Portiamo alla tua attenzione un'intervista con una persona che per sentito dire non ha familiarità con il dispositivo e le specifiche del lavoro. Nella conversazione di oggi con lui, abbiamo discusso di questioni che sono state recentemente rilevanti per il segmento di lingua russa di Internet: il ruolo dello stato e la sua censura di rete, e abbiamo anche toccato esempi di governance segreta di Internet e della società sull'esempio della Cina.
Lo stesso eroe dell'intervista ha voluto rimanere anonimo. È un ex professionista IT russo che vive nella Cina continentale da 6 anni, lavorando per una società di telecomunicazioni locale come ingegnere amministrativo senior. Questa è una conversazione seria sul networking... contro il web stesso, e il futuro del web globale e l'apertura della nostra società.
Non si tratta nemmeno delle iniziative dello stato russo - come i funghi, hanno iniziato a comparire aziende private che offrono le proprie soluzioni per censurare la rete, gli stessi filtri di traffico secondo gli elenchi del Roskomnadzor e del Ministero della Giustizia, ad esempio, il pozzo noto riduttore di carbonio. Pertanto, vale la pena guardare a questa esperienza cinese con tutta serietà e attenzione, per rendersi conto in anticipo dell'intera profondità del buco in cui stanno cercando diligentemente di spingerci.
- Parlaci del Grande firewall cinese, che gli stessi cinesi chiamano "Scudo d'oro", che cos'è tecnicamente? Qual è il suo scopo principale?
Al momento, questi sono tre componenti, tre draghi, su cui si basa: tecnologie Deep Packet Inspection (DPI), Connection probe e Support vector machines (SVM). Insieme, rappresentano un filtro molto avanzato che blocca l'accesso a risorse bandite dal Partito Comunista da Internet esterno.
Allo stesso tempo, gli ideologi ufficiali dichiarano che dovrebbe proteggere la psiche dei cinesi dall'influenza perniciosa dell'Occidente, secondo altri, questa è una censura statale aperta della parte internazionale di Internet.
- Diamo un'occhiata più da vicino a ciascuno dei componenti nominati. Quindi cos'è l'ispezione approfondita dei pacchetti?
In breve, è una tecnologia per l'ispezione e il filtraggio di basso livello dei pacchetti di rete in base al loro contenuto. Qui è necessario immediatamente tracciare una linea rossa: la differenza fondamentale rispetto ai già noti vigili del fuoco è che DPI analizza non tanto le intestazioni dei pacchetti (che, ovviamente, possono anche), ma si immerge nei contenuti del traffico di transito al modello OSI livelli dal secondo in poi.
Sottolineo che tutto ciò avviene in tempo reale e dal punto di vista di un osservatore esterno non si notano praticamente ritardi o manipolazioni con il traffico.
- In Russia, ultimamente si è scritto molto sull'implementazione del DPI, molti operatori federali (soprattutto operatori di telefonia mobile) presumibilmente lo hanno già in forma funzionante. Possiamo dire che stiamo adottando l'esperienza cinese?
I DPI russi e cinesi, a parte il nome comune e i principi di funzionamento, non hanno praticamente nulla in comune. Il punto qui sta, prima di tutto, nella portata e nella serietà della loro attuazione. Come è evidente dal modo di lavorare precedentemente descritto, DPI consuma molte risorse, perché tutte le numerose operazioni che esegue (ad esempio deframmentare pacchetti, spacchettarli, riconoscere tipi di dati e protocolli, scansionare contenuti, numerose euristiche e molto, molto di più) deve avvenire in tempo reale. Pertanto, il criterio principale per la gravità del DPI è la profondità di analisi del traffico di transito che questo sistema può permettersi, al fine di mantenere un livello di latenza accettabile.
Se tracciamo un'analogia con le tecnologie antivirus, fino a che punto l'emulatore del processore per il file sottoposto a scansione può consentire di immergersi nel codice? Anche se le capacità tecniche e le risorse consentono di tracciare il codice all'infinito, addentrandosi in tutte le nuove branche e procedure, i requisiti generali per la latenza del sistema hanno sempre limitazioni specifiche, quindi la profondità di immersione è sempre limitata.
Spesso in questa situazione viene utilizzato il know-how tecnologico o di ottimizzazione, oppure si può andare diversamente: basta aumentare radicalmente la potenza di calcolo. Quindi, quando si parla di DPI cinesi, è necessario capire che questo è proprio l'ultimo percorso - in realtà è un data center delle dimensioni di una vera città distrettuale che utilizza Swarm Intellegence per gestire il bilanciamento e l'elaborazione dei dati tra le sue innumerevoli parti-nodi .
Tornando alla domanda: se le implementazioni DPI domestiche costano, per quanto posso immaginare, fino a $ 50 milioni, il sistema nazionale cinese si avvicina a circa un miliardo. Il DPI russo non è tecnicamente in grado di eseguire un'analisi davvero approfondita dei pacchetti in transito, il che significa che le sue barriere verranno potenzialmente aggirate da utenti qualificati in molti modi diversi. Pertanto, il DPI russo è il conflitto cinese ...
- Passando al secondo drago cinese: cos'è una "sonda di connessione"?
Questa è un'ulteriore evoluzione di DPI: la giunzione di un server proxy e un meccanismo di filtraggio di basso livello. In questo caso, quando si tenta di connettersi a qualsiasi servizio esterno al gateway di rete nazionale, tale richiesta viene prima "congelata" e la successiva connessione proattiva all'indirizzo di destinazione già per conto di DPI. Si tratta, per così dire, di un sistema proattivo per testare e identificare il tipo di servizi richiesti su Internet esterno.
Se, ad esempio, utilizzi un servizio vietato in Cina, il suo protocollo client deve essere seriamente offuscato per poter superare il meccanismo di ricerca della firma DPI. Quando usi una sonda di connessione contro di te, dovrai offuscare la risposta già dal lato server, ad es. in generale, non potrai utilizzare i servizi pubblici standard se sono vietati.
Al momento, la sonda di connessione consente di determinare con precisione e con poche risorse il tipo di servizio esterno che un utente dalla Cina vuole utilizzare. Se fornisci un esempio più reale, è stata questa tecnologia che è stata applicata con successo contro la rete overlay i2p, dopo di che è stata bloccata in Cina.
- A proposito, che dire di sistemi come Tor, i2p o VPN? Quanto sono davvero efficaci di fronte a una censura online così aggressiva?
Non voglio turbare nessuno, ma sono inefficaci e per nulla tenaci come fa il "vocabolo popolare" a riguardo - tutti i sistemi citati in Cina sono stati a lungo bloccati. Inoltre, puoi bloccare Tor o i2p in decine di modi diversi, il più semplice dei quali è bloccare la procedura di bootstrap al momento dell'inizializzazione dei loro client. Bloccare i nodi di input di queste reti (ad esempio, i nodi della directory Tor) in questo modo è un compito banale anche per un amministratore medio. Se parliamo delle opportunità che ha il governo cinese, prima di tutto intendo il testimone high-tech DPI: questo è un compito completamente banale.
Puoi guardare i2p netDB: non ci sono nodi con IP cinesi, ma se guardi le statistiche aperte degli utenti Tor, registrano un massimo di 1000 IP cinesi unici al mese, e questo è per un paese multimiliardario come La Cina, che ha il maggior numero di utenti Internet al mondo.
A proposito, in questo caso di "svolta" da parte dei cinesi, viene utilizzato obfsproxy, sebbene il suo blocco, per quanto ne so, in questa fase dello sviluppo del Grande firewall cinese non presenti difficoltà tecniche, semplicemente non ha senso a causa del piccolo numero di utenti di questa tecnologia esotica, nonché dei continui fallimenti nel suo lavoro.
- Come vanno le cose con VPN e SSH?
La situazione con la VPN è piuttosto controversa: alcuni provider la sopprimono in modo aggressivo, altri quasi no. China Unicom, uno dei maggiori fornitori di backbone nella Cina continentale, è ampiamente noto per il suo blocco. Al momento, rileva e blocca più di 5 tipi di VPN. Più specificamente, questi sono: OpenVPN, PPTP, L2TP, SSTP e Cisco.
Inoltre, quando si terrà il prossimo congresso del Partito Comunista Cinese, Internet viene filtrato in modo che anche ciò che ha funzionato in tempi di calma possa smettere di funzionare in questi giorni.
Più in generale, per quanto ne so, il governo cinese concederà in licenza l'uso della VPN, cioè, dopo l'appropriata registrazione statale, consentirà l'uso della VPN per scopi commerciali legali, e questa sarà la sua versione di il protocollo basato su OpenVPN. Dopo l'entrata in vigore di questa legge, tutti i protocolli VPN diversi dalla versione statale saranno totalmente "tagliati" al gateway transfrontaliero.
Per quanto riguarda il servizio SSH, ci sono anche tentativi di bloccarlo. Secondo una serie di segni indiretti, test simili vengono eseguiti nelle reti pubbliche, in questi casi nei log è possibile trovare molte connessioni interrotte o non riuscite con un tipico errore "Identificazione della versione del protocollo errata". Allo stesso tempo, quando si tenta di connettersi a server al di fuori della Cina, è possibile successivamente vedere diversi tentativi di connessione falsi da IP cinesi su di essi, che precedono la stessa connessione interrotta. Presumibilmente, questo è uno screening della sonda di connessione del server ricevente, di cui abbiamo già discusso sopra.
Tali connessioni di test vengono spesso scambiate per forza bruta, sebbene in questo caso si tratti piuttosto di un tentativo di identificare passivamente il sistema/protocollo remoto tramite pattern di risposta caratteristici (scansione delle impronte digitali).
Dopo aver individuato tale servizio, il suo indirizzo viene inserito (di norma, per 1-3 mesi) negli appositi filtri e stop-list, al fine di evitare d'ora in poi richieste ricorsive per un host già scoperto ed identificato al fine di risparmiare risorse. Tali filtri vengono gradualmente riforniti con servizi vietati in Cina. Quindi, anche grazie alla sonda di connessione, la base del Grande firewall cinese sta crescendo e si espande in maniera del tutto automatica.
- Per completare la nostra descrizione, diamo un'occhiata all'ultimo drago sinistro - Support vector machines (SVM).
