Ne sjellim në vëmendjen tuaj një intervistë me një person që është i njohur me pajisjen dhe specifikat e punës. Në bisedën e sotme me të, ne diskutuam çështje që kanë qenë të rëndësishme kohët e fundit për segmentin rusishtfolës të internetit: rolin e shtetit dhe censurën e rrjetit të tij, dhe gjithashtu prekëm shembuj të kontrollit të fshehtë të internetit dhe shoqërisë duke përdorur Kinën si nje shembull.
Subjekti i intervistës ka dashur të mbetet anonim. Ky është një ish-specialist rus i IT-së, i cili prej 6 vitesh jeton në Kinën kontinentale, duke punuar në një kompani lokale telekomunikacioni si inxhinier i lartë administrativ. Kjo është një bisedë serioze për teknologjitë e rrjetit... e kthyer kundër vetë rrjetit, si dhe kundër të ardhmes së rrjetit global dhe hapjes së shoqërisë sonë.
Nuk bëhet fjalë më as për iniciativat e shtetit rus - si kërpudhat, filluan të shfaqen kompani private që ofrojnë zgjidhjet e tyre për censurimin e rrjetit, të njëjtat filtra trafiku sipas listave të Roskomnadzor dhe Ministrisë së Drejtësisë, për shembull, Reduktuesi i njohur i karbonit. Prandaj, ia vlen ta shikojmë këtë përvojë kineze me gjithë seriozitetin dhe vëmendjen, në mënyrë që të kuptojmë paraprakisht thellësinë e plotë të vizonit në të cilin ata po përpiqen me kaq zell të na shtyjnë.
- Na tregoni për Firewall-in e Madh Kinez, të cilin vetë kinezët e quajnë "Mburoja e Artë", si është në aspektin teknik? Cili është qëllimi i tij kryesor?
Për momentin, këto janë tre komponentë, tre dragonj mbi të cilët bazohet - Inspektimi i thellë i paketave (DPI), sonda e lidhjes dhe teknologjitë e makinave vektoriale mbështetëse (SVM). Së bashku ata janë një filtër shumë i avancuar që bllokon aksesin në burimet e ndaluara nga Partia Komuniste nga interneti i jashtëm.
Në të njëjtën kohë, ideologët zyrtarë thonë se gjoja duhet të mbrojë psikikën e kinezëve nga ndikimi shkatërrues i Perëndimit, ndërsa të tjerë besojnë se kjo është një censurë e plotë shtetërore e pjesës ndërkombëtare të internetit.
Le të hedhim një vështrim më të afërt në secilin prej këtyre komponentëve. Pra, çfarë është Inspektimi i Thellë i Paketave?
Me pak fjalë, kjo është një teknologji për inspektimin dhe filtrimin e nivelit të ulët të paketave të rrjetit sipas përmbajtjes së tyre. Këtu ju duhet menjëherë të vizatoni një vijë të kuqe: ndryshimi thelbësor nga muret e zjarrit tashmë të njohur është se DPI analizon jo aq shumë tituj të paketave (që, natyrisht, mundet gjithashtu), por gërmohet në përmbajtjen e trafikut transit në nivelet e Modeli OSI nga i dyti dhe më i lartë.
Theksoj se e gjithë kjo bëhet në kohë reale dhe nga këndvështrimi i një vëzhguesi të jashtëm praktikisht nuk vërehen vonesa apo manipulime me trafikun.
- Në Rusi, kohët e fundit është shkruar shumë për futjen e DPI, shumë operatorë federalë (veçanërisht operatorë celularë) madje dyshohet se e kanë tashmë atë në formë pune. A mund të themi se po përvetësojmë përvojën kineze?
DPI ruse dhe kineze, përveç emrit të përbashkët dhe parimeve të funksionimit, nuk kanë praktikisht asgjë të përbashkët. Çështja këtu është, para së gjithash, shkalla dhe serioziteti i zbatimit të tyre. Siç është e qartë nga mënyra e punës e përshkruar më parë, DPI konsumon shumë burime, sepse të gjitha operacionet e shumta të kryera prej tij (për shembull, defragmentimi i paketave, zbërthimi i tyre, njohja e llojeve dhe protokolleve të të dhënave, skanimi i përmbajtjes, heuristikat e shumta, etj. , shumë më tepër) duhet të ndodhë në kohë reale. Prandaj, kriteri kryesor për ashpërsinë e DPI është thellësia e analizës së trafikut transit që ky sistem mund të përballojë për të ruajtur një nivel të pranueshëm vonesë.
Nëse nxjerrim analogji me teknologjitë antivirus, sa thellë mund t'ju lejojë emulatori i procesorit të zhyteni në kodin për skedarin që skanohet? Edhe nëse aftësitë dhe burimet teknike ju lejojnë të gjurmoni kodin deri në pafundësi, duke u zhytur në degë dhe procedura të reja, kërkesat e përgjithshme për vonesën e sistemit kanë gjithmonë kufizime specifike, kështu që thellësia e zhytjes është gjithmonë e kufizuar.
Shpesh në këtë situatë, aplikohet njohuri teknologjike ose optimizuese, ose mund të shkoni në anën tjetër - thjesht rrisni rrënjësisht fuqinë llogaritëse. Pra, kur flasim për DPI kineze, duhet të kuptoni se kjo është pikërisht mënyra e fundit - në fakt, kjo është një qendër të dhënash me madhësinë e një qyteti të vërtetë qarku, i cili përdor inteligjencën e tufës (Inteligjencën Swarm) për të kontrolluar balancimin dhe përpunimin. e të dhënave ndërmjet pjesëve-nyjeve të saj të panumërta.
Duke iu rikthyer pyetjes - nëse zbatimet e brendshme të DPI kushtojnë, me sa imagjinoj, deri në 50 milionë dollarë, atëherë sistemi kombëtar kinez po i afrohet rreth një miliardi. DPI ruse është thjesht teknikisht i paaftë për të kryer një analizë vërtet të thellë të paketave kaluese, që do të thotë se pengesat e saj mbrojtëse potencialisht do të anashkalohen nga përdoruesit e kualifikuar në mënyra të ndryshme. Prandaj, DPI ruse e mosmarrëveshjes kineze ...
- Le të kalojmë te dragoi i dytë kinez - çfarë është një "sondë lidhëse"?
Ky është një evolucion i mëtejshëm i DPI - bashkimi i një serveri proxy dhe një mekanizmi filtrimi i nivelit të ulët. Në këtë rast, kur përpiqeni të lidheni me ndonjë shërbim jashtë portës së rrjetit kombëtar, një kërkesë e tillë fillimisht "ngrihet" dhe lidhja e mëpasshme përpara me adresën e synuar është tashmë në emër të DPI. Ky është, si të thuash, një sistem proaktiv për testimin dhe identifikimin e llojit të shërbimeve të kërkuara në internetin e jashtëm.
Nëse, për shembull, përdorni një shërbim të ndaluar në Kinë, atëherë protokolli i klientit të tij duhet të errësohet seriozisht në mënyrë që të jetë në gjendje të kapërcejë mekanizmin e kërkimit të nënshkrimit DPI. Kur përdorni hetimin e lidhjes kundër jush, do t'ju duhet të errësoni përgjigjen tashmë nga ana e serverit, d.m.th. në përgjithësi, nuk do të mund të përdorni shërbimet publike standarde nëse ato janë të ndaluara.
Për momentin, sonda e lidhjes ju lejon të përcaktoni me saktësi dhe me burime të vogla llojin e shërbimit të jashtëm që dëshiron të përdorë një përdorues nga Kina. Për të dhënë një shembull më realist, ishte kjo teknologji që u përdor me sukses kundër rrjetit të mbivendosjes i2p, pas së cilës u bllokua në Kinë.
— Nga rruga, po në lidhje me sistemet si Tor, i2p ose VPN? Sa efektivë janë ata me të vërtetë përballë një censurë kaq agresive në internet?
Nuk dua të shqetësoj askënd, por ato janë joefektive dhe aspak aq këmbëngulëse sa "thashethemet popullore" po bëjnë zhurmë për të - të gjitha sistemet e përmendura në Kinë janë bllokuar prej kohësh. Për më tepër, ju mund të bllokoni Tor ose i2p në një duzinë mënyra të ndryshme, më e lehta prej të cilave është të bllokoni procedurën e bootstrap në kohën e inicializimit të klientëve të tyre. Bllokimi i nyjeve hyrëse të këtyre rrjeteve në këtë mënyrë (për shembull, nyjet e drejtorive Tor) është një detyrë e parëndësishme edhe për një administrator mesatar. Duke folur për aftësitë që ka qeveria kineze, para së gjithash nënkuptoj një shkop DPI të teknologjisë së lartë - kjo është një detyrë krejtësisht e parëndësishme.
Mund të shikoni i2p netDB - nuk ka nyje me IP kineze, por nëse shikoni statistikat e hapura të përdoruesve të shërbimit Tor, ata rregullojnë maksimumi 1000 IP unike kineze në muaj, dhe kjo është për një shumë miliardë- shtet dollar si Kina, e cila ka numrin më të madh të përdoruesve të internetit në botë.
Nga rruga, në këtë rast të një "përparimi" kinezët përdorin obfsproxy, megjithëse bllokimi i tij, me sa mund të them, në këtë fazë të zhvillimit të Firewall-it të Madh Kinez nuk paraqet vështirësi teknike, thjesht nuk ka kuptim. për shkak të numrit të vogël të përdoruesve të kësaj teknologjie ekzotike, si dhe dështimeve të vazhdueshme në punën e saj.
— Si po shkojnë gjërat me VPN dhe SSH?
Situata me VPN është mjaft e diskutueshme - disa ofrues e shtypin atë në mënyrë agresive, disa - pothuajse jo. China Unicom, një nga ofruesit më të mëdhenj të shtyllës kurrizore në Kinën kontinentale, është i njohur gjerësisht për bllokimin e tij. Për momentin, ai përcakton dhe bllokon më shumë se 5 lloje VPN. Për të qenë më specifik, ato janë: OpenVPN, PPTP, L2TP, SSTP dhe Cisco.
Përveç kësaj, kur mbahet konventa e radhës e Partisë Komuniste Kineze, interneti filtrohet në atë mënyrë që edhe ajo që funksionoi në kohë të qeta mund të mos funksionojë këto ditë.
Në përgjithësi, me sa di unë, qeveria kineze do të licencojë fushën e përdorimit të VPN-së, domethënë, pas regjistrimit të duhur shtetëror, do të lejojë përdorimin e VPN-së për qëllime legjitime biznesi dhe ky do të jetë versioni i saj i protokoll i bazuar në OpenVPN. Pas hyrjes në fuqi të këtij ligji, të gjitha protokollet VPN përveç versionit shtetëror do të “prehen” totalisht në portën ndërkufitare.
Sa i përket shërbimit SSH, ka edhe përpjekje për ta bllokuar atë. Sipas një numri shenjash indirekte, teste të tilla kryhen edhe në rrjetet publike, në raste të tilla, në regjistrat, mund të gjeni shumë lidhje të rrëzuara ose të pasuksesshme me një gabim tipik "Identifikimi i versionit të protokollit të keq". Në të njëjtën kohë, kur përpiqeni të lidheni me serverë jashtë Kinës, më pas mund të shihni disa përpjekje false për lidhje nga IP-të kineze që i paraprijnë lidhjes më të rënë. Me sa duket, ky është ekzaminimi i sondës së lidhjes së serverit marrës, të cilin e kemi diskutuar tashmë më lart.
Shpesh, lidhjet e tilla testuese ngatërrohen me forcë brutale, megjithëse në këtë rast është më tepër një përpjekje për të identifikuar në mënyrë pasive një sistem / protokoll në distancë nga modelet karakteristike të reagimit (skanimi i gjurmëve të gishtërinjve).
Pas identifikimit të një shërbimi të tillë, adresa e tij futet (zakonisht për 1-3 muaj) në filtrat e duhur dhe listat e ndalimeve, në mënyrë që në të ardhmen, për të kursyer burime, të shmangen kërkesat rekursive për një host që tashmë është zbuluar dhe identifikuar një herë. Filtra të tillë plotësohen gradualisht me shërbime të ndaluara në Kinë. Pra, duke përfshirë falë sondës së lidhjes, baza e Firewall-it të Madh Kinez rritet dhe zgjerohet plotësisht automatikisht.
