Guide d'inspection approfondie des paquets (DPI) comprenant les 7 meilleurs outils DPI

L'analyse approfondie des paquets est une méthodologie réseau particulièrement utile dans les pare-feu. L'utilisation de la technologie d'inspection approfondie des paquets a augmenté ces dernières années car elle peut être utilisée dans le cadre de systèmes de détection d'intrusion (IDS) et systèmes de prévention des intrusions (IPS) .

Les pare-feu bloquent traditionnellement l'accès à un réseau. Les filtres des pare-feu peuvent également bloquer l'accès à une liste de sites Web en inspectant l'adresse IP de destination contenue dans l'en-tête du paquet.

Nous approfondissons chacun des outils plus bas, mais au cas où vous n'auriez pas le temps de lire l'intégralité de l'article, voici notre liste deles meilleurs outils d’inspection et d’analyse approfondies des paquets :

1. Moniteur de performances réseau SolarWinds CHOIX DE L'ÉDITEUR– Cet outil de surveillance du réseau comprend une inspection approfondie des paquets pour identifier les applications source et de destination ainsi que les points de terminaison du trafic réseau. Ce n'est qu'une partie du service de ce package qui inclut la découverte automatique et la surveillance constante des appareils. Fonctionne sur Windows Server.
2. Reniflage de paquets Paessler avec PRTG– Le système PRTG est un outil de surveillance de l’infrastructure et comprend un capteur de paquets.
3. Sur le gestionnaire– Il s'agit d'un moniteur de performances réseau capable de capturer des paquets pour une analyse hors ligne. L'outil fonctionne sous Windows et Linux.
4. nDPI– Cet outil inspecte les paquets au niveau de la couche application, ce qui signifie que vous devez mettre le trafic en mémoire tampon pour l'inspection.
5. netifier– Une adaptation de nDPI qui capture les paquets pour inspection par d'autres services.
6. AppNeta– Un système de surveillance du réseau basé sur le cloud qui comprend une analyse du trafic hors ligne.
7. NetFort LANGuardian– Un outil d'analyse de la sécurité du réseau qui utilise DPI et fonctionne sous Linux.

SPI contre DPI

Les avancées sur les passerelles qui examinent l’en-tête IP sont «avec état« pare-feu. Ils emploientInspection des paquets avec état(IPS). Cette méthodologie examine les en-têtes TCP ou UDP, qui sont inclus dans le paquet IP. L’inspection dynamique des paquets est également connue sous le nom d’inspection superficielle des paquets.Inspection approfondie des paquets(PPP) examine la charge utile de données du paquet.

SPI examine les paquets individuels au fur et à mesure qu'ils sont traités par la passerelle, et supprime sélectivement les requêtes sortantes ou les paquets de données entrants qui ne sont pas conformes à la politique de sécurité du réseau. La partie « avec état » du nom fait référence aux données de connexion. Le pare-feu enregistre les informations d'en-tête relatives à la connexion TCP, ce qui lui permet de suivre un flux de paquets. Le type de données d'en-tête avec état collecté par le pare-feu inclut le numéro de séquence des paquets.

Un pare-feu avec état stocke généralement ces informations de connexion en mémoire, ce qui lui permet de sélectionner les flux de paquets associés lorsqu'ils traversent l'interface. Les données de connexion sont conservées dans une table dynamique. Une fois la connexion fermée, ces informations sont effacées de la table pour libérer de la mémoire. Le pare-feu avec état est plus susceptible de bloquer les connexions lorsqu'elles sont en cours. L'analyse de l'inspection des paquets avec état se concentre uniquement sur les données en direct.

DPI collecte les paquets à examiner en tant que groupe, de sorte que le trafic régulier continue son chemin pendant que les copies sont récoltées pour analyse.. C’est pourquoi le DPI est souvent appelé «analyse approfondie des paquets« . DPI met plus de temps à produire des informations exploitables que SPI.

