Глубокая проверка пакетов

Процедуры проверки сетевых данных

Глубокая проверка пакетов ( DPI ) — это тип обработки данных, который подробно проверяет данные, отправляемые по компьютерной сети , и может предпринимать такие действия, как оповещение, блокировка, перенаправление или регистрация их соответствующим образом. Глубокая проверка пакетов часто используется для определения базового поведения приложений, анализа использования сети, устранения неполадок в производительности сети, обеспечения правильного формата данных, проверки на наличие вредоносного кода, подслушивания и интернет-цензуры ^[1] и других целей. ^{[2] Для} IP-пакетов существует несколько заголовков ; сетевому оборудованию необходимо использовать только первый из них ( заголовок IP ) для нормальной работы, но использование второго заголовка (например, TCP или UDP ) обычно считается поверхностной проверкой пакетов (обычно называемой проверкой пакетов с отслеживанием состояния ), несмотря на это определение. ^[3]

Существует несколько способов получения пакетов для глубокой проверки пакетов. Использование зеркалирования портов (иногда называемого Span Port ) является очень распространенным способом, а также физическая вставка сетевого ответвителя , который дублирует и отправляет поток данных в анализатор для проверки.

Глубокая проверка пакетов (и фильтрация) обеспечивает расширенное управление сетью , обслуживание пользователей и функции безопасности , а также интеллектуальный анализ данных в Интернете , подслушивание и цензуру в Интернете . Хотя DPI используется для управления Интернетом уже много лет, некоторые сторонники сетевого нейтралитета опасаются, что эта техника может быть использована в антиконкурентных целях или для снижения открытости Интернета. ^[4]

DPI используется в широком спектре приложений, на так называемом «корпоративном» уровне (корпорации и крупные учреждения), у поставщиков телекоммуникационных услуг и в правительствах. ^[5]

Фон

Технология DPI может похвастаться долгой и технологически продвинутой историей, начавшейся в 1990-х годах, до того, как технология вошла в то, что сегодня рассматривается как обычные, основные развертывания. Технология уходит своими корнями в прошлое на 30 лет назад, когда многие из пионеров вносили свои изобретения для использования среди участников отрасли, например, посредством общих стандартов и ранних инноваций, таких как следующие:

• РМОН
• Нюхач
• Wireshark

Необходимая функциональность DPI включает анализ заголовков пакетов и полей протокола. Например, Wireshark предлагает необходимую функциональность DPI через свои многочисленные диссекторы, которые отображают имена полей и содержимое, а в некоторых случаях предлагают интерпретацию значений полей.

Некоторые решения безопасности, которые предлагают DPI, объединяют функциональность системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) с традиционным межсетевым экраном с отслеживанием состояния . ^[6] Эта комбинация позволяет обнаруживать определенные атаки, которые ни IDS/IPS, ни межсетевой экран с отслеживанием состояния не могут отловить самостоятельно. Межсетевые экраны с отслеживанием состояния, хотя и способны видеть начало и конец потока пакетов, не могут самостоятельно отловить события, которые выходят за рамки определенного приложения. Хотя IDS способны обнаруживать вторжения, у них очень мало возможностей для блокировки таких атак. DPI используются для предотвращения атак вирусов и червей на скорости передачи данных. В частности, DPI может быть эффективен против атак переполнения буфера, атак типа «отказ в обслуживании» (DoS), сложных вторжений и небольшого процента червей, которые помещаются в один пакет. ^[7]

Устройства с поддержкой DPI имеют возможность просматривать уровень 2 и выше уровня 3 модели OSI . В некоторых случаях DPI может быть вызван для просмотра уровней 2–7 модели OSI. Это включает в себя заголовки и структуры протоколов данных, а также полезную нагрузку сообщения. Функциональность DPI вызывается, когда устройство просматривает или выполняет другие действия на основе информации за пределами уровня 3 модели OSI. DPI может идентифицировать и классифицировать трафик на основе базы данных сигнатур, которая включает информацию, извлеченную из части данных пакета, что обеспечивает более тонкий контроль, чем классификация, основанная только на информации заголовка. Конечные точки могут использовать методы шифрования и обфускации, чтобы обойти действия DPI во многих случаях.

Классифицированный пакет может быть перенаправлен, помечен/тегирован (см. качество обслуживания ), заблокирован, ограничен по скорости и, конечно, сообщен отчетному агенту в сети. Таким образом, ошибки HTTP различных классификаций могут быть идентифицированы и перенаправлены для анализа. Многие устройства DPI могут идентифицировать потоки пакетов (а не анализировать пакет за пакетом), что позволяет выполнять действия по управлению на основе накопленной информации о потоке. ^[8]

На уровне предприятия

Первоначально безопасность на уровне предприятия была просто периметральной дисциплиной с доминирующей философией не допускать неавторизованных пользователей и защищать авторизованных пользователей от внешнего мира. Наиболее часто используемым инструментом для достижения этого был межсетевой экран с отслеживанием состояния. Он может обеспечить детальный контроль доступа из внешнего мира к предопределенным пунктам назначения во внутренней сети, а также разрешить обратный доступ к другим хостам только в том случае, если ранее был сделан запрос во внешний мир. ^[9]

Однако существуют уязвимости на сетевых уровнях, которые не видны для брандмауэра с отслеживанием состояния. Кроме того, увеличение использования ноутбуков на предприятии затрудняет предотвращение проникновения в корпоративную сеть таких угроз, как вирусы , черви и шпионское ПО , поскольку многие пользователи подключают ноутбук к менее защищенным сетям, таким как домашние широкополосные соединения или беспроводные сети в общественных местах. Брандмауэры также не различают разрешенное и запрещенное использование законно доступных приложений. DPI позволяет ИТ-администраторам и сотрудникам службы безопасности устанавливать политики и применять их на всех уровнях, включая уровень приложений и пользователей, чтобы помочь бороться с этими угрозами. ^{[10] [11]}

Deep Packet Inspection способен обнаружить несколько видов атак переполнения буфера .

