Обход dpi. Миграция к сетевой инфраструктуре с DPI. Спускаемся на уровень TCP

В рамках недавней PHDays проходил ряд докладов связанных с анализом эффективности существующих средств защиты:

· В обход DPI, Олли-Пекка Ниеми (Opi)

· Теория лжи: обход современных WAF, Владимир Воронцов

· Десяток способов преодоления DLP-систем, Александр Кузнецов, Александр Товстолип

Почему меня интересовали именно эти доклады? Потому что в рамках своей работы занимаюсь проектированием и внедрением решений, СЗИ и ждал информации которая поможет мне учесть при проектировании дополнительные факторы, при настройке обратить внимание на определенные функции и в итоге получить действительно эффективную, а не “бумажную” системы защиты.

В своем докладе Олли-Пекка рассказал про пентестовую утилиту Evader , некоторые техники обхода средств защиты (evasion ). Сама утилита Evader – вещь отличная, но у доклада было несколько минусов:

· Во-первых, несоответствие содержания и названия. К DPI никакого отношения. Область действия Evader и описываемых способов обхода – в основном сигнатурные сетевые системы защиты (NGFW , IPS)

· Во-вторых, доклад не оправдывал уровень сложности – 200. Вполне хватило бы и 100. Так как это был краткий пересказ определений различных техник обхода и демонстрация интерфейса Evader

· В-третьих, старая тема. Аналогичный доклад я уже слышал в Stonesoft 2 года назад. С того времени новых слов не прибавилось

Теперь по сути вопроса: так как в докладе не прозвучало какие именно средства какими недостатками обладают, нам потребуется самостоятельно развернуть тестовый стенд Evader , о котором я уже писал ранее . Прогнать его используя mongbat со всеми возможными комбинациями обхода (evasion ), определить те, которые не обнаруживаются нашим сетевым средством защиты. Дополнительно настроить средства защиты, так чтобы обнаруживать атаки даже с техниками обхода (уверен, что в 90% случаев это можно сделать). А для оставшихся 10% необнаруживаемых атак принять решение о необходимости иных “компенсирующих” мер.

Например, если у нас web приложение, а FW и IPS не могу определить атаки, то нужен WAF . Либо, как предлагает Stonesoft , использовать временную меру Stonesoft Evasion Prevention System (EPS ), которую можно впихнуть в любую работающую инфраструктуру.

Доклад про обход WAF был очень хорош в части презентационных навыков докладчика и интересности – слушался легко и непринуждённо. НО полезной информации, которая была нужна мне и о которой я писал выше, там не было:

· Сам докладчик говорит, по ряду недостатков WAF (DoS, Protocol-Level Evasion, защищаемые Hostname, HTTP Protocol Pollution), говорит что они связаны с плохой настройкой средства защиты, потом совершает логическую ошибку и говорит что плохи сами WAF.

· Техники обхода перечислялись в режиме пересказа, без демонстраций, деталей и т.п.

· По ходу дела докладчик неоднократно говорит “в корпоративных WAF всё настолько плохо, что я не буду их рассматривать в данном разделе, рассмотрю только open source средства защиты”. Из этого я делаю вывод, что у докладчика всё настолько плохо с получением “корпоративных” WAF на тестирование и с опытом их настройки, что он не хочет трогать эту больную тему

· Докладчик ссылается на недавнее сравнение облачных сервисов WAF , в котором делаются выводы об их слабой эффективности. Тут я могу сказать только то, что облачные сервисы на данный момент действительно слабые (слабее чем выделенные корпоративные WAF ). Связано это с настройкой WAF у данного конкретного провайдера услуг, а не с какой-то со слабостью решений типа WAF в принципе.

· Часть уязвимостей, приведенных автором, являются уязвимостями конечных сервисов и приложений и не имеют отношения к WAF (который их отлично детектирует). Зачем автор привел их в данной теме? Наверное, решил выложить все, что он знает в безопасности web .

· В самом конце докладчик говорит, что разрабатывает собственное принципиально новое средство защиты web приложений (вот и открылись истинные причины критики WAF )

На самом деле, в WAF есть достаточно много правил нормализации и контроля протоколов, надо только их корректно настроить. Вполне возможно автор доклада не потратил достаточно времени на изучение возможных вариантов настройки “корпоративных” WAF .

Сами принципы и технологии работы современных корпоративных WAF сильно отличаются от того, про что рассказывал докладчик, это давно уже не набор детектируемых сигнатур. В них уже есть:

· система полномочного разграничения доступа, в которой мы задаем явно, что можно делать пользователю в web приложении (не путать с блокированием запросов по сигнатурам атак)

· динамическое профилирование, в рамках которого система автоматически стоит профили запросов нормальных пользователей и обнаруживает аномальное отклонение

· защита от автоматизированных атак (Automated Attack ), в рамках которой обнаруживаются внешняя инвентаризация, перебор, фазинг и т.п.

· корреляция с системами защиты БД, в рамках которого WAF получает информацию, о том какой реально запрос и ответ прошел от сервера web приложения к серверу БД

Эти механизмы не упоминались и делаю вывод, что они докладчику были неизвестны.

Преодоление DLP . По мнению докладчиков основные проблемы из-за настроек по-умолчанию, ошибок в конфигурации, не поддерживаемой системы. Но были и явные недостатки самих DLP решений (к сожалению, без уточнения, какая версия какого продукта тестировалась):

· отключение службы с правами администратора (путем переименования файла службы)

· копирование защищаемых документов в локально-подключенный криптоконнтейнер

· побитовое копирование документа в конец картинки

· когда система сначала разрешает копирование, потом блокирует и удаляет файл с носителя, можно попробовать произвести восстановление удаленного файла

· удаление лога с событиями DLP с правами администратора

Все приведенные недостатки могут быть использованы с натяжкой. Так что, в процессе устранения вендорами таких недостатков, можно принимать альтернативные меры – грамотно настраивать права пользователей в ОС и к файловой системе, контролировать перечень установленного стороннего ПО и постоянную активность сервисов DLP .

