Filtro Deep Packet Inspection (DPI)#
NethSecurity utilizza Netify Agent per impiegare tecniche di Deep Packet Inspection (DPI) per il filtraggio del traffico di rete.
Il Netify Agent funziona come un server di deep-packet inspection, sfruttando nDPI (precedentemente OpenDPI) per identificare protocolli e applicazioni di rete. Le informazioni rilevate possono essere memorizzate localmente, accessibili tramite socket UNIX o TCP, oppure inviate tramite HTTP POST a un server remoto di terze parti. Dettagli come i metadati dei flussi, le statistiche di rete e le classificazioni di rilevamento possono essere utilizzati per prendere decisioni sul flusso.
Ecco come funziona:
il plugin delle azioni di flusso Netify assegna etichette alle connessioni corrispondenti
Le regole nft possono quindi bloccare o regolare la priorità (DSCP) delle connessioni in base a queste etichette.
L’amministratore può creare regole di Deep Packet Inspection (DPI) per ciascuna interfaccia.
Configurazione#
Per configurare queste regole, l’amministratore avvia il processo selezionando l’interfaccia di rete specifica sulla quale la regola deve operare. Questo passaggio garantisce che la regola venga applicata con precisione al segmento di rete designato, consentendo una gestione mirata ed efficace del traffico di rete.
Dopo la selezione dell’interfaccia, all’amministratore viene richiesto di specificare le applicazioni che devono essere bloccate o regolate. Questo passaggio essenziale prevede la scelta da un elenco completo di applicazioni accessibile tramite l’interfaccia del sistema.
L’interfaccia, come funzionalità predefinita, presenta un catalogo di applicazioni comunemente utilizzate. Tuttavia, offre una funzionalità di ricerca avanzata che consente all’amministratore di esplorare e individuare applicazioni specifiche e categorie di applicazioni che richiedono particolare attenzione.
Elenco di applicazioni e protocolli#
L’elenco completo di tutte le applicazioni e i protocolli supportati dalla versione Enterprise è disponibile qui:
Eccezioni#
L’esclusione DPI consente di escludere indirizzi di rete specifici, come il gateway o altre infrastrutture critiche, impedendo che vengano bloccati.
Per aggiungere una nuova eccezione, fare clic sul pulsante Aggiungi eccezione. Inserire l”Indirizzo IP address o CIDR che deve essere escluso dal filtro. È possibile includere una descrizione che spieghi il motivo dell’esclusione.
Ogni eccezione può essere abilitata o disabilitata secondo necessità.
Bypass del traffico Netify#
Per impostazione predefinita, Netifyd elabora tutto il traffico che passa da, verso e fuori dal firewall. In alcuni casi può essere desiderabile ignorare completamente l’analisi del traffico su alcuni host o subnet specifici. Le esclusioni vengono configurate utilizzando le opzioni bypassv4 e bypassv6, che accettano un elenco di indirizzi IP o subnet in formato CIDR. I bypass possono avere una descrizione per spiegare il motivo dell’esclusione, separata dall’indirizzo IP tramite il carattere | (pipe).
Per aggiungere una nuova voce di bypass, utilizzare il seguente comando:
uci add_list netifyd.config.bypassv4='10.45.23.0/24|Remote network'
uci add_list netifyd.config.bypassv4='192.168.5.164|Critical host'
uci commit netifyd
reload_config
Per modificare e gestire le voci uci, fare riferimento alla sezione Gestione delle liste UCI.
È possibile visualizzare le voci di bypass applicate e la configurazione di acquisizione di netifyd utilizzando il seguente comando:
nft list table inet netifyd