Avantages de l’inspection et de l’analyse approfondies des paquets

Les systèmes de détection d'intrusion recherchent des « signatures » dans le trafic de données pour identifier les activités irrégulières. Une astuce utilisée par les pirates pour contourner ces systèmes de détection de signatures d'attaque est de diviser les paquets en segments plus petits . Cela diffuse les modèles recherchés par l'analyse superficielle des paquets, de sorte qu'aucun paquet ne contient cette signature et que l'attaque réussit. L'analyse DPI réassemble les flux de paquets provenant de la même source , de sorte que les signatures d'attaque peuvent être détectées même lorsqu'elles sont réparties sur plusieurs paquets entrants.

Lorsque l'analyse DPI fait partie d'un système de prévention des intrusions, les résultats de l'analyse en cours génèrent et appliquent des actions pour défendre automatiquement le système. Une telle action peut inclure le blocage de tous les paquets arrivant d'une adresse IP source particulière ou même d'une plage d'adresses.

Détection d'attaque

La collecte de paquets permet à DPI d'identifier les types d'attaques de service qui ne seraient pas détectés par une analyse avec état. Des exemples en sont l'utilisation irrégulière des utilitaires de réseau standards , tel que PowerShell ou WMI , et surcharges de volume dirigées , tel que attaques par débordement de tampon . L'utilisation d'utilitaires système classiques dans les opérations d'infection virale ou de logiciel espion signifie qu'une interdiction des applications connues pour être utilisées par les pirates ne peut pas être appliquée. En effet, ces utilitaires système sont essentiels à la fourniture d'applications et de services aux utilisateurs légitimes. Ainsi, une inspection et une analyse approfondies des paquets interviennent pour examiner les modèles d'utilisation de ces services système et, de manière sélective, élimine le trafic qui affiche un comportement suspect . Ainsi, une activité malveillante peut être identifiée même si elle semble initialement être un trafic légitime.

Prévention des fuites de données

La prévention des fuites de données est une autre utilisation de l’analyse approfondie des paquets. Cela prend unliste blancheapproche. L'entreprise peut définir une politique selon laquelle personne ne devrait être autorisé à copier des données sur une clé USB ou à envoyer des pièces jointes à des e-mails. Mais il existe des cas légitimes où de telles actions sont nécessaires. Dans ce cas, le DPI serait informé d'autoriser ce qui serait autrement traité comme une activité non autorisée. Cet utilisateur ne devrait pas être autorisé à envoyer de fichiers, et doncla fonction DPI continue de surveiller les activités pour bloquer les transferts de fichiers autres que la pièce jointe autorisée.

Les meilleurs outils d’inspection et d’analyse approfondies des paquets

Les systèmes sophistiqués de surveillance des réseaux incluent désormais des routines d’analyse approfondie des paquets.Ainsi, vous pouvez obtenir cette fonctionnalité dans le cadre de votre logiciel général de gestion de réseau.. Certains fournisseurs de logiciels proposent des logiciels de défense de réseau intégrant une analyse approfondie des paquets.

Notre méthodologie de sélection d’un outil d’inspection approfondie des paquets

Nous avons examiné le marché des systèmes DPI et analysé les options en fonction des critères suivants :

• Scanner de paquets capable de lire les en-têtes
• C'est bien d'avoir un déchargement SSL sur un réseau privé pour lire la charge utile
• Un système qui effectuait une surveillance en direct des périphériques réseau
• La possibilité d'utiliser SPI au lieu de DPI
• Conseils pour déréférencer les codes d’en-tête de paquet
• Un essai gratuit ou un service de démonstration pour évaluer le logiciel sans payer
• Rapport qualité-prix grâce à un système qui fournit un service utile à un prix équitable ou gratuitement

1. Moniteur de performances du réseau SolarWinds (ESSAI GRATUIT)

LeInspection et analyse approfondies des paquets SolarWinds avec NPMles usagesune gamme de techniques pour surveiller et gérer le trafic réseau. L'élément principal utilise leSNMPmessagerie native du firmware des équipements réseau. Cependant, les sections d'analyse du moniteur utilisentinspection approfondie des paquets (DPI)dans le cadre des services de visibilité du comportement réseau de l’outil.

