contenido que considera dañino para los ciudadanos chinos o los intereses del estado. Este material incluye pornografía, información sobre religión y disenso político. Las personas ubicadas dentro del territorio Chino a menudo se encuentran bloqueadas mientras están accediendo a sitios Web con contenido relacionado con la independencia de Taiwán ó de Tíbet, Falun Gong, el Dalai Lama, las protestas de la Plaza de Tiananmen y la masacre de 1989, partidos políticos que se oponen al partido Comunista gobernante ó a una variedad de movimientos anti-Comunistas. China también bloquea tráfico VoIP entrante o saliente. El tráfico de voz de Skype no es afectado, aunque los mensajes de texto son sujetos a DPI y los mensajes conteniendo material sensible tales como malas palabras, simplemente no se entregan, sin que haya ningún tipo de notificación a ninguna de las partes de la conversación. China también bloquea lugares de medios visuales tales como YouTube.com y varios sitios de fotografías y de blogs.

Irán

Un Wall Street Journal de June 2009, citando al vocero de las Redes Nokia Siemens (NSN) Ben Roome ha informado que el gobierno de Irán ha comprado en 2008 un sistema que se ha informado es para DPI a NSI que es una joint venture entre conglomerado alemán Siemens AG y la compañía de teléfonos celulares finlandesa Nokia Corp. De acuerdo a expertos no identificados citados en el artículo, el sistema “permite a las autoridades no solamente bloquear la comunicación sino que también permite monitorizarla para obtener información sobre individuos, y también alterarla con fines de desinformación”.

El sistema fue comprado por la Telecommunication Infrastructure Co, parte del monopolio de telecomunicaciones del gobierno de Irán. Según el Journal, NSN “proveyó equipo a Irán el año pasado considerado internacionalmente como ‘intercepción legal’ dijo el Sr. Roome. Dijo que esto está relacionado con una capacidad que la mayoría, sino todas, las compañías de telecomunicaciones tiene, de interceptar de datos con el objeto de combatir el terrorismo, la pornografía infantil, el tráfico de drogas y otras actividades criminales que se llevan a cabo en línea… El centro de monitoreo que Nokia Siemens Networks vendió a Irán fue descripto en un folleto de la compañía como permitiendo ‘el monitoreo y la intercepción de todos los tipos de voz y comunicación de datos en todas las redes’. El Sr. Roome dijo que la joint venture salió del negocio que incluía el equipo de monitoreo, al que llamaba ‘soluciones inteligentes’ a fines de marzo, vendiéndoselo a Perusa Partners Fund 1 LP, una firma de inversores con base en Múnich. Dijo que la compañía había decidido que el tema había dejado de ser parte de su núcleo de negocios.”

NSN continuó las ventas que efectuó Irán a Secure Computing Corp a comienzos de la década.

David Isenberg, un analista independiente con base en Washington DC y profesor adjunto del Cato Institute ha cuestionado la credibilidad del informe del Journal, diciendo específicamente que el Sr. Roome está negando las citas que se le atribuyen y que él, Isenberg, tiene quejas similares sobre un informe que lo cita en una historia previa. NSN ha emitido la siguiente negación: MSN “no ha provisto ningún DPI, censurador de la web o programa con capacidades de filtro a Irán”. Al mismo tiempo, un artículo en el New York Times decía que la venta de NSN había sido cubierta en una “avalancha de noticias en abril [2009] que incluía el Washington Times” y pasaba revista a la censura en Internet y en otros medios en el país, pero no mencionaba DPI.

Tecnología para violación de derechos

Personas y organizaciones que se preocupan sobre la privacidad consideran que la inspección de las capas de contenidos de los protocolos de Internet vulnera sus derechos.

Las técnicas DPI permiten violar la llamada neutralidad de la red. Muchos consideran un derecho la neutralidad de la red, es decir, que "los ciudadanos y las empresas tengan derecho a que el tráfico de datos recibido o generado no sea manipulado, tergiversado, impedido, desviado, priorizado o retrasado en función del tipo de contenido, del protocolo o aplicación utilizado, del origen o destino de la comunicación ni de cualquier otra consideración ajena a la de su propia voluntad". Ha habido importantes iniciativas para la promulgación de leyes que aseguren dicha neutralidad. Por ejemplo Holanda[6]​ y Chile[7]​ han promulgado leyes para protegerla. Hay que destacar que la violación de la neutralidad no solo afecta a la forma en la que los usuarios se puede comunicar, también reduce los incentivos para actualizar las redes y lanzar los servicios de red, ya que permite adaptar la demanda de recursos a la oferta que ofrecen los proveedores (eliminando o retrasando el tráfico que no se considera prioritario).

Software

Opendpi es la versión de código abierto para protocolos no ofuscados, PACE incluye protocolos ofuscados/cifrados como Skype ó cifrados como BitTorrent.

La comunidad de código abierto ofrece una amplia gama de opciones para efectuar funciones de DPI. Una lista integral es mantenida por la comunidad dPacket.org

Véase también

Notas

  1. Dr. Thomas Porter (11 de enero de 2005). «The Perils of Deep Packet Inspection». Security Focus. Consultado el 2 de marzo de 2008. 
  2. Hal Abelson, Ken Ledeen, Chris Lewis (2009). «Just Deliver the Packets, in: "Essays on Deep Packet Inspection", Ottawa». Office of the Privacy Commissioner of Canada. Archivado desde el original el 11 de noviembre de 2009. Consultado el 8 de enero de 2010. 
  3. Ralf Bendrath (16 de marzo de 2009). «Global technology trends and national regulation: Explaining Variation in the Governance of Deep Packet Inspection, Paper presented at the International Studies Annual Convention, New York City, 15-18 February 2009». International Studies Association. Consultado el 8 de enero de 2010. 
  4. Ido Dubrawsky (29 de julio de 2003). «Firewall Evolution - Deep Packet Inspection». Security Focus. Consultado el 2 de marzo de 2008. 
  5. Elan Amir (29 de octubre de 2007). «The Case for Deep Packet Inspection». IT Business Edge. Archivado desde el original el 4 de febrero de 2008. Consultado el 2 de marzo de 2008. 
  6. Netherlands first country in Europe with net neutrality
  7. Gobierno promulga Ley de Internet y neutralidad de red

.

Enlaces externos