DPI может использоваться предприятием для предотвращения утечки данных (DLP). Когда пользователь электронной почты пытается отправить защищенный файл, пользователю может быть предоставлена ​​информация о том, как получить надлежащее разрешение на отправку файла. ^{[12] [ требуется пример ] [ требуется разъяснение ]}

У поставщиков сетевых/интернет-услуг

Помимо использования DPI для защиты своих внутренних сетей, поставщики интернет-услуг также применяют его в публичных сетях, предоставляемых клиентам. Обычные применения DPI интернет-провайдерами — это законный перехват , определение и обеспечение соблюдения политики , целевая реклама , качество обслуживания , предложение многоуровневых услуг и обеспечение соблюдения авторских прав .

Законный перехват

Почти все правительства мира требуют от поставщиков услуг предоставлять возможности законного перехвата . Десятилетия назад в устаревшей телефонной среде это было достигнуто путем создания точки доступа к трафику (TAP) с использованием перехватывающего прокси-сервера , который подключается к оборудованию наблюдения правительства. Компонент получения этой функциональности может быть предоставлен многими способами, включая DPI, продукты с поддержкой DPI, которые "соответствуют LI или CALEA ", могут использоваться - по указанию суда - для доступа к потоку данных пользователя. ^[13]

Определение и реализация политики

Поставщики услуг, обязанные соглашением об уровне обслуживания со своими клиентами предоставлять определенный уровень обслуживания и в то же время обеспечивать соблюдение политики приемлемого использования , могут использовать DPI для реализации определенных политик, которые охватывают нарушения авторских прав, незаконные материалы и недобросовестное использование полосы пропускания . В некоторых странах интернет-провайдеры обязаны выполнять фильтрацию в зависимости от законов страны. DPI позволяет поставщикам услуг «легко узнавать пакеты информации, которые вы получаете в Интернете — от электронной почты до веб-сайтов, обмена музыкой, видео и загрузок программного обеспечения». ^[14] Могут быть определены политики, которые разрешают или запрещают подключение к или с IP-адреса, определенных протоколов или даже эвристик, которые идентифицируют определенное приложение или поведение.

Целевая реклама

Поскольку интернет-провайдеры маршрутизируют трафик всех своих клиентов, они могут очень подробно отслеживать привычки просмотра веб-страниц, что позволяет им получать информацию об интересах своих клиентов, которую могут использовать компании, специализирующиеся на целевой рекламе. По крайней мере, 100 000 клиентов из США отслеживаются таким образом, и до 10% клиентов из США отслеживались таким образом. ^[15] Поставщики технологий включают NebuAd , Front Porch и Phorm . Интернет-провайдеры США, отслеживающие своих клиентов, включают Knology ^[16] и Wide Open West . Кроме того, интернет-провайдер Великобритании British Telecom признался в тестировании решений от Phorm без ведома или согласия своих клиентов. ^[15]

Качество обслуживания

DPI может быть использован против сетевого нейтралитета .

Такие приложения, как одноранговый (P2P) трафик, представляют собой все большую проблему для поставщиков услуг широкополосного доступа. Обычно P2P трафик используется приложениями, которые обмениваются файлами. Это могут быть любые типы файлов (например, документы, музыка, видео или приложения). Из-за часто большого размера передаваемых медиафайлов P2P приводит к увеличению нагрузки трафика, требуя дополнительной пропускной способности сети. Поставщики услуг говорят, что меньшинство пользователей генерирует большие объемы P2P трафика и ухудшает производительность для большинства абонентов широкополосного доступа, использующих такие приложения, как электронная почта или просмотр веб-страниц, которые используют меньшую полосу пропускания. ^[17] Низкая производительность сети увеличивает недовольство клиентов и приводит к снижению доходов от услуг.

DPI позволяет операторам перепродавать доступную им полосу пропускания, обеспечивая при этом справедливое распределение полосы пропускания для всех пользователей, предотвращая перегрузку сети. Кроме того, более высокий приоритет может быть назначен VoIP или видеоконференц-звонку, который требует низкой задержки, по сравнению с веб-браузингом, который этого не требует. ^[18] Это подход, который поставщики услуг используют для динамического распределения полосы пропускания в соответствии с трафиком, проходящим через их сети.

Многоуровневые услуги

Провайдеры мобильных и широкополосных услуг используют DPI в качестве средства для внедрения многоуровневых планов обслуживания, чтобы дифференцировать услуги « огороженного сада » от услуг передачи данных «с добавленной стоимостью», «все, что вы можете съесть» и «один размер подходит всем». ^[19] Имея возможность взимать плату за «огороженный сад», за приложение, за услугу или «все, что вы можете съесть», а не за пакет «один размер подходит всем», оператор может адаптировать свои предложения к индивидуальному абоненту и увеличить свой средний доход на пользователя (ARPU). Политика создается для каждого пользователя или группы пользователей, а система DPI, в свою очередь, применяет эту политику, предоставляя пользователю доступ к различным услугам и приложениям.

Обеспечение соблюдения авторских прав

Иногда владельцы авторских прав или суды или официальная политика требуют от интернет-провайдеров помогать обеспечивать соблюдение авторских прав. В 2006 году один из крупнейших интернет-провайдеров Дании, Tele2 , получил судебный запрет и ему было сказано, что он должен заблокировать своим клиентам доступ к The Pirate Bay , отправной точке для BitTorrent . ^[20]

Вместо того чтобы преследовать файлообменников по одному, ^[21] Международная федерация фонографической индустрии (IFPI) и четыре крупных звукозаписывающих лейбла EMI , Sony BMG , Universal Music и Warner Music подали в суд на интернет-провайдеров, таких как Eircom, за недостаточные усилия по защите своих авторских прав. ^[22] IFPI хочет, чтобы интернет-провайдеры фильтровали трафик, чтобы удалить из своей сети незаконно загруженные и скачанные материалы, защищенные авторским правом, несмотря на европейскую директиву 2000/31/EC, в которой четко указано, что интернет-провайдеры не могут быть обязаны контролировать передаваемую ими информацию, а также директиву 2002/58/EC, предоставляющую гражданам Европы право на конфиденциальность коммуникаций.

