Predstavljamo vam intervju s osobom koja nije po glasinama upoznata s uređajem i specifičnostima rada. U današnjem razgovoru s njim razgovarali smo o pitanjima koja su u posljednje vrijeme aktualna za ruski govorni segment interneta: o ulozi države i njezinoj mrežnoj cenzuri, a dotaknuli smo se i primjera tajnog upravljanja internetom i društvom na primjeru Kine.
I sam junak intervjua želio je ostati anoniman. On je bivši ruski IT stručnjak koji već 6 godina živi u kontinentalnoj Kini, radeći za lokalnu telekomunikacijsku tvrtku kao viši administrativni inženjer. Ovo je ozbiljan razgovor o umrežavanju... protiv samog weba, te budućnosti globalnog weba i otvorenosti našeg društva.
Ne radi se čak ni o inicijativama ruske države – poput gljiva, počele su se pojavljivati privatne tvrtke koje nude vlastita rješenja za cenzuru mreže, iste prometne filtere prema listama Roskomnadzora i Ministarstva pravosuđa, na primjer, bunar -poznati ugljični reduktor. Stoga vrijedi sa svom ozbiljnošću i pažnjom pogledati ovo kinesko iskustvo, kako bismo unaprijed shvatili svu dubinu rupe u koju nas tako marljivo pokušavaju gurnuti.
- Recite nam o Velikom kineskom vatrozidu, koji sami Kinezi zovu "Zlatni štit", što je to tehnički? Koja je njegova glavna svrha?
Trenutno se radi o tri komponente, tri zmaja, na kojima se temelji - tehnologijama Deep Packet Inspection (DPI), Connection probe i Support vector machines (SVM). Zajedno predstavljaju vrlo napredan filtar koji blokira pristup resursima koje je Komunistička partija zabranila s vanjskog Interneta.
Istodobno, službeni ideolozi izjavljuju da bi on navodno trebao zaštititi kinesku psihu od pogubnog utjecaja Zapada, po drugima, to je otvorena državna cenzura međunarodnog dijela interneta.
- Pogledajmo pobliže svaku od navedenih komponenti. Što je, dakle, duboka inspekcija paketa?
Ukratko, radi se o tehnologiji niske razine inspekcije i filtriranja mrežnih paketa na temelju njihovog sadržaja. Ovdje odmah trebate povući crvenu crtu: temeljna razlika od već poznatih firemastera je u tome što DPI analizira ne toliko zaglavlja paketa (što, naravno, također može), već se zakopava u sadržaj tranzitnog prometa na OSI modelu razine od druge i više.
Naglašavam da se sve to radi u realnom vremenu i sa stajališta vanjskog promatrača praktički se ne primjećuju nikakvi zastoji niti manipulacije s prometom.
- U Rusiji se u posljednje vrijeme dosta piše o implementaciji DPI-a, mnogi federalni operateri (osobito mobilni operateri) ga čak navodno već imaju u radnom obliku. Možemo li reći da usvajamo kinesko iskustvo?
Ruski i kineski DPI, osim zajedničkog naziva i principa rada, praktički nemaju ništa zajedničko. Poanta je, prije svega, u razmjeru i ozbiljnosti njihove provedbe. Kao što je vidljivo iz prethodno opisanog načina rada, DPI troši mnogo resursa, jer sve brojne operacije koje obavlja (npr. defragmentiranje paketa, njihovo raspakiranje, prepoznavanje tipova podataka i protokola, skeniranje sadržaja, brojne heuristike i još mnogo toga, mnogo više) mora se dogoditi u stvarnom vremenu. Stoga je glavni kriterij za ozbiljnost DPI-ja dubina analize tranzitnog prometa koju ovaj sustav može priuštiti, kako bi se održala prihvatljiva razina latencije.
Ako povučemo analogiju s antivirusnim tehnologijama, koliko duboko emulator procesora za datoteku koja se skenira može dopustiti da uroni u kod? Čak i ako vam tehničke mogućnosti i resursi omogućuju neograničeno praćenje koda, uranjajući u sve nove grane i postupke, opći zahtjevi za latenciju sustava uvijek imaju specifična ograničenja, tako da je dubina uranjanja uvijek ograničena.
Često se u ovoj situaciji koristi tehnološko znanje ili znanje o optimizaciji, ili možete ići drugačije - samo radikalno povećajte računsku snagu. Dakle, kada govorimo o kineskom DPI-u, morate shvatiti da je to upravo posljednji put - u stvarnosti je to podatkovni centar veličine pravog okružnog grada koji koristi Swarm Intellegence za upravljanje balansiranjem i obradom podataka između svojih nebrojenih dijelova-čvorova .
Da se vratimo na pitanje - ako domaće DPI implementacije koštaju, koliko mogu zamisliti, do 50 milijuna dolara, onda se kineski nacionalni sustav približava milijardu. Ruski DPI tehnički nije u stanju provesti stvarno duboku analizu prolaznih paketa, što znači da će njegove barijere potencijalno zaobići kvalificirani korisnici na mnogo različitih načina. Dakle, ruski DPI je kineska svađa ...
- Prelazimo na drugog kineskog zmaja - što je "sonda za povezivanje"?
Ovo je daljnja evolucija DPI-a - spajanje proxy poslužitelja i mehanizma za filtriranje niske razine. U tom slučaju, kada se pokuša spojiti na bilo koju uslugu izvan nacionalnog mrežnog pristupnika, takav zahtjev se prvo "zamrzava", a naknadno proaktivno povezivanje na ciljnu adresu već u ime DPI-ja. Ovo je, da tako kažemo, proaktivni sustav za testiranje i identifikaciju vrste usluga koje se traže na vanjskom internetu.
Ako, na primjer, koristite uslugu zabranjenu u Kini, tada njen klijentski protokol mora biti ozbiljno zamagljen kako bi mogao prevladati mehanizam pretraživanja DPI potpisa. Kada koristite sondu veze protiv vas, morat ćete prikriti odgovor već sa strane poslužitelja, tj. općenito, nećete moći koristiti standardne javne usluge ako su zabranjene.
Trenutno, sonda za povezivanje omogućuje vam da točno i s malo sredstava odredite vrstu vanjske usluge koju korisnik iz Kine želi koristiti. Ako navedete primjer iz stvarnog života, onda je upravo ta tehnologija uspješno primijenjena na i2p overlay mrežu, nakon čega je blokirana u Kini.
- Usput, što je sa sustavima poput Tor, i2p ili VPN? Koliko su zapravo učinkoviti suočeni s tako agresivnom internetskom cenzurom?
Ne želim nikoga uznemiriti, ali oni su neučinkoviti i uopće nisu tako uporni kako o tome pričaju "popularne glasine" - svi sustavi koji se spominju u Kini odavno su blokirani. Štoviše, Tor ili i2p možete blokirati na desetke različitih načina, od kojih je najjednostavniji blokiranje bootstrap procedure u trenutku inicijalizacije njihovih klijenata. Blokiranje ulaznih čvorova ovih mreža (na primjer, Tor čvorova direktorija) na ovaj način je trivijalan zadatak čak i za prosječnog administratora. Ako govorimo o mogućnostima koje ima kineska vlada, prije svega mislim na DPI visokotehnološku palicu - to je potpuno trivijalan zadatak.
Možete pogledati i2p netDB – nema čvorova s kineskim IP-ovima, ali ako pogledate otvorenu statistiku Tor korisnika, oni bilježe maksimalno 1000 jedinstvenih kineskih IP-ova mjesečno, a to je za takvu zemlju od više milijardi dolara kao što je Kina, koja ima najveći broj korisnika interneta na svijetu.
Inače, u ovom slučaju "proboja" Kineza koristi se obfsproxy, iako njegovo blokiranje, koliko mogu reći, u ovoj fazi razvoja Velikog kineskog vatrozida ne predstavlja tehničke poteškoće, već samo nema smisla zbog malog broja korisnika ove egzotične tehnologije, kao i stalnih propusta u njenom radu.
- Kako stoje stvari s VPN-om i SSH-om?
Situacija s VPN-om je prilično kontroverzna - neki ga davatelji agresivno potiskuju, neki - gotovo ne. China Unicom, jedan od najvećih pružatelja usluga okosnice u kontinentalnoj Kini, nadaleko je poznat po svom blokiranju. Trenutno detektira i blokira više od 5 vrsta VPN-a. Točnije, to su: OpenVPN, PPTP, L2TP, SSTP i Cisco.
Osim toga, kada se održi sljedeći kongres Komunističke partije Kine, internet se filtrira tako da čak i ono što je radilo u mirnim vremenima može prestati raditi ovih dana.
Općenito, koliko je meni poznato, kineska vlada će licencirati korištenje VPN-a, odnosno, nakon odgovarajuće državne registracije, dopustiti će korištenje VPN-a u legalne poslovne svrhe, a to će biti vlastita verzija protokol koji se temelji na OpenVPN-u. Nakon stupanja na snagu ovog zakona, svi VPN protokoli koji se razlikuju od državne verzije bit će potpuno "presječeni" na prekograničnom pristupniku.
Što se tiče SSH usluge, također se pokušava blokirati. Prema brojnim neizravnim znakovima, slična testiranja se provode u javnim mrežama, u takvim slučajevima u zapisnicima možete pronaći puno ispuštenih ili neuspješnih veza s tipičnom pogreškom "Loša identifikacija verzije protokola". Istodobno, kada se pokušate povezati s poslužiteljima izvan Kine, naknadno možete vidjeti nekoliko lažnih pokušaja povezivanja s kineskih IP-ova na njima, koji prethode samoj prekinutoj vezi. Vjerojatno se radi o provjeravanju sonde veze poslužitelja primatelja, o čemu smo već raspravljali gore.
Takve se testne veze često pogrešno smatraju grubom silom, iako se u ovom slučaju radije o pokušaju pasivne identifikacije udaljenog sustava/protokola karakterističnim obrascima odgovora (skeniranje otiska prsta).
Nakon identifikacije takve usluge, njena adresa se upisuje (u pravilu 1-3 mjeseca) u odgovarajuće filtere i stop-liste, kako bi se ubuduće izbjegli rekurzivni zahtjevi za hostom koji je već otkriven i identificiran kako bi se uštedjeti resurse. Takvi se filtri postupno nadopunjuju uslugama zabranjenim u Kini. Dakle, uključujući i zahvaljujući sondi za povezivanje, baza Velikog kineskog vatrozida raste i širi se u potpuno automatskom načinu rada.