Ci tengo a sottolineare che sia la sonda di connessione, e ancor più l'SVM, sono da considerarsi come un'estensione, ancor più intellettualizzazione del DPI. Support vector machine (SVM) è un altro passo in questa direzione. È un algoritmo di apprendimento automatico utilizzato per classificare automaticamente grandi quantità di dati eterogenei.
Abbiamo già discusso che DPI è una macchina di filtraggio che estrae alcuni dati in un flusso secondo regole o firme statiche. Al contrario, SVM consente di scansionare il traffico Internet sulla base di analisi statistiche senza un rigido insieme di regole. Ad esempio, analizza la frequenza di determinati simboli, le lunghezze dei pacchetti, analizza le attività sospette da indirizzi specificati, nota vari squilibri e anomalie di rete, rivelando così schemi nascosti. SVM è un componente aggiuntivo DPI intelligente che, proseguendo la nostra analogia con l'antivirus, apporta funzionalità euristiche (euristica "ridotta") al processo di filtraggio del traffico Internet.
Per fare un esempio: in Cina, non si può citare l'anniversario delle proteste di piazza Tiananmen a Pechino il 4 giugno 1989, quando molti studenti furono letteralmente schiacciati dai carri armati a seguito di grandi rivolte. DPI, scansionando dinamicamente il traffico nazionale, blocca qualsiasi URL che menzioni la data specificata.
Dopo che i cinesi hanno iniziato a designare questa data come 35 maggio (e in molti altri modi ingegnosi), la consueta analisi delle firme è diventata molto più difficile. Ma l'euristica SVM è venuta in soccorso, è in grado, riconoscendo il contesto, di rilevare tali "date sospette" con un intervento umano minimo.
- Riassumendo, tenendo conto di tutto ciò che è stato detto, è possibile dire che la prevista introduzione di un DPI "tutto russo" da parte di Rostelecom sia una sorta di presagio inquietante, un segno nero per l'intera Runet?
Devi capire che il DPI stesso è un potente strumento moderno e come verrà utilizzato è già una questione di principi morali e professionali di quelle persone nelle cui mani finirà.
Quindi DPI ti consente di eseguire un'enorme quantità di lavoro utile per la rete: molti provider mondiali lo usano per controllare e bilanciare il loro traffico, gli operatori mobili lo usano per raccogliere statistiche dettagliate per ogni singolo utente e questa tecnologia consente anche di adattare controllare la velocità di trasmissione dei singoli pacchetti (QoS) e molto altro. In generale, DPI offre un numero enorme di funzionalità uniche in un'ampia gamma, dalla modellazione di alta qualità alla creazione di sistemi di spionaggio avanzati come PRISM.
- Astraendo dalle città dei data center cinesi e dal loro riempimento tecnico ultramoderno, qual è l'Internet cinese dal punto di vista di un osservatore esterno? Quali sono le sue caratteristiche di sviluppo, qual è la sua specificità di adattamento a un ambiente così censurante?
- Il fatto è che Internet stessa - non solo in Cina - è un ambiente piuttosto reattivo. I metodi della censura convenzionale, basata su mezzi tecnici e divieti grossolani, sono scarsamente applicabili ad essa.
Ad esempio, se un famoso blogger lascia la sua opinione critica sul governo della RPC sul suo blog prima che la censura lo noti e lo blocchi, di solito ci saranno diversi post incrociati del post originale. E inoltre, se i censori iniziano a dare la caccia a tutti loro, l'effetto Streisand spesso si innesca spontaneamente: un tentativo di chiudere alcune informazioni, al contrario, attira ancora più attenzione della comunità su di esso. Questo fenomeno è una conseguenza della grande reattività e autoriflessione dell'ambiente di rete.
Pertanto, nonostante l'enorme quantità di censura reale in Cina e il blocco di portali a volte interi della scala di una grande agenzia di stampa, ultimamente nel paese sta prendendo piede una tendenza alternativa nell'uso di metodi non tecnici per influenzare l'opinione pubblica . Il loro punto principale è che se non è sempre possibile chiudere la bocca a un avversario in rete, allora perché non condurre tali discussioni nella direzione necessaria per lo stato?
- Ho letto che è stato recentemente annunciato ufficialmente che la Cina ha creato una divisione di analisti d'opinione governativi su Internet, che conta 2 milioni di dipendenti. Questi analisti dovrebbero pattugliare lo spazio virtuale come loro lavoro principale. Non hanno alcun diritto di cancellare alcuna informazione: il loro compito è controllare le tendenze di Internet, studiare i sentimenti pubblici dei cittadini cinesi e anche manipolarli secondo un metodo speciale.
- Sì, questo è l'esercito della rete molto invisibile, la cui arma sono metodi speciali di influenza segreta sulla rete. Per chiarire questa strategia in modo più vivido, darò un caso reale.
Circa due anni fa, l'internet cinese è esploso con una morte piuttosto strana. Un giovane che è stato arrestato per disboscamento illegale vicino a casa sua è andato in una prigione cinese. Lì morì un paio di giorni dopo in circostanze piuttosto strane. Le autorità hanno spiegato ufficialmente la causa della sua morte con il presunto fatto che "in carcere ha giocato a nascondino con i detenuti ed è inciampato, caduto, sbattendo la testa contro il muro". L'Internet cinese ha ripreso in modo molto vivido questa storia, citerò solo una cifra: su QQ.com nel corso della giornata sono apparsi più di 50.000 commenti su questo caso, anche tutte le altre piattaforme Internet sono state letteralmente sopraffatte dall'indignazione per l'assurdità di questo incidente. Dire che i censori semplicemente non hanno affrontato fisicamente la rimozione delle tracce di "rabbia popolare" in questi giorni significa non dire nulla.
Per una divertente coincidenza, il geroglifico "giocare a nascondino" in lingua cinese ha anche un secondo significato - "scappare dal gatto", che è stato usato dai blogger cinesi. Anche dopo diversi anni su Internet, puoi cercare su Google un numero enorme di riferimenti a questa storia di un prigioniero morto in una prigione cinese, " che si è schiantato contro il muro cercando di scappare dal gatto". Con la loro versione del gatto fatale, i blogger hanno cercato di spingere al limite l'assurdità della spiegazione ufficiale, che ha dato origine a quello che ora verrà chiamato il "meme di Internet". Allora il segmento cinese di Internet stava semplicemente ribollendo, i censori non potevano influenzare la situazione, con le loro azioni di soppressione e cancellazione dei messaggi solo aggiungendo benzina al fuoco, facendo girare il volano della sfiducia e aspre critiche al governo della RPC.
E poi, al culmine del malcontento, è successo qualcosa: una squadra di governo completamente diversa si è unita al gioco, che, invece dei precedenti tentativi di chiusura massiccia di risorse, ha offerto inaspettatamente una competizione tra i blogger più famosi in Cina. Agli stessi internauti, attraverso il voto online, è stato chiesto di selezionare per loro i 5 blogger più autorevoli, ai quali è stato poi dato pieno accesso alla scena. Le autorità hanno dato loro tutti i dati, tutti i fatti, libero accesso a tutti i testimoni. Questi blogger hanno inondato la rete con le loro foto e commenti dalla scena, senza però poter aggiungere nulla di nuovo ai meriti di questa strana morte.
Ma d'altra parte, qualcosa è successo all'opinione pubblica: non appena le informazioni dalla scena hanno cominciato a venire da fonti indipendenti e in dosi enormi, non appena tutti i dati sono diventati il più aperti possibile, le persone hanno perso quasi immediatamente interesse per questa questione , e il grado di indignazione svanì rapidamente ... Quindi, dopo questo intervento, si è scoperto che sopprime molto rapidamente il tifone dell'epidemia antigovernativa.
Per ovvie ragioni, non è possibile raccontare molti incidenti simili nella rete cinese, ma qualcosa di comune a tutte queste storie è importante: i metodi di controllo si evolvono, diventano più sottili, nascosti e multi-pass. Oltre alla censura severa e perentoria attraverso il blocco puramente tecnico, in caso di epidemie di rete vengono utilizzate tecnologie completamente diverse per influenzare l'opinione pubblica.
Pertanto, non ci si dovrebbe concentrare solo sui mezzi tecnici, che si stanno rapidamente sviluppando anche in Cina, perché davanti ai nostri occhi si stanno creando e perfezionando fondamentalmente nuove tecnologie di gestione, dove spesso tutti i vantaggi di Internet come ambiente aperto sono provati dai autorità con il segno opposto - già per il controllo nascosto e le restrizioni alla libertà di opinione.
- È possibile in qualche modo confrontare l'Internet della Cina con la solita Runet in termini di grado di libertà dei propri cittadini?
- Al livello più basso in Cina, non c'è praticamente nessuna censura - se guardi i loro social network, sono pieni di voci e accuse delle autorità, dove verità e assurdità sono strettamente avvolte attorno a una comune palla di emozioni. Quasi nessuno legge questo, così come un muro personale, penso, il 70% dei membri sconosciuti del nostro social network VKontakte, che sono liberi di scrivere lì quello che vogliono.
Il livello successivo è la critica sistematica, l'argomentazione, i blogger brillanti e attivi con il loro pubblico, qui si osserva già una certa tensione, c'è una censura attiva e la rimozione di messaggi provocatori. Per il trimestre, secondo i dati del kyetologist G. King di Harvard, le autorità di censura della rete cinese cancellano fino a un milione di messaggi e commenti. E infine, il terzo livello: i migliori blogger con un pubblico enorme. O queste sono situazioni in cui un argomento viene licenziato e riceve ampia risonanza pubblica e di rete.
Qui sono possibili una varietà di opzioni per l'opposizione attiva e la punizione: se il blogger-iniziatore può essere accusato di qualcosa, può essere arrestato tirando fuori "un dente cattivo alla radice". Se l'epidemia di rete è troppo forte e delocalizzata, nel caso sono coinvolte le "forze speciali della rete", che cercano di "sfogarsi" utilizzando varie tecnologie ingegnose per controllare la società attraverso il soft power (ad esempio, la storia descritta in precedenza con un tentativo fallito di sfuggire a un prigioniero da un gatto).
