Hva er DPI-pakkeanalyse- og filtreringssystemer? Metoder for å få en liste over blokkerte IP-er. Viktige nettverksinfrastrukturproblemer

Alexander Gornak
Teknisk direktør i NST LLC

Telekommunikasjonsindustrien over hele verden er i ferd med å konvergere eldre og nye nettverkstjenester til en felles IP-infrastruktur. Og mens globale IP-nettverk har skapt enorme muligheter for brukere, vekst og forretningstransformasjon, har de også skapt nye utfordringer for tjenesteleverandører som driver disse nettverkene. Et av disse presserende problemene for Internett-leverandører er muligheten til å kontrollere trafikken på nettverket deres.

For eksempel er en stor og økende andel av Internett-aktiviteten P2P (peer-to-peer) trafikk. Som regel genererer det ikke inntekter for tjenesteleverandører, men det tar opp en betydelig andel av nettverksressursene. Som et resultat øker ukontrollert P2P-trafikk kostnadene og krever ytterligere innsats for å bygge nettverksinfrastrukturen. Dessuten kan tjenesteleverandører lide tap når ukontrollerte nettverksapplikasjoner forstyrrer inntektsgenererende tjenester (f.eks. VoIP), noe som resulterer i brudd på servicenivåavtalen (SLA). Brudd på SLAer kan også forårsake DDoS-angrep (Distributed Denial of Service).

Løsningen på disse og andre lignende problemer er utenfor mulighetene til standardsvitsjer, rutere og brannmurer, som "ser" inn i overførte pakker, som regel ikke lenger enn TCP/UDP-porter. Derfor kan slike enheter ikke skille for eksempel applikasjoner som overføres HTTP-protokoll, hvor i tillegg til websider, tale, video, direktemeldinger og samme P2P-trafikk kan overføres.

Deep Packet Inspection (DPI) teknologi kan hjelpe operatøren i alle disse, så vel som mange andre tilfeller. Begrepet DPI refererer til enheter og teknologier som tillater inspeksjon av pakkeinnhold og visse handlinger basert på dette innholdet.

Hvis vi bruker postanalogien, er pakken analog postbrev, adressen på konvolutten er lik pakkehodet, informasjonen inni er lik nyttelasten. DPI er en analog av behandlingsvedtak postkorrespondanse ikke bare basert på adressen, men også tatt i betraktning brevets innhold.

Noen ganger brukes et mer generelt begrep - DPP (Deep Packet Processing), som innebærer handlinger på pakker som modifikasjon, filtrering eller omdirigering. I dag brukes begge begrepene DPI og DPP ofte om hverandre.

Hvordan det fungerer?

Mangfoldet i IP-kommunikasjonsorganisasjonen er slik at for å få tilgang til data på applikasjonsnivå, er det ikke nok å analysere pakkehoder opp til lag 4. For eksempel kan HTTP-trafikk overføres ved hjelp av Ethernet/IP/TCP/HTTP-stakken, og den samme trafikken på et 3G-nettverk bruker Ethernet/IP/UDP/GTP/IP/TCP/HTTP-stakken, der GTP er GPRS-tunneleringen protokoll. Derfor bruker DPI-plattformen ved analyse av pakker den såkalte protokollgrafen, som for hver protokoll i IP-stakken indikerer mulige innkapslingsmetoder på neste nivå.

Men selv etter å ha "nådd" applikasjonen gjennom stabelen, er det ikke alltid mulig å entydig identifisere den med TCP/UDP-portnummeret. Ikke alle applikasjoner har IANA-registrerte porter (f.eks. Skype). En av hovedmetodene som brukes i DPI-plattformer for disse formålene er verifisering av protokoll og applikasjonssignaturer. En signatur er et databeskrivelsesmønster som er valgt for å identifisere applikasjonen/protokollen som er knyttet til den. Hver DPI-plattform lagrer et bibliotek med signaturer, som oppdateres etter hvert som nye versjoner eller applikasjoner dukker opp.

I tillegg til signaturmetoden brukes også analyse av nettverkstransaksjoner, som også kan ha egenskaper som er spesifikke for hver applikasjon og protokoll (nyttelaststørrelse, antall og størrelse på pakker som svar på en forespørsel, plassering av faste strenger eller bytes inne i en pakke , etc.). DPI-arsenalet inkluderer metoder basert på den statistiske og atferdsmessige karakteren til dataflyten og andre heuristiske metoder.

Det er klart at å trekke ut informasjon fra en pakke og analysere den krever betydelige dataressurser, og et av hovedkravene til en DPI-plattform er å skanne pakker med datalinkhastighet. Et annet viktig krav for DPI-produkter er fleksibilitet i applikasjonen, det vil si muligheten til å legge til nye funksjoner og trafikkbehandlingsscenarier.

Den første generasjonen av DPI-produkter var skreddersydd for å løse trange problemer og var ikke fleksibel nok til å løse nye problemer eller introdusere nye tjenester, noe som førte til behovet for å legge til nytt utstyr til nettverket. Å legge til ny maskinvare kan være svært kostbart og også introdusere flere feilpunkter, noe som reduserer den totale tjenestetilgjengeligheten. I tillegg tillater ikke bruken av spesialiserte DPI-produkter en rask og rettidig respons på nye krav.

Den andre generasjonen av DPI-produkter, programmerbare DPI-enheter, eliminerer behovet for å legge til ny maskinvare og redesigne nettverket. Den nye generasjonen DPI er basert på multi-core nettverksprosessorer, slik at du kan kjøre flere DPI-applikasjoner med koblingshastighet og legge til ny funksjonalitet ved å bruke bare en programvareoppdatering.

Viktige nettverksinfrastrukturproblemer

Før vi snakker om bruken av DPI-plattformer i tjenesteleverandørnettverk, må det sies noen ord om hovedutfordringene som tjenesteleverandører står overfor i en IP-sentrisk verden.

For det første er bredbåndsinternetttjenester varetjenester med svært lav koeffisient lønnsomhet. Når eldre tjenester har migrert til IP, skaper de (viktigst) nye inntektsgenererende IP-tjenester (utover konvensjonell Internett-tilgang) som gir høye nivåer av lønnsomhet.

For det andre er det viktig for tjenesteleverandører å optimere sin nettverkskapasitet for å tilby et bredt spekter av tjenester til forskjellige abonnenter, slik at den okkuperte båndbredden både maksimerer abonnenttilfredsheten og sikrer lønnsomheten til tjenesten.

Endelig øker truslene om DDoS og andre angrep. Tjenesteleverandører må være i stand til å beskytte nettverkene sine mot nåværende og nye sikkerhetstrusler.

Migrering til nettverksinfrastruktur med DPI

For å løse problemer med IP-konvergens, bruker mange tjenesteleverandører DPI-teknologi for å overvåke og kontrollere trafikk på alle nivåer av protokollstakken (inkludert applikasjonslaget) basert på et sett med regler.

Det er tre hoveddrivere for bruk av DPI-plattformer på nettet:

• maksimere fortjeneste fra tjenester;
• minimere kapital (CAPEX) og driftskostnader (OPEX);
• begrense risikoen for nettverkssikkerhetstrusler.

Maksimere fortjeneste fra tjenester

Programmerbar DPI-funksjonalitet lar tjenesteleverandører tilby et bredt spekter av lønnsomme tjenester på toppen av grunnleggende bredbånd. I dag er mange tjenesteleverandører fokusert på å tilby et grunnleggende sett med tjenester som består av Internett-tilgang, telefoni og TV-tjenester. Men selv grunnleggende telefon- og TV-tjenester er truet av spredningen av globale Internett-tjenester stemmekommunikasjon(Skype, SipNet, GoogleTalk) og videoinnhold (YouTube, iTunes, Netflix). For å rettferdiggjøre de store beløpene som er investert i infrastruktur bredbånd, er det svært viktig at tjenesteleverandøren forlater «dumb pipe»-modellen til fordel for en «smart pipe»-modell med premiumtjenester.