- Da bi naš opis bio potpun, pogledajmo posljednjeg zlokobnog zmaja - Strojevi za vektore podrške (SVM).
Želio bih naglasiti da i sondu povezivanja, a još više SVM, treba smatrati proširenjem, još većom intelektualizacijom DPI-a. Stroj potpornih vektora (SVM) je još jedan korak u tom smjeru. To je algoritam strojnog učenja koji se koristi za automatsku klasifikaciju velikih količina heterogenih podataka.
Već smo raspravljali o tome da je DPI stroj za filtriranje koji izdvaja neke podatke u streamu prema statičkim pravilima ili potpisima. Nasuprot tome, SVM omogućuje skeniranje internetskog prometa na temelju statističke analize bez krutog skupa pravila. Na primjer, analizirajte učestalost određenih simbola, duljine paketa, analizirajte sumnjive aktivnosti s određenih adresa, uočite razne neravnoteže i anomalije mreže, otkrivajući tako skrivene obrasce. SVM je inteligentan DPI dodatak koji, nastavljajući našu antivirusnu analogiju, donosi heurističke mogućnosti ("smanjenje" heuristike) u proces filtriranja internetskog prometa.
Da navedemo primjer: u Kini se ne može spomenuti godišnjica prosvjeda na Trgu Tiananmen u Pekingu 4. lipnja 1989., kada su mnogi studenti doslovce smrvljeni tenkovima u jeku velikih nereda. DPI, dinamički skenirajući nacionalni promet, blokira svaki URL koji spominje navedeni datum.
Nakon što su Kinezi počeli označavati ovaj datum kao 35. svibnja (i na mnoge druge genijalne načine), uobičajena analiza potpisa postala je mnogo teža. No, u pomoć je priskočila heuristika SVM-a, koja je u stanju, prepoznajući kontekst, otkriti takve "sumnjive datume" uz minimalnu ljudsku intervenciju.
- Sumirajući, uzimajući u obzir sve rečeno, može li se reći da je planirano uvođenje "sveruskog" DPI-a od strane Rostelecoma svojevrsni zlokobni predznak, crna oznaka za cijeli Runet?
Morate shvatiti da je DPI sam po sebi moćno moderno oruđe, a kako će se koristiti, već je stvar moralnih i profesionalnih načela onih ljudi u čijim će rukama završiti.
Dakle, DPI vam omogućuje da obavite ogromnu količinu korisnog posla za mrežu - mnogi svjetski provajderi ga koriste za kontrolu i balansiranje svog prometa, mobilni operateri ga koriste za prikupljanje detaljnih statistika za svakog pojedinog korisnika, a ova tehnologija također omogućuje prilagodljivo kontrolirati brzinu prijenosa pojedinačnih paketa (QoS) i još mnogo toga. Općenito, DPI pruža ogroman broj jedinstvenih mogućnosti u širokom rasponu, od visokokvalitetnog oblikovanja do stvaranja naprednih špijunskih sustava kao što je PRISM.
- Apstrahirajući od kineskih gradova podatkovnih centara i njihovog ultramodernog tehničkog punjenja, što je kineski internet sa stajališta vanjskog promatrača? Koje su njegove značajke razvoja, koja je njegova specifičnost prilagodbe takvom cenzurnom okruženju?
– Činjenica je da je sam internet – ne samo u Kini – prilično reaktivno okruženje. Metode konvencionalne cenzure, temeljene na tehničkim sredstvima i grubim zabranama, slabo su primjenjive na nju.
Na primjer, ako popularni bloger ostavi svoje kritičko mišljenje o vladi NRK-a na svom blogu prije nego što ga cenzura primijeti i blokira, obično će postojati nekoliko unakrsnih postova izvornog posta. I dalje, ako cenzori počnu loviti sve njih, Streisandov efekt se često spontano aktivira – pokušaj zatvaranja neke informacije, naprotiv, privlači još veću pozornost zajednice na to. Ovaj fenomen posljedica je velike reaktivnosti i samorefleksije mrežnog okruženja.
Stoga, unatoč golemoj količini stvarne cenzure u Kini i blokiranju ponekad cijelih portala razmjera velike novinske agencije, u posljednje vrijeme u zemlji sve više jača alternativni trend korištenja netehničkih metoda utjecaja na javno mnijenje. . Njihova glavna poanta je da ako nije uvijek moguće začepiti usta protivniku u mreži, zašto onda takve rasprave ne voditi u smjeru potrebnom za državu?
- Čitao sam da je nedavno službeno objavljeno da je Kina na internetu napravila odjel vladinih analitičara mišljenja koji ima 2 milijuna zaposlenih. Očekuje se da će ti analitičari patrolirati virtualnim prostorom kao njihov glavni posao. Oni nemaju nikakva prava brisati bilo koju informaciju - njihova je zadaća kontrolirati internetske trendove, proučavati javne osjećaje kineskih građana, a također manipulirati njima prema posebnoj metodi.
- Da, ovo je vrlo nevidljiva mrežna vojska, čije su oružje posebne metode tajnog utjecaja na Mrežu. Da bih jasnije razjasnio ovu strategiju, navest ću pravi slučaj.
Prije otprilike dvije godine kineski internet eksplodirao je prilično čudnom smrću. Mladić koji je uhićen zbog ilegalne sječe u blizini svoje kuće otišao je u kineski zatvor. Tamo je umro nekoliko dana kasnije pod prilično čudnim okolnostima. Vlasti su službeno objasnile uzrok njegove smrti navodnom činjenicom da se "u zatvoru igrao skrivača sa zatvorenicima te se spotaknuo, pao i udario glavom o zid". Kineski internet vrlo je slikovito pokupio ovu priču, navest ću samo jednu brojku: on QQ.com tijekom dana pojavilo se više od 50.000 komentara na ovaj slučaj, sve druge internetske platforme također su doslovno bile preplavljene ogorčenjem zbog apsurda ovog incidenta. Reći da se ovih dana cenzori jednostavno fizički nisu snašli u uklanjanju tragova "narodnog bijesa" znači ništa ne reći.
Smiješnom koincidencijom, hijeroglif "igrati se skrivača" u kineskom jeziku ima i drugo značenje - "bježati od mačke", koje su koristili kineski blogeri. Čak i nakon nekoliko godina na internetu možete proguglati ogroman broj referenci na ovu priču o zatvoreniku koji je umro u kineskom zatvoru, “ koji se zabio o zid pokušavajući pobjeći od mačke". Blogeri su svojom verzijom fatalne mačke pokušali dotjerati apsurdnost službenog objašnjenja do krajnjih granica, što je dovelo do onoga što bi se sada nazvalo "Internet meme". Tada je kineski segment interneta jednostavno kiptio, cenzori nisu mogli utjecati na situaciju, svojim postupcima suzbijanja i brisanja poruka samo su dolivali ulje na vatru, vrtjeli zamašnjak nepovjerenja i oštre kritike vlade NR Kine.
A onda se, na vrhuncu nezadovoljstva, dogodilo nešto: u igru se uključila potpuno drugačija vladina ekipa koja je, umjesto dosadašnjih pokušaja masovnog zatvaranja resursa, neočekivano ponudila natjecanje među najpoznatijim blogerima u Kini. Sami korisnici interneta, putem online glasovanja, zamoljeni su da za njih odaberu 5 najautoritativnijih blogera, koji su naknadno dobili potpuni pristup mjestu događaja. Vlasti su im dale sve podatke, sve činjenice, slobodan pristup svim svjedocima. Ovi blogeri preplavili su mrežu svojim fotografijama i komentarima s mjesta događaja, ali nisu uspjeli dodati ništa novo zaslugama ove čudne smrti.
No, s druge strane, nešto se dogodilo javnom mnijenju – čim su informacije s lica mjesta počele stizati iz neovisnih izvora i u ogromnim dozama, čim su svi podaci postali što je moguće više otvoreni, ljudi su gotovo odmah izgubili interes za ovu stvar , a stupanj ogorčenja brzo je nestao... Tako se nakon ove intervencije pokazalo da se vrlo brzo suzbio tajfun protuvladine epidemije.
Iz očitih razloga nije moguće ispričati mnogo sličnih incidenata u kineskoj mreži, ali važno je nešto zajedničko svim takvim pričama – metode kontrole se razvijaju, postaju sve suptilnije, skrivenije i višestruke. Osim stroge i imperativne cenzure kroz čisto tehničko blokiranje, u slučaju mrežnih epidemija koriste se potpuno različite tehnologije za utjecaj na javno mnijenje.
Stoga se ne treba fokusirati samo na tehnička sredstva, koja se također ubrzano razvijaju u Kini, jer se pred našim očima stvaraju i usavršavaju temeljno nove tehnologije upravljanja, gdje često isprobavaju sve prednosti interneta kao otvorenog okruženja. vlasti s suprotnim predznakom – već za skrivenu kontrolu i ograničenja slobode mišljenja.
- Je li moguće nekako usporediti kineski internet s uobičajenim Runetom u smislu stupnja slobode njihovih građana?
– Na najnižoj razini u Kini cenzure praktički nema – ako pogledate njihove društvene mreže, pune su glasina i optužbi vlasti, gdje se istina i čiste gluposti čvrsto motaju oko zajedničkog klupka emocija. Ovo gotovo nitko ne čita, kao i osobni zid, mislim, 70% nepoznatih članova naše društvene mreže VKontakte, koji tamo slobodno mogu pisati što žele.
Sljedeća razina je sustavna kritika, argumentacija, bistri i aktivni blogeri sa svojom publikom, ovdje se već uočava određena napetost, aktivna je cenzura i uklanjanje provokativnih poruka. Za tromjesečje, prema podacima kijetologa G. Kinga s Harvarda, kineske mrežne cenzure izbrišu i do milijun poruka i komentara na njih. I konačno, treća razina – vrhunski blogeri s ogromnom publikom. Ili su to situacije kada se neka tema izbaci i dobije odjek u javnosti i mreži.
Ovdje su moguće razne mogućnosti aktivnog suprotstavljanja i kažnjavanja: ako se bloger-inicijator može za nešto optužiti, može biti uhićen vađenjem "lošeg zuba iz korijena". Ako je mrežna epidemija prejaka i delokalizirana, onda su u slučaj uključeni "mrežni specijalci" koji pokušavaju "ispuhati paru" raznim genijalnim tehnologijama kako bi kontrolirali društvo putem meke moći (npr. priča opisana ranije s neuspjeli pokušaj bijega zarobljenika od mačke).
