Wie funktioniert Deep Package Inspection in Kombination https?
Ich habe letztens etwas über DPI gelesen. Wie kann DPI im Kombination mit https verwendet werden?
Beispielsweise ich google "guteFrage Ranking Deutschland". Soweit ich das mit https verstanden habe sieht der Internet Provider dass ich google (DNS) verwende, aber nicht "guteFrage Ranking Deutschland" eingegeben habe (wegen https). Wie kommt in diesem Fall DPI zum Einsatz? Kann mit DPI gesehen werden, dass "guteFrage Ranking Deutschland" in google eingegeben wurde oder geht es um das Datenvolumen was übertragen wurde, heruntergeladen, Port Anbindungen usw.?
2 Antworten
Deep Paket Inspection untersucht die Inhalt von Datenpaketen nach Auffäligkeiten wie Anomalien, Malware, etc. Dazu braucht es eine Instanz (meist eine Firewall oder ein IDS/IPS System) die wie ein Man-In-the-middle fungiert, die Pakete aufgreift, entschlüsselt, untersucht, wieder verschlüsselt und dann an den Empfänger schickt.
Soweit ich das mit https verstanden habe sieht der Internet Provider dass ich google (DNS) verwende, aber nicht "guteFrage Ranking Deutschland" eingegeben habe
Er sieht aber, welche Ziel IP du ansteuerst und anhand dieser weiß er, daß guteFrage Ranking Deutschland sich dahinter verbirgt.
oder geht es um das Datenvolumen was übertragen wurde, heruntergeladen, Port Anbindungen usw.
nein, siehe meine ersten Absatz oben.
@Sparrow75 ich habe eine zweite Frage im Kommentar ergänzt.
DPI kann bei https erstmal nichts weiter machen, da die Pakete ja verschlüsselt sind.
In Firmen gibt es da entsprechende DPI Firewalls, welche die Verbindungen der Browser abfangen und entschlüsseln. Anschließend stellt die Firewall die Anfrage an den eigentlichen server, prüft die Antwort, signiert und verschlüsselt die Antwort dann mit seinem eigenen Zertifikat und schickt diese dann an den Browser.
Im Normalfall führt das im Browser aber zu Zertifikatsfehlern, da das Zertifikat der Firewall nicht zum Webserver passt. Firmen importieren dann deswegen die Zertifikate der Firewall in die Browser der Firmen PC's, dann akzeptieren die Browser die Zertifikate.
Das kann der Internetanbieter natürlich nicht machen.
Danke für die Antwort Thomas. Verstehe, in Unternehmen wird das mit Sicherheit eingesetzt um wegen Malwaren und Co. sich zu schützen. Wie sieht es mit uns Privatleute aus? Ich nehme an sie sehen nicht dass wir auf google die Frage "guteFrage Ranking Deutschland" eingeben, sondern sehen das wir eine Verbindung haben auf Google.de (und nachfolgende + Zeit) und wie viel Daten hin und her gehen => nachvollziehbar das z.B. 5mb von Google runtergeladen wurden (html seite xD). Lieg ich da richtig?
so ungefähr. Das hat aber nichts mit deep packet inspection zu tun.
Wenn du aber so hornalte Protokolle, wie ftp verwendest, könnte der Provider da theoretisch schon reinschauen, da es unverschlüsselt ist.
Das machen Provider aber eher nicht aus 2 Gründen:
- ist aufwändig und teuer, ohne viel Mehrwert für den Provider
- würde es wahrscheinlich auch gegen Datenschutzgesetze verstoßen.
DPI kann man praktisch nur verwenden wenn die Datenpakete unterwegs sind, also bevor sie den Zielserver erreichen? Dürfen Provider das eigentlich aktiv gemäß dsgvo betreiben? Ich meine mich zu erinnern, dass es damals große Diskussionen in der Politik gegeben hat (dpi ist da auch gefallen als Name). Insbesondere wegen dem "Internetfilter" dass auch viele Petitionen mit sich geführt hatte.
Danke für die Erläuterung. Er sieht also die Ziel IP und welche Domain ich zugreife und die nachfolgenden Seiten ebenfalls. Sieht man aber dass ich genau diese suche in google eingegeben habe? Oder wird er es Schlussfolgern wenn ich eine nachfolgende Seite öffne?