Предлагаем вашему вниманию интервью с человеком, не понаслышке знакомым с устройством и спецификой работы . В сегодняшнем разговоре с ним мы обсудили вопросы, актуальные в последнее время и для русскоязычного сегмента интернета: роль государства и его сетевая цензура, а также коснулись примеров скрытого управления Интернетом и обществом на примере Китая.
Сам герой интервью пожелал остаться анонимным. Это бывший российский ИТ-специалист, который уже 6 лет проживает в континентальном Китае, работая в местной телекоммуникационной компании старшим инженером-администратором. Это серьёзный разговор о сетевых технологиях... обращённых против самой сети, а также о будущем глобальной сети и открытости нашего общества.
Дело даже уже не в инициативах государства российского — как грибы стали появляться уже частные фирмы, которые предлагают собственные решения цензурирования сети, те же фильтры трафика по спискам Роскомнадзора и Минюста, например широко известный Carbon Reductor . Поэтому стоит взглянуть на этот китайский опыт со всей серьёзностью и внимательностью, дабы заранее осознать всю глубину той норки, в которую нас так старательно пытаются затолкнуть.
— Расскажите про Великий китайский фаервол, который китайцы сами называют как «Золотой щит», что он из себя представляет в техническом плане? Каково его главное предназначение?
На данный момент это три составляющие, три дракона, на которых он базируется — технологии Deep Packet Inspection (DPI), Connection probe и Support vector machines (SVM). Все вместе они представляют собой очень продвинутый фильтр, который блокирует доступ к запрещенным коммунистической партией ресурсам из внешнего интернета.
Официальными идеологами при этом заявляется, что он якобы должен оградить психику китайцев от тлетворного влияния Запада, по мнению других же, это откровенная государственная цензура международной части сети Интернет.
— Давайте подробно рассмотрим каждую из названных составляющих. Итак, что такое Deep Packet Inspection?
Говоря кратко, это технология низкоуровневой проверки и фильтрации сетевых пакетов по их содержимому. Тут сразу нужно провести красную черту: коренное отличие от уже всем привычных брандмаеров в том, что DPI анализирует не столько заголовки пакетов (что, конечно, тоже может), сколько зарывается в содержимое транзитного трафика на уровнях модели OSI со второго и выше.
Подчеркну, всё это делается в режиме реального времени и с точки зрения внешнего наблюдателя никаких задержек или манипуляций с трафиком практически не заметно.
— В России в последнее время очень много пишут о внедрении DPI, многие федеральные операторы (особенно это касается мобильных операторов) даже якобы уже имеют его в рабочем виде. Можно ли сказать, что нами перенимается китайский опыт?
Российские и китайские DPI кроме общего названия и принципов работы практически ничего не объединяет. Дело тут, прежде всего в масштабе и серьёзности их реализации. Как очевидно из описанного ранее способа работы, DPI потребляет прорву ресурсов, ведь все многочисленные операции производимые им (например, дефрагментация пакетов, их распаковка, распознавание типов данных и протоколов, сканирование содержимого, многочисленные эвристики и многое-многое другое) должны происходить в режиме реального времени. Поэтому главный критерий степени серьёзности DPI, это глубина анализа транзитного трафика, который может позволить себе эта система, чтобы при этом сохранять приемлемый уровень латентности.
Если провести аналогии с антивирусными технологиями — насколько глубоко может позволить погрузиться в код эмулятор процессора для проверяемого файла? Даже если технические возможности и ресурсы позволяют трассировать код до бесконечности, погружаясь во всё новые ветвления и процедуры, общие требования к латентности системы всегда имеют волне конкретные ограничения, поэтому глубина погружения всегда ограничена.
Часто в этой ситуации применяются технологические или оптимизирующие ноу-хау, а можно пойти иначе — просто радикально увеличить вычислительную мощность. Так вот когда мы говорим о китайском DPI, нужно понимать, что это именно последний путь — реально это датацентр размером с самый настоящий районный город, который применяет роевой интеллект (Swarm Intellegence) для управления балансировкой и обработкой данных между его бесчисленными частями-узлами.
Возвращаясь к вопросу — если отечественные реализации DPI стоят, насколько я себе представляю, до 50 млн. долларов, то китайская национальная система приближается примерно к миллиарду. Российский DPI чисто технически не в состоянии осуществлять действительно глубокий анализ проходящих пакетов, а, значит, его заградительные барьеры потенциально будут обходиться со стороны квалифицированных пользователей множеством различных способов. Поэтому российская DPI китайской рознь...
— Переходим ко второму китайскому дракону — что такое «connection probe»?
Это дальнейшая эволюция DPI — сращивание прокси-сервера и низкоуровневого фильтрующего механизма. В этом случае при попытке подключения к любому сервису за пределами национального сетевого шлюза сначала происходит «заморозка» такого запроса, и последующее опережающее подключение по целевому адресу уже от имени DPI. Это, так сказать, проактивная система тестирования и идентификации типа запрашиваемых во внешнем интернете сервисов.
Если, например, вы используете запрещённый в Китае сервис, то его клиентский протокол должен быть серьёзно обфусцирован, чтобы суметь преодолеть сигнатурный механизм поиска DPI. При использовании против вас connection probe потребуется обфускация ответа уже и со стороны сервера, т.е. в общем случае вы не сможете пользоваться стандартными публичными сервисами в случае их запрета.
На данный момент connection probe позволяет достаточно точно и малыми ресурсами определить тип внешнего сервиса, которым желает воспользоваться пользователь из Китая. Если приводить более жизненный пример, то именно эта технология была с успехом применена против оверлейной сети i2p, после чего оная в Китае была заблокирована.
— Кстати говоря, что можно сказать о системах типах Tor, i2p или VPN? Насколько они реально эффективны в условиях подобной агрессивной сетевой цензуры?
Не хочу никого огорчать, но они малоэффективны и вовсе не так живучи, как об этом шумит «народная молва» — все упомянутые системы в Китае давно заблокированы. Более того, заблокировать Tor или i2p можно десятком разных способов, самый простой из которых — блокировка bootstrap-процедуры в момент инициализации их клиентов. Заблокировать подобным образом входные ноды этих сетей (например, Tor directory nodes) — тривиальная задача даже для администратора средней руки. Если же говорить с учётом тех возможностей, которые есть у правительства Китая, в первую очередь я имею в виду высокотехнологическую дубинку DPI — это и вовсе тривиальная задача.
Вы можете заглянуть в i2p netDB — там нет нод с китайскими IP, если же посмотреть на открытую статистику пользователей сервиса Tor, то они фиксируют максимум 1000 уникальных китайских IP в месяц, и это на такую многомиллиардную страну как Китай, у которой самое большое количество интернет-пользователей в мире.
Кстати, в этом случае «прорыва» китайцами применяется obfsproxy, хотя и его блокировка, насколько я могу судить, на данном этапе развития Великого китайского фаервола не представляет технических сложностей, просто это лишено смысла в силу малочисленности пользователей этой экзотической технологии, а также постоянным сбоям в её работе.
— Как обстоят дела с VPN и SSH?
Ситуация с VPN довольно противоречивая — отдельные провайдеры его агрессивно подавляют, некоторые — почти нет. Своими блокировками широко известен China Unicom — один из крупнейших магистральных провайдеров континентального Китая. На данный момент им определяется и блокируется более 5 разновидностей VPN. Если быть более конкретным, это: OpenVPN, PPTP, L2TP, SSTP и Cisco .
К тому же, когда проходит очередной съезд Коммунистической партии Китая, интернет фильтруют так, что даже то, что работало в спокойные времена, может перестать работать в эти дни.
Говоря более общо, насколько мне известно, правительство Китая собирается лицензировать сферу использования VPN, то есть после соответствующей государственной регистрации разрешить применение VPN в целях легального бизнеса, и это будет своя собственная версия протокола на базе OpenVPN. После вступления этого закона в силу, все отличные от государственного варианта VPN-протоколы будут тотально «резаться» на трансграничном шлюзе.
Что же касается сервиса SSH — попытки его блокировок также имеют место быть. По ряду косвенных признаков подобные испытания проводятся и в публичных сетях, в таких случаях в логах можно найти множество сброшенных или неудачных соединений с типичной ошибкой «Bad protocol version identification». При этом при попытке подключения к серверам вне Китая, на них впоследствии можно увидеть несколько ложных попыток подключения с китайских IP, предшествующих самому сброшенному подключению. Предположительно, это скрининг принимающего сервера по типу connection probe, который мы уже обсудили выше.