Американская ассоциация кинокомпаний (MPAA), которая следит за соблюдением авторских прав на фильмы, заняла позицию, согласную с Федеральной комиссией по связи (FCC), согласно которой сетевой нейтралитет может нанести ущерб таким методам борьбы с пиратством, как глубокая проверка пакетов и другие формы фильтрации. ^[23]

Статистика

DPI позволяет интернет-провайдерам собирать статистическую информацию о моделях использования по группам пользователей. Например, может быть интересно, используют ли пользователи с 2-мегабитным подключением сеть иначе, чем пользователи с 5-мегабитным подключением. Доступ к данным о тенденциях также помогает в планировании сети. ^{[ необходимо разъяснение ]}

Правительствами

Помимо использования DPI для безопасности собственных сетей, правительства Северной Америки, Европы и Азии используют DPI для различных целей, таких как наблюдение и цензура . Многие из этих программ засекречены. ^[24]

Китай

Китайское правительство использует глубокую проверку пакетов для мониторинга и цензурирования сетевого трафика и контента, который, по его мнению, наносит вред гражданам Китая или государственным интересам. Этот материал включает порнографию, информацию о религии и политическом инакомыслии. ^[25] Китайские сетевые интернет-провайдеры используют DPI, чтобы проверить, есть ли какие-либо чувствительные ключевые слова, проходящие через их сеть. Если это так, соединение будет разорвано. Люди в Китае часто оказываются заблокированными при доступе к веб-сайтам, содержащим контент, связанный с независимостью Тайваня и Тибета , Фалуньгун , Далай-ламой , протестами на площади Тяньаньмэнь и резней 1989 года , политическими партиями, выступающими против правящей коммунистической партии, или различными антикоммунистическими движениями ^[26], поскольку эти материалы уже были подписаны как чувствительные ключевые слова DPI. Ранее Китай блокировал весь входящий и исходящий VoIP-трафик в своей стране ^[27], но многие доступные приложения VoIP теперь работают в Китае. Голосовой трафик в Skype не затрагивается, хотя текстовые сообщения подвергаются фильтрации, а сообщения, содержащие конфиденциальные материалы, такие как ругательства, просто не доставляются, без уведомления любого из участников разговора. Китай также блокирует визуальные медиа-сайты, такие как YouTube.com, а также различные сайты с фотографиями и блогами. ^[28]

Египет

С 2015 года Египет, как сообщается, начал присоединяться к списку, который постоянно отрицался должностными лицами Национального органа по регулированию телекоммуникаций Египта (NTRA). Однако это стало известно, когда страна решила заблокировать зашифрованное приложение для обмена сообщениями Signal , как было объявлено разработчиком приложения. ^[29]

В апреле 2017 года в стране были заблокированы все приложения VoIP , включая FaceTime , Facebook Messenger , Viber , звонки WhatsApp и Skype. ^[30]

С 2022 года FaceTime и Facebook Messenger будут разблокированы.

Индия

Индийский интернет-провайдер Jio , который также является крупнейшим сетевым оператором в Индии, известен тем, что применяет сложные методы DPI, такие как фильтрация на основе SNI, для обеспечения цензуры. ^{[31] [32]}

Индонезия

Правительство Индонезии через Telkom Indonesia ^[33] , поддерживаемое технологией Cisco Meraki DPI, осуществляет общенациональное наблюдение путем глубокой проверки пакетов ^[34] и сопоставляет их с SSN/NIK (Nomor Induk Kependudukan) своих граждан, зарегистрированных у государственного интернет-провайдера. Цель глубокой проверки пакетов, включая фильтрацию порнографии, разжигание ненависти и снижение напряженности в Западном Папуа. ^[35] Правительство Индонезии планирует расширить наблюдение до следующего уровня до 2030 года. ^[36]

Иран

Иранское правительство приобрело систему, как сообщается, для глубокой проверки пакетов, в 2008 году у Nokia Siemens Networks (NSN) (совместное предприятие Siemens AG, немецкого конгломерата, и Nokia Corp., финской компании сотовой связи), теперь NSN — это Nokia Solutions and Networks, согласно отчету в Wall Street Journal в июне 2009 года со ссылкой на представителя NSN Бена Рума. ^[37] По словам неназванных экспертов, цитируемых в статье, система «позволяет властям не только блокировать связь, но и отслеживать ее для сбора информации о людях, а также изменять ее в целях дезинформации».

Система была куплена Telecommunication Infrastructure Co., частью телекоммуникационной монополии иранского правительства. Согласно журналу , NSN «поставила оборудование Ирану в прошлом году в соответствии с международно признанной концепцией «законного перехвата», сказал г-н Рум. ^{[ требуется цитата ]} Это касается перехвата данных в целях борьбы с терроризмом, детской порнографией, торговлей наркотиками и другими видами преступной деятельности, осуществляемой в Интернете, что является возможностью, которой обладают большинство, если не все телекоммуникационные компании, сказал он.... Центр мониторинга, который Nokia Siemens Networks продала Ирану, был описан в брошюре компании как позволяющий «мониторинг и перехват всех типов голосовой и информационной связи во всех сетях». Совместное предприятие вышло из бизнеса, который включал в себя оборудование для мониторинга, которое оно назвало «решением для разведки», в конце марта, продав его Perusa ^[38] Partners Fund 1 LP, инвестиционной фирме из Мюнхена , сказал г-н Рум. Он сказал, что компания решила, что это больше не является частью ее основного бизнеса. ^{[ требуется цитата ]}

Система NSN появилась после покупки Ираном системы Secure Computing Corp. в начале десятилетия. ^[39]