4.Общей же мыслью всех трех докладчиков является необходимость грамотной настройки средств защиты информации, постоянному мониторингу и оптимизации настройки. Принцип “поставил и забыл” в мире реального ИБ – не работает.

5.Из своего опыта могу добавить, что в проектах я всегда стараюсь проговаривать с заказчиками требуемый объем работ по проектированию и настройке средств защиты. В зависимости от решения стоимость работ может даже превосходить стоимость самого решения, поэтому заказчики не всегда выбирают вариант с детальной проработкой конфигурации и тонкой настройкой на месте.

Часто заказываются бюджетные варианты с типовыми настройками. И я не уверен, что администраторы самостоятельно получают достаточное обучение по настройке продукта, настраивают и поддерживают все необходимые функции. Если настройки остаются по умолчанию, то слова всех докладчиков будут справедливы – злоумышленник может быстро подобрать меры по обходу средств защиты.

Получается так, если хочешь сэкономить на настройке и поддержании системы, будь готов регулярно платить за пентест (или анализ эффективности).

6.Ещё один вывод – Чтобы хакер смог понять, как обойти нашу систему защиты, ему нужно развернуть и протестировать у себя точный аналог. Если мы используем дорогое корпоративное решение, то обычному хакеру этот вариант недоступен.

Ему придется проводить тесты на нашей рабочей системе. И тут очень важно использовать мониторинг системы защиты и анализ событий ИБ. Если в компании эти процессы налажены, то мы сможем выявить источник атаки и исследуемый сервис раньше чем злоумышленник сможет обнаружить хороший метод обхода системы защиты.

04.10.2016 | Владимир Хазов

Сетевой трафик неоднороден, он состоит из множества приложений, протоколов и сервисов. Многие из этих приложений уникальны по требованиям к характеристикам сети, таким как скорость, задержки, джиттер. Удовлетворение этих требований – обязательное условие для того, чтобы приложение работало быстро и стабильно, а пользователи были удовлетворены качеством. Если в локальных сетях (LAN) с их высокой пропускной способностью проблем не бывает, то ограниченная ширина канала доступа в Интернет (WAN) требует тонкой настройки.

Классификация и маркировка

Предоставление услуг доступа к сети Интернет ориентировано на пользователя, самое важное – это его восприятие качества работы: Интернет не должен «тормозить», приложения должны быстро реагировать на команды, файлы должны быстро скачиваться, голос при звонках не должен заикаться, иначе человек начнет искать другого оператора связи. Управление трафиком канала доступа в Интернет, настройки ограничений и приоритетов должны обеспечивать требования пользователя. Также информация о протоколах и приложениях дает администратору возможность реализовать политики безопасности для защиты пользователей сети.

Классификация трафика – первый шаг, который помогает идентифицировать различные приложения и протоколы, передаваемые по сети. Вторым шагом является управление этим трафиком, его оптимизация и приоритизация. После классификации все пакеты становятся отмеченными по принадлежности к определенному протоколу или приложению, что позволяет сетевым устройствам применять политики обслуживания (QoS), опираясь на эти метки и флаги.

Основные понятия: классификация – идентификация приложений или протоколов; маркировка – процесс разметки пакетов для применения политик обслуживания на оборудовании.

Существуют два основных метода классификации трафика:

Классификация на основе блоков данных (Payload-Based Classification). Основывается на полях с блоками данных, таких как порты (Layer 4) OSI (отправитель и получатель или оба). Данный метод является наиболее распространенным, но не работает с зашифрованным и туннелированным трафиком.
Классификация на основе статистического метода. Основывается на анализе поведения трафика (время между пакетами, время сеанса и т. п.).

Универсальный подход к классификации трафика основывается на информации в заголовке IP-пакета – как правило, это IP-адрес (Layer 3), MAC-адрес (Layer 2), используемый протокол. Этот подход имеет ограниченные возможности, поскольку информация берется только из IP-заголовка, так же, как ограничены методы Layer 4 – ведь далеко не все приложения используют стандартные порты.

Более совершенную классификацию позволяет осуществить глубокий анализ пакетов (DPI). Это метод наиболее точный и надежный, его рассмотрим подробнее.

Deep Packet Inspection

Системы глубокого анализа трафика позволяют классифицировать те приложения и протоколы, которые невозможно определить на Layer 3 и Layer 4, например URL внутри пакета, содержимое сообщений мессенджеров, голосовой трафик Skype, p2p-пакеты BitTorrent.

Основным механизмом идентификации приложений в DPI является анализ сигнатур (Signature Analysis). Каждое приложение имеет свои уникальные характеристики, которые занесены в базу данных сигнатур. Сопоставление образца из базы с анализируемым трафиком позволяет точно определить приложение или протокол. Но так как периодически появляются новые приложения, то базу данных сигнатур также необходимо обновлять для обеспечения высокой точности идентификации.

Существуют несколько методов сигнатурного анализа:

Анализ образца (Pattern analysis).
Числовой анализ (Numerical analysis).
Поведенческий анализ (Behavioral analysis).
Эвристический анализ (Heuristic analysis).
Анализ протокола/состояния (Protocol/state analysis).

Анализ образца

Некоторые приложения содержат определенные образцы (байты/символы/строки) в блоке данных пакета, которые можно использовать для идентификации и классификации. Причем образцы могут находиться в любом месте блока данных, это никак не влияет на процесс идентификации. Но так как не каждый пакет содержит в себе образец приложения, этот метод работает не всегда.