Часто подобные тестовые подключения принимают за brute force, хотя в данном случае это скорее попытка пассивной идентификации удаленной системы/протокола по характерным паттернам отклика (fingerprint scanning).
После идентификации подобного сервиса его адрес вносится (как правило, на 1-3 месяца) в соответствующие фильтры и стоп-списки, чтобы впредь в целях экономии ресурсов избегать рекурсивных запросов по уже однажды обнаруженному и идентифицированному хосту. Подобные фильтры постепенно пополняются запрещенными в Китае сервисами. Так, в том числе благодаря connection probe, полностью в автоматическом режиме растёт и расширяется база Великого китайского фаервола.
— Чтобы сделать наше описание полным, давайте рассмотрим и последнего зловещего дракона — Support vector machines (SVM).
Я бы хотел подчеркнуть, что и connection probe, и тем более SVM, следует рассматривать как расширение, ещё большую интеллектуализацию DPI. Метод опорных векторов (SVM) — ещё один шаг в этом направлении. Это алгоритм машинного обучения, применяемый для автоматической классификации больших массивов разнородных данных.
Мы уже обсуждали, что DPI — это фильтрующая машина, вычленяющая некие данные в потоке согласно статическим правилам или сигнатурам. В противоположность к этому SVM даёт возможность сканировать интернет-поток на основе статистического анализа без жесткого набора правил. Например, проводить анализ частоты определённых символов, длин пакетов, анализа подозрительной активности с заданных адресов, замечать различные диспропорции и сетевые аномалии, этим выявляя скрытые закономерности. SVM — это интеллектуальная насадка на DPI, которая, продолжая нашу антивирусную аналогию, привносит эвристические возможности («shrinking» heuristic) к процессу фильтрации интернет-трафика.
Приведу пример: в Китае нельзя упоминать о годовщине протестов на площади Тьянаньмэнь в Пекине 4 июня 1989 года, когда на волне крупных беспорядков множество студентов были буквально раздавлены танками. DPI, динамически сканируя национальный трафик, блокирует любые URL с упоминаниями указанной даты.
После того как китайцы стали обозначать эту дату как 35-го мая (и множеством других остроумных способов), обычный сигнатурный анализ значительно затруднился. Но эвристика SVM пришла на помощь, она способна, распознавая контекст, обнаруживать такие «подозрительные даты» с минимальным вмешательством человека.
— Подводя черту, учитывая всё сказанное, можно ли сказать, что планируемое внедрение «всероссийского» DPI со стороны Ростелекома — это некое зловещее предзнаменование, чёрная метка для всего Рунета?
Нужно понимать, что DPI сам по себе — это мощнейший современный инструмент, и как он будет использован — это уже дело моральных и профессиональных принципов тех людей, в чьих руках он окажется.
Так DPI позволяет выполнять огромное количество полезной для сети работы — многие мировые провайдеры применяют его для контроля и балансировки своего трафика, мобильные операторы с его помощью собирают подробную статистику для каждого отдельного пользователя, также эта технология даёт возможность адаптивно управлять скоростью передачи отдельных пакетов (QoS) и многое другое. В целом, DPI обеспечивает огромное количество уникальных возможностей в широком спектре, от высококачественного шейпинга до создания продвинутых шпионских систем типа PRISM.
— Абстрагируясь от китайских городов-датацентров и их ультрасовременной технической начинки, что из себя представляет китайский интернет с точки зрения внешнего наблюдателя? Какие у него особенности развития, какова его специфика адаптации к подобной цензурирующей среде?
— Дело в том, что интернет сам по себе — не только в Китае, — достаточно реактивная среда. Методы обычной цензуры, основанные на технических средствах и грубых запретах, слабо применимы к ней.
К примеру, если популярный блогер оставляет собственное критическое мнение о правительстве КНР в своем блоге, прежде чем цензура заметит и заблокирует его, как правило, успеет появиться несколько кросс-постов исходного сообщения. И далее, если цензоры начинают охотиться за всеми ними, часто самопроизвольно срабатывает эффект Стрейзанд — попытка закрыть какую-то информацию, наоборот, привлекает к ней еще большее внимание сообщества. Этот феномен — следствие большой реактивности и саморефлексии сетевой среды.
Поэтому, несмотря на огромное количество реальной цензуры в Китае и блокирования подчас целых порталов масштаба крупного новостного агентства, в последнее время в стране набирает обороты альтернативный тренд по использованию именно нетехнических методов воздействия на общественное мнение. Их главная суть — если заткнуть рот оппоненту в сети не всегда возможно, то почему бы тогда не возглавить подобные дискуссии в нужном для государства русле?
— Я читал, что недавно было официально заявлено, что Китай создал подразделение государственных аналитиков мнений в Интернете, в которое набрал 2 миллиона сотрудников. Предполагается, что эти аналитики будут патрулировать виртуальное пространство в качестве своей основной работы. У них нет никаких прав по удалению какой-либо информации — их задача контролировать интернет-тренды, изучать общественные настроения граждан КНР, а также манипулировать ими согласно специальной методике.
— Да, это та самая невидимая сетевая армия, оружие которой — специальные методы скрытого воздействия на Сеть. Чтобы пояснить эту стратегию более выпукло, приведу реальный случай.
Примерно два года тому назад китайский интернет взорвался от довольно странного случая смерти. Молодой парень, который был арестован за незаконную вырубку леса рядом с домом, попал в китайскую тюрьму. Там он скончался через пару дней при довольно странных обстоятельствах. Власти официально объяснили причину его смерти якобы тем, что «в тюрьме он играл в прятки с сокамерниками и, споткнувшись, упал, ударившись при этом головой о стенку». Китайский интернет очень живо подхватил эту историю, назову лишь одну цифру: на QQ.com в течение суток появилось более 50 000 комментариев по этому делу, все остальные интернет-платформы также были буквально переполнены возмущением от нелепости этого инцидента. Сказать, что цензоры просто физически не справлялись с удалением следов «народного гнева» в эти дни — не сказать ничего.
По забавному стечению обстоятельств иероглиф «играть в прятки» в китайском языке имеет и второе значение — «убегать от кошки», чем и воспользовались китайские блогеры. Даже по прошествии нескольких лет в интернете можно нагуглить огромное количество упоминаний этой истории про погибшего в китайской тюрьме заключенного, «который разбился о стенку, пытаясь спастись бегством от кошки ». Блогеры своей версией про роковую кошку пытались довести абсурд официального объяснения до предела, что породило то, что сейчас бы назвали «интернет-мемом». Тогда китайский сегмент интернета просто бурлил, цензоры не могли повлиять на ситуацию, своими действиями замалчивания и удаления сообщений лишь подливая масла в огонь, раскручивая маховик недоверия и острой критики в адрес правительства КНР.
И тут на пике недовольства что-то произошло: в игру включилась совсем другая правительственная команда, которая вместо прежних попыток массированного закрытия ресурсов неожиданно предложила конкурс среди самых известных блогеров Китая. Самим интернетчикам путем сетевого голосования было предложено отобрать 5 самых авторитетных для них блогеров, которым впоследствии дали полный доступ к месту происшествия. Власть дала им все данные, все факты, свободный доступ ко всем свидетелям. Эти блогеры завалили сеть своими фотографиями и комментариями с места событий, впрочем, так и не сумев что-то добавить нового по существу этой странной смерти.
Но зато с общественным мнением что-то произошло — как только информация с места происшествия стала поступать из независимых источников и в огромных дозах, как только все данные стали максимально открытыми — люди почти сразу потеряли интерес к этому делу, а градус негодования быстро сошел на нет. Таким образом, после этого вмешательства получилось очень быстро подавить тайфун антиправительственной эпидемии.
По понятным причинам нет возможности рассказать множество похожих инцидентов в китайнете, но важно нечто общее для всех подобных историй — методы контроля эволюционируют, становятся более тонкими, скрытыми и многоходовыми. Помимо жесткой и безаппеляционной цензуры путем чисто технических блокировок, в случае сетевых эпидемий применяются совершенно иные технологии воздействия на общественное мнение.
Поэтому не стоит акцентировать внимание лишь на технических средствах, которые в Китае также бурно развиваются, ведь прямо на наших глазах создаются и оттачиваются принципиально новые технологии управления, где зачастую все плюсы интернета как открытой среды власти пытаются использовать с обратным знаком — уже для скрытого контроля и ограничения свободы мнений.
— Можно ли как-то сравнить интернет Китая с привычным Рунетом по степени свободы их граждан?
