Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Часть серии о
Чистый нейтралитет
Темы и проблемы
По стране или региону

Глубокая проверка пакетов ( DPI ) или анализ пакетов - это тип обработки данных, который детально проверяет данные, отправляемые по компьютерной сети , и может предпринимать такие действия, как оповещение, блокирование, перенаправление или регистрацию соответственно. Глубокая проверка пакетов часто используется для поведения приложений базового, анализировать использование сети, производительности сети устранения неполадок, убедитесь , что данные в правильном формате, чтобы проверить на наличие вредоносного кода, подслушивание и цензуры в Интернете , [1] среди других целей. Есть несколько заголовков для IP-пакетов ; сетевое оборудование должно использовать только первый из них ( заголовок IP) для нормальной работы, но использование второго заголовка (такого как TCP или UDP ) обычно считается поверхностной проверкой пакетов (обычно называемой проверкой пакетов с отслеживанием состояния ), несмотря на это определение. [2]

Есть несколько способов получить пакеты для глубокой проверки пакетов. Использование зеркалирования портов (иногда называемое Span Port ) - очень распространенный способ, а также физическая вставка сетевого ответвителя, который дублирует и отправляет поток данных в инструмент анализатора для проверки.

Глубокая проверка пакетов (и фильтрация) обеспечивает расширенное управление сетью , пользовательское обслуживание и функции безопасности, а также интеллектуальный анализ данных в Интернете , подслушивание и цензуру в Интернете . Хотя DPI использовался для управления Интернетом в течение многих лет, некоторые сторонники сетевого нейтралитета опасаются, что этот метод может использоваться в антиконкурентных целях или для снижения открытости Интернета. [3]

DPI используется в широком спектре приложений на так называемом «корпоративном» уровне (корпорации и более крупные учреждения), поставщиками телекоммуникационных услуг и правительствами. [4]

Фон [ править ]

Технология DPI может похвастаться долгой и технологически развитой историей, начиная с 1990-х годов, до того, как технология вошла в то, что сегодня считается обычным, массовым развертыванием. История этой технологии насчитывает более 30 лет, когда многие пионеры предоставили свои изобретения для использования среди участников отрасли, например, с помощью общих стандартов и ранних инноваций, таких как:

  • RMON
  • Сниффер
  • Wireshark

Основные функции DPI включают анализ заголовков пакетов и полей протокола. Например, Wireshark предлагает важные функции DPI с помощью своих многочисленных диссекторов, которые отображают имена и содержимое полей и, в некоторых случаях, предлагают интерпретацию значений полей.

Некоторые решения безопасности, предлагающие DPI, сочетают в себе функции системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) с традиционным межсетевым экраном с отслеживанием состояния . [5] Эта комбинация позволяет обнаруживать определенные атаки, которые ни IDS / IPS, ни межсетевой экран с отслеживанием состояния не могут отловить самостоятельно. Межсетевые экраны с отслеживанием состояния, хотя и могут видеть начало и конец потока пакетов, не могут сами по себе улавливать события, которые были бы недоступны для конкретного приложения. Хотя IDS способны обнаруживать вторжения, у них очень мало возможностей для блокирования таких атак. DPI используются для предотвращения атак вирусов и червей на проводных скоростях. В частности, DPI может быть эффективным против атак переполнения буфера,атаки типа «отказ в обслуживании» (DoS), изощренные вторжения и небольшой процент червей, которые помещаются в один пакет. [6]

Устройства с поддержкой DPI могут просматривать уровень 2 и выше уровня 3 модели OSI . В некоторых случаях DPI может быть вызван для просмотра уровней 2-7 модели OSI. Сюда входят заголовки и структуры протокола данных, а также полезная нагрузка сообщения. Функциональность DPI вызывается, когда устройство просматривает или выполняет другие действия на основе информации за пределами уровня 3 модели OSI. DPI может идентифицировать и классифицировать трафик на основе базы данных сигнатур, которая включает информацию, извлеченную из части данных пакета, что обеспечивает более точный контроль, чем классификация, основанная только на информации заголовка. Конечные точки могут использовать методы шифрования и обфускации, чтобы избежать действий DPI во многих случаях.