Sve tri te istovremeno postojeće razine stvaraju oprečna mišljenja i određenu zbrku, često ostavljajući prvi dojam vanjske osobe na krivom putu. Dakle, ljudi koji su neobavezni i izvan zemlje ("turisti") vide mnogo antivladinih kritika u neimenovanim izvještajima, što stvara lažni osjećaj relativne slobode. S druge strane, prošle godine vlasti su odjednom uhitile 6 poznatih blogera i bacile ih u zatvor, optužujući ih da "šire glasine o nadolazećem vojnom udaru".
U potonjem slučaju ne biste trebali previše ozbiljno tumačiti službenu formulaciju, jer kada je Wikipedia ovdje zatvorena, opravdana je borbom "protiv propagande agresije i nasilja", koju ova besplatna internetska enciklopedija navodno vodi oko svijet.
– Sve je jasno oko tri “kineske razine”. Što je s anonimnošću?
- U Kini nema anonimnosti. U Kini postoje zakoni koji obvezuju blogere da se registriraju sa svojim pravim podacima iz putovnice. To se radi pod izlikom "poboljšanja međusobnog povjerenja u mreži i zaštite interesa korisnika trećih strana".
Postoji i zakon koji vas obvezuje da prilikom sklapanja bilo kakvih ugovora za dobivanje usluga pristupa internetu dokumentirate svoj identitet. Sve stranice koje se fizički nalaze u samoj Kini prolaze obveznu registraciju kod Ministarstva industrije i informacijske tehnologije, u kojem se prilično pomno opisuje o kakvoj se stranici radi i tko je za što odgovoran. Dakle, za bilo koji ishod događaja uvijek postoji određena osoba odgovorna za eventualna kršenja.
Dodajte ovoj stalnoj pozadinskoj kontroli (ne govorim samo o internetu, sjetite se barem nedavne američke zabrane prodaje Huaweijeve opreme za koju se pokazalo da je puna bugova ili peterburške priče o kineskim glačalima koji se neovlašteno spajaju na javne Wi-Fi mreže), gdje se sav vaš promet i aktivnosti na mreži pažljivo prate i bilježe. Ovdje svatko, čak i tehnički najretardiraniji korisnik mreže, savršeno dobro razumije da se njegova aktivnost bilježi.
Na primjer, možete pokušati koristiti VPN ili razgovarati s nekim u inozemstvu pomoću PGP-a, a uz odgovarajuću vještinu i vještinu, to bi moglo i uspjeti. No, pritom je svima očito da će se bilježiti i sama činjenica korištenja takvih tehnologija, što u budućnosti, ako se riješi s drugim otegotnim okolnostima, može dovesti do vašeg progona. Inače, tehnologije heurističkog filtriranja poput SVM-a mogu automatski detektirati korištenje gotovo svake kriptografije od vas, što dodatno skreće pozornost prvo na promet, a zatim i na vašu osobu.
Formulirati ću glavno zapažanje. Nakon 6 godina lokalnog života, stekao sam dojam da Kina svojim sustavom totalne pozadinske kontrole i povremenim oštrim demonstrativnim kaznama pokušava ustrajno razvijati model ponašanja građana, unutar kojeg bi se čovjek svojevoljno i podsvjesno podvrgavao čin autocenzure, stalno svjestan toga, da se svaki njegov korak ili izjava unutar mreže pomno bilježi. Želja za obuzdavanjem, vođena prvenstveno latentnim strahom, na kraju postaje druga priroda.
Tako dolazimo do čudne dihotomije za liberalnijeg Europljana: formalno, možete pisati što mislite, ali većina Kineza radije ne. Tada djeca to uče od svojih očeva, pa se cijele generacije građana koji su trajno odani državi odgajaju bez vlastitog stajališta. To su, inače, loši korijeni njihovog hvaljenog kolektiviteta i patrijarhata...
- Gledajući izvana, kakva je vaša prognoza u vezi s Runetom? Na čelu naše velike zemlje, koja fizički opslužuje glavni klaster interneta ruskog govornog područja, nalazi se stalni predsjednik, pukovnik KGB-a i član Komunističke partije Sovjetskog Saveza od 1975., što čine trendovi u razvoju mreže očekuješ u tom pogledu?
- Naravno, sve će biti teže. No dopustite mi da izrazim svoju skepsu – osobno ne mislim da će to biti baš “kineska verzija”, jer je ovaj pristup, vjerujte, izrazito visokotehnološki. Dopustite mi da vas podsjetim da u Rusiji još uvijek ne znaju filtrirati pojedinačne web stranice koje je sud zabranio, barbarska kupka odjednom hrpu resursa po njihovom zajedničkom IP-u.
Stoga, još jednom ponavljam, nema potrebe plašiti lokalnu mrežu "kineskom verzijom". Najvjerojatnije će se nedostatak stvarnih tehničkih mogućnosti nadoknaditi burnom donošenjem zakona i čisto administrativnom "grubom silom". S Kinom je jedino zajedničko to što će s vremenom takav pritisak stvoriti sindrom autocenzure u kineskom stilu među stanovništvom. Odnosno, način razmišljanja jedne stvari, a govorenja (komentiranja) drugog, s stalnim pogledom na “ma što se dogodilo”, što je, blago rečeno, daleko od normalne ljudske komunikacije i samoizražavanja.
Međutim, u ruskim geografskim širinama, IMHO, to radije neće dovesti do poslušnosti, već do nepredvidivosti stanovništva koje je već zgrabilo "grlo slobode".
- Završimo opis azijskog interneta zadnjim pitanjem koje postavlja rub: koje su najekstremnije stvari za svoju sigurnost koje sada možete učiniti na kineskom internetu?
- Izdvojio bih dvije ozbiljne točke: bilo kakve izjave protiv samih cenzora i cenzure, kao i bilo kakve pozive na kolektivno pučko djelovanje offline.
U prvom slučaju Kina ulaže titanske napore da sama činjenica cenzure, kontrole i nadzora većina običnih građana zemlje ni na koji način ne osjeti, odnosno da se o ovoj pojavi ne raspravlja niti bilježi u na bilo koji način. Svaki vaš pokušaj da otvoreno razgovarate o ovom konkretnom pitanju, ukažete na činjenice kontrole, najvjerojatnije će imati vrlo ozbiljne posljedice (u izravnom razmjeru sa stupnjem uvjerljivosti i ozbiljnosti iznesenih činjenica). Paradoks je da je danas sigurnije kritizirati vodstvo same Komunističke partije nego njezine metode kontrole Mreže ili društva.
Što se drugog tiče – ako želite okupljati ljude u bilo koju svrhu – to će biti oštro suzbijeno. Podsjetim još jednom na glavni dio strategije: najčešće su prihvatljive osobne kritičke izjave ili fragmentirana kritika građana, ali pokušaji kolektivnih rasprava, samoorganiziranja ili udruživanja temeljenih na zajedničkim stajalištima, te, štoviše, izlazak iz mreže. s njima su kategorički neprihvatljivi. Iz tog razloga, čak su i grupe biciklističkih entuzijasta blokirane na mreži ako se pokušaju skupiti u velikim količinama izvan mreže. Kineske se vlasti užasavaju svake konsolidacije građana, međutim, tu će funkciju, po mom mišljenju, pružiti "odrasliji" internet budućnosti.
U sklopu nedavnih PHDays-a održan je niz izvještaja vezanih za analizu učinkovitosti postojećih pravnih lijekova:
Zaobići DPI, Olli-Pekka Niemi (Opi)
Teorija laži: Zaobilaženje modernih WAF-ova, Vladimir Voroncov
Desetak načina za prevladavanje DLP sustava, Alexander Kuznetsov, Alexander Tovstolip
Zašto su me ovi izvještaji zanimali? Budući da se u sklopu svog posla bavim projektiranjem i implementacijom rješenja, informacijskih sigurnosnih sustava i čekao sam informacije koje bi mi pomogle da uzmem u obzir dodatne čimbenike u dizajnu, pri postavljanju obratiti pažnju na određene funkcionira i kao rezultat dobiva stvarno učinkovit, a ne "papirnati" sigurnosni sustav.
U svom izvješću Ollie-Pekka ispričao o uslužnom programu pentest Izbjegavajući, neke tehnike izbjegavanja. Sam uslužni program Evader je sjajna stvar, ali izvješće je imalo nekoliko nedostataka:
· Prvo, nesklad između sadržaja i naslova. DO DPI ništa za raditi. Opseg Evadera i opisana rješenja uglavnom su mrežne obrane temeljene na potpisu (NGFW, IPS)
· Drugo, izvještaj nije opravdao razinu težine - 200. Bilo bi dovoljno 100. Budući da se radilo o kratkom prepričavanju definicija raznih tehnika zaobilaženja i demonstraciji sučelja Evader
· Treće, stara tema. Već sam čuo sličan izvještaj u Stonesoftu prije 2 godine. Od tada nije dodana nijedna nova riječ
Sada, prije nego što se postavi pitanje: budući da izvješće nije spominjalo točno koji alati imaju koje nedostatke, morat ćemo samostalno implementirati Evader test bench, o čemu sam već pisao ranije. Vozite ga koristeći mongbat sa svim mogućim kombinacijama izbjegavanja, identificirajte one koje naša mrežna zaštita ne detektira. Dodatno, konfigurirajte obranu tako da se napadi mogu otkriti čak i tehnikama zaobilaženja (siguran sam da se to u 90% slučajeva može učiniti). A za preostalih 10% napada koji se ne mogu detektirati, donesite odluku o potrebi za drugim "kompenzacijskim" mjerama.
Na primjer, ako imamo web aplikaciju, a FW i IPS ne mogu otkriti napade, onda nam je potreban WAF. Ili, kao što Stonesoft predlaže, upotrijebite privremenu mjeru Stonesoft Evasion Prevention System (EPS) koja se može ugurati u bilo koju radnu infrastrukturu.
Zaobilazni izvještajWAF bio vrlo dobar u smislu prezentacijske vještine govornika i zanimljivosti - slušao je lako i prirodno. ALI korisnih informacija koje su mi bile potrebne i o kojima sam gore napisao nije bilo:
· Sam govornik kaže da za niz nedostataka WAF-a (DoS, Protocol-Level Evasion, zaštićeno imenom hosta, HTTP Protocol Pollution) kaže da su povezani s lošim sigurnosnim postavkama, onda čini logičnu grešku i kaže da WAF sami su loši.