- Për ta bërë përshkrimin tonë të plotë, le të shohim dragoin e fundit të keq - Makinat e vektorit mbështetës (SVM).
Dua të theksoj se sonda e lidhjes, dhe aq më tepër SVM, duhet të konsiderohet si një zgjatim, një intelektualizim edhe më i madh i DPI. Mbështetja Vector Machine (SVM) është një tjetër hap në këtë drejtim. Është një algoritëm i mësimit të makinës që përdoret për të klasifikuar automatikisht grupe të mëdha të dhënash heterogjene.
Ne kemi diskutuar tashmë se DPI është një makinë filtruese që nxjerr disa të dhëna në një rrjedhë sipas rregullave statike ose nënshkrimeve. Në të kundërt, SVM bën të mundur skanimin e rrjedhës së internetit bazuar në analizat statistikore pa një grup të ngurtë rregullash. Për shembull, analizoni frekuencën e karaktereve të caktuara, gjatësinë e paketave, analizoni aktivitetin e dyshimtë nga adresat e dhëna, vini re disbalanca të ndryshme dhe anomali të rrjetit, duke zbuluar kështu modele të fshehura. SVM është një bashkëngjitje inteligjente DPI që, duke vazhduar analogjinë tonë antivirus, sjell aftësi heuristike (heuristike "tkurrëse") në procesin e filtrimit të trafikut të internetit.
Për të dhënë një shembull: në Kinë, nuk mund të përmendet përvjetori i protestave në sheshin Tiananmen në Pekin më 4 qershor 1989, kur, në vazhdën e trazirave të mëdha, shumë studentë u shtypën fjalë për fjalë nga tanket. DPI skanon në mënyrë dinamike trafikun kombëtar dhe bllokon çdo URL që përmend datën e specifikuar.
Pasi kinezët filluan ta caktojnë këtë datë si 35 maj (dhe në shumë mënyra të tjera të zgjuara), analiza e zakonshme e nënshkrimit u bë shumë më e vështirë. Por heuristika SVM erdhi në ndihmë, ajo është në gjendje, duke njohur kontekstin, të zbulojë "data të dyshimta" të tilla me ndërhyrje minimale njerëzore.
- Duke përmbledhur, duke marrë parasysh gjithçka që është thënë, a është e mundur të thuhet se prezantimi i planifikuar i DPI "gjithë-ruse" nga Rostelecom është një lloj ogur i keq, një shenjë e zezë për të gjithë Runetin?
Duhet të kuptoni se vetë DPI është mjeti më i fuqishëm modern dhe se si do të përdoret është tashmë një çështje e parimeve morale dhe profesionale të atyre njerëzve në duart e të cilëve përfundon.
Pra, DPI ju lejon të kryeni një sasi të madhe të punës së dobishme për rrjetin - shumë ofrues globalë e përdorin atë për të kontrolluar dhe balancuar trafikun e tyre, operatorët celularë e përdorin atë për të mbledhur statistika të detajuara për çdo përdorues individual, dhe kjo teknologji gjithashtu bën të mundur që në mënyrë adaptive kontrolloni shpejtësinë e transmetimit të paketave individuale (QoS) dhe shumë më tepër. Në përgjithësi, DPI ofron një numër të madh karakteristikash unike në një gamë të gjerë, nga formësimi me cilësi të lartë deri te krijimi i sistemeve të avancuara të spiunazhit si PRISM.
- Duke abstraguar nga qytetet-qendrat e të dhënave kineze dhe mbushja e tyre teknike e fundit, çfarë është interneti kinez nga këndvështrimi i një vëzhguesi të jashtëm? Cilat janë tiparet e tij zhvillimore, cili është përshtatja e tij specifike ndaj një mjedisi të tillë censurues?
— Fakti është se vetë interneti – jo vetëm në Kinë – është një mjedis mjaft reaktiv. Metodat e censurës së zakonshme, të bazuara në mjete teknike dhe ndalime të rënda, nuk janë të zbatueshme për të.
Për shembull, nëse një bloger i njohur lë opinionin e tij kritik për qeverinë kineze në blogun e tij përpara se ta vërejë censurën dhe ta bllokojë atë, si rregull, do të ketë disa postime të kryqëzuara të mesazhit origjinal. Dhe më tej, nëse censuruesit fillojnë të gjuajnë për të gjithë ata, efekti Streisand shpesh funksionon spontanisht - një përpjekje për të mbyllur disa informacione, përkundrazi, tërheq edhe më shumë vëmendjen e komunitetit ndaj tij. Ky fenomen është pasojë e reaktivitetit të madh dhe vetë-reflektimit të mjedisit të rrjetit.
Prandaj, megjithë sasinë e madhe të censurës reale në Kinë dhe nganjëherë bllokimin e portaleve të tëra të shkallës së një agjencie të madhe lajmesh, kohët e fundit në vend po merr vrull një tendencë alternative për të përdorur metoda jo-teknike për të ndikuar në opinionin publik. Pika e tyre kryesore është se nëse nuk është gjithmonë e mundur të heshtni një kundërshtar në internet, atëherë pse të mos drejtoni diskutime të tilla në drejtimin e duhur për shtetin?
- Kam lexuar se së fundmi u njoftua zyrtarisht se Kina ka krijuar një divizion të analistëve të opinionit qeveritar në internet, i cili ka rekrutuar 2 milionë punonjës. Supozohet se këta analistë do të patrullojnë hapësirën virtuale si punën e tyre kryesore. Ata nuk kanë të drejtë të fshijnë asnjë informacion - detyra e tyre është të kontrollojnë tendencat e internetit, të studiojnë disponimin publik të qytetarëve kinezë dhe t'i manipulojnë ato sipas një teknike të veçantë.
- Po, kjo është e njëjta ushtri e rrjetit të padukshme, armët e së cilës janë metoda speciale të ndikimit të fshehtë në Rrjet. Për ta shpjeguar këtë strategji më konvekse, do të jap një rast real.
Rreth dy vjet më parë, interneti kinez shpërtheu në një vdekje mjaft të çuditshme. Një djalë i ri i cili u arrestua për prerje të paligjshme të pyjeve pranë shtëpisë së tij përfundoi në një burg kinez. Atje ai vdiq disa ditë më vonë në rrethana mjaft të çuditshme. Autoritetet e shpjeguan zyrtarisht shkakun e vdekjes së tij duke thënë se “në burg ai luajti fshehurazi me shokët e tij të burgosur dhe u pengua dhe ra, duke goditur kokën në mur”. Interneti kinez e kapi këtë histori shumë gjallërisht, unë do të përmend vetëm një figurë: më QQ.com Brenda një dite, u shfaqën më shumë se 50,000 komente për këtë rast, të gjitha platformat e tjera të internetit ishin gjithashtu fjalë për fjalë të mbushura me indinjatë për absurditetin e këtij incidenti. Të thuash se censuruesit thjesht fizikisht nuk e përballuan dot heqjen e gjurmëve të "zemërisë popullore" këto ditë, do të thotë asgjë.
Nga një rastësi qesharake, personazhi për "luaj fshehurazi" në kinezisht ka gjithashtu një kuptim të dytë - "të ikësh nga një mace", nga e cila përfituan blogerët kinezë. Edhe pas disa vitesh në internet, mund të kërkoni në google një numër të madh referencash për këtë histori për një të burgosur që vdiq në një burg kinez, " i cili u përplas me murin, duke u përpjekur të shpëtonte nga macja". Blogerët, me versionin e tyre të maces fatale, u përpoqën të çonin në kufi absurditetin e shpjegimit zyrtar, i cili solli në jetë atë që tani do të quhej "meme interneti". Në atë kohë, segmenti kinez i Internetit po ziente, censuruesit nuk mund të ndikonin në situatën, veprimet e tyre të heshtjes dhe fshirjes së mesazheve vetëm i shtuan benzinë zjarrit, duke rrotulluar volantin e mosbesimit dhe kritikave të mprehta ndaj qeverisë PRC.
Dhe më pas, në kulmin e pakënaqësisë, diçka ndodhi: një ekip qeveritar krejtësisht i ndryshëm iu bashkua lojës, i cili, në vend të përpjekjeve të mëparshme për të mbyllur masivisht burimet, papritur propozoi një konkurs midis blogerëve më të famshëm të Kinës. Vetë përdoruesve të internetit, me anë të votimit online, iu kërkua të zgjidhnin 5 blogerët më autoritativë për ta, të cilëve më pas iu dha aksesi i plotë në vendngjarje. Autoritetet u dhanë atyre të gjitha të dhënat, të gjitha faktet, akses falas për të gjithë dëshmitarët. Këta blogerë vërshuan rrjetin me fotot dhe komentet e tyre nga vendi i ngjarjes, por pa mundur t'i shtojnë diçka të re thelbit të kësaj vdekjeje të çuditshme.
Por nga ana tjetër, diçka ndodhi me opinionin publik - sapo informacionet nga vendi i ngjarjes filluan të vinin nga burime të pavarura dhe në doza të mëdha, sapo të gjitha të dhënat u hapën sa më shumë që të ishte e mundur - njerëzit pothuajse menjëherë humbën interesin për këtë rast. , dhe shkalla e indinjatës u qetësua shpejt. Kështu, pas kësaj ndërhyrjeje, tajfuni i epidemisë antiqeveritare u shtyp shumë shpejt.
Për arsye të dukshme, nuk është e mundur të tregohen shumë incidente të ngjashme në internetin kinez, por diçka e përbashkët për të gjitha historitë e tilla është e rëndësishme - metodat e kontrollit evoluojnë, bëhen më delikate, të fshehura dhe të shumëanshme. Përveç censurës së rreptë dhe të detyrueshme përmes bllokimit thjesht teknik, në rastin e epidemive online, përdoren teknologji krejtësisht të ndryshme për të ndikuar në opinionin publik.
Prandaj, nuk duhet të përqendrohemi vetëm në mjetet teknike që po zhvillohen gjithashtu me shpejtësi në Kinë, sepse para syve tanë po krijohen dhe perfeksionohen thelbësisht teknologjitë e reja të menaxhimit, ku shpesh të gjitha avantazhet e internetit si një mjedis i hapur po përdoren nga autoritetet me shenjën e kundërt – tashmë për kontroll të fshehtë dhe kufizime të lirisë së shprehjes.
- A është e mundur të krahasohet disi Interneti i Kinës me Runetin e zakonshëm për sa i përket shkallës së lirisë së qytetarëve të tyre?
- Në nivelin më të ulët në Kinë, praktikisht nuk ka censurë - nëse shikoni rrjetet e tyre sociale, ato janë plot me thashetheme dhe akuza të autoriteteve, ku e vërteta dhe marrëzitë e plota janë plagosur fort në një lëmsh të përbashkët emocionesh. Pothuajse askush nuk e lexon këtë, si dhe një mur personal, mendoj, 70% e anëtarëve të panjohur të rrjetit tonë social VKontakte, të cilët janë të lirë të shkruajnë çfarë të duan atje.
Niveli tjetër është kritika sistematike, argumentimi, blogerët e zgjuar dhe aktivë me audiencën e tyre, këtu tashmë ka një tension të caktuar, ka censurë aktive dhe fshirje të mesazheve provokuese. Gjatë tremujorit, sipas fiziologut të Harvardit G. King, deri në një milion mesazhe dhe komente mbi to fshihen nga autoritetet e censurës së rrjetit të Kinës. Dhe së fundi, niveli i tretë janë blogerët më të mirë me një audiencë të madhe. Ose këto janë situata kur një temë shfaqet dhe merr një përgjigje të gjerë publike dhe rrjeti.
Këtu, një sërë opsionesh për kundërshtim dhe ndëshkim aktiv janë të mundshme: nëse iniciatori i blogerit mund të akuzohet për diçka, ai mund të arrestohet, duke nxjerrë një "dhëmb të keq nga rrënja". Nëse epidemia e rrjetit është shumë e fortë dhe e delokalizuar, atëherë në rast përfshihen "forcat speciale të rrjetit", të cilët po përpiqen të "shfryjnë avullin" duke përdorur teknologji të ndryshme të zgjuara për të kontrolluar shoqërinë përmes fuqisë së butë (për shembull, historia e përshkruar më parë me një përpjekje e pasuksesshme për të shpëtuar një të burgosur nga një mace).