Классифицированный пакет может быть перенаправлен, помечен / помечен (см. Качество обслуживания ), заблокирован, ограничен по скорости и, конечно, сообщен агенту отчетов в сети. Таким образом, ошибки HTTP различных классификаций могут быть идентифицированы и отправлены для анализа. Многие устройства DPI могут идентифицировать потоки пакетов (а не анализировать их отдельно), позволяя управлять действиями на основе накопленной информации о потоках. [7]

На уровне предприятия [ править ]

Изначально безопасность на уровне предприятия была лишь дисциплиной периметра, с доминирующей философией предотвращения доступа неавторизованных пользователей и защиты авторизованных пользователей от внешнего мира. Наиболее часто используемым инструментом для этого был межсетевой экран с отслеживанием состояния. Он может разрешить детальный контроль доступа из внешнего мира к заранее определенным пунктам назначения во внутренней сети, а также разрешить доступ обратно к другим хостам только в том случае, если запрос во внешний мир был сделан ранее. [8]

Однако на сетевых уровнях существуют уязвимости, которые не видны брандмауэру с отслеживанием состояния. Кроме того, увеличение использования ноутбуков на предприятии затрудняет предотвращение проникновения таких угроз, как вирусы , черви и шпионское ПО, в корпоративную сеть, поскольку многие пользователи будут подключать ноутбук к менее защищенным сетям, таким как домашние широкополосные соединения или беспроводные сети в общественных местах. Брандмауэры также не делают различий между разрешенным и запрещенным использованием приложений с законным доступом. DPI позволяет ИТ-администраторам и сотрудникам службы безопасности устанавливать политики и обеспечивать их соблюдение на всех уровнях, включая уровень приложения и пользователя, чтобы помочь бороться с этими угрозами [ необходима цитата ]. [9]

Deep Packet Inspection может обнаруживать несколько видов атак переполнения буфера .

DPI может использоваться предприятием для предотвращения утечки данных (DLP). Когда пользователь электронной почты пытается отправить защищенный файл, ему может быть предоставлена ​​информация о том, как получить надлежащее разрешение для отправки файла. [ требуется пояснение ] [ требуется пример ] [10]

У сетевых / интернет-провайдеров [ править ]

Помимо использования DPI для защиты своих внутренних сетей, интернет-провайдеры также применяют его в общедоступных сетях, предоставляемых клиентам. Обычные виды использования DPI интернет-провайдерами - это законный перехват , определение и соблюдение политики , таргетированная реклама , качество обслуживания , многоуровневые услуги и защита авторских прав .

Законный перехват [ править ]

Почти все правительства во всем мире требуют от поставщиков услуг обеспечения возможности законного перехвата . Десятилетия назад в устаревшей телефонной среде это было решено путем создания точки доступа трафика (TAP) с использованием прокси-сервера перехвата, который подключается к правительственному оборудованию наблюдения. Компонент сбора этой функциональности может быть предоставлен разными способами, включая DPI, продукты с поддержкой DPI, которые "LI или CALEA- совместимые" могут использоваться - по указанию суда - для доступа к потоку данных пользователя. [11]

Определение и применение политики [ править ]

Поставщики услуг, обязанные в соответствии с соглашением об уровне обслуживания со своими клиентами предоставлять определенный уровень обслуживания и в то же время обеспечивать соблюдение политики допустимого использования , могут использовать DPI для реализации определенных политик, которые охватывают нарушения авторских прав, незаконные материалы и несправедливость. использование полосы пропускания . В некоторых странах интернет-провайдеры обязаны выполнять фильтрацию в зависимости от законодательства страны. DPI позволяет поставщикам услуг «легко узнавать пакеты информации, которые вы получаете в сети - от электронной почты до веб-сайтов, совместного использования музыки, видео и загрузки программного обеспечения». [12] Можно определить политики, которые разрешают или запрещают подключение к или с IP-адреса, определенных протоколов или даже эвристики. которые идентифицируют определенное приложение или поведение.