Ved å bruke smart pipe-konseptet kan tjenesteleverandører spille nøkkelrolle i verdikjeden av nye bredbåndstjenester.

Premium-tjenester krever trafikkstyring, overvåking og endring av innhold på applikasjonsnivå. For eksempel kan en bruker abonnere på en spilltjeneste som gir ekstra båndbredde til en spillside i løpet av bestemte timer. Et annet eksempel er et premium-abonnement på en Internett-video-on-demand-tjeneste som tilbyr ekstra båndbredde for sanntidsvideo sett over en Internett-tilkobling. Tjenesteleverandører kan implementere fakturering basert på bruken av visse nettverksapplikasjoner.

En annen klasse premiumtjenester innebærer å sette inn og/eller endre innhold i applikasjonsflyter. Hvis du for eksempel setter inn reklame i videostrømmer, kan du kringkaste personlig tilpasset reklame basert på abonnentens identifiserte preferanser.

Som disse eksemplene viser, må en operatør være i stand til å overvåke og kontrollere nettverkstrafikk og innhold på applikasjonsnivå for å delta i inntektskjeden for premium Internett-tjenester. Det er også viktig at DPI-produkter har fleksibiliteten til å støtte nye tjenester og, gitt passende markedsmuligheter, tillate tjenesteleverandører å tilpasse sine applikasjoner til dynamisk endrede markedskrav.

Maksimal kundetilfredshet samtidig som kostnadene minimeres

Det er like viktig at tjenesteleverandører minimerer sine kapital- og driftskostnader når de implementerer nye tjenester.

Dette betyr at krav til nettverksressurs må optimaliseres for å balansere tjenesteleveranser og brukertilfredshet. Dette er et problem med de fleste nettverk i dag fordi nettverkselementer ute av stand til å kontrollere trafikk over nivå 4. Siden de fleste webapplikasjoner kjører over HTTP på TCP-port 80, er det umulig for standardsvitsjer og rutere å klassifisere slike applikasjoner og kontrollere trafikken.

Aktuelle trender innen Internett-innholdstjenester indikerer at krav til trafikkstyring er uforutsigbare. Derfor må tjenesteleverandører implementere nye DPI-løsninger hvor programvare kan oppdateres for å støtte nye trafikkstyrings- og kontrollkrav etter behov.

Ved å effektivt administrere applikasjonsbasert nettverkstrafikk kan tjenesteleverandører optimalisere bruken av nettverksressurser, og dermed redusere både kapital- og driftskostnader.

Maksimere nettverkssikkerhet

DPI-er kreves også for å gi best-in-class nettverksikkerhet. Trusler, inkludert DDoS-angrep, ormer, kredittkortsvindel og andre, fortsetter å vokse i kvantitet og kvalitet. For å beskytte nettverk mot disse truslene, er det nødvendig å implementere brannmurer på applikasjonsnivå, inntrengningsdeteksjon og -forebyggende systemer, overvåking basert på brukeridentifikasjon, tjenester og, viktigst av alt, er det nødvendig å kunne kontrollere og overvåke nettverkstrafikk basert på stadig mer komplekse strategier (for eksempel analyse av applikasjonsatferd og protokoll anomalier). For stadig mer sofistikerte trusler er det derfor viktig å kunne legge til nye sikkerhetsfunksjoner i nettverket etter behov. Den nye generasjonen DPI lar deg bekjempe nye trusler uten å bytte utstyr eller omorganisere nettverket.

DPI er en betydelig innovasjon på feltet nettverksteknologier, som danner grunnlaget for mange moderne og neste generasjons tjenester.

For nettverk av tjenesteleverandører inkluderer DPI-applikasjoner personalisering av tjenester til abonnenter, innholdsbasert fakturering, implementering av tjenester rangert etter kvalitet og betaling, avansert styring av P2P-trafikk, gir økt sikkerhetsnivå og andre muligheter.

DPI gir bedre datavisualisering, håndterbarhet, tilleggsfunksjoner skape tjenester, øke deres operasjonelle og kommersielle effektivitet.

Når du velger en DPI-enhet for nettverket ditt, må du først vurdere funksjonssettet og bestemme hvilke som er viktige for deg, hvilke som ikke er det, og hvilke funksjoner du vil ha. I mange tilfeller er for eksempel ikke IP-mobilitet nødvendig, men faktureringsstøtte er nødvendig, i andre tilfeller er det omvendt. Hold deg oppdatert med alle tilgjengelige muligheter; noen DPI-er støtter ikke sikkerhetsfunksjoner, noen støtter ikke fakturering osv. Hver tjenesteleverandør er unik, og valget av DPI bør gjenspeile deres individuelle nettverkskrav.

DPI-systemer bruker teknologi for å samle statistisk informasjon, samt filtrering og overvåking av nettverkspakker, med tanke på innholdet deres. De jobber etter et dypere prinsipp enn brannmurer som kun analyserer pakkehoder. Denne teknologien undersøker innholdet i trafikken i det andre laget av OSI-modellen og høyere. Systemer kan identifisere og stoppe virus, kuttet av unødvendig informasjon. Beslutningen om å blokkere kan også tas basert på indirekte symptomer, som gjør at visse protokoller og programmer gjenkjennes.

Oversikt over teknologi og markedssituasjon

Som statistikk viser, over 5 år i vårt land har gruppen av brukere som regelmessig (minst én gang innen 24 timer) kobler seg til Internett økt betydelig. Hvis dette tallet tidligere var på 31 %, har det i dag steget til 57 %. Hvis vi oversetter disse dataene til tall, får vi omtrent 66,5 millioner mennesker.

Siden 2010 har det vært en rask vekst i mobilbrukere. I følge statistikk, på dette øyeblikket mer enn en tredjedel av alle nettstedbesøk kommer fra smarttelefoner (3/4 av totalen) og andre bærbare enheter.

Til tross for ulike ugunstige faktorer, spår eksperter en ytterligere økning mobiltrafikk. Operatører er tvunget til å reagere på endringer og se etter flere måter å forbedre kvaliteten på tjenestene deres på, så teknologi for nettverkstrafikk blir relevant for dem. I følge eksperter vil det globale DPI-markedet innen 2020 overstige 4,7 milliarder dollar.

Hva er DPI-pakkeanalyse- og filtreringssystemer?

DPI-teknologi lar deg ikke bare optimere kanalgjennomstrømningen, men kan også øke sikkerhetsnivået når du arbeider med informasjon. Interessen i vårt land for slike løsninger er drevet på lovgivende nivå. Staten krever at teleoperatørene begrenser abonnenttilgangen til ulovlig innhold.

Løsninger for dyptrafikkanalyse lar deg:

• bekjempe terrorisme;
• beskytte mot nettverksangrep;
• blokkere kjøring av skadelig programvare;
• garantere hastigheten og kvaliteten på Internett-tilgang;
• eliminere nettverksoverbelastning;
• differensiere trafikk, sørge for jevn flyt og prioriteringsfordeling.

