Немного о системах Deep Packet Inspection

    Вокруг систем глубокого анализа трафика сформировался достаточно прочный ареол мифов, который препятствует пониманию функциональных возможностей и решений для адаптации технологии. В нашем сегодняшнем материале мы хотим поговорить об этих сомнениях и постараться развеять некоторые из них.


    / Flickr / Pascal /PD

    Миф №1: DPI как почтальон, заглядывающий в конверты


    Многие утверждают и одновременно опасаются, что системы глубокого анализа трафика — это ненадежный почтальон, изучающий содержимое каждой доставляемой им посылки. Однако эта аналогия неподходящая. Более точной аналогией будет почтальон, разносящий поздравительные карточки или открытки, ведь именно на них похожи пакеты данных в Сети — их содержание доступно всем.

    DPI-системы не используются для чтения пересылаемых сообщений, например по электронной почте, — они лишь анализируют и устанавливают природу передаваемого контента — голос, письмо, вредоносное программное обеспечение. На основании полученных данных они принимают решение о том, что делать с содержимым. Это позволяет осуществлять защиту от DDoS-атак, работать с рекламой, оптимизировать каналы доступа, собирать аналитику и приоритизировать трафик. Отметим, что все эти функции реализует система СКАТ от VAS Experts.

    Миф №2: DPI – это нарушение приватности


    Этот миф является следствием предыдущего. Есть мнение, что сетевое устройство, исследующее пользовательский контент, нарушает приватность общения, как бы «прослушивает» звонки. Но и это не совсем так. Следуя этой логике, под определение «слухача» попадут и антивирусы, антиспам защита, системы обнаружения вторжений, которые важны для обеспечения безопасности работы в интернете.

    Автоматическая компьютерная система, которая сканирует файлы в поисках известных паттернов вредоносного ПО или спама, — это не нарушение приватности. На самом деле, эта процедура менее тщательная, чем досмотр багажа в аэропорту. Сканерами управляют люди, изучающие содержимое чемоданов и сумок и точно идентифицирующие находящиеся внутри предметы, в то время как DPI-система реагирует лишь на запрограммированные сценарии. Получается, что DPI-решение в аэропорту «видело» бы в багаже только те предметы, которые запрещено проносить на борт самолета.

    Также хотелось бы отметить, что системы DPI, наоборот, помогают предотвращать случаи «подслушивания» на линии. Речь идет о так называемых MITM-атаках. Этот термин обозначает сетевую атаку, когда злоумышленник с помощью специального программного обеспечения подключается между пользователем и приложением, имитируя работу с ним и создавая впечатление нормального процесса обмена информацией. Цель такой атаки может быть самая разная — хищение персональных данных пользователей, личной переписки или банковских реквизитов и др.



    Обычно MITM-атака проходит в два этапа. Сперва осуществляется перехват трафика, поступающего от пользователя к целевому приложению. Наиболее простым способом перехвата остается пассивная атака, когда злоумышленник создает открытые беспроводные точки. В момент подключения пользователя к сети, атакующий получает доступ ко всем передаваемым данным. Что касается других способов перехвата –активных — то здесь используются такие варианты, как IP-спуфинг, ARP-спуфинг и DNS-спуфинг, заключающиеся в подмене IP-адреса, MAC-адреса или заражении DNS соответственно.

    После перехвата двухсторонний SSL-трафик дешифруется, причем так, что пользователь и запрашиваемый им ресурс не замечают вмешательства извне. Для этого также существует несколько приемов: HTTPS-спуфинг, атака SSL Beast, SSL-хайджекинг.

    Поэтому для защиты от MITM-атак разработчикам веб-приложений и сайтов стоит использовать защищенные протоколы TLS и HTTPS, усложняющие проведение спуфинг-атак и перехват трафика. Операторы связи же используют системы Deep Packet Inspection для обнаружения аномалий в сетях передачи данных и предотвращения спуфинга.

    Миф №3: DPI окажутся «не у дел» при распространении шифрования


    Есть мнение, что DPI-решения начнут стимулировать адаптацию технологий шифрования, поскольку все больше пользователей будут стараться помешать провайдеру «читать» их почту. Однако рост популярности шифрования будет только полезен. Ведь реальная угроза потребителям — это доступ к незашифрованным сайтам. В этом случае они становятся легкой «добычей» для злоумышленников.

    К примеру, Netflix — это крупнейшая компания-поставщик видеоконтента в мире. Сервис имеет порядка 60 миллионов подписчиков, а в начале 2016 года пользователи «насмотрели» 10 миллиардов часов. Компания генерирует более трети всего входящего трафика на территории Северной Америки в вечернее время.