Principales caractéristiques:

• Analyse du protocole
• Catégorisation du trafic
• Découverte du réseau
• Suivi des performances de l'appareil
• Alertes pour les problèmes de circulation

L'objectif du DPI dans l'outil SolarWinds répond à deux objectifs des administrateurs réseau. La première est deidentifier les types de trafic qui utilisent la plupart des ressources du système. Une charge excessive sur le réseau rend l’environnement de travail difficile pour tout le monde et il est important de savoir exactement d’où provient toute cette demande. DPI fournit ces données, et une fois que les accapareurs de ressources ont été identifiés, il est plus facile pour l'administrateur réseau de décider quoi faire à leur sujet.

L'inspection approfondie des paquets donne également des fonctions de sécurité au Network Performance Monitor . Les techniques DPI identifieront le comportement spécifique des utilisateurs et applications qui provoquent des pics de trafic et affichent un comportement erratique . Ces pics de demande pourraient être causés par des attaques de pirates informatiques, mais ils pourraient également être provoqués par des exigences commerciales, telles que le traitement des comptes en fin de mois. DPI vous permet de voir si ces augmentations sont générées par des activités commerciales légitimes. Un comportement irrégulier peut être bloqué .

Le suivi des utilisateurs peut mettre en évidence une activité inhabituelle. Par exemple, un compte utilisateur pourrait avoir été compromis, conduisant cet utilisateur à accéder à des services qui ne correspondent pas à ses activités habituelles. Les connexions depuis des emplacements physiques disparates sur de courtes périodes peuvent également identifier un compte utilisateur qui a été compromis.

L'utilisation de l'analyse approfondie des paquets par SolarWinds dans le Network Performance Monitor montre cette technique n'est pas seulement utile aux spécialistes de la sécurité . SolarWinds inclut une analyse approfondie des paquets pour la détection des intrusions, mais il utilise également le système pour aider à façonner le trafic régulier et examiner les catégories de trafic d'applications qui surchargent le système. L'utilisation du DPI pour soutenir des activités commerciales légitimes montre la voie à suivre pour tous les systèmes de surveillance de réseau. Les méthodes sophistiquées de DPI deviennent désormais courantes et deviendra à l’avenir un élément central de tous les systèmes de surveillance du trafic réseau.

Avantages:

• Conçu dans un souci d'évolutivité et d'entreprise, il peut prendre en charge des milliers d'appareils sur plusieurs réseaux locaux.
• Peut identifier le comportement spécifique de l'utilisateur et automatiser les actions correctives
• Peut prendre en charge les environnements WAN et plusieurs configurations VPN
• La configuration du tableau de bord utilise de simples widgets glisser-déposer pour une personnalisation facile
• Les alertes permettent aux administrateurs système de gérer leur réseau local de manière plus proactive que la plupart des autres produits

Les inconvénients:

• Il s'agit d'un outil d'entreprise et l'exploration complète de toutes ses fonctionnalités et options peut prendre du temps.

L'Analyseur de performances réseau n'est pas gratuit. Le prix de ce système commence à 2 955 $. Cependant, vous pouvez obtenirun essai gratuit pendant 30 jours. L’Analyseur de performances réseau SolarWinds ne peut être installé que surServeur Windowssystèmes d'exploitation.

LE CHOIX DES ÉDITEURS

Moniteur de performances du réseau SolarWindsest notre premier choix pour un outil DPI car il n’effectue pas seulement une inspection approfondie des paquets. Tandis que vous bénéficiez d'une analyse de protocole pour plus de 1 200 applications et d'une surveillance de la qualité de service avec le système DPI, vous bénéficiez également d'une surveillance du réseau. Ce service détecte automatiquement tous les appareils du réseau, crée un inventaire et établit une carte topologique du réseau. Ces fonctions fonctionnent en permanence afin que l'inventaire et la carte soient toujours à jour.

