[Linux-Biella] Deep Packet Inspection per linux o *BSD

[Leonardo Buffa]

On 12/04/2013 20:28, Alberto Bertoli wrote:


> Deep vuol dire che ispezioni anche il contenuto del pacchetto ? Ma serve
> ? ormai i virus-malware etc usano SSH per non farsi beccare ...

sei un po' fuori strada
la packet inspection non serve a cercare un virus, ma a verificare che 
il pacchetto non abbia "malformazioni", in realta' non vai a leggere il 
codice ma solo che il frame tcp non sia "modificato geneticamente".

per internderci: quante volte mi sono dilettato a fregare un http proxy 
accedendo al mio server vpn ssl che sta in ascolto proprio sulla porta 
443, semplicemente il proxy rimane ingannato perche' vede effettivamente 
un "SSL" su una porta notissima per SSL (la 443), peccato che pero', 
invece che essere una richiesta https sia tutt'altro dentro il quale 
viene incapsulata tutto un traffico ip (udp, tcp, icmp e chi piu' ne ha 
piu' ne metta).

questo verrebbe evitato da una infrastruttura che all'uscita abbia un 
valido sistema di packet inspection: il pacchetto tcp viene 
"spacchettato", viene riconosciuto come illecito per via della sua 
struttura e gentilmente "droppato".

chiaro che questo viene usato per evitare moltissimi tipi di attacco che 
possono essere fatti inviando pacchetti malformati.


-- 
花は桜木、人は武士