NET 3/2024

KR I T I SCHE KOMMUN I K AT I ON Andreas Junck In modernen, komplexen Netzum- gebungen helfen DPI (Deep Packet Inspection)-Systeme dabei, ver- breitete Risiken abzuwehren und eine optimale Anwendungsleistung zu gewährleisten. Künftig werden DPI-Systeme daher im Umgang mit komplexen Netzumgebungen nicht mehr wegzudenken sein. Andreas Junck ist Senior Sales Director DACH von Gigamon Deep Packet Inspection Sicherer Datenverkehr bis in die Tiefe Während einfache Packet- Inspection-Ansätze ledig- lich den Daten-Header eines Pakets untersuchen, um Routing-Ent- scheidungen zu treffen, inspiziert ein DPI- System das gesamte Datenpaket – sowohl den Header als auch Inhalt und Nutzlast. Das schafft einen besseren Überblick über das Netz und potenzielle Bedrohungen. Gerade in modernen und komplexen Netz- umgebungen helfen DPIs dabei, verbreitete RisikenwieDDoS-Angriffe oder Ransomware abzuwehren und gleichzeitig eine optimale Anwendungsleistung zu gewährleisten. Analyse von Datenpaketen Den Kern von DPI-Engines bildet in der Re- gel die signaturbasierte Analyse. Da Malware bestimmte Merkmale oder „Signaturen“ auf- weist, die sie von seriöser Software unterschei- det, enthalten DPI-Systeme umfangreiche Datenbanken, die diese Merkmale sammeln. Bei Datenverkehr scannt die DPI-Engine den Inhalt der Datenpakete und gleicht ihn mit den Datenbanken ab. Erkennt sie eine Übereinstimmung, blockiert das System den Inhalt. Dieses Vorgehen ist zwar wirksam, um bekannte Bedrohungen zu entdecken, lässt Zero-Day-Malware, also neue oder bisher un- bekannte Bedrohungen, allerdings außen vor. Um diese Lücke zu schließen, kommen heuristische Analysen zumEinsatz. Sie untersuchen die Inhalte der Datenpakete auch dann, wenn diese laut signaturbasier- ter Analyse keine verdächtigen Merkmale aufweisen. Dazu prüft die DPI die Eigen- schaften von Dateien und Datenströmen, bewertet Datenstrukturen, verwendete Pro- tokolle und die Art der Anfrage. Weicht das Verhalten des Datenpakets deutlich von der Norm ab, schätzt die DPI-Engine es als schädlich ein. Um Anomalien und damit Sicher- heitsrisiken zu erkennen, blickt das DPI- System aber nicht nur auf die Inhalte der Datenpakete, sondern auch auf das Netz- verhalten. Anhand von Parametern wie den üblichen Datenübertragungsgrößen oder verwendeten Protokollen erstellt die DPI- Engine eine Referenz für normales Verhalten des Netzes. Der eingehende Datenverkehr wird damit verglichen und Abweichungen als Risiko gewertet. Mehr als nur ein Sicherheitssystem Der Einsatz eines solchen DPI-Systems geht Hand inHandmit einer Vielzahl anVorteilen. Dazu gehört neben erhöhter Netzsicherheit auch eine optimierte Netzleistung. Da DPI- Systeme die Art des Datenverkehrs nur zu gut kennen, können sie die Bandbreitennutzung effizient einteilen und etwa wichtigen An- wendungen Vorrang einräumen. Das hat nicht nur einen positiven Einfluss auf QoS- Mechanismen (Quality of Service), sondern führt auch zu einem besseren Nutzererlebnis, da kritische Anwendungen zuverlässig ab- gerufen werden können. Zusätzlich unterstützen DPI-Sys- teme bei der Einhaltung von gesetzlichen Vorschriften. Sie stellen etwa sicher, dass sensible Daten nicht unsachgemäß oder an nicht autorisierte Personen weitergegeben werden. Mithilfe von DPI erhalten Betreiber außerdem ein besseres Verständnis des Netz- verhaltens und können so Fehler schneller lokalisieren und Engpässe einfacher fest- stellen. Trotzdem können DPI-Systeme nicht blindlinks eingeführt werden, da sie die richtigen Voraussetzungen benötigen, damit Unternehmen tatsächlich von diesen Vorteilen profitieren. Zum einenmuss sicher- gestellt werden, dass die DPI gemäß geltender Datenschutzbestimmungen arbeitet, zum anderen ist die Verwaltung dieser komplexen Systeme anspruchsvoll und erfordert geschulte Administration, da DPI-Engines anderenfalls die Netzgeschwindigkeit beeinträchtigen. Fazit Deep Packet Inspection ist im Umgang mit modernenNetzen eine unverzichtbareHeran- gehensweise. Von verbesserter Netzsicherheit bis hin zu optimierter Leistung liefern DPI- Systeme die nötigen Voraussetzungen, um mit zunehmend komplexen Umgebungen und wachsenden Sicherheitsrisiken Schritt halten zu können. www.gigamon.com Andreas Junck 17