Tehnike zaobilaženja navedene su u načinu prepričavanja, bez demonstracija, detalja itd.
· Usput, govornik više puta kaže "u korporativnim WAF-ovima sve je toliko loše da ih neću razmatrati u ovom odjeljku, razmatrat ću samo alate za zaštitu otvorenog koda." Iz ovoga zaključujem da je zvučnik toliko loš s primanjem "korporativnih" WAF-ova na testiranje i s iskustvom postavljanja istih da ne želi dirati ovu bolnu temu.
· Govornik se poziva na nedavnu usporedbu usluga u oblaku WAF-a, koja donosi zaključke o njihovoj slaboj izvedbi. Ovdje mogu samo reći da su usluge u oblaku trenutno jako slabe (slabije od namjenskih korporativnih WAF-ova). To je zbog WAF postavke za ovog davatelja usluga, a ne zbog neke vrste slabosti rješenja poput WAF-a u principu.
· Neke od ranjivosti koje navodi autor su ranjivosti krajnjih usluga i aplikacija i nisu povezane s WAF-om (koji ih savršeno otkriva). Zašto ih je autor doveo u ovu temu? Vjerojatno je odlučio izložiti sve što zna u sigurnost weba.
Na samom kraju, govornik kaže da razvija vlastito temeljno novo sredstvo zaštite web aplikacija (tu su se otkrili pravi razlozi kritiziranja WAF-a)
Zapravo, WAF ima puno pravila za normalizaciju i kontrolu protokola, samo ih trebate ispravno konfigurirati. Sasvim je moguće da autor izvješća nije proveo dovoljno vremena proučavajući moguće opcije za postavljanje "korporativnih" WAF-ova.
Sami principi i tehnologije modernih korporativnih WAF-ova vrlo se razlikuju od onoga o čemu je govornik govorio, ovo više nije skup uočljivih potpisa. Već imaju:
Sustav autoritativne kontrole pristupa, u kojem izričito postavljamo što korisnik može učiniti u web aplikaciji (ne brkati se s blokiranjem zahtjeva potpisima napada)
Dinamičko profiliranje, u kojem sustav automatski postavlja profile zahtjeva normalnih korisnika i detektira anomalna odstupanja
· Zaštita od automatiziranih napada (Automated Attack), koja otkriva vanjski inventar, grubu silu, faziranje itd.
Korelacija sa sigurnosnim sustavima baze podataka, unutar kojih WAF prima informacije o tome kakav je zahtjev i odgovor zapravo prošao s poslužitelja web aplikacija na poslužitelj baze podataka
Ovi mehanizmi nisu spomenuti i zaključujem da su govorniku bili nepoznati.
PrevladavanjeDLP... Prema zvučnicima, glavni problemi su zbog zadanih postavki, grešaka u konfiguraciji, koje sustav ne podržava. No bilo je i očitih nedostataka samih DLP rješenja (nažalost, bez navođenja koja je verzija kojeg proizvoda testirana):
Onemogućavanje usluge s administratorskim pravima (preimenovanjem servisne datoteke)
Kopiranje zaštićenih dokumenata u lokalno povezan kriptokontejner
Pobitno kopiranje dokumenta do kraja slike
Kada sustav prvo dopusti kopiranje, a zatim zaključa i izbriše datoteku s medija, možete pokušati vratiti izbrisanu datoteku
Brisanje dnevnika s DLP događajima s administratorskim pravima
Svi gore navedeni nedostaci mogu se koristiti s natezanjem. Dakle, u procesu otklanjanja takvih nedostataka od strane dobavljača, mogu se poduzeti alternativne mjere - ispravno konfigurirati korisnička prava u OS-u i datotečnom sustavu, kontrolirati popis instaliranog softvera treće strane i stalnu aktivnost DLP usluga.
4. Zajednička misao sva tri zvučnika je potreba za pravilnom konfiguracijom alata za informacijsku sigurnost, stalni nadzor i optimizacija postavki. Princip “postavi i zaboravi” u svijetu stvarne informacijske sigurnosti ne funkcionira.
5. Iz svog iskustva mogu dodati da u projektima uvijek nastojim razgovarati s kupcima o potrebnoj količini posla na dizajnu i konfiguraciji sigurnosne opreme. Ovisno o rješenju, trošak rada može čak i premašiti cijenu samog rješenja, pa kupci ne biraju uvijek opciju s detaljnom konfiguracijom i finim podešavanjem na licu mjesta.
Često se naručuju proračunske opcije sa standardnim postavkama. I nisam siguran jesu li administratori sami dovoljno obučeni da konfiguriraju proizvod, konfiguriraju i održavaju sve potrebne značajke. Ako su postavke ostavljene prema zadanim postavkama, tada će riječi svih zvučnika biti poštene - napadač može brzo pokupiti mjere za zaobilaženje sigurnosnih mjera.
Ispada ovako, ako želite uštedjeti novac na postavljanju i održavanju sustava, budite spremni redovito plaćati pentest (ili analizu performansi).
6. Još jedan zaključak - Da bi haker shvatio kako zaobići naš zaštitni sustav, mora postaviti i testirati točan analog. Ako koristimo skupo korporativno rješenje, onda ova opcija nije dostupna običnom hakeru.
Morat će provesti testove na našem proizvodnom sustavu. I ovdje je vrlo važno koristiti praćenje sustava zaštite i analizu događaja informacijske sigurnosti. Ako je tvrtka uspostavila te procese, tada ćemo moći identificirati izvor napada i uslugu koja se istražuje prije nego što napadač otkrije dobru metodu zaobilaženja sustava zaštite.
Sustav za dubinsku inspekciju paketa, ili DPI, analizira pakete koji prolaze kroz njega i prosljeđuje ih, označava, blokira ili ograničava, dajući gotovo potpunu kontrolu nad prometom. Za identifikaciju paketa različiti uređaji koriste različite parametre: slijed, veličinu, sadržaj itd., što u konačnici omogućuje preraspodjelu prometa između pretplatnika prema prioritetu, pa čak i prikupljanje detaljne statistike povezivanja za svakog pojedinog korisnika.DPI vam također omogućuje optimizaciju performansi mreže, sprječavajući zagušenje mreže i štiteći, na primjer, od DDoS napada. Osim toga, moguće je optimizirati protok podataka unutar mreže dodjeljivanjem prioritetnog prometa na određeni dan/doba dana ili za određene kategorije korisnika. Na primjer, noću je dopušteno da promet s jednog resursa uzme više propusnosti nego danju. Tijekom dana prednost ima drugi web promet.
Kratka recenzija
Na tržištu DPI usluga zastupljene su i strane i ruske tvrtke. Strani dobavljači imaju veliko iskustvo: gotovo sve tvrtke - Allot communications, Huawei Technologies, Procera Networks, Sandvine Incorporated - bave se DPI rješenjima više od 15 godina. Iskustvo domaćih proizvođača - NAPA Labs, Peter Service, VAS Experts, Proteus - skromnije je, ali privlače kupce zbog cijene: niža cijena rješenja u rubljama izvrsna je prednost.Strani sustavi koriste vlastita hardverska rješenja, što gotovi uređaj čini pouzdanijim, ali značajno utječe na cijenu prema njegovom povećanju. Ruski kompleksi rade na standardnim poslužiteljima - to omogućuje povećanje kapaciteta rješenja. Osim toga, ovaj pristup osigurava kompatibilnost softvera s većinom hardverskih platformi. Potencijalna muha: ovim pristupom zapadnjačka rješenja mogu biti stabilnija od domaćih (optimizacija sustava za određeni hardver uvijek je činila računala produktivnijima i stabilnijima).
Važno: softver svih ruskih sustava "izoštren" je prema ruskom zakonodavstvu. Kommersant je 9. rujna 2016. objavio informaciju o nacrtu mape puta za zamjenu uvoza telekomunikacijske opreme u Rusiji za 2016.-2020. (više o tome pročitajte na našem blogu). Prema ovom dokumentu, neki strani dobavljači bit će prisiljeni napustiti rusko tržište.
Rješenja na tržištu
Tržišna konkurencija je dovoljno jaka da dobavljači nude linije proizvoda za različite segmente (korporativni korisnici, ISP-ovi i telekomunikacijski operateri) i fleksibilne postavke izvedbe.Na primjer, linija Procera PacketLogic uključuje 6 uređaja koji se razlikuju po propusnosti (od 1 Gbps do 600 Gbps), maksimalnom broju veza (od 400 tisuća do 240 milijuna), veličini hardverske platforme (od 1U do 14U) i itd. Mlađa serija PL1000 platformi je prikladna za izvješćivanje, statistiku i trend servere, dok je serija PL20000 klase operatera i već je sposobna identificirati mrežni promet koristeći DRDL u stvarnom vremenu, kao i raditi s asimetričnim prometom.
Vrijedi istaknuti odluku tvrtke Allot Communications. Uređaji serije Allot NetEnforcer su hardverski sustavi za analizu mrežnog prometa i upravljanje koji optimiziraju uslugu pružanja širokopojasnog pristupa internetu korporativnim korisnicima i ISP-ovima. Rješenje se također nosi s identifikacijom i odvajanjem vrste prometa (p2p, video, skype, itd.).
Još jedan kompleks tvrtke - Allot Service Gateway - stvoren je za mobilne operatere. Gateway vam omogućuje da identificirate promet brzinama do 160 Gbps, analizirate ga i vizualizirate kako biste optimizirali propusnost i poboljšali kvalitetu usluge.
Što se tiče ruskih proizvođača, oni također pokušavaju držati korak. U VAS Experts smo također specijalizirani za kreiranje i implementaciju usluga u području kontrole i analize prometa.
Na primjer, naš portfelj uključuje SKAT sustav koji ima 6 hardverskih platformi: od SKAT-6 (6 Gb/s, do 400 tisuća pretplatnika, 1U) do SKAT-160 (160 Gb/s, do 16 milijuna pretplatnika, 3U). SKAT razlikuje preko 6000 protokola, može raditi u 3 načina (prekid, asimetrija odlaznog prometa, prometno ogledalo), upravlja pretplatnicima s dinamičkim IP-om i podržava nekoliko vrsta Netflowa.