— На самом низшем уровне в Китае действительно практически нет цензуры — если вы посмотрите их социальные сети, то они переполнены слухами и обвинениями власти, где на общий клубок эмоций туго намотаны правда и откровенная чушь. Практически никто не читает это, равно как личную стену, я думаю, 70% безвестных участников нашей соцсети ВКонтакте, которые вольны писать там все, что им только вздумается.
Следующий уровень — это систематическая критика, аргументация, яркие и активные блогеры со своей аудиторией, вот здесь уже наблюдается определенное напряжение, есть активная цензура и удаление провокационных сообщений. За квартал, по данным киетолога Г.Кинга из Гарварда, органами сетевой цензуры КНР удаляются до миллиона сообщений и комментариев к ним. И, наконец, третий уровень — топ-блогеры с огромной аудиторией. Либо же это ситуации, когда какая-то тема выстреливает и получает широкий общественный и сетевой резонанс.
Тут возможны самые разные варианты активного противодействия и наказания: если блогера-инициатора можно в чем-то обвинить, его могут арестовать, вырвав «больной зуб с корнем». Если сетевая эпидемия слишком сильна и делокализована, то к делу подключают «сетевой спецназ», который пытается «спустить пар» с помощью различных хитроумных технологий контроля общества через soft power (например, описанная ранее история с неудачной попыткой бегства заключенного от кошки).
Все эти три одновременно существующих уровня создают противоречивое мнение и определенную путаницу, часто пуская первое впечатление стороннего человека по ложному следу. Так случайные и внешние по отношению к стране люди («туристы») видят множество антиправительственной критики в безымянных акаунтах, что создает ложное ощущение относительной свободы. С другой стороны, в прошлом году власти арестовали сразу 6 известных блогеров и бросили в тюрьму, обвинив их в «распространении слухов о готовящемся военном перевороте».
В последнем случае не стоит пытаться слишком серьезно осмысливать официальные формулировки, ведь когда здесь закрывали Википедию, это обосновали борьбой «с пропагандой агрессии и насилия», которую якобы и осуществляет по всему миру эта свободная онлайн-энциклопедия.
— Насчет трех «китайских уровней» всё ясно. Что можно сказать насчет анонимности?
— В Китае нет анонимности. В КНР действуют законы, обязывающие блогеров регистрироваться с указанием своих реальных паспортных данных. Это делается под предлогом «улучшения доверия в сети друг к другу и защиты интересов сторонних пользователей».
Также действует закон, обязывающий документально удостоверять свою личность при заключении любых соглашений на получение услуг доступа в интернет. Все сайты, физически расположенные в самом Китае, проходят в Министерстве промышленности и информационных технологий обязательную регистрацию, в которой достаточно педантично расписано, что это за сайт и кто за что на нем отвечает. Таким образом, при любом исходе событий всегда есть конкретный ответственный за любые потенциальные нарушения.
Добавьте к этому постоянный фоновый контроль (я говорю не только про интернет, вспомните хотя бы недавний запрет в США продаж оборудования от Huawei, которое оказалось нашпигованным жучками, или питерскую историю про китайские утюги, которые самовольно подключаются к публичным сетям Wi-Fi), где весь ваш трафик и активность в сети тщательно контролируют и логируют. Здесь любой, даже самый технически отсталый пользователь сети прекрасно понимает, что его активность фиксируется.
Например, вы можете попробовать использовать VPN или переписываться с кем-то за рубежом посредством PGP, и при должной сноровке и квалификации это может даже сработать. Но при этом каждому очевидно, что сам факт использования подобных технологий будет зафиксирован, что в будущем при диспозиции с другими отягчающими обстоятельствами может привести к вашему преследованию. Эвристические технологии фильтрации типа SVM, кстати, способны автоматически засекать использование вами практически любой криптографии, что дополнительно привлекает внимание сначала к трафику, а затем уже к вашей персоне.
Сформулирую главное наблюдение. После 6 лет местной жизни у меня сложилось впечатление, что Китай со своей системой тотального фонового контроля и периодических жестко-демонстративных наказаний, пытается настойчиво выработать модель поведения граждан, в рамках которой человек добровольно и подсознательно подвергал бы себя акту самоцензуры, постоянно отдавая себе отчет, что каждый его шаг или высказывание в рамках сети тщательно фиксируется. Желание сдерживать себя, движимое прежде всего подспудным страхом, со временем становится второй натурой.
Так мы приходим к странной дихотомии для более либерального европейца: формально можно писать что думаешь, но большинство китайцев предпочитает этого не делать. Затем дети учатся этому у своих отцов, так выращиваются целые поколения перманентно лояльных стране граждан без собственной точки зрения. В этом, кстати, дурные корни их хваленой коллективности и патриархальности...
— Глядя со стороны, каков ваш прогноз в отношении Рунета? Во главе нашей большой страны, физически обслуживающей главный кластер русскоязычного интернета, стоит бессменный президент, полковник КГБ и член КПСС с 1975 года, какие тенденции в развитии сети вы ожидаете в связи с этим?
— Безусловно, все будет ужесточаться. Но позвольте выразить свой скепсис — лично я не думаю, что этот будет именно «китайский вариант», потому что этот подход, поверьте, чрезвычайно высокотехнологичен. Напомню, в России до сих пор не умеют даже фильтровать отдельные запрещенные судом веб-странички, варварски баня сразу пачку ресурсов по их общему IP.
Поэтому, повторю еще раз, не надо пугать местную сеть «китайским вариантом». Скорее всего отсутствие реальных технических возможностей будет компенсироваться бурным законотворчеством и чисто административной «грубой силой». Единственное общее с Китаем — со временем такой прессинг сформирует у населения синдром самоцензуры по китайскому типу. То есть манеру думать одно, а говорить (комментировать) другое, с постоянной оглядкой на «как бы чего не вышло», что, мягко говоря, далеко от нормального человеческого общения и самовыражения.
Впрочем, в российских широтах, ИМХО, это приведёт скорее не к покорности, а к непредсказуемости уже хватанувшего «глотка свободы» населения.
— Завершим наше описание азиатского Интернета последним вопросом, поставленным ребром: назовите самые экстремальные для своей безопасности вещи, которые можно сделать в Китайском интернете прямо сейчас?
— Я бы выделил два серьёзных момента: это любые высказывания против самих цензоров и цензуры, а также любые призывы к коллективным народным действиям в офлайне.
В первом случае Китай прикладывает титанические усилия, чтобы сам факт цензуры, контроля и слежки никак внешне не ощущался большинством обычных граждан страны, то есть, чтобы это явление не обсуждалось и никак не фиксировалось. Любые ваши попытки открыто обсуждать именно эту проблематику, указывать на факты контроля, скорее всего, будут иметь очень серьёзные последствия (прямо пропорционально степени убедительности и серьёзности представленных фактов). Парадокс в том, что сегодня безопаснее критиковать само руководство коммунистической партии, чем его методы контроля Сети или общества.
Что касается второго — если вы хотите собрать людей с какой-либо целью — это будет жестко пресечено. Ещё раз напомню про основную часть стратегии: личные критические высказывания или фрагментированная критика со стороны граждан чаще всего приемлемы, а вот любые попытки коллективных обсуждений, самоорганизации или объединений на почве общих взглядов и, тем более, выход с ними в офлайн — категорически недопустимы. По этой причине в сети блокируют даже группы любителей велосипедной езды, если они пытаются массово собраться в офлайне. Китайская власть панически боится любой консолидации граждан, впрочем, именно эту функцию, как я считаю, и будет обеспечивать более «взрослый» интернет будущего.
Deep Packet Inspection (сокр. DPI , также complete packet inspection и Information eXtraction или IX , рус. Углубленная проверка пакетов) - технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому. В отличие от сетевых экранов, Deep Packet Inspection анализирует не только заголовки пакетов, но и полное содержимое трафика на всех уровнях модели OSI , начиная со второго и выше. Использование Deep Packet Inspection позволяет обнаруживать и блокировать вирусы, фильтровать информацию, не удовлетворяющую заданным критериям.
Contents |
Введение / Постановка задачи защиты информации
Система DPI выполняет глубокий анализ пакетов - анализ на верхних уровнях модели OSI, а не только по стандартным номерам сетевых портов. Помимо изучения пакетов по неким стандартным шаблонам, по которым можно однозначно определить принадлежность пакета определённому приложению: по формату заголовков, номерам портов и прочему, система DPI осуществляет и так называемый поведенческий анализ трафика, который позволяет распознать приложения, не использующие для обмена данными заранее известные заголовки и структуры данных, к примеру, BitTorrent .