DPI-systemer hjelper til med å fordele belastningen slik at brukerne ikke merker en reduksjon i hastighet og forblir fornøyd med kvaliteten på forbindelsen. Slike systemer er hovedsakelig installert på kanten av operatørens nettverk i gapet mellom eksisterende oppkoblinger som går bort fra grenserutere. Dette gjør at all innkommende og utgående trafikk kan rutes gjennom DPI, noe som øker nøyaktigheten av kontroll og overvåking. Spesifikke oppgaver løses ved å installere utstyr nærmere sluttbrukere, til CMTS-nivå og så videre.

Karbonreduktor DPI X

Markedsaktører har lenge satt pris på fordelene med DPI-teknologi, men det er ikke mange utviklere som er klare til å tilby optimale løsninger for små og mellomstore bedrifter. Vårt firma er en av utviklerne av slik programvare. Vi lager og støtter et oppdatert produkt - .

Dette er programvareløsningen:

• tillater automatisk ikke trafikk til ressurser på listen til Justisdepartementet og Roskomnadzor;
• gjør selskapet fullt ut i samsvar med russisk lovgivning under føderal lov-436, føderal lov-398, føderal lov-187, føderal lov-149, føderal lov-139 (forsikrer mot bøter);
• fungerer i henhold til "trafikkspeiling"-ordningen;
• bruker 8 filtreringsteknologier (støttet: HSTS, TCP/IP, BGP/OSPF, HTTPS, DNS, HTTP);
• i stand til å sjekke opptil 900 tusen trafikkpakker per sekund;
• har et tydelig nettgrensesnitt;
• bruker et minimum av maskinvareressurser;
• støtter IPv6.

Siden utviklerne våre forbereder endringer flere måneder i forkant av endringer og anbefalinger, har selskaper alltid et oppdatert produkt til disposisjon som oppfyller gjeldende trafikkanalyse- og filtreringskrav.

Hva består DPI av?

DPI gir:

• trafikkanalyse;
• begrense abonnenttilgang til nettsteder;
• personalisering av tjenester;
• begrensning av bruken av visse nettverksprotokoller.

Systemene har følgende sammensetning:

• PCC – deler den fysiske datastrømmen inn i logiske økter;
• PCRF er "hjernen" som bruker de nødvendige reglene (setting av parametre for kvalitet på tjenesten, bruk av tilleggstjenester og så videre);
• PCEF – bruker PCC-regler på trafikk, utfører lading;
• OCS - kontroll av abonnentens saldo, tariffering av tjenester, anvendelse av rabatter, beregning av tjenestevolumet;
• Fakturering – lagrer abonnentsaldodata og gir tilgang til dem til OCS-serveren;
• Tilgangsnettverk – nettverket som kobler abonnenten til tjenesteleverandøren, inneholder alle klientenheter;
• Transkoding, optimaliseringsserver – databufring for å forbedre gjennomstrømningen;
• AAA-server – identifiserer abonnenter, holder oversikt over brukte ressurser (RADIUS-protokoll);
• BBERF – varsler PCRF om øktaktivering ved å sende abonnent-ID og andre indikatorer for nøyaktig å bestemme QoS-tjenesteregler;
• UDR – gir lagring av brukerdata.

Alternativer for bruk av DPI-systemer

Det er 9 mulige scenarier:

1. trafikkkontroll og analyse;
2. dens prioritering;
3. forbedring av oppkoblinger;
4. enhetlig distribusjon av kanalen for alle abonnenter;
5. caching;
6. vurdering av oppførselen til nettverksdeltakere;
7. melding til abonnenter;
8. begrense tilgang til visse Internett-ressurser;
9. beskytte trafikk mot avlytting og andre angrep.

Nødvendig utstyr for DPI-systemer

Programvaredelen av systemet er i stand til å jobbe mer produktivt hvis viss maskinvare er tilgjengelig. I utgangspunktet brukes ferdige løsninger for dette, som inkluderer utstyr med forhåndsinstallert programvare.

Vanligvis inneholder standardpakken med DPI dyptrafikkfiltreringssystemer:

1. Nettverkskort med Bypass-modus tilkoblingsgrensesnitt på første nivå. Selv om serverens strøm plutselig stopper, fortsetter koblingen mellom portene å fungere, og passerer trafikk som bruker batteristrøm.
2. Overvåkningsstystem. Fjernovervåker nettverksindikatorer og viser dem på skjermen.
3. To strømforsyninger som kan erstatte hverandre ved behov.
4. To harddisk, en eller to prosessorer.

Kan kobles til for å utvide funksjoner eksterne midler Oppbevaring Siden det i dette tilfellet ikke er behov for høy tilgangshastighet, er en løsning i form av ett lagringssystem (datalagringssystem) og flere diskhyller koblet til det egnet.

Hovedenheten er utstyrt med to kontrollere, som hver har porter for tilkobling til nettverket og utvidelseshyller. Bruker Intel® Xeon® E5-2600 V4-prosessor. For å øke feiltoleransen brukes to strømforsyninger.

SmartOS utfører diskbehandling. Gjennom bruk av RAID-Z-teknologi og nye filsystem ZFS-utstyr har mange fordeler:

• overvåke integriteten til logiske og fysiske disker;
• minimere informasjonsfragmentering;
• høy disktilgangshastighet.

For å øke mengden data som lagres, er JBOD koblet til hovedenheten. En hylle kan romme opptil 70 disker. Denne metoden lar deg raskt øke kapasiteten til lagringssystemet.

DPI-koblingsskjemaer

Det er to hovedordninger:

1. Aktiv. Installasjon "i gapet". Gir full funksjonalitet. Enheten kobles etter grenseruteren inn i uplink-gapet. Takket være denne ordningen går all trafikk gjennom DPI. Den åpner seg vidt funksjonalitetå behandle den. Det er imidlertid en ulempe med denne ordningen. Hvis enheten svikter, blir kommunikasjonen avbrutt. For å gjøre dette, anbefales det å bruke enten backup plattform, eller Bypass enheter.
2. Passiv. "Trafikkspeiling" skjer gjennom optiske splittere eller SPAN-porter. Et slikt opplegg åpner for tilgang til mange funksjoner: forhåndsfiltrering av SORM, caching, omdirigering av blokkeringsforespørsler, fjerning av online klikkstrøm, og så videre. Hvis nettverket allerede er i drift, lar denne ordningen deg implementere DPI på 1-2 dager.

Konklusjon

DPI-systemer er komplekse nok til å passe Detaljert beskrivelse i ett informasjonsmateriale. Men tar man disse dataene i betraktning, kan man få et klart bilde av hvor produktive og etterspurte slike løsninger er. I hendene på fagfolk er DPI-systemer verdifulle verktøy som forbedrer kvaliteten på tjenesten og sikkerheten til abonnenter, og i russisk virkelighet, fullt ut overholde loven og jobbe rolig som teleoperatør.

Nye brukere (det er 8 personer hvert sekund), i Russland trenger Internett inn i glemte landsbyer, og innen 2014 vil 70 % av landets voksne befolkning være på nett.