    Недавно Netflix заявили, что сервис начнет шифровать весь передаваемый трафик, сменив протокол передачи данных с HTTP на защищенный HTTPS. Такое решение должно обеспечить конфиденциальность клиентов и защитить интеллектуальную собственность правообладателей контента.

    Сейчас основная доля зашифрованного трафика в интернете приходится на Google, Facebook и Twitter. На изображении ниже они представляют большую часть красного сектора. После перехода Netflix на HTTPS красный и зеленый сектор поменяются местами.



    С распространением протоколов шифрования трафика операторы связи, использующие системы глубокого анализа, якобы столкнутся с проблемой невозможности изучения данных внутри зашифрованного пакета. Однако представители компаний заявляют, что у них никогда и не было цели подглядывать за действиями пользователей.

    DPI – это просто инструмент


    DPI-технология достаточно нейтральна сама по себе. Это просто инструмент, который может быть использован по-разному. Негативный окрас DPI-системы приобрели из-за недопонимания принципов работы и назначения решений. Но DPI — это необязательно нарушение чьей-то приватности или вторжение в частную жизнь, это еще и ускорение работы сети, повышение безопасности и анализ необходимой статистики.

    Дополнительное чтение: DPI-дайджест — Анализ трафика, блокировки, платформы и производители систем Deep Packet Inspection.
    VAS Experts
    Разработчик платформы глубокого анализа трафика

    Comments 11

      +2
      Недавно же была эта же статья. Убрали комменты?
        –2
        Называется брут-форс. В какой-то момент минусующие останутся без запаса минусов или просто устанут.
          0
          Не совсем понял. Вы имели ввиду, для очистки статьи от нежелательной критики?
            –1
            И это тоже. От минусов и от комментов людей, которые указывают на неразумность написанного.
              0
              Тогда есть смысл повториться :)
        +3
        Но и это не совсем так. Следуя этой логике, под определение «слухача» попадут и антивирусы, антиспам защита, системы обнаружения вторжений, которые важны для обеспечения безопасности работы в интернете.
        Принципиальная разница в том, что антивирусам, IDS и прочим системам я доверяю свой трафик сознательно и добровольно. Т.е. у меня есть выбор. А в случае использования DPI-системы провайдером у меня такого выбора нет. В этом и заключается нарушение приватности.
          –1
          досмотр багажа в аэропорту

          Что тоже нарушение приватности во-первых и знатный маразм во-вторых, потому что, насколько мне известно, ни одного "террориста" не задержали на досмотре в аэропорту. И все эти пункты досмотра (в аэропортах, на вокзалах, метро) по сути профанация и выкачивание денег из бюджета.

            0
            насколько мне известно

            Сильный аргумент. Далеко не каждый помнит о том, что перед полетом нужно выложить перочинный нож из рюкзака, ну или просто завалялось что-то в таком духе. Комфортно летать с такими? Думаю, что не всем.
              –2

              Любой успех наших силовиков СМИ тиражирует очень широко. И раз таких новостей нет, значит и результатов тоже нет.


              Комфортно летать с такими?

              Странный аргумент. А по улице ходить комфортно с такими? Давайте тогда вообще людям запретим перочинные ножи покупать.


              Глупо искать террористов на входе в аэропорт, это уже провал спецслужб, если он вообще взрывное устройство смог снарядить и доставить в аэропорт.

            0
            Зачем делать повторный пост той же самой фигни?

            DPI нарушает прайваси, право на тайну переписки и используется спецслужбами для незаконной слежки. В некоторых государствах DPI позволяет осуществлять узаконенную цензуру. В руках злоумышленника DPI позволяет воровать деньги и identity людей.
              +2
              Несколько лет назад на конференции компаний-производителей DPI оборудования спикеры прямо заявляли «https — не проблема». И демонстрировали анализ всего трафика, раскладывая его по паттернам и вешая триггеры действий. Причем, «для защиты от 0-day и DDOS» трафик мог автоматически копироваться на сервера этих компаний для «последующего анализа». Примерно в то же время ЕС создавал институты CERT для оперативного реагирования. Оно заключается в отключении конечного абонента, подсети или всего провайдера от систем обмена трафиком (т.е. Интернет). Вроде бы хорошо, знаем куда сообщать о фишинге и зловредах? Но он создан для EU institutions, agencies and bodies, а не населения.
              Такая она, безопасность. Кого и от кого — вопрос открытый.

              Only users with full accounts can post comments. Log in, please.