Të tre këto nivele ekzistuese në të njëjtën kohë krijojnë një opinion kontradiktor dhe një farë konfuzioni, duke shkaktuar shpesh përshtypjen e parë të një të huaji në rrugën e gabuar. Pra, njerëzit e rastësishëm dhe të jashtëm të vendit (“turistët”) shohin shumë kritika anti-qeveritare në llogaritë anonime, gjë që krijon një ndjenjë të rreme të lirisë relative. Nga ana tjetër, vitin e kaluar autoritetet arrestuan menjëherë 6 blogerë të njohur dhe i futën në burg, duke i akuzuar për “përhapjen e thashethemeve për një grusht shteti ushtarak të afërt”.
Në rastin e fundit, nuk duhet të përpiqeni ta kuptoni shumë seriozisht formulimin zyrtar, sepse kur Wikipedia u mbyll këtu, ajo u justifikua me luftën kundër "propagandës së agresionit dhe dhunës", të cilën kjo enciklopedi falas online gjoja e kryen në të gjithë botën. botë.
– Sa i përket tre “niveleve kineze”, gjithçka është e qartë. Çfarë mund të thuhet për anonimitetin?
“Nuk ka anonimitet në Kinë. Në Kinë, ka ligje që kërkojnë që blogerët të regjistrohen me të dhënat e tyre reale të pasaportës. Kjo bëhet me pretekstin e “përmirësimit të besimit në rrjet për njëri-tjetrin dhe mbrojtjes së interesave të përdoruesve të palëve të treta”.
Ekziston gjithashtu një ligj që ju detyron të dokumentoni identitetin tuaj kur lidhni ndonjë marrëveshje për marrjen e shërbimeve të aksesit në internet. Të gjitha faqet e vendosura fizikisht në vetë Kinën i nënshtrohen regjistrimit të detyrueshëm në Ministrinë e Industrisë dhe Teknologjisë së Informacionit, e cila përcakton me shumë përpikëri se çfarë lloj siti është dhe kush është përgjegjës për çfarë. Kështu, për çdo rezultat të ngjarjeve, ka gjithmonë një person specifik përgjegjës për çdo shkelje të mundshme.
Shtojini këtij kontrolli të vazhdueshëm të sfondit (nuk po flas vetëm për internetin, mbani mend të paktën ndalimin e fundit nga SHBA për shitjet e pajisjeve Huawei që doli të ishin të mbushura me defekte, ose historia e Shën Petersburgut për hekurat kineze që lidhen në mënyrë arbitrare në rrjetet publike Wi-Fi), ku i gjithë trafiku dhe aktiviteti juaj në rrjet monitorohet dhe regjistrohet me kujdes. Këtu, çdo përdorues, madje edhe teknikisht më i prapambetur i rrjetit e di mirë se aktiviteti i tij po regjistrohet.
Për shembull, mund të provoni të përdorni një VPN ose të bisedoni me dikë jashtë vendit duke përdorur PGP, dhe me aftësinë dhe aftësinë e duhur, madje mund të funksionojë. Por në të njëjtën kohë, është e qartë për të gjithë se do të regjistrohet vetë fakti i përdorimit të teknologjive të tilla, të cilat në të ardhmen, me rrethana të tjera rënduese, mund të çojnë në përndjekjen tuaj. Teknologjitë e filtrimit heuristik si SVM, meqë ra fjala, janë në gjendje të zbulojnë automatikisht përdorimin tuaj të pothuajse çdo kriptografie, e cila gjithashtu tërheq vëmendjen së pari te trafiku, dhe më pas te personi juaj.
Unë do të formuloj vëzhgimin kryesor. Pas 6 vitesh jete lokale, pata përshtypjen se Kina, me sistemin e saj të kontrollit total të sfondit dhe ndëshkimeve periodike ashpërsisht demonstruese, po përpiqet vazhdimisht të zhvillojë një model të sjelljes së qytetarëve, brenda të cilit një person do të ekspozohej vullnetarisht dhe në mënyrë të pandërgjegjshme ndaj një akt autocensurimi, duke kuptuar vazhdimisht se çdo hap apo deklaratë e tij brenda rrjetit regjistrohet me kujdes. Dëshira për të frenuar veten, e nxitur kryesisht nga frika themelore, përfundimisht bëhet natyrë e dytë.
Pra, arrijmë në një dikotomi të çuditshme për evropianin më liberal: teknikisht, ju mund të shkruani çfarëdo që mendoni, por shumica e kinezëve preferojnë të mos e bëjnë këtë. Pastaj fëmijët e mësojnë këtë nga baballarët e tyre, kështu që breza të tërë qytetarësh besnikë të përhershëm ndaj vendit rriten pa këndvështrimin e tyre. Kjo, meqë ra fjala, janë rrënjët e këqija të kolektivitetit dhe patriarkatit të tyre të lavdëruar...
— Duke parë nga jashtë, cili është parashikimi juaj për Runet? Në krye të vendit tonë të madh, i cili i shërben fizikisht grupit kryesor të internetit rusishtfolës, është presidenti i përhershëm, një kolonel i KGB-së dhe një anëtar i CPSU që nga viti 1975, çfarë tendencash në zhvillimin e rrjetit prisni në kjo lidhje?
“Natyrisht, gjërat do të bëhen më të vështira. Por më lejoni të shpreh skepticizmin tim - unë personalisht nuk mendoj se ky do të jetë pikërisht "versioni kinez", sepse kjo qasje, më besoni, është jashtëzakonisht e teknologjisë së lartë. Më lejoni t'ju kujtoj se në Rusi ata ende nuk dinë as të filtrojnë faqet e internetit individuale të ndaluara nga gjykata, duke ndaluar barbarisht një bandë burimesh menjëherë nga IP e tyre e përbashkët.
Prandaj, e përsëris edhe një herë, nuk ka nevojë të trembni rrjetin lokal me "versionin kinez". Me shumë mundësi, mungesa e aftësive reale teknike do të kompensohet me ligjvënie të fuqishme dhe "forcë brutale" thjesht administrative. E vetmja gjë e përbashkët me Kinën është se me kalimin e kohës, një presion i tillë do të formojë një sindromë të vetëcensurës të stilit kinez midis popullatës. Kjo do të thotë, mënyra e të menduarit për një gjë, dhe e të folurit (komentimit) të një tjetri, me një sy të vazhdueshëm në "pavarësisht se si ndodh", e cila, për ta thënë më butë, është larg komunikimit normal njerëzor dhe vetë-shprehjes. .
Sidoqoftë, në gjerësitë gjeografike ruse, IMHO, kjo ka shumë të ngjarë të çojë jo në përulësi, por në paparashikueshmërinë e popullsisë që tashmë ka rrëmbyer "fytin e lirisë".
- Le ta përfundojmë përshkrimin tonë të internetit aziatik me pyetjen e fundit që shtrohet nga një avantazh: cilat janë gjërat më ekstreme për sigurinë tuaj që mund të bëni në internetin kinez tani?
- Do të veçoja dy pika serioze: këto janë çdo deklaratë kundër vetë censuruesve dhe censurës, si dhe çdo thirrje për aksion kolektiv popullor offline.
Në rastin e parë, Kina po bën përpjekje titanike që vetë fakti i censurës, kontrollit dhe survejimit të mos ndihet nga jashtë nga shumica e qytetarëve të thjeshtë të vendit, pra që ky fenomen të mos diskutohet dhe të mos regjistrohet në asnjë. mënyrë. Çdo përpjekje juaj për të diskutuar hapur pikërisht këtë çështje, për të vënë në dukje faktet e kontrollit, ka shumë të ngjarë të ketë pasoja shumë të rënda (në përpjesëtim të drejtë me shkallën e bindjes dhe seriozitetit të fakteve të paraqitura). Paradoksi është se sot është më e sigurt të kritikosh vetë udhëheqjen e Partisë Komuniste sesa metodat e saj për të kontrolluar rrjetin apo shoqërinë.
Sa për të dytën - nëse doni të mblidhni njerëz për çfarëdo qëllimi - kjo do të shtypet ashpër. Më lejoni t'ju kujtoj edhe një herë për pjesën kryesore të strategjisë: deklaratat kritike personale ose kritikat e fragmentuara nga qytetarët janë më së shpeshti të pranueshme, por çdo përpjekje për diskutime kolektive, vetëorganizim ose shoqata të bazuara në pikëpamje të përbashkëta dhe, për më tepër, dalje jashtë linje. me ta, janë kategorikisht të papranueshme. Për këtë arsye, edhe grupet e çiklistëve bllokohen në rrjet nëse tentojnë të mblidhen masivisht offline. Autoritetet kineze janë të tmerruara nga çdo konsolidim i qytetarëve, megjithatë, ky funksion, për mendimin tim, do të sigurojë interneti më "i rritur" i së ardhmes.
Si pjesë e ditëve të fundit PHD, u mbajtën një sërë raportesh në lidhje me analizën e efektivitetit të mjeteve juridike ekzistuese:
Duke anashkaluar DPI, Olli-Pekka Niemi (Opi)
Teoria e gënjeshtrës: duke anashkaluar WAF moderne, Vladimir Vorontsov
Një duzinë mënyra për të kapërcyer sistemet DLP, Alexander Kuznetsov, Alexander Tovstolip
Pse u interesova për këto raporte? Sepse si pjesë e punës sime jam i angazhuar në hartimin dhe zbatimin e zgjidhjeve, sigurinë e informacionit dhe prisja informacione që do të më ndihmonin të marr parasysh faktorë shtesë gjatë dizajnimit, t'i kushtoj vëmendje funksioneve të caktuara gjatë konfigurimit dhe, si rezultat, merrni një sistem mbrojtjeje vërtet efektive dhe jo "letër".
Në raportin e tij Olli-Pekka tregoi për shërbimin pentest shmangës, disa teknika për anashkalimin e mbrojtjeve ( evazionit). Vetë programi Evader është një gjë e shkëlqyer, por raporti kishte disa disavantazhe:
· Së pari, mospërputhja midis përmbajtjes dhe titullit. për të DPI asnjë lidhje. Shtrirja e Evader dhe metodat e përshkruara të anashkalimit janë kryesisht sisteme të mbrojtjes së rrjetit të bazuara në nënshkrim (NGFW, IPS)
Së dyti, raporti nuk e justifikonte nivelin e vështirësisë prej 200. Do të kishte mjaftuar 100. Meqenëse ishte një ritregim i shkurtër i përkufizimeve të teknikave të ndryshme të evazionit dhe një demonstrim i ndërfaqes Evader
· Së treti, tema e vjetër. Kam dëgjuar tashmë një raport të ngjashëm në Stonesoft 2 vjet më parë. Që atëherë, asnjë fjalë e re nuk është shtuar.
Tani, në thelbin e çështjes: meqenëse raporti nuk përmendi saktësisht se cilat mjete kanë çfarë disavantazhesh, do të duhet të vendosim në mënyrë të pavarur stolin e provës Evader, për të cilin kam shkruar tashmë më herët. Përfundoni duke përdorur mongbat me të gjitha kombinimet e mundshme të evazionit, identifikoni ato që nuk zbulohen nga muri ynë i zjarrit. Për më tepër, konfiguroni mbrojtjet në mënyrë që ato të zbulojnë sulme edhe me teknikat e anashkalimit (jam i sigurt se në 90% të rasteve kjo mund të bëhet). Dhe për 10% të mbetur të sulmeve të pazbulueshme, vendosni për nevojën për masa të tjera "kompensuese".
Për shembull, nëse kemi një aplikacion në internet, dhe FW dhe IPS nuk mund të zbulojnë sulme, atëherë nevojitet WAF. Ose, siç sugjerohet nga Stonesoft, përdorni masën e përkohshme të Stonesoft Evasion Prevention System (EPS), e cila mund të futet në çdo infrastrukturë pune.