Основная проблема всех существующих решений DPI заключается в том, что для того, чтобы однозначно определить принадлежность того или иного потока данных к одному из сетевых приложений, устройство, осуществляющее анализ трафика, должно обрабатывать оба направления сессии: входящий и исходящий трафик в пределах одного потока должны пройти через одно и то же устройство. Если оборудование распознает, что обрабатывает только одно направление в рамках сессии, оно не имеет возможности соотнести данный поток с какой-либо известной категорией трафика. При этом наличие большого объема асимметричного трафика является обычным сценарием для крупных операторов. Различные производители предлагают разные решения данной проблемы.
Другой проблемой, получающей всё большее распространение, является широкое применение средств шифрования сетевого трафика и использование TLS/SSL в составе протокола HTTPS , что не позволяет использовать для них классические средства глубокого анализа.
Системы DPI могут быть реализованы как программно (Tstat, OpenDPI, Hippie, L7-filter, SPID), так и аппаратно (продукты компаний Allot Communications, Procera Networks, Cisco, Sandvine). В последние годы последний вариант становится всё более популярен. Производительность данных решений может варьироваться от сотен Мбит/с до 160 Гбит/с для одного аппаратного устройства, которые также можно объединить в кластеры, увеличив производительность. Стоимость при этом может меняться от нескольких тысяч до миллионов долларов США.
Система DPI, как правило, устанавливается на границе сети оператора, тем самым, весь трафик, покидающий или входящий в данную сеть, проходит через DPI, что даёт возможность его мониторинга и контроля.
Применение
Благодаря внедрению систем DPI, у оператора появляется мощный инструмент по решению различных задач по эксплуатации и развитию сети.
Целевая реклама
Поскольку операторы связи маршрутизируют сетевой трафик всех своих клиентов, они могут проводить детальный анализ поведения пользователей в Сети, что даёт им возможность собирать информацию об интересах пользователей. Данная информация может быть использована компаниями, специализирующимися на целевой рекламе. Данный подход получил международное распространение. Как правило, сбор информации производится без ведома и согласия пользователей.
Реализация QoS
Система DPI может быть использована для нарушения сетевого нейтралитета - реализации QoS . Так, с помощью DPI, оператор данных может контролировать использование каналов, на которых установлены системы DPI, на 7 уровне OSI. Классическое решение задачи реализации QoS основано на построении очередей, на основании маркировки трафика служебными битами в заголовках IP, 802.1q и MPLS, с выделением приоритетного трафика (к примеру, VPN или IPTV). Данному трафику гарантируется заданная пропускная способность в любой момент времени. При этом трафик, обслуживаемый по принципу "Best Effort", к которому относится, в том числе, трафик домашних абонентов, остаётся без контроля, что даёт возможность ряду протоколов, к примеру, BitTorrent, единолично использовать всю свободную полосу.
Использование DPI предоставляет оператору возможность распределить канал между различными приложениями и вводить гибкую политику управления трафиком: к примеру, разрешить трафику BitTorrent использовать в ночное время большую часть полосы, чем днём. Другая частоиспользуемая оператором возможность: блокировка, либо существенное ограничение пропускной способности, определенного вида трафика, к примеру, VoIP-телефонии мобильными операторами, что уменьшает финансовые убытки от неиспользования пользователями услуг связи.
Управление подписками
Другой стороной реализации QoS на основе DPI является возможность доступа по подписке. Правила, на основании которых выполняется блокировка, могут быть заданы посредством двух основных базисов: per-service или per-subscriber. В первом случае оговаривается, что конкретному приложению позволяется использовать определённую полосу. Во втором - привязка приложения к полосе осуществляется для каждого подписчика или группы подписчиков независимо от других, что производится через интеграцию DPI с существующими OSS/BSS системами оператора.
Таким образом, систему можно сконфигурировать так, что каждый пользователь будет иметь возможность использовать лишь те услуг и с тех устройств, которые предварительно оговорены. Это позволяет операторам связи формировать невероятно гибкие тарифные планы.
Если же речь идёт о трафике мобильных операторов, то DPI позволяет контролировать загрузку каждой базовой станции в отдельности, справедливо распределяя её ресурсы таким образом, чтобы все пользователи остались довольны качеством сервиса. Данную задачу можно решать силами мобильного ядра, что не всегда бюджетно.
Использование госорганами
При помощи DPI спецслужбы могут вести наблюдение за сетевой активностью того или иного пользователя. Помимо наблюдения, можно активно влиять на данную активность, ограничивая доступ к использованию VPN, HTTPS и прочим средствам, делающим невозможным анализ сетевого контента. Кроме того, именно решения на основе DPI используются для блокировки доступа к запрещенным веб-ресурсам в США, Китае, Иране, России. Так, в Китае был разработан стандарт по DPI (Y.2770), позднее утверждённый Международным союзом электросвязи (ITU).
DPI является неотъемлемой частью систем, подобных СОРМ-2 и Эшелон.
DPI для зашифрованного трафика
HTTPS и другие протоколы шифрования получают в последние годы всё большее распространение. Шифрование защищает конфиденциальную информацию пользователей в любой точке сети, в том числе в промежуточных узлах. К сожалению, HTTPS представляет собой давнюю проблему для DPI-устройств. Поскольку полезная нагрузка пакетов зашифрована, промежуточные сетевые узлы больше не могут анализировать полезную нагрузку и выполнять свои задачи. Необходимо отметить, что применение протоколов шифрования на прикладном уровне не мешает DPI-системе анализировать трафик более низких уровней, однако существенно понижает её эффективность. Так, HTTPS не помешает DPI-системе изучить TCP-заголовок пакета, чтобы определить порт назначения и попытаться сопоставить его с определенным приложением, однако не даст проанализировать полезную нагрузку прикладного уровня: DPI-система сможет определить время, объем и назначение пакета, но не его содержимое.
На основании вышеизложенного, можно сделать вывод, что шифрование трафика не мешает реализации QoS и управления подписками на основе DPI.
Использование HTTPS поможет защитить данные от DPI лишь при передаче. Если DPI-система установлена на стороне сервера, с которым взаимодействует клиент, то данные будут обработаны в открытом виде. К примеру, при взаимодействиями с серверами Google, несмотря на использование ими HTTPS, DPI-системы собирают информацию для выдачи контекстной рекламы.
Чтобы решить проблему анализирования зашифрованного трафика, некоторые разрабатывающиеся сейчас DPI-системы поддерживают небезопасный механизм установки HTTPS-соединения: они, фактически, проводят MITM -атаку на протокол SSL и расшифровывают трафик на промежуточном узле. Этот подход нарушает принцип сквозного шифрования, заложенный в SSL. Кроме того, это вызывает недовольство пользователей.
Таким образом, мы сталкиваемся с неблаговидным выбором лишь одного из необходимых свойств: функциональность DPI-систем или конфиденциальность, обеспечиваемая шифрованием. На первый взгляд, может показаться, что эти свойства противоречат друг другу на фундаментальном уровне: DPI-система не может обрабатывать содержимое пакета, когда она не может увидеть этого содержимого. Решению данного противоречия и построению системы, удовлетворяющей обоим свойствам, посвящен проект BlindBox.
BlindBox
Описание
Подход BlindBox заключается в осуществлении анализа непосредственно зашифрованной полезной нагрузки, без её расшифровки на промежуточном узле. Построение подобной системы на практике представляет собой сложную задачу: сети работают на очень высоких скоростях, требующих криптографические операции, занимающие микро- и даже наносекунды. Кроме того, многие промежуточные узлы требуют поддержку ресурсоёмких операций, к примеру, анализ на основе регулярных выражений.
Потенциальными кандидатами являются такие криптографические схемы, как полностью гомоморфное или функциональное шифрование, но эти схемы довольно медленны, и снижают производительность сети на несколько порядков.
Для решения этих проблем, BlindBox специализируется на построении сети. BlindBox поддерживает два класса DPI-вычислений, каждый имеющий свои гарантии конфиденциальности: конфиденциальность на основе полного совпадения и конфиденциальность на основе вероятной причины.
Модель конфиденциальности на основе полного совпадения гарантирует следующее: промежуточный узел будет в состоянии обнаружить лишь те подстроки трафика, для которых существует полное совпадение с ключевыми словами известных атак. Например, если существует правило для слова "АТАКА", то промежуточный узел узнает, на каком смещении потока появляется, если появляется вообще, слово "АТАКА", но не узнает, что из себя представляют другие части трафика. Трафик, которые не содержит ключевых слов, останется непрочитанным промежуточным узлом.