Denne dynamikken har en ekstremt positiv effekt på den generelle situasjonen innen telekommunikasjon - konkurranse dukker opp, kvaliteten på tjenestene øker, prisene faller, flere og flere nye teknologier blir kastet ut på markedet - før vi i det hele tatt rakk å se på 40G-grensesnitt, 100G hadde allerede dukket opp og 400-G-grensesnitt ble testet gigabit (forresten, det var nylig en artikkel om at Huawei også presenterte en fungerende løsning). Brukeren drukner i høyhastighetstjenester: YouTube, dimensjonsløs fillagring, nettradiostasjoner og TV, torrenter og P2P-nettverk. Alt dette samtidig fra forskjellige datamaskiner, X-pads og telefoner. Optikken er allerede koblet direkte til hjemmeruteren din.
Men akkurat som hver sky har en sølvfôr, er bra uten sølvfôr svært sjelden. Sammen med gleder kommer problemer.
Her er bare en liten liste over de viktigste vanskelighetene som tilbydere og abonnenter må møte i dag:

Høy kanalbelastning for brukeren. Selv om leverandørens nettverk er i orden og brukerens trafikk passer inn i tariffen hans, okkuperes mesteparten av kanalens båndbredde, for eksempel av torrenting, og det er grunnen til at abonnentens stemme, HTTP og andre data lider.
- høy belastning på leverandørens kanaler når mange abonnenter lanserer torrents eller P2P
- det meste av båndbredden er okkupert av et mindretall av de mest aktive abonnentene
- virus, ormer og zombier (bots) på nettverket
- DOS-angrep på leverandør- eller abonnentutstyr
- portskannere

Jeg hadde faktisk en situasjon der de skannet portene våre på nettverket og deretter prøvde å gjette passord. Vi fant ut om dette bare fra loggene, da den aktive brute force-prosessen allerede var i gang.

Hvilke muligheter har du for å rette opp situasjonen i en normal situasjon?
1) Linklag: kontroll basert på MAC-adresser eller VLAN-nummer. Kan implementeres på switcher og rutere.
2) Nettverkslag: du kan blokkere brukere med IP-adresser eller nekte tilgang til bestemte adresser/subnett på det eksterne nettverket. Implementert på rutere.
3) Transportlag: leverandøren eller bedriftens IT-tjeneste kan begrense portene som brukes. For eksempel nekt alt unntatt portene 25, 110 og 80 (e-post og HTTP). Du kan også gjøre dette på ruteren din
4) Applikasjonslag: På proxy-servere eller brannmurer kan du bruke den høyeste grad av abstraksjon - domenenavn. Men brannmurer, generelt sett, har mer rikelige muligheter, for eksempel beskyttelse mot angrep, finjustering av retningslinjer. De gir også noen dyp pakkeanalysefunksjonalitet, men den er ekstremt begrenset sammenlignet med dedikerte DPI-løsninger.

Og selv en av de for tiden populære løsningene, bruken av QoS i nettverket, er ikke et universalmiddel.

Ved å bruke funksjonene ovenfor er det umulig å overvåke og kontrollere trafikken til mange applikasjoner og protokoller, slik som: Skype spesielt og VoIP generelt, BitTorent, P2P, trafikk som passerer i tunneler (GRE, IPSec, QinQ, etc.)

Kan redde deg fra disse og mange andre ulykker DPI. Engelsk lyd Deep Packet Inspection taler for seg selv - dette er en teknologi som gir mulighet for dybdegående trafikkanalyse.

DPI er også Deep fordi den trenger enda dypere – den fungerer på alle 7 nivåer av OSI-referansemodellen. Med dens hjelp kan du gjenkjenne trafikk av nesten hvilken som helst protokoll og bruke visse handlinger på den.

Et enkelt eksempel fra livet. Jeg jobbet en gang for en lokal WiMAX-leverandør. Vi hadde en ganske liten abonnentbase, men de var alle fysikere ( enkeltpersoner), og Internett-tilgang er omtrent 30 Mb/s. Det er ett problem med fysikere - de elsker torrenter og P2P-nettverk. Hvis alt er relativt enkelt med sistnevnte - hvis leverandøren ikke gjør dette, er det usannsynlig at brukerne selv vil samarbeide, så er det et reelt problem med torrenter. BitTorrent-protokolltrafikk er vanskelig å spore ved bruk av standardmidler, spesielt siden protokollens driftsmekanismer hele tiden blir tilpasset endrede virkeligheter. Dette ble en skikkelig plage for selskapet: I den travleste timen lå nettet flatt.
Selskapets IT-ledelse tok deretter en taktisk beslutning: den kjøpte det enkleste, tilstrekkelig kraftige og rimelige DPI-utstyret, installerte det, og problemene ble løst på magisk vis. Selvfølgelig led spesielt aktive abonnenter, men i det øyeblikket var et slikt offer nødvendig. Så endret situasjonen seg selvfølgelig: om natten ble restriksjonene lempet, internettkanalen ble utvidet, etc. Men DPI kom også til unnsetning som en midlertidig løsning og brukes nå aktivt i dette nettverket, etter at det forlot dette stedet.

Trafikkanalyse og kontroll kan utføres på tre måter:
1) Basert på statiske regler/policyer
2) Basert på signaturer kan applikasjoner/protokoller/angrep/virusaktivitet gjenkjennes. Vanligvis leveres signaturdatabaser av leverandøren og oppdateres automatisk med visse intervaller.
3) Deep bør forstås i en viss filosofisk forstand. Dette er ikke bare en dyp penetrasjon i pakken, men også en dyp analyse. DPI-enheter kan analysere atferden og aktiviteten til verter på nettverket. For eksempel hvis det er mange tilkoblingsforsøk fra en bestemt IP-adresse ulike havnerén vert, kan vi anta at dette er en portskanner som fungerer, og hvis den er lik på forskjellige verter, men på samme port, kan det være en orm eller virus.
Takket være denne atferdsmekanismen kan DPI gjenkjenne nye VoIP, P2P eller andre protokoller selv før den tilsvarende signaturen er utgitt.

I tillegg til slike nødvendige ting som er oppført ovenfor, lar DPI leverandøren tilby tilleggstjenester.
- driftsprinsippet til DPI innebærer nesten automatisk en økning i sikkerheten til abonnenten (beskyttelse mot spam og angrep) og komforten i arbeidet hans (parallelle torrenter eller problemer med andre abonnenter vil ikke påvirke mer kritiske tjenester, for eksempel tale eller video)
- tilleggsutstyr kan gi trafikkskanning for virus
- basert på DPI kan du organisere foreldrekontroll administrert av foreldrene selv gjennom portalen.

I tillegg er en annen morder funksjon ved denne typen maskinvare et endeløst kamillefelt for innsamling av statistikk. Du kan for eksempel velge de 10 mest besøkte nettstedene eller de fem brukerne som laster kanalen mest, eller hvem av brukerne som gikk til forbudte områder på Internett. Rommet for din analytiske fantasi er generelt uendelig.
DPI-utstyr kan forresten hjelpe deg med å oppdage brukere som holder på med noe mørkt og overvåke aktiviteten deres på nettverket.
Faktisk er SORM, som alle operatører må installere, DPI du klarer rett og slett ikke.

Hvis for 3-4 år siden var DPI-løsninger en relativ sjeldenhet og privilegiet store tilbydere, så nå får denne retningen fart og blir smalere mote trend moderne telekom. Det implementeres av både tilbydere og vanlige virksomheter for å overvåke eller kontrollere aktiviteten til sine ansatte.

Er det bra eller dårlig? Det er vanskelig å svare entydig. Uansett, nå fungerer restriksjonspolitikken. Fra brukerens synspunkt, hvis du med den utbredte implementeringen av SORM kunne bli overvåket og aktiviteten din på nettverket sporet, kan trafikken din nå administreres.
Internett blir mindre og mindre som vårt koselige lille nettverk. I Kina er det en fullstendig global avanonymisering av brukere.
Fra leverandørers og sikkerhetstjenesters synspunkt er dette manna fra himmelen.

I dette øyeblikket Det finnes allerede mange løsninger på markedet fra ulike produsenter. Både telekommonstre og svært høyt spesialiserte selskaper ukjent i vide kretser gjør dette.