Tutti e tre questi livelli contemporaneamente esistenti creano opinioni contrastanti e una certa confusione, spesso lasciando la prima impressione di una persona esterna sulla strada sbagliata. Pertanto, le persone che sono casuali ed esterne al paese ("turisti") vedono molte critiche anti-governative in resoconti anonimi, il che crea un falso senso di relativa libertà. D'altra parte, l'anno scorso le autorità hanno arrestato contemporaneamente 6 noti blogger e li hanno gettati in carcere, accusandoli di "diffondere voci su un imminente colpo di stato militare".
In quest'ultimo caso, non dovresti cercare di interpretare troppo seriamente la formulazione ufficiale, perché quando Wikipedia è stata chiusa qui, era giustificata dalla lotta "contro la propaganda dell'aggressione e della violenza", che questa enciclopedia online gratuita presumibilmente svolge intorno al mondo.
- Tutto è chiaro sui tre "livelli cinesi". E l'anonimato?
- Non c'è anonimato in Cina. In Cina esistono leggi che obbligano i blogger a registrarsi con i dati del loro passaporto reale. Questo viene fatto con il pretesto di "migliorare la fiducia reciproca nella rete e proteggere gli interessi degli utenti di terze parti".
C'è anche una legge che ti obbliga a documentare la tua identità quando concludi eventuali accordi per ottenere servizi di accesso a Internet. Tutti i siti fisicamente situati nella stessa Cina sono sottoposti a registrazione obbligatoria presso il Ministero dell'Industria e dell'Information Technology, in cui viene descritto in modo piuttosto meticoloso che tipo di sito è e chi è responsabile di cosa. Pertanto, per qualsiasi esito degli eventi, c'è sempre una persona specifica responsabile di eventuali potenziali violazioni.
Aggiungete a questo costante controllo in background (non sto parlando solo di Internet, ricordate almeno il recente divieto statunitense sulla vendita di apparecchiature di Huawei, che si è rivelato pieno di insetti, o la storia di San Pietroburgo sui ferri da stiro cinesi che si connettono in modo non autorizzato a reti Wi-Fi pubbliche), dove tutto il tuo traffico e le tue attività sulla rete vengono attentamente monitorati e registrati. Qui chiunque, anche l'utente tecnicamente più ritardato della rete, capisce perfettamente che la sua attività viene registrata.
Ad esempio, puoi provare a utilizzare una VPN o chattare con qualcuno all'estero utilizzando PGP e, con la giusta abilità e abilità, potrebbe anche funzionare. Ma allo stesso tempo, è ovvio a tutti che verrà registrato il fatto stesso di utilizzare tali tecnologie, il che in futuro, se smaltito con altre circostanze aggravanti, potrebbe portare alla tua persecuzione. A proposito, le tecnologie di filtraggio euristico come SVM sono in grado di rilevare automaticamente l'uso di quasi qualsiasi crittografia da parte tua, il che attira inoltre l'attenzione prima sul traffico e poi sulla tua persona.
Formulerò l'osservazione principale. Dopo 6 anni di vita locale, ho avuto l'impressione che la Cina, con il suo sistema di controllo totale del background e periodiche dure punizioni dimostrative, stia cercando di sviluppare con insistenza un modello di comportamento dei cittadini, all'interno del quale una persona si sottoponga volontariamente e inconsciamente a un atto di autocensura, essendo costantemente consapevole di ciò, che ogni suo passo o affermazione all'interno della rete è accuratamente registrato. Il desiderio di trattenersi, guidato principalmente dalla paura latente, alla fine diventa una seconda natura.
Quindi arriviamo a una strana dicotomia per un europeo più liberale: formalmente puoi scrivere quello che pensi, ma la maggior parte dei cinesi preferisce non farlo. Poi i figli lo imparano dai loro padri, così intere generazioni di cittadini che sono permanentemente fedeli al Paese vengono cresciute senza un proprio punto di vista. Queste, tra l'altro, sono le cattive radici della loro decantata collettività e patriarcato...
- Guardando dall'esterno, qual è la tua previsione riguardo a Runet? Alla testa del nostro grande paese, che serve fisicamente il cluster principale di Internet di lingua russa, c'è il presidente permanente, colonnello del KGB e membro del Partito Comunista dell'Unione Sovietica dal 1975, quali tendenze nello sviluppo della rete fanno ti aspetti a questo proposito?
- Certo, tutto diventerà più difficile. Ma lasciatemi esprimere il mio scetticismo: personalmente, non credo che questa sarà esattamente la "versione cinese", perché questo approccio, credetemi, è estremamente high-tech. Lascia che ti ricordi che in Russia non sanno ancora nemmeno come filtrare le singole pagine Web vietate dal tribunale, un bagno barbarico allo stesso tempo un mucchio di risorse dal loro IP comune.
Quindi, ripeto ancora una volta, non c'è bisogno di spaventare la rete locale con la "versione cinese". Molto probabilmente, la mancanza di reali capacità tecniche sarà compensata da una burrascosa legislazione e da una "forza bruta" puramente amministrativa. L'unica cosa in comune con la Cina è che nel tempo tale pressione formerà la sindrome di autocensura in stile cinese tra la popolazione. Cioè, il modo di pensare una cosa e di parlare (commentare) un'altra, con un occhio costante a "qualunque cosa accada", che, per usare un eufemismo, è lontano dalla normale comunicazione umana e dall'espressione di sé.
Tuttavia, alle latitudini russe, IMHO, questo non porterà piuttosto all'obbedienza, ma all'imprevedibilità della popolazione che ha già afferrato la "gola della libertà".
- Concludiamo la nostra descrizione dell'Internet asiatico con l'ultima domanda posta da edge: quali sono le cose più estreme per la tua sicurezza che puoi fare sull'Internet cinese in questo momento?
- Vorrei evidenziare due punti gravi: si tratta di eventuali dichiarazioni contro i censori stessi e della censura, nonché di eventuali appelli all'azione popolare collettiva offline.
Nel primo caso la Cina sta compiendo sforzi titanici affinché il fatto stesso di censura, controllo e sorveglianza non sia in alcun modo sentito dalla maggioranza dei comuni cittadini del Paese, cioè affinché questo fenomeno non venga discusso e non registrato. in ogni modo. Qualsiasi tuo tentativo di discutere apertamente questo particolare problema, evidenziare i fatti di controllo, molto probabilmente avrà conseguenze molto gravi (in diretta proporzione al grado di persuasività e gravità dei fatti presentati). Il paradosso è che oggi è più sicuro criticare la direzione del Partito Comunista stesso che i suoi metodi di controllo della Rete o della società.
Per quanto riguarda il secondo - se vuoi radunare persone per qualsiasi scopo - sarà duramente soppresso. Permettetemi di ricordarvi ancora una volta la parte principale della strategia: le dichiarazioni critiche personali o le critiche frammentate dei cittadini sono molto spesso accettabili, ma qualsiasi tentativo di discussione collettiva, autorganizzazione o associazioni basate su punti di vista comuni e, inoltre, andare offline con loro sono categoricamente inaccettabili. Per questo motivo anche i gruppi di appassionati di ciclismo vengono bloccati online se cercano di radunarsi in grandi quantità offline. Le autorità cinesi sono terrorizzate da qualsiasi consolidamento dei cittadini, tuttavia, è questa funzione, a mio avviso, che l'Internet più "adulto" del futuro fornirà.
Nell'ambito dei recenti PHDays, si sono svolte una serie di relazioni relative all'analisi dell'efficacia dei rimedi esistenti:
Bypassa DPI, Olli-Pekka Niemi (Opi)
Teoria della bugia: bypassare i WAF moderni, Vladimir Vorontsov
Una dozzina di modi per superare i sistemi DLP, Alexander Kuznetsov, Alexander Tovstolip
Perché questi rapporti erano interessati a me? Perché, come parte del mio lavoro, sono impegnato nella progettazione e implementazione di soluzioni, sistemi di sicurezza delle informazioni e stavo aspettando informazioni che mi aiutassero a prendere in considerazione ulteriori fattori nella progettazione, durante l'impostazione, prestare attenzione ad alcuni funzioni e, di conseguenza, ottenere un sistema di sicurezza davvero efficace, e non “cartaceo”.
Nella sua relazione Ollie-Pekka ha parlato dell'utilità pentest Evadere, alcune tecniche di evasione. L'utilità Evader in sé è un'ottima cosa, ma il rapporto presentava diversi inconvenienti:
· Primo, la discrepanza tra il contenuto e il titolo. A DPI niente da fare. L'ambito di Evader e le soluzioni alternative descritte sono principalmente difese di rete basate su firme (NGFW, IPS)
· In secondo luogo, il rapporto non ha giustificato il livello di difficoltà: 200. 100. Poiché si trattava di una breve rivisitazione delle definizioni delle varie tecniche di bypass e di una dimostrazione dell'interfaccia Evader
· Terzo, un vecchio argomento. Ho già sentito un rapporto simile a Stonesoft 2 anni fa. Da quel momento non sono state aggiunte nuove parole
Ora, al punto della domanda: poiché il rapporto non ha menzionato esattamente quali strumenti hanno quali inconvenienti, dovremo distribuire in modo indipendente il banco di prova Evader, di cui ho già scritto in precedenza. Guidalo usando mongbat con tutte le possibili combinazioni di evasione, identifica quelle che non vengono rilevate dalla nostra protezione di rete. Inoltre, configura le difese in modo che gli attacchi possano essere rilevati anche con tecniche di elusione (sono sicuro che nel 90% dei casi questo può essere fatto). E per il restante 10% di attacchi non rilevabili, prendi una decisione sulla necessità di altre misure di "compensazione".
Ad esempio, se disponiamo di un'applicazione Web e FW e IPS non sono in grado di rilevare gli attacchi, abbiamo bisogno di WAF. Oppure, come suggerisce Stonesoft, utilizzare una misura provvisoria Stonesoft Evasion Prevention System (EPS) che può essere inserita in qualsiasi infrastruttura funzionante.
Rapporto di esclusioneWAF era molto bravo in termini di capacità di presentazione dell'oratore e di interesse - ascoltava facilmente e naturalmente. MA le informazioni utili di cui avevo bisogno e di cui ho scritto sopra non c'erano:
· Lo stesso oratore afferma che per una serie di carenze WAF (DoS, Protocol-Level Evasion, protected by Hostname, HTTP Protocol Pollution), afferma che sono associate a impostazioni di sicurezza scadenti, quindi commette un errore logico e afferma che i WAF stessi sono cattivi.