Таргетированная реклама [ править ]

Поскольку интернет-провайдеры направляют трафик всех своих клиентов, они могут очень подробно отслеживать привычки просмотра веб-страниц, что позволяет им получать информацию об интересах своих клиентов, которую могут использовать компании, специализирующиеся на целевой рекламе. Таким образом отслеживаются не менее 100 000 клиентов из США, и до 10% клиентов из США отслеживаются таким образом. [13] Поставщики технологий включают NebuAd , Front Porch и Phorm . Американские интернет-провайдеры, отслеживающие своих клиентов, включают Knology [14] и Wide Open West . Кроме того, интернет-провайдер Великобритании British Telecomдопущен к тестированию решений от Phorm без ведома или согласия клиентов. [13]

Качество обслуживания [ править ]

DPI может использоваться против сетевого нейтралитета .

Такие приложения, как одноранговый (P2P) трафик, создают все большие проблемы для поставщиков широкополосных услуг. Как правило, P2P-трафик используется приложениями для обмена файлами. Это могут быть файлы любого типа (например, документы, музыка, видео или приложения). Из-за часто передаваемых мультимедийных файлов большого размера P2P увеличивает нагрузку на трафик, что требует дополнительной пропускной способности сети. Поставщики услуг заявляют, что меньшинство пользователей генерирует большие объемы P2P-трафика и снижает производительность большинства абонентов широкополосного доступа, использующих такие приложения, как электронная почта или просмотр веб-страниц, которые используют меньшую полосу пропускания. [15] Низкая производительность сети увеличивает неудовлетворенность клиентов и приводит к снижению доходов от услуг.

DPI позволяет операторам перепродавать свою доступную пропускную способность, обеспечивая при этом справедливое распределение пропускной способности для всех пользователей, предотвращая перегрузку сети. Кроме того, более высокий приоритет может быть назначен вызову VoIP или видеоконференцсвязи, который требует малой задержки, по сравнению с просмотром веб-страниц, который этого не делает. [16] Это подход, который используют поставщики услуг для динамического распределения полосы пропускания в соответствии с трафиком, проходящим через их сети.

Многоуровневые услуги [ править ]

Поставщики услуг мобильной и широкополосной связи используют DPI как средство для реализации многоуровневых планов обслуживания, чтобы отличать услуги «огороженного сада» от услуг «с добавленной стоимостью», «все, что вы можете съесть» и «универсальные» услуги передачи данных. . [17] Имея возможность взимать плату за «огороженный сад», за приложение, за услугу или «все, что вы можете съесть», а не за универсальный пакет, оператор может адаптировать свои предлагая индивидуальному подписчику и увеличивая его средний доход на пользователя (ARPU). Политика создается для каждого пользователя или группы пользователей, а система DPI, в свою очередь, применяет эту политику, предоставляя пользователю доступ к различным службам и приложениям.

Защита авторских прав [ править ]

Интернет-провайдеров иногда запрашивают владельцы авторских прав или требуют суды или официальная политика для обеспечения соблюдения авторских прав. В 2006 году один из крупнейших интернет-провайдеров Дании, Tele2 , получил судебный запрет и приказал заблокировать своим клиентам доступ к The Pirate Bay , стартовой точке для BitTorrent . [18] Вместо того , чтобы преследовать файл распределители по одному за раз, [19] Международная федерация звукозаписывающей индустрии (IFPI) и большие четыре звукозаписывающей EMI , Sony BMG , Universal Music и Warner Music начал судиться МНПОМ, как Eircomза недостаточные меры по защите своих авторских прав. [20] IFPI хочет, чтобы интернет-провайдеры фильтровали трафик для удаления незаконно загруженных и загруженных материалов, защищенных авторским правом, из своей сети, несмотря на то, что европейская директива 2000/31 / EC четко заявляет, что интернет-провайдеры не могут быть связаны общим обязательством контролировать информацию, которую они передают, и директива 2002/58 / EC, предоставляющая европейским гражданам право на конфиденциальность сообщений. Motion Picture Association Америки (MPAA) , который вводит в кино авторских прав , занял позицию с Федеральной комиссией по связи (FCC) , что сеть нейтральность может повредить методы борьбы с пиратством , такими как глубокий анализ пакетов и другими формы фильтрации. [21]