Были подняты вопросы о надежности отчета Journal Дэвида Айзенберга, независимого аналитика из Вашингтона, округ Колумбия , и приглашенного ученого Института Катона , в частности, заявившего, что г-н Рум отрицает приписываемые ему цитаты и что у него, Айзенберга, также были похожие жалобы на одного из тех же репортеров Journal в более ранней статье. ^[40] NSN опубликовал следующее опровержение: NSN «не предоставила Ирану возможности глубокой проверки пакетов, веб-цензуры или фильтрации Интернета». ^[41] В параллельной статье в The New York Times говорилось, что продажа NSN была освещена в «серии новостных сообщений в апреле [2009 года], включая The Washington Times », и рассматривалась цензура Интернета и других СМИ в стране, но не упоминалась DPI. ^[42]

По словам Валида Аль-Сакафа, разработчика обходчика интернет-цензуры Alkasir , Иран использовал глубокую проверку пакетов в феврале 2012 года, что привело к практически полной остановке скорости интернета по всей стране. Это на короткое время исключило доступ к таким инструментам, как Tor и Alkasir. ^[43]

Малайзия

Сообщается, что действующее правительство Малайзии во главе с Барисаном Насионалом использовало DPI против политического оппонента в преддверии 13-х всеобщих выборов, состоявшихся 5 мая 2013 года.

Целью DPI в данном случае было блокирование и/или ограничение доступа к выбранным веб-сайтам, например, аккаунтам Facebook, блогам и новостным порталам. ^{[44] [45]}

Пакистан

Пакистанское управление телекоммуникаций (PTA) заявляет, что система DPI была установлена ​​для реализации Закона о предотвращении электронных преступлений (PECA) 2016 года, в частности, для фильтрации и блокировки богохульного контента и любых материалов, которые считаются направленными против целостности или безопасности Пакистана. ^[46] Канадская фирма Sandvine была привлечена к поставке и установке оборудования в Пакистане. ^[47]

Российская Федерация

DPI пока не является обязательным в России. Федеральный закон № 139 предусматривает блокировку веб-сайтов в черном списке российского Интернета с использованием IP-фильтрации, но не обязывает интернет-провайдеров анализировать часть данных пакетов. Тем не менее, некоторые интернет-провайдеры все еще используют различные решения DPI для внедрения черных списков. В 2019 году государственное агентство Роскомнадзор планирует общенациональное развертывание DPI после пилотного проекта в одном из регионов страны, предполагаемая стоимость которого составит 20 миллиардов рублей (300 миллионов долларов США). ^[48]

Некоторые активисты по правам человека ^{[ кто? ]} считают, что проверка Deep Packet противоречит статье 23 Конституции Российской Федерации , хотя юридический процесс, призванный доказать или опровергнуть это, никогда не проводился. ^{[ нужна ссылка ] [49]}

Сингапур

Сообщается, что в городе-государстве применяется глубокая проверка пакетов интернет-трафика. ^[50]

Сирия

Сообщается, что государство применяет глубокую проверку пакетов интернет-трафика для анализа и блокировки запрещенного транзита.

Соединенные Штаты

FCC принимает требования Internet CALEA : FCC, в соответствии с мандатом Конгресса США и в соответствии с политикой большинства стран мира, потребовала, чтобы все поставщики телекоммуникационных услуг, включая интернет-услуги, были способны поддерживать исполнение судебного постановления о предоставлении криминалистики коммуникаций в реальном времени определенных пользователей. В 2006 году FCC приняла новые правила Title 47, Subpart Z, требующие от поставщиков интернет-доступа выполнять эти требования. DPI была одной из платформ, необходимых для выполнения этого требования, и была развернута для этой цели по всей территории США

Агентство национальной безопасности (АНБ) в сотрудничестве с AT&T Inc. использовало Deep Packet Inspection, чтобы сделать наблюдение за интернет-трафиком, сортировку и пересылку более интеллектуальными. DPI используется для определения пакетов, несущих электронную почту или телефонный звонок по протоколу Voice over Internet Protocol (VoIP). ^[51] Трафик, связанный с Common Backbone AT&T, был «разделен» между двумя волокнами, разделяя сигнал так, что 50 процентов силы сигнала шло на каждое выходное волокно. Одно из выходных волокон было перенаправлено в защищенную комнату; другое передавало сообщения на коммутационное оборудование AT&T. Защищенная комната содержала анализаторы трафика и логические серверы Narus ; Narus утверждает, что такие устройства способны собирать данные в реальном времени (записывать данные для рассмотрения) и захватывать со скоростью 10 гигабит в секунду. Определенный трафик выбирался и отправлялся по выделенной линии в «центральное местоположение» для анализа. Согласно показаниям под присягой эксперта-свидетеля Дж. Скотта Маркуса, бывшего старшего советника по интернет-технологиям в Федеральной комиссии по связи США, перенаправленный трафик «представлял собой весь или практически весь пиринговый трафик AT&T в районе залива Сан-Франциско», и, таким образом, «разработчики… конфигурации не предприняли никаких попыток, с точки зрения местоположения или положения оптоволоконного разветвления, исключить источники данных, состоящие в основном из внутренних данных». ^[52] Программное обеспечение семантического анализатора трафика Narus, работающее на серверах IBM или Dell Linux с использованием DPI, сортирует IP-трафик со скоростью 10 Гбит/с, чтобы выбрать определенные сообщения на основе целевого адреса электронной почты, IP-адреса или, в случае VoIP, телефонного номера. ^[53] Президент Джордж Буш-младший и генеральный прокурор Альберто Р. Гонсалес заявили, что, по их мнению, президент имеет полномочия отдавать распоряжения о секретном перехвате телефонных разговоров и обмена электронной почтой между людьми внутри Соединенных Штатов и их контактами за рубежом без получения ордера FISA . ^[54]

Агентство оборонных информационных систем разработало сенсорную платформу, которая использует технологию глубокой проверки пакетов. ^[55]