Le tecniche di bypass sono state elencate in modalità ripetizione, senza dimostrazioni, dettagli, ecc.
· Lungo la strada, l'oratore dice ripetutamente "nei WAF aziendali tutto va così male che non li prenderò in considerazione in questa sezione, prenderò in considerazione solo strumenti di protezione open source". Da ciò concludo che l'oratore se la cava così male con la ricezione di WAF "aziendali" per i test e con l'esperienza di configurarli che non vuole toccare questo argomento dolente.
· L'oratore fa riferimento a un recente confronto dei servizi cloud WAF, che trae conclusioni sulle loro scarse prestazioni. Qui posso solo dire che i servizi cloud sono davvero deboli al momento (più deboli dei WAF aziendali dedicati). Ciò è dovuto all'impostazione WAF per questo particolare fornitore di servizi e non a qualche tipo di debolezza di soluzioni come WAF in linea di principio.
· Alcune delle vulnerabilità citate dall'autore sono vulnerabilità di servizi e applicazioni finali e non sono correlate a WAF (che le rileva perfettamente). Perché l'autore li ha portati in questo thread? Probabilmente ha deciso di mettere tutto quello che sa nella sicurezza del web.
Alla fine, l'oratore afferma che sta sviluppando i propri mezzi fondamentalmente nuovi per proteggere le applicazioni Web (è qui che sono state rivelate le vere ragioni per criticare WAF)
In effetti, WAF ha molte regole per normalizzare e controllare i protocolli, devi solo configurarli correttamente. È del tutto possibile che l'autore del rapporto non abbia dedicato abbastanza tempo allo studio delle possibili opzioni per la creazione di WAF "aziendali".
Gli stessi principi e le tecnologie dei moderni WAF aziendali sono molto diversi da ciò di cui ha parlato l'oratore, questo non è più un insieme di firme rilevabili. Hanno già:
Un sistema di controllo degli accessi autorevole, in cui impostiamo esplicitamente ciò che un utente può fare in un'applicazione web (da non confondere con il blocco delle richieste tramite firme di attacco)
Profilazione dinamica, in cui il sistema imposta automaticamente i profili delle richieste degli utenti normali e rileva scostamenti anomali
· Protezione contro gli attacchi automatizzati (Automated Attack), che rileva inventario esterno, forza bruta, phasing, ecc.
Correlazione con i sistemi di sicurezza del database, all'interno dei quali WAF riceve informazioni sul tipo di richiesta e risposta effettivamente passata dal server di applicazioni Web al server di database
Questi meccanismi non sono stati menzionati e concludo che erano sconosciuti all'oratore.
SuperamentoDLP... Secondo i relatori, i problemi principali sono dovuti alle impostazioni predefinite, errori nella configurazione, non supportati dal sistema. Ma c'erano anche evidenti carenze delle stesse soluzioni DLP (purtroppo senza specificare quale versione di quale prodotto è stato testato):
Disabilitazione di un servizio con diritti di amministratore (rinominando il file del servizio)
Copia di documenti protetti in un criptocontenitore connesso localmente
Copia bit a bit del documento fino alla fine dell'immagine
Quando il sistema consente prima la copia, quindi blocca ed elimina il file dal supporto, puoi provare a ripristinare il file eliminato
Eliminazione di un registro con eventi DLP con diritti di amministratore
Tutti gli svantaggi di cui sopra possono essere utilizzati con un allungamento. Pertanto, nel processo di eliminazione di tali carenze da parte dei fornitori, è possibile adottare misure alternative: configurare correttamente i diritti utente nel sistema operativo e nel file system, controllare l'elenco dei software di terze parti installati e l'attività costante dei servizi DLP.
4. Il pensiero comune a tutti e tre i relatori è la necessità di configurare adeguatamente gli strumenti di sicurezza delle informazioni, monitoraggio costante e ottimizzazione delle impostazioni. Il principio "imposta e dimentica" nel mondo della sicurezza informatica reale non funziona.
5. Dalla mia esperienza, posso aggiungere che nei progetti cerco sempre di parlare con i clienti della quantità di lavoro richiesta sulla progettazione e configurazione delle apparecchiature di sicurezza. A seconda della soluzione, il costo del lavoro può anche superare il costo della soluzione stessa, quindi i clienti non sempre scelgono l'opzione con configurazione dettagliata e messa a punto in loco.
Spesso vengono ordinate opzioni di budget con impostazioni standard. E non sono sicuro che gli amministratori ricevano da soli una formazione sufficiente per configurare il prodotto, configurare e mantenere tutte le funzionalità necessarie. Se le impostazioni vengono lasciate per impostazione predefinita, le parole di tutti gli oratori saranno corrette: un utente malintenzionato può adottare rapidamente misure per aggirare le misure di sicurezza.
In questo modo, se vuoi risparmiare sull'installazione e la manutenzione del sistema, preparati a pagare regolarmente per un pentest (o un'analisi delle prestazioni).
6. Un'altra conclusione: affinché un hacker capisca come aggirare il nostro sistema di protezione, deve implementare e testare un analogo esatto. Se utilizziamo una soluzione aziendale costosa, questa opzione non è disponibile per un normale hacker.
Dovrà eseguire dei test sul nostro sistema di produzione. E qui è molto importante utilizzare il monitoraggio del sistema di protezione e l'analisi degli eventi di sicurezza delle informazioni. Se l'azienda ha stabilito questi processi, saremo in grado di identificare la fonte dell'attacco e il servizio in esame prima che l'attaccante possa individuare un buon metodo per aggirare il sistema di protezione.
Un sistema di Deep Packet Inspection, o DPI, analizza i pacchetti che lo attraversano e li inoltra, contrassegna, blocca o limita, dando un controllo quasi completo sul traffico. Per identificare i pacchetti, i diversi dispositivi utilizzano parametri diversi: sequenza, dimensione, contenuto, ecc., Che in definitiva consente di ridistribuire il traffico tra gli abbonati in base alla priorità e persino di raccogliere statistiche dettagliate sulla connessione per ogni singolo utente.DPI consente inoltre di ottimizzare le prestazioni della rete, prevenendo la congestione della rete e proteggendola, ad esempio, dagli attacchi DDoS. Inoltre, è possibile ottimizzare il flusso di dati all'interno della rete allocando il traffico prioritario in un determinato giorno/ora del giorno o per determinate categorie di utenti. Ad esempio, di notte, il traffico da una risorsa può richiedere più larghezza di banda rispetto al giorno. Durante il giorno, viene data priorità ad altro traffico web.
Breve recensione
Sia le società straniere che quelle russe sono rappresentate sul mercato dei servizi DPI. I fornitori esteri hanno una vasta esperienza: quasi tutte le aziende - Allot communication, Huawei Technologies, Procera Networks, Sandvine Incorporated - si occupano di soluzioni DPI da oltre 15 anni. L'esperienza dei produttori nazionali - NAPA Labs, Peter Service, VAS Experts, Proteus - è più modesta, ma attirano i clienti a causa del prezzo: il minor costo delle soluzioni in rubli è un eccellente vantaggio.I sistemi stranieri utilizzano le proprie soluzioni hardware, il che rende il dispositivo finito più affidabile, ma incide in modo significativo sul costo per il suo aumento. I complessi russi operano su server standard: ciò consente di aumentare la capacità della soluzione. Inoltre, questo approccio garantisce la compatibilità del software con la maggior parte delle piattaforme hardware. Potenziale neo: con questo approccio, le soluzioni occidentali possono essere più stabili di quelle domestiche (l'ottimizzazione dei sistemi per un certo hardware ha sempre reso i computer più produttivi e stabili).
Importante: il software di tutti i sistemi russi è "affilato" secondo la legislazione russa. Il 9 settembre 2016, Kommersant ha pubblicato informazioni sulla bozza di roadmap per la sostituzione delle importazioni di apparecchiature di telecomunicazione in Russia per il periodo 2016-2020 (leggi di più a riguardo nel nostro blog). Secondo questo documento, alcuni fornitori stranieri saranno costretti a lasciare il mercato russo.
Soluzioni sul mercato
La concorrenza di mercato è sufficientemente forte da consentire ai fornitori di offrire linee di prodotti per diversi segmenti (utenti aziendali, ISP e operatori di telecomunicazioni) e impostazioni flessibili delle prestazioni.Ad esempio, la linea Procera PacketLogic comprende 6 dispositivi che si differenziano per larghezza di banda (da 1 Gbps a 600 Gbps), numero massimo di connessioni (da 400mila a 240 milioni), dimensione della piattaforma hardware (da 1U a 14U) e ecc. La serie più giovane di piattaforme PL1000 è adatta per report, statistiche e server di tendenza, mentre la serie PL20000 è di classe carrier ed è già in grado di identificare il traffico di rete utilizzando DRDL in tempo reale, oltre a lavorare con traffico asimmetrico.
Da segnalare la decisione della società Allot Communications. I dispositivi della serie Allot NetEnforcer sono analisi del traffico di rete e sistemi hardware di gestione che ottimizzano il servizio di fornitura di accesso Internet a banda larga agli utenti aziendali e ai provider di servizi Internet. La soluzione gestisce anche l'identificazione e la separazione del tipo di traffico (p2p, video, skype, ecc.).
Un altro complesso dell'azienda - Allot Service Gateway - è stato creato per gli operatori mobili. Il gateway consente di identificare il traffico con velocità fino a 160 Gbps, analizzarlo e visualizzarlo per ottimizzare la larghezza di banda e migliorare la qualità del servizio.
Per quanto riguarda i produttori russi, stanno anche cercando di tenere il passo. Noi di VAS Experts siamo specializzati anche nella creazione e implementazione di servizi nel campo del controllo e dell'analisi del traffico.
Ad esempio, il nostro portafoglio comprende il sistema SKAT, che dispone di 6 piattaforme hardware: da SKAT-6 (6 Gb/s, fino a 400 mila abbonati, 1U) a SKAT-160 (160 Gb/s, fino a 16 milioni di abbonati, 3U). SKAT distingue oltre 6000 protocolli, può operare in 3 modalità (interrotta, asimmetria del traffico in uscita, traffic mirror), gestire abbonati con IP dinamico e supporta diversi tipi di Netflow.