Числовой анализ

Числовой анализ изучает количественные характеристики пакетов, такие как размер блока данных, время отклика пакета, интервал между пакетами. Например, старая версия Skype (до версии 2.0) хорошо поддавалась такому анализу, потому что запрос от клиента имел размер 18 байт, а ответ, который он получал, – 11 байт. Поскольку анализ может быть распространен по пакетам сети магазинов, решение классификации могло бы занять больше времени. Одновременный анализ нескольких пакетов требует довольно много времени, что делает этот способ не самым эффективным.

Поведенческий и эвристический анализ

Данный метод основывается на поведении трафика запущенного приложения. Пока приложение запущено, оно генерирует динамичный трафик, который также может быть идентифицирован и подвергнут маркировке. Например, BitTorrent генерирует трафик с определенной последовательностью пакетов, обладающих одинаковыми признаками (входящий и исходящий порт, размер пакета, число открываемых сессий в единицу времени), по поведенческой (эвристической) модели его можно классифицировать.

Поведенческий и эвристический анализ обычно применяют совместно, такие методы используют многие антивирусные программы для идентификации вирусов и червей.

Анализ протокола/состояния

Протоколы некоторых приложений – это последовательность определенных действий. Анализ таких последовательностей позволяет достаточно точно идентифицировать приложение. Например, на запрос GET от FTP клиента обязательно следует соответствующий ответ сервера.

Все больше приложений в Интернете начинают использовать механизмы шифрования трафика, что создает большие проблемы для любого из методов классификации. Система DPI не может заглянуть внутрь зашифрованного пакета для анализа содержимого, поэтому основными методами идентификации такого трафика являются поведенческий и эвристический анализ, но даже они могут определить далеко не все приложения. Новейший механизм, использующий оба эти метода одновременно, называется кластерным, и только он позволяет идентифицировать зашифрованный трафик.

Так как ни один из описанных методов по отдельности не обеспечивает 100%-ную классификацию трафика, лучшей практикой является использование их всех одновременно.

Классификация трафика с дальнейшим применением политик качества обслуживания составляет одну из самых важных задач любого оператора связи. Использование современных систем DPI позволяет выполнять эту задачу с максимальной эффективностью и производительностью.

Deep Packet Inspection (сокр. DPI , также complete packet inspection и Information eXtraction или IX , рус. Углубленная проверка пакетов) - технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому. В отличие от сетевых экранов, Deep Packet Inspection анализирует не только заголовки пакетов, но и полное содержимое трафика на всех уровнях модели OSI , начиная со второго и выше. Использование Deep Packet Inspection позволяет обнаруживать и блокировать вирусы, фильтровать информацию, не удовлетворяющую заданным критериям.

Введение / Постановка задачи защиты информации

Система DPI выполняет глубокий анализ пакетов - анализ на верхних уровнях модели OSI, а не только по стандартным номерам сетевых портов. Помимо изучения пакетов по неким стандартным шаблонам, по которым можно однозначно определить принадлежность пакета определённому приложению: по формату заголовков, номерам портов и прочему, система DPI осуществляет и так называемый поведенческий анализ трафика, который позволяет распознать приложения, не использующие для обмена данными заранее известные заголовки и структуры данных, к примеру, BitTorrent .

Основная проблема всех существующих решений DPI заключается в том, что для того, чтобы однозначно определить принадлежность того или иного потока данных к одному из сетевых приложений, устройство, осуществляющее анализ трафика, должно обрабатывать оба направления сессии: входящий и исходящий трафик в пределах одного потока должны пройти через одно и то же устройство. Если оборудование распознает, что обрабатывает только одно направление в рамках сессии, оно не имеет возможности соотнести данный поток с какой-либо известной категорией трафика. При этом наличие большого объема асимметричного трафика является обычным сценарием для крупных операторов. Различные производители предлагают разные решения данной проблемы.

Другой проблемой, получающей всё большее распространение, является широкое применение средств шифрования сетевого трафика и использование TLS/SSL в составе протокола HTTPS , что не позволяет использовать для них классические средства глубокого анализа.

Системы DPI могут быть реализованы как программно (Tstat, OpenDPI, Hippie, L7-filter, SPID), так и аппаратно (продукты компаний Allot Communications, Procera Networks, Cisco, Sandvine). В последние годы последний вариант становится всё более популярен. Производительность данных решений может варьироваться от сотен Мбит/с до 160 Гбит/с для одного аппаратного устройства, которые также можно объединить в кластеры, увеличив производительность. Стоимость при этом может меняться от нескольких тысяч до миллионов долларов США.

Система DPI, как правило, устанавливается на границе сети оператора, тем самым, весь трафик, покидающий или входящий в данную сеть, проходит через DPI, что даёт возможность его мониторинга и контроля.

Применение

Благодаря внедрению систем DPI, у оператора появляется мощный инструмент по решению различных задач по эксплуатации и развитию сети.

Целевая реклама

Поскольку операторы связи маршрутизируют сетевой трафик всех своих клиентов, они могут проводить детальный анализ поведения пользователей в Сети, что даёт им возможность собирать информацию об интересах пользователей. Данная информация может быть использована компаниями, специализирующимися на целевой рекламе. Данный подход получил международное распространение. Как правило, сбор информации производится без ведома и согласия пользователей.

Реализация QoS

Система DPI может быть использована для нарушения сетевого нейтралитета - реализации QoS . Так, с помощью DPI, оператор данных может контролировать использование каналов, на которых установлены системы DPI, на 7 уровне OSI. Классическое решение задачи реализации QoS основано на построении очередей, на основании маркировки трафика служебными битами в заголовках IP, 802.1q и MPLS, с выделением приоритетного трафика (к примеру, VPN или IPTV). Данному трафику гарантируется заданная пропускная способность в любой момент времени. При этом трафик, обслуживаемый по принципу "Best Effort", к которому относится, в том числе, трафик домашних абонентов, остаётся без контроля, что даёт возможность ряду протоколов, к примеру, BitTorrent, единолично использовать всю свободную полосу.

