Quindi capisco concettualmente come funziona DPI, ma sono un po 'scettico riguardo ai reali benefici di questa tecnologia. Considerando i possibili rischi associati all'implementazione di DPI, ovvero la decrittografia dei dati personali dei cittadini (HIPAA, finanziari, ecc.), Il marketing da parte dei fornitori di dispositivi che forniscono DPI sembra un po 'vago sui benefici specifici.
Qualcuno può fornire un esempio reale in cui DPI ridurrebbe una minaccia o impedirà un exploit?
Non sono sicuro se questo è il rischio che hai in mente, ma posso pensare a due minacce che DPI potrebbe essere utile contro. In generale, è possibile utilizzare DPI per filtrare in \ dati in uscita e vedere se corrisponde a un determinato criterio o firma. Ciò contribuirebbe a prevenire la fuga di informazioni (se si dispone di un modello specifico di dati che non si desidera ottenere all'esterno) o impedire a un insider di scaricare contenuti specifici (pornografia infantile, malware, ecc.) Di conseguenza, DPI può essere utilizzato per analizzare il traffico di contenuti sospetti (ad esempio, l'input che contiene un codice shell).
Ora la domanda da porsi è, quali sono le differenze tra DPI e IPS? Nel prodotto di Juniper, almeno, DPI è considerato una versione leggera di IPS dove IPS esegue il pacchetto su un DB di firma molto più grande.
Non conosco un caso pratico, ma ho letto un documento di ricerca che trattava di eludere l'IDS. Dice che supponiamo di voler inviare pacchetti che costituiscono "ATTACCO" a un endpoint della vittima. So che Victim è almeno 1 o 2 saltelli di distanza dall'IDS usando traceroute. Quindi, supponiamo che IDS stacchi X e che l'endpoint della vittima X + 1 salti. Posso inviare i pacchetti A, T, T con TTL X + 1 e X, Y, Z con TTL X per confondere l'IDS e successivamente i pacchetti A, C e K con ancora TTL X + 1. Quindi qui IDS comprenderà il traffico come "ATTXYZACK" e lo ignorerà in quanto non corrisponde alla firma su IDS, ma l'endpoint della vittima riceverà "ATTACK".
Considerate ora questo metodo di attacco usando la crittografia, in questo caso il DPI con capacità di HIDS può essere veramente utile.
Leggi altre domande sui tag firewalls risk-management threat-mitigation