Raporti i anashkalimitWAF ishte shumë i mirë për sa i përket aftësive prezantuese të folësit dhe interesit - ai u bind lehtësisht dhe natyrshëm. POR informacioni i dobishëm që më duhej dhe për të cilin shkrova më lart nuk ishte aty:
· Vetë folësi thotë se sipas një sërë mangësish WAF (DoS, Protocol-Level Evasion, mbrojtur nga Hostname, Ndotja e Protokollit HTTP), ai thotë se ato shoqërohen me konfigurim të dobët të mjetit mbrojtës, pastaj bën një gabim logjik. dhe thotë se vetë WAF-të janë të këqija.
· Teknikat e bypass-it u renditën në modalitetin e ritregimit, pa demonstrime, detaje, etj.
· Gjatë rrugës, folësi thotë vazhdimisht "në WAF-et e korporatave gjithçka është aq e keqe sa nuk do t'i konsideroj ato në këtë seksion, do të konsideroj vetëm mjetet e sigurisë me burim të hapur". Nga kjo konkludoj se folësi është aq i keq në marrjen e WAF-ve "korporative" për testim dhe me përvojën e vendosjes së tyre sa nuk dëshiron të prekë këtë temë të lënduar.
· Folësi i referohet një krahasimi të fundit të shërbimeve cloud WAF, i cili arrin në përfundimin se ato janë të dobëta në performancë. Këtu mund të them vetëm se shërbimet cloud janë vërtet të dobëta për momentin (më të dobëta se WAF-të e dedikuara të korporatave). Kjo është për shkak të cilësimeve WAF në këtë ofrues të veçantë të shërbimit, dhe jo me një lloj dobësie në zgjidhjet e tipit WAF në përgjithësi.
· Disa nga dobësitë e cituara nga autori janë dobësi të shërbimeve dhe aplikacioneve fundore dhe nuk lidhen me WAF (i cili i zbulon ato në mënyrë perfekte). Pse i solli autori në këtë temë? Ndoshta ka vendosur të postojë gjithçka që di për sigurinë në internet.
Në fund, folësi thotë se ai po zhvillon mjetet e tij thelbësisht të reja për mbrojtjen e aplikacioneve në internet (këtu u zbuluan arsyet e vërteta për të kritikuar WAF)
Në fakt, WAF ka mjaft rregulla normalizimi dhe kontrolli të protokollit, thjesht duhet t'i konfiguroni ato në mënyrë korrekte. Është mjaft e mundur që autori i raportit nuk ka shpenzuar kohë të mjaftueshme për të studiuar opsionet e mundshme për ngritjen e WAF-ve "korporative".
Vetë parimet dhe teknologjitë e funksionimit të WAF-ve moderne të korporatave janë shumë të ndryshme nga ato për të cilat foli folësi, ky nuk është më një grup nënshkrimesh të dallueshme. Ata tashmë kanë:
një sistem i kontrollit autoritativ të aksesit, në të cilin ne vendosim në mënyrë eksplicite se çfarë mund të bëjë një përdorues në një aplikacion ueb (të mos ngatërrohet me kërkesat e bllokimit të bazuara në nënshkrimet e sulmit)
profilizimi dinamik, në të cilin sistemi vendos automatikisht profilet e kërkesave të përdoruesve normalë dhe zbulon një devijim jonormal
mbrojtja ndaj sulmeve të automatizuara (Automated attack), në kuadër të së cilës zbulohet inventari i jashtëm, numërimi, faza, etj.
Korrelacioni me sistemet e mbrojtjes së bazës së të dhënave, brenda të cilave WAF merr informacion se çfarë kërkese dhe përgjigje kaloi në të vërtetë nga serveri i aplikacionit në internet në serverin e bazës së të dhënave
Këto mekanizma nuk u përmendën dhe konkludoj se ishin të panjohura për folësin.
duke kapërcyerDLP. Sipas folësve, problemet kryesore janë për shkak të cilësimeve të paracaktuara, gabimeve në konfigurim dhe një sistemi të pambështetur. Por kishte edhe mangësi të dukshme të vetë zgjidhjeve DLP (për fat të keq, pa specifikuar se cili version i cilit produkt u testua):
çaktivizimi i shërbimit me të drejta administratori (duke riemërtuar skedarin e shërbimit)
Kopjimi i dokumenteve të mbrojtura në një kriptokonteiner të lidhur lokalisht
kopjimi pak nga pak i dokumentit deri në fund të figurës
kur sistemi fillimisht lejon kopjimin, pastaj bllokon dhe fshin skedarin nga media, mund të provoni të rivendosni skedarin e fshirë
fshirja e regjistrit me ngjarjet DLP me të drejta administratori
Të gjitha këto mangësi mund të përdoren me një shtrirje. Pra, në procesin e eliminimit të mangësive të tilla nga shitësit, mund të merren masa alternative - të konfiguroni saktë të drejtat e përdoruesit në OS dhe në sistemin e skedarëve, të kontrolloni listën e softuerit të instaluar të palëve të treta dhe aktivitetin e vazhdueshëm të shërbimeve DLP.
4. Ideja e përbashkët e të tre folësve është nevoja për rregullim kompetent të mjeteve të sigurisë së informacionit, monitorim i vazhdueshëm dhe optimizim i cilësimeve. Parimi i "vendosjes dhe harrimit" në botën e sigurisë reale të informacionit nuk funksionon.
5. Nga përvoja ime, mund të shtoj se në projekte gjithmonë përpiqem të diskutoj me klientët sasinë e kërkuar të punës për projektimin dhe vendosjen e pajisjeve mbrojtëse. Në varësi të zgjidhjes, kostoja e punës mund të tejkalojë edhe koston e vetë zgjidhjes, kështu që klientët jo gjithmonë zgjedhin opsionin me konfigurim të detajuar dhe rregullim të imët në vend.
Opsione buxhetore të porositura shpesh me cilësime standarde. Dhe nuk jam i sigurt se vetë administratorët marrin trajnim të mjaftueshëm për të konfiguruar produktin, konfiguruar dhe mirëmbajtur të gjitha funksionet e nevojshme. Nëse cilësimet mbeten të paracaktuara, atëherë fjalët e të gjithë folësve do të jenë të drejta - një sulmues mund të gjejë shpejt masa për të anashkaluar mbrojtjen.
Rezulton se nëse doni të kurseni para për konfigurimin dhe mirëmbajtjen e sistemit, jini të përgatitur të paguani rregullisht për pentestin (ose analizën e performancës).
6. Një përfundim tjetër - Në mënyrë që një haker të kuptojë se si të anashkalojë sistemin tonë të mbrojtjes, ai duhet të vendosë dhe testojë një analog të saktë. Nëse përdorim një zgjidhje të shtrenjtë korporative, atëherë ky opsion nuk është i disponueshëm për një haker të rregullt.
Ai do të duhet të kryejë teste në sistemin tonë të prodhimit. Dhe këtu është shumë e rëndësishme të përdoret monitorimi i sistemit të mbrojtjes dhe analiza e ngjarjeve të sigurisë së informacionit. Nëse kompania i ka këto procese në vend, atëherë ne mund të identifikojmë burimin e sulmit dhe shërbimin nën hetim përpara se një sulmues të mund të zbulojë një metodë të mirë për të anashkaluar sistemin e mbrojtjes.
Deep Packet Inspection, ose DPI, analizon paketat që kalojnë nëpër të dhe i ridrejton, shënon, bllokon ose kufizon ato, duke ju dhënë kontroll pothuajse të plotë mbi trafikun. Për të identifikuar paketat, pajisje të ndryshme përdorin parametra të ndryshëm: sekuencë, madhësi, përmbajtje, etj., gjë që në fund bën të mundur rishpërndarjen e trafikut midis abonentëve sipas përparësisë dhe madje mbledhjen e statistikave të detajuara të lidhjes për çdo përdorues individual.Gjithashtu, DPI ju lejon të optimizoni rrjetin, duke e parandaluar atë nga mbingarkesa dhe duke e mbrojtur, për shembull, nga sulmet DDoS. Përveç kësaj, është e mundur të optimizohet rrjedha e të dhënave brenda rrjetit duke caktuar trafikun prioritar në një ditë/orë të caktuar të ditës ose për kategori të caktuara përdoruesish. Për shembull, natën, trafiku nga një burim lejohet të marrë më shumë gjerësi brezi sesa gjatë ditës. Gjatë ditës, përparësi i jepet trafikut tjetër të internetit.
Shqyrtim i shkurtër
Të dy kompanitë e huaja dhe ruse janë të përfaqësuara në tregun e shërbimeve DPI. Shitësit e huaj kanë përvojë të gjerë: pothuajse të gjitha kompanitë - Allot communications, Huawei Technologies, Procera Networks, Sandvine Incorporated - janë marrë me zgjidhje DPI për më shumë se 15 vjet. Përvoja e prodhuesve vendas - NAPA Labs, Peter Service, VAS Experts, Proteus - është më modeste, por ata tërheqin klientët për shkak të çmimit: kostoja më e ulët e zgjidhjeve në rubla është një avantazh i shkëlqyer.Sistemet e huaja përdorin zgjidhjet e tyre harduerike, gjë që e bën pajisjen e përfunduar më të besueshme, por ndikon ndjeshëm në koston në drejtim të rritjes së saj. Komplekset ruse punojnë në serverë standardë - kjo ju lejon të rritni kapacitetin e zgjidhjes. Për më tepër, kjo qasje siguron përputhshmërinë e softuerit me shumicën e platformave harduerike. Një mizë e mundshme: me këtë qasje, zgjidhjet perëndimore mund të rezultojnë të jenë më të qëndrueshme se ato shtëpiake (optimizimi i sistemeve për pajisje të caktuara i ka bërë gjithmonë kompjuterët më produktivë dhe të qëndrueshëm).
E rëndësishme: softueri i të gjitha sistemeve ruse është "mprehur" sipas ligjit rus. Më 9 shtator 2016, Kommersant publikoi informacione në lidhje me draftin e udhërrëfyesit për zëvendësimin e importit të pajisjeve të telekomunikacionit në Rusi për 2016–2020 (lexoni më shumë rreth tij në blogun tonë). Sipas këtij dokumenti, disa shitës të huaj do të detyrohen të largohen nga tregu rus.
Zgjidhjet në treg
Konkurrenca në treg është mjaft e fortë, kështu që shitësit ofrojnë linja produktesh për segmente të ndryshme (përdorues të korporatave, ofrues të internetit dhe operatorë telekomunikacioni) dhe cilësime fleksibël të performancës.Për shembull, në linjën Procera PacketLogic ka 6 pajisje që ndryshojnë në gjerësinë e brezit (nga 1 Gb / s në 600 Gb / s), numrin maksimal të lidhjeve (nga 400 mijë në 240 milion), madhësinë e platformës harduerike ( nga 1U në 14U) dhe etj. Seria më e re e platformave PL1000 është e përshtatshme për raportim, statistika dhe serverë në trend, dhe seria PL20000 është e klasit transportues dhe tashmë është në gjendje të identifikojë trafikun e rrjetit duke përdorur DRDL në kohë reale, si dhe të funksionojë me trafik asimetrik.
Vlen të theksohet vendimi i Allot Communications. Pajisjet e serisë Allot NetEnforcer janë sisteme harduerike të analizës dhe menaxhimit të trafikut të rrjetit që optimizojnë shërbimin e ofrimit të aksesit në internet me brez të gjerë për përdoruesit e korporatave dhe ofruesit e shërbimeve të internetit. Zgjidhja gjithashtu arrin të identifikojë dhe veçojë llojin e trafikut (p2p, video, skype, etj.).
Një tjetër kompleks i kompanisë - Allot Service Gateway - u krijua për operatorët celularë. Porta ju lejon të identifikoni trafikun me shpejtësi deri në 160 Gb / s, ta analizoni atë dhe ta vizualizoni atë për të optimizuar gjerësinë e brezit dhe për të përmirësuar cilësinë e shërbimit.
Sa për prodhuesit rusë, ata gjithashtu po përpiqen të vazhdojnë. Ne në VAS Experts jemi të specializuar edhe në krijimin dhe zbatimin e shërbimeve në fushën e kontrollit dhe analizës së trafikut.