Использование DPI предоставляет оператору возможность распределить канал между различными приложениями и вводить гибкую политику управления трафиком: к примеру, разрешить трафику BitTorrent использовать в ночное время большую часть полосы, чем днём. Другая частоиспользуемая оператором возможность: блокировка, либо существенное ограничение пропускной способности, определенного вида трафика, к примеру, VoIP-телефонии мобильными операторами, что уменьшает финансовые убытки от неиспользования пользователями услуг связи.

Управление подписками

Другой стороной реализации QoS на основе DPI является возможность доступа по подписке. Правила, на основании которых выполняется блокировка, могут быть заданы посредством двух основных базисов: per-service или per-subscriber. В первом случае оговаривается, что конкретному приложению позволяется использовать определённую полосу. Во втором - привязка приложения к полосе осуществляется для каждого подписчика или группы подписчиков независимо от других, что производится через интеграцию DPI с существующими OSS/BSS системами оператора.

Таким образом, систему можно сконфигурировать так, что каждый пользователь будет иметь возможность использовать лишь те услуг и с тех устройств, которые предварительно оговорены. Это позволяет операторам связи формировать невероятно гибкие тарифные планы.

Если же речь идёт о трафике мобильных операторов, то DPI позволяет контролировать загрузку каждой базовой станции в отдельности, справедливо распределяя её ресурсы таким образом, чтобы все пользователи остались довольны качеством сервиса. Данную задачу можно решать силами мобильного ядра, что не всегда бюджетно.

Использование госорганами

При помощи DPI спецслужбы могут вести наблюдение за сетевой активностью того или иного пользователя. Помимо наблюдения, можно активно влиять на данную активность, ограничивая доступ к использованию VPN, HTTPS и прочим средствам, делающим невозможным анализ сетевого контента. Кроме того, именно решения на основе DPI используются для блокировки доступа к запрещенным веб-ресурсам в США, Китае, Иране, России. Так, в Китае был разработан стандарт по DPI (Y.2770), позднее утверждённый Международным союзом электросвязи (ITU).

DPI является неотъемлемой частью систем, подобных СОРМ-2 и Эшелон.

DPI для зашифрованного трафика

HTTPS и другие протоколы шифрования получают в последние годы всё большее распространение. Шифрование защищает конфиденциальную информацию пользователей в любой точке сети, в том числе в промежуточных узлах. К сожалению, HTTPS представляет собой давнюю проблему для DPI-устройств. Поскольку полезная нагрузка пакетов зашифрована, промежуточные сетевые узлы больше не могут анализировать полезную нагрузку и выполнять свои задачи. Необходимо отметить, что применение протоколов шифрования на прикладном уровне не мешает DPI-системе анализировать трафик более низких уровней, однако существенно понижает её эффективность. Так, HTTPS не помешает DPI-системе изучить TCP-заголовок пакета, чтобы определить порт назначения и попытаться сопоставить его с определенным приложением, однако не даст проанализировать полезную нагрузку прикладного уровня: DPI-система сможет определить время, объем и назначение пакета, но не его содержимое.

На основании вышеизложенного, можно сделать вывод, что шифрование трафика не мешает реализации QoS и управления подписками на основе DPI.

Использование HTTPS поможет защитить данные от DPI лишь при передаче. Если DPI-система установлена на стороне сервера, с которым взаимодействует клиент, то данные будут обработаны в открытом виде. К примеру, при взаимодействиями с серверами Google, несмотря на использование ими HTTPS, DPI-системы собирают информацию для выдачи контекстной рекламы.

Чтобы решить проблему анализирования зашифрованного трафика, некоторые разрабатывающиеся сейчас DPI-системы поддерживают небезопасный механизм установки HTTPS-соединения: они, фактически, проводят MITM -атаку на протокол SSL и расшифровывают трафик на промежуточном узле. Этот подход нарушает принцип сквозного шифрования, заложенный в SSL. Кроме того, это вызывает недовольство пользователей.

Таким образом, мы сталкиваемся с неблаговидным выбором лишь одного из необходимых свойств: функциональность DPI-систем или конфиденциальность, обеспечиваемая шифрованием. На первый взгляд, может показаться, что эти свойства противоречат друг другу на фундаментальном уровне: DPI-система не может обрабатывать содержимое пакета, когда она не может увидеть этого содержимого. Решению данного противоречия и построению системы, удовлетворяющей обоим свойствам, посвящен проект BlindBox.

BlindBox

Описание

Подход BlindBox заключается в осуществлении анализа непосредственно зашифрованной полезной нагрузки, без её расшифровки на промежуточном узле. Построение подобной системы на практике представляет собой сложную задачу: сети работают на очень высоких скоростях, требующих криптографические операции, занимающие микро- и даже наносекунды. Кроме того, многие промежуточные узлы требуют поддержку ресурсоёмких операций, к примеру, анализ на основе регулярных выражений.

Потенциальными кандидатами являются такие криптографические схемы, как полностью гомоморфное или функциональное шифрование, но эти схемы довольно медленны, и снижают производительность сети на несколько порядков.

Для решения этих проблем, BlindBox специализируется на построении сети. BlindBox поддерживает два класса DPI-вычислений, каждый имеющий свои гарантии конфиденциальности: конфиденциальность на основе полного совпадения и конфиденциальность на основе вероятной причины.