Još jedna ruska tvrtka, Napa Labs, proizvodi hardverski i softverski kompleks DPI Equila klase operatera u dvije verzije s različitim funkcionalnostima, računajući pritom na interes internetskih davatelja i korporativnih klijenata:
Ostali dobavljači ciljaju samo na određeni segment tržišta. Na primjer, STC PROTEI isporučuje PROTEI DPI softverski i hardverski kompleks za telekom operatere. Rješenja tvrtke razlikuju se po performansama i rješavaju probleme analize i upravljanja prometom, pružanja usluga s dodanom vrijednošću (VAS) i ograničavanja pristupa određenim resursima.
Huawei nudi sustave samo za ISP-ove. Njegovo rješenje je sustav za analizu prometa SIG9800-X, pristupnik za uslugu klase operatera izgrađen na platformi za usmjeravanje. Omogućuje vam izvođenje svih DPI funkcija: analizu i upravljanje prometom, vizualizaciju izvješća o korištenju propusnosti od strane aplikacija, QoS i zaštitu od mrežnih napada.
Pojedinačne komponente
Neka rješenja pružaju dodatnu funkcionalnost uz naknadu. Uz široku paletu rješenja, u VAS Experts nudimo izbor od 3 licencne opcije za bilo koju SKAT platformu i dodatnu komponentu - CASH Server.Peter-Service nudi izbor od 4 komponente za svoj TREC DPI sustav. To uključuje:
- Knjižnica softvera TREC.SDK za analizu prometa pomoću DPI tehnologije (duboka inspekcija paketa)
- TREC.Analyser i TREC.MDH softverski proizvodi za praćenje, pohranu i analizu prometa, kao i upravljanje njime
- hardverski i softverski sustavi za obradu prometa s maksimalnom propusnošću od 10 Gb/s, 80 Gb/s i 600 Gb/s
- Profesionalne usluge - DPI konzultantske usluge
Osim pojedinačnih proizvoda s vlastitom funkcionalnošću, unutar iste linije proizvoda možete kupiti i module za mrežno skaliranje. Svi proizvođači DPI sustava podržavaju ovu opciju. Što se tiče skalabilnosti ruskih sustava, to ne uzrokuje probleme zbog korištenja standardnog hardvera - to je nedvojbeno plus.
Virtualne platforme
Glavna prednost virtualnih platformi je mogućnost instalacije na bilo koji kompatibilan hardver. Nemaju svi dobavljači takvu mogućnost, što se objašnjava upotrebom posebnog hardvera od strane stranih sustava. Ali takvu priliku pružaju Procera na PacketLogic / V platformi i Sandvine na PTS Virtual Series. Što se tiče domaćeg tržišta, Peter-Service nudi implementaciju svog rješenja u virtualnom okruženju.Platforme imaju iste funkcije kao i hardverska rješenja, ali su fleksibilnije i troše količinu resursa koja je potrebna za trenutno opterećenje. Također se lako integriraju s virtualnom infrastrukturom operatera, uključujući virtualnu mrežu.
Zaključak
Ukratko: ruska rješenja imaju nižu cijenu (u usporedbi sa stranim) i, sukladno tome, brzu otplatu. Univerzalna hardverska i softverska platforma omogućuje jednostavno dodavanje mrežnih sučelja, povećanje memorije i broja procesorskih jezgri, ali može dovesti do smanjenja stabilnosti.Što se tiče inozemnih dobavljača, većina njih je na tržištu više od 15 godina i ima širok asortiman proizvoda za sve segmente. Oni također objavljuju produktivne i stabilne sustave na vlastitim hardverskim platformama, ali takve mogućnosti sadržavaju nekoliko nedostataka: visoku cijenu sustava i dodatnih modula plus dodatne troškove licence prilikom skaliranja.
Dodatno čitanje
Duboki pregled paketa(skr. DPI, također kompletan pregled paketa i Ekstrakcija informacija ili IX, rus. Detaljna inspekcija paketa) je tehnologija za prikupljanje statističkih podataka, provjeru i filtriranje mrežnih paketa prema njihovom sadržaju. Za razliku od vatrozida, Deep Packet Inspection analizira ne samo zaglavlja paketa, već i kompletan sadržaj prometa na svim razinama OSI modela, počevši od druge i više. Korištenje duboke inspekcije paketa omogućuje vam otkrivanje i blokiranje virusa, filtriranje informacija koje ne zadovoljavaju navedene kriterije.
Sadržaj |
Uvod / Izjava o problemu informacijske sigurnosti
DPI sustav obavlja duboku inspekciju paketa - analizu na gornjim slojevima OSI modela, a ne samo na standardnim brojevima mrežnih portova. Osim proučavanja paketa prema određenim standardnim predlošcima, pomoću kojih možete jednoznačno odrediti pripadnost paketa određenoj aplikaciji: po formatu zaglavlja, brojevima portova i sl., DPI sustav izvodi i tzv. bihevioralna analiza prometa, koja vam omogućuje prepoznavanje aplikacija koje ne koriste prethodno poznata zaglavlja za razmjenu podataka i strukture podataka poput BitTorrenta.
Glavni problem svih postojećih DPI rješenja je da, kako bi se nedvosmisleno utvrdilo pripada li određeni tok podataka nekoj od mrežnih aplikacija, uređaj koji obavlja analizu prometa mora obraditi oba smjera sesije: dolazni i odlazni promet unutar jednog toka moraju ići. preko istog uređaja. Ako oprema prepoznaje da obrađuje samo jedan smjer unutar sesije, ne može povezati ovaj tok s bilo kojom poznatom kategorijom prometa. Istodobno, prisutnost velike količine asimetričnog prometa uobičajen je scenarij za velike operatere. Različiti proizvođači nude različita rješenja za ovaj problem.
Drugi problem koji postaje sve rašireniji je raširena uporaba alata za enkripciju mrežnog prometa i korištenje TLS/SSL-a kao dijela HTTPS protokola, koji ne dopušta korištenje klasičnih alata za duboku analizu za njih.
DPI sustavi mogu se implementirati i softverski (Tstat, OpenDPI, Hippie, L7-filter, SPID) i hardverski (proizvodi Allot Communications, Procera Networks, Cisco, Sandvine). Posljednjih godina potonja opcija postaje sve popularnija. Izvedba ovih rješenja može se kretati od stotina Mbps do 160 Gbps za jedan hardverski uređaj, koji se također može kombinirati u klastere za povećanje performansi. Trošak može varirati od nekoliko tisuća do milijuna američkih dolara.
DPI sustav se u pravilu instalira na granici mreže operatera, pri čemu sav promet koji izlazi ili ulazi u ovu mrežu prolazi kroz DPI, što omogućuje njegovo praćenje i kontrolu.
Primjena
Zahvaljujući implementaciji DPI sustava, operater ima moćan alat za rješavanje različitih zadataka za rad i razvoj mreže.
Ciljano oglašavanje
Budući da telekom operateri usmjeravaju mrežni promet svih svojih korisnika, mogu provesti detaljnu analizu ponašanja korisnika na webu, što im omogućuje prikupljanje informacija o interesima korisnika. Ove informacije mogu koristiti tvrtke koje su specijalizirane za ciljano oglašavanje. Ovaj pristup je stekao međunarodno prihvaćanje. U pravilu se prikupljanje podataka provodi bez znanja i pristanka korisnika.
QoS implementacija
DPI sustav može se koristiti za narušavanje neutralnosti mreže - implementacija QoS-a. Dakle, koristeći DPI, operater podataka može kontrolirati korištenje kanala na kojima su DPI sustavi instalirani na OSI razini 7. Klasično rješenje problema implementacije QoS-a temelji se na izgradnji redova čekanja, na temelju označavanja prometa servisnim bitovima u IP, 802.1q i MPLS zaglavljima, uz dodjelu prioritetnog prometa (npr. VPN ili IPTV). Za ovaj promet je zajamčena određena propusnost u bilo kojem trenutku. Istodobno, promet koji se opslužuje po principu "Best Effort", koji uključuje, između ostalog, promet kućnih pretplatnika, ostaje nekontroliran, što omogućuje da niz protokola, primjerice BitTorrent, jednostruko ručno koristiti cijelu slobodnu propusnost.
Korištenje DPI pruža operateru mogućnost distribucije kanala između različitih aplikacija i uvođenje fleksibilnih pravila kontrole prometa: na primjer, dopustiti BitTorrent prometu da koristi više propusnosti noću nego danju. Još jedna prilika koju operater često koristi: blokiranje ili značajno ograničenje propusnosti određene vrste prometa, na primjer, VoIP telefonija od strane mobilnih operatera, što smanjuje financijske gubitke korisnika koji ne koriste komunikacijske usluge.
Upravljanje pretplatom
Drugi aspekt implementacije QoS-a temeljene na DPI-u je pristupačnost temeljena na pretplati. Pravila na temelju kojih se vrši blokada mogu se odrediti kroz dvije glavne osnove: po usluzi ili po pretplatniku. U prvom slučaju propisano je da je određenoj aplikaciji dopušteno korištenje određene propusnosti. U drugom, aplikacija je vezana za pojas za svakog pretplatnika ili grupu pretplatnika neovisno o ostalima, što se postiže DPI integracijom s postojećim OSS/BSS sustavima operatera.
Tako se sustav može konfigurirati tako da će svaki korisnik moći koristiti samo one usluge i s onih uređaja koji su prethodno dogovoreni. To telekom operaterima omogućuje stvaranje nevjerojatno fleksibilnih tarifnih planova.
Ako je riječ o prometu mobilnih operatera, DPI vam omogućuje kontrolu opterećenja svake bazne stanice zasebno, pravedno raspoređujući njezine resurse na način da svi korisnici budu zadovoljni kvalitetom usluge. Taj se zadatak može riješiti snagama mobilne jezgre, koja nije uvijek proračunska.
Korištenje od strane vladinih agencija
Koristeći DPI, obavještajne agencije mogu pratiti mrežnu aktivnost određenog korisnika. Osim praćenja, na ovu aktivnost možete aktivno utjecati ograničavanjem pristupa korištenju VPN-a, HTTPS-a i drugih sredstava koja onemogućuju analizu mrežnog sadržaja. Osim toga, rješenja temeljena na DPI-ju se koriste za blokiranje pristupa zabranjenim web resursima u SAD-u, Kini, Iranu, Rusiji. Dakle, u Kini je razvijen DPI standard (Y.2770), kasnije odobren od strane Međunarodne telekomunikacijske unije (ITU).