Det var en gang en stor leverandør som slapp gjennom pakker og begrenset trafikken litt etter litt. Alle var glade. Eller nesten alle. Inntil noen sa: "Vi har ikke nok trafikkkontroll." Slik fremsto DPI i det koselige, innlevende nettverket. Dette unge beistet med sine regler klatrer inn i dypet av pakker, der enkle brannmurer ikke kan nå.

DPI-systemer (Deep Packet Inspection) blir mer og mer populære, til tross for deres astronomiske kostnader. Nå har nesten alle store leverandører sin egen løsning. For Cisco er det Cisco SCE, for Huawei er det SIG9800, for Juniper er det VXA. Det er også mindre kjente selskaper som primært produserer DPI-utstyr. For eksempel Allot eller Inline Telecom med deres Sandvine. Det ser ut til at selv de russiske gutta dukket opp: Traffica.

Så hva er så interessant med disse kompleksene som koster ublu penger? Din ulydige tjener har viet flere måneder til DPI-integrasjon, og jeg har noe å si.

Hvilke trafikkstyringsverktøy har vi nå?

1. Basert på MAC-adresser eller VLAN. Veldig frekk.
2. Etter IP-adresser til mottakere eller avsendere. Dette er det de ofte gjør nå.
3. Av TCP-porter og UDP. Det gjør de også.
4. På proxy-servere kan du begrense etter domenenavn. Men ser du for deg en proxy-server for abonnenter i leverandørens nettverk?

Basert på pakkeparametrene ovenfor, kan du bygge en ACL eller konfigurere QoS. Men, med hånden på tastaturet, kan du begrense tilgangen til bare én LiveJournal-blogg uten å lukke selve LiveJournal? Kan du isolere torrent-trafikk fra resten?

Det vil si at du nå har stateful brannmurverktøy i hendene, som på det meste når transportnivået (4 av 7). DPI lar deg skjære inn i selve dybden av pakken, analysere data på alle OSI-nivåer fra 1. til 7.. Det er derfor han er Deep. Selv tunneler uten kryptering (QinQ, GRE, MPLS, etc.) er tøffe for ham.

Så hva kan det egentlig gjøre:

1. Samle et bredt utvalg av statistikk. Du kan nå presentere nesten alle innfall av markedsførere til dem på et sølvfat.
2. Filtrer (velg) trafikk i henhold til visse kriterier. Her legges domenenavn og protokoller til den åpenbare IP-adressen + porten. Her oppdages for eksempel vanskelig å beregne P2P- eller Skype-trafikk med et brak.
3. Bruk alle typer retningslinjer for abonnenter. De kan enten være statiske – du velger selv hvem som kan gjøre hva og når, og med hvilke prioriteringer – eller dynamiske – det er én sentralisert server et sted som svarer på disse spørsmålene. Forresten, abonnenter kan være ikke bare vanlige brukere faste nett, men også, for eksempel, trådløse, med alle de iboende attributtene (APN, telefonnumre, tilgangsmetode - GERAN, UTRAN... kan spores)
4. Forebygging av angrep. Dette handler om nettverksangrep fra utsiden, for eksempel DoS, portskanning. Noen angrep innenfra oppdages også
5. Takket være muligheten til å speile og omdirigere trafikk, er alle slags fine ting mulig, som å sjekke e-post for spam eller sjekke trafikk fra nettsteder for virus.

Hvordan bestemmer shaitan-maskinen angrep og om trafikk tilhører en eller annen protokoll? For å gjøre dette har hun tre måter:

1. Eksplisitte regler..ru" i HTTP-overskriften;
2. Signaturer. De er utarbeidet av leverandøren og inneholder et sett med en lang rekke regler som trafikk vil bli filtrert på grunnlag av. Det er mulig at denne filen blir utarbeidet under hensyntagen til dine ønsker. Signaturfilen oppdateres med jevne mellomrom og, avhengig av produsenten, lastes den enten ned automatisk av utstyret, eller du må gjøre det manuelt;
3. Atferdsanalyse. På dette tidspunktet er hele filosofien til ordet Deep i tittelen. Mange DPI-systemer lar deg utføre handlinger basert på "rariteter" i trafikkatferd - bestemme en protokoll eller oppdage og forhindre et angrep.

Det enkleste eksemplet: du lanserte en portskanner. Programmet åpner oppgitt adresse og itererer for eksempel gjennom alle 65 535 TCP-protokollporter. Det er uten tvil at intet sunt program vil etablere slike ville forbindelser - dette er en bjelle som ringer for DPI om at noe er galt på nettverket.

Jeg hadde en sjanse til å berøre og til og med fordype meg i kommandolinjen til SIG9810 - DPI-løsningen fra Huawei. Derfor vil jeg fortelle deg om integreringen. Jeg tror at prinsippene for drift av utstyr fra enhver annen leverandør avviker litt.

DPI-utstyr er plassert i et gap, noe som er veldig logisk. Det vil si, veldig grovt sett, slik:

All trafikk går selvfølgelig gjennom systemet, hvor retningslinjer brukes på det og all statistikk fjernes.

Når det gjelder maskinvare, består DPI av følgende komponenter:

1. Bypass;
2. Front-end enhet;
3. Back-end enhet;
4. PCRF-server (Policy and Charging Rules Function);
5. Brytere for å gi tilkobling mellom komponenter.

Valgfri:

6. Servere (systemstatusovervåking, syslog);

7. Diskarrayer(for lagring av statistikk og for servere);

8. VAS-enheter (Value Added Services - se etter spam og virus, foreldrekontroll).

Et typisk diagram ser slik ut:

Alt dette til sammen tar 2-3 stands. Jeg vil fortelle deg om hver av dem i rekkefølge.

1) Bypass

Hva skjer når du legger til et annet element i nettverket? Og spesielt stativet? Det stemmer, nok et svakt ledd dukker opp. Bypass er designet for å korrigere denne situasjonen i det minste litt.

Den er den første som er inkludert i nettverket, og Front-Enden er allerede koblet til den.

Den har to driftsmoduser:

1. Beskyttende. Trafikken passerer direkte og blir ikke snudd til Front-End

2. Arbeider. Trafikk dirigeres til Front-End, men hvis noe skjer går den over til direkte kanal, som i det første tilfellet.

Bypass vil gjøre sitt beste for å opprettholde forbindelsen.

Front-Enden bryter sammen (kortet brenner ut) - trafikken bytter til beskyttelseskanalen.

Linken til Front-End bryter (porten er utbrent, kabelen er skadet) - trafikken byttes til beskyttelseskanalen.

Strømmen går ut - trafikken går over til beskyttelseskanalen.

Bypass kan være elektriske eller optiske. Elektriske er basert på releer og brukes med kobberledninger, altså topphastighet, per kanal 1 Gb/s.

Optiske er mye kulere. I tillegg til at hastigheten per kanal er opptil 10 Gb/s, er det mulig å speile trafikken gratis – lysstrålen vil ikke avta. Det vil si mens trafikken flyter på direkte kanal, sendes kopien til Front-Enden. Ingen handlinger kan gjøres på trafikken ennå, men statistikk kan allerede samles inn.

D

2) Front-End

Dette er en helvetes kvern. Gigabits suser gjennom den, det er i den at hver pakke analyseres av byte, det er i den trafikken til hver abonnent blir utsatt for utførelse i samsvar med retningslinjer.

I hovedsak er dette en veldig kraftig modulær ruter.

Den har et hode - kontrolltavler for selve enheten - som regel er det to av dem - master/slave.

Det er linjekort som er ansvarlige for å motta og overføre trafikk, det vil si fysiske, kanal- og enkelte nettverksnivåer.

Det er byttefabrikker som er ansvarlige for å overføre data mellom tavler.