Вьетнам

Вьетнам запустил свой центр сетевой безопасности и потребовал от интернет-провайдеров обновить свои аппаратные системы, чтобы использовать глубокую проверку пакетов для блокировки интернет-трафика. ^[56]

Сетевой нейтралитет

Люди и организации, обеспокоенные вопросами конфиденциальности или сетевой нейтральности , считают проверку уровней контента интернет-протокола оскорбительной, ^[13] заявляя, например, что «Сеть была построена на открытом доступе и недискриминации пакетов!» ^[57] Критики правил сетевой нейтральности, тем временем, называют их «решением в поисках проблемы» и говорят, что правила сетевой нейтральности снизят стимулы для модернизации сетей и запуска сетевых сервисов следующего поколения . ^[58]

Многие считают, что глубокая проверка пакетов подрывает инфраструктуру Интернета. ^[59]

Шифрование и туннелирование, подрывающие DPI

Глубокая проверка SSL/TLS

С ростом использования HTTPS и туннелирования конфиденциальности с использованием VPN эффективность DPI оказывается под вопросом. ^[60] В ответ на это многие межсетевые экраны веб-приложений теперь предлагают проверку HTTPS , где они расшифровывают трафик HTTPS для его анализа. ^[61] WAF может либо прекратить шифрование, так что соединение между WAF и клиентским браузером использует простой HTTP, либо повторно зашифровать данные с помощью собственного сертификата HTTPS, который должен быть заранее распространен среди клиентов. ^[62] Методы, используемые при проверке HTTPS/SSL (также известной как перехват HTTPS/SSL), те же самые, что используются при атаках типа «человек посередине» (MiTM) . ^[63]

Это работает так: ^[64]

1. Клиент хочет подключиться к https://www.targetwebsite.com
2. Трафик проходит через брандмауэр или продукт безопасности
3. Брандмауэр работает как прозрачный прокси-сервер
4. Брандмауэр создает SSL-сертификат, подписанный его собственным «CompanyFirewall CA »
5. Брандмауэр представляет этот подписанный сертификат "CompanyFirewall CA " клиенту (не сертификат targetwebsite.com)
6. В то же время брандмауэр самостоятельно подключается к https://www.targetwebsite.com
7. targetwebsite.com представляет свой официально подписанный сертификат (подписанный доверенным центром сертификации )
8. Брандмауэр самостоятельно проверяет цепочку доверия сертификатов
9. Теперь брандмауэр работает по принципу «человек посередине» .
10. Трафик от Клиента будет расшифрован (с использованием информации об обмене ключами от Клиента), проанализирован (на наличие вредоносного трафика, нарушений политики или вирусов), зашифрован (с использованием информации об обмене ключами от targetwebsite.com) и отправлен на targetwebsite.com.
11. Трафик с targetwebsite.com также будет расшифрован (с использованием информации об обмене ключами от targetwebsite.com), проанализирован (как указано выше), зашифрован (с использованием информации об обмене ключами от Клиента) и отправлен Клиенту.
12. Продукт Firewall может считывать всю информацию, которой обмениваются SSL-клиент и SSL-сервер (targetwebsite.com).

Это можно сделать с любым соединением, завершающимся по протоколу TLS (не только HTTPS), при условии, что брандмауэр может изменять TrustStore SSL-клиента.

Программное обеспечение

nDPI (ответвление от OpenDPI ^[65] , которое было закрыто разработчиками ntop ) ^{[66] [67]} — это версия с открытым исходным кодом для незапутанных протоколов . PACE, еще один такой движок, включает запутанные и зашифрованные протоколы, которые являются типами, связанными со Skype или зашифрованным BitTorrent . ^[68] Поскольку OpenDPI больше не поддерживается, был создан ответвление OpenDPI под названием nDPI ^{[66] , которое активно поддерживается и расширяется новыми протоколами, включая} Skype , Webex , Citrix и многие другие.

L7-Filter — это классификатор для Netfilter от Linux, который идентифицирует пакеты на основе данных прикладного уровня. ^[69] Он может классифицировать такие пакеты, как Kazaa , HTTP , Jabber , Citrix , Bittorrent , FTP , Gnucleus , eDonkey2000 и другие. Он классифицирует потоковые, почтовые, P2P, VoIP , протоколы и игровые приложения. Программное обеспечение было снято с производства и заменено на Netify DPI Engine с открытым исходным кодом. ^[70]

Hippie (Hi-Performance Protocol Identification Engine) — проект с открытым исходным кодом, который был разработан как модуль ядра Linux. ^[71] Он был разработан Джошем Баллардом. Он поддерживает как DPI, так и функциональность брандмауэра. ^[72]

Проект SPID (Statistical Protocol IDentification) основан на статистическом анализе сетевых потоков для идентификации трафика приложений. ^[73] Алгоритм SPID может определять протокол прикладного уровня (уровень 7) по сигнатурам (последовательность байтов с определенным смещением в рукопожатии), анализируя информацию о потоке (размеры пакетов и т. д.) и статистику полезной нагрузки (как часто встречается значение байта для измерения энтропии) из файлов pcap. Это всего лишь приложение для проверки концепции, и в настоящее время оно поддерживает около 15 приложений/протоколов, таких как трафик обфускации eDonkey , Skype UDP и TCP, BitTorrent , IMAP , IRC , MSN и другие.