DPI je sastavni dio sustava kao što su SORM-2 i Echelon.
DPI za šifrirani promet
HTTPS i drugi protokoli za šifriranje postali su sve prisutniji posljednjih godina. Enkripcija štiti povjerljive korisničke podatke bilo gdje na mreži, uključujući posredna mjesta. Nažalost, HTTPS je dugogodišnji problem za DPI uređaje. Budući da je teret paketa šifriran, posredni mrežni čvorovi više ne mogu analizirati teret i obavljati svoje zadatke. Treba napomenuti da korištenje protokola za enkripciju na razini aplikacije ne sprječava DPI sustav da analizira promet na nižim razinama, ali značajno smanjuje njegovu učinkovitost. Na primjer, HTTPS neće spriječiti DPI sustav da ispita TCP zaglavlje paketa kako bi odredio odredišni port i pokušao ga uskladiti s određenom aplikacijom, ali neće dopustiti analizu opterećenja sloja aplikacije: DPI sustav će moći odrediti vrijeme, volumen i odredište paketa, ali ne i njegov sadržaj.
Na temelju navedenog može se zaključiti da enkripcija prometa ne ometa implementaciju QoS-a i upravljanja pretplatom na temelju DPI-a.
Korištenje HTTPS-a pomoći će zaštiti podataka od DPI-a samo u prijenosu. Ako je DPI sustav instaliran na strani poslužitelja, s kojim klijent komunicira, tada će se podaci obraditi u čistom tekstu. Na primjer, prilikom interakcije s Googleovim poslužiteljima, unatoč njihovoj upotrebi HTTPS-a, DPI sustavi prikupljaju informacije za pružanje kontekstualnog oglašavanja.
Kako bi se riješio problem analize šifriranog prometa, neki DPI sustavi koji se trenutno razvijaju podržavaju nesiguran mehanizam za uspostavljanje HTTPS veze: oni, zapravo, provode MITM napad na SSL protokol i dešifriraju promet na međučvoru. Ovaj pristup krši SSL-ov princip end-to-end enkripcije. Također izaziva frustraciju među korisnicima.
Stoga smo suočeni s nedoličnim izborom samo jednog od potrebnih svojstava: funkcionalnost DPI sustava ili povjerljivost koju osigurava enkripcija. Na prvi pogled može se činiti da su ta svojstva proturječna jedno drugom na temeljnoj razini: DPI sustav ne može obraditi sadržaj paketa kada ne može vidjeti sadržaj. Projekt BlindBox posvećen je rješavanju ove kontradikcije i izgradnji sustava koji zadovoljava oba svojstva.
BlindBox
Opis
BlindBoxov pristup je analizirati izravno šifrirani korisni teret, bez dešifriranja na međučvoru. Izgradnja takvog sustava u praksi je težak zadatak: mreže rade vrlo velikim brzinama, zahtijevajući kriptografske operacije koje traju mikro-, pa čak i nanosekunde. Osim toga, mnogi međučvorovi zahtijevaju podršku za operacije koje zahtijevaju velike resurse, kao što je raščlanjivanje na temelju regularnih izraza.
Kriptografske sheme poput potpuno homomorfne ili funkcionalne enkripcije potencijalni su kandidati, ali su te sheme prilično spore i degradiraju performanse mreže za nekoliko redova veličine.
Kako bi riješio ove probleme, BlindBox je specijaliziran za umrežavanje. BlindBox podržava dvije klase DPI računalstva, svaka sa svojim vlastitim jamstvima privatnosti: privatnost temeljena na podudaranju i privatnost vjerojatnog uzroka.
Model potpunog podudaranja privatnosti osigurava da će posredni domaćin moći otkriti samo one podnizove prometa za koje postoji podudaranje za ključne riječi poznatih napada. Na primjer, ako postoji pravilo za riječ "ATTACK", tada posredni čvor zna na kojem odmaku toka, ako uopće, pojavljuje se riječ "ATTACK", ali ne zna koji su drugi dijelovi prometa. Promet koji ne sadrži ključne riječi ostat će nepročitan od strane srednjeg hosta.
Model privatnosti vjerojatnog uzroka oslanja se na drugačiju logiku: posredni čvor može dešifrirati cijeli tok ako se pronađe prometni podniz koji odgovara ključnoj riječi poznatog napada. Ovaj model je prikladan za zadatke otkrivanja upada koji zahtijevaju analizu pomoću regularnih izraza ili skripti. Ovaj model inspiriran je iz dva razloga: prvi je model "vjerojatnog uzroka" američkog kaznenog prava: razlog za kršenje povjerljivosti je samo postojanje razloga za sumnju. Drugo, većina pravila u Snortovom sustavu za otkrivanje upada koji koriste regularne izraze prvo pokušavaju pronaći ključne riječi povezane s napadom u paketu, a tek onda počinju koristiti pretraživanja regularnih izraza, inače bi otkrivanje bilo presporo.
Oba modela privatnosti BlindBoxa mnogo su moćnija od pristupa temeljenih na MITM-u koji se danas koristi. U oba pristupa, BlindBox štiti podatke korištenjem jakih pseudo-slučajnih enkripcijskih shema koje pružaju sigurnosna jamstva slična dobro istraženim shemama kriptografskog pretraživanja za šifrirane podatke.
Arhitektura sustava
Slika 1 prikazuje arhitekturu sustava. Ima četiri strane - pošiljatelja (O), primatelja (P), posredni čvor (PU) i generator pravila (RG), koji odražava standardnu arhitekturu međučvora za određeni dan. Generator pravila daje pravila napada (također se nazivaju potpisi) koja koristi PU za otkrivanje napada. Svako pravilo pokušava opisati napad i sadrži polja: jednu ili više ključnih riječi u prometu, informacije o pomaku za svaku ključnu riječ, a ponekad i regularne izraze. Ulogu liječnika opće prakse danas obavljaju organizacije poput Emerging Threats, McAfee, Symantec. Pošiljatelj šalje promet primatelju kroz posredni čvor, koji omogućuje pošiljatelju i primatelju razmjenu informacija ako ne otkrije potpise u njihovom prometu.
Slika 1. Arhitektura BlindBoxa. Zasjenjene stavke označavaju algoritme dodane u BlindBox.
Pogledajmo model aplikacije BlindBox. Generator pravila stvara skup pravila koji sadrži popis ključnih riječi koje se koriste u postojećim napadima ili su od interesa za proučavanje. GP ih potpisuje svojim privatnim ključem i šalje PU svom korisniku. Pošiljatelj i primatelj koji vjeruju GPU-u uspostavljaju HTTPS BlindBox konfiguraciju koja uključuje javni ključ GPU-a. Nakon faze inicijalizacije, GPU više nikada nije izravno uključen u protokol. Sada govorimo o interakciji između pošiljatelja, primatelja i PU, kada pošiljatelj i primatelj iniciraju vezu u mreži koju kontrolira PU.
Uspostavljanje veze
Prvo, pošiljatelj i primatelj izvode redovito SSL rukovanje, što im omogućuje da se dogovore oko ključa. Koriste ga za dobivanje tri ključa (na primjer, korištenjem PRNG-a):
Istodobno, UE izvodi svoje vlastito postavljanje veze kako bi mu omogućilo rukovanje prometom pošiljatelja i primatelja. U procesu razmjene s pošiljateljem i primateljem, PU prima svako pravilo od GP-a, deterministički šifrirano na ključu k - to će naknadno omogućiti PU-u da izvrši detekciju. Međutim, ta se razmjena događa na način da PU ne zna vrijednost k, a pošiljatelj i primatelj ne znaju koja su pravila. Ova razmjena naziva se zamagljena pravila šifriranja i detaljno je opisana u članku.
Za razliku od gore opisanog SSL rukovanja, koji je identičan uobičajenom SSL rukovanju, složena pravila šifriranja dodaju novi proces. Budući da u postojećim rješenjima klijent obično ne komunicira izravno s DPI čvorovima (za razliku od drugih vrsta međučvorova, poput eksplicitnih proxyja ili NAT rupa), to čini prisutnost DPI-a potpuno "nevidljivom", ovo je manji nedostatak u usporedbi s prednostima korištenja BlindBoxa.
Slanje prometa
Za slanje poruke, pošiljatelj mora:
(1) Šifrirajte promet pomoću klasičnog SSL-a.
(2) Podijelite promet na oznake (tokene) tako što ćete ga podijeliti na podnizove koji se uzimaju na različitim pomacima i šifrirajte rezultirajuće oznake pomoću DPIEnc sheme šifriranja.
Otkrivanje
Srednji domaćin prima šifrirani SSL promet i šifrirane oznake. Mehanizam za otkrivanje tražit će podudaranje između šifriranih pravila i šifriranih oznaka pomoću algoritma za otkrivanje BlindBoxa. Ako se pronađe podudaranje, izvodi se unaprijed definirana radnja: odbacite paket, zatvorite vezu, obavijestite administratora sustava. Nakon što je otkrivanje završeno, pametni host prosljeđuje SSL promet i šifrirane tokene primatelju.
Prijem prometa
Na strani primatelja događaju se dvije stvari. Prvo, primatelj dešifrira i provjerava autentičnost prometa pomoću običnog SSL-a. Drugo, primatelj provjerava da li je pošiljatelj ispravno šifrirao šifrirane tokene. Zahvaljujući tome, čak i ako jedna strana pokuša varati, druga će to moći otkriti.
DPIEnc shema šifriranja
Pošiljatelj šifrira svaku oznaku (token) t kao:
Gdje je "sol" nasumično odabran broj, a značenje RS-a (zapravo, ReduceSize) je objašnjeno u nastavku.
Dokažimo nužnost DPIEnc sheme šifriranja. Pretpostavimo da je međučvor proslijedio par (r, (r)) za svako pravilo r, ali ne i ključ k. Počnimo gledajući jednostavnu determinističku shemu šifriranja umjesto DPIEnc: neka šifrirani tekst od t bude (t). Kako bi provjerio je li t jednako ključnoj riječi r, PU može provjeriti je li (t)? = (R). Nažalost, rezultat će biti niska sigurnost, budući da će svako pojavljivanje t imati isti šifrirani tekst. Da bismo riješili ovaj problem, moramo unijeti element slučajnosti u enkripciju. Stoga ćemo koristiti “slučajnu funkciju” H s slučajnom soli, a šifrirani tekst će imati sljedeću strukturu: sol, H (sol, (t)). Naravno, H mora biti jednostran i pseudo-slučajan.