Për shembull, portofoli ynë përfshin sistemin SCAT, i cili ka 6 platforma harduerike: nga SCAT-6 (6 Gb/s, deri në 400 mijë abonentë, 1U) në SCAT-160 (160 Gb/s, deri në 16 milionë abonentë, 3U). "SKAT" dallon më shumë se 6000 protokolle, mund të funksionojë në 3 mënyra ("break", asimetria e trafikut në dalje, pasqyra e trafikut), të menaxhojë pajtimtarët me IP dinamike dhe mbështet disa lloje të Netflow.
Një kompani tjetër ruse, Napa Labs, prodhon një softuer dhe sistem harduerësh të klasit DPI Equila në dy versione me funksione të ndryshme, duke llogaritur në interesin e ofruesve të internetit dhe klientëve të korporatave:
Shitësit e tjerë synojnë vetëm një segment të caktuar të tregut. Për shembull, STC PROTEI furnizon kompleksin e softuerit dhe harduerit PROTEI DPI për operatorët e telekomit. Zgjidhjet e kompanisë dallohen nga performanca e tyre dhe zgjidhin problemet e analizës dhe menaxhimit të trafikut, ofrimit të shërbimeve me vlerë të shtuar (VAS) dhe kufizimit të aksesit në burime të caktuara.
Huawei ofron sisteme vetëm për ISP-të. Zgjidhja e tij është sistemi i analizës së trafikut SIG9800-X, një portë shërbimi në klasën e transportuesit e ndërtuar mbi një platformë rrugëtimi. Kjo ju lejon të kryeni të gjitha funksionet e DPI: analizën dhe menaxhimin e trafikut, vizualizimin e raporteve mbi përdorimin e gjerësisë së brezit të aplikacionit, QoS dhe mbrojtjen kundër sulmeve të rrjetit.
Komponentët individualë
Disa zgjidhje ofrojnë veçori shtesë për një tarifë. Përveç një game të gjerë zgjidhjesh, ne në VAS Experts ofrojmë një zgjedhje prej 3 opsionesh licence për çdo platformë SCAT dhe një komponent shtesë - Serverin CACHE.Peter-Service ofron një zgjedhje prej 4 komponentësh të sistemit të tij TREC DPI. Kjo perfshin:
- biblioteka e softuerit TREC.SDK për analizën e trafikut duke përdorur teknologjinë DPI (Inspektimi i thellë i paketave)
- produkte softuerike TREC.Analyser dhe TREC.MDH për monitorimin, ruajtjen dhe analizimin e trafikut, si dhe menaxhimin e tij
- sisteme softuerike dhe harduerike për përpunimin e trafikut me një gjerësi bande maksimale prej 10 Gb/s, 80 Gb/s dhe 600 Gb/s
- Sherbime Profesionale - sherbime konsulence ne fushen e aplikimit te teknologjise DPI
Përveç produkteve individuale me funksionalitetin e tyre, mund të blini gjithashtu module për shkallëzimin e rrjetit brenda së njëjtës linjë produkti. Ky opsion mbështetet nga të gjithë prodhuesit e sistemeve DPI. Sa i përket shkallëzueshmërisë së sistemeve ruse, për shkak të përdorimit të pajisjeve standarde, nuk shkakton probleme - kjo është padyshim një plus.
Platformat virtuale
Avantazhi kryesor i platformave virtuale është aftësia për të instaluar në çdo pajisje të pajtueshme. Jo të gjithë shitësit e kanë këtë opsion, gjë që shpjegohet me përdorimin e pajisjeve speciale nga sistemet e huaja. Por një mundësi e tillë ofrohet nga Procera në Platformën PacketLogic / V dhe Sandvine në Serinë Virtuale PTS. Sa i përket tregut të brendshëm, Peter-Service ofron të vendosë zgjidhjen e tij në një mjedis virtual.Platformat kanë të njëjtat veçori si zgjidhjet harduerike, por janë më fleksibël dhe konsumojnë sasinë e burimeve që nevojiten nën ngarkesën aktuale. Ato gjithashtu integrohen lehtësisht me infrastrukturën virtuale të operatorit, duke përfshirë rrjetin virtual.
konkluzioni
Përmbledhje: Zgjidhjet ruse kanë një kosto më të ulët (krahasuar me ato të huaja) dhe, në përputhje me rrethanat, një shpagim të shpejtë. Platforma e gjithanshme e harduerit dhe softuerit e bën të lehtë shtimin e ndërfaqeve të rrjetit, rritjen e kujtesës dhe rritjen e numrit të bërthamave të procesorit, por mund të rezultojë në ulje të stabilitetit.Sa i përket furnitorëve të huaj, shumica prej tyre janë në treg prej më shumë se 15 vitesh dhe kanë një gamë të gjerë produktesh për të gjitha segmentet. Ata gjithashtu prodhojnë sisteme me performancë të lartë dhe të qëndrueshme në platformat e tyre harduerike, megjithatë, mundësi të tilla sjellin disa disavantazhe: koston e lartë të sistemeve dhe moduleve shtesë, plus kosto shtesë të licencës për shkallëzim.
Lexim shtesë
Inspektimi i thellë i paketave(shkurt. DPI, gjithashtu inspektimi i plotë i paketës dhe Nxjerrja e informacionit ose IX, rus. Inspektimi i thellë i paketave është një teknologji për mbledhjen e të dhënave statistikore, kontrollimin dhe filtrimin e paketave të rrjetit sipas përmbajtjes së tyre. Ndryshe nga muret e zjarrit, Deep Packet Inspection analizon jo vetëm titujt e paketave, por edhe përmbajtjen e plotë të trafikut në të gjitha nivelet e modelit OSI, duke filluar nga i dyti dhe më i lartë. Përdorimi i Inspektimit të Deep Packet ju lejon të zbuloni dhe bllokoni viruset, të filtroni informacione që nuk plotësojnë kriteret e specifikuara.
përmbajtjen |
Hyrja / Paraqitja e problemit të sigurisë së informacionit
Sistemi DPI kryen analiza - analiza të thella të paketave në shtresat e sipërme të modelit OSI, dhe jo vetëm numrat standardë të portave të rrjetit. Përveç studimit të paketave sipas modeleve të caktuara standarde, me anë të të cilave është e mundur të përcaktohet pa mëdyshje nëse një paketë i përket një aplikacioni specifik: sipas formatit të kokës, numrave të portave, etj., sistemi DPI kryen gjithashtu të ashtuquajturën analizë të trafikut të sjelljes. , i cili ju lejon të njihni aplikacionet që nuk përdorin tituj të njohur më parë për shkëmbimin e të dhënave dhe strukturat e të dhënave si BitTorrent.
Problemi kryesor i të gjitha zgjidhjeve ekzistuese DPI është se për të përcaktuar në mënyrë të qartë nëse një rrjedhë e caktuar e të dhënave i përket një prej aplikacioneve të rrjetit, një pajisje që analizon trafikun duhet të përpunojë të dy drejtimet e seancës: trafiku hyrës dhe ai dalës brenda të njëjtit rrymë duhet. kaloni nëpër të njëjtën pajisje. Nëse pajisja pranon që trajton vetëm një drejtim brenda një sesioni, ajo nuk ka asnjë mënyrë për ta lidhur atë rrjedhë me ndonjë kategori të njohur trafiku. Në të njëjtën kohë, prania e një sasie të madhe trafiku asimetrik është një skenar i zakonshëm për operatorët e mëdhenj. Prodhues të ndryshëm ofrojnë zgjidhje të ndryshme për këtë problem.
Një problem tjetër që po bëhet gjithnjë e më i përhapur është përdorimi i gjerë i mjeteve të enkriptimit të trafikut në rrjet dhe përdorimi i TLS / SSL si pjesë e protokollit HTTPS, i cili nuk lejon përdorimin e mjeteve klasike të analizës së thellë për to.
Sistemet DPI mund të implementohen si në softuer (Tstat, OpenDPI, Hippie, L7-filter, SPID) dhe në harduer (produkte të Allot Communications, Procera Networks, Cisco, Sandvine). Vitet e fundit, opsioni i fundit është bërë gjithnjë e më popullor. Performanca e këtyre zgjidhjeve mund të variojë nga qindra Mbps në 160 Gbps për një pajisje të vetme harduerike, e cila gjithashtu mund të grumbullohet për të rritur performancën. Kostoja mund të ndryshojë nga disa mijëra në miliona dollarë amerikanë.
Sistemi DPI zakonisht instalohet në skajin e rrjetit të operatorit, kështu që i gjithë trafiku që del ose hyn në këtë rrjet kalon përmes DPI, gjë që bën të mundur monitorimin dhe kontrollin e tij.
Aplikacion
Falë prezantimit të sistemeve DPI, operatori ka një mjet të fuqishëm për zgjidhjen e problemeve të ndryshme në funksionimin dhe zhvillimin e rrjetit.
Reklamim i synuar
Për shkak se operatorët e telekomit drejtojnë trafikun e rrjetit të të gjithë klientëve të tyre, ata mund të kryejnë një analizë të detajuar të sjelljes së përdoruesve në ueb, gjë që u mundëson atyre të mbledhin informacione rreth interesave të përdoruesve. Ky informacion mund të përdoret nga kompani të specializuara në reklamat e synuara. Kjo qasje ka fituar pranim ndërkombëtar. Si rregull, informacioni mblidhet pa dijeninë dhe pëlqimin e përdoruesve.
Implementimi QoS
Sistemi DPI mund të përdoret për të shkelur neutralitetin e rrjetit - zbatimin e QoS. Pra, me ndihmën e DPI, operatori i të dhënave mund të kontrollojë përdorimin e kanaleve në të cilat janë instaluar sistemet DPI në nivelin e 7-të OSI. Zgjidhja klasike e problemit të zbatimit të QoS bazohet në ndërtimin e radhëve, bazuar në shënimin e trafikut me bit shërbimi në IP, 802.1q dhe kokat MPLS, me alokimin e trafikut prioritar (për shembull, VPN ose IPTV). Këtij trafiku i garantohet gjerësia e brezit të specifikuar në çdo kohë të caktuar. Në të njëjtën kohë, trafiku i shërbyer sipas parimit "Best Effort", i cili përfshin, ndër të tjera, trafikun e abonentëve në shtëpi, mbetet i pakontrolluar, gjë që bën të mundur përdorimin e një sërë protokollesh, për shembull, BitTorrent. i gjithë grupi i lirë vetëm.
Përdorimi i DPI i siguron operatorit mundësinë për të shpërndarë kanalin midis aplikacioneve të ndryshme dhe për të futur politika fleksibël të kontrollit të trafikut: për shembull, lejo trafikun BitTorrent të përdorë më shumë bandwidth gjatë natës sesa gjatë ditës. Një veçori tjetër e përdorur shpesh nga operatori është bllokimi ose kufizimi i konsiderueshëm i gjerësisë së brezit të një lloji të caktuar trafiku, për shembull, telefonia VoIP nga operatorët celularë, e cila redukton humbjet financiare nga mospërdorimi i shërbimeve të komunikimit nga përdoruesit.
Menaxhimi i Abonimit
Një aspekt tjetër i zbatimit të QoS të bazuar në DPI është aftësia për të hyrë me abonim. Rregullat në bazë të të cilave kryhet bllokimi mund të specifikohen duke përdorur dy baza kryesore: për shërbim ose për pajtimtar. Në rastin e parë, përcaktohet se një aplikacion i caktuar lejohet të përdorë një brez të caktuar. Në të dytin, aplikacioni lidhet me brezin për çdo pajtimtar ose grup abonentësh pavarësisht nga të tjerët, gjë që bëhet nëpërmjet integrimit të DPI me sistemet ekzistuese OSS/BSS të operatorit.
Kështu, sistemi mund të konfigurohet në mënyrë që çdo përdorues të mund të përdorë vetëm ato shërbime dhe nga ato pajisje për të cilat është rënë dakord më parë. Kjo i lejon operatorët e telekomit të krijojnë plane tarifore tepër fleksibël.