Un'altra società russa, Napa Labs, produce un complesso hardware e software DPI Equila di livello carrier in due versioni con funzionalità diverse, contando sull'interesse dei provider Internet e dei clienti aziendali:
Altri fornitori si rivolgono solo a un segmento specifico del mercato. Ad esempio, STC PROTEI fornisce il complesso software e hardware PROTEI DPI per gli operatori di telecomunicazioni. Le soluzioni dell'azienda si differenziano per prestazioni e risolvono i problemi di analisi e gestione del traffico, fornitura di servizi a valore aggiunto (VAS) e limitazione dell'accesso a determinate risorse.
Huawei fornisce sistemi solo per ISP. La sua soluzione è il sistema di analisi del traffico SIG9800-X, un gateway di servizi di classe carrier costruito su una piattaforma di routing. Consente di eseguire tutte le funzioni DPI: analisi e gestione del traffico, visualizzazione dei report sull'utilizzo della larghezza di banda da parte delle applicazioni, QoS e protezione dagli attacchi di rete.
Singoli componenti
Alcune soluzioni forniscono funzionalità aggiuntive a pagamento. Oltre a una vasta gamma di soluzioni, in VAS Experts offriamo una scelta di 3 opzioni di licenza per qualsiasi piattaforma SKAT e un componente aggiuntivo: CASH Server.Peter-Service offre una scelta di 4 componenti per il suo sistema TREC DPI. Questi includono:
- Libreria software TREC.SDK per l'analisi del traffico tramite tecnologia DPI (Deep Packet Inspection)
- Prodotti software TREC.Analyser e TREC.MDH per il monitoraggio, l'archiviazione e l'analisi del traffico, nonché la sua gestione
- sistemi hardware e software per l'elaborazione del traffico con banda massima di 10 Gb/s, 80 Gb/s e 600 Gb/s
- Servizi professionali - Servizi di consulenza DPI
Oltre ai singoli prodotti con funzionalità proprie, è possibile acquistare anche moduli per il dimensionamento della rete all'interno della stessa linea di prodotti. Tutti i produttori di sistemi DPI supportano questa opzione. Per quanto riguarda la scalabilità dei sistemi russi, non causa problemi a causa dell'uso di hardware standard: questo è senza dubbio un vantaggio.
Piattaforme virtuali
Il vantaggio principale delle piattaforme virtuali è la possibilità di installazione su qualsiasi hardware compatibile. Non tutti i fornitori dispongono di tale opzione, il che è spiegato dall'uso di hardware speciale da parte di sistemi estranei. Ma tale opportunità è fornita da Procera sulla piattaforma PacketLogic/V e da Sandvine sulla serie virtuale PTS. Per quanto riguarda il mercato domestico, Peter-Service offre di implementare la sua soluzione in un ambiente virtuale.Le piattaforme hanno le stesse funzioni delle soluzioni hardware, ma sono più flessibili e consumano la quantità di risorse necessaria per il carico corrente. Inoltre, si integrano facilmente con l'infrastruttura virtuale dell'operatore, inclusa la rete virtuale.
Conclusione
Riassumendo: le soluzioni russe hanno un costo inferiore (rispetto a quelle estere) e, di conseguenza, un rapido ammortamento. Una piattaforma hardware e software universale consente di aggiungere facilmente interfacce di rete, aumentare la memoria e il numero di core del processore, ma può portare a una diminuzione della stabilità.Per quanto riguarda i fornitori esteri, la maggior parte di essi è presente sul mercato da oltre 15 anni e dispone di ampie linee di prodotti per tutti i segmenti. Rilasciano anche sistemi produttivi e stabili sulle proprie piattaforme hardware, ma tali funzionalità comportano diversi inconvenienti: l'alto costo dei sistemi e dei moduli aggiuntivi più costi di licenza aggiuntivi durante il ridimensionamento.
Letture aggiuntive
Ispezione approfondita dei pacchetti(abbr. DPI, anche ispezione completa del pacchetto e Estrazione di informazioni o IX, russo. L'ispezione approfondita dei pacchetti) è una tecnologia per l'accumulo di dati statistici, il controllo e il filtraggio dei pacchetti di rete in base al loro contenuto. A differenza dei firewall, Deep Packet Inspection analizza non solo le intestazioni dei pacchetti, ma anche il contenuto completo del traffico a tutti i livelli del modello OSI, a partire dal secondo. L'utilizzo di Deep Packet Inspection consente di rilevare e bloccare i virus, filtrare le informazioni che non soddisfano i criteri specificati.
Contenuti |
Introduzione / Dichiarazione del problema della sicurezza delle informazioni
Il sistema DPI esegue l'ispezione approfondita dei pacchetti: analisi ai livelli superiori del modello OSI, non solo ai numeri di porta di rete standard. Oltre a studiare i pacchetti secondo alcuni schemi standard, mediante i quali è possibile determinare in modo univoco l'appartenenza di un pacchetto ad una determinata applicazione: dal formato degli header, dei numeri di porta e così via, il sistema DPI esegue anche le cosiddette analisi comportamentale del traffico, che consente di riconoscere applicazioni che non utilizzano intestazioni precedentemente note per lo scambio di dati e strutture di dati come BitTorrent.
Il problema principale di tutte le soluzioni DPI esistenti è che per determinare in modo univoco se un determinato flusso di dati appartiene a una delle applicazioni di rete, un dispositivo che esegue l'analisi del traffico deve elaborare entrambe le direzioni della sessione: il traffico in entrata e in uscita all'interno di un flusso deve andare attraverso lo stesso dispositivo. Se l'apparecchiatura riconosce di elaborare una sola direzione all'interno della sessione, non è in grado di correlare questo flusso con nessuna categoria di traffico nota. Allo stesso tempo, la presenza di un grande volume di traffico asimmetrico è uno scenario comune per i grandi operatori. Diversi produttori offrono soluzioni diverse a questo problema.
Un altro problema che sta diventando sempre più diffuso è l'uso diffuso di strumenti di crittografia del traffico di rete e l'uso di TLS/SSL come parte del protocollo HTTPS, che non consente di utilizzare i classici strumenti di analisi profonda per loro.
I sistemi DPI possono essere implementati sia in software (Tstat, OpenDPI, Hippie, L7-filter, SPID) che hardware (prodotti di Allot Communications, Procera Networks, Cisco, Sandvine). Negli ultimi anni, quest'ultima opzione è diventata sempre più popolare. Le prestazioni di queste soluzioni possono variare da centinaia di Mbps a 160 Gbps per un singolo dispositivo hardware, che possono anche essere combinati in cluster per aumentare le prestazioni. Il costo può variare da diverse migliaia a milioni di dollari USA.
Il sistema DPI, di regola, è installato al confine della rete dell'operatore, quindi tutto il traffico in uscita o in entrata in questa rete passa attraverso DPI, il che consente di monitorarlo e controllarlo.
Applicazione
Grazie all'implementazione di sistemi DPI, l'operatore dispone di un potente strumento per risolvere vari compiti per il funzionamento e lo sviluppo della rete.
Pubblicità mirata
Poiché gli operatori di telecomunicazioni instradano il traffico di rete di tutti i loro clienti, possono condurre un'analisi dettagliata del comportamento degli utenti sul Web, che consente loro di raccogliere informazioni sugli interessi degli utenti. Queste informazioni possono essere utilizzate da società specializzate in pubblicità mirata. Questo approccio ha ottenuto l'accettazione internazionale. Di norma, la raccolta di informazioni viene effettuata all'insaputa e senza il consenso degli utenti.
Implementazione QoS
Il sistema DPI può essere utilizzato per violare la neutralità della rete - implementazione della QoS. Quindi, utilizzando DPI, l'operatore dati può controllare l'uso dei canali su cui sono installati i sistemi DPI a livello OSI 7. La soluzione classica al problema dell'implementazione della QoS si basa sulla costruzione di code, basate sulla marcatura del traffico con bit di servizio negli header IP, 802.1q e MPLS, con l'allocazione del traffico prioritario (ad esempio VPN o IPTV). A questo traffico viene garantita la larghezza di banda specificata in qualsiasi momento. Allo stesso tempo, il traffico servito secondo il principio "Best Effort", che include, tra l'altro, il traffico degli abbonati domestici, rimane incontrollato, il che consente a una serie di protocolli, ad esempio BitTorrent, di utilizzare comodamente l'intera larghezza di banda libera.
L'uso di DPI fornisce all'operatore la possibilità di distribuire il canale tra diverse applicazioni e introdurre politiche flessibili di controllo del traffico: ad esempio, consentire al traffico BitTorrent di utilizzare più larghezza di banda di notte che durante il giorno. Un'altra opportunità spesso utilizzata dall'operatore: blocco o limitazione significativa della larghezza di banda di un certo tipo di traffico, ad esempio la telefonia VoIP da parte degli operatori mobili, che riduce le perdite finanziarie degli utenti che non utilizzano i servizi di comunicazione.
Gestione abbonamenti
Un altro aspetto dell'implementazione QoS basata su DPI è l'accessibilità basata su abbonamento. Le regole in base alle quali viene eseguito il blocco possono essere specificate attraverso due basi principali: per servizio o per abbonato. Nel primo caso, è previsto che un'applicazione specifica possa utilizzare una determinata larghezza di banda. Nella seconda, l'applicazione è vincolata alla banda per ogni utente o gruppo di utenti indipendentemente dagli altri, cosa che avviene attraverso l'integrazione DPI con i sistemi OSS/BSS esistenti dell'operatore.
Pertanto, il sistema può essere configurato in modo che ogni utente possa utilizzare solo quei servizi e da quei dispositivi precedentemente concordati. Ciò consente agli operatori di telecomunicazioni di creare piani tariffari incredibilmente flessibili.
Se parliamo del traffico degli operatori mobili, DPI consente di controllare separatamente il carico di ciascuna stazione base, distribuendo equamente le sue risorse in modo tale che tutti gli utenti siano soddisfatti della qualità del servizio. Questo compito può essere risolto dalle forze del nucleo mobile, che non è sempre di bilancio.