Télécharger:Obtenez un essai gratuit de 30 jours

Site officiel:https://www.solarwinds.com/network-performance-monitor/registration

TOI:Serveur Windows

2. Reniflage de paquets Paessler avec PRTG

Reniflage de paquets Paessler avec PRTGest un outil complet de surveillance du réseau quiinclut le DPI dans ses procédures de collecte de données. Le renifleur de paquets de PRTG analyse des types de trafic spécifiques pour surveiller l'utilisation des ressources et les activités irrégulières. Le moniteur rend compte de ces types de trafic et de leur débit, notammenttrafic Web,activité du serveur de messagerie, ettransferts de fichiers. Ces contrôles peuvent être très utiles pour imposer des politiques de sécurité du courrier et des données, et ils vous permettront de repérer les pics de trafic qui pourraient être des indices d'intrusion ou de cyberattaques.

Principales caractéristiques:

• Statistiques de trafic par application
• Données présentées sous forme de graphiques et de tableaux
• Surveillance du réseau
• Alertes en cas de problèmes de performances

Si vous êtes particulièrement intéressé à utiliseranalyse approfondie des paquets pour la sécurité, puis les informations que vous obtiendrezDHCP,DNS, etICMPle trafic devrait vous être particulièrement utile.

La page du capteur de paquets dans les fonctionnalités du tableau de bord PRTGcadrans et graphiquespour vous aider à comprendre rapidement les données de trafic.

Avantages:

• Utilise une combinaison d'analyse approfondie des paquets, WMI et SNMP pour rapporter les données de performances du réseau
• Peut surveiller les lignes de base et alerter automatiquement en cas d'anomalies.
• L'éditeur glisser-déposer facilite la création de vues et de rapports personnalisés
• Prend en charge un large éventail de supports d'alerte tels que les SMS, les e-mails et les intégrations tierces dans des plateformes telles que Slack
• Chaque capteur est spécifiquement conçu pour surveiller chaque application. Par exemple, il existe des capteurs prédéfinis dont le but spécifique est de capturer et de surveiller l'activité VoIP.
• Prend en charge une version gratuite

Les inconvénients:

• Est une plate-forme très complète, non conçue pour un usage domestique amateur.

Paessler PRTG peut être installé surles fenêtreset voiciune version gratuite pour les petits réseaux. Cela couvrira 100 capteurs sur votre réseau. Un capteur est un point de surveillance sur un réseau, tel qu'un port ou une condition telle que l'espace disque libre. Vous pouvez télécharger le logiciel pour unessai gratuit ici.

Paessler Packet Sniffing avec PRTG Télécharger ESSAI GRATUIT de 30 jours

3. Gérer l'OpManager du moteur

OpManager de ManageEngine est un autre desprincipaux systèmes de surveillance de réseausur le marché aujourd'hui. Ce moniteur utilise des méthodes SNMP pour la surveillance continue du réseau et le suivi de l'état des appareils.Les fonctions d'inspection approfondie des paquets d'OpManager ajoutent la gestion du traficau système.

Principales caractéristiques:

• Capture de paquets
• Rapports sur les temps de réponse
• Analyse historique

Comme on peut s'y attendre avec DPI,l'analyse est effectuée hors ligne. Les paquets examinés sont d'abord écrits dans un fichier PCAP. Ces fichiers fournissent les informations sources pour l'analyse.

Les fonctions d'analyse approfondie des paquets d'OpManager visent à découvrir les raisons des mauvaises performances du réseau plutôt que de détecter les intrusions. Deux métriques ressortent de l’analyse :temps de réponse du réseauettemps de réponse des applications. L'administrateur peut repérer les applications qui fonctionnent mal et peuvent nécessiter plus de ressources que les fonctions réseau standard. Vous pouvez ensuite décider d'augmenter les ressources pour servir des applications gourmandes, de rechercher des alternatives plus efficaces ou de restreindre la bande passante disponible pour cette application afin d'offrir de meilleurs temps de réponse aux services réseau plus importants.

Les données qui ressortent de l’exercice d’analyse approfondie des paquets peuvent être générées dans des rapports. Ceux-ci vous permettent dediriger les discussions avec les parties prenantessur la question de savoir si le budget doit être consacré à l'expansion de l'infrastructure ou si les applications hyperactives doivent être limitées ou abandonnées.