Nëse po flasim për trafikun e operatorëve celularë, atëherë DPI ju lejon të kontrolloni ngarkesën e secilit stacion bazë veç e veç, duke shpërndarë në mënyrë të drejtë burimet e tij në atë mënyrë që të gjithë përdoruesit të jenë të kënaqur me cilësinë e shërbimit. Kjo detyrë mund të zgjidhet nga bërthama celulare, e cila nuk është gjithmonë buxhetore.
Përdorimi i qeverisë
Me ndihmën e DPI, agjencitë e inteligjencës mund të monitorojnë aktivitetin e rrjetit të një përdoruesi të caktuar. Përveç monitorimit, ju mund të ndikoni në mënyrë aktive në këtë aktivitet duke kufizuar aksesin në përdorimin e VPN, HTTPS dhe mjeteve të tjera që e bëjnë të pamundur analizimin e përmbajtjes së rrjetit. Për më tepër, janë zgjidhjet e bazuara në DPI që përdoren për të bllokuar aksesin në burimet e ndaluara të internetit në SHBA, Kinë, Iran dhe Rusi. Pra, në Kinë, u zhvillua një standard DPI (Y.2770), i miratuar më vonë nga Unioni Ndërkombëtar i Telekomunikacionit (ITU).
DPI është një pjesë integrale e sistemeve si SORM-2 dhe Echelon.
DPI për trafikun e koduar
HTTPS dhe protokollet e tjera të kriptimit kanë fituar popullaritet vitet e fundit. Kriptimi mbron informacionin e ndjeshëm të përdoruesit kudo në rrjet, duke përfshirë nyjet e ndërmjetme. Fatkeqësisht, HTTPS ka qenë një problem i gjatë për pajisjet DPI. Meqenëse ngarkesa e paketave është e koduar, nyjet e ndërmjetme të rrjetit nuk mund të analizojnë më ngarkesën dhe të kryejnë detyrat e tyre. Duhet të theksohet se përdorimi i protokolleve të enkriptimit në nivelin e aplikacionit nuk e pengon sistemin DPI të analizojë trafikun në nivele më të ulëta, por ul ndjeshëm efikasitetin e tij. Për shembull, HTTPS nuk do ta pengojë sistemin DPI të ekzaminojë kokën TCP të paketës për të përcaktuar portin e destinacionit dhe të përpiqet ta përputhë atë me një aplikacion specifik, por nuk do ta lejojë atë të analizojë ngarkesën e shtresës së aplikacionit: sistemi DPI do të jetë në gjendje të përcaktojë kohën, madhësinë dhe destinacionin e paketës, por jo përmbajtjen e saj.
Bazuar në sa më sipër, mund të konkludohet se kriptimi i trafikut nuk ndërhyn në zbatimin e menaxhimit të abonimeve të bazuara në QoS dhe DPI.
Përdorimi i HTTPS do të ndihmojë në mbrojtjen e të dhënave nga DPI vetëm gjatë transmetimit. Nëse sistemi DPI është i instaluar në anën e serverit me të cilin klienti ndërvepron, atëherë të dhënat do të përpunohen në tekst të qartë. Për shembull, kur ndërveproni me serverët e Google, pavarësisht nga përdorimi i HTTPS-së, sistemet DPI mbledhin informacione për lëshimin e reklamave kontekstuale.
Për të zgjidhur problemin e analizimit të trafikut të koduar, disa sisteme DPI që po zhvillohen aktualisht mbështesin një mekanizëm të pasigurt për krijimin e një lidhjeje HTTPS: ata në fakt kryejnë një sulm MITM në protokollin SSL dhe deshifrojnë trafikun në hostin e ndërmjetëm. Kjo qasje shkel parimin e kriptimit nga fundi në fund të SSL. Përveç kësaj, ajo shkakton pakënaqësi të përdoruesit.
Kështu, ne përballemi me një zgjedhje të pahijshme të vetëm një prej veçorive të kërkuara: funksionalitetin e sistemeve DPI ose privatësinë e siguruar nga kriptimi. Në pamje të parë, këto veti mund të duket se kundërshtojnë njëra-tjetrën në një nivel themelor: një sistem DPI nuk mund të përpunojë përmbajtjen e një pakete kur nuk mund ta shohë përmbajtjen. Projekti BlindBox është i përkushtuar për zgjidhjen e kësaj kontradikte dhe ndërtimin e një sistemi që kënaq të dyja pronat.
kuti e verbër
Përshkrim
Qasja BlindBox është të analizojë ngarkesën e koduar drejtpërdrejt, pa e deshifruar atë në hostin e ndërmjetëm. Ndërtimi i një sistemi të tillë në praktikë është një detyrë e vështirë: rrjetet funksionojnë me shpejtësi shumë të larta, duke kërkuar operacione kriptografike që marrin mikro dhe madje edhe nanosekonda. Përveç kësaj, shumë nyje të ndërmjetme kërkojnë mbështetje për operacione me burime intensive, të tilla si analiza e bazuar në shprehje të rregullta.
Kandidatët e mundshëm janë skema kriptografike të tilla si enkriptimi plotësisht homomorfik ose funksional, por këto skema janë mjaft të ngadalta dhe degradojnë performancën e rrjetit me disa renditje të madhësisë.
Për të zgjidhur këto probleme, BlindBox është e specializuar në ndërtimin e rrjeteve. BlindBox mbështet dy klasa të llogaritjeve të DPI-së, secila me garancitë e veta të privatësisë: privatësia e ndeshjes së përsosur dhe privatësia e shkakut të mundshëm.
Modeli i privatësisë së përputhjes së plotë garanton që një host i ndërmjetëm do të jetë në gjendje të zbulojë vetëm nënvargjet e trafikut për të cilat ka një përputhje të përsosur me fjalë kyçe të njohura të sulmit. Për shembull, nëse ekziston një rregull për fjalën "ATTACK", atëherë nyja e ndërmjetme do të dijë se në çfarë kompensimi të rrjedhës, nëse fare, shfaqet fjala "ATTACK", por nuk do të dijë se cilat janë pjesët e tjera të trafikut. . Trafiku që nuk përmban fjalë kyçe do të lihet i palexuar nga hosti inteligjent.
Modeli i shkakut të mundshëm të privatësisë mbështetet në një logjikë të ndryshme: një nyje e ndërmjetme mund të dekriptojë të gjithë rrymën nëse gjendet një nënvarg trafiku që përputhet me një fjalë kyçe të njohur sulmi. Ky model është i përshtatshëm për detyrat e zbulimit të ndërhyrjeve që kërkojnë analizë duke përdorur shprehje ose skripta të rregullta. Ky model frymëzohet nga dy arsye: e para është modeli "shkaku i mundshëm" i ligjit penal amerikan: arsyeja e vetme për shkeljen e konfidencialitetit është se ekziston një arsye për dyshim. Së dyti, shumica e rregullave në sistemin e zbulimit të sulmit Snort që përdorin shprehje të rregullta së pari përpiqen të gjejnë fjalët kyçe të lidhura me sulmin në paketë dhe vetëm atëherë fillojnë të përdorin kërkimet e shprehjeve të rregullta, përndryshe zbulimi do të jetë shumë i ngadalshëm.
Të dy modelet e privatësisë BlindBox janë shumë më të fuqishme se qasjet e bazuara në MITM që përdoren sot. Në të dyja qasjet, BlindBox siguron të dhëna duke përdorur skema të forta të kriptimit pseudo të rastësishme që ofrojnë garanci sigurie të ngjashme me skemat e mirëpërcaktuara të kërkimit kriptografik për të dhënat e koduara.
Arkitektura e sistemit
Figura 1 tregon arkitekturën e sistemit. Ai ka katër anë - dërguesi (S), marrësi (R), nyja e ndërmjetme (PU) dhe gjeneratori i rregullave (RP), i cili pasqyron arkitekturën standarde të nyjës së ndërmjetme sot. Gjeneruesi i rregullave ofron rregulla sulmi (të quajtura gjithashtu nënshkrime) të përdorura nga UA për të zbuluar sulmet. Çdo rregull përpiqet të përshkruajë një sulm dhe përmban fusha: një ose më shumë fjalë kyçe të përfshira në trafik, informacion kompensues për secilën fjalë kyçe dhe ndonjëherë shprehje të rregullta. Roli i GPU-së sot kryhet nga organizata të tilla si Emerging Threats, McAfee, Symantec. Dërguesi dërgon trafik tek marrësi përmes një nyje të ndërmjetme, e cila i lejon dërguesit dhe marrësit të shkëmbejnë informacion nëse nuk zbulon nënshkrime në trafikun e tyre.
Figura 1. Arkitektura BlindBox. Artikujt e hijezuar përfaqësojnë algoritme të shtuara në BlindBox.
Konsideroni modelin e aplikimit të BlindBox. Gjeneruesi i rregullave krijon një grup rregullash që përmban një listë fjalësh kyçe që përdoren në sulmet ekzistuese ose janë me interes për studim. GPU i nënshkruan ato duke përdorur çelësin e tij privat dhe ia dërgon atë PU-së, përdoruesit të saj. Dërguesi dhe marrësi që i besojnë GPU-së konfigurojnë një konfigurim HTTPS BlindBox që përfshin çelësin publik të GPU-së. Pas fazës së inicializimit, GPU nuk përfshihet më kurrë drejtpërdrejt në protokoll. Tani po flasim për ndërveprimin midis dërguesit, marrësit dhe SP-së, kur dërguesi dhe marrësi nisin një lidhje në rrjetin e kontrolluar nga PU.
Krijimi i një lidhjeje
Së pari, dërguesi dhe marrësi kryejnë një shtrëngim duarsh normale SSL, e cila i lejon ata të bien dakord për një çelës. Ata e përdorin atë për të marrë tre çelësa (për shembull, duke përdorur PRNG):
Në të njëjtën kohë, UE kryen konfigurimin e vet të lidhjes për të mundësuar përpunimin e trafikut të dërguesit dhe marrësit. Gjatë shkëmbimit me dërguesin dhe marrësin, UE merr çdo rregull nga GPU i koduar në mënyrë përcaktuese në çelësin k - kjo do të lejojë më pas UE të kryejë zbulimin. Megjithatë, ky shkëmbim ndodh në atë mënyrë që PS nuk e di vlerën e k, dhe dërguesi dhe marrësi nuk dinë se cilat janë rregullat. Ky shkëmbim quhet enkriptim i rregullave të turbullta dhe përshkruhet në detaje në artikull.
Ndryshe nga shtrëngimi i duarve SSL i përshkruar më sipër, i cili është identik me shtrëngimin e rregullt të duarve SSL, kriptimi i rregullave të turbullta shton një proces të ri. Meqenëse në zgjidhjet ekzistuese, klienti zakonisht nuk komunikon drejtpërdrejt me nyjet DPI (ndryshe nga llojet e tjera të nyjeve të ndërmjetme, siç janë proxies eksplicite ose vrima NAT), kjo heq "padukshmërinë" e plotë të pranisë së DPI, kjo është një disavantazh i vogël në krahasim me avantazhet e përdorimit të BlindBox.
Dërgimi i trafikut
Për të dërguar një mesazh, dërguesi duhet:
(1) Kripto trafikun duke përdorur SSL klasik.
(2) Ndani trafikun në etiketa (tokena) duke e ndarë atë në nënvargje të marra me zhvendosje të ndryshme dhe kodoni etiketat që rezultojnë duke përdorur skemën e enkriptimit DPIEnc.
Zbulim
Pritësi i ndërmjetëm merr trafikun e koduar SSL dhe etiketat e koduara. Motori i zbulimit do të kërkojë një përputhje midis rregullave të koduara dhe etiketave të koduara duke përdorur algoritmin e zbulimit BlindBox. Nëse gjendet një përputhje, kryhet një veprim i paracaktuar: heqja e paketës, mbyllja e lidhjes, njoftimi i administratorit të sistemit. Pas përfundimit të zbulimit, hosti inteligjent përcjell trafikun SSL dhe etiketat e koduara te marrësi.
Marrja e trafikut
Nga ana e marrësit, ndodhin dy gjëra. Së pari, marrësi deshifron dhe vërteton trafikun duke përdorur SSL të thjeshtë. Së dyti, marrësi verifikon që shenjat e koduara janë koduar nga dërguesi saktë. Falë kësaj, edhe nëse njëra palë përpiqet të mashtrojë, pala tjetër do të jetë në gjendje ta zbulojë atë.