Utilizzo da parte di agenzie governative
Utilizzando DPI, le agenzie di intelligence possono monitorare l'attività di rete di un particolare utente. Oltre al monitoraggio, puoi influenzare attivamente questa attività limitando l'accesso all'uso di VPN, HTTPS e altri mezzi che rendono impossibile l'analisi del contenuto della rete. Inoltre, sono le soluzioni basate su DPI che vengono utilizzate per bloccare l'accesso a risorse Web vietate negli Stati Uniti, in Cina, in Iran, in Russia. Quindi, in Cina, è stato sviluppato lo standard DPI (Y.2770), successivamente approvato dall'International Telecommunication Union (ITU).
DPI è parte integrante di sistemi come SORM-2 ed Echelon.
DPI per il traffico crittografato
HTTPS e altri protocolli di crittografia sono diventati più diffusi negli ultimi anni. La crittografia protegge le informazioni riservate degli utenti in qualsiasi punto della rete, inclusi i siti intermedi. Sfortunatamente, HTTPS è stato un problema di vecchia data per i dispositivi DPI. Poiché il carico utile dei pacchetti è crittografato, i nodi di rete intermedi non possono più analizzare il carico utile ed eseguire i propri compiti. Va notato che l'utilizzo di protocolli di crittografia a livello applicativo non impedisce al sistema DPI di analizzare il traffico a livelli inferiori, ma ne riduce notevolmente l'efficienza. Quindi, HTTPS non impedirà al sistema DPI di esaminare l'intestazione TCP del pacchetto per determinare la porta di destinazione e cercare di abbinarla a un'applicazione specifica, ma non consentirà di analizzare il payload del livello applicativo: il sistema DPI sarà in grado di determinare l'ora, il volume e la destinazione del pacchetto, ma non il contenuto.
Sulla base di quanto sopra, si può concludere che la crittografia del traffico non interferisce con l'implementazione della QoS e della gestione degli abbonamenti basata su DPI.
L'utilizzo di HTTPS aiuterà a proteggere i dati da DPI solo in transito. Se lato server è installato il sistema DPI, con il quale interagisce il client, i dati verranno elaborati in chiaro. Ad esempio, quando si interagisce con i server di Google, nonostante il loro utilizzo di HTTPS, i sistemi DPI raccolgono informazioni per fornire pubblicità contestuale.
Per risolvere il problema dell'analisi del traffico crittografato, alcuni sistemi DPI attualmente in fase di sviluppo supportano un meccanismo non sicuro per stabilire una connessione HTTPS: effettuano, infatti, un attacco MITM sul protocollo SSL e decifrano il traffico in corrispondenza di un nodo intermedio. Questo approccio viola il principio di crittografia end-to-end di SSL. Causa anche frustrazione tra gli utenti.
Quindi, ci troviamo di fronte a una scelta sconveniente di una sola delle proprietà necessarie: la funzionalità dei sistemi DPI o la riservatezza fornita dalla crittografia. A prima vista, potrebbe sembrare che queste proprietà si contraddicano a un livello fondamentale: il sistema DPI non può elaborare il contenuto del pacchetto quando non può vedere il contenuto. Il progetto BlindBox è dedicato a risolvere questa contraddizione ea costruire un sistema che soddisfi entrambe le proprietà.
BlindBox
Descrizione
L'approccio di BlindBox consiste nell'analizzare il payload crittografato direttamente, senza decrittografarlo nel nodo intermedio. Realizzare un tale sistema in pratica è un compito difficile: le reti operano a velocità molto elevate, richiedendo operazioni crittografiche che richiedono micro e persino nanosecondi. Inoltre, molti nodi intermedi richiedono il supporto per operazioni a uso intensivo di risorse, come l'analisi basata su espressioni regolari.
Schemi crittografici come la crittografia completamente omomorfica o funzionale sono potenziali candidati, ma questi schemi sono piuttosto lenti e degradano le prestazioni della rete di diversi ordini di grandezza.
Per risolvere questi problemi, BlindBox è specializzato nel networking. BlindBox supporta due classi di elaborazione DPI, ciascuna con le proprie garanzie di privacy: privacy basata sulla corrispondenza e privacy della causa probabile.
Il modello di privacy a corrispondenza completa garantisce che un host intermedio sarà in grado di rilevare solo quelle sottostringhe di traffico per le quali esiste una corrispondenza per le parole chiave degli attacchi noti. Ad esempio, se esiste una regola per la parola "ATTACCO", il nodo intermedio sa a quale offset di flusso, se del caso, appare la parola "ATTACCO", ma non sa quali sono le altre parti del traffico. Il traffico che non contiene parole chiave rimarrà non letto dall'host intermedio.
Il modello di privacy della probabile causa si basa su una logica diversa: un nodo intermedio può decrittografare l'intero flusso se viene trovata una sottostringa di traffico che corrisponde a una parola chiave di un attacco noto. Questo modello è utile per le attività di rilevamento delle intrusioni che richiedono l'analisi mediante espressioni regolari o script. Questo modello si ispira a due ragioni: la prima è il modello della "causa probabile" del diritto penale statunitense: il motivo della violazione della riservatezza è solo l'esistenza di un motivo di sospetto. In secondo luogo, la maggior parte delle regole nel sistema di rilevamento delle intrusioni di Snort che utilizzano le espressioni regolari prima cercano di trovare le parole chiave relative all'attacco nel pacchetto e solo dopo iniziano a utilizzare le ricerche di espressioni regolari, altrimenti il rilevamento sarebbe troppo lento.
Entrambi i modelli di privacy BlindBox sono molto più potenti degli approcci basati su MITM utilizzati oggi. In entrambi gli approcci, BlindBox protegge i dati utilizzando potenti schemi di crittografia pseudo-casuali che forniscono garanzie di sicurezza simili a schemi di ricerca crittografica ben studiati per dati crittografati.
Architettura di sistema
La Figura 1 mostra l'architettura del sistema. Ha quattro parti: il mittente (O), il destinatario (P), il nodo intermedio (PU) e il generatore di regole (RG), che riflette l'architettura standard del nodo intermedio per un determinato giorno. Il generatore di regole fornisce regole di attacco (dette anche firme) che vengono utilizzate da una PU per rilevare gli attacchi. Ogni regola cerca di descrivere l'attacco e contiene campi: una o più parole chiave nel traffico, informazioni sull'offset per ciascuna parola chiave e talvolta espressioni regolari. Il ruolo del GP oggi è svolto da organizzazioni come Emerging Threats, McAfee, Symantec. Il mittente invia il traffico al destinatario attraverso un nodo intermedio, che consente al mittente e al destinatario di scambiare informazioni se non rileva firme nel loro traffico.
Figura 1. Architettura BlindBox. Gli elementi ombreggiati indicano algoritmi aggiunti a BlindBox.
Diamo un'occhiata al modello di applicazione BlindBox. Il generatore di regole crea un insieme di regole che contiene un elenco di parole chiave utilizzate negli attacchi esistenti o che interessa studiare. Il GP li firma utilizzando la sua chiave privata e invia la PU al suo utente. Il mittente e il destinatario che si fidano della GPU stabiliscono una configurazione HTTPS BlindBox che include la chiave pubblica della GPU. Dopo la fase di inizializzazione, la GPU non è mai più coinvolta direttamente nel protocollo. Parliamo ora dell'interazione tra mittente, destinatario e PU, quando mittente e destinatario avviano una connessione nella rete controllata dalla PU.
Stabilire una connessione
Innanzitutto, il mittente e il destinatario eseguono un normale handshake SSL, che consente loro di accordarsi su una chiave. Lo usano per ottenere tre chiavi (ad esempio, utilizzando un PRNG):
Allo stesso tempo, la UE esegue la propria configurazione di connessione per consentirle di gestire il traffico del mittente e del destinatario. Nel processo di scambio con il mittente e il destinatario, la PU riceve ogni regola dal GP, cifrata in modo deterministico sulla chiave k - questo consentirà successivamente alla PU di eseguire il rilevamento. Tuttavia, questo scambio avviene in modo tale che la PU non conosca il valore di k e il mittente e il destinatario non sappiano quali siano le regole. Questo scambio è chiamato regole di crittografia offuscate ed è descritto in dettaglio nell'articolo.
A differenza dell'handshake SSL descritto sopra, che è identico al normale handshake SSL, le regole di crittografia complicate aggiungono un nuovo processo. Poiché nelle soluzioni esistenti, il client di solito non comunica direttamente con i nodi DPI (a differenza di altri tipi di nodi intermedi, come proxy espliciti o NAT hole-punching), questo rende la presenza di DPI completamente "invisibile", questo è un piccolo svantaggio rispetto ai vantaggi dell'utilizzo di BlindBox.
Invio di traffico
Per inviare un messaggio, il mittente deve:
(1) Cripta il traffico utilizzando SSL classico.
(2) Dividere il traffico in tag (token) dividendolo in sottostringhe prese a diversi offset e crittografare i tag risultanti utilizzando lo schema di crittografia DPIEnc.
rilevamento
L'host intermedio riceve traffico SSL crittografato ed etichette crittografate. Il motore di rilevamento cercherà una corrispondenza tra regole crittografate e tag crittografati utilizzando l'algoritmo di rilevamento BlindBox. Se viene trovata una corrispondenza, viene eseguita un'azione predefinita: scartare il pacchetto, chiudere la connessione, informare l'amministratore di sistema. Al termine del rilevamento, lo smart host inoltra il traffico SSL e i token crittografati al destinatario.
Ricezione di traffico
Dal lato del destinatario, succedono due cose. Innanzitutto, il destinatario decrittografa e autentica il traffico utilizzando il normale SSL. In secondo luogo, il destinatario verifica che i token crittografati siano stati crittografati correttamente dal mittente. Grazie a questo, anche se una parte cerca di barare, l'altra parte sarà in grado di rilevarlo.
Schema di crittografia DPIEnc
Il mittente crittografa ogni etichetta (token) t come:
Dove "sale" è un numero selezionato casualmente e il significato di RS (in effetti, ReduceSize) è spiegato di seguito.
Dimostriamo la necessità dello schema di crittografia DPIEnc. Supponiamo che un nodo intermedio abbia passato una coppia (r, (r)) per ogni regola r, ma non una chiave k. Iniziamo guardando un semplice schema di crittografia deterministico invece di DPIEnc: lascia che il testo cifrato di t sia (t). Per verificare se t è uguale alla parola chiave r, la PU può verificare se (t)? = (R). Sfortunatamente, il risultato sarà una sicurezza bassa, poiché ogni occorrenza di t avrà lo stesso testo cifrato. Per risolvere questo problema, dobbiamo introdurre un elemento di casualità nella crittografia. Pertanto, utilizzeremo una "funzione casuale" H con un sale casuale e il testo cifrato avrà la seguente struttura: sale, H (sale, (t)). Naturalmente, H deve essere unilaterale e pseudo-casuale.