Kako bi provjerio konzistentnost, srednji čvor može izračunati H (sol, (r)) na temelju (r) i soli, a zatim izvršiti provjeru jednakosti. Tipična implementacija H je SHA-1, ali SHA-1 nije tako brz kao što su moderni AES procesori implementirani u hardveru i to može smanjiti propusnost. Umjesto toga, BlindBox H implementiran je putem AES-a, ali ga treba koristiti s oprezom jer AES ima različita sigurnosna svojstva. Da bi se postigla tražena svojstva, potrebno je pokrenuti AES na ključu nepoznatom međučvoru dok se ne pronađe potpis napada. Zato se koristi vrijednost (t).
Sada je algoritam u potpunosti implementiran na AES, što osigurava veliku brzinu rada.
Konačno, RS jednostavno smanjuje veličinu šifriranog teksta kako bi smanjio ograničenje propusnosti bez ugrožavanja sigurnosti.
U ovoj implementaciji, RS je 2 na 40. stepen, što daje duljinu šifriranog teksta od 5 bajtova. Kao rezultat toga, šifrirani tekst se više ne dešifrira, što nije problem jer BlindBox uvijek dešifrira promet iz primarnog SSL toka.
Sada, da bi odredio korespondenciju između ključne riječi r i šifriranog teksta oznake t, međučvor izračunava koristeći sol i znanje (r), a zatim ih provjerava za jednakost c.
Budući da, očito, srednji čvor provjerava za svako pravilo r i oznaku t, ukupno vrijeme provedeno na oznaci je linearno s brojem pravila, što je presporo.
Kako bi se eliminiralo ovo kašnjenje, uvodi se algoritam detekcije, koji čini ovisnost utrošenog vremena o broju pravila logaritamskom, kao u klasičnim DPI algoritmima.
Rezultat je značajno poboljšanje izvedbe: na primjer, za skup pravila s 10 000 ključnih riječi, logaritamska pretraživanja su četiri reda veličine brža od linearnih pretraživanja.
Protokol otkrivanja
Stanje međučvora sastoji se od brojača za svako pravilo r i stabla brze pretrage koje se sastoji od za svako pravilo r.
Dobro znamo da je cenzura loša. No, unatoč naporima vlasti da povećaju svoj utjecaj na mrežu, oni su i dalje slabi i često glupi. Već smo vam rekli kako. Danas ćemo vas upoznati s još jednim načinom zaobilaženja blokiranja web mjesta pomoću DPI bypass tehnologije (duboka inspekcija paketa)
Pružatelji imaju DPI ranjivosti. Događaju se jer su DPI pravila napisana za obične korisničke programe, izostavljajući sve moguće slučajeve dopuštene standardima.
To je učinjeno radi jednostavnosti i brzine. Nema smisla hvatati hakere kojih ima 0,01%, jer svejedno te brave zaobilaze vrlo jednostavno, čak i obični korisnici.
Neki DPI ne mogu prepoznati http zahtjev ako je podijeljen u TCP segmente.
Na primjer, upit poput "GET / HTTP / 1.1rnHost: kinozal.tv ……"
šaljemo u 2 dijela: prvi ide "DOBITI", onda "/ HTTP / 1.1rnHost: kinozal.tv ... ..".
Ostali DPI-ovi se spotiču kada je zaglavlje "Host:" napisano u drugom slučaju: na primjer, "host:".
Dodavanje dodatnog prostora nakon što metoda radi tu i tamo: "GET /" => "GET /" ili dodavanje točke na kraju imena hosta: "Host: kinozal.tv."
Kako implementirati bypass b u praksi na linux sustavu
Kako mogu prisiliti sustav da podijeli zahtjev na dijelove? Možete pokrenuti cijelu TCP sesiju
putem transparentnog proxyja, ili možete promijeniti polje veličine tcp prozora na prvom dolaznom TCP paketu pomoću SYN, ACK.
Tada će klijent misliti da je poslužitelj za njega postavio malu veličinu prozora i poslat će prvi segment s podacima ne dužim od navedene duljine. U sljedećim paketima nećemo ništa mijenjati.
Daljnje ponašanje sustava u odabiru veličine poslanih paketa ovisi o algoritmu koji on implementira. Iskustvo pokazuje da linux uvijek šalje prvi paket ne više od duljine navedene u veličini prozora, dok ostali paketi neko vrijeme ne šalju više od max (36, specificirana_veličina).
Nakon određenog broja paketa, aktivira se mehanizam skaliranja prozora i faktor skaliranja počinje uzimati u obzir, veličina paketa ne postaje veća od max (36, specific_ramer<< scale_factor).
Ne baš elegantno ponašanje, ali budući da ne utječemo na veličinu dolaznih paketa, a količina podataka primljenih putem http obično je puno veća od količine poslane, vizualno će se pojaviti samo mala kašnjenja.
Windows se ponaša na sličan način puno predvidljivije. Prvi segment ostavlja navedenu duljinu, a zatim se veličina prozora mijenja ovisno o vrijednosti poslanoj u novim tcp paketima. Odnosno, brzina se gotovo odmah vraća na mogući maksimum.
Nije teško presresti paket sa SYN, ACK koristeći iptables. Međutim, mogućnost uređivanja paketa u iptablesima je ozbiljno ograničena. Ne možete samo promijeniti veličinu prozora sa standardnim modulima.
Za to ćemo koristiti mogućnost NFQUEUE. Ovaj objekt omogućuje
prijenos paketa za obradu u procese koji rade u korisničkom načinu rada.
Proces prihvaćanjem paketa može ga promijeniti, što nam je potrebno.
iptables - t raw - I PREPRUTIRANJE - p tcp - sport 80 - tcp - zastavice SYN, ACK SYN, ACK - j NFQUEUE - red čekanja - broj 200 - red čekanja - zaobići |
Dat će potrebne pakete procesu koji sluša u redu čekanja s brojem 200. Promijenit će veličinu prozora. PRERAUTIRANJE će uhvatiti i pakete adresirane na samog hosta i preusmjerene pakete. Odnosno, rješenje radi isto i na klijentu i na usmjerivaču. Na usmjerivaču s računalom ili usmjerivačem.
U principu, ovo je dovoljno.
Međutim, s takvim utjecajem, doći će do malog kašnjenja na TCP-u. Kako ne biste dirali hostove koje davatelj ne blokira, možete napraviti takav potez.
Napravite popis blokiranih domena ili ga preuzmite s rubblacklist.
Razriješi sve domene na ipv4 adrese. Ubacite ih u ipset pod nazivom "zapret".
Dodaj pravilu:
iptables - t raw - I PREROUTING - p tcp - sport 80 - tcp - flags SYN, ACK SYN, ACK - m set - match - set zapret src - j NFQUEUE - queue - num 200 - queue - bypass |
Na taj način će se utjecati samo na ip adrese vezane za blokirane stranice. Popis se može ažurirati putem crona svakih nekoliko dana.
Ako se ažurira putem rublacklist, to će potrajati dosta vremena. Više od sat vremena. Ali ovaj proces ne zauzima resurse, tako da neće uzrokovati probleme, pogotovo ako sustav stalno radi.
Ako se DPI ne zaobiđe dijeljenjem zahtjeva na segmente, ponekad se pokreće promjena "Host:" do "host:"... U tom slučaju možda nećemo trebati zamjenu. veličina prozora, dakle lanac PREUSMIRANJE ne treba nam. Umjesto toga, visimo na odlaznim paketima u lancu POSTROUTIRANJE :
iptables - t mangle - I POSTROUTING - p tcp - dport 80 - m set - match - set zapret dst - j NFQUEUE - queue - num 200 - queue - bypass |
U ovom slučaju moguće su i dodatne bodove. DPI može uhvatiti samo prvi http zahtjev, zanemarujući sljedeće zahtjeve držati na životu sjednica. Tada možemo smanjiti opterećenje za postotak odbijanjem obrade nepotrebnih paketa.
iptables - t mangle - I POSTROUTING - p tcp - dport 80 - m set - match - set zapret dst - m connbytes - connbytes - dir = original - connbytes - mode = packets - connbytes 1: 5 - j NFQUEUE - queue20 - num - queue - zaobići |
Događa se da pružatelj prati cijelu HTTP sesiju zahtjevima za održavanje. U tom slučaju nije dovoljno ograničiti TCP prozor prilikom uspostavljanja veze. Svaki novi zahtjev mora biti poslan u zasebnim TCP segmentima. Ovaj zadatak se rješava potpunim proxyingom prometa transparentni proxy (TPROXY ili DNAT). TPROXY ne radi s vezama koje potječu iz lokalnog sustava, pa se ovo rješenje odnosi samo na usmjerivač. DNAT radi i s lokalnim vezama, ali postoji opasnost od odlaska u beskonačnu rekurziju, pa se daemon pokreće kao poseban korisnik, a DNAT je za tog korisnika onemogućen preko "-m owner". Potpuni proxy je zahtjevniji za CPU od manipuliranja odlaznim paketima bez rekonstrukcije TCP veze.
iptables - t nat - I PREUSmjeravanje - p tcp - dport 80 - j DNAT - na 127.0.0.1: 1188 iptables - t nat - I OUTPUT - p tcp - dport 80 - m vlasnik! - uid - vlasnik tpws - j DNAT - do 127.0.0.1: 1188 |
Korištenje modifikatora paketa NFQWS
Ovaj program je modifikator paketa i NFQUEUE rukovalac reda čekanja.
Zahtijeva sljedeće parametre:
-Demon; demonizirati program
—Qnum = 200; redni broj
—Veličina = 4; promijeniti veličinu tcp prozora na određenu veličinu
—Hostcase; promijenite velika i mala slova u zaglavlju "Host:".
Korištenje transparentnog proxy TPWS-a
tpws je transparentni proxy.
—Vezi-addr; koju adresu slušati. može biti ipv4 ili ipv6 adresa. ako nije navedeno, sluša sve ipv4 i ipv6 adrese
—Luka =
-Demon; demonizirati program
—Korisnik =
—Split-http-req = metoda | host; način podjele http zahtjeva u segmente: blizu metode (GET, POST) ili blizu zaglavlja Host
—Split-pos =
—Hostcase; zamjena "Host:" => "host:"
—Hostdot; dodavanje točke nakon imena hosta: "Voditelj: kinozal.tv."
