DPI Note varie

Deep Packet Inspection in
Regione del Veneto

Luca Lomi
Terasystem S.p.A.

Deep Packet Inspection in Regione del Veneto Pag. 2

Luca Lomi - Terasystem S.p.A.


SOMMARIO
Introduzione al documento ................................................................................................................. 4
Parte Prima - Intro al DPI ..................................................................................................................... 5
DPI – Cos’è........................................................................................................................................ 5
Aspetti legali..................................................................................................................................... 5
Codice delle Comunicazioni Elettroniche ........................................................................................ 5
Aspetti economici ............................................................................................................................ 6
Casi reali: Cina .................................................................................................................................. 6
Casi reali: Iran ................................................................................................................................... 7
Casi reali: Iran, dov'è finito il web? – 12 Febbraio 2012 .................................................................. 7
Seconda parte: Considerazioni sul DPI in Regione del Veneto ............................................................ 8
Area di applicazione ......................................................................................................................... 8
Open source – Rischi e criticità di utilizzo ........................................................................................ 8
Aspetti legali e giuridici .................................................................................................................... 8
Utilizzi contestabili ........................................................................................................................... 9
Economicità della soluzione ............................................................................................................. 9
Costi della soluzione......................................................................................................................... 9
Bibliografia ......................................................................................................................................... 10



Introduzione al documento
La prima stesura del documento risale ai primi mesi del 2012 e riguarda la valutazione degli aspetti
connessi all’introduzione della tecnologia Deep Packet Inspection in Regione del Veneto, non tanto
dal punto di vista tecnico, sicuramente interessante ma inizialmente trascurabile, quanto dal più
rilevante punto di vista amministrativo ed economico; è necessario infatti tenere in considerazione
le potenzialità di questa tecnologia in relazione all’ambiente regionale nella quale potrebbe essere
introdotta in quanto estremamente invasiva in tutte le comunicazioni (quindi anche quelle degli
utenti) e costosa nel caso di un progetto strutturato per una realtà come quella in considerazione.

La presente versione del documento mantiene sostanzialmente inalterati i contenuti originali
costituiti da appunti e note, mentre è stata adattata la veste grafica per la pubblicazione nel web.

Il documento si divide in due parti:

- La prima parte riguarda una breve panoramica sulla tecnologia del Deep Packet Inspection.
- La seconda parte alcune considerazioni riguardanti l’utilizzo della tecnologia DPI in Regione
del Veneto.



Parte Prima - Intro al DPI
DPI – Cos’è
"Deep Packet Inspection" (DPI) è un termine delle reti di computer che si riferisce ai dispositivi e
tecnologie che effettuano ispezioni e agiscono in base al contenuto del pacchetto (comunemente
chiamato il "payload") piuttosto che solo l'intestazione del pacchetto.

La seguente analogia aiuta a chiarire la funzione di DPI:

- Un pacchetto dati è analogo ad un messaggio di posta fisico (busta e lettera);
- L'indirizzo all'esterno della busta corrisponde alla "intestazione del pacchetto";
- Le informazioni all'interno della busta corrispondono la "payload";
- DPI è come agire su tale messaggio di posta non solo sulla base dell'indirizzo indicato sulla
busta, ma anche fare considerazioni basate sul contenuto della busta.

Un termine più generale è "Deep Packet Processing" (DPP) che comprende le azioni intraprese sul
pacchetto, come modifica, blocco, filtro, o il reindirizzamento. Oggi, DPI e DPP sono spesso usati
come sinonimi.

Aspetti legali
…la privacy è una preoccupazione legittima…

Mentre DPI offre la promessa di una infrastruttura più potente e sicura rete globale, presenta
anche le sfide che richiedono tecnica completa, operativa, la considerazione etica e giuridica […]

- Quali sono gli impatti potenziali di DPI sulla censura, privacy e neutralità della rete e quali
sono il criterio appropriato pubblico e quadri normativi?
- Come architetture di dispositivi e della rete si evolvono per rispondere alle esigenze di
adeguata potenza di calcolo, velocità, flessibilità e funzionalità delle soluzioni DPI?
- Quali le tendenze tecniche e di settore a livello sforzi attivare o migliorare la gestione
dell'interoperabilità, della rete e del servizio, o il consolidamento di vari prodotti DPI?
- Quali sono le forze trainanti per le soluzioni DPI di espandersi in nuovi mercati, maggiore
ingombro e maggiori soluzioni a valore aggiunto?
- Quale ruolo dovrebbe DPI svolgere nei sistemi […] di sicurezza?