Per verificare la coerenza, il nodo intermedio può calcolare H (sale, (r)) in base a (r) e al sale, quindi eseguire un controllo di uguaglianza. L'implementazione tipica di H è SHA-1, ma SHA-1 non è veloce quanto i moderni processori AES sono implementati nell'hardware e questo può ridurre il throughput. Invece, BlindBox H è implementato tramite AES, ma dovrebbe essere usato con cautela poiché AES ha proprietà di sicurezza diverse. Per ottenere le proprietà richieste, è necessario avviare AES su una chiave sconosciuta al nodo intermedio finché non viene trovata la firma dell'attacco. Ecco perché viene utilizzato il valore (t).
Ora l'algoritmo è completamente implementato su AES, che garantisce un'elevata velocità di lavoro.
Infine, RS riduce semplicemente la dimensione del testo cifrato per ridurre la limitazione della larghezza di banda senza compromettere la sicurezza.
In questa implementazione, RS è 2 alla 40a potenza, che fornisce una lunghezza del testo cifrato di 5 byte. Di conseguenza, il testo cifrato non viene più decrittografato, il che non rappresenta un problema poiché BlindBox decrittografa sempre il traffico dal flusso SSL primario.
Ora, per determinare la corrispondenza tra la parola chiave r e il testo cifrato dell'etichetta t, il nodo intermedio calcola utilizzando sale e conoscenza (r) e quindi verifica l'uguaglianza c.
Poiché, ovviamente, il nodo intermedio verifica per ogni regola r e etichetta t, il tempo totale trascorso sull'etichetta è lineare con il numero di regole, che è troppo lento.
Per eliminare questo ritardo viene introdotto un algoritmo di rilevamento, che rende logaritmica la dipendenza del tempo impiegato dal numero di regole, come nei classici algoritmi DPI.
Il risultato è un significativo miglioramento delle prestazioni: ad esempio, per un set di regole con 10.000 parole chiave, le ricerche logaritmiche sono quattro ordini di grandezza più veloci delle ricerche lineari.
Protocollo di rilevamento
Lo stato di un nodo intermedio è costituito da contatori per ogni regola r e da un albero di ricerca veloce costituito da per ogni regola r.
Sappiamo perfettamente che la censura è cattiva. Ma nonostante gli sforzi delle autorità per aumentare la loro influenza sulla rete, sono ancora deboli e spesso stupidi. Ti abbiamo già detto come. Oggi ti presenteremo un altro modo per aggirare il blocco del sito utilizzando la tecnologia di bypass DPI (ispezione approfondita dei pacchetti)
I provider hanno vulnerabilità DPI. Succedono perché le regole DPI sono scritte per i normali programmi utente, omettendo tutti i casi possibili consentiti dagli standard.
Questo è fatto per semplicità e velocità. Non ha senso catturare gli hacker, che sono lo 0,01%, perché comunque questi blocchi vengono aggirati in modo abbastanza semplice, anche dagli utenti ordinari.
Alcuni DPI non sono in grado di riconoscere una richiesta http se è suddivisa in segmenti TCP.
Ad esempio, una query come "GET / HTTP / 1.1rnHost: kinozal.tv ……"
inviamo in 2 parti: prima va "OTTENERE", poi "/HTTP/1.1rnHost: kinozal.tv ... ..".
Altri DPI inciampano quando l'intestazione "Host:" è scritta in un caso diverso: ad esempio, "host:".
L'aggiunta di uno spazio extra dopo che il metodo funziona qua e là: "GET /" => "GET /" o aggiungendo un punto alla fine del nome host: "Host: kinozal.tv."
Come implementare in pratica il bypass b su un sistema Linux
Come faccio a forzare il sistema a dividere la richiesta in parti? Puoi eseguire l'intera sessione TCP
tramite un proxy trasparente, oppure è possibile modificare il campo della dimensione della finestra tcp sul primo pacchetto TCP in entrata con SYN, ACK.
Quindi il client penserà che il server ha impostato una piccola dimensione della finestra per esso e invierà il primo segmento con dati non più lunghi della lunghezza specificata. Non cambieremo nulla nei pacchetti successivi.
L'ulteriore comportamento del sistema nella scelta della dimensione dei pacchetti inviati dipende dall'algoritmo da esso implementato. L'esperienza mostra che Linux invia sempre il primo pacchetto non più della lunghezza specificata nella dimensione della finestra, il resto dei pacchetti per un po' di tempo non invia più del massimo (36, dimensione_specificata).
Dopo un certo numero di pacchetti, viene attivato il meccanismo di ridimensionamento della finestra e il fattore di ridimensionamento inizia a essere preso in considerazione, la dimensione del pacchetto non supera max (36, specificato_ramer<< scale_factor).
Non è un comportamento molto elegante, ma poiché non influenziamo la dimensione dei pacchetti in arrivo e la quantità di dati ricevuti tramite http è solitamente molto superiore alla quantità inviata, appariranno visivamente solo piccoli ritardi.
Windows si comporta in modo molto più prevedibile in un caso simile. Il primo segmento lascia la lunghezza specificata, quindi la dimensione della finestra cambia a seconda del valore inviato nei nuovi pacchetti tcp. Cioè, la velocità viene quasi immediatamente ripristinata al massimo possibile.
Non è difficile intercettare un pacchetto con SYN, ACK usando iptables. Tuttavia, la possibilità di modificare i pacchetti in iptables è fortemente limitata. Non puoi semplicemente modificare la dimensione della finestra con i moduli standard.
Per questo utilizzeremo la funzione NFQUEUE. Questa struttura permette
trasferire i pacchetti per l'elaborazione ai processi in esecuzione in modalità utente.
Il processo di accettazione del pacchetto può cambiarlo, che è ciò di cui abbiamo bisogno.
iptables - t raw - I PREROUTING - p tcp - sport 80 - tcp - flag SYN, ACK SYN, ACK - j NFQUEUE - coda - num 200 - coda - bypass |
Darà i pacchetti necessari al processo in ascolto sulla coda con il numero 200. Cambierà la dimensione della finestra. PREROUTING catturerà sia i pacchetti indirizzati all'host stesso che i pacchetti instradati. Cioè, la soluzione funziona allo stesso modo sia sul client che sul router. Su un router basato su PC o router.
In linea di principio, questo è sufficiente.
Tuttavia, con un tale impatto, ci sarà un piccolo ritardo su TCP. Per non toccare host che non sono bloccati dal provider, puoi fare una tale mossa.
Crea un elenco di domini bloccati o scaricalo da lista nera.
Risolvi tutti i domini in indirizzi IPv4. Guidali in un ipset chiamato "zapret".
Aggiungi alla regola:
iptables - t raw - I PREROUTING - p tcp - sport 80 - tcp - flags SYN, ACK SYN, ACK - m set - match - set zapret src - j NFQUEUE - coda - num 200 - coda - bypass |
In questo modo l'impatto si avrà solo sugli indirizzi ip relativi ai siti bloccati. L'elenco può essere aggiornato tramite cron ogni pochi giorni.
Se aggiornato tramite rublacklist, ci vorrà molto tempo. Più di un'ora. Ma questo processo non richiede risorse, quindi non causerà alcun problema, soprattutto se il sistema è costantemente in esecuzione.
Se DPI non viene bypassato dividendo la richiesta in segmenti, a volte viene attivata una modifica Da "Ospite:" a "Ospite:"... In questo caso, potremmo non aver bisogno di una sostituzione. dimensione della finestra, quindi la catena PRECAUZIONI non ne abbiamo bisogno. Invece, ci aggrappiamo ai pacchetti in uscita nella catena POSTOUTING :
iptables - t mangle - I POSTROUTING - p tcp - dport 80 - m set - match - set zapret dst - j NFQUEUE - coda - num 200 - coda - bypass |
In questo caso sono possibili anche punti aggiuntivi. DPI può catturare solo la prima richiesta http, ignorando le richieste successive in mantenere vivo sessione. Quindi possiamo ridurre il carico della percentuale rifiutando di elaborare i pacchetti non necessari.
iptables - t mangle - I POSTROUTING - p tcp - dport 80 - m set - match - set zapret dst - m connbytes - connbytes - dir = originale - connbytes - mode = packages - connbytes 1: 5 - j NFQUEUE - coda - num 200 - coda - bypass |
Accade così che il provider controlli l'intera sessione HTTP con richieste keep-alive. In questo caso, non è sufficiente limitare la finestra TCP quando si stabilisce una connessione. Ogni nuova richiesta deve essere inviata in segmenti TCP separati. Questo compito viene risolto attraverso il proxy completo del traffico attraverso proxy trasparente (TPROXY o DNAT). TPROXY non funziona con connessioni provenienti dal sistema locale, quindi questa soluzione vale solo per il router. DNAT funziona anche con le connessioni locali, ma c'è il rischio di entrare in una ricorsione infinita, quindi il demone viene avviato come utente separato e DNAT viene disabilitato per quell'utente tramite "-m proprietario". Il proxy completo richiede più CPU rispetto alla manipolazione dei pacchetti in uscita senza ricostruire la connessione TCP.
iptables - t nat - I PREROUTING - p tcp - dport 80 - j DNAT - a 127.0.0.1: 1188 iptables - t nat - I OUTPUT - p tcp - dport 80 - m proprietario! - uid - proprietario tpws - j DNAT - a 127.0.0.1: 1188 |
Utilizzo del modificatore di pacchetti NFQWS
Questo programma è un modificatore di pacchetti e un gestore di code NFQUEUE.
Richiede i seguenti parametri:
-Demone; demonizzare il programma
—Qnum = 200; sequenza di numeri
—Wsize = 4; cambia la dimensione della finestra TCP alla dimensione specificata
—Hostcase; cambia il caso dell'intestazione "Host:"
Utilizzo del proxy trasparente TPWS
tpws è un proxy trasparente.