Статистика [ править ]

DPI позволяет интернет-провайдерам собирать статистическую информацию о шаблонах использования по группам пользователей. Например, может быть интересно, используют ли пользователи с подключением 2 Мбит сеть не так, как пользователи с подключением 5 Мбит. Доступ к данным о тенденциях также помогает при планировании сети. [ требуется разъяснение ]

Правительством [ править ]

См. Также: сетевое наблюдение и цензура в Интернете.

Помимо использования DPI для безопасности своих сетей, правительства Северной Америки, Европы и Азии используют DPI для различных целей, таких как наблюдение и цензура . Многие из этих программ засекречены. [22]

Соединенные Штаты [ править ]

Основная статья: Споры о слежке АНБ без санкции

FCC принимает требования Internet CALEA : FCC в соответствии со своим мандатом Конгресса США и в соответствии с политикой большинства стран мира требует, чтобы все поставщики телекоммуникационных услуг, включая интернет-услуги, были способны поддерживать исполнение судебного постановления. для обеспечения судебной экспертизы связи определенных пользователей в режиме реального времени. В 2006 году FCC приняла новый Раздел 47, подраздел Z, правила, требующие от провайдеров доступа в Интернет выполнять эти требования. DPI был одной из платформ, необходимых для выполнения этого требования, и был развернут для этой цели по всей территории США.

Агентство национальной безопасности (NSA) в сотрудничестве с AT&T Inc. использовало Deep Packet Inspection, чтобы сделать наблюдение, сортировку и пересылку интернет-трафика более интеллектуальными. DPI используется для определения того, какие пакеты передают электронную почту или телефонный звонок по протоколу передачи голоса по Интернет-протоколу (VoIP). [23] Трафик, связанный с общей магистралью AT&T, был «разделен» между двумя волокнами, разделив сигнал таким образом, что 50 процентов мощности сигнала приходилось на каждое выходное волокно. Одно из выходных волокон было отведено в безопасную комнату; другой передавал связь с коммутационным оборудованием AT&T. В безопасной комнате находился Нарусанализаторы трафика и логические серверы; Narus заявляет, что такие устройства способны собирать данные в реальном времени (записывать данные для рассмотрения) и захватывать со скоростью 10 гигабит в секунду. Определенный трафик был выбран и отправлен по выделенной линии в «центральную точку» для анализа. Согласно письменным показаниям свидетеля-эксперта Дж. Скотта Маркуса, бывшего старшего советника по Интернет-технологиям Федеральной комиссии по связи США, перенаправленный трафик «представлял весь или практически весь пиринговый трафик AT&T в районе залива Сан-Франциско», и таким образом, «разработчики ... конфигурации не предприняли попыток с точки зрения местоположения или положения разветвления волокна исключить источники данных, состоящие в основном из внутренних данных». [24] Программное обеспечение Narus Semantic Traffic Analyzer,который работает на IBMили серверы Dell Linux, использующие DPI, сортируют IP-трафик со скоростью 10 Гбит / с, чтобы выбрать определенные сообщения на основе целевого адреса электронной почты, IP-адреса или, в случае VoIP, номера телефона. [25] Президент Джордж Буш и генеральный прокурор Альберто Р. Гонсалес заявили, что, по их мнению, президент обладает полномочиями отдавать приказ о секретном перехвате телефонных разговоров и обменов электронной почтой между людьми внутри Соединенных Штатов и их контактами за рубежом без получения FISA. ордер. [26]

Агентство оборонных информационных систем разработало сенсорную платформу, которая использует Deep Packet Inspection. [27]

Китай [ править ]