Avantages:

• Conçu pour fonctionner immédiatement, il comprend plus de 200 widgets personnalisables pour créer des tableaux de bord et des rapports uniques.
• Comprend des options de gestion du trafic ainsi que des outils DPI
• Utilise des alertes intelligentes pour réduire les faux positifs et éliminer la fatigue des alertes sur les réseaux plus vastes
• Prend en charge les e-mails, les SMS et les webhooks pour de nombreux canaux d'alerte
• Peut configurer des SLA basés sur le réseau, l'application ou le processus.

Les inconvénients:

• Est un outil riche en fonctionnalités qui nécessitera un investissement de temps pour apprendre correctement

OpManager estdisponible gratuitement pour surveiller dix nœuds ou moins sur un réseau. Les systèmes plus grands doivent utiliser OpManager payant. La console de surveillance OpManager peut être installée surles fenêtresetLinuxsystèmes d'exploitation.

4. nDPI

–

OuvertDPIest un projet open source d'outils d'analyse approfondie des paquets.Un projet open source permet à quiconque de voir le code source d'une application. Cela garantit aux utilisateurs qu'il n'y a pas d'astuces cachéesou des procédures malveillantes dommageables enfouies à l’intérieur. nDPI de Ntop est basé sur le code OpenDPI et étend ses fonctionnalités.Le code source de nDPI est également disponible.

Principales caractéristiques:

• Utilisation gratuite
• Partenaire avec ntop
• Analyse du certificat SSL

Ce modèle open source vous offre la possibilité de l’installer tel quel ou de modifier le système en fonction des besoins de votre entreprise.La modification du code open source est très couranteet de nombreuses personnes qui créent des améliorations pour de tels systèmes mettent également ces nouvelles fonctionnalités à la disposition de la communauté. Dans certains cas, l'organisation qui gère le code source acceptera ces modifications dans la version principale.Ntop maintient le nDPI séparé de l'OpenDPI d'origine, vous disposez donc de deux options open source.

nDPI opère auCouche d'application. Cela signifie qu'il unifie les paquets avant d'examiner leur contenu. Les en-têtes des paquets indiquent au moteur d'analyse quel protocole la transmission utilise et de quel port le trafic provient et est dirigé. Ces informations identifient toute inadéquation entre les applications envoyant des données sur les réseaux et les ports que chacune utilise, par opposition aux ports que l'application devrait utiliser pour le protocole qu'elle suit.

Le système nDPI est capable d'identifier les paquets cryptés en consultant le certificat de sécurité SSL.qui a spécifié la clé de cryptage pour la transmission. Il s’agit d’une idée intelligente qui permet de contourner les difficultés que le chiffrement présente pour l’analyse approfondie des paquets.

Avantages:

• Le projet open source permet une personnalisation supplémentaire
• Peut rapporter des données concernant les communications cryptées (date du certificat, autorité de signature, etc.)
• Tire parti de NetFlow, ce qui en fait une option solide pour les réseaux utilisant fortement les produits Cisco
• Complètement libre

Les inconvénients:

• A une courbe d'apprentissage plus élevée que certaines solutions payantes
• Aucune option de support payant, doit s'appuyer sur la communauté pour les mises à jour/correctifs
• Prend uniquement en charge l'analyse de la couche d'application

Le logiciel nDPI peut être installé surles fenêtres,Linux, etMac OS. Le module DPI prend en charge d'autres produits Ntop commenSondeetNtop-NG. nProbe est un système de surveillance du trafic qui collecteFlux netmessages. NetFlow est une norme de signalisation utilisée parSystèmes Ciscopour ses produits d'équipements de réseau.Ce système est disponible moyennant un petit supplémentet ça continueLinuxetles fenêtres. Ntop-NG est un analyseur de trafic pour les réseaux. Il s'agit d'un système alternatif de surveillance du réseau qui utiliseSNMPmessages. Ntop-NG est disponible pourles fenêtres,Unix,Linux, etMacOS. Il est disponible en trois versions, dont une, l'édition communautaire, est gratuite.