Модель конфиденциальности на основе полного совпадения гарантирует следующее: промежуточный узел будет в состоянии обнаружить лишь те подстроки трафика, для которых существует полное совпадение с ключевыми словами известных атак. Например, если существует правило для слова "АТАКА", то промежуточный узел узнает, на каком смещении потока появляется, если появляется вообще, слово "АТАКА", но не узнает, что из себя представляют другие части трафика. Трафик, которые не содержит ключевых слов, останется непрочитанным промежуточным узлом.

Модель конфиденциальности на основе вероятной причины основывается на другой логике: промежуточный узел может расшифровать весь поток, если обнаружена подстрока трафика, совпадающая с ключевым словом известной атаки. Данная модель удобна для задач обнаружения атак, которые требуют выполнения анализа с помощью регулярных выражений или скриптов. Данная модель вдохновлена двумя причинами: первая - модель "вероятной причины" уголовного права США: поводом для нарушения конфиденциальности является только наличие причины для подозрений. Вторая - большинство правил в системе обнаружения атак Snort, использующие регулярные выражения, сперва пытаются найти ключевые слова, связанные с атакой, в пакете, а лишь затем начинают использовать поиск с использованием регулярных выражений, поскольку в противном случае обнаружение будет слишком медленным.

Обе модели конфиденциальности BlindBox гораздо мощнее, чем используемые сегодня подходы на основе MITM. В обоих подходах, BlindBox защищает данные с использованием стойких псевдослучайных схем шифрования, предоставляющих гарантии безопасности, аналогичные хорошо изученным криптографическим схемам поиска по зашифрованным данным.

Архитектура системы

На рисунке 1 представлена архитектура системы. В ней четыре стороны - отправитель (О), получатель (П), промежуточный узел (ПУ), и генератор правил (ГП), что отражает стандартную архитектуру промежуточного узла на данный день. Генератор правил предоставляет правила атаки (также называемые сигнатурами), используемые ПУ для обнаружения атак. Каждое правило пытается описать атаку, и содержит поля: одно или несколько ключевых слов, содержащихся в трафике, информация о смещении для каждого ключевого слова, и, иногда, регулярные выражения. Роль ГП на сегодняшний день выполняют организации, такие каке Emerging Threats, McAfee, Symantec. Отправитель посылает трафик получателю через промежуточный узел, который позволяет отправителю и получателю обмениваться информацией, если он не обнаруживает сигнатур в их трафике.

Рисунок 1. Архитектура BlindBox. Закрашенные элементы обозначают алгоритмы, добавленые в BlindBox.

Рассмотрим модель применения BlindBox. Генератор правил создаёт набор правил, который содержит перечень ключевых слов, которые используются в существующих атаках или представляют интерес для изучения. ГП подписывает их с использованием своего секретного ключа, и отправляет ПУ, своему пользователю. Отправитель и получатель, доверяющие ГП, устанавливают конфигурацию HTTPS BlindBox, которая включает в себя открытый ключ ГП. После этапа инициализации, ГП больше никогда напрямую не вовлечён в протокол. Теперь речь идёт о взаимодействии между отправителем, получателем и ПУ, когда отправитель и получатель инициируют соединение в сети, контролируемой ПУ.

Установка соединения

Сперва, отправитель и получатель осуществляют обычное SSL-рукопожатие, которое позволяет им согласовать ключ . Они используют его для получения трёх ключей (к примеру, с помощью ГПСЧ):

В то же самое время, ПУ осуществляет свою собственную установку соединения для обеспечения возможности обработки трафика отправителя и получателя. В процессе обмена с отправителем и получателем, ПУ получает каждое правило от ГП детерминировано зашифрованным на ключе k - это впоследствии позволит ПУ осуществлять обнаружение. Однако, данный обмен происходит таким образом, что ПУ не узнаёт значение k, а отправитель и получатель не узнают, в чем заключаются правила. Данный обмен называется запутанным шифрованием правил, и подробно описан в статье .

В отличии от описанного выше SSL-рукопожатия, которое идентично обычному SSL-рукопожатию, запутанное шифрование правил добавляет новый процесс. Поскольку в существующих решениях, клиент обычно не связываются с DPI-узлами напрямую (в отличии от других типов промежуточных узлов, таких как явные прокси или NAT hole-punching), это лишает полной "невидимости" наличия DPI, это незначительный недостаток по сравнению с преимуществами использования BlindBox.

Отправка трафика

Чтобы отправить сообщение, отправитель должен:

(1) Зашифровать трафик с использованием классического SSL.

(2) Разбить трафик на метки (токены) путем разделения его на подстроки, взятые с различным смещением, и зашифровать результирующие метки с использованием схемы шифрования DPIEnc.

Обнаружение

Промежуточный узел получает зашифрованный SSL-трафик и зашифрованные метки. Модуль обнаружения будет выполнять поиск соответствия между зашифрованными правилами и зашифрованными метками, используя алгоритм обнаружения BlindBox. При обнаружении совпадения, выполняется предопределенное действие: отбрасывание пакета, закрытие соединения, уведомление администратора системы. После выполнения обнаружения, промежуточный узел перенаправляет SSL-трафик и зашифрованные метки получателю.

Получение трафика

На стороне получателя происходят два действия. Первое, получатель расшифровывает и аутентифицирует трафик, используя обычный SSL. Второе, получатель проверяет, что зашифрованные токены были зашифрованы отправителем верно. Благодаря этому, даже в случае, если она сторона попытается мошенничать - вторая сможет обнаружить это.

Схема шифрования DPIEnc

Отправитель шифрует каждую метку (токен) t как:

Где “соль” (salt) - случайно выбранное число, а смысл RS (фактически, ReduceSize) поясняется далее.