E’ la stessa tecnologia di controllo e spionaggio di cui trattano alcuni difensori dei diritti degli
utenti quando puntano il dito contro le norme europee volte a combattere la “pirateria”. L’accusa
in quel caso è che per arrivare a individuare chi sta scaricando musica o film in modo illegale si
dovrà esaminare in modo approfondito tutto il flusso del traffico internet.

Codice delle Comunicazioni Elettroniche
Il Codice delle Comunicazioni Elettroniche (pdf), la legge che regola il mercato delle comunicazioni
in Italia, stabilisce:



Art. 13 - Obiettivi e principi dell’attivita' di regolamentazione

6. Il Ministero e l’Autorita', nell’ambito delle rispettive competenze, promuovono gli interessi dei
cittadini: d) promuovendo la diffusione di informazioni chiare, in particolare garantendo la
trasparenza delle tariffe e delle condizioni di uso dei servizi di comunicazione elettronica
accessibili al pubblico;

Art. 46 - Obbligo di trasparenza

1. Ai sensi dell’articolo 45, l’Autorita' puo' imporre obblighi di trasparenza in relazione
all'interconnessione e all'accesso, prescrivendo agli operatori di rendere pubbliche determinate
informazioni quali informazioni di carattere contabile, specifiche tecniche, caratteristiche della
rete, termini e condizioni per la fornitura e per l'uso, prezzi.

Ottenere informazioni dal proprio ISP circa le specifiche tecniche e le caratteristiche della rete è un
diritto degli utenti.

Aspetti economici
Secondo Andrew Odlyzko guru delle telecomunicazioni e Professore alla scuola di matematica
dell’università del Minesota, l'uso di sistemi di DPI da parte di un operatore, da un punto di vista
tecnico, è antieconomico in quanto i costi di potenziamento di una dorsale di rete in fibra ottica si
riducono sempre di più fino a costare meno dei sistemi di DPI. In questo caso, il costo di rimozione
della scarsità sarebbe inferiore al costo di gestione della scarsità.

Con la modalità di offerta all'ingrosso e secondo le migliori pratiche europee, secondo il
ragionamento del prof. Odlyzko, anche per gli ISP non dovrebbe esserci una ragione economica
per introdurre sistemi DPI.

Casi reali: Cina
Il governo cinese usa Deep Packet Inspection per controllare e censurare il traffico di rete e
contenuti che considera dannoso per i cittadini cinesi o per gli interessi dello Stato. Questo
materiale include pornografia, informazioni sulla religione, e il dissenso politico. Gli ISP della rete
cinese usano DPI per vedere se c'è una qualsiasi parola chiave sensibile in transito attraverso la
loro rete. Se è così, la connessione verrà tagliata. La gente in Cina trova spesso bloccato l'accesso
a siti Web con contenuti correlati alla indipendenza del Tibet e di Taiwan, Falun Gong, il Dalai
Lama, le proteste di piazza Tienanmen e il massacro del 1989, i partiti politici di opposizione […]. La
Cina blocca anche il traffico VoIP dentro e fuori del loro paese [citazione necessaria]. Il traffico
voce in Skype non è influenzato, anche se i messaggi di testo sono soggetti a DPI e messaggi
contenenti materiale sensibile, come la parole volgari, semplicemente non vengono consegnati,
senza alcuna notifica a uno dei partecipanti alla conversazione. La Cina blocca anche i siti dei
media visivi come YouTube.com e la fotografia vari siti di blog.