5.Netifier

Bien qu'il s'agisse d'un fork d'OpenDPI,nDPI devient un standard à part entièreet constitue la base d'un certain nombre d'autres adaptations.Netifyd en fait partie. Cela rend Netifyd et l'adaptation d'une adaptation d'OpenDPI. Comme ses ancêtres,Netifyd est un produit open sourceet vous pouvez voir le code qui constitue le programme, le compiler et l'utiliser. Alternativement, vous pouvez adapter le code vous-même et vous retrouver avec une adaptation d'une adaptation d'une adaptation d'OpenDPI.

Principales caractéristiques:

• Outil d'analyse de paquets
• S'associe à un moniteur réseau
• Affiche les paquets

Netifyd capturera les paquets, maisil n'inclut pas de fonctions d'analysepour interpréter des données ou prendre des mesures pour façonner le trafic ou bloquer des protocoles. Vous devrez importer les données Netifyd dans une autre application pour ces fonctions.

Avantages:

• Projet open source transparent
• Le tableau de bord est minimaliste et convient aux petits déploiements de réseau
• Version payante si abordable, même pour les petits laboratoires

Les inconvénients:

• Un autre fork d’OpenDPI peut être un inconvénient si vous n’êtes pas fan de ce framework
• Aucune fonctionnalité d'analyse de paquets
• Prend uniquement en charge l'analyse de la couche d'application

Ce système est disponible depuis les pages communautaires duÉgloosite web. Le produit principal d'Egloo est le Netifier moniteur réseau basé sur Netifyd mais doté de nombreuses autres fonctionnalités etn'est pas gratuit. Cet outil vous offre les capacités de visualisation et de tri nécessaires pour comprendre correctement les informations résultant de l'inspection approfondie des paquets. Le package de démarrage de Netify est au prix de 25 $ par site et par mois.Cette édition vous permet de surveiller les donnéesta jusqu'à 25 appareilset le service stockera vos données pendant deux jours. Les forfaits supérieurs vous offrent un horizon temporel plus long pour les données historiques.

6. AppNeta

AppNeta estun système de surveillance de réseau basé sur le cloud. Il s'adresse particulièrement aux entreprises qui exploitent des WAN et étendent leurs capacités dans le cloud.Le logiciel utilise une méthodologie propriétaire d'analyse du trafic réseau appelée TruPath., qui ressemble un peu à Traceroute avec des rapports de performances supplémentaires.

Principales caractéristiques:

• Basé sur le cloud
• Analyse du chemin
• Analyseur de protocole

Une fois que TruPath a collecté les informations, le système ajoute les détails du trafic glanés grâce à une inspection approfondie des paquets.Le module DPI fonctionne pour segmenter les métriques de trafic par application. Comme AppNeta s'adresse aux entreprises qui utilisent intensément Internet pour tout le trafic de l'entreprise. Il conduit toutinspection des paquets hors site, réduisant ainsi la pression que des procédures de signalement excessives peuvent exercer sur les réseaux.

Les informations recueillies par le module DPI sontenvoyé au centre de données cloud. Le moteur d’analyse est hébergé à distance et non sur aucun de vos équipements. Cela rend letableaux de bord et rapports disponibles depuis n'importe quel endroit, pas seulement dans votre QG. La neutralité de l'emplacement de cette configuration rend le panneau de commande du système disponible partout sur le Web.Les données sont stockées sur les serveurs AppNeta pendant 90 jours, ce qui vous donne amplement l'occasion d'analyser les tendances et de planifier la capacité. La demande en applications couvre à la fois les services cloud auxquels votre entreprise a accès ainsi que les services en ligne que votre entreprise fournit à d'autres.

La présentation AppNeta se concentre sur surveiller les performances de livraison des applications . Il comprend des alertes sur les volumes de trafic par application. Ces avertissements de circulation pourraient servir de moniteur de sécurité car des augmentations soudaines du trafic Internet peuvent indiquer une attaque . L'utilitaire comprend une analyse de l'activité des utilisateurs , ce qui serait utile pour suivre les activités suspectes et identifier les comptes compromis. Cependant, AppNeta ne se positionne pas comme un outil de sécurité.

AppNeta couvre toutes les communications entre vos sites et son data center avecchiffrement. Le package n’utilise pas d’outils d’analyse de données et la société vous recommande d’utiliser un outil tiers, tel que Wireshark.