Tstat (TCP STatistic and Analysis Tool) обеспечивает понимание шаблонов трафика и предоставляет подробную информацию и статистику для многочисленных приложений и протоколов. ^[74]

Libprotoident представляет Lightweight Packet Inspection (LPI), который проверяет только первые четыре байта полезной нагрузки в каждом направлении. Это позволяет минимизировать проблемы конфиденциальности, одновременно уменьшая дисковое пространство, необходимое для хранения трассировок пакетов, необходимых для классификации. Libprotoident поддерживает более 200 различных протоколов, а классификация основана на комбинированном подходе с использованием сопоставления шаблонов полезной нагрузки, размера полезной нагрузки, номеров портов и сопоставления IP. ^[75]

Французская компания Amesys разработала и продала Муаммару Каддафи систему массового и инвазивного интернет-мониторинга Eagle . ^[76]

Сравнение

Всестороннее сравнение различных классификаторов сетевого трафика, которые зависят от Deep Packet Inspection (PACE, OpenDPI, 4 различных конфигурации L7-filter, NDPI, Libprotoident и Cisco NBAR), показано в Независимом сравнении популярных инструментов DPI для классификации трафика. ^[77]

Аппаратное обеспечение

Все больше внимания уделяется глубокой проверке пакетов — это стало очевидным ^{[ необходимо разъяснение ]} после отклонения законопроектов SOPA и PIPA . Многие текущие методы DPI медленные и дорогостоящие, особенно для приложений с высокой пропускной способностью. Разрабатываются более эффективные методы DPI. Специализированные маршрутизаторы теперь могут выполнять DPI; маршрутизаторы, оснащенные словарем программ, помогут определить цели, стоящие за трафиком локальной сети и интернета, который они маршрутизируют. Cisco Systems сейчас работает над второй итерацией маршрутизаторов с поддержкой DPI, анонсировав маршрутизатор CISCO ISR G2. ^[78]

Смотрите также

• Общий перевозчик
• Директива о хранении данных
• Глубокая проверка контента
• ЭШЕЛОН
• Брандмауэр
• Закон о наблюдении за деятельностью иностранной разведки
• Золотой Щит
• Система предотвращения вторжений
• Сетевой нейтралитет
• Спор о несанкционированном наблюдении со стороны АНБ
• Анализатор пакетов
• Межсетевой экран с отслеживанием состояния
• Тета-сети
• Wireshark