Casi reali: Iran
Il governo iraniano ha acquistato un sistema di ispezione approfondita dei pacchetti nel 2008 da
Nokia Siemens Networks (NSN) (una joint venture Siemens AG, il conglomerato tedesco, e Nokia
Corp., l'azienda finlandese cellulare), secondo un rapporto nel Wall Street Journal […]. Secondo gli
esperti anonimi citati nell'articolo, il sistema "consente alle amministrazioni non solo blocco di
comunicazione, ma di monitorare a raccogliere informazioni sugli individui, così come alterarle
per scopi di disinformazione".

Casi reali: Iran, dov'è finito il web? – 12 Febbraio 2012
Le autorità di Tehran sembrano temere una nuova Primavera Araba a mezzo social network.
Impossibile accedere ai social network e ai servizi di posta elettronica.

Roma - Sono tagliati fuori dalla rete già da alcuni giorni: niente posta elettronica, niente social
network. Nessun accesso ai principali servizi web offerti da giganti come Google, Microsoft e
Yahoo!. L'ecosistema connesso dell'Iran è ormai del tutto fuori uso, bloccato alla radice dalle
autorità di Tehran nell'anniversario della Rivoluzione Islamica del 1979.

Ma si tratta di indiscrezioni trapelate online, non di notizie ufficiali. Il governo iraniano non ha
rilasciato alcun comunicato per spiegare i motivi del blackout. Come riportato dagli utenti più
esperti, le autorità nazionali hanno soffocato le connessioni con i siti che utilizzano il protocollo di
sicurezza HTTPS. Rendendo vani i tentativi d'accesso a Facebook piuttosto che a Twitter o ai servizi
di BigG.

Ma perché? In primis, il governo di Tehran avrebbe paura dell'eventuale esplosione di
un'agguerrita rivolta popolare. Come già successo col vento della Primavera Araba. Ma c'è un
dettaglio ancora più inquietante: l'Iran vorrebbe partorire al più presto una Rete alternativa non
contaminata dalla corruzione e dai pericoli di matrice occidentale. Con tanto di sistema operativo
alternativo a Windows e un nuovo motore di ricerca che rimpiazzi Google.

Nel frattempo, i navigatori iraniani hanno iniziato a sfruttare servizi di proxy e VPN per aggirare i
blocchi imposti all'improvviso dal governo. I responsabili del Tor Project hanno ipotizzato il
prossimo rilascio di servizio che riesca ad ingannare anche la più sofisticata tecnologia di deep
packet inspection.



Seconda parte: Considerazioni sul DPI in Regione del Veneto
Area di applicazione
- Non appartiene all’area del Network Management e non è simile a netflow, snmp, ecc
utilizzati in quest’area
- Appartiene all’area Network Security
- Utilizzato principalmente da ISP e governi
- PI (Packet Inspection)
o controlla solo intestazione dei pacchetti
- DPI (Deep Packet Inspetcion)
o controlla intestazione + contenuto del pacchetto
- ADPI (Advanced Deep Packet Inspection)
o sono in grado di applicare anche la Cross Packet Inspection (XPI) in modo che
vengano rilevate firme che partono su un determinato pacchetto e continuano su
pacchetti successivi. Per poter procedere con analisi così sofisticate è necessaria
un’elevata capacità di caching e di calcolo per poter garantire dei throughput di
rilievo. Questa tecnologia viene utilizzata prevalentemente da ISP ed operatori TLC
per ottimizzare il traffico sulla propria rete.
- Dispositivi utilizzanti come firewall, routers, ah-hoc devices.

Open source – Rischi e criticità di utilizzo
- Richiedono attività di manutenzione spesso non supportata commercialmente;
- C’è il rischio concreto che non vengano mantenuti con la conseguenza di ritrovarsi in breve
tempo con un prodotto obsoleto;
- In passato in Regione del Veneto sono stati utilizzati prodotti open source che non sono
stati adeguatamente aggiornati: 1xMRTG, 1xCacti, 2xNtop, 1xNagios, 2xNetflow; ad
esempio l’applicazione netflow in uso nel 2010 non era più sviluppata dal 2003 (7 anni di
obsolescenza!!!).