Avantages:

• Fonctionne comme un SaaS basé sur le cloud, ce qui le rend flexible et facile à déployer
• Utilise une méthode propriétaire d'analyse du trafic qui fournit des rapports détaillés basés sur chaque saut de réseau
• Une excellente option pour les entreprises qui s'appuient sur de nombreuses applications publiques pour mener leurs activités (DMZ, outils SaaS, services cloud).
• Associe le DPI aux performances des applications, permettant aux utilisateurs de corréler facilement les attaques et la disponibilité.

Les inconvénients:

• Doit contacter le vendeur pour une période d'essai gratuite indéterminée
• Pourrait utiliser davantage de fonctionnalités de sécurité pour arrêter les menaces dès qu'elles sont identifiées
• Plus cher que les outils DPI similaires

Ce système de surveillance n'est pas gratuit. Le service est au prix de 199 $ par application et par emplacement. Vous pouvez demanderun essai gratuitdu système, mais l'entreprise ne le propose pas pour une durée déterminée. Vous pouvez négocier une période d’essai avec un commercial sur demande.

7. NetFort LANGuardian

Utilisations de LANGuardianinspection approfondie des paquets principalement comme outil de sécurité. Le système isole les applications gourmandes en ressources et examine le trafic de protocole sur votre réseau qui utilise le plus de bande passante.

Principales caractéristiques:

• Capture de paquets à partir des commutateurs
• Outils d'analyse manuelle
• Recherches de paquets automatisées

Le tableau de bord du système propose des données récapitulatives à partir desquelles vous pouvez explorer les informations disponibles jusqu'à l'activité de l'utilisateur. Le logiciel LANGuardian fonctionne sur Linux . Il est livré avec sa propre interface Linux, donc ça peut aussi être exécuter des machines virtuelles y compris Microsoft Hyper-V. Cependant, il ne fonctionnera pas directement sous Windows. Si vous souhaitez utiliser LANGuardian sur un ordinateur Windows, vous devrez installer VMWare Player ou VirtualBox et exécuter le logiciel via cette interface.

Le système LANGuardian comprend quatre éléments :

• Un moteur de collecte
• Un moteur d'analyse
• Une base de données de trafic
• Un moteur de reporting

Comme la plupart des systèmes DPI,vous ne pouvez pas analyser les données en direct. C'est là que la base de données s'avère utile. Les informations recueillies par l'agent de recouvrement sont insérées dans une base de données.Les données collectées peuvent ensuite être triées et manipulées par le moteur analytique. Cela donne au systèmeune perspective au niveau de l'applicationsur le trafic réseau et permet à l'analyseur de suivre les modèles de trafic à travers les paquets. Cependant, ces enregistrements peuvent être rassemblés très rapidement et complétés en temps réel, il est donc possible d'obtenir des vues quasi-en direct de votre trafic réseau.

Avantages:

• Fournit une inspection approfondie des paquets principalement en tant qu'outil de sécurité, se distinguant des autres outils qui n'offrent strictement que la surveillance des applications
• Prend en charge la collecte, l'analyse et la création de rapports de paquets, ce qui en fait une solution tout-en-un pour DPI
• La fonctionnalité de base de données robuste et facile à utiliser permet aux utilisateurs de stocker les données collectées et de les rechercher après l'analyse.

Les inconvénients:

• Ne peut pas fonctionner nativement sous Windows
• J’aimerais voir de meilleures visualisations de rapports/tableaux de bord

Le logiciel doit être installé sur un ordinateur de votre réseau etcet ordinateur doit avoir une connexion directe à votre commutateur principal. Cela donne à l'agent de collecte le pouvoir de copier tout le trafic qui circule sur votre réseau. Ce collecteur devient le capteur principal et crée une relation individuelle entre le commutateur principal et la console de surveillance. Évidemment, cette architecture empêcherait le déploiement du système LANGuardian sur des réseaux distribués et ne fonctionnerait surtout pas avec les WAN. Dans ces scénarios,le LANGuardian déploie des capteurs à distancequi est éloigné des autres commutateurs principaux de votre organisation pour centraliser l'analyse des données.