Модель конфиденциальности на основе вероятной причины основывается на другой логике: промежуточный узел может расшифровать весь поток, если обнаружена подстрока трафика, совпадающая с ключевым словом известной атаки. Данная модель удобна для задач обнаружения атак, которые требуют выполнения анализа с помощью регулярных выражений или скриптов. Данная модель вдохновлена двумя причинами: первая - модель "вероятной причины" уголовного права США: поводом для нарушения конфиденциальности является только наличие причины для подозрений. Вторая - большинство правил в системе обнаружения атак Snort, использующие регулярные выражения, сперва пытаются найти ключевые слова, связанные с атакой, в пакете, а лишь затем начинают использовать поиск с использованием регулярных выражений, поскольку в противном случае обнаружение будет слишком медленным.
Обе модели конфиденциальности BlindBox гораздо мощнее, чем используемые сегодня подходы на основе MITM. В обоих подходах, BlindBox защищает данные с использованием стойких псевдослучайных схем шифрования, предоставляющих гарантии безопасности, аналогичные хорошо изученным криптографическим схемам поиска по зашифрованным данным.
Архитектура системы
На рисунке 1 представлена архитектура системы. В ней четыре стороны - отправитель (О), получатель (П), промежуточный узел (ПУ), и генератор правил (ГП), что отражает стандартную архитектуру промежуточного узла на данный день. Генератор правил предоставляет правила атаки (также называемые сигнатурами), используемые ПУ для обнаружения атак. Каждое правило пытается описать атаку, и содержит поля: одно или несколько ключевых слов, содержащихся в трафике, информация о смещении для каждого ключевого слова, и, иногда, регулярные выражения. Роль ГП на сегодняшний день выполняют организации, такие каке Emerging Threats, McAfee, Symantec. Отправитель посылает трафик получателю через промежуточный узел, который позволяет отправителю и получателю обмениваться информацией, если он не обнаруживает сигнатур в их трафике.
Рисунок 1. Архитектура BlindBox. Закрашенные элементы обозначают алгоритмы, добавленые в BlindBox.
Рассмотрим модель применения BlindBox. Генератор правил создаёт набор правил, который содержит перечень ключевых слов, которые используются в существующих атаках или представляют интерес для изучения. ГП подписывает их с использованием своего секретного ключа, и отправляет ПУ, своему пользователю. Отправитель и получатель, доверяющие ГП, устанавливают конфигурацию HTTPS BlindBox, которая включает в себя открытый ключ ГП. После этапа инициализации, ГП больше никогда напрямую не вовлечён в протокол. Теперь речь идёт о взаимодействии между отправителем, получателем и ПУ, когда отправитель и получатель инициируют соединение в сети, контролируемой ПУ.
Установка соединения
Сперва, отправитель и получатель осуществляют обычное SSL-рукопожатие, которое позволяет им согласовать ключ . Они используют его для получения трёх ключей (к примеру, с помощью ГПСЧ):
В то же самое время, ПУ осуществляет свою собственную установку соединения для обеспечения возможности обработки трафика отправителя и получателя. В процессе обмена с отправителем и получателем, ПУ получает каждое правило от ГП детерминировано зашифрованным на ключе k - это впоследствии позволит ПУ осуществлять обнаружение. Однако, данный обмен происходит таким образом, что ПУ не узнаёт значение k, а отправитель и получатель не узнают, в чем заключаются правила. Данный обмен называется запутанным шифрованием правил, и подробно описан в статье .
В отличии от описанного выше SSL-рукопожатия, которое идентично обычному SSL-рукопожатию, запутанное шифрование правил добавляет новый процесс. Поскольку в существующих решениях, клиент обычно не связываются с DPI-узлами напрямую (в отличии от других типов промежуточных узлов, таких как явные прокси или NAT hole-punching), это лишает полной "невидимости" наличия DPI, это незначительный недостаток по сравнению с преимуществами использования BlindBox.
Отправка трафика
Чтобы отправить сообщение, отправитель должен:
(1) Зашифровать трафик с использованием классического SSL.
(2) Разбить трафик на метки (токены) путем разделения его на подстроки, взятые с различным смещением, и зашифровать результирующие метки с использованием схемы шифрования DPIEnc.
Обнаружение
Промежуточный узел получает зашифрованный SSL-трафик и зашифрованные метки. Модуль обнаружения будет выполнять поиск соответствия между зашифрованными правилами и зашифрованными метками, используя алгоритм обнаружения BlindBox. При обнаружении совпадения, выполняется предопределенное действие: отбрасывание пакета, закрытие соединения, уведомление администратора системы. После выполнения обнаружения, промежуточный узел перенаправляет SSL-трафик и зашифрованные метки получателю.
Получение трафика
На стороне получателя происходят два действия. Первое, получатель расшифровывает и аутентифицирует трафик, используя обычный SSL. Второе, получатель проверяет, что зашифрованные токены были зашифрованы отправителем верно. Благодаря этому, даже в случае, если она сторона попытается мошенничать - вторая сможет обнаружить это.
Схема шифрования DPIEnc
Отправитель шифрует каждую метку (токен) t как:
Где “соль” (salt) - случайно выбранное число, а смысл RS (фактически, ReduceSize) поясняется далее.
Обоснуем необходимость схемы шифрования DPIEnc. Допустим, промежуточный узел передал для каждого правила r пару (r, (r)), но не ключ k. Начнем с рассмотрения простой детерминированной схемы шифрования вместо DPIEnc: шифртекст от t пусть будет равен (t). Чтобы проверить, равен ли t ключевому слову r, ПУ может проверить, выполняется ли (t) ?= (r). К сожалению, в результате стойкость будет низкой, поскольку каждое вхождение t будет иметь одинаковый шифртекст. Для решения данной проблемы, нам необходимо внести элемент случайности в шифрование. Поэтому, мы будем использовать “случайную функцию” H со случайной солью, и шифртекст будет иметь следующую структуру: salt, H(salt, (t)). Конечно же, H должна быть односторонней и псевдослучайной.
Для проверки соответствия, промежуточный узел может вычислить H(salt, (r)) основанную на (r) и соли, и затем провести проверку равенства. Типичная реализация H - SHA-1, но SHA-1 работает не так быстро, поскольку на современных процессорах AES реализовано аппаратно, и это может понизить пропускную способность. Вместо этого, в BlindBox H реализована через AES, но должна использоваться осторожно, поскольку AES имеет другие свойства безопасности. Чтобы достигнуть требуемых свойств, необходимо инициировать AES на ключе, неизвестном промежуточному узлу, пока не найдена сигнатура атаки. Именно поэтому, используется значение (t).
Теперь алгоритм целиком реализован на AES, что обеспечивает высокую скорость работы.
Наконец, RS просто уменьшает размер шифртекста, чтобы уменьшить ограничение пропускной нагрузки, не влияя на безопасность.
В данной реализации, RS это 2 в 40 степени, что даёт длину шифртекста в 5 байт. В результате, шифртекст более не дешифруем, что не является проблемой, поскольку BlindBox всегда дешифрует трафик из первичного SSL-потока.
Теперь, чтобы определить соответствие между ключевым словом r и шифртекстом метки t, промежуточный узел расчитывает , используя соль и знание (r), и затем проверяет их на равенство c .
Поскольку, очевидно, что промежуточный узел выполняет проверку для каждого правила r и метки t, итоговые временные затраты на метку находятся в линейной зависимости от числа правил, что слишком медленно.
Чтобы исключить эту задержку, вводится алгоритм обнаружения, делая зависимость временные затраты от количества правил логарифмической, как и в классических алгоритмах DPI.
Результат - значительное улучшение производительности: к примеру, для набора правил с 10 тысячами ключевых слов, логарифмический поиск на четыре порядка быстрее, чем линейный.
Протокол обнаружения
Состояние промежуточного узла состоит из счетчиков для каждого правила r и дерева быстрого поиска, состоящего из для каждого правила r.
Александр Горнак
Технический директор ООО «НСТ»
Телекоммуникационная отрасль по всему миру находится в процессе конвергенции наследованных и новых сетевых услуг к общей IP-инфраструктуре. И хотя глобальные IP-сети создали огромные возможности для пользователей, для роста и трансформации бизнеса, они также привели к возникновению новых проблем для поставщиков услуг, работающих с этими сетями. Одна из таких насущных проблем для поставщиков услуг Интернета — умение контролировать трафик в своей сети.
Так, например, большая и растущая доля интернет-активности приходится на P2P-трафик (peer-to-peer). Как правило он не приносит дохода поставщикам услуг, но занимает немалую долю ресурсов сети. В результате неконтролируемый P2P-трафик повышает издержки и требует дополнительных усилий на выстраивание инфраструктуры сети. Более того, поставщики услуг могут терпеть убытки, когда неконтролируемость тех или иных сетевых приложений ведет к разрушению приносящих доход услуг (например, VoIP), приводя к нарушениям соглашения об уровне обслуживания (SLA). Нарушение SLA могут также вызвать распределенные атаки «отказа в обслуживании» — DDoS.
