«Пантеон епохи інтернету»: Легенди та міфи про системах Deep Packet Inspection

Навколо систем глибокого аналізу трафіку сформувався досить міцний ареол міфів, який перешкоджає успішній адаптації технології. У нашому сьогоднішньому матеріалі ми хочемо поговорити про цих сумнівах і намагатися розвіяти деякі з них.


/ Flickr / reynermedia /CC

Міф №1: DPI як листоноша, заглядывающий в конверти
Багато хто стверджує і одночасно побоюються, що системи глибокого аналізу трафіку — це ненадійний листоноша, вивчає вміст кожної доставленої ним посилки. Однак ця аналогія не підходить.

Більш точною аналогією буде листоноша, разносящий вітальні картки або листівки, адже саме на них схожі пакети даних в Мережі — інформація на них доступно всім. Також слід зазначити, що DPI-системи не використовуються для читання повідомлень, які пересилаються, наприклад по електронній пошті, — вони лише аналізують і встановлюють природу переданого контенту — голос, лист, шкідливе програмне забезпечення. На підставі отриманих даних вони приймають рішення про те, що робити з вмістом.

Також є думка, що мережеве пристрій, що досліджує користувальницький контент, що порушує приватність спілкування, як би «прослуховує» дзвінки. Але і це не зовсім так. Слідуючи цій логіці, під визначення «слухача» потраплять і антивіруси, антиспам захист, системи виявлення вторгнень, які важливі для забезпечення безпеки роботи в інтернеті.

Автоматична комп'ютерна система, яка сканує файли в пошуках відомих патернів шкідливого ПЗ або спам — це не порушення приватності. Насправді, ця процедура менш ретельно, ніж огляд багажу в аеропорту. Сканерами керують люди, які вивчають вміст валіз і сумок і точно ідентифікують знаходяться всередині предмети, в той час як DPI-система реагує лише на запрограмовані сценарії. Виходить, що DPI-рішення в аеропорту «бачив» би в багажі тільки ті предмети, які заборонено проносити на борт літака.

Також хотілося б відзначити, що системи DPI, навпаки, допомагають запобігати випадки «підслуховування» на лінії. Мова йде про так званих MITM-атаках. Цей термін позначає мережну атаку, коли зловмисник за допомогою спеціального програмного забезпечення підключається між користувачем і програмою, імітуючи роботу з ним та створюючи враження нормального процесу обміну інформацією. Мета такої атаки може бути сама різна — розкрадання персональних даних користувачів, особистого листування або банківських реквізитів та ін



Зазвичай MITM-атака проходить у два етапи. Спершу здійснюється перехоплення трафіку, що поступає від користувача до потрібного з додатком. Найбільш простим способом перехоплення залишається пасивна атака, коли зловмисник створює відкриті бездротові точки. У момент підключення користувача до мережі, атакуючий отримує доступ до всіх передаваних даних. Що стосується інших способів перехоплення, то тут використовуються такі варіанти, як IP-спуфінга, ARP-спуфінга і DNS-спуфінга, які полягають у підміни IP-адреси, MAC-адреси або зараженні DNS відповідно.

Після перехоплення двосторонній SSL-трафік дешифрується, причому так, що користувач та запитуваний їм ресурс не помічають втручання ззовні. Для цього також існує кілька прийомів: HTTPS-спуфінга, атака SSL Beast, SSL-хайджекинг.

Тому для захисту від MITM-атак розробникам веб-додатків і сайтів варто використовувати захищені протоколи TLS і HTTPS, ускладнюють проведення спуфінга-атак і перехоплення трафіку. Оператори зв'язку ж використовують системи Deep Packet Inspection для виявлення аномалій в мережах передачі даних і запобігання спуфінга.

Міф №2: DPI порушує принципи функціонування IP
Деякі експерти стверджують, що DPI порушує давнішні стандарти і принципи інтернет-дизайну. Однак у світлі основних застосувань DPI-технології, таких як захист від DDoS-атак, робота з рекламою, оптимізація каналів доступу та інших, які, наприклад, забезпечує система СКАТ від VAS Experts, ця точка зору не знаходить відображення в сучасних реаліях.

Інтернет — це складна система, яка постійно розвивається і задовольняє вимогам до доставки повідомлень, захищаючи листування і забезпечуючи безпеку. Тому такі системи, як DPI, повністю узгоджуються зі структурою IP-пакета і новими додатками.

Міф №3: DPI виявляться «не у справ» при поширенні шифрування
Є думка, що DPI-рішення почнуть стимулювати адаптацію технологій шифрування, оскільки все більше користувачів будуть намагатися перешкодити провайдера «читати» їх пошту. Однак зростання популярності шифрування буде тільки корисний. Адже реальна загроза споживачам — це доступ до незашифрованим сайтів. В цьому випадку вони стають легкою «здобиччю» для зловмисників.

Приміром, Netflix — це найбільша компанія-постачальник відеоконтенту в світі. Сервіс має близько 60 мільйонів передплатників, а на початку 2016 року користувачі «насмотрели» 10 мільярдів годин. Компанія генерує більше третини всього вхідного трафіку на території Північної Америки у вечірній час.

Нещодавно Netflix заявили, що сервіс почне шифрувати весь передається трафік, змінивши протокол передачі даних з HTTP захищений протокол HTTPS. Таке рішення повинно забезпечити конфіденційність клієнтів та захистити інтелектуальну власність правовласників контенту.

Зараз основна частка зашифрованого трафіку в інтернеті припадає на Google, Facebook і Twitter. На зображенні нижче вони становлять більшу частину червоного сектора. Після переходу Netflix на HTTPS червоний і зелений сектор поміняються місцями.


поширенням протоколів шифрування трафіку оператори зв'язку, що використовують системи глибокого аналізу, нібито зіткнуться з проблемою неможливості вивчення даних всередині зашифрованого пакета. Однак представники компаній заявляють, що у них ніколи не було мети підглядати за діями користувача — DPI-рішення аналізують лише метадані пакетів, не намагаючись дешифрувати їх. Це рішення дозволяє ідентифікувати протокол і вихідне додаток, щоб грамотно розставляти пріоритети і управляти трафіком.

DPI – це просто інструмент
DPI-технологія досить нейтральна сама по собі. Це просто інструмент, який може бути використаний по-різному. Негативний окрас DPI-системи набули із-за нерозуміння принципів роботи і призначення рішень. Але DPI — це необов'язково порушення чиєюсь приватності або вторгнення в приватне життя, це ще і прискорення роботи мережі, підвищення безпеки і аналіз необхідної статистики.

Додаткове читання: DPI-дайджест — Аналіз трафіку, блокування, платформи і виробники систем Deep Packet Inspection.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.