Burada her şeyden çok başarı hikayelerini tercih ediyoruz. Örneğin, “bir telekom operatörü, kullanımdaki patlayıcı artış nedeniyle trafiğini yeniden yapılandırmaya acil ihtiyaç duyuyordu” – bu da daha büyük ARPU’ya yol açıyordu. Farklı trafik türlerine öncelik vermek için adımlar atıldı, böylece müşterilere daha gelişmiş faturalandırma ile daha kişiselleştirilmiş tarifeler sunuldu, “ağır” içerik daha iyi işlendi ve genel olarak son kullanıcılara daha tatmin edici bir müşteri deneyimi sağlandı. Deep Packet Inspection yöntemi uygulanarak hedeflere büyük ölçüde ulaşıldı.
Bu arada, bu gerçek bir hikaye, yani trol suratı yok.
Veri Aktarımı 101
Telekomünikasyon paketleri kullanır. “Hepsi” ya da “her biri” ya da hatta makaleler eklemeye gerek yok – hikaye o kadar eskiye dayanıyor ki artık “icat” olarak değil, uygun bir şekilde benimsenmiş kural olarak görülüyor. Ancak çözümün kendisi, Polonyalı-Amerikalı Paul Baran tarafından ortaya atılan (ya da en azından ona atfedilen) bir Soğuk Savaş buluşudur. Bu dahi birden fazla parlak fikir ortaya attı, ancak şimdi bunu önemsiyoruz: bir mesajı küçük parçalara ayıran, her birini kendi yoluna gönderen ve son varış noktasında bir öğeyi normal şekline ışık hızında yeniden birleştiren merkezi olmayan bir ağ. Bu dağınık yolların nedeni Sovyetlerin saldırısına karşı koymaktı – daha az değil!
Tamam, tarihten veri aktarımına geri dönelim. Ağ paketleri gerçekten küçüktür: en küçüğü sadece 64 bayt olabilir; en büyük parçalar yaklaşık 1,5 Kb’dir. Ortalama bir salt metin e-posta (piksel ya da diğer ekler yok) 4 paket ya da benzeridir. Midilli boyutu, bir paketin bir yönlendirici, bir ağ geçidi, vb. gibi hemen hemen her iğne deliğinden geçmesine yardımcı olur. Dezavantajı da burada: Sanal Evren, göndericilerin teslim edilmesini isteyeceği, alıcıların ise almaktan nefret edeceği şeylerle dolu. Derin Paket Denetimi günümüzün bir dizi İnternet güvenliği sorununda bir zorunluluk haline gelmektedir.
Duvardaki bir başka tuğla
Ağ paketleri genellikle normal, “salyangoz posta” zarflarıyla karşılaştırılır. Yapıları gerçekten de benzerdir: üstbilgi (kabaca) bir muhataptır, gövde normal bir mektup ya da kartpostalda yazması gerekenleri içerir, altbilgi ise yine kabaca bir göndericidir.
Güvenlik duvarları, her zaman görev başında olan güvenlik gözetleme kuleleri, “yüz yüze” koruma konusunda harikadır. Paketlerin yalnızca başlıklarını tararlar: açıkça düşmanca bir mesajın geçmesine izin verilmezken, “tanınabilir” olarak gizlenmiş, istenmeyen içeriği daha derine gizlenmiş bir şey güvenlik duvarını geçebilir ve zarar verebilir.
Derin Paket Denetimi (DPI) bu derinlikle başa çıkmak için kullanılır. Hem adresleri hem de gövde metnini kontrol eder ve hatta bu paketi oluşturan bir hizmeti veya uygulamayı adlandırabilir. En önemlisi de: DPI kullanıcısı doğrulama parametrelerini kendisi girer, analiz kriterleri tamamen özelleştirilebilir. Posta kutunuza bir filtre uygulamak kadar kolay, değil mi? Ancak DPI daha da ileri gidebilir – örneğin, bağlantı noktalarını alışılmış kullanımlarına veya özel olarak oluşturulmuş listeye karşı kontrol edebilir. Ağ sahiplerinin DPI yardımıyla kendi ağlarının bazı ciddi kötüye kullanımlarını keşfettikleri doğrulanmış vakalar vardır – sadece bir örnek için korsan filmlerin eşler arası değişimini oluşturmak gibi…
Ne yazık ki, DPI yöntemleri bilginin serbest akışının önünde bir engel olarak da kullanılabilmektedir. Bu konuda daha sonra.
Düğmeye bir fiske
DPI’ın eşit derecede iyi olduğu bir diğer görev de trafik organizasyonudur. Yine belirli bir kullanıcı tarafından belirlenen kriterlere göre, herhangi bir paket tespit edilebilir, ardından yalnızca engellenmekle kalmaz, aynı zamanda gerçek zamanlı olarak kategorize edilebilir ve/veya yönlendirilebilir. Bu, trafiğinin hem güvenliğini hem de kalitesini önemseyen kuruluşlar, telekom operatörleri ve İnternet sağlayıcıları için kritik önem taşır.