Og til slutt, hendene er behandlingstavlene, som skyver disse haugene, pålegger restriksjoner, samler inn statistikk og samtidig klarer å samhandle med Back-End og PCRF-serveren, ber om policyer og overfører data til dem.

3) Back-End

Dette er en diger låve hvor alt er lagret. Her er detaljene for alle retningslinjer, all innsamlet statistikk, signaturer, speiling og omdirigeringsregler, radiuspakker sendes hit, og så videre. Alt kan hentes når som helst.

Når det gjelder maskinvare, har Huawei en bladserver. Hvert brett er duplisert. Noen av dem er hot-swappable, andre organiserer lastbalansering.

4) PCRF-server

Veldig grovt sett lagrer den korrespondansen: bruker - policynummer. Front-End sender den abonnent-ID, den returnerer policynummeret, Front-End ber om detaljer om den tilsvarende policyen på Back-End.

Som regel er det én PCRF-server for mange nettsteder.

Fra et nettverksperspektiv kan DPI deles inn i tre deler:

1) super høyhastighets del;

Brukertrafikk

Beregnet i Gigabit per sekund

2) Nettverk av interaksjon av komponenter (FE, BE, servere);

Trafikken her er liten og gigantisk (til og med hundrevis) med interesse. Bare tjenesteinformasjon går over dette nettverket.

3) kontroll og PCRF - grensesnitt med et eksternt (for DPI) nettverk.

Dette er kanaler til OMC-nettverket (drifts- og vedlikeholdssenter) for overføring til PCRF-serveren. Også kun for offisielle formål - tilgang til utstyr og NMS (Network Management Server).

På praksis

Den rikeste statistikken kan samles. La meg gi deg noen eksempler:

Total trafikk i byen, delt på ulike typer:

Det samme i form av en pai:

Hvilken videohosting råder:

Topp 10 nettsteder etter antall tilkoblinger:

Topp 10 nettsteder etter trafikkvolum:

Trafikk for hver abonnent separat i WEB-kategorien:

Mest aktive brukere:

Og her er et eksempel på bruk av retningslinjer: alt gjøres i farten - og det går et par sekunder mellom kommandoen og dens effekt.

Bildet viser effekten av en politikk som begrenser total trafikk opptil 700 kb/s, med prioritet på video (grønn), og for P2P (lilla) 200 kb/s garantert.

Og dette er et eksempel på å bruke ganske enkelt prioriteringer. Den generelle grensen er også 700 kb/s, høyeste prioritet er video (grønn), andre er FTP (rød) og sist er lilla P2P

Retningslinjer kan også settes veldig fleksibelt:

• grense total hastighet trafikk opp til blokkering;
• begrense trafikkhastigheten for hver kategori (nett, video, p2p, IM, og så videre) separat, opp til blokkering;
• allokere båndbredde for hver type trafikk (for eksempel ikke mer enn megabit/s, men 200 kb/s bør garanteres);
• angi prioritet for hver type.

Og andre mindre åpenbare måter.

Jeg elsker alle slags enorme kolosser, som KrAZ, BelAZ - du kan føle den ufattelige kraften i buldringen fra motorene deres og en liten ærefrykt foran dem. En veldig lik følelse når du jobber med DPI. Ord kan ikke beskrive turbinluftstrømmen fra kjølerne, blinkingen av dusinvis av lysdioder i mørket i maskinrommet, den tette bunten med optiske ledninger som går inn i den mystiske Bypass og de nesten ubegrensede mulighetene den gir. Muligheter som gjør deg ikke til en nettverksadministrator, men en mester.

Deep Packet Inspection(fork. DPI, Også fullstendig pakkeinspeksjon Og Informasjonsuttrekking eller IX, russisk In-depth packet inspection) er en teknologi for å samle statistiske data, sjekke og filtrere nettverkspakker etter innhold. I motsetning til brannmurer, analyserer Deep Packet Inspection ikke bare pakkehoder, men også hele trafikkinnholdet på alle nivåer av OSI-modellen, fra det andre og høyere. Ved å bruke Deep Packet Inspection kan du oppdage og blokkere virus, og filtrere informasjon som ikke oppfyller spesifiserte kriterier.

Introduksjon / Uttalelse av informasjonssikkerhetsproblemet

DPI-systemet utfører dyp pakkeanalyse - analyse på øvre nivåer OSI-modell, ikke bare av standard rom nettverksporter. I tillegg til å studere pakker for noen standard maler, hvorved man entydig kan avgjøre om en pakke tilhører en spesifikk applikasjon: ved headerformat, portnummer osv. utfører DPI-systemet også den s.k. atferdsanalyse trafikk, som lar deg gjenkjenne applikasjoner som ikke bruker forhåndskjente overskrifter og datastrukturer for datautveksling, for eksempel BitTorrent.

Hovedproblemet med alle eksisterende DPI-løsninger er at for entydig å bestemme om en bestemt dataflyt tilhører en av nettverksapplikasjonene, må enheten som utfører trafikkanalyse behandle begge retninger av økten: innkommende og utgående trafikk innenfor samme flyt må gå gjennom den samme enheten. Hvis utstyret gjenkjenner at det kun behandler én retning i en økt, har det ingen mulighet til å korrelere denne strømmen med en hvilken som helst kjent trafikkkategori. Tilstedeværelsen av et stort volum asymmetrisk trafikk er imidlertid et vanlig scenario for store operatører. Ulike produsenter tilby ulike løsninger på dette problemet.

Et annet problem som blir stadig mer utbredt er den utbredte bruken av krypteringsverktøy for nettverkstrafikk og bruken av TLS/SSL som en del av HTTPS-protokollen, som ikke tillater bruk av klassiske dypanalyseverktøy for dem.

DPI-systemer kan implementeres både i programvare (Tstat, OpenDPI, Hippie, L7-filter, SPID) og i maskinvare (produkter fra Allot Communications, Procera Networks, Cisco, Sandvine). De siste årene har det siste alternativet blitt stadig mer populært. Ytelsen til disse løsningene kan variere fra hundrevis av Mbit/s til 160 Gbit/s for en maskinvareenhet, som også kan kombineres til klynger, noe som øker ytelsen. Kostnaden kan variere fra flere tusen til millioner av amerikanske dollar.

DPI-systemet er vanligvis installert på kanten av operatørens nettverk, og dermed all trafikk som forlater eller kommer inn dette nettverket, går gjennom DPI, som gjør det mulig å overvåke og kontrollere den.

applikasjon

Takket være implementeringen av DPI-systemer har operatøren et kraftig verktøy for å løse ulike problemer med nettverksdrift og utvikling.

Målrettet annonsering

Fordi teleoperatører ruter nettverkstrafikken til alle kundene sine, kan de utføre detaljerte analyser av brukeratferd på nettet, noe som gir dem muligheten til å samle informasjon om brukerinteresser. Denne informasjonen kan brukes av selskaper som spesialiserer seg på målrettet annonsering. Denne tilnærmingen har fått internasjonal aksept. Som regel samles informasjon inn uten kunnskap eller samtykke fra brukere.

Implementering av QoS

DPI-systemet kan brukes til å bryte nettnøytralitetsimplementeringen av QoS. Dermed kan dataoperatøren ved hjelp av DPI kontrollere bruken av kanaler som DPI-systemer er installert på ved OSI-lag 7. Den klassiske løsningen på problemet med å implementere QoS er basert på å bygge køer, basert på merking av trafikk med servicebiter i IP-, 802.1q- og MPLS-hodene, med tildeling av prioritert trafikk (for eksempel VPN eller IPTV). Denne trafikken er garantert en gitt gjennomstrømning til enhver tid. Samtidig forblir trafikk servert i henhold til «Best Effort»-prinsippet, som inkluderer trafikk fra hjemmeabonnenter, ukontrollert, noe som gjør at en rekke protokoller, for eksempel BitTorrent, kun kan bruke hele den frie båndbredden.