Ссылки

1. Дункан Гир, https://www.wired.co.uk/article/how-deep-packet-inspection-works
2. Дхармапурикарг, Саранг; Кришнамурти, Правин; Спроулл, Тодд; Локвуд, Джон. «Глубокая проверка пакетов с использованием параллельных фильтров Блума». 11-й симпозиум по высокопроизводительным межсоединениям .
3. Томас Портер (2005-01-11). "Опасности глубокой проверки пакетов". SecurityFocus .com . Получено 2008-03-02 .
4. Хэл Абельсон; Кен Ледин; Крис Льюис (2009). «Просто доставьте пакеты», в: «Эссе о глубокой проверке пакетов», Оттава». Офис комиссара по вопросам конфиденциальности Канады . Получено 08.01.2010 .
5. Ральф Бендрат (2009-03-16). «Глобальные технологические тенденции и национальное регулирование: объяснение различий в управлении глубокой проверкой пакетов, доклад, представленный на ежегодной конвенции по международным исследованиям, Нью-Йорк, 15–18 февраля 2009 г.» (PDF) . Ассоциация международных исследований . Получено 2010-01-08 .
6. Идо Дубравски (29.07.2003). "Эволюция межсетевого экрана - глубокая проверка пакетов". SecurityFocus .com . Получено 02.03.2008 .
7. Хачатрян, Артавазд (2020-02-01). "100Gbps Network DPI, Content Extraction on Xilinx's FPGA". Medium . Получено 2020-10-23 .
8. Москола, Джеймс и др. «Реализация модуля сканирования контента для межсетевого экрана Интернета». Программируемые на месте вычислительные машины, 2003. FCCM 2003. 11-й ежегодный симпозиум IEEE по. IEEE, 2003.
9. Элан Амир (29.10.2007). «Дело в пользу глубокой проверки пакетов». itbusinessedge.com . Архивировано из оригинала 04.02.2008 . Получено 02.03.2008 .
10. Ноферести, Мортеза; Джалили, Расул (15.01.2020). «ACoPE: Адаптивный полуконтролируемый подход к обучению для реализации сложной политики в сетях с высокой пропускной способностью». Компьютерные сети . 166 : 106943. doi : 10.1016/j.comnet.2019.106943. ISSN  1389-1286. S2CID  208094726.
11. "брандмауэр". TechTarget .com .
12. Tahboub, Radwan; Saleh, Yousef (январь 2014 г.). «Системы предотвращения утечки/потери данных (DLP)». Всемирный конгресс по компьютерным приложениям и информационным системам 2014 г. (WCCAIS) : 1–6. doi :10.1109/WCCAIS.2014.6916624. S2CID  1022898.
13. Nate Anderson (2007-07-25). "Deep Packet Inspection meets 'Net neutrality, CALEA". Ars Technica . Получено 2006-02-06 .
14. Джефф Честер (2006-02-01). "Конец Интернета?". The Nation . Получено 2006-02-06 .
15. Питер Уориски (2008-04-04). «Каждый ваш клик: интернет-провайдеры тихо тестируют расширенное отслеживание использования веб-сайтов для таргетированной рекламы». The Washington Post . Получено 2008-04-08 .
16. "Charter Communications: Enhanced Online Experience" . Получено 2008-05-14 .
17. "Deep Packet Inspection: Taming the P2P Traffic Beast". Легкое чтение . Архивировано из оригинала 2008-03-02 . Получено 2008-03-03 .
18. Мэтт Хэмблен (17.09.2007). «Ball State использует Deep Packet Inspection для обеспечения производительности видеоконференций». computerworld .com . Получено 03.03.2008 .
19. «Allot внедряет решение DPI у двух операторов мобильной связи первого уровня для предоставления пакетов услуг с добавленной стоимостью и многоуровневых пакетов услуг». news.moneycentral. MSN .com . 2008-02-05 . Получено 2008-03-03 .^{[ постоянная мертвая ссылка ]}
20. Джереми Кирк (2008-02-13). "Датский интернет-провайдер готовится бороться с судебным запретом Pirate Bay". InfoWorld .com . Архивировано из оригинала 2008-02-14 . Получено 2008-03-12 .
21. Мэтью Кларк (2005-07-05). «Eircom и BT не будут противостоять музыкальным фирмам». enn.ie . Архивировано из оригинала 2007-08-14 . Получено 2008-03-12 .
22. Эрик Бангеман (11.03.2008). ""Год фильтров" превращается в год судебных исков против интернет-провайдеров". Ars Technica . Получено 12.03.2008 .
23. Энн Броач (2007-07-19). "MPAA: Сетевой нейтралитет может навредить антипиратским технологиям". CNET News . Архивировано из оригинала 29 января 2013 года . Получено 2008-03-12 .
24. Кэролин Даффи Марсан (27.06.2007). «OEM-поставщик Bivio нацелен на государственный рынок». NetworkWorld .com . Архивировано из оригинала 23.04.2014 . Получено 13.03.2008 .
25. Бен Элгин; Брюс Эйнхорн (2006-01-12). "Великий китайский брандмауэр". Business Week . Архивировано из оригинала 2008-02-28 . Получено 2008-03-13 .
26. "Интернет-фильтрация в Китае в 2004-2005 гг.: исследование страны". OpenNet Initiative . Архивировано из оригинала 2007-09-28 . Получено 2008-03-13 .
27. Гай Кьюни, Китай блокирует Skype, VoIP, The Register, 2005 г.
28. "Китай блокирует YouTube, восстанавливает Flickr и Blogspot". PC World . 2007-10-18. Архивировано из оригинала 2008-03-13 . Получено 2008-03-03 .
29. «Египет заблокировал приложение для обмена зашифрованными сообщениями Signal». 18 июля 2019 г.
30. مة". HuffPost Араби . Архивировано из оригинала 23 апреля 2017 г. Проверено 22 апреля 2017 г.
31. «Reliance Jio использует проверку SNI для блокировки веб-сайтов — Центр Интернета и общества». cis-india.org . Получено 13 ноября 2022 г. .
32. Сингх, Кушагра; Гровер, Гуршабад; Бансал, Варун (2020). «Как Индия цензурирует Интернет». 12-я конференция ACM по веб-науке . стр. 21–28. arXiv : 1912.08590 . doi :10.1145/3394231.3397891. ISBN 9781450379892. S2CID  209405297 . Получено 13 ноября 2022 г. .
33. Томпсон, Ник; Макгилл, Таня; Кристианто, Дэниел Веро (1 января 2021 г.). «Общественное принятие интернет-цензуры в Индонезии». Материалы ACIS 2021 г. Получено 21 августа 2022 г.
34. Тремблей, Джессика (2018). «Интернет-кампанг: Интернет на базе сообществ в Индонезии после Сухарто». Индонезия . 105 : 97–125. doi : 10.1353/ind.2018.0004. hdl : 1813/60028 . S2CID  158357806 – через проект MUSE Университета Джонса Хопкинса.
35. Wildana, Faiq (30 октября 2021 г.). «Исследовательское исследование блокировки социальных сетей в Индонезии». Журнал общества и медиа . 5 (2): 456–484. doi : 10.26740/jsm.v5n2.p456-484 . ISSN  2580-1341. S2CID  248056103.
36. Патерсон, Томас (4 мая 2019 г.). «Расширение индонезийского киберпространства: обоюдоострый меч». Журнал киберполитики . 4 (2): 216–234. doi : 10.1080/23738871.2019.1627476 . ISSN  2373-8871. S2CID  197825581.
37. Кристенсен, Кристиан (1 июля 2009 г.). «Иран: сетевое инакомыслие». Ле Монд Дипломатик 1 .
38. "Perusa :: Кто мы". perusa-partners.de . Архивировано из оригинала 2015-09-24.
39. «Иранский веб-шпионаж с помощью западных технологий» Кристофера Роадса в Нью-Йорке и Лоретты Чао в Пекине, The Wall Street Journal , 22 июня 2009 г. Получено 22.06.09.