Основные статьи: Интернет-цензура в Китайской Народной Республике и Список веб-сайтов, заблокированных в Китае

Правительство Китая использует Deep Packet Inspection для мониторинга и цензуры сетевого трафика и контента, который, по его утверждениям, наносит вред китайским гражданам или интересам государства. Этот материал включает в себя порнографию, информацию о религии, и политическое инакомыслие. [28] Китайские сетевые интернет-провайдеры используют DPI, чтобы узнать, нет ли в их сети конфиденциальных ключевых слов. В этом случае соединение будет прервано. Люди в Китае часто оказываются заблокированными при доступе к веб-сайтам, содержащим контент, связанный с независимостью Тайваня и Тибета , Фалуньгун , Далай-ламой , протестами на площади Тяньаньмэнь и резней 1989 года., политические партии, выступающие против правящей Коммунистической партии, или различные антикоммунистические движения [29], поскольку эти материалы уже были подписаны как ключевые слова DPI. Китай ранее блокировал весь трафик VoIP в своей стране и из нее [30], но многие доступные приложения VOIP теперь работают в Китае. Голосовой трафик в Skype не затрагивается, хотя текстовые сообщения подлежат фильтрации, а сообщения, содержащие конфиденциальные материалы, такие как ругательства, просто не доставляются, и ни один из участников разговора не получает уведомления. Китай также блокирует сайты визуальных средств массовой информации, такие как YouTube.com, а также различные сайты с фотографиями и блогами. [31]

Сайты с высоким рейтингом заблокированы в материковом Китае с помощью Deep Packet Inspection
Рейтинг AlexaИнтернет сайтДоменURLКатегорияОсновной язык
6Википедияwikipedia.orgwww.wikipedia.orgЭнциклопедия без цензурыанглийский
1Googlegoogle.comwww.google.comВсемирная поисковая система в Интернетеанглийский
1Google зашифрованныйgoogle.comencrypted.google.comПоисканглийский
2Facebookfacebook.comwww.facebook.comСоциальная сетьанглийский
3YouTubeyoutube.comwww.youtube.comвидеоанглийский
557JW.ORGjw.orgwww.jw.orgДуховное, христианствоМногоязычный
24693OpenVPNopenvpn.netwww.openvpn.netИзбежание политической цензуры в Интернетеанглийский
33553Сильный VPNstrongvpn.comwww.strongvpn.comИзбежание политической цензуры в Интернетеанглийский
78873Фалунь Дафаfalundafa.orgwww.falundafa.orgДуховныйанглийский
1413995Купоны VPNvpncoupons.comwww.vpncoupons.comИзбежание политической цензуры в Интернетеанглийский
2761652СлонVPNelephantvpn.comwww.elephantvpn.comИзбежание политической цензуры в Интернетеанглийский

Иран [ править ]

Основная статья: Интернет-цензура в Иране

Правительство Ирана приобрело систему, как сообщается, для глубокой проверки пакетов в 2008 году у Nokia Siemens Networks (NSN) (совместное предприятие Siemens AG, немецкий конгломерат и Nokia Corp., финская компания сотовой связи), теперь NSN - это Nokia Solutions. и Networks, согласно сообщению, опубликованному в Wall Street Journal в июне 2009 года, со ссылкой на представителя NSN Бена Рума. По словам неназванных экспертов, цитируемых в статье, система «позволяет властям не только блокировать коммуникацию, но и контролировать ее для сбора информации о лицах, а также изменять ее в целях дезинформации».