Решение этих и других подобных проблем находится за пределами возможностей стандартных коммутаторов, маршрутизаторов и межсетевых экранов, которые «заглядывают» в передаваемые пакеты, как правило, не далее TCP/UDP-портов. Поэтому такие устройства не умеют различать, например, приложения, передаваемые поверх протокола HTTP, где помимо Web-страниц могут передаваться голос, видео, мгновенные сообщения и тот же P2P-трафик.
Помочь оператору во всех этих, а также многих других случаях может технология глубокого исследования пакетов — DPI (Deep Packet Inspection). Термин DPI относится к устройствам и технологиям, которые позволяют проверять содержимое пакетов и выполнять определенные действия на основе этого содержимого.
Если пользоваться почтовой аналогией, то пакет — аналог почтового письма, адрес на конверте аналогичен заголовку пакета, информация внутри — аналог полезной нагрузки. DPI — аналог принятия решений по обработке почтовой корреспонденции не только на основе адреса, но и учитывая содержимое письма.
Иногда употребляют более общий термин — DPP (Deep Packet Processing), который подразумевает такие действия над пакетами, как модификация, фильтрация или перенаправление. Сегодня оба термина — DPI и DPP — часто используются как взаимозаменяемые.
Как это работает?
Разнообразие организации IP-связи таково, что для доступа к данным на уровне приложений недостаточно разбирать заголовки пакетов до 4-го уровня. Например, HTTP-трафик может передаваться с использованием стека Ethernet/IP/TCP/HTTP и тот же трафик в 3G-сети использует стек Ethernet/IP/UDP/GTP/IP/TCP/HTTP, где GTP — протокол туннелирования GPRS. Поэтому при анализе пакетов DPI-платформа использует так называемый граф протоколов, который для каждого из протоколов IP-стека указывает возможные способы инкапсуляции на следующем уровне.
Но и «добравшись» по стеку до приложения, не всегда его можно однозначно идентифицировать по номеру TCP/UDP-порта. Не все приложения имеют зарегистрированные в IANA порты (например, Skype). Один из основных методов, используемых в DPI-платформах для этих целей — поверка сигнатур протоколов и приложений. Под сигнатурой понимается шаблон описания данных, который выбирается для уникальной идентификации связанного с ним приложения/протокола. Каждая DPI-платформа хранит библиотеку сигнатур, которая пополняется при появлении новых версий или приложений.
Помимо сигнатурного метода также используется анализ сетевых транзакций, который тоже может иметь специфичные для каждого из приложений и протоколов характеристики (размер полезной нагрузки, количество и размеры пакетов в ответ на запрос, позиция фиксированных строк или байт внутри пакета и т.д.). В арсенале DPI есть методы, основанные на статистическом и поведенческом характере потока данных и другие эвристические методы.
Понятно, что извлечение информации из пакета и ее анализ требуют значительных вычислительных ресурсов, а одно из основных требований к DPI-платформе — выполнять сканирование пакетов на скорости канала передачи данных. Еще одно непременное требование к DPI-продуктам — гибкость применения,то есть возможность добавлять новые возможности и сценарии обработки трафика.
Первое поколение DPI продуктов было приспособлено для решения узких задач и не являлось достаточно гибким для решения возникающих проблем или внедрения новых услуг, что вело к необходимости добавления в сеть нового оборудования. Добавление новых аппаратных средств может быть очень дорогостоящим, а также создавать дополнительные точки отказа, уменьшая общий уровень доступности услуг. Кроме того, применение специализированных DPI-продуктов не позволяет быстро и своевременно реагировать на новые требования.
Второе поколение DPI продуктов — программируемые DPI устройства — позволяет избежать добавления новых аппаратных средств и реорганизации сети. Новое поколение DPI базируется на многоядерных сетевых процессорах, что позволяет выполнять множество DPI-приложений на скорости канала и добавлять новую функциональность, используя только обновление программного обеспечения.
Ключевые проблемы сетевой инфраструктуры
Прежде чем говорить о применении DPI-платформ в сетях поставщиков услуг, несколько слов необходимо сказать об основных проблемах, с которыми поставщики услуг сталкиваются в IP-ориентированном мире.
Во-первых, широкополосные интернет-услуги — товарные сервисы с очень низким коэффициентом доходности. Как только наследуемые услуги мигрируют к IP, они (что важно) создают новые приносящие доход IP-услуги (сверх обычного интернет-доступа), которые обеспечивают высокий уровень доходности.
Во-вторых, поставщикам услуг важно оптимизировать емкость своей сети для предоставления широкого спектра услуг различным абонентам так, чтобы занимаемая полоса и отвечала максимальной удовлетворенности абонентов, и обеспечивала прибыльность услуги.
И, наконец, угрозы DDoS и других атак возрастают. Поставщики услуг должны иметь возможность защищать свои сети от текущих и возникающих угроз безопасности.
Миграция к сетевой инфраструктуре с DPI
Для решения проблем IP-конвергенции многие поставщики услуг используют технологию DPI, что позволяет осуществлять мониторинг и контроль трафика на всех уровнях стека протоколов (в том числе на уровне приложений) на основе набора правил.
Есть три основные движущие силы применения платформ DPI в сети:
- максимизация прибыли от услуг;
- минимизация капитальных (CAPEX) и эксплуатационных (OPEX) затрат;
- ограничение рисков угроз безопасности сети.
Максимизация прибыли от услуг
Функциональность программируемых DPI позволяет поставщикам услуг предлагать широкий спектр прибыльных услуг поверх базового широкополосного доступа. Сегодня многие поставщики услуг сфокусированы на предоставлении базового набора услуг, состоящего из интернет-доступа, телефонии и ТВ-служб. Однако, даже основным телефонным и ТВ-услугам угрожает распространение глобальных интернет-услуг голосовой связи (Skype, SipNet, GoogleTalk) и видео-контента (YouTube, iTunes, Netflix). Для того чтобы оправдать большие средства, которые вкладываются в инфраструктуру широкополосной связи, очень важно, чтобы поставщик услуги отказался от модели «тупой трубы» в пользу модели «умной трубы» с премиум-сервисами.
Используя концепцию «умной трубы», поставщики услуг могут играть ключевую роль в цепочке создания стоимости новых широкополосных услуг.
Премиум-услуги требуют управления трафиком, мониторинга и модификации содержимого на уровне приложений. Например, пользователь может подписаться на игровой сервис, который обеспечивает дополнительную полосу для игрового сайта в определенные часы. Другой пример — премиум-подписка на интернет-услугу «видео-по-запросу», которая предлагает дополнительную полосу для видео реального времени, просматриваемого поверх интернет-соединения. Поставщики услуг могут реализовывать биллинг, основанный на использовании определенных сетевых приложений.
Еще один класс премиум-сервисов связан со вставкой и/или изменением содержимого в потоках приложения. Например, вставка рекламы в видеопотоки позволит транслировать персонализированную рекламу на основе выявленных предпочтений абонента.
Как видно из этих примеров, чтобы принять участие в цепочке формирования доходов от интернет-услуг премиум-класса, оператор должен иметь возможность осуществлять мониторинг и контроль сетевого трафика и содержимого на уровне приложений. Важно также, что DPI-продукты обладают гибкостью для поддержки новых услуг и при соответствующих рыночных возможностях позволяют поставщикам услуг адаптировать свои приложения к динамически меняющимся требованиям рынка.
Максимальное удовлетворение клиентов при минимизации затрат
Не менее важно, чтобы поставщики услуг минимизировали свои капитальные и эксплуатационные расходы при развертывании новых услуг.
Это означает, что требования к сетевым ресурсам должны быть оптимизированы для согласования возможностей по доставке услуги и удовлетворенности пользователей. Эта проблема большинства сегодняшних сетей, потому что сетевые элементы не в состоянии осуществлять управление трафиком выше 4-го уровня. Так как большинство Web-приложений выполняется поверх HTTP на TCP-порту 80, то для стандартных коммутаторов и маршрутизаторов невозможно классифицировать такие приложения и управлять трафиком, он весь классифицируется как HTTP-трафик.
Текущие тенденции в сфере услуг интернет-контента указывают, что требования для управления трафиком непредсказуемы. Поэтому поставщики услуг должны реализовывать новые DPI-решения, где программное обеспечение может быть обновлено для поддержки новых требований к управлению и контролю трафика по мере необходимости.
