Glosario de Ciberseguridad
DPI (Inspección Profunda de Paquetes)
Análisis del contenido completo del tráfico de red en tiempo real para detectar amenazas y controlar aplicaciones.
¿Qué es DPI (Inspección Profunda de Paquetes)?
La Inspección Profunda de Paquetes (DPI, Deep Packet Inspection) es una tecnología que examina no solo la cabecera de los paquetes de red (origen, destino, puerto), sino también el contenido completo de la carga útil (payload). Esto permite identificar el tipo de aplicación, detectar malware, contenido malicioso, exfiltración de datos y violaciones de políticas de seguridad que serían invisibles para una inspección superficial.
DPI es la tecnología base que habilita las funciones avanzadas de los NGFW: sin ella, no sería posible el control de aplicaciones, la detección de malware en tráfico web, el filtrado de URLs por categoría ni la prevención de fuga de datos (DLP). Los FortiGate implementan DPI mediante sus motores de inspección por proxy y por flujo (flow-based), pudiendo elegir el método más adecuado según la política de seguridad aplicada.
¿Cómo funciona?
- 1
Captura cada paquete de red y reconstruye la sesión completa (reensamblaje TCP/IP) para analizar el contenido real.
- 2
Inspección por flujo (flow-based): analiza el tráfico paquete a paquete sin almacenar la sesión completa, priorizando rendimiento.
- 3
Inspección por proxy: reconstruye el contenido completo (archivo, página web) antes de analizarlo, ofreciendo mayor profundidad de inspección.
- 4
Aplica firmas de patrones, heurística y machine learning para identificar aplicaciones, malware y contenido malicioso.
- 5
Puede descomprimir archivos y analizar contenido anidado (ZIP dentro de ZIP, macros en documentos Office).
- 6
Clasifica el tráfico por aplicación (más de 4.000 aplicaciones reconocidas en FortiGate) independientemente del puerto utilizado.
Implementación en Fortinet
FortiGate implementa DPI mediante dos modos de inspección: flow-based (por flujo) para máximo rendimiento y proxy-based para máxima seguridad. Los procesadores Content (CP9) de FortiGate aceleran por hardware las operaciones de DPI, incluyendo descompresión, matching de patrones y descifrado SSL. Esto permite inspeccionar tráfico cifrado HTTPS a velocidad de Gbps.
Preguntas frecuentes
¿Qué diferencia hay entre inspección por flujo y por proxy en DPI?
La inspección por flujo (flow-based) analiza el tráfico paquete a paquete sin esperar a reconstruir la sesión completa, ofreciendo mayor rendimiento pero menor profundidad. La inspección por proxy reconstruye el contenido completo antes de analizarlo, detectando amenazas más sofisticadas pero con mayor latencia. FortiGate permite configurar ambos modos por política.
¿La DPI puede inspeccionar tráfico cifrado HTTPS?
Sí, mediante inspección SSL/TLS. El firewall actúa como intermediario (man-in-the-middle) legítimo: descifra el tráfico, lo inspecciona con DPI y lo vuelve a cifrar antes de enviarlo al destino. FortiGate utiliza procesadores CP9 para acelerar este proceso por hardware y minimizar el impacto en rendimiento.
Términos relacionados
Next-Generation Firewall (NGFW)
Firewall de Nueva Generación: combina firewall tradicional con IPS, control de aplicaciones y más.
Leer más →Inspección SSL/TLS
Descifrado y análisis del tráfico HTTPS para detectar amenazas ocultas en conexiones cifradas.
Leer más →IPS (Sistema de Prevención de Intrusiones)
Detecta y bloquea ataques de red en tiempo real mediante firmas y análisis de comportamiento.
Leer más →WAF (Web Application Firewall)
Firewall específico que protege aplicaciones web contra ataques como SQL injection, XSS y OWASP Top 10.
Leer más →¿Necesitas protección DPI?
Nuestros expertos en ciberseguridad pueden ayudarte a implementar la mejor solución Fortinet para proteger tu empresa. Consulta sin compromiso.