—Metodski prostor; dodajte razmak iza metode: "GET /" => "GET /"
Manipulacijski parametri mogu se kombinirati u bilo kojoj kombinaciji.
Postoji iznimka: split-pos zamjenjuje split-http-req.
Zaobilazeći blokiranje web-mjesta određenih davatelja usluga.
mns.ru: potrebno je zamijeniti veličinu prozora s 4
beeline (corbina): registar "Host:" treba zamijeniti tijekom cijele http sesije.
dom.ru: trebate proxy HTTP sesije kroz tpws s promjenom registra "Host:" i odvajanjem TCP segmenata u zaglavlju "Host:".
Ahtung! Domru blokira sve poddomene zaključane domene. Iz registra je nemoguće saznati IP adrese svih mogućih poddomena
blokiranje, pa ako odjednom na nekoj stranici izađe banner za blokiranje, onda idite na firefox konzolu, mrežu.
Učitajte stranicu i pogledajte kamo ide preusmjeravanje. Zatim dodajte domenu u zapret-hosts-user.txt. Na primjer, na kinozal.tv postoje 2 tražene poddomene: s.kinozal.tv i st.kinozal.tv s različitim IP adresama.
sknt.ru: testiran rad s tpws-om s parametrom "—split-http-req = method". možda će nfqueue raditi dok nema načina za provjeru.
tkt: podjela http zahtjeva na segmente pomaže, postavke mns.ru su prikladne
TKT je kupio Rostelecom, a koristi se Rostelecomovo filtriranje.
Budući da DPI ne odbacuje dolaznu sesiju, već samo ubacuje vlastiti paket, koji stigne prije odgovora od stvarnog poslužitelja, zaključavanja se također zaobilaze bez upotrebe "teške artiljerije" po sljedećem pravilu:
iptables - t raw - I PREROUTING - p tcp - sport 80 - m string - hex - string "| 0D0A | Lokacija: http://95.167.13.50"- algo bm - j DROP - od 40 - do 200 |
Rostelecom: sm tkt
razina: sam sloj nije ništa zabranio do posljednjeg. Čini se da uzvodni operater zabranjuje, vjerojatno teliu. Zahtjevi za podjelu http potrebni su za cijelu sesiju.
Načini dobivanja popisa blokiranih IP adresa
1) Dodajte blokirane domene u ipset / zapret-hosts-user.txt i bježi ipset / get_user.sh
Na izlazu ćete dobiti ipset / zapret-ip-user.txt s IP adresama.
2) ipset / get_reestr.sh prima popis domena s rublacklist i zatim ih razrješava na ip adrese u datoteci ipset / zapret-ip.txt... Ovaj popis sadrži gotove IP adrese, no očito se nalaze upravo u onom obliku koji RosKomPozor upisuje u registar. Adrese se mogu mijenjati, šteta je što ih nemaju vremena ažurirati, a davatelji rijetko zabranjuju po IP-u: umjesto toga zabranjuju http zahtjeve s "lošim" zaglavljem "Host:", bez obzira na IP adresu. Stoga će skripta sve sama riješiti, iako za to treba puno vremena.
Dodatni uvjet je količina memorije / tmp da tamo spremite preuzetu datoteku, čija je veličina nekoliko MB i nastavlja rasti. Na usmjerivačima je openwrt / tmp tmpfs, odnosno ramdisk.
U slučaju usmjerivača s 32 MB memorije, to možda neće biti dovoljno i bit će problema. U tom slučaju koristite sljedeću skriptu.
3)ipset / get_anizapret.sh. brzo i bez opterećenja na usmjerivač prima list sa https://github.com/zapret-info.
Sve varijante razmatranih skripti automatski stvaraju i popunjavaju ipset.
Opcije 2 i 3 dodatno pozivaju opciju 1.
Na usmjerivačima se ne preporuča pozivati ove skripte više od jednom u 2 dana, jer ušteda ide ili na internu flash memoriju usmjerivača, ili, u slučaju extroot-a, na flash pogon. U oba slučaja, prečesto snimanje može ubiti flash pogon, ali ako se to dogodi internoj flash memoriji, onda ćete jednostavno ubiti usmjerivač.
Prisilno ažuriranje ipset-a izvrši skriptu ipset / create_ipset.sh
Možete navesti domene u ipset / zapret-hosts-user-ipban.txt. Njihove IP adrese bit će smještene u poseban ipset "ipban". Može se koristiti za prisilno omotavanje svih veza na transparentni proxy "redsocks".
Primjer zaobilaženja blokiranja stranice na debianu 7
Debian 7 izvorno sadrži 3.2 kernel. Ne zna kako napraviti DNAT na lokalnom hostu.
Naravno, ne možete vezati tpws na 127.0.0.1 i zamijeniti u iptables pravilima "DNAT 127.0.0.1" u "PREUSMIRAJ", ali bolje je instalirati noviji kernel. Nalazi se u stabilnom repozitoriju:
apt - dobiti ažuriranje apt - nabavi instaliraj linux - slika - 3.16 |
Instalirajte pakete:
Izrada tpws:
Kreirajte liniju "0 12 * * * / 2 /opt/zapret/ipset/get_antizapret.sh"... To znači ažuriranje popisa u 12:00 svaka 2 dana.
Pokrenite uslugu: servis zapret start
Pokušajte otići negdje: http://ej.ru, http://kinozal.tv, http://grani.ru.
Ako ne radi, zaustavite uslugu zapret, ručno dodajte pravilo u iptables,
pokrenite nfqws u terminalu pod root-om s potrebnim parametrima.
Pokušajte se povezati s blokiranim stranicama, gledajte izlaz programa.
Ako nema odgovora, najvjerojatnije je naveden pogrešan broj reda ili odredišni IP nije u ipsetu.
Ako postoji reakcija, ali blokiranje nije zaobiđeno, tada su odabrani parametri zaobilaženja netočni ili ovaj alat ne radi u vašem slučaju na vašem ISP-u.
Nitko nije rekao da će posvuda funkcionirati.
Pokušajte dump u wireshark ili "Tcpdump -vvv -X host
Primjer zaobilaženja blokiranja stranice na ubuntu 12.14
Postoji gotova konfiguracija za upstart: zapret.conf. Treba ga kopirati na / etc / init i konfigurirajte ga slično kao debian.
Početak servisa: "Počni zapret"
Zaustavite uslugu: "Prestani zapret"
Ubuntu 12, kao i debian 7, ima 3.2 kernel. Pogledajte bilješku u odjeljku "debian 7".
Primjer zaobilaženja blokiranja web mjesta na ubuntu 16, debianu 8
Proces je isti kao i za debian 7, međutim, potrebno je registrirati init skripte u systemd nakon što ih kopirate u /etc/init.d.
install: / usr / lib / lsb / install_initd zapret
ukloniti: / usr / lib / lsb / remove_initd zapret
Primjer zaobilaženja blokiranja web mjesta na drugim linux sustavima.
Postoji nekoliko glavnih sustava za pokretanje usluga: sysvinit, upstart, systemd.
Postavka ovisi o sustavu koji se koristi u vašoj distribuciji.
Tipična strategija je pronaći skriptu ili konfiguraciju za pokretanje drugih servisa i napisati vlastitu po analogiji, čitajući dokumentaciju o sustavu za pokretanje ako je potrebno. Potrebne naredbe mogu se preuzeti iz predloženih skripti.
Konfiguriranje vatrozida za zaobilaženje blokiranja web mjesta.
Ako koristite neku vrstu sustava za upravljanje vatrozidom, on može biti u sukobu s postojećom skriptom za pokretanje. U tom slučaju, pravila za iptables moraju biti priložena vašem vatrozidu odvojeno od tpws ili nfqws skripte za pokretanje.
Ovako je riješen problem u slučaju openwrt-a, budući da ima vlastiti sustav upravljanja vatrozidom - nfqueue iptables - mod - filter iptables - mod - ipopt ipset curl bind - alati
Najveći izazov je sastavljanje C programa.
To se može učiniti unakrsnom kompilacijom na bilo kojem tradicionalnom linux sustavu.
Čitati prevesti / build_howto_openwrt.txt.
Vaš zadatak je dobiti ipk datoteke za tpws i nfqws.
Kopiraj imenik "Zapret" v / opt na ruter.
Instaliraj ipk. Da biste to učinili, prvo kopirajte na usmjerivač ipk u / tmp, Zatim
To znači ažuriranje popisa u 12:00 svaka 2 dana.
Ako imate linux x64, tada umjesto kompajliranja lanca alata, možete koristiti unaprijed kompajlirani SDK od openwrt programera.
https://downloads.openwrt.org/
Pronađite svoju openwrt verziju, pronađite svoju arhitekturu, preuzmite datoteku "OpenWrt-SDK- *".
Zapravo, ovo je isti buildroot, samo što već ima pripremljen alatni lanac za potrebnu verziju openwrt-a, potrebnu ciljnu arhitekturu i linux x64 host sustav.
Prethodno kompilirane binarne datoteke
Kompajliranje za usmjerivače može biti zastrašujući zadatak koji zahtijeva istraživanje i traženje gotovih grešaka u openwrt SDK-u.
Nema nekih binarnih datoteka, nema nekih poveznica, kao rezultat toga, SDK može dati pogreške izvan kutije. Za najčešće arhitekture skupljaju se statičke binarne datoteke. Vidi binarne datoteke.
Statička izgradnja znači da binarik ne ovisi o vrsti libc-a (uclibc ili musl) i prisutnosti tako instaliranog - može se koristiti odmah.
Ako je samo tip CPU prikladan. ARM i MIPS imaju nekoliko verzija. Ako vaša verzija prikazuje pogreške pri pokretanju, morat ćete je sami izraditi za svoj sustav.
Zaobilaženje https blokiranja
DPI trikovi u pravilu ne pomažu zaobići https blokiranje.
Morate preusmjeriti promet putem hosta treće strane. Predlaže se korištenje transparentnog preusmjeravanja putem socks5 koristeći iptables + redsocks, ili iptables + iproute + openvpn. Postavljanje opcije redsocks na openwrt opisano je u https.txt.
Sve izvore ove metode možete pronaći ovdje - https://github.com/bol-van/zapret
Zadnji put ažurirano 18. studenog 2016.