Skema e enkriptimit DPIEnc
Dërguesi kodon çdo etiketë (token) t si:
Ku "kripë" (kripë) është një numër i zgjedhur rastësisht, dhe kuptimi i RS (në fakt, ReduceSize) shpjegohet më poshtë.
Le të justifikojmë nevojën për skemën e enkriptimit DPIEnc. Supozoni se një nyje e ndërmjetme ka transmetuar për çdo rregull r çiftin (r, (r)), por jo çelësin k. Le të fillojmë duke parë një skemë të thjeshtë enkriptimi përcaktues në vend të DPIEnc: le të jetë teksti shifror nga t i barabartë me (t). Për të kontrolluar nëse t është e barabartë me fjalën kyçe r, agjenti i përdoruesit mund të kontrollojë nëse (t) ?= (r) është e vërtetë. Për fat të keq, siguria do të jetë e ulët si rezultat, pasi çdo dukuri e t do të ketë të njëjtin tekst shifror. Për të zgjidhur këtë problem, ne duhet të fusim një element të rastësisë në enkriptim. Prandaj, ne do të përdorim një "funksion të rastësishëm" H me një kripë të rastësishme, dhe teksti shifror do të ketë strukturën e mëposhtme: kripë, H(kripë, (t)). Natyrisht, H duhet të jetë e njëanshme dhe pseudo e rastësishme.
Për të kontrolluar për një përputhje, një nyje e ndërmjetme mund të llogarisë H(kripë, (r)) bazuar në (r) dhe kripë, dhe më pas të kryejë një test barazie. Një zbatim tipik i H është SHA-1, por SHA-1 nuk është aq i shpejtë sepse AES zbatohet në harduer në procesorë modernë dhe kjo mund të zvogëlojë xhiron. Në vend të kësaj, BlindBox H zbatohet nëpërmjet AES, por duhet të përdoret me kujdes sepse AES ka veti të ndryshme sigurie. Për të arritur vetitë e dëshiruara, është e nevojshme të inicohet AES në një çelës të panjohur për nyjen e ndërmjetme derisa të gjendet një nënshkrim sulmi. Kjo është arsyeja pse përdoret vlera (t).
Tani algoritmi është implementuar plotësisht në AES, i cili siguron shpejtësi të lartë.
Së fundi, RS thjesht zvogëlon madhësinë e tekstit të koduar për të zvogëluar kufirin e gjerësisë së brezit pa ndikuar në sigurinë.
Në këtë implementim, RS është 2 me fuqinë 40, që jep një gjatësi teksti shifror prej 5 bajt. Si rezultat, teksti i koduar nuk është më i deshifrueshëm, gjë që nuk është problem pasi BlindBox gjithmonë deshifron trafikun nga rryma kryesore SSL.
Tani, për të përcaktuar korrespondencën midis fjalës kyçe r dhe tekstit shifror të etiketës t, nyja e ndërmjetme llogarit duke përdorur kripën dhe njohuritë (r), dhe më pas i teston ato kundrejt c .
Meqenëse është e qartë se nyja e ndërmjetme kontrollon çdo rregull r dhe etiketë t, koha totale e shpenzuar për etiketë është lineare me numrin e rregullave, i cili është shumë i ngadaltë.
Për të eliminuar këtë vonesë, futet një algoritëm zbulimi, duke e bërë varësinë kohore nga numri i rregullave logaritmike, si në algoritmet klasike DPI.
Rezultati është një përmirësim i ndjeshëm i performancës: për shembull, për një grup rregullash me 10,000 fjalë kyçe, një kërkim logaritmik është katër rend magnitudë më i shpejtë se ai linear.
Protokolli i Zbulimit
Gjendja e një nyje të ndërmjetme përbëhet nga numërues për çdo rregull r dhe një pemë kërkimi i shpejtë që përbëhet nga për çdo rregull r.
Ne e dimë shumë mirë që censura është e keqe. Por pavarësisht përpjekjeve të autoriteteve për të rritur ndikimin e tyre në rrjet, ata janë ende të dobët dhe shpesh budallenj. Ne ju kemi thënë tashmë se si. Sot do t'ju prezantojmë me një mënyrë tjetër për të anashkaluar bllokimin e faqeve duke përdorur teknologjinë e anashkalimit DPI (inspektimi i thellë i paketave).
ISP-të kanë boshllëqe në DPI. Ato ndodhin sepse rregullat e DPI janë shkruar për programet e përdoruesve të zakonshëm, duke lënë jashtë të gjitha rastet e mundshme të lejuara nga standardet.
Kjo është bërë për thjeshtësi dhe shpejtësi. Nuk ka kuptim të kapni hakerë, të cilët janë 0.01%, sepse në të njëjtën kohë, këto bllokime janë mjaft të lehta edhe për përdoruesit e zakonshëm.
Disa DPI nuk mund të njohin një kërkesë http nëse ajo ndahet në segmente TCP.
Për shembull, një pyetje si "GET / HTTP/1.1rnHost: kinozal.tv……"
dërgojmë në 2 pjesë: e para vjen "MARR", pastaj "/http/1.1rnHost: kinozal.tv…..".
DPI-të e tjera pengohen kur titulli "Host:" shkruhet në një rast tjetër: "host:" për shembull.
Shtimi i një hapësire shtesë pasi metoda funksionon këtu dhe atje: "MERR /" => "MERR /" ose duke shtuar një pikë në fund të emrit të hostit: "Host: kinozal.tv."
Si të implementoni në praktikë bypass b në sistemin linux
Si ta detyrojmë sistemin të ndajë kërkesën në pjesë? Ju mund të ekzekutoni të gjithë sesionin TCP
përmes një përfaqësuesi transparent, ose mund të ndryshoni fushën e madhësisë së dritares tcp në paketën e parë hyrëse TCP me SYN,ACK.
Atëherë klienti do të mendojë se serveri ka vendosur një madhësi të vogël dritareje për të, dhe segmenti i parë me të dhëna nuk do të dërgojë më shumë se gjatësia e specifikuar. Në paketat e mëvonshme, ne nuk do të ndryshojmë asgjë.
Sjellja e mëtejshme e sistemit në zgjedhjen e madhësisë së paketave të dërguara varet nga algoritmi i implementuar në të. Përvoja tregon se linux gjithmonë dërgon paketën e parë jo më shumë se gjatësia e specifikuar në madhësinë e dritares, pjesa tjetër e paketave dërgon jo më shumë se max(36,specified_size) deri në një kohë.
Pas një numri të caktuar paketash, aktivizohet mekanizmi i shkallëzimit të dritares dhe fillon të merret parasysh faktori i shkallëzimit, madhësia e paketës bëhet jo më shumë se max(36, specified_size<< scale_factor).
Sjellje jo shumë elegante, por meqenëse nuk ndikojmë në madhësinë e paketave hyrëse dhe sasia e të dhënave të marra përmes http zakonisht është shumë më e lartë se sasia e dërguar, do të shfaqen vetëm vonesa të vogla vizualisht.
Windows sillet shumë më i parashikueshëm në një rast të ngjashëm. Segmenti i parë shkon në gjatësinë e specifikuar, pastaj madhësia e dritares ndryshon në varësi të vlerës së dërguar në paketat e reja tcp. Kjo do të thotë, shpejtësia rikthehet pothuajse menjëherë në maksimumin e mundshëm.
Kapja e një pakete me SYN, ACK nuk është e vështirë duke përdorur iptables. Sidoqoftë, aftësia për të redaktuar paketat në iptables është shumë e kufizuar. Ju nuk mund të ndryshoni vetëm madhësinë e dritares me module standarde.
Për ta bërë këtë, ne do të përdorim mjetin NFQUEUE. Ky mjet lejon
kalojnë paketat për përpunim tek proceset që funksionojnë në modalitetin e përdoruesit.
Procesi, pasi ka pranuar paketën, mund ta ndryshojë atë, gjë që na nevojitet.
iptables -t raw -I PREROUTING -p tcp -- sport 80 -- tcp - flags SYN , ACK SYN , ACK - j NFQUEUE -- radhë - num 200 -- radhë - anashkaloj |
Do t'i japë paketat që na duhen procesit të dëgjimit në radhën numër 200. Do të ndryshojë madhësinë e dritares. PREROUTING do të kapë të dy paketat që i drejtohen vetë hostit dhe paketat e drejtuara. Kjo do të thotë, zgjidhja funksionon në mënyrë të barabartë si në klient ashtu edhe në ruter. Në një ruter të bazuar në PC ose .
Në parim, kjo është e mjaftueshme.
Megjithatë, do të ketë një vonesë të lehtë në TCP me këtë ndikim. Për të mos prekur hostet që nuk janë të bllokuar nga ofruesi, mund të bëni një lëvizje të tillë.
Krijoni një listë të domeneve të bllokuara ose shkarkoni nga listë e zezë.
Zgjidhini të gjitha domenet në adresat ipv4. Vendosini ato në ipset me emrin "ban".
Shto në rregull:
iptables -t raw -I PREROUTING -p tcp -- sport 80 -- tcp - flags SYN , ACK SYN , ACK - m set -- match - set ndalim src - j NFQUEUE -- radhë - num 200 -- radhë - anashkaloj |
Kështu, ndikimi do të bëhet vetëm në adresat ip që lidhen me faqet e bllokuara. Lista mund të përditësohet përmes cron çdo disa ditë.
Nëse përditësoni përmes listës së rubla, do të duhet shumë kohë. Mbi një orë. Por ky proces nuk merr burime, kështu që nuk do të shkaktojë ndonjë problem, veçanërisht nëse sistemi funksionon vazhdimisht.
Nëse DPI nuk anashkalohet duke e ndarë kërkesën në segmente, atëherë një ndryshim ndonjëherë funksionon "Host:" në "host:". Në këtë rast, mund të mos kemi nevojë për zëvendësim madhësia e dritares, pra zinxhiri PARAPROUTING nuk kemi nevojë. Në vend të kësaj, ne varemi në pako dalëse në zinxhir POSTROUTING :
iptables - t mangle - I POSTROUTING - p tcp -- dport 80 - m set -- match - set ban dst - j NFQUEUE -- queue - num 200 -- queue - bypass |
Në këtë rast, momente shtesë janë gjithashtu të mundshme. DPI mund të kapë vetëm kërkesën e parë http, duke injoruar kërkesat pasuese mbaj gjallë seancat. Atëherë ne mund të zvogëlojmë ngarkesën në përqindje duke refuzuar përpunimin e paketave të panevojshme.
iptables - t mangle - I POSTROUTING - p tcp -- dport 80 - m set -- match - set ban dst - m connbytes -- connbytes - dir = original -- connbytes - mode = pako -- connbytes 1 : 5 - j NFQUE -- radhë - numër 200 -- radhë - anashkalim |
Ndodh që ofruesi të monitorojë të gjithë seancën HTTP me kërkesa për të mbajtur gjallë. Në këtë rast, nuk mjafton të kufizoni dritaren TCP kur krijoni një lidhje. Është e nevojshme të dërgohen segmente të veçanta TCP për çdo kërkesë të re. Kjo detyrë zgjidhet përmes proksimit të plotë të trafikut përmes përfaqësues transparent (TPROXY ose DNAT). TPROXY nuk funksionon me lidhjet me origjinë nga sistemi lokal, kështu që kjo zgjidhje është e zbatueshme vetëm në ruter. DNAT funksionon gjithashtu me lidhje lokale, por ekziston rreziku i hyrjes në rekursion të pafund, kështu që daemon fillon si një përdorues i veçantë dhe DNAT është i çaktivizuar për atë përdorues me "-m pronar". Proxying i plotë kërkon më shumë burime CPU sesa manipulimi i paketave dalëse pa rindërtuar një lidhje TCP.
iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT -- në 127.0.0.1: 1188 iptables -t nat -I OUTPUT -p tcp --dport 80 -m pronar ! -- uid - pronar tpws - j DNAT -- në 127.0.0.1 : 1188 |
Duke përdorur modifikuesin e paketës NFQWS
Ky program është një modifikues i paketave dhe mbajtës i radhës NFQUEUE.
