Deep packet inspection

Deep packet inspection

En informatique, le Deep packet inspection (DPI) est l'activité pour un équipement d'infrastructure de réseau d'analyser le contenu (au-delà de l'en-tête) d'un paquet réseau (paquet IP le plus souvent) de façon à en tirer des statistiques, à filtrer ceux-ci ou à détecter des intrusions, du spam ou tout autre contenu prédéfini. Le DPI peut servir notamment à la censure sur Internet ou dans le cadre de dispositifs de protection de la propriété intellectuelle.

Il s'oppose au Stateful Packet Inspection, qui ne concerne que l'analyse de l'en-tête des paquets. Le DPI peut provoquer un ralentissement sensible du trafic là où il est déployé.

Sommaire

Principe

Le DPI mêle les fonctions d'un IDS et d'un IPS à celles d'un pare-feu à état : cette combinaison permet de détecter certaines attaques que les IDS/ISP et le pare-feu ne peuvent révéler à eux seuls. Si le pare-feu à état peut voir le début et la fin d'un flux de paquets réseau, il ne peut pas remarquer des évènements inadéquats pour une application en particulier. Les IDSs peuvent détecter les intrusions, mais sont peu utiles pour les bloquer ; enfin les DPIs sont employés pour prévenir les attaques par virus ou vers, et s'avèrent plus spécifiquement utiles contre des attaques par dépassement de tampon, par Déni de service (DoS), ou par l'emploi de vers qui tiennent dans un seul paquet.

Le DPI permet de lire les couches 2 et 3 du Modèle OSI, voire dans certains cas jusqu'à la couche 7, ce qui inclut à la fois les headers (en-têtes), les structures des protocoles et la charge, le contenu du message lui-même. Il peut par ailleurs identifier et classer le trafic à partir d'une base de données de signatures, c'est-à-dire à partir des données contenues dans le paquet lui-même (ce qui permet un contrôle plus efficace que s'il était uniquement basé sur les informations des en-têtes) ; un chiffrage des points de sortie est donc généralement nécessaire pour échapper à une inspection de type DPI. Un paquet classifié peut être redirigé, marqué/taggé, bloqué, voir son débit limité, et bien sûr être rapporté à un agent du réseau : dans ce genre de cas, plusieurs types d'erreurs HTTP peuvent être identifiées et transférées pour une analyse ultérieure. Beaucoup de dispositifs DPI peuvent analyser des flux de paquets (plutôt que procéder à une analyse paquet par paquet), ce qui permet un contrôle sur des flux cumulés d'informations.

Utilisations

Par les entreprises

Jusqu'à récemment la sécurité des connexions internet en entreprise était une discipline annexe, où la philosophie dominante consister à tenir à l'écart les utilisateurs non autorisés, et à protéger les autres du monde extérieur : l'outil le plus utilisé était alors le pare-feu à état. Ce dernier permet un contrôle efficace des accès extérieurs au réseau interne (limités à certaines destinations), tout en autorisant l'accès à des serveurs extérieurs si la requête en a été faite précédemment. Cependant, des vulnérabilités existent au niveau du réseau qui demeurent invisibles aux yeux du pare-feu ; de plus, le recours devenu fréquents aux ordinateurs portables rend difficile la prévention de menaces telles que les virus, les vers et les logiciels espions, dans la mesure où ces appareils se connectent souvent à des réseaux peu protégés (connexion sans fil à domicile ou dans des lieux publics). Par ailleurs les pare-feux ne peuvent faire la distinction entre un usage légitime ou prohibé d'une application ; le DPI permet donc aux administrateurs et aux agents de sécurité d'établir des règles et de les renforcer à tous les niveaux, y compris à celui de l'application et de l'utilisateur, dans l'optique de combattre ces menaces. Enfin le DPI peut être utilisé en entreprise pour éviter les fuites d'informations (Data Leak Prevention ou DLP) : lorsqu'un utilisateur tente d'envoyer un fichier protégé par e-mail, il peut alors recevoir une notification sur la manière de procéder à un tel envoi de manière sécurisée.

Par les gouvernements

En plus d'utiliser le DPI pour renforcer la sécurité de leurs réseaux, les gouvernements d'Amérique du Nord, d'Europe et d'Asie l'utilisent pour différents usages comme la surveillance et la censure. Ainsi, l'Iran utilise un tel système depuis 2008, fourni par Nokia Siemens Networks (NSN)[1].

Les premières tentatives de contrôle des communications se sont traduites par la création d'un Traffic Access Point (TAP), un serveur tiers (proxy) connecté à un appareil de surveillance gouvernemental ; mais ces techniques ne sont plus d'actualité dans le cadre des nouveaux réseaux. Le DPI fait donc aujourd'hui partie des techniques de substitution qui remplissent des fonctions équivalentes, et peuvent être mises en œuvre par décision d'une cour de justice pour accéder aux flux de données d'un individu en particulier. Aux États-Unis, cet usage est soumis au CALEA (Communications Assistance for Law Enforcement Act).

Par les fournisseurs d'accès à Internet

Le DPI peut être mis en place par les FAI pour sécuriser leurs réseaux internes ; mais cette technologie peut aussi s'appliquer aux clients eux-mêmes, pour intercepter des communications illégales, pour mettre en place de la publicité ciblée, pour améliorer la qualité du service, pour offrir des services tiers, ou dans le cadre de la protection de la propriété intellectuelle.