Эффективно управляя сетевым трафиком на основе приложений, поставщики услуг могут оптимизировать использование ресурсов сети, что влияет на сокращение как капитальных, так и эксплуатационных затрат.
Максимизация сетевой безопасности
DPI также требуются для того, чтобы обеспечить лучшую в своем классе сетевую безопасность. Угрозы, включая такие, как DDoS-атаки, распространение червей, мошенничество с кредитными картами и др., продолжают расти количественно и качественно. Чтобы защитить сети от этих угроз, необходимо внедрять межсетевые экраны на уровне приложений, системы обнаружения и предотвращения вторжений, мониторинг, основанный на идентификации пользователя, услуг и, самое главное, необходимо уметь осуществлять контроль и мониторинг сетевого трафика на основе все более сложных стратегий (например, анализ поведения приложения и аномалий протокола). Таким образом для все более изощренных угроз важно иметь возможность добавлять новые функции обеспечения безопасности в сети по мере необходимости. Новое поколение DPI позволяет бороться с новыми угрозами без замены оборудования и реорганизации сети.
DPI — значительная инновация в области сетевых технологий, которая формирует основу многих современных услуг и услуг следующего поколения.
Для сетей поставщиков услуг DPI-приложения включают в себя персонализацию услуг абонентам, контент-ориентированный биллинг, внедрение ранжированных по качеству и оплате услуг, расширенное управление P2P-трафиком, обеспечение повышенного уровня безопасности и другие возможности.
DPI обеспечивает лучшую визуализацию данных, управляемость, дополнительные возможности создания услуг, повышения их эксплуатационной и коммерческой эффективности.
При выборе DPI-устройства для своей сети прежде всего необходимо рассмотреть набор его функций и решить, какие из них важны для вас, а какие нет и какие из функций вы хотели бы иметь. Например, во многих случаях IP-мобильность не нужна, но нужна поддержка биллинга, в других случаях — наоборот. Будьте в курсе всех доступных возможностей; некоторые DPI не поддерживают функции безопасности, некоторые — биллинг и т.д. Каждый поставщик услуг уникален, и выбор DPI должен отражать его индивидуальные сетевые требования.
В рамках недавней PHDays проходил ряд докладов связанных с анализом эффективности существующих средств защиты:
· В обход DPI, Олли-Пекка Ниеми (Opi)
· Теория лжи: обход современных WAF, Владимир Воронцов
· Десяток способов преодоления DLP-систем, Александр Кузнецов, Александр Товстолип
Почему меня интересовали именно эти доклады? Потому что в рамках своей работы занимаюсь проектированием и внедрением решений, СЗИ и ждал информации которая поможет мне учесть при проектировании дополнительные факторы, при настройке обратить внимание на определенные функции и в итоге получить действительно эффективную, а не “бумажную” системы защиты.
В своем докладе Олли-Пекка рассказал про пентестовую утилиту Evader , некоторые техники обхода средств защиты (evasion ). Сама утилита Evader – вещь отличная, но у доклада было несколько минусов:
· Во-первых, несоответствие содержания и названия. К DPI никакого отношения. Область действия Evader и описываемых способов обхода – в основном сигнатурные сетевые системы защиты (NGFW , IPS)
· Во-вторых, доклад не оправдывал уровень сложности – 200. Вполне хватило бы и 100. Так как это был краткий пересказ определений различных техник обхода и демонстрация интерфейса Evader
· В-третьих, старая тема. Аналогичный доклад я уже слышал в Stonesoft 2 года назад. С того времени новых слов не прибавилось
Теперь по сути вопроса: так как в докладе не прозвучало какие именно средства какими недостатками обладают, нам потребуется самостоятельно развернуть тестовый стенд Evader , о котором я уже писал ранее . Прогнать его используя mongbat со всеми возможными комбинациями обхода (evasion ), определить те, которые не обнаруживаются нашим сетевым средством защиты. Дополнительно настроить средства защиты, так чтобы обнаруживать атаки даже с техниками обхода (уверен, что в 90% случаев это можно сделать). А для оставшихся 10% необнаруживаемых атак принять решение о необходимости иных “компенсирующих” мер.
Например, если у нас web приложение, а FW и IPS не могу определить атаки, то нужен WAF . Либо, как предлагает Stonesoft , использовать временную меру Stonesoft Evasion Prevention System (EPS ), которую можно впихнуть в любую работающую инфраструктуру.
Доклад про обход WAF был очень хорош в части презентационных навыков докладчика и интересности – слушался легко и непринуждённо. НО полезной информации, которая была нужна мне и о которой я писал выше, там не было:
· Сам докладчик говорит, по ряду недостатков WAF (DoS, Protocol-Level Evasion, защищаемые Hostname, HTTP Protocol Pollution), говорит что они связаны с плохой настройкой средства защиты, потом совершает логическую ошибку и говорит что плохи сами WAF.
· Техники обхода перечислялись в режиме пересказа, без демонстраций, деталей и т.п.
· По ходу дела докладчик неоднократно говорит “в корпоративных WAF всё настолько плохо, что я не буду их рассматривать в данном разделе, рассмотрю только open source средства защиты”. Из этого я делаю вывод, что у докладчика всё настолько плохо с получением “корпоративных” WAF на тестирование и с опытом их настройки, что он не хочет трогать эту больную тему
· Докладчик ссылается на недавнее сравнение облачных сервисов WAF , в котором делаются выводы об их слабой эффективности. Тут я могу сказать только то, что облачные сервисы на данный момент действительно слабые (слабее чем выделенные корпоративные WAF ). Связано это с настройкой WAF у данного конкретного провайдера услуг, а не с какой-то со слабостью решений типа WAF в принципе.
· Часть уязвимостей, приведенных автором, являются уязвимостями конечных сервисов и приложений и не имеют отношения к WAF (который их отлично детектирует). Зачем автор привел их в данной теме? Наверное, решил выложить все, что он знает в безопасности web .
· В самом конце докладчик говорит, что разрабатывает собственное принципиально новое средство защиты web приложений (вот и открылись истинные причины критики WAF )
На самом деле, в WAF есть достаточно много правил нормализации и контроля протоколов, надо только их корректно настроить. Вполне возможно автор доклада не потратил достаточно времени на изучение возможных вариантов настройки “корпоративных” WAF .
Сами принципы и технологии работы современных корпоративных WAF сильно отличаются от того, про что рассказывал докладчик, это давно уже не набор детектируемых сигнатур. В них уже есть:
· система полномочного разграничения доступа, в которой мы задаем явно, что можно делать пользователю в web приложении (не путать с блокированием запросов по сигнатурам атак)
· динамическое профилирование, в рамках которого система автоматически стоит профили запросов нормальных пользователей и обнаруживает аномальное отклонение
· защита от автоматизированных атак (Automated Attack ), в рамках которой обнаруживаются внешняя инвентаризация, перебор, фазинг и т.п.
· корреляция с системами защиты БД, в рамках которого WAF получает информацию, о том какой реально запрос и ответ прошел от сервера web приложения к серверу БД
Эти механизмы не упоминались и делаю вывод, что они докладчику были неизвестны.
Преодоление DLP . По мнению докладчиков основные проблемы из-за настроек по-умолчанию, ошибок в конфигурации, не поддерживаемой системы. Но были и явные недостатки самих DLP решений (к сожалению, без уточнения, какая версия какого продукта тестировалась):
· отключение службы с правами администратора (путем переименования файла службы)
· копирование защищаемых документов в локально-подключенный криптоконнтейнер
· побитовое копирование документа в конец картинки
· когда система сначала разрешает копирование, потом блокирует и удаляет файл с носителя, можно попробовать произвести восстановление удаленного файла
· удаление лога с событиями DLP с правами администратора
Все приведенные недостатки могут быть использованы с натяжкой. Так что, в процессе устранения вендорами таких недостатков, можно принимать альтернативные меры – грамотно настраивать права пользователей в ОС и к файловой системе, контролировать перечень установленного стороннего ПО и постоянную активность сервисов DLP .
4.Общей же мыслью всех трех докладчиков является необходимость грамотной настройки средств защиты информации, постоянному мониторингу и оптимизации настройки. Принцип “поставил и забыл” в мире реального ИБ – не работает.
5.Из своего опыта могу добавить, что в проектах я всегда стараюсь проговаривать с заказчиками требуемый объем работ по проектированию и настройке средств защиты. В зависимости от решения стоимость работ может даже превосходить стоимость самого решения, поэтому заказчики не всегда выбирают вариант с детальной проработкой конфигурации и тонкой настройкой на месте.