Bruk av DPI gir operatøren muligheten til å fordele kanalen mellom ulike applikasjoner og introdusere fleksible retningslinjer for trafikkstyring: for eksempel lar BitTorrent-trafikk bruke mer av båndbredden om natten enn om dagen. Et annet alternativ som ofte brukes av operatøren, er å blokkere eller betydelig begrense båndbredden til en bestemt type trafikk, for eksempel VoIP-telefoni fra mobiloperatører, noe som reduserer økonomiske tap ved manglende bruk av kommunikasjonstjenester av brukere.

Abonnementsadministrasjon

Et annet aspekt ved implementering av DPI-basert QoS er muligheten til å få tilgang via abonnement. Reglene på grunnlag av hvilken blokkering utføres kan spesifiseres ved å bruke to hovedbaser: per tjeneste eller per abonnent. I det første tilfellet er det fastsatt at en spesifikk applikasjon har lov til å bruke et bestemt bånd. I den andre er applikasjonen knyttet til båndet for hver abonnent eller gruppe av abonnenter uavhengig av andre, noe som gjøres gjennom DPI-integrasjon med operatørens eksisterende OSS/BSS-systemer.

Dermed kan systemet konfigureres slik at hver bruker kun vil kunne bruke de tjenestene og fra de enhetene som er avtalt på forhånd. Dette gjør at teleoperatører kan lage utrolig fleksible tariffplaner.

Når det gjelder trafikk mobiloperatører, så lar DPI deg kontrollere belastningen til hver basestasjon separat, og fordele ressursene rettferdig slik at alle brukere er fornøyd med kvaliteten på tjenesten. Denne oppgaven kan løses ved hjelp av mobilkjernen, som ikke alltid er budsjettmessig.

Bruk av offentlige etater

Ved hjelp av DPI kan etterretningsbyråer overvåke nettverksaktivitet denne eller den brukeren. I tillegg til observasjon kan du aktivt påvirke denne aktiviteten, begrense tilgangen til ved å bruke en VPN, HTTPS og andre midler som gjør det umulig å analysere nettverksinnhold. I tillegg er det DPI-baserte løsninger som brukes til å blokkere tilgang til forbudte nettressurser i USA, Kina, Iran og Russland. I Kina ble det derfor utviklet en standard for DPI (Y.2770), senere godkjent av International Telecommunication Union (ITU).

DPI er en integrert del av systemer som SORM-2 og Eshelon.

DPI for kryptert trafikk

HTTPS og andre krypteringsprotokoller har blitt stadig mer utbredt de siste årene. Kryptering beskytter brukernes konfidensielle informasjon hvor som helst på nettverket, inkludert mellomnoder. Dessverre har HTTPS vært et langvarig problem for DPI-enheter. Fordi pakkenes nyttelast er kryptert, kan mellomliggende nettverksnoder ikke lenger analysere nyttelasten og utføre oppgavene sine. Det skal bemerkes at bruk av krypteringsprotokoller på applikasjonsnivå ikke hindrer DPI-systemet i å analysere trafikk på lavere nivåer, men det reduserer effektiviteten betydelig. Så, HTTPS vil ikke hindre DPI-systemet fra å undersøke TCP-overskriften til pakken for å bestemme destinasjonsporten og prøve å matche den med spesifikk applikasjon, vil imidlertid ikke tillate deg å analysere nyttelasten applikasjonsnivå: DPI-systemet vil kunne bestemme tidspunktet, størrelsen og formålet med pakken, men ikke innholdet.

Basert på ovenstående kan vi konkludere med at trafikkkryptering ikke forstyrrer implementeringen av QoS og DPI-basert abonnementsadministrasjon.

Bruk av HTTPS vil bidra til å beskytte data fra DPI kun under overføring. Hvis DPI-systemet er installert på serversiden som klienten samhandler med, vil dataene bli behandlet i åpen form. For eksempel når du samhandler med Google-servere, til tross for deres bruk av HTTPS, samler DPI-systemer informasjon for å vise kontekstuell annonsering.

For å løse problemet med å analysere kryptert trafikk, støtter noen DPI-systemer som for tiden utvikles en usikker mekanisme for å etablere en HTTPS-forbindelse: de utfører faktisk et MITM-angrep på SSL-protokoll og dekrypterer trafikken ved den mellomliggende noden. Denne tilnærmingen bryter med ende-til-ende-krypteringsprinsippet som er iboende i SSL. I tillegg forårsaker det misnøye blant brukerne.

Dermed står vi overfor et ugunstig valg av kun én av de nødvendige egenskapene: funksjonaliteten til DPI-systemer eller konfidensialiteten gitt av kryptering. Ved første øyekast kan disse egenskapene se ut til å motsi hverandre på et grunnleggende nivå: et DPI-system kan ikke behandle innholdet i en pakke når det ikke kan se det innholdet. BlindBox-prosjektet er dedikert til å løse denne motsetningen og bygge et system som tilfredsstiller begge egenskapene.

BlindBox

Beskrivelse

BlindBox-tilnærmingen er å analysere den krypterte nyttelasten direkte, uten å dekryptere den ved den mellomliggende noden. Konstruksjonen av et slikt system i praksis er vanskelig oppgave: Nettverk opererer med svært høye hastigheter, og krever kryptografiske operasjoner som tar mikro- og til og med nanosekunder. I tillegg krever mange mellomnoder støtte for ressurskrevende operasjoner, for eksempel parsing av regulære uttrykk.

Potensielle kandidater er kryptografiske ordninger som fullstendig homomorf eller funksjonell kryptering, men disse ordningene er ganske trege og reduserer nettverksytelsen med flere størrelsesordener.

For å løse disse problemene har BlindBox spesialisert seg på nettverksbygging. BlindBox støtter to klasser av DPI-beregninger, hver med sine egne personverngarantier: personvern med nøyaktig samsvar og samsvarsbasert personvern. sannsynlig grunn.

Personvernmodellen med full match garanterer at en mellomnode kun vil kunne oppdage understrenger av trafikk som har et perfekt samsvar med kjente angrepsnøkkelord. For eksempel, hvis det er en regel for ordet "ATTACK", vil den mellomliggende noden vite ved hvilken flytforskyvning, hvis i det hele tatt, ordet "ATTACK" vises, men vil ikke vite hva de andre delene av trafikken er. Trafikk som ikke inneholder nøkkelord vil forbli ulest av den mellomliggende noden.

Personvernmodellen for sannsynlig årsak er avhengig av en annen logikk: en mellomnode kan dekryptere hele strømmen hvis en understreng av trafikk som samsvarer med et nøkkelord blir oppdaget kjent angrep. Denne modellen Egnet for angrepsdeteksjonsoppgaver som krever analyse ved bruk av regulære uttrykk eller skript. Denne modellen er inspirert av to grunner: den første er modellen for "sannsynlig årsak" i amerikansk straffelov: brudd på konfidensialitet er bare mulig hvis det er grunn til mistanke. Det andre er at de fleste reglene i Snort-angrepsdeteksjonssystemet bruker vanlig uttrykk, prøv først å finne nøkkelord assosiert med angrepet i pakken, og begynn først deretter å bruke regulære uttrykkssøk, siden ellers vil gjenkjenningen gå for sakte.