  • Parce qu'ils acheminent tout le trafic de leurs clients, les FAI peuvent en effet surveiller leurs habitudes de navigation de manière très détaillée et connaître ainsi leurs centres d'intérêt (puis revendre ces informations à des entreprises spécialisées dans la publicité ciblée comme Phorm, NebuAd et Front Porch).
  • L'usage du DPI a aussi été envisagé par le Parlement néerlandais dans un rapport de 2009 en tant que mesure qui aurait été ouverte aux parties tiers pour renforcer la surveillance du respect de la propriété intellectuelle, visant plus particulièrement à réprimer le téléchargement de contenu protégé sous copyright. Suite à des critiques émanant d'ONGs, cette proposition devrait être abandonnée[2]. En France, après l'arrivée de l'HADOPI et de la mise en route de l'analyse des échanges peer to peer, le DPI est évalué, mais l'HADOPI ne montre pas (pour l'instant du moins) la volonté de l'utiliser dans le cadre de son activité[3].
  • Des fournisseurs d'accès affirment que les échanges de type peer-to-peer (P2P) posent un problème de trafic ; typiquement, dans le cadre du partage de fichiers (musique, vidéos, documents), la large taille des fichiers transférés nécessite une capacité accrue des réseaux. Le DPI leur permet de vendre l'idée d'une répartition plus juste de la bande passante, et d'éviter les congestions du réseau... En complément, la priorité peut être accordée à des services comme la VoIP ou les appels en vidéo-conférences, qui nécessitent un temps de latence moindre. Cette approche est privilégiée pour une attribution dynamique de la bande passante.
  • Le recours au DPI par les FAI pose le problème du respect d'un certain niveau de service (service level agreement) dû aux clients (le contrôle des données ralentissant les débits entrant/sortant), et celui du respect de la vie privée (le DPI permet de connaître le contenu de tous les paquets transférés, des e-mails envoyés ou reçus aux sites web visités, en passant par les partages de musique, de vidéo ou de logiciels ; il permet aussi d'interdire les connexions à certaines adresses IP ou l'usage de certains protocoles, d'identifier certains usages ou le recours à certaines applications).

Critiques de l'usage du DPI

Les partisans de la neutralité du net et défenseurs des libertés sur Internet trouvent le DPI intrusif du point de vue de la vie privée[4] et, selon l'usage qui en est fait, contraire au principe de non-discrimination du trafic internet et du droit d'accès à Internet.

Référence


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Deep packet inspection de Wikipédia en français (auteurs)

Игры ⚽ Поможем сделать НИР

Regardez d'autres dictionnaires:

  • Deep packet inspection — (DPI) (also called complete packet inspection and Information eXtraction IX ) is a form of computer network packet filtering that examines the data part (and possibly also the header) of a packet as it passes an inspection point, searching for… …   Wikipedia

  • Deep packet inspection — (DPI)  технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому. В отличие от брандмауэров, Deep Packet Inspection анализирует не только заголовки пакетов, но и полное содержимое трафика на уровнях …   Википедия

  • Deep Packet Inspection — (DPI) (auch complete packet inspection oder Information eXtraction (IX)) steht für ein Verfahren in der Netzwerktechnik, Datenpakete zu überwachen und zu filtern. Dabei werden gleichzeitig der Datenteil und der Headerteil des Datenpaketes auf… …   Deutsch Wikipedia

  • Deep Packet Inspection — Este artículo o sección sobre tecnología necesita ser wikificado con un formato acorde a las convenciones de estilo. Por favor, edítalo para que las cumpla. Mientras tanto, no elimines este aviso puesto el 5 de julio de 2010. También puedes… …   Wikipedia Español

  • Deep content inspection — (DCI) is a form of network filtering that examines an entire file or MIME object as it passes an inspection point, searching for viruses, spam, data loss, key words or other content level criteria. Deep Content Inspection is considered the… …   Wikipedia

  • Stateful Packet Inspection — Unter Stateful Packet Inspection (SPI), deutsche Bezeichnung Zustandsorientierte Paketüberprüfung , versteht man eine dynamische Paketfiltertechnik, bei der jedes Datenpaket einer bestimmten aktiven Session zugeordnet wird. Die Datenpakete werden …   Deutsch Wikipedia

  • Packet capture — is the act of capturing data packets crossing a computer network. Deep packet capture (DPC) is the act of capturing, at full network speed, complete network packets (header and payload) crossing a network with a high traffic rate. Once captured… …   Wikipedia

  • Network neutrality — This article is about the general principle of network neutrality. For its specific application to Canada, see Network neutrality in Canada. For its application to the U.S., see Network neutrality in the United States. Network Neutrality Related… …   Wikipedia

  • Network intelligence — (NI) is a technology that builds on the concepts and capabilities of Deep Packet Inspection (DPI), Packet Capture and Business Intelligence (BI). It examines, in real time, IP data packets that cross communications networks by identifying the… …   Wikipedia

  • Stateful firewall — In computing, a stateful firewall (any firewall that performs stateful packet inspection (SPI) or stateful inspection) is a firewall that keeps track of the state of network connections (such as TCP streams, UDP communication) traveling across it …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”