—bind-addr; quale indirizzo ascoltare. può essere l'indirizzo ipv4 o ipv6. se non specificato, ascolta su tutti gli indirizzi ipv4 e ipv6
—Porta =
-Demone; demonizzare il programma
—Utente =
—Split-http-req = metodo | host; modo di dividere le richieste http in segmenti: vicino al metodo (GET, POST) o vicino all'intestazione Host
—Split-pos =
—Hostcase; sostituzione "Ospite:" => "Ospite:"
—Hostdot; aggiungendo un punto dopo il nome host: "Ospite: kinozal.tv."
—Metodospazio; aggiungi uno spazio dopo il metodo: "GET /" => "GET /"
I parametri di manipolazione possono essere combinati in qualsiasi combinazione.
C'è un'eccezione: split-pos sostituisce split-http-req.
Bypassare il blocco dei siti di provider specifici.
mns.ru: è necessario sostituire la dimensione della finestra con 4
beeline (corbina): il registro "Host:" deve essere sostituito durante l'intera sessione http.
dom.ru:è necessario proxy sessioni HTTP tramite tpws con la modifica del registro "Host:" e la separazione dei segmenti TCP sull'intestazione "Host:".
Ahtung! Domru blocca tutti i sottodomini del dominio bloccato. È impossibile scoprire gli indirizzi IP di tutti i possibili sottodomini dal registro
blocco, quindi se all'improvviso esce un banner di blocco su un sito, vai alla console di Firefox, la rete.
Carica il sito e guarda dove va il reindirizzamento. Quindi aggiungi il dominio a zapret-hosts-user.txt. Ad esempio, su kinozal.tv ci sono 2 sottodomini richiesti: s.kinozal.tv e st.kinozal.tv con indirizzi IP diversi.
sknt.ru: testato funziona con tpws con il parametro "—split-http-req = method". forse nfqueue funzionerà mentre non c'è modo di verificare.
testo: dividere la richiesta http in segmenti aiuta, le impostazioni mns.ru sono adatte
TKT è stato acquistato da Rostelecom e viene utilizzato il filtro di Rostelecom.
Poiché DPI non scarta la sessione in entrata, ma inserisce solo il proprio pacchetto, che arriva prima della risposta dal real server, vengono bypassati anche i lock senza l'utilizzo di "artiglieria pesante" con la seguente regola:
iptables - t raw - I PREROUTING - p tcp - sport 80 - m stringa - esadecimale - stringa "| 0D0A | Posizione: http://95.167.13.50"- algo bm - j DROP - da 40 - a 200 |
Rostelecom: sm tkt
livello: il livello stesso non ha vietato nulla fino all'ultimo. Sembra che l'operatore a monte stia vietando, forse telia. Le richieste HTTP separate sono necessarie per l'intera sessione.
Modi per ottenere un elenco di IP bloccati
1) Aggiungi domini bloccati a ipset / zapret-hosts-user.txt e corri ipset / get_user.sh
All'uscita riceverete ipset / zapret-ip-user.txt con indirizzi IP.
2) ipset / get_reestr.sh riceve un elenco di domini da rublacklist e poi li risolve in indirizzi IP in un file ipset / zapret-ip.txt... Questo elenco contiene indirizzi IP già pronti, ma a quanto pare sono lì esattamente nella forma che RosKomPozor inserisce nel registro. Gli indirizzi possono cambiare, è un peccato che non abbiano il tempo di aggiornarli e i provider raramente vietano per IP: invece, vietano le richieste http con un'intestazione "Host:" "cattiva", indipendentemente dall'indirizzo IP. Pertanto, lo script risolverà tutto da solo, anche se richiede molto tempo.
Un requisito aggiuntivo è la quantità di memoria in / tmp per salvare lì il file scaricato, la cui dimensione è di diversi MB e continua a crescere. Sui router, openwrt / tmp è tmpfs, cioè ramdisk.
Nel caso di un router con 32 MB di memoria, potrebbe non essere sufficiente e ci saranno problemi. In questo caso, utilizzare il seguente script.
3)ipset / get_anizapret.sh. rapidamente e senza carico sul router riceve un foglio con https://github.com/zapret-info.
Tutte le varianti degli script considerati creano e compilano automaticamente ipset.
Le opzioni 2 e 3 richiamano inoltre l'opzione 1.
Sui router, non è consigliabile chiamare questi script più di una volta ogni 2 giorni, poiché il salvataggio va nella memoria flash interna del router o, nel caso di extroot, su un'unità flash. In entrambi i casi, la registrazione troppo frequente può uccidere l'unità flash, ma se ciò accade alla memoria flash interna, semplicemente ucciderai il router.
Forza aggiornamento ipset esegui script ipset / create_ipset.sh
Puoi elencare i domini in ipset / zapret-hosts-user-ipban.txt. I loro indirizzi IP verranno inseriti in un ipset separato "ipban". Può essere utilizzato per forzare il wrapping di tutte le connessioni al proxy trasparente "redsocks".
Un esempio di bypass del blocco del sito su debian 7
Debian 7 contiene originariamente il kernel 3.2. Non sa come eseguire DNAT su localhost.
Ovviamente, non puoi associare tpws a 127.0.0.1 e sostituirlo nelle regole di iptables Da "DNAT 127.0.0.1" a "REDIRECT", ma è meglio installare un kernel più recente. È nel repository stabile:
apt - ottieni l'aggiornamento apt - installa linux - immagine - 3.16 |
Installa i pacchetti:
Costruisci tpw:
Crea linea "0 12 * * * / 2 /opt/zapret/ipset/get_antizapret.sh"... Ciò significa aggiornare l'elenco alle 12:00 ogni 2 giorni.
Avvia il servizio: servizio zapret start
Prova ad andare da qualche parte: http://ej.ru, http://kinozal.tv, http://grani.ru.
Se non funziona, interrompi il servizio zapret, aggiungi manualmente una regola a iptables,
eseguire nfqws nel terminale sotto la radice con i parametri necessari.
Prova a connetterti a siti bloccati, guarda l'output del programma.
Se non c'è risposta, molto probabilmente è stato specificato il numero di coda sbagliato o l'ip di destinazione non è in ipset.
Se c'è una reazione, ma il blocco non viene bypassato, i parametri di bypass selezionati non sono corretti o questo strumento non funziona nel tuo caso sul tuo ISP.
Nessuno ha detto che avrebbe funzionato ovunque.
Prova a scaricare in Wireshark o "Tcpdump -vvv -X host
Un esempio di bypass del blocco del sito su Ubuntu 12.14
C'è una configurazione già pronta per upstart: zapret.conf. Deve essere copiato su / etc / init e configuralo in modo simile a debian.
Inizio servizio: "Inizia zapret"
Ferma il servizio: "Stop zapret"
Ubuntu 12, come Debian 7, ha un kernel 3.2. Vedere la nota nella sezione "debian 7".
Esempio di bypass del blocco del sito su Ubuntu 16, Debian 8
Il processo è lo stesso di Debian 7, tuttavia, è necessario registrare gli script init con systemd dopo averli copiati in /etc/init.d.
install: / usr / lib / lsb / install_initd zapret
rimuovere: / usr / lib / lsb / remove_initd zapret
Un esempio di bypass del blocco dei siti su altri sistemi Linux.
Esistono diversi sistemi principali per avviare i servizi: sysvinit, upstart, systemd.
L'impostazione dipende dal sistema utilizzato nella distribuzione.
Una strategia tipica consiste nel trovare uno script o una configurazione per l'avvio di altri servizi e scriverne uno proprio per analogia, leggendo la documentazione sul sistema di avvio se necessario. I comandi necessari possono essere presi dagli script proposti.
Configurazione di un firewall per aggirare il blocco del sito.
Se stai utilizzando un qualche tipo di sistema di gestione del firewall, potrebbe entrare in conflitto con lo script di avvio esistente. In questo caso, le regole per iptables devono essere collegate al firewall separatamente dallo script di avvio tpws o nfqws.
Ecco come viene risolto il problema nel caso di openwrt, poiché ha un proprio sistema di gestione del firewall - nfqueue iptables - mod - filter iptables - mod - ipopt ipset curl bind - tools
La sfida più grande è compilare programmi C.
Questo può essere fatto tramite cross-compilation su qualsiasi sistema Linux tradizionale.
Leggi compile / build_howto_openwrt.txt.
Il tuo compito è ottenere ipk file per tpws e nfqws.
Copia directory "Zapret" v / optare al router.
Installa ipk. Per fare ciò, prima copia sul router ipk a / tmp, dopo
Ciò significa aggiornare l'elenco alle 12:00 ogni 2 giorni.
Se hai Linux x64, invece di compilare la toolchain, puoi usare l'SDK precompilato dagli sviluppatori di openwrt.
https://downloads.openwrt.org/
Trova la tua versione openwrt, trova la tua architettura, scarica il file "OpenWrt-SDK-*".
In effetti, questa è la stessa buildroot, solo che ha già una toolchain preparata per la versione richiesta di openwrt, l'architettura di destinazione richiesta e il sistema host linux x64.
Binari precompilati
La compilazione per i router può essere un compito arduo che richiede ricerca e ricerca su Google di problemi predefiniti nell'SDK di openwrt.
Non ci sono alcuni binari, non ci sono alcuni collegamenti, di conseguenza, l'SDK potrebbe dare errori fuori dalla scatola. Per le architetture più comuni, vengono raccolti i binari statici. Vedi binari.
La costruzione statica significa che binarik non dipende dal tipo di libc (uclibc o musl) e dalla presenza di così installato - può essere utilizzato immediatamente.
Se solo il tipo di CPU è adatto. ARM e MIPS hanno diverse versioni. Se la tua versione mostra errori all'avvio, dovrai crearla tu stesso per il tuo sistema.
Bypassare il blocco https
Di norma, i trucchi DPI non aiutano a bypassare il blocco https.
Devi reindirizzare il traffico attraverso un host di terze parti. Si consiglia di utilizzare un reindirizzamento trasparente tramite calzini5 utilizzando iptables + redsocks o iptables + iproute + openvpn. L'impostazione dell'opzione redsocks su openwrt è descritta in https.txt.
Tutte le fonti di questo metodo possono essere trovate qui - https://github.com/bol-van/zapret
Ultimo aggiornamento entro il 18 novembre 2016.