Le système n'est pas gratuit. Cependant, vous pouvez obtenir un30 jours d'essai gratuitde LANGuardian.

Comment choisir le DPI et le logiciel d'analyse

La gestion et l’analyse approfondies de l’inspection des paquets ne doivent pas nécessairement être effectuées par un outil autonome . Vous pouvez intégrer la fonctionnalité DPI dans la plupart des meilleurs systèmes de surveillance réseau du secteur. Si vous disposez d’un petit réseau et que vous ne souhaitez pas débourser pour des systèmes de gestion de réseau, alors consultez les versions gratuites de ces moniteurs réseau de renom . Si vous souhaitez simplement qu'un système distinct effectue une analyse approfondie des paquets et que vous ne voulez pas que ces tâches interfèrent avec votre surveillance régulière, vous trouverez des outils très adaptés sur notre liste.

Soyez prudent lorsque vous installez des outils d'analyse approfondie des paquets, car ils extraient les données transportées sur votre réseau. Une inspection approfondie des paquets peut compromettre la confidentialité des données échangées au sein de votre organisation . Tu devrais vérifiez auprès du conseiller juridique de votre entreprise avant d'installer un outil réseau qui vous permettra de capturer des données lorsqu'elles traversent le réseau. La confidentialité des données et le contrôle d'accès pourraient être compromis en donnant l'accès au personnel de l'administrateur réseau. Dans certains cas, l’entreprise doit s’engager à limiter l’accès aux informations personnelles des membres du public détenues sur les actifs de l’entreprise. Donc, assurez-vous que vous ne violez pas ces obligations en installant des outils DPI .

La possibilité de vérifier le trafic au niveau des paquets est certainement utile lorsque vous rencontrez des problèmes de performances réseau. L'analyse approfondie des paquets va encore plus loin etlit le contenu de chaque paquet. Vous devez vous rassurer, ainsi que votre conseil d'administration, sur le fait que vous avez réellement besoin de ce niveau d'information afin de protéger le réseau avant d'installer des systèmes DPI.

Utilisez-vous actuellement des techniques d’inspection approfondie des paquets pour assurer le bon fonctionnement de votre réseau ? Avez-vous rencontré des problèmes juridiques concernant la question de la confidentialité des données lors de l'utilisation des outils DPI ? Laissez la communauté apprendre de votre expérience en laissant un message dans la section commentaires ci-dessous.

FAQ sur l’inspection approfondie des paquets

Qu'est-ce qu'un pare-feu sans état ?

Un pare-feu sans état examine les informations contenues dans l'en-tête de chaque paquet individuel lors de l'application de ses règles d'admission. Le contraire de l'état sans état est le pare-feu avec état, qui examine les conditions nécessitant l'examen de plusieurs paquets.

Comment NPM prend-il en charge l’inspection approfondie des paquets ?

LeMoniteur de performances du réseau SolarWinds (NPM)inclut une inspection approfondie des paquets en tant qu'outil d'analyse à la demande. La mise en œuvre de ce service nécessite la configuration d'un capteur d'analyse de paquets, qui active efficacement la mise en miroir des ports sur un périphérique réseau.

L’inspection approfondie des paquets bloque-t-elle les VPN ?

L’inspection approfondie des paquets effectuera uniquement les vérifications spécifiées par les propriétaires du pare-feu. Cependant, le DPI peut être utilisé pour détecter des modèles dans les paquets chiffrés typiques du traitement VPN. Le gouvernement chinois l’utilise et les VPN déploient des tactiques furtives pour tenter d’échapper à la détection.

Quelles sont les techniques d’inspection approfondie des paquets utilisées aujourd’hui ?

La méthode la plus couramment utilisée pour l’inspection approfondie des paquets est la détection basée sur les signatures. Cela recherche un modèle spécifique de caractères dans le paquet. Habituellement, les systèmes DPI concentrent leurs recherches de modèles sur les en-têtes des paquets car on suppose que le corps sera chiffré.

Image: Raspberry Pi modèle B dans le boîtier PiHouse – opérationnel par Équipe Walker via Flickr. Autorisé sous CC BY-SA 2.0 (modifié : texte supplémentaire ajouté)