Ai merr parametrat e mëposhtëm:
-- daemon; demonizoj prog
--qnum=200; numri i radhës
--wsize=4; ndryshoni madhësinë e dritares tcp në madhësinë e specifikuar
--hostcase; ndryshoni rastin e titullit "Host:".
Përdorimi i proxy transparent TPWS
tpws është një përfaqësues transparent.
--lidh-addr; në cilën adresë për të dëgjuar. mund të jetë adresa ipv4 ose ipv6. nëse nuk specifikohet, dëgjon në të gjitha adresat ipv4 dhe ipv6
--port=
-- daemon; demonizoj prog
--përdoruesi=
--split-http-req=metod|host; mënyra për të ndarë kërkesat http në segmente: pranë metodës (GET, POST) ose afër kokës së Host
--split-pos=
--hostcase; zëvendësim "host:" => "host:"
--hostdot; duke shtuar një pikë pas emrit të hostit: Pritësi: kinozal.tv
--hapësirë metodash; shtoni një hapësirë pas metodës: "MERR /" => "MERR /"
Parametrat e manipulimit mund të kombinohen në çdo kombinim.
Ekziston një përjashtim: split-pos zëvendëson split-http-req.
Anashkaloni faqet e bllokimit nga ofruesit specifikë.
mns.ru: duhet të ndryshohet madhësia e dritares në 4
beeline (corbina): duhet të zëvendësohet regjistri "Host:" gjatë gjithë sesionit http.
dom.ru: ju duhet të proxy seancat HTTP përmes tpws me zëvendësimin e regjistrit "Host:" dhe ndarjen e segmenteve TCP në kokën "Host:".
Achtung! Domru bllokon të gjitha nëndomenet e një domeni të bllokuar. Është e pamundur të zbulosh adresat IP të nëndomaineve të ndryshme nga regjistri
duke bllokuar, kështu që nëse papritmas shfaqet një baner bllokues në ndonjë sajt, atëherë shkoni te tastiera e firefox, skeda e rrjetit.
Ngarkoni faqen dhe shikoni se ku shkon ridrejtimi. Pastaj futni domenin në zapret-hosts-user.txt. Për shembull, kinozal.tv ka 2 nëndomanë të kërkuar: s.kinozal.tv dhe st.kinozal.tv me adresa IP të ndryshme.
sknt.ru: u kontrollua puna me tpws me parametrin "-split-http-req=method". ndoshta nfqueue do të funksionojë, ndërsa nuk ka asnjë mënyrë për të kontrolluar.
tkt: ndarja e kërkesës http në segmente ndihmon, cilësimet mns.ru janë të përshtatshme
TKT është blerë nga Rostelecom, përdoret filtrimi i Rostelecom.
Meqenëse DPI nuk e lëshon seancën hyrëse, por vetëm fut paketën e vet, e cila arrin përpara përgjigjes nga serveri real, bllokimi bëhet gjithashtu pa përdorimin e "artilerisë së rëndë" sipas rregullit të mëposhtëm:
iptables -t raw -I PREROUTING -p tcp --sport 80 -m varg --hex -string "|0D0A|Vendndodhja: http://95.167.13.50"-- algo bm - j DROP -- nga 40 -- në 200 |
Rostelecom: shih tkt
niveli: Vetë niveli nuk ndaloi asgjë deri në fund. Duket sikur operatori në rrjedhën e sipërme po ndalon, ndoshta telia. Kërkon kërkesa të ndara http gjatë gjithë sesionit.
Mënyrat për të marrë një listë të IP-ve të bllokuara
1) Shtoni domene të bllokuara në ipset/ban-hosts-user.txt dhe vraponi ipset/get_user.sh
Në dalje do të merrni ipset/ban-ip-user.txt me adresa IP.
2) ipset/get_reestr.sh merr një listë domenesh nga rublacklist dhe më pas i zgjidh ato në adresat ip të një skedari ipset/ban-ip.txt. Në këtë listë ka adresa IP të gatshme, por me sa duket ato janë pikërisht në formën që RosKomPozor fut në regjistër. Adresat mund të ndryshojnë, është turp të mos kesh kohë për t'i përditësuar ato dhe ofruesit rrallë i ndalojnë me IP: në vend të kësaj, ata ndalojnë kërkesat http me një kokë "të keqe" "Host:", pavarësisht nga adresa IP. Prandaj, skenari do të zgjidhë gjithçka vetë, megjithëse kërkon shumë kohë.
Një kërkesë shtesë është sasia e memories në /tmp për të ruajtur atje skedarin e shkarkuar, madhësia e të cilit është disa MB dhe vazhdon të rritet. Në ruterat openwrt, /tmp është tmpfs, pra ramdisk.
Në rastin e një ruteri me 32 MB memorie, mund të mos jetë i mjaftueshëm dhe do të ketë probleme. Në këtë rast, përdorni skriptin e mëposhtëm.
3)ipset/get_anizapret.sh. shpejt dhe pa ngarkesë në ruter merr një fletë me https://github.com/ban-info.
Të gjitha variantet e skripteve të konsideruara krijojnë dhe plotësojnë automatikisht ipset.
Opsionet 2 dhe 3 thërrasin gjithashtu opsionin 1.
Në ruterat, nuk rekomandohet t'i telefononi këto skripta më shumë se një herë në 2 ditë, pasi kursimi shkon ose në memorien e brendshme flash të ruterit, ose në rastin e extroot, në një flash drive. Në të dyja rastet, shkrimi shumë shpesh mund të vrasë flash drive-in, por nëse kjo ndodh me memorien e brendshme flash, atëherë thjesht do të vrisni ruterin.
Detyro ekzekutimin e skriptit të përditësimit të ipset ipset/create_ipset.sh
Mund të shtoni një listë domenesh te ipset/ban-hosts-user-ipban.txt. Adresat e tyre IP do të vendosen në një "ipban" të veçantë ipset. Mund të përdoret për të mbështjellë me forcë të gjitha lidhjet me përfaqësuesin transparent "redsocks".
Shembull i anashkalimit të bllokut të faqeve të Debian 7
Debian 7 fillimisht përmban kernelin 3.2. Nuk di se si të bëjë DNAT në localhost.
Sigurisht, nuk mund të lidhni tpws me 127.0.0.1 dhe ta zëvendësoni atë në rregullat iptables "DNAT 127.0.0.1" në "REDIRECT", por është më mirë të instaloni një kernel më të fundit. Është në depon e qëndrueshme:
apt-merr përditësimin apt - merr instalo linux - imazh - 3.16 |
Instaloni paketat:
Ndërtoni tpws:
Krijo thurje "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh". Kjo do të thotë në orën 12:00 çdo 2 ditë për të përditësuar listën.
Filloni shërbimin: fillimi i ndalimit të shërbimit
Mundohuni të shkoni diku: http://ej.ru, http://kinozal.tv, http://grani.ru.
Nëse nuk funksionon, atëherë ndaloni shërbimin e ndalimit, shtoni rregullin në iptables manualisht,
ekzekutoni nfqws në një terminal si rrënjë me opsionet e kërkuara.
Mundohuni të lidheni me faqet e bllokuara, shikoni daljen e programit.
Nëse nuk ka reagim, atëherë ka shumë të ngjarë të specifikohet një numër i pasaktë i radhës ose ip-ja e destinacionit nuk është në ipset.
Nëse ka një reagim, por bllokimi nuk është anashkaluar, atëherë parametrat e anashkalimit janë zgjedhur gabimisht, ose ky mjet nuk funksionon në rastin tuaj në ofruesin tuaj.
Askush nuk tha se do të funksiononte kudo.
Provoni të hidhni me wireshark ose "tcpdump -vvv -X host
Shembull për të anashkaluar bllokimin e faqeve në ubuntu 12.14
Ekziston një konfigurim i gatshëm për fillimin: zapret.conf. Duhet të kopjohet /etc/init dhe konfiguroni ngjashëm me debian.
Fillimi i shërbimit: "Fillimi i ndalimit"
Ndalesa e shërbimit: ndaloni ndalimin
Ubuntu 12, si debian 7, është i pajisur me kernel 3.2. Shihni shënimin në seksionin "Debian 7".
Një shembull i anashkalimit të një blloku siti në ubuntu 16, debian 8
Procesi është i ngjashëm me debian 7, megjithatë skriptet init duhet të regjistrohen me systemd pasi të kopjohen në /etc/init.d.
instaloni: /usr/lib/lsb/install_initd ndalim
hiqni: /usr/lib/lsb/remove_initd ndalim
Një shembull i anashkalimit të bllokimit të faqeve në sisteme të tjera linux.
Ekzistojnë disa sisteme kryesore për fillimin e shërbimeve: sysvinit, upstart, systemd.
Cilësimi varet nga sistemi i përdorur në shpërndarjen tuaj.
Një strategji tipike është gjetja e një skripti ose konfigurimi fillestar për shërbime të tjera dhe të shkruani tuajin me analogji, duke lexuar dokumentacionin e sistemit të fillimit nëse është e nevojshme. Komandat e nevojshme mund të merren nga skriptet e propozuara.
Konfigurimi i një muri zjarri për të anashkaluar bllokimin e faqes.
Nëse jeni duke përdorur një lloj sistemi të menaxhimit të murit të zjarrit, atëherë ai mund të bie ndesh me skriptin ekzistues të fillimit. Në këtë rast, rregullat për iptables duhet të futen në murin tuaj të zjarrit veçmas nga skripti i fillimit tpws ose nfqws.
Kështu zgjidhet çështja në rastin e openwrt, pasi ai ka sistemin e vet të menaxhimit të murit të zjarrit. - nfqueue iptables - mod - filter iptables - mod - ipopt ipset curl bind - veglat
Vështirësia më e madhe është përpilimi i programeve C.
Kjo mund të bëhet me anë të ndërthurjes në çdo sistem tradicional linux.
Lexoni compile/build_howto_openwrt.txt.
Detyra juaj është të merrni ipk skedarë për tpws dhe nfqws.
Kopjoni direktorinë "ndalim" në / zgjedh te ruteri.
Instaloni ipk. Për ta bërë këtë, së pari kopjoni në ruter ipk në /tmp pas
Kjo do të thotë në orën 12:00 çdo 2 ditë për të përditësuar listën.
Nëse keni linux x64, atëherë në vend që të përpiloni zinxhirin e veglave, mund të përdorni SDK-në e para-përpiluar nga zhvilluesit openwrt.
https://downloads.openwrt.org/
Gjeni versionin tuaj openwrt, gjeni arkitekturën tuaj, shkarkoni skedarin "openwrt-sdk-*".
Në fakt, ky është i njëjti buildroot, vetëm se ka përgatitur tashmë një zinxhir mjetesh për versionin e kërkuar të openwrt, arkitekturën e kërkuar të synuar dhe sistemin pritës linux x64.
Binarët e parapërpiluar
Përpilimi për ruterat mund të jetë një detyrë e frikshme, që kërkon kërkime dhe google të gabimeve jashtë kutisë në SDK-në e hapur.
Disa binare mungojnë, disa lidhje mungojnë, si rezultat, SDK mund të japë gabime jashtë kutisë. Binarët statikë janë mbledhur për arkitekturat më të zakonshme. Shihni binarët.
Një ndërtim statik do të thotë që binarja nuk varet nga lloji i libc (uclibc ose musl) dhe prania e instaluar kështu - mund të përdoret menjëherë.
Nëse vetëm lloji i CPU-së do të ishte i përshtatshëm. ARM dhe MIPS kanë disa versione. Nëse versioni juaj jep gabime gjatë fillimit, do t'ju duhet ta përpiloni vetë për sistemin tuaj.
anashkalimi i bllokimit të https
Si rregull, truket me DPI nuk ndihmojnë për të anashkaluar bllokimin e https.
Ne duhet të ridrejtojmë trafikun përmes një hosti të palës së tretë. Propozohet të përdoret një ridrejtim transparent përmes çorapeve5 duke përdorur iptables+redsocks, ose iptables+iproute+openvpn. Vendosja e redsocks në openwrt përshkruhet në https.txt.
Të gjitha burimet e kësaj metode mund të gjenden këtu - https://github.com/bol-van/zapret
Përditësuar për herë të fundit më 18 nëntor 2016.