Обоснуем необходимость схемы шифрования DPIEnc. Допустим, промежуточный узел передал для каждого правила r пару (r, (r)), но не ключ k. Начнем с рассмотрения простой детерминированной схемы шифрования вместо DPIEnc: шифртекст от t пусть будет равен (t). Чтобы проверить, равен ли t ключевому слову r, ПУ может проверить, выполняется ли (t) ?= (r). К сожалению, в результате стойкость будет низкой, поскольку каждое вхождение t будет иметь одинаковый шифртекст. Для решения данной проблемы, нам необходимо внести элемент случайности в шифрование. Поэтому, мы будем использовать “случайную функцию” H со случайной солью, и шифртекст будет иметь следующую структуру: salt, H(salt, (t)). Конечно же, H должна быть односторонней и псевдослучайной.

Для проверки соответствия, промежуточный узел может вычислить H(salt, (r)) основанную на (r) и соли, и затем провести проверку равенства. Типичная реализация H - SHA-1, но SHA-1 работает не так быстро, поскольку на современных процессорах AES реализовано аппаратно, и это может понизить пропускную способность. Вместо этого, в BlindBox H реализована через AES, но должна использоваться осторожно, поскольку AES имеет другие свойства безопасности. Чтобы достигнуть требуемых свойств, необходимо инициировать AES на ключе, неизвестном промежуточному узлу, пока не найдена сигнатура атаки. Именно поэтому, используется значение (t).

Теперь алгоритм целиком реализован на AES, что обеспечивает высокую скорость работы.

Наконец, RS просто уменьшает размер шифртекста, чтобы уменьшить ограничение пропускной нагрузки, не влияя на безопасность.

В данной реализации, RS это 2 в 40 степени, что даёт длину шифртекста в 5 байт. В результате, шифртекст более не дешифруем, что не является проблемой, поскольку BlindBox всегда дешифрует трафик из первичного SSL-потока.

Теперь, чтобы определить соответствие между ключевым словом r и шифртекстом метки t, промежуточный узел расчитывает , используя соль и знание (r), и затем проверяет их на равенство c .

Поскольку, очевидно, что промежуточный узел выполняет проверку для каждого правила r и метки t, итоговые временные затраты на метку находятся в линейной зависимости от числа правил, что слишком медленно.

Чтобы исключить эту задержку, вводится алгоритм обнаружения, делая зависимость временные затраты от количества правил логарифмической, как и в классических алгоритмах DPI.

Результат - значительное улучшение производительности: к примеру, для набора правил с 10 тысячами ключевых слов, логарифмический поиск на четыре порядка быстрее, чем линейный.

Протокол обнаружения

Состояние промежуточного узла состоит из счетчиков для каждого правила r и дерева быстрого поиска, состоящего из для каждого правила r.

Предназначенные для фильтрации интернет-трафика и блокировки противоправного контента DPI-системы дают богатый инструментарий операторским службам эксплуатации и маркетинга, уверен Александр Орлов, эксперт Центра сетевых решений компании «Инфосистемы Джет».

Российский рынок DPI-систем (deep packet inspection - накопление статистических данных, проверка и фильтрация сетевых пакетов по их содержимому) сравнительно молод. Какие драйверы и тормозящие факторы его развития можно выделить?

Первый драйвер - принятая 3GPP (3rd Generation Partnership Project) концепция развития сетей 3G и 4G, неотъемлемым элементом которой являются системы DPI. В России подъем интереса к этим системам полтора-два года назад подстегнуло законодательство, потребовавшее от операторов ограничивать доступ абонентов к противоправному контенту в интернете. DPI осуществляет глубокий анализ трафика и в соответствии с поставленными задачами обеспечивает их выполнение. Так, на одном IP-адресе может находиться 3 тыс. доменов, из которых лишь один содержит противоправный контент. Именно его и нужно заблокировать. И только DPI может его "отловить" и закрыть к нему доступ. Все законы, требующие фильтрации трафика и блокировки интернет-ресурсов, так или иначе, связаны с решениями DPI или "около-DPI". Под последними я подразумеваю решения, которые изначально не предназначались для фильтрации, но сейчас их пытаются приспособить к решению этой задачи, поскольку имеющиеся на рынке промышленные DPI-решения, как правило, не вписываются по цене в бюджеты средних и маленьких компаний.

- Чем объясняется высокая "цена вопроса"?

Коробочное аппаратно-программное решение DPI позволяет обрабатывать колоссальные объемы трафика - 100−200−300 Гбит/с. Это действительно решение операторского класса, и стоимость систем каждого из трех основных игроков российского рынка DPI (Allot Communications, Procera Networks, Sandvine) исчисляется сотнями тысяч долларов для крупных операторов. Для небольшого оператора цена составит не больше $100 тыс., но и это для него составляет уже критичную сумму. Поэтому маленькие операторы вынуждены искать альтернативные пути, использовать "наколенные" решения и проч. Так или иначе они должны что-то придумать, потому что наше законодательство довольно строго спрашивает с операторов, которые не выполняют предписания 139-ФЗ (закон о "черных списках"), 149-ФЗ (об информации, информационных технологиях и о защите информации), 187-ФЗ ("антипиратский закон").

- Такие мелкие операторы могут брать DPI как услугу у крупных?

У одного большого оператора, насколько мне известно, уже есть заказчики такого сервиса - "нижестоящие" провайдеры. Для них это возможность не тратить больших денег на покупку собственного решения, а крупный оператор может таким образом монетизировать уже внедренное решение по блокировке трафика.

- Помимо карающего меча закона, какие еще существуют движущие факторы внедрения DPI-систем?

- DPI-систему можно установить раз и навсегда и "забыть" о ней?