Система была куплена Telecommunication Infrastructure Co., частью телекоммуникационной монополии правительства Ирана. По данным журнала , NSN в прошлом году «поставляла оборудование в Иран в рамках международно признанной концепции„законного перехвата“ , сказал г - н Roome. [ Править ]Это относится к перехвату данных для целей борьбы с терроризмом, детской порнографии, незаконного оборота наркотиков и других видов преступной деятельности , осуществляемой в Интернете, возможность , что большинство , если не все телекоммуникационные компании, сказал он .... центр мониторинга , что Nokia Siemens Networks проданный в Иран, был описан в брошюре компании как позволяющий «контролировать и перехватывать все типы передачи голоса и данных во всех сетях». Совместное предприятие вышло из бизнеса, который включал в себя оборудование для мониторинга, то, что оно назвало «интеллектуальным решением», в конце марта, продав его мюнхенской инвестиционной компании Perusa [32] Partners Fund 1 LP, сказал г-н Рум. . Он сказал, что компания решила, что больше не является частью ее основного бизнеса. [ цитата необходима]

Система NSN последовала за покупками Ираном у Secure Computing Corp. в начале этого десятилетия. [33]

Были подняты вопросы о достоверности отчетности в журнале отчета Дэвид Айзенберг, независимый Вашингтон, округ Колумбия -На аналитик и Cato Institute адъюнкт ученый, в частности , о том , что г - н Roome отрицает цитаты , приписываемые ему , и что он, Айзенберг, также имел аналогичные жалобы с одним из репортеров журнала в более ранней статье. [34] NSN выдало следующее опровержение: NSN «не предоставил Ирану никаких возможностей для глубокой проверки пакетов, веб-цензуры или интернет-фильтрации». [35] Параллельно с этим в The New York Times говорилось, что продажа NSN освещалась в "серии новостных сообщений в апреле [2009], в том числеThe Washington Times »и проанализировал цензуру в Интернете и других СМИ в стране, но не упомянул DPI. [36]

По словам Валида Аль-Сакафа, разработчика средства обхода интернет-цензуры Alkasir , в феврале 2012 года Иран использовал глубокую проверку пакетов, в результате чего скорость интернета по всей стране практически остановилась. Это ненадолго закрыло доступ к таким инструментам, как Tor и Alkasir. [37]

Российская Федерация [ править ]

Основная статья: СОРМ

DPI еще не введен в действие в России. Федеральный закон № 139 предписывает блокировать веб-сайты в черном списке российского Интернета с помощью IP-фильтрации, но не заставляет интернет-провайдеров анализировать информационную часть пакетов. Тем не менее, некоторые интернет-провайдеры по-прежнему используют разные решения DPI для внесения в черный список. На 2019 год государственное агентство Роскомнадзор планирует развернуть ДОИ по всей стране после пилотного проекта в одном из регионов страны с ориентировочной стоимостью 20 миллиардов рублей (300 миллионов долларов США). [38]

Некоторые правозащитники [ кто? ] считают Deep Packet инспекцию противоречащим статье 23 Конституции Российской Федерации , хотя это юридический процесс для доказательства или опровержения, которого никогда не было. [ необходима цитата ] [39]

Сингапур [ править ]

Основная статья: Интернет-цензура в Сингапуре

Сообщается, что в городе-государстве проводится глубокая проверка пакетов интернет-трафика. [40]

Сирия [ править ]

Сообщается, что в штате проводится глубокая проверка пакетов интернет-трафика для анализа и блокировки запрещенного транзита.

Малайзия [ править ]

Действующее правительство Малайзии во главе с Барисаном Насионалем, как сообщается, использовало ДОИ против политического оппонента во время подготовки к 13-м всеобщим выборам, состоявшимся 5 мая 2013 года.

В данном случае целью DPI было заблокировать и / или затруднить доступ к выбранным веб-сайтам, например учетным записям Facebook, блогам и новостным порталам.[41] [42]

Египет [ править ]

По сообщениям, с 2015 года Египет начал присоединяться к списку, который постоянно опровергался официальными лицами Египетского национального органа регулирования электросвязи (NTRA). Однако дошло до новостей, когда страна решила заблокировать приложение для обмена зашифрованными сообщениями Signal, как объявил разработчик приложения. [43]

В апреле 2017 года все приложения VOIP, включая FaceTime, Facebook Messenger, Viber, звонки в Whatsapp и Skype, были заблокированы в стране. [44]

Сетевой нейтралитет [ править ]

