O que é?

O DPI (deep packet inspection) é um recurso usado para detecção de fluxos e bloqueio a nível de aplicação. O serviço é integrado ao Firewall e permite criar regras de encaminhamento para descartar ou rejeitar tráfegos dos seguintes tipos: Aplicações, categorias de aplicações, protocolos e categorias de protocolos.

O recurso captura pacotes de interfaces de rede e realiza inspeção, analisando os metadados e classificando os tipos de protocolos e serviços que estão passando na rede em tempo real. Para fluxos TCP, ele examina os primeiros 10 pacotes e para outros datagramas, os primeiros 8 pacotes são processados.

Funcionalidades

Ativar serviço de DPI e inspeção de conexões
Cadastro de atividades DPI
Gerenciar regras de bloqueio baseadas em DPI (Deep Packet Inspection)

Ativar serviço de DPI e inspeção de conexões

A configuração do serviço permite:

Habilitar o serviço
Marcar conexões para ativar inspeção

Orientações de uso:

Só é possível realizar bloqueios em fluxos roteados através das conexões selecionadas (entrada ou saída).
Pelo menos 1 conexão do fluxo deve ser marcada para inspeção, para que o bloqueio possa ser realizado.
Por exemplo: Um computador na LAN0 acessando serviços de streaming através do link da operadora WAN0. Ao menos uma destas conexões deve estar marcada para inspeção (lan0 ou wan0).
É recomendado que seja ativado a inspeção em todas as conexões LAN e WAN que terão bloqueios DPI.

OBS: Os serviços de infra implementados para o DPI são o netifyd (captura de pacotes e classificação) e o netify-fwa (parametrização das regras e geração dos IPSETS dinâmicos).

Cadastro de atividades DPI

O objetivo do cadastro de atividades é consolidar um conjunto de aplicações, protocolos e categorias em um único conjunto para que possa ser utilizado na criação de regras de Firewall. Exemplo: Outlook/Gmail + categoria E-mail + protocolos SMTP e IMAP + categoria de protocolos de e-mail, todos consolidados numa Atividade “E-mail”.

O cadastro de atividades define:

Nome da atividade
Seleção das atividades nas listas
- Lista de aplicações
- Lista de categorias de aplicações
- Lista de protocolos
- Lista de categorias de protocolos
As listas possuem:
- Campo para pesquisa / filtros
- checkbox para seleção
- Paginação
Salvar e aplicar

Gerenciar regras de bloqueio baseadas em DPI (Deep Packet Inspection)

Após ativado o serviço, é possível cadastrar regras de Firewall do tipo DPI em todas as zonas que possuírem conexões inspecionadas.

O cadastro de regras DPI possui os seguintes recursos:

Habilitar/Desabilitar
- Informa se a regra está ativa ou não. Quando ativa, provisiona a regra no iptables.
Grupo
- Agrupamento de regras dispostas em tela (melhor organização e visualização)
Descrição
Ação
- Rejeitar - bloqueia o tráfego e retorna uma pacote ICMP type icmp-port-unreachable, ação REJECT do iptables
- Descartar - bloqueia e descarta o tráfego, ação DROP do iptables
- Log - somente gera log no iptables para o tráfego, ação LOG do iptables
Regra de log
- Opção de ativar regra de log no iptables para as regras tipo Aceitar, Rejeitar ou Descartar
Fluxo
- Define as conexões de entrada e/ou saída do tráfego
- Pelo menos uma zona ou conexão inspecionada deve ser selecionada para o cadastro da regra
- Parâmetros -i e -o do iptables
- Quando selecionado Zona, cria uma regra para cada fluxo possível (-i e -o de todas as conexões)
Filtros
- Endereços de origem
  - 0/0 - Qualquer (0.0.0.0/0 no iptables)
  - IPs da conexão - Todos os IPs atribuídos à conexão (primário e secundários)
  - Redes da conexão - Todas as redes da conexão/enlace + rotas da conexão
  - IP - Endereço IP
  - Rede - Endereço de rede IP e tamanho do prefixo
  - Hosts - Seleciona um grupo de hosts criado no FWFLEX (IPSET de endereços IP)
  - Instância do SSO - Todos os usuários autenticados na instância selecionada (IPSET de endereços IP de todos os usuários que autenticaram)
- Endereços de destino
  - Atividades
    - Conforme atividades cadastradas
  - Aplicações
  - Categorias de aplicações
  - Protocolos
  - Categorias de protocolos