Часто заказываются бюджетные варианты с типовыми настройками. И я не уверен, что администраторы самостоятельно получают достаточное обучение по настройке продукта, настраивают и поддерживают все необходимые функции. Если настройки остаются по умолчанию, то слова всех докладчиков будут справедливы – злоумышленник может быстро подобрать меры по обходу средств защиты.
Получается так, если хочешь сэкономить на настройке и поддержании системы, будь готов регулярно платить за пентест (или анализ эффективности).
6.Ещё один вывод – Чтобы хакер смог понять, как обойти нашу систему защиты, ему нужно развернуть и протестировать у себя точный аналог. Если мы используем дорогое корпоративное решение, то обычному хакеру этот вариант недоступен.
Ему придется проводить тесты на нашей рабочей системе. И тут очень важно использовать мониторинг системы защиты и анализ событий ИБ. Если в компании эти процессы налажены, то мы сможем выявить источник атаки и исследуемый сервис раньше чем злоумышленник сможет обнаружить хороший метод обхода системы защиты.
Начнем с определений.
BRAS – маршрутизатор в сетях широкополосного доступа (Broadband Remote Access Server). По сути, это конечное оборудование на стороне провайдера, предназначенное для непосредственного доступа пользователей к сети Интернет.
DPI (Deep Packet Inspection) – технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому. Именно по содержимому, а не по заголовку пакета, хотя последнее также возможно.
Каким образом BRAS и DPI помогают сохранить количество абонентов?
Чтобы ответить на этот вопрос, нужно понять, почему клиенты уходят. Ни для кого не секрет, что клиенты приходят за низкой ценой, а уходят из-за плохого качества услуг. Обычно это связано с потерей пакетов или с их задержкой на уровне BRAS. Причин может быть много, но самые распространенные – недостаточная производительность аппаратного обеспечения (нагрузка на процессор, проблемы сетевого адаптера), проблемы программного характера (неоптимизированная ОС, неправильно выбранное ПО).
Первую проблему можно решить путем апгрейда оборудования, если такое возможно. На решение второй проблемы может потребоваться достаточно продолжительное время. Следует отметить, что решение обеих задач может повлечь за собой масштабные изменения в сети оператора связи.
Кроме проблем с качеством услуг, немаловажную роль играет российское законодательство, невыполнение которого может повлечь большие штрафы, а в особых случаях и отзыв лицензии. Аннулировать лицензию могут в трех случаях:
- использование несертифицированного оборудования;
- нарушение требований СОРМ-3;
- предоставление доступа к запрещенным ресурсам (ФЗ-139, ФЗ-187, ФЗ-398, ФЗ-114).
Думаю, ответ на ранее поставленный вопрос очевиден: использование современного высокопроизводительного сертифицированного оборудования с актуальным программным обеспечением и исполнение российского законодательства – гарант сохранения и роста абонентской базы, а также «безопасности» лицензии на оказание телематических услуг.
С проблемой низкой скорости разобрались, но с помощью DPI можно еще и осуществлять мониторинг поведения абонента. Как только пользователь стал изучать тарифы других интернет-провайдеров, система DPI сообщит об этом администратору. Да-да, узнать историю ваших посещений несложно – сложно забраться внутрь пакета трафика, особенно зашифрованного, но чаще всего этого и не требуется. А дальше достаточно вручную изменить настройки биллинга, чтобы у абонента все стало «летать», или прислать ему письмо со «специальным предложением». Более того, современный DPI могут делать приоритизацию трафика, то есть делать шире полосу для веб-серфинга, например, и ограничивать скорость торрентов.
Какие бывают BRAS и сколько это стоит для оператора связи?
Обычно в роли BRAS выступает одна единица оборудования, в роли DPI – другая.
BRAS можно разделить на группы по исполнению и стоимости. В свою очередь, исполнение бывает программным и аппаратным, по стоимости – платное и бесплатное.
Достаточно распространенными программными Open Source (бесплатным) решениями являются:
- Accel-ppp (существует для большинства версий Linux);
- mpd5 – доступен в исходниках для ОС FreeBSD.
Бесплатные на этапе инсталляции решения в дальнейшем требуют наличия обученного персонала, который будет заниматься их обслуживанием. Кроме того, приведенные варианты BRAS неспособны проводить глубокий анализ трафика.
Коммерческие решения могут быть как программными, так и аппаратными.
Многочисленные аппаратные решения предлагают Cisco в серии 6XXX и 7XXX и Juniper Networks – серия MX. Также набирает популярность продукция компании Huawei ME60.
Минимальная цена на бывшее в эксплуатации оборудование начинается от 100 тыс. рублей. В эту сумму включены шасси, плата управления минимальной производительности и блок питания. Апгрейд производится путем замены платы управления и сопутствующих модулей, которые приобретаются отдельно. Максимальная цена аппаратных BRAS может доходить до нескольких миллионов рублей, а заявленная производительность зачастую остается только на бумаге.
Кроме маршрутизатора потребуется приобрести DPI. Стоимость DPI от Cisco на вторичном рынке, в частности Cisco SCE8000-2X10G-E, приблизительно равна 2,5 млн рублей.
Общая стоимость подобных систем не ограничена. Потребляемая мощность аппаратного DPI порядка 1000–1600 Ватт, монтируемый размер в стойку – 5U. Минимальная потребляемая мощность BRAS – от 500 Вт, монтируемый размер в стойку – 3U. В конечном счете мы получаем монстра минимальным размером в 8U и потребляющим в лучшем случае 1,5 кВт энергии.
А можно ли объединить BRAS и DPI в одно оборудование?
Да, такие решения есть. Но на российском рынке представлено не так много производителей подобных решений. Большинство из них не утруждаются собственной разработкой, а покупают лицензионный зарубежный движок – со всеми «дырами» для иностранных спецслужб. Единственные, кто создал систему с нуля, это компания VAS Experts с их многофункциональным СКАТ DPI . Решение настолько популярно, что установлено уже более чем у 600 провайдеров – вы читаете эти строки, а страница прошла через СКАТ DPI.
Преимущества СКАТ DPI
- В отличие от аппаратных BRAS со своей специализированной прошивкой, это универсальное решение. Программная часть СКАТ DPI может быть установлена на любом сервере архитектуры x86-64, в том числе на уже имеющемся в организации.
- Собственный RADIUS-сервер, но можно использовать сторонние.
- Автоматическая обработка списка запрещенных сайтов Роскомнадзора и Минюста (ФЗ-139, ФЗ-187, ФЗ-398, ФЗ-114), в том числе и поддержка белого списка.
- Сертифицирован ССС – № ОС-3-СПД-1538.
- Протестирован Роскомнадзором (документ) в плане фильтрации интернет-трафика для операторов связи с целью ограничения доступа к запрещенным ресурсам и соблюдения российского законодательства.
- Поддержка ИС СОРМ-3 (соответствие требованиям Постановления Правительства РФ от 27 августа 2005 г. № 538).
- Предварительный фильтр для СОРМ, съёмник для СОРМ-2 и СОРМ-3.
- Полная поддержка IPv6, включая натирование.
- Занимаемое место в стойке – от 1U, минимальное энергопотребление – от 300 Вт.
- Перед покупкой его можно протестировать в собственной сети, чтобы убедиться в качестве работы.
- При желании можно интегрировать в сеть провайдера исключительно как DPI.
- Стоимость не зависит от курса валюты.
- Русскоязычная техническая поддержка.
Также следует отметить, что СКАТ постоянно модернизируется не только под нужды российского законодательства, но и под современные требования безопасности. В свою очередь, отечественное ПО находится под защитой государства.
Программно-аппаратный комплекс СКАТ-DPI доступен в трех вариантах комплектации:
- Entry – только фильтрация трафика в соответствии с требованиями федерального законодательства.
- Base – возможности Entry + дополнительные опции: предфильтр СОРМ, управление полосой пропускания и приоритизация трафика, отправка уведомлений абонентам.
- Complete – возможности Base + гибкое управление абонентами, поддержка белых списков, CG-NAT и защита от DDoS.
Выводы?
В условиях жесткой конкуренции качество оказываемых услуг показывает отношение к источнику заработка – клиентам. Всё просто: интернет-провайдеры борются за вас, своих клиентов, и вкладывают огромные средства в системы управления трафиком. Если у вас возникают проблемы – пишите в техническую поддержку, звоните на горячую линию. У хорошего провайдера всегда найдется техническая возможность сделать конкретно ваше соединение с сетью Интернет быстрее и стабильнее.