40. «Вопросы о статье WSJ о сетевом менеджменте в Иране» Дэвида С. Айзенберга, isen.blog, 23 июня 2009 г. Получено 22.06.09.
41. «Предоставление возможности законного перехвата в Иране». Архивировано 25 июня 2009 г. в пресс-релизе Wayback Machine Company. 22 июня 2009 г. Получено 22.06.09.
42. «Web Pries Lid of Iranian Censorship» Брайана Стелтера и Брэда Стоуна, The New York Times , 22 июня 2009 г. Получено 23 июня 2009 г.
43. 14 февраля 2012 г. «Нарушение и сгибание цензуры с Валидом Аль-Сакафом». Архивировано 2 мая 2013 г. на Wayback Machine , интервью с Арсехом Севомом. Архивировано 12 июня 2017 г. на Wayback Machine . Последний просмотр 23 февраля 2012 г.
44. Го Кхенг Теонг (2013-05-20). "DAP жалуется MCMC на блокаду своих веб-сайтов, видео, FB, социальных сетей" . Получено 2013-05-21 .
45. "В Малайзии онлайн-выборные баталии принимают отвратительный оборот". Reuters. 2013-05-04. Архивировано из оригинала 2013-05-07 . Получено 2013-05-22 .
46. "Цифровое пространство и конфиденциальность Пакистана: распаковка DPI и его последствий | Политическая экономия | thenews.com.pk". www.thenews.com.pk . Получено 21.11.2023 .
47. Desk, Monitoring (25.10.2019). «Правительство сотрудничает с противоречивой фирмой для мониторинга интернет-трафика: отчет». DAWN.COM . Получено 21.11.2023 . {{cite web}}: |last=имеет общее название ( помощь )
48. "Роскомнадзор внедрит новую технологию блокировки" . Русская служба BBC News . 18 декабря 2018 г.
49. "Конституция Российской Федерации (перевод на английский язык)". Архивировано из оригинала 4 мая 2013 года.
50. "Глубокая проверка пакетов поднимает свою уродливую голову" . Получено 28 апреля 2015 г.
51. JI Nelson (2006-09-26). "Как работает система прослушки телефонов без ордера АНБ" . Получено 2008-03-03 .
52. Белловин, Стивен М .; Мэтт Блейз; Уитфилд Диффи; Сьюзан Ландау; Питер Г. Нойманн; Дженнифер Рексфорд (январь–февраль 2008 г.). «Риск безопасности коммуникаций: потенциальные опасности Закона о защите Америки» (PDF) . Безопасность и конфиденциальность IEEE . 6 (1). IEEE Computer Society: 24–33. doi :10.1109/MSP.2008.17. S2CID  874506. Архивировано из оригинала (PDF) 27-02-2008 . Получено 03-03-2008 .
53. Роберт По (2006-05-17). "The Ultimate Net Monitoring Tool". Wired . Получено 2008-03-03 .
54. Кэрол Д. Леонниг (2007-01-07). «Отчет опровергает заявление Буша о шпионаже — законность внутренних действий оспаривается». The Washington Post . Получено 2008-03-03 .
55. Шерил Гербер (2008-09-18). "Глубокая безопасность: DISA усиливает безопасность с помощью глубокой проверки пакетов IP-передачи". Архивировано из оригинала 2011-07-26 . Получено 2008-10-30 .
56. "Ra mắt Nền tảg cung cấp doch vụ Trung tâm điều hành an toàn, an ninh mạng đap ứng yêu cầu kết noi, chia sẻ thông олово" .
57. Дженни Першинг. "Сетевой нейтралитет: исторический нейтралитет". Cybertelecom . Архивировано из оригинала 2008-05-11 . Получено 2008-06-26 .
58. Дженни Першинг. «Сетевой нейтралитет: недостаточный вред». Cybertelecom . Архивировано из оригинала 2008-05-11 . Получено 2008-06-26 .
59. Фукс, Кристиан. "Последствия глубокой проверки пакетов (DPI) для интернет-наблюдения за обществом" (PDF) . Архивировано из оригинала (PDF) 29-08-2013 . Получено 23-07-2022 .
60. Шерри Джастин, Чан Лан, Ралука Ада Попа и Сильвия Ратнасами, Blindbox: Глубокая проверка пакетов зашифрованного трафика, ACM SIGCOMM Computer Communication Review, 2015
61. "Best Practices - HTTPS Inspection". Центр поддержки Check Point . 2017-07-21. С помощью HTTPS Inspection шлюз безопасности может проверять трафик, зашифрованный HTTPS. Шлюз безопасности использует сертификаты и становится посредником между клиентским компьютером и защищенным веб-сайтом. Все данные хранятся в конфиденциальном порядке в журналах HTTPS Inspection. Только администраторы с разрешениями HTTPS Inspection могут видеть все поля в журнале.
62. "SecureSphere WAF Specifications". Архивировано из оригинала 2016-11-16.
63. «Перехват HTTPS ослабляет безопасность TLS». Агентство по кибербезопасности и безопасности инфраструктуры .
64. Гарсия Пелаес, Педро. "WO2005060202 - МЕТОД И СИСТЕМА АНАЛИЗА И ФИЛЬТРАЦИИ HTTPS-ТРАФИКА В КОРПОРАТИВНЫХ СЕТЯХ (11-12-2003)". Всемирная организация интеллектуальной собственности (ВОИС) .
65. "OpenDPI.org". Архивировано из оригинала 2015-12-07.
66. ntop (2 февраля 2012 г.). "nDPI - Открытая и расширяемая библиотека глубокой проверки пакетов LGPLv3". ntop .org . Получено 23 марта 2015 г. .
67. Фихтнер, Франко (6 августа 2012 г.). «Прощай, OpenDPI». LastSummer.de . Проверено 23 марта 2015 г.
68. "Глубокий механизм проверки пакетов становится открытым исходным кодом". Ars Technica . 9 сентября 2009 г.
69. «Классификатор пакетов прикладного уровня для Linux». sourceforge.net .
70. «Тёплое прощание с l7-filter».
71. "Репозиторий SourceForge.net - [hippie] Индекс". sourceforge.net .
72. "HiPPIE - Бесплатная загрузка". linux112.com . Архивировано из оригинала 2012-04-07 . Получено 2011-12-28 .
73. hjelmvik (23 апреля 2013 г.). "Идентификация статистического протокола SPID". SourceForge .
74. "Tstat - инструмент статистики и анализа TCP". tstat.tlc.polito.it .
75. "WAND Network Research Group: libprotoident". wand.net.nz . Архивировано из оригинала 2021-02-24 . Получено 2014-02-06 .
76. Бизнес по производству шпионского оборудования будет продан - Amesys продаст бизнес, поставлявший технологии слежки, использовавшиеся Каддафи , The Wall Street Journal, немецкое издание, 9 марта 2012 г.
77. Томаш Буйлов; Валентин Карела-Эспаньол; Пере Барлет-Рос (2015). «Независимое сравнение популярных инструментов DPI для классификации трафика». Компьютерные сети . 76 : 75–89. CiteSeerX 10.1.1.697.8589 . doi :10.1016/j.comnet.2014.11.001. S2CID  7464085. Получено 10 ноября 2014 г. 
78. "Прозрачность и контроль приложений Cisco (AVC)". Cisco .

Внешние ссылки

• Что такое «Глубокая инспекция»? Маркус Дж. Ранум . Получено 10 декабря 2018 г.
• Сборник эссе от экспертов отрасли
• Что такое глубокая проверка пакетов и почему возникают споры
• Белая книга «Глубокая проверка пакетов – технологии, приложения и сетевая нейтральность»
• Киберпреступления в Египте поддерживаются американской компанией - египетское правительство использовало DPI в недавних интернет-преступлениях
• Deep Packet Inspection оставляет свой след в развитии Интернета
• Глубокая проверка пакетов с использованием фильтра коэффициентов