Это 3 часть серии из 4 статей.
Первая часть: Записки выжившего лемминга — Часть 1. Паттерны убивают
Вторая часть: Записки выжившего лемминга — Часть 2. Гонка вооружений
Если вы читаете эту статью в поисках готового рецепта построения защищенной приватной и устойчивой к обнаружению сети — должен вас разочаровать. У меня его нет. Любые рецепты бессмыслены в руках человека, который не понимает принципов, — все это лишь костыли, которые работают сегодня и сломаются завтра, когда условия изменятся.
Всё, что у меня есть — это базовое понимание того, как устроены компьютерные сети. Всё, о чём я пишу в этих статьях, — не тайное знание, не инсайт от внутренних источников и не результат секретных исследований. Всё это можно прочитать в любом учебнике «Компьютерные сети» — прямо сейчас, во всех магазинах страны. Или в первоисточниках на гитхаб (или загляните ко мне на гитхаб — там тоже такого есть). Есть накопленный опыт конкретных реализаций, есть инструменты, есть сообщества людей, которые всё это любят, знают, практикуют. И только это позволяет адаптироваться к постоянно меняющимся правилам игры.
Серебряной пули нет, и её поиски — бессмысленны. Главный вызов, на мой взгляд, состоит не в том, чтобы найти работающее на сегодняшний день решение или правильный протокол.
Технические решения меняются постоянно. Протоколы будут появляться — один лучше другого — и исчезать. Протоколы с тяжёлой криптографией уходят в прошлое — просто потому что они видны. Чем надёжнее криптография — тем заметнее трафик. Тренд в построении приватных сетей идет не на максимальную криптографическую сложность, а на невидимость и маскировку.
Завернуть трафик в туннель — теперь недостаточно. Современные системы DPI смотрят на форму. Размер заголовков, ритм передачи, характер handshake — всё это складывается в цифровой отпечаток, по которому трафик опознаётся так же уверенно, как человек по походке.
Вызов времени — сделать соединение статистически невидимым. Не выделяющимся из фонового трафика ни по объёму, ни по ритму, ни по поведению. Если DPI научился распознавать характерный ритм VPN-трафика — нужно научиться ломать этот ритм. Если он умеет выделять аномалии в потоке — нужно свести отклонения до уровня статистического шума, неотличимого от фонового HTTPS.
Помочь в этом может соблюдение нескольких базовых принципов.
Никаких VPN-паттернов. Любые протоколы на транспортном или прикладном уровне, создающие характерные паттерны — как мастодонты, вроде OpenVPN, так и относительно свежие и экзотические протоколы, наподобие Hysteria 2, слишком выделяются на общем фоне.
Постоянство — это мишень. Даже идеально замаскированный трафик становится уязвимым, если он регулярно приходит с одного и того же адреса. Ответ — непрерывная ротация: автоматическая смена узлов, эндпоинтов и доменов.
Изоляция слоёв. Компрометация одного элемента не должна тянуть за собой всё остальное. Минимум четыре независимых слоя: сетевой, операционный, сервисный, коммерческий. Единый сервис, в котором сосредоточено всё, — это единая точка входа для атакующего.
Правильный размер. Оптимальный размер сети — баланс: достаточно большой, чтобы обеспечить полноценную ротацию; достаточно малый, чтобы оставаться ниже порога обнаружения. Размер — это тоже паттерн.
Это архитектурная философия базируется вокруг одной простой идеи: лучший способ спрятать — это положить на самое видное место.
Лучшее место для человека, чтобы спрятаться — это толпа. Быть как все. Выглядеть как все. Двигаться как все. Не оставлять ничего, за что можно было бы зацепиться.
Цифровая невидимость строится на тех же принципах.
Подписывайтесь на мой канал в телеграм: мои статьи появится там на пару дней раньше, чем на Хабре.
Продолжение: Записки выжившего лемминга — Часть 4. Последний удар
