Inspección profunda de paquetes: ¿Algún ejemplo real de mitigación de amenazas a través de DPI? [cerrado]

1

Así que entiendo conceptualmente cómo funciona el DPI, pero soy un poco escéptico con respecto a los beneficios reales de esta tecnología. Teniendo en cuenta los posibles riesgos asociados con el despliegue de DPI, es decir, descifrar datos privados de personas (HIPAA, financieros, etc.), la comercialización de los proveedores de dispositivos que proporcionan DPI parece un poco vaga en cuanto a beneficios específicos.

¿Puede alguien proporcionar un ejemplo del mundo real en el que el DPI mitigue una amenaza o evite una explotación?

    
pregunta Justin Wolgamott 25.02.2016 - 01:17
fuente

2 respuestas

0

No estoy seguro de si este es el riesgo que tenía en mente, pero puedo pensar en dos amenazas en las que DPI podría ser útil. En general, puede usar DPI para filtrar los datos de salida y ver si coinciden con un cierto criterio o firma. Esto ayudaría a prevenir las fugas de información (si tiene un patrón específico de datos que no quiere que salga) o evitar que un usuario interno descargue contenido específico (pornografía infantil, malware, etc.) En consecuencia, se puede usar el DPI para analizar el tráfico en busca de contenido sospechoso (por ejemplo, la entrada que contiene un código de shell).

Ahora la pregunta que se debe hacer es, ¿cuál es la diferencia entre el DPI y el IPS? Al menos en el producto de Juniper, el DPI se considera una versión ligera de IPS donde IPS ejecuta el paquete en una base de datos de firmas mucho más grande.

    
respondido por el HSN 25.02.2016 - 03:31
fuente
0

No sé de un caso de uso práctico, pero leí un artículo de investigación que trataba de evadir IDS. Dice que supongamos que queremos enviar paquetes que constituyan "ATAQUE" a un punto final de la víctima. Sé que la víctima está al menos a 1 o 2 saltos de IDS utilizando Traceroute. Entonces asumamos que IDS está a X saltos de distancia y el punto final de la víctima es X + 1 saltos de distancia. Puedo enviar los paquetes A, T, T con TTL X + 1 y X, Y, Z con TTL X para confundir los IDS y luego los paquetes A, C y K con nuevamente TTL X + 1. Así que aquí IDS entenderá el tráfico como "ATTXYZACK" e lo ignorará ya que no coincide con la firma en IDS, pero el punto final de la víctima recibirá "ATTACK" entregado.

Ahora considere este método de ataque usando cifrado, en ese caso, el tipo de DPI con capacidad de HIDS puede ser realmente útil.

    
respondido por el Krishna Pandey 25.02.2016 - 07:14
fuente

Lea otras preguntas en las etiquetas