Это было бы идеально для всех. Но если система используется по своему прямому назначению, для распознавания и классификации трафика, а не только для исполнения буквы закона, то приходится постоянно обновлять сигнатуры. Приложения и трафик все время меняются - и вряд ли кому интересно решение, которое уже через год не сможет "видеть", какой трафик идет через сеть, какое приложение сколько места занимает в общем канале емкости и т.д.

Смогут ли операторы, построившие сети 3G и строящие теперь 4G, использовать уже внедренные DPI-системы и на новых сетях?

Для оператора теоретически ничего поменяться не должно. Возможно, решение придется умощнить, поскольку через сеть пойдет больший объем трафика, но не вижу проблем использовать ту же самую инфраструктуру, потому что точка выхода из сети будет одна и та же.

Очевидно, что применение DPI ориентировано на массовый рынок. Для корпоративного сектора эти системы неактуальны?

Корпоративными заказчиками DPI-решения пока мало востребованы. Однако сейчас появляются DPI Next Generation − обычные карточки PCI Express, которые вставляются в сервер, на который также ставится программный движок, и это все работает в комплексе. Цена вопроса значительно снижается, но и функциональность падает. Такое устройство не сможет обрабатывать 50−100 Гбит/с трафика, но для корпоративной сети с запасом хватит и 3−4 Гбит/с. Мы работаем с производителями таких решений и надеемся получить их на тестирование в ближайшее время. Думаю, они заинтересуют корпоративных заказчиков.

- Какова роль системных интеграторов на этом рынке?

Системные интеграторы выступают в роли консультантов, поставщиков, проектировщиков, а также вполне могут выполнять функции техподдержки первой линии для заказчика. Ни один из "большой тройки" DPI-вендоров не имеет в России своего физического представительства (офиса со штатом сотрудников, со службой техподдержки). При возникновении серьезной проблемы интегратор направляет запрос вендору, который его отрабатывает в своей лаборатории и передает решение партнеру-интегратору. А тот, в свою очередь, − заказчику.

- Насколько высок в сегменте DPI уровень конкуренции среди интеграторов?

Сейчас начинается активная конкуренция, и самым весомым конкурентным преимуществом является опыт реализации таких проектов, практика. На рынке пока немного специалистов имеют компетенции по DPI, умеют с ними работать и, главное, понимают, для чего они нужны. Разумеется, системному интегратору важно иметь штат специалистов, обладающих необходимой квалификацией. Специалисты нашей компании, например, прошли обучение у вендоров, у них есть необходимые знания.

Но решающим фактором считаю все же опыт. Например, мы выполнили проект по созданию платформы управления трафиком, основанный на применении технологий DPI для «ВымпелКома». В ходе которого мы устанавливали и настраивали программно-аппаратные комплексы DPI PacketLogic компании Procera Networks на 40 самых загруженных узлах магистральной сети. А по завершению монтажа − сформировали правила и политики, включили функцию сбора статистики, на основании которой правила управления трафиком корректировались для каждого конкретного города. Иначе говоря, мы обеспечили интеллектуальную часть и экспертизу, а также прорисовку перспектив развития проекта, потому что внедренное решение, по своей сути − очень мощный инструмент, позволяющий оператору проводить качественный и количественный анализ структуры трафика, эффективно управлять им, оптимизировать нагрузку на каналы магистральной сети, и, как следствие, повысить качество услуг, предоставляемых абонентам.

Кроме этого компания обладает значительным опытом реализации проектов в телекоммуникационной отрасли, выполненных для ведущих телеком-операторов Росси и стран СНГ.

К настоящему времени "большая тройка" уже внедрила DPI-системы, "Ростелеком" планирует завершить внедрение в 2014 г. Но у нас в России действующих лицензий на услуги связи больше 80 тыс. Это все потенциальные заказчики DPI?

Я бы сократил эту цифру как минимум вдвое, но в любом случае потенциальный рынок очень большой. Небольших операторов очень много, хотя бы даже только в Москве. Думаю, очень скоро поднимется новая волна спроса на DPI. Сейчас рынок находится в стадии ожидания этой волны и подготовки к ней.

Беседовала Лилия Павлова

Начнем с определений.

BRAS – маршрутизатор в сетях широкополосного доступа (Broadband Remote Access Server). По сути, это конечное оборудование на стороне провайдера, предназначенное для непосредственного доступа пользователей к сети Интернет.

DPI (Deep Packet Inspection) – технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому. Именно по содержимому, а не по заголовку пакета, хотя последнее также возможно.

Каким образом BRAS и DPI помогают сохранить количество абонентов?

Чтобы ответить на этот вопрос, нужно понять, почему клиенты уходят. Ни для кого не секрет, что клиенты приходят за низкой ценой, а уходят из-за плохого качества услуг. Обычно это связано с потерей пакетов или с их задержкой на уровне BRAS. Причин может быть много, но самые распространенные – недостаточная производительность аппаратного обеспечения (нагрузка на процессор, проблемы сетевого адаптера), проблемы программного характера (неоптимизированная ОС, неправильно выбранное ПО).

Первую проблему можно решить путем апгрейда оборудования, если такое возможно. На решение второй проблемы может потребоваться достаточно продолжительное время. Следует отметить, что решение обеих задач может повлечь за собой масштабные изменения в сети оператора связи.

Кроме проблем с качеством услуг, немаловажную роль играет российское законодательство, невыполнение которого может повлечь большие штрафы, а в особых случаях и отзыв лицензии. Аннулировать лицензию могут в трех случаях:

использование несертифицированного оборудования;
нарушение требований СОРМ-3;
предоставление доступа к запрещенным ресурсам (ФЗ-139, ФЗ-187, ФЗ-398, ФЗ-114).

Думаю, ответ на ранее поставленный вопрос очевиден: использование современного высокопроизводительного сертифицированного оборудования с актуальным программным обеспечением и исполнение российского законодательства – гарант сохранения и роста абонентской базы, а также «безопасности» лицензии на оказание телематических услуг.