См. Также: нейтралитет сети

Люди и организации, озабоченные конфиденциальностью или сетевым нейтралитетом, считают проверку уровней содержания Интернет-протокола оскорбительной [11], заявляя, например, что «Сеть была построена на открытом доступе и отсутствии дискриминации пакетов!» [45] Между тем критики правил сетевого нейтралитета называют их «решением в поисках проблемы» и говорят, что правила сетевого нейтралитета уменьшат стимулы для модернизации сетей и запуска сетевых услуг следующего поколения . [46]

Многие считают, что глубокая проверка пакетов подрывает инфраструктуру Интернета. [47]

Шифрование и туннелирование, подрывающие DPI [ править ]

Глубокая проверка SSL / TLS

В связи с более широким использованием HTTPS и туннелирования конфиденциальности с использованием виртуальных частных сетей эффективность DPI ставится под сомнение. [48] В ответ многие брандмауэры веб-приложений теперь предлагают проверку HTTPS , где они расшифровывают трафик HTTPS для его анализа. [49] WAF может либо прекратить шифрование, чтобы соединение между WAF и клиентским браузером использовало простой HTTP, либо повторно зашифровать данные с помощью собственного сертификата HTTPS, который должен быть передан клиентам заранее. [50] Методы, используемые в HTTPS / SSL Inspection (также известном как HTTPS / SSL Interception), такие же, как и при атаках типа «человек посередине» (MiTM) [51]

Это работает так:

  1. Клиент хочет подключиться к https://www.targetwebsite.com
  2. Трафик проходит через брандмауэр или продукт безопасности
  3. Брандмауэр работает как прозрачный прокси
  4. Брандмауэр создает сертификат SSL, подписанный его собственным « ЦС CompanyFirewall »
  5. Брандмауэр представляет этот подписанный сертификат "CompanyFirewall CA " клиенту (не сертификат targetwebsite.com)
  6. В то же время брандмауэр сам по себе подключается к https://www.targetwebsite.com.
  7. targetwebsite.com представляет свой официально подписанный сертификат (подписанный доверенным центром сертификации )
  8. Брандмауэр самостоятельно проверяет цепочку доверия сертификатов
  9. Брандмауэр теперь работает как человек посередине .
  10. Трафик от клиента будет расшифрован (с помощью информации об обмене ключами от клиента), проанализирован (на предмет вредоносного трафика, нарушения политики или вирусов), зашифрован (с помощью информации об обмене ключами с targetwebsite.com) и отправлен на targetwebsite.com
  11. Трафик с targetwebsite.com также будет расшифрован (с помощью информации об обмене ключами с targetwebsite.com), проанализирован (как указано выше), зашифрован (с помощью информации об обмене ключами от клиента) и отправлен клиенту.
  12. Брандмауэр может считывать всю информацию, передаваемую между SSL-клиентом и SSL-сервером (targetwebsite.com).

Это можно сделать с любым подключением с TLS-завершением (не только HTTPS), если брандмауэр может изменять TrustStore SSL-клиента.

Безопасность инфраструктуры [ править ]

Традиционно мантра, которая хорошо служила Интернет-провайдерам, заключалась в том, чтобы работать только на уровне 4 и ниже модели OSI. Это связано с тем, что простое решение, куда идут пакеты и их маршрутизация, сравнительно легко и безопасно обрабатывать. Эта традиционная модель по-прежнему позволяет интернет-провайдерам безопасно выполнять требуемые задачи, такие как ограничение полосы пропускания в зависимости от количества используемой полосы пропускания (уровень 4 и ниже), а не для каждого протокола или типа приложения (уровень 7). Существует очень веский и часто игнорируемый аргумент о том, что действия ISP выше уровня 4 модели OSI предоставляют то, что в сообществе безопасности известно как «ступеньки» или платформы для проведения атак «человек в середине». Эта проблема усугубляется интернет-провайдером.s часто выбирают более дешевое оборудование с плохой репутацией в плане безопасности для очень сложной и, возможно, невозможной для защиты задачи Deep Packet Inspection.

Фильтр пакетов