Örnekler şunları içerir (ancak bunlarla sınırlı olmaktan çok uzaktır):
- Satışa odaklanan bir işletme – örneğin, kendi çevrimiçi mağazası aracılığıyla – ancak sosyal ağlarda ve video akışlarında belirli düzeyde etkinlik gösterir. DPI, mağazayla ilgili trafiği ön planda tutarken YouTube, Facebook vb. trafiği artık ikinci planda tutuyor;
- Bir telekom sağlayıcısı – trafik kullanım modelleri, mevcut herhangi bir hizmet için talep seviyesi ve ağ pik yüklerinin ölçeklenebilir dökümleri dahil olmak üzere “abonelerimin ne olduğu” hakkında en net resmi elde etmek. Bu, bahsedilen “trafik kalitesi” ya da daha anlayışlı bir ifadeyle, tahsis edilen bant genişliklerinin mümkün olan en iyi şekilde kullanılması (QoS) için de geçerlidir;
- Neredeyse tüm büyük (şehir ya da bölge olarak okuyun) kamu hizmeti sağlayıcıları ya da acil durum servisleri. DPI’ın acil olarak kabul ettiği bilgiler, sıradan veri kuyruklarını atlayabilir ve hemen gönderilebilir. Aynı sistem, IoT çerçevesindeki cihazlardan gelen kötü niyetli talepleri engelleyerek 5G ile ilgili saldırıları önleyebilir;
- Ağırlıklı olarak gizli veya telif hakkıyla korunan bilgilerle çalışan herhangi bir kuruluş: kolluk kuvvetleri, plak şirketi veya yayınevini düşünün. DPI ayarlarıyla uyumlu olmayan paketlerin geçişine izin verilmeyecek, böylece herhangi bir yetkisiz veri sızıntısı önlenecektir.
- Tam uyumlu mesajlar her gönderim için özel bir izin olmadan gidebilirken: kurallar bir DPI sistemi içinde/tarafından belirlenir.
Karanlığın birkaç tonu
DPI, basit meseleler nedeniyle çok uzun zaman önce düşünülemezdi. Her şey nispeten sınırlıydı. Mütevazı bilgi işlem kaynakları güvenlik duvarlarını nihai çözümler haline getiriyordu: çok az işlem gücü tüketiyorlardı. İnce bant genişlikleri geniş veri akışı için tasarlanmamıştı, ancak derin paket analizi için daha az yetenekliydi.
DPI yaklaşımı, daha önce öğrendiğimiz gibi, bir güvenlik aracı olarak ortaya çıktı, ancak çok daha fazlasını yapabiliyor ve gelişmeye devam ediyor. Ve “olmazsa olmaz” kelime kombinasyonundan da bahsedildi. Peki, Derin Paket Denetimi gerçekten de karanlık tarafa karşı yanınızda olan bir güç mü?
Duruma göre değişir. Tek başına bir sisteme değil: her zamanki gibi insan faktörü devreye giriyor. Kesinlikle karanlık tarafta DPI’ın sansür ve casusluk için kullanılma olasılığı var. Çin hükümeti DPI özelliklerini kullanarak kendi Büyük (Ateş) Duvarını yaratmayı başardı. Sonuçlar, bir taraftan bakıldığında, çok uygulanabilir: Çin’in kendi Facebook’u (WeChat) ve küresel olanları ikame eden düzinelerce başka yerel hizmeti var. Diğer taraftan ise oldukça korkutucu: DPI, Çin kadar büyük bir ülkeyi dünyadan (Wide Web) koparabilir.
Bunun en son örneği Belarus’ta yaşanan internet kesintileridir. Sıklıkla “Avrupa’nın son diktatörlüğü” olarak anılan yetkililer, protesto hareketini iletişimden mahrum bırakmak için ülkenin (devlete ait) dış ağ geçidini defalarca kısıtladı. Resmi Minsk’e göre, “erişimi engelleyen” sanki Batı’ymış gibi suçlanıyordu. Çok geçmeden, eskiden Kanadalı olan malum şirketin Belarus’a uygun malları gönderdiği ortaya çıktı. Yani gerçekte ne tüm trafik durduruldu ne de ağ geçidi kapatıldı. İstekler – hepsi – sadece DPI’ya yönlendirildi. Bu da muazzam bir trafik yavaşlamasına ve neredeyse devlet çapında bir çöküşe neden oldu.
Son haberler: eskiden Kanadalı olan ve adı S ile başlayan şirket Belaruslu müşterilerine daha fazla destek vermeyi reddetti.
Yukarıda anlatılanlar, pek de parlak olmayan bir başka konuyu gündeme getiriyor. Eğer yanlışlıkla ya da bilerek tüm trafiğinizi DPI’a yönlendirdiyseniz – The Slow deneyimini yaşayın. Yöntem korumanızı daha etkili ancak biraz karmaşık hale getirdiğinden, DPI politikalarının güncellemeleri ve revizyonları için ayrı bir ihtiyaç daha vardır. Dolayısıyla en azından ilk lansman için yüksek vasıflı personel gerekir.
İncelendi. Tavsiye edilir
DPI uygulamasının işletmeleri değiştirdiği, bazen de büyük ölçüde yenilediği başarı öyküleri çoktur.
Stratejik olarak düşünüldüğünde, DPI yöntemleri güvenlik, veri koruma/gizlilik, performans yönetimi (uygulamalı ağ analizi ile) ve diğer bazı sorunları çözmek için değerli bir çözüm gibi görünmektedir.
Saf teknik yaklaşım, DPI’ın kesin avantajları olarak bir yöntemin çok yönlülüğünü, çeşitli donanımlarla eşleştirme kolaylığını ve eşsiz algılama potansiyelini göstermektedir.
Basitçe “istemcileri düşünmek” daha iyi trafik kontrolü ve dağıtımı anlamına gelir – bu da bir operatörün müşterilerine daha kaliteli hizmetler sunmasını sağlar.
Previous article
