Deep Packet Inspection - hoe, wat, waarom

Een aantal jaren geleden gebruikte men voor de bescherming van bedrijfsnetwerken proxies, echter deze systemen waren duur in het onderhoud en hielden alleen specifieke informatie tegen. Men kon bijvoorbeeld niet zien dat er door een specifieke geauthoriseerde applicatie die op de normale internet poort (80) communiceerde malware of virussen verspreid werden. (denk aan bv Office documenten die besmet waren)

Om dit te verhelpen kwamen de Intrusion Detection Systems. Die konden dit redelijk, maar gaven heel vaak valse alarmen. IDS kon ook alleen maar detecteren en niet blokkeren. En bandbreedte was een probleem, te snel en het gin mis. Niet handig dus. Ook waren beide systemen duur in aanschaf en onderhoud.

Na veel geld en veel discussie werd er eindelijk overgegaan naar Deep Packet Inspection.
DPI werkt op alle lagen van het OSI model (data verkeer is opgebouwd uit 7 lagen waarbij de onderste laag bv de kabel is en de bovenste de applicatie) en kan dus de pakketten analyseren in (bijna) real-time. Het grote voordeel van DPI in deze omgeving is dat men hiermee al aanvallen kan tegengaan voordat ze werkelijk gebeuren, juist doordat DPI bijvoorbeeld een protocol analyseerd en kan zien of daar minimale verschillen in zitten die kunnen duiden op een aanval.

DPI wordt dus al heel veel gebruikt om DDoS aanvallen tegen te gaan en om SPAM te detecteren en blokkeren. Waarom denken jullie dat de GMail SPAM filter zo goed is? Juist.
De meer omstreden toepassing van DPI is Traffic Shaping. Dit is een nieuwe naam voor een oud begrip wat eerst Quality Of Service (QoS) heette. Al jaren is het mogelijk om bandbreedte toe te wijzen aan specifiek gebruik. Dit werd voorheen (en nog steeds) gedaan door een QoS matrix in te stellen waarin je aangeeft welke protocollen en applicaties voorrang krijgen op anderen.
QoS stel je in en dat is het, er is niet veel dynamisch aan. Stel je bijvoorbeeld in dat je Call of Duty heel veel bandbreedte mag gebruiken dan heb je bv voor je video streaming minder beschikbaar. Je zal nu juist die gave 1080p stream willen kijken. Moet je je QoS weer aanpassen.

Nu, DPI verhelpt dit en kan dynamisch het verkeer regelen. Vergelijk het met echt verkeer. QoS zijn de verkeerslichten, die op vaste patronen op groen en rood springen. DPI is (letterlijk) de politieagent die naar eigen inzicht het verkeer in juiste banen leidt.

Pas je dit toe op de telecom operators dan worden dingen al snel duidelijk. Volgens analyses (waarschijnlijk door weer dat DPI) worden en veel Peer-to-Peer clients gebruikt. En daarbij zijn ook veel torrent achtige applicaties. Dit torrenting gebeurt ook veelal in de avond uren. De operators kunnen met DPI dus dynamisch zorgen dat als er een piek optreedt van dit P2P verkeer de bandbreedte minder wordt en bijvoorbeeld VoIP hier geen last van ondervindt.
En zo kunnen operators ook Tethering blokkeren, puur door gebruik te maken van DPI.

Waarom doen operators dit? Het is een capaciteit en geld kwestie:

Laten we vooropstellen dat operators commerciele bedrijven zijn die hun werknemers moeten betalen en graag wat overhouden aan hun bezigheden, net zoals de bakker en slager om de hoek.

De overheid draait de operators een poot uit door gigantische bedragen te vragen voor frequentie spectra. De operators worden tegen elkaar uitgespeeld in de grote farce die ze spectrum veilingen noemen. Operators moeten wel mee doen, anders liggen ze hopeloos achter bij de concurrenten. En eerlijkheid is ver te zoeken. Als de overheid echt zou willen dat er een goede marktwerking zou komen zouden ze de frequentiebanden weggeven.

Organisaties zoals de OPTA willen ook nog eens dat de operators hun tarieven omlaag brengen. De marges worden er voor de operators alleen maar kleiner op.

Klanten willen ook niet betalen. Gek genoeg wordt er niet geklaagd dat een kogelbiefstuk zoveel duurder is dan een runder stooflap (da's toch van hetzelfde beest!?), maar als de bel- of internet tarieven omhoog gaan is het hek van de dam. (en komt vaak de OPTA weer om de hoek kijken)

Dus zijn de potten met geld natuurlijk niet oneindig en moeten de operators hun budgetten verdelen over het aanbieden van nieuwe diensten, investeren in nieuwe netwerk apparatuur en er tussentijds ook gezocht moeten worden om het netwerk zo optimaal mogelijk te benutten. Hiervoor is dus DPI erg nuttig.

Het gevoelsprobleem voor de gebruikers is dat het niet meer zichtbaar is wanneer wat gedaan wordt. DPI is er overal, altijd. Mensen hebben het gevoel dat die politieagent constant in hun berichten zit te bekijken.
Nu, dat is al jaren zo. Operators zijn bij wet verplicht om alle internet en belverkeer minimaal 6 maanden op te slaan. Echter, er wordt niet naar de werkelijke inhoud gekeken behalve als er een legitieme reden is en de rechtbank dit goedkeurt. SPAM en virus filters maken al jaren gebruik van DPI. Malware, load balancing, noem maar op, maakt allemaal gebruik van DPI.

En ja, nu kan je allerlei complottheorieën verzinnen en denken dat dit stiekem toch gebeurt, maar dan kan je natuurlijk nergens meer komen.

Daarbij is het DPI dus veel genuanceerder dan men steeds maar op internet rondroept. Ja, er wordt naar de inhoud van de pakkette gekeken. Maar, er is inhoud en inhoud. In het merendeel van de gevallen, zoals bijvoorbeeld het geval bij KPN waar gebruik van de WhatsApp bekeken werd, kijkt men niet verder dan applicatie specifieke data. Niks geen inhoud van vieze praat die door hormonen aangetaste pubers versturen, puur WhatsApp data.
Neemt niet weg dat DPI natuurlijk wel misbruikt kan worden. Het zou zomaar kunnen zijn dat in de niet al te verre toekomst een totalitair fascistisch regime ineens besluit dat zij van alle operators gespreksgegevens moeten hebben van mensen die een bepaald geloof aanhangen. Of minder extreem, dat Microsoft grof geld betaald om hun net aangekochte Skynet een grotere bandbreedte te laten gebruiken dan hun concurrenten.

Dat is dus niet uitgesloten. En ik denk dat alle initiatieven om dit tegen te gaan welkom zijn, maar ook hier moet men uitkijken dat er niet teveel gereguleerd gaat worden. Het mooie van internet is dat het zichzelf best goed regelt, laat dat alsjeblieft zo blijven.
2 responses
Ik heb nu wel meer begrip voor de operators gekregen, dus in zoverre heb je je doel bereikt. Maar dat kleine stukje aan het eind, over de toekomst..

We kunnen er maar beter rekening mee houden dat Netneutraliteit heel belangrijk kan zijn/blijft/wordt. En zo weinig mensen hebben een bewust idee over 'hun data' en de waarde en de daarmee gepaard gaande risico's.

Dus blijf bloggen!

Dank voor je uitleg en beschouwing Marco! » Top!