Aspetti legali e giuridici
- Non è sufficiente “basta installare il prodotto”;
- Valutare cosa prevede in materia il disciplinare regionale e la regolamentazione privacy;
- Valutare il consenso riguardo l’utilizzo di uno strumento così invasivo nelle comunicazioni;
- Valutare le ripercussioni sulla privacy degli utenti;
- Potrebbe portare a situazioni future difficilmente gestibili come:
o conservazione e fornitura dei log;
o riscontri sui flussi;
o regolamentazione delle politiche di accesso all’applicazione;
o identificazione certa degli utenti che accedono all’applicazione;
o Es. Viene tracciato un flusso che da un pc denominato “presidenteZaio” che si
connette ad un sito X. Problematiche: chi è l’utente reale che utilizzava quel pc in



quel momento? Il pc è stato lasciato per qualche minuto incustodito e qualcuno ne
ha approfittato? la tracciatura è lecita per quella comunicazione in quel momento?
Come fornire il tracciato delle comunicazioni? Come fornire il contenuto della
comunicazione? A chi? Quali sono le sanzioni previste?...

Utilizzi contestabili
- Privilegiare un tipo di traffico rispetto ad altro, oppure il proprio rispetto quello di altri:
o generalmente non è una pratica ben accetta da chi viene svantaggiato nel servizio;
- Controllo delle comunicazioni degli utenti:
o è considerata minaccia alla democrazia da gruppi di diritti civili;
o è considerata una minaccia alla privacy dalle parti sociali;
- Sicurezza contro malware in generale:
o esistono già altre soluzioni e strumenti più specifici ed efficaci

Economicità della soluzione
- Lo sforzo profuso viene ricambiato adeguatamente dai benefici che se ne ricavano?
- E’ solo un “nice toy”?
- Ci sono sufficienti risorse economiche per sostenere il progetto e l’attività correlata?
- Quali problemi reali risolve?
- Risolvendo tali problemi, quanto fa risparmiare?
- I costi economici di una soluzione simile prevedono:
o personale qualificato competente riguardo reti + sistemi + programmazione +
middleware;
o risorse hardware adeguate (non di recupero) per erogare un servizio efficiente;
o costi di licenze e contratti di supporto hw/sw;
o costi dovuti al downtime;
o costi di installazione, manutenzione, aggiornamento;

Costi della soluzione
Ci sono costi ti tipo:

- economico:
o costi affrontati per spese varie e dovuti all’approvvigionamento della soluzione;
- non economico:
o visibilità, prestigio, interesse in funzione:
 dell’andamento del progetto;
 dei risultati in caso di incidenti;
 di contestazioni e relative conseguenze;
 valutazioni correlate ai casi pratici di utilizzo (Iran, Cina, USA).



Bibliografia
Seguono alcune delle fonti:

http://www.2l-consulting.com/downloads/documenti/skype-how-to/download.html (Marzo2007)

https://www.dpacket.org/

http://en.wikipedia.org/wiki/Deep_packet_inspection

http://blog.quintarelli.it/blog/circa-la-deep-packet-insp.html

http://www.areanetworking.it/deep-packet-inspection.html

http://www.deeppacketinspection.ca/

http://zambardino.blogautore.repubblica.it/2009/06/22/il-wall-street-journal-tecnologie-
europee-per-la-censura-iraniana/

http://online.wsj.com/article/SB124562668777335653.html

http://en.wikipedia.org/wiki/NSA_warrantless_surveillance_controversy

http://en.wikipedia.org/wiki/Internet_censorship_in_the_People%27s_Republic_of_China

http://en.wikipedia.org/wiki/Internet_censorship_in_Iran

http://blog.quintarelli.it/blog/circa-la-deep-packet-insp.html

http://punto-informatico.it/3437098/PI/News/iran-dov-finito-web.aspx


DPI Note varie

More Related Content

What's hot (20)

Viewers also liked (14)

Similar to DPI Note varie (20)

More from Luca Lomi (9)

DPI Note varie