Begge BlindBox personvernmodeller er mye kraftigere enn de MITM-baserte tilnærmingene som brukes i dag. I begge tilnærmingene beskytter BlindBox data ved å bruke sterke pseudo-tilfeldige krypteringsskjemaer som gir sikkerhetsgarantier som ligner godt studerte kryptografiske søkeskjemaer for krypterte data.

System arkitektur

Figur 1 viser systemarkitekturen. Det er fire parter i den - avsenderen (O), mottakeren (R), den mellomliggende noden (IP) og regelgeneratoren (RG), som gjenspeiler standardarkitekturen mellomnode for denne dagen. Regelgeneratoren gir angrepsregler (også kalt signaturer) som brukes av CP-er for å oppdage angrep. Hver regel forsøker å beskrive et angrep, og inneholder felt: ett eller flere søkeord i trafikken, forskyvningsinformasjon for hvert søkeord, og noen ganger regulære uttrykk. Fastlegens rolle i dag utføres av organisasjoner som Emerging Threats, McAfee, Symantec. Avsenderen sender trafikk til mottakeren gjennom en mellomnode, som lar avsender og mottaker utveksle informasjon hvis den ikke oppdager signaturer i trafikken deres.

Figur 1. BlindBox-arkitektur. Skyggelagte elementer representerer algoritmer lagt til BlindBox.

La oss vurdere BlindBox-applikasjonsmodellen. Regelgeneratoren lager et sett med regler som inneholder en liste over nøkkelord som brukes i eksisterende angrep eller er av interesse å studere. Fastlegen signerer dem ved å bruke hans hemmelig nøkkel, og sender PU-en til brukeren. Avsenderen og mottakeren som stoler på GPUen, satte opp en HTTPS BlindBox-konfigurasjon som inkluderer offentlig nøkkel fastlege. Etter initialiseringsfasen blir GPU aldri direkte involvert i protokollen igjen. Nå snakker vi om samspillet mellom avsender, mottaker og UE, hvor avsender og mottaker initierer en forbindelse i nettverket kontrollert av UE.

Etablere en forbindelse

Først utfører avsender og mottaker et normalt SSL-håndtrykk, som lar dem bli enige om en nøkkel. De bruker den til å få tre nøkler (for eksempel ved å bruke en PRNG):

Samtidig utfører UE sitt eget tilkoblingsoppsett for å muliggjøre behandling av sender- og mottakertrafikk. I prosessen med utveksling med avsender og mottaker mottar PU hver regel fra fastlegen deterministisk kryptert på nøkkelen k - dette vil deretter tillate PU å utføre oppdagelse. Imidlertid skjer denne utvekslingen på en slik måte at UE ikke vet verdien av k, og avsender og mottaker vet ikke hva reglene er. Denne utvekslingen kalles obfuscated rule-kryptering, og er beskrevet i detalj i artikkelen.

I motsetning til SSL-håndtrykket beskrevet ovenfor, som er identisk med det vanlige SSL-håndtrykket, legger tilsløringen av krypteringsregler ny prosess. Siden i eksisterende løsninger Siden klienter vanligvis ikke kommuniserer direkte med DPI-noder (i motsetning til andre typer mellomnoder som eksplisitte proxyer eller NAT-hullshulling), fjerner dette den fullstendige "usynligheten" ved å ha DPI, en mindre ulempe sammenlignet med fordelene ved å bruke BlindBox.

Sender trafikk

For å sende en melding må avsenderen:

(1) Krypter trafikk med klassisk SSL.

(2) Bryt trafikken i etiketter (tokens) ved å dele den inn i understrenger tatt med forskjellige forskyvninger, og krypter de resulterende etikettene ved å bruke DPIEnc-krypteringsskjemaet.

Gjenkjenning

Den mellomliggende noden mottar den SSL-krypterte trafikken og krypterte tokens. Deteksjonsmodulen vil søke etter samsvar mellom krypterte regler og krypterte etiketter ved å bruke BlindBox-deteksjonsalgoritmen. Når et samsvar blir funnet, utføres en forhåndsdefinert handling: forkaste pakken, lukke forbindelsen, varsle systemadministratoren. Etter at oppdagelsen er utført, videresender den mellomliggende noden SSL-trafikken og krypterte tokens til mottakeren.

Får trafikk

På mottakersiden skjer to handlinger. Først dekrypterer og autentiserer mottakeren trafikken ved hjelp av vanlig SSL. For det andre bekrefter mottakeren at de krypterte tokenene ble kryptert riktig av avsenderen. Takket være dette, selv om den ene siden prøver å jukse, vil den andre siden kunne oppdage det.

DPIENc krypteringsskjema

Avsenderen krypterer hver tag (token) t som:

Hvor "salt" er et tilfeldig valgt tall, og betydningen av RS (faktisk, ReduceSize) er forklart videre.

La oss rettferdiggjøre behovet for DPIENc-krypteringsskjemaet. Anta at den mellomliggende noden overførte paret (r, (r)) for hver regel r, men ikke nøkkelen k. La oss starte med å vurdere et enkelt deterministisk krypteringsskjema i stedet for DPIEnc: la chifferteksten til t være lik (t). For å sjekke om t er lik nøkkelordet r, kan PU sjekke om (t) ?= (r). Dessverre vil dette resultere i lav sikkerhet siden hver forekomst av t vil ha samme chiffertekst. For å løse dette problemet må vi introdusere et element av tilfeldighet i kryptering. Derfor vil vi bruke " tilfeldig funksjon” H med et tilfeldig salt, og chifferteksten vil ha følgende struktur: salt, H(salt, (t)). Selvfølgelig må H være ensidig og pseudo-tilfeldig.

For å sjekke samsvar kan en mellomnode beregne H(salt, (r)) basert på (r) og salt, og deretter utføre en likhetssjekk. En typisk implementering av H er SHA-1, men SHA-1 er ikke like rask fordi AES er implementert i maskinvare på moderne prosessorer og dette kan redusere gjennomstrømningen. I stedet implementeres BlindBox H via AES, men må brukes forsiktig fordi AES har forskjellige sikkerhetsegenskaper. For å oppnå de nødvendige egenskapene, er det nødvendig å initiere AES på en nøkkel som er ukjent for den mellomliggende noden til angrepssignaturen er funnet. Det er derfor verdien (t) brukes.

Nå er algoritmen fullstendig implementert i AES, noe som sikrer høy hastighet.

Til slutt reduserer RS ​​ganske enkelt chiffertekststørrelsen for å redusere båndbreddebegrensningen uten å påvirke sikkerheten.

I denne implementeringen er RS ​​2 til 40. potens, som gir en chiffertekstlengde på 5 byte. Som et resultat er chifferteksten ikke lenger dechiffrerbar, noe som ikke er et problem siden BlindBox alltid dekrypterer trafikk fra den primære SSL-strømmen.

Nå, for å bestemme samsvaret mellom nøkkelordet r og chifferteksten til etiketten t, beregner den mellomliggende noden , ved å bruke salt og kunnskap (r), og tester dem deretter mot c .

Siden den mellomliggende noden åpenbart sjekker for hver regel r og etikett t, er den totale tidskostnaden per etikett lineær med antall regler, som er for sakte.

For å eliminere denne forsinkelsen introduseres en deteksjonsalgoritme, som gjør avhengigheten av tidskostnaden av antall regler logaritmisk, som i klassiske DPI-algoritmer.

Resultatet er en betydelig forbedring i ytelsen: for eksempel, for et regelsett med 10 tusen søkeord, er logaritmisk søk ​​fire størrelsesordener raskere enn lineært søk.

Oppdagelsesprotokoll

Den mellomliggende nodetilstanden består av tellere for hver regel r og et hurtigsøktre bestående av for hver regel r.