С проблемой низкой скорости разобрались, но с помощью DPI можно еще и осуществлять мониторинг поведения абонента. Как только пользователь стал изучать тарифы других интернет-провайдеров, система DPI сообщит об этом администратору. Да-да, узнать историю ваших посещений несложно – сложно забраться внутрь пакета трафика, особенно зашифрованного, но чаще всего этого и не требуется. А дальше достаточно вручную изменить настройки биллинга, чтобы у абонента все стало «летать», или прислать ему письмо со «специальным предложением». Более того, современный DPI могут делать приоритизацию трафика, то есть делать шире полосу для веб-серфинга, например, и ограничивать скорость торрентов.

Какие бывают BRAS и сколько это стоит для оператора связи?

Обычно в роли BRAS выступает одна единица оборудования, в роли DPI – другая.

BRAS можно разделить на группы по исполнению и стоимости. В свою очередь, исполнение бывает программным и аппаратным, по стоимости – платное и бесплатное.

Достаточно распространенными программными Open Source (бесплатным) решениями являются:

Accel-ppp (существует для большинства версий Linux);
mpd5 – доступен в исходниках для ОС FreeBSD.

Бесплатные на этапе инсталляции решения в дальнейшем требуют наличия обученного персонала, который будет заниматься их обслуживанием. Кроме того, приведенные варианты BRAS неспособны проводить глубокий анализ трафика.

Коммерческие решения могут быть как программными, так и аппаратными.

Многочисленные аппаратные решения предлагают Cisco в серии 6XXX и 7XXX и Juniper Networks – серия MX. Также набирает популярность продукция компании Huawei ME60.

Минимальная цена на бывшее в эксплуатации оборудование начинается от 100 тыс. рублей. В эту сумму включены шасси, плата управления минимальной производительности и блок питания. Апгрейд производится путем замены платы управления и сопутствующих модулей, которые приобретаются отдельно. Максимальная цена аппаратных BRAS может доходить до нескольких миллионов рублей, а заявленная производительность зачастую остается только на бумаге.

Кроме маршрутизатора потребуется приобрести DPI. Стоимость DPI от Cisco на вторичном рынке, в частности Cisco SCE8000-2X10G-E, приблизительно равна 2,5 млн рублей.

Общая стоимость подобных систем не ограничена. Потребляемая мощность аппаратного DPI порядка 1000–1600 Ватт, монтируемый размер в стойку – 5U. Минимальная потребляемая мощность BRAS – от 500 Вт, монтируемый размер в стойку – 3U. В конечном счете мы получаем монстра минимальным размером в 8U и потребляющим в лучшем случае 1,5 кВт энергии.

А можно ли объединить BRAS и DPI в одно оборудование?

Да, такие решения есть. Но на российском рынке представлено не так много производителей подобных решений. Большинство из них не утруждаются собственной разработкой, а покупают лицензионный зарубежный движок – со всеми «дырами» для иностранных спецслужб. Единственные, кто создал систему с нуля, это компания VAS Experts с их многофункциональным СКАТ DPI . Решение настолько популярно, что установлено уже более чем у 600 провайдеров – вы читаете эти строки, а страница прошла через СКАТ DPI.

Преимущества СКАТ DPI

В отличие от аппаратных BRAS со своей специализированной прошивкой, это универсальное решение. Программная часть СКАТ DPI может быть установлена на любом сервере архитектуры x86-64, в том числе на уже имеющемся в организации.
Собственный RADIUS-сервер, но можно использовать сторонние.
Автоматическая обработка списка запрещенных сайтов Роскомнадзора и Минюста (ФЗ-139, ФЗ-187, ФЗ-398, ФЗ-114), в том числе и поддержка белого списка.
Сертифицирован ССС – № ОС-3-СПД-1538.
Протестирован Роскомнадзором (документ) в плане фильтрации интернет-трафика для операторов связи с целью ограничения доступа к запрещенным ресурсам и соблюдения российского законодательства.
Поддержка ИС СОРМ-3 (соответствие требованиям Постановления Правительства РФ от 27 августа 2005 г. № 538).
Предварительный фильтр для СОРМ, съёмник для СОРМ-2 и СОРМ-3.
Полная поддержка IPv6, включая натирование.
Занимаемое место в стойке – от 1U, минимальное энергопотребление – от 300 Вт.
Перед покупкой его можно протестировать в собственной сети, чтобы убедиться в качестве работы.
При желании можно интегрировать в сеть провайдера исключительно как DPI.
Стоимость не зависит от курса валюты.
Русскоязычная техническая поддержка.

Также следует отметить, что СКАТ постоянно модернизируется не только под нужды российского законодательства, но и под современные требования безопасности. В свою очередь, отечественное ПО находится под защитой государства.

Программно-аппаратный комплекс СКАТ-DPI доступен в трех вариантах комплектации:

Entry – только фильтрация трафика в соответствии с требованиями федерального законодательства.
Base – возможности Entry + дополнительные опции: предфильтр СОРМ, управление полосой пропускания и приоритизация трафика, отправка уведомлений абонентам.
Complete – возможности Base + гибкое управление абонентами, поддержка белых списков, CG-NAT и защита от DDoS.

Выводы?

В условиях жесткой конкуренции качество оказываемых услуг показывает отношение к источнику заработка – клиентам. Всё просто: интернет-провайдеры борются за вас, своих клиентов, и вкладывают огромные средства в системы управления трафиком. Если у вас возникают проблемы – пишите в техническую поддержку, звоните на горячую линию. У хорошего провайдера всегда найдется техническая возможность сделать конкретно ваше соединение с сетью Интернет быстрее и стабильнее.