Deep Packet Inspection und SDN für Netzwerkkontrolle und Automatisierung nutzen

Kombiniert man Deep Packet Inspektion (DPI) mit Sofware-defined Networking (SDN), dann werden Netzwerke deutlich intelligenter und robuster.

Deep Packet Inspection (DPI) ermöglicht eine deutlich bessere Sicherheit und Verwaltung aktueller Netzwerke. In...

Kombination mit Software-defined Networking (SDN) wird Deep Packet Inspection zu einem leistungsfähigen Tool, das die Steuerung von Netzwerk-Richtlinien zentralisieren und Automatisierungsvorgänge beschleunigen kann.

Deep Packet Inspection ist eine Technik zum Filtern von Netzwerkpaketen: Sobald ein einzelnes Datenpaket einen Messpunkt passiert, wird es von der DPI-Lösung untersucht. Enthält ein Datenpaket Viren, Spam, Attacken oder andere Kriterien, entscheidet die Konfiguration der DPI-Lösung, wie mit dem jeweiligen Datensatz zu verfahren ist. DPI-Systeme liefern die notwendigen Informationen, um erweiterte Netzwerkautomatisierung sowie die Durchsetzung von Richtlinien und Compliance-Richtlinien im kompletten Netzwerk zu ermöglichen.

Vorteile von Deep Packet Inspection

Immer leistungsstärkere Systeme bringen immer mehr Vorteile im DPI-Bereich. Dazu gehören:

  • Tiefere Inspektion von Paketen. Damit wird es möglich, noch mehr Kontextinformationen und Details zum Datenfluss zu sammeln.
  • Mehr Untersuchungsmöglichkeiten: Immer mehr Endpunkte im Netzwerk werden mit DPI-Funktionen ausgestattet, darunter Ethernet Switches, Router, Server, Load Balancer, Appliances zur WAN Optimierung oder Sicherheitskomponenten im Netzwerk.
  • Häufigere Durchsuchung: Leistungsstärkere Prozessoren verhindern, dass die DPI-Systeme die immer schnelleren Netzwerke ausbremsen. Mit aktuellen Lösungen lässt sich sogar eine dauerhafte Deep Packet Inspection aktivieren, mit der alle Pakete ständig untersucht werden können.
  • Deep Packet Inspection als Software für Standard-Server: Damit muss man nicht mehr spezialisierte Appliances kaufen, sondern kann DPI-Lösungen auf regulären Servern im Netzwerk betreiben.

Zentralisierte Richtlinien und Security-Kontrollen - Wo sich SDN und DPI treffen

Moderne DPI-Systeme liefern die notwendigen Netzwerkinformationen und Flussdaten, um mit SDN-Controllern zu kooperieren. Damit kann SDN das Netzwerk als holistisches Gesamtsystem statt als eine Gruppe einzelner Geräte behandeln. Mit so einer Verbindung lassen sich ultimativ das Ausrollen von Richtlinien und die Automatisierung auf das komplette Netzwerk ausweiten, statt nur an einzelne Systeme gebunden zu sein. Eine zentralisierte DPI-Lösung kann Daten an alle angeschlossenen Systeme übermitteln. Kooperieren die Systeme, so erhalten Netzwerkverantwortliche einen deutlich besseren Überblick über die Vorgänge im LAN.

So eine zentralisierte Deep Packet Inspection hilft enorm beim Durchsetzen neuer Sicherheitsvorschriften, die durch das veränderte Nutzerverhalten entstehen, wie Telearbeit, BYOD oder neue interne und externe Dienste wie Facebook, Skype, Streaming etc.. Durch diese Änderungen muss das Netzwerk fähig sein, deutlich mehr zu „sehen“ und neue Übertragungsarten zu identifizieren. IT-Administratoren können damit beispielsweise Skype-Anrufe ermöglichen (um Telefonkosten zu sparen), gleichzeitig aber Dateiübertragungen via Skype verhindern, um Richtlinien zur Data Leak Prevention zu erfüllen.

DPI + SDN = Verbesserte Sicherheit

Mittels Deep Packet Inspection können IT-Verantwortliche und Sicherheitsbeauftragte Richtlinien erstellen und diese auf allen Netzwerkebenen durchsetzen (inklusive Applikations- und Nutzerebene) um Malware und andere Bedrohungen zu bekämpfen. Kombiniert man beide Techniken, lässt sich ein umfangreicher und ständiger Schutz im Netzwerk realisieren, der anders als Firewalls nicht nur an bestimmten Übergängen aktiv ist. Ein solches modernes Sicherheitssystem kann ständig den Status des Netzwerks im Auge behalten und auf mögliche Bedrohungen entsprechend reagieren.

Big Data in der Netzwerkverwaltung

Aktuell sind Systeme zur Netzwerkverwaltung reaktiv und erfordern einiges an Personal – das bedeutet, dass gut ausgebildete Netzwerkprofis auf Zwischenfälle reagieren müssen, anstatt sie proaktiv zu verhindern.

Mit einer erweiterten DPI-Lösung lässt sich das ändern: Da diese Systeme deutlich mehr Informationen über den Netzwerkzustand liefern, lassen sich Verhaltensweisen deutlich früher erkennen und möglicherweise proaktiv verhindern. Die Herausforderung liegt allerdings darin, diese Daten auszuwerten und darauf basierend Entscheidungen zu treffen. Mittelfristig wird sich die Netzwerkverwaltung in ein Big-Data-Problem verwandeln, bei dem Verantwortliche die Art der gesammelten Daten, den Zeitraum sowie die Analysearten definieren müssen.

Deep Packet Inspection spielt eine kritische Rolle bei der Überwachung des Netzwerkszustandes. Die erweiterten DPI-Funktionen werden einen Großteil der Hersteller beeinflussen, darunter Netzwerkhersteller (etwa Cisco, Juniper, HP Networks, F5, Riverbed), SDN Start-Ups (Big Switch, PLUMGrid, Saisei), IT-Hersteller (IBM, Intel, VMware), Anbieter von Netzwerk-Monitoring-Lösungen (Gigamon, NetScout, Ixia) sowie zahlreiche Anbieter von Sicherheitslösungen. In vielen Netzwerken wird Deep Packet Inspection eine ständige aktive Komponente zur Überwachung sein. In Kombination mit SDN-Systemen ermöglicht Deep Packet Inspection ein automatisiertes Netzwerk, das deutlich einfacher zu verwalten ist und dabei sogar weniger Betriebskosten verursacht.

Artikel wurde zuletzt im September 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Software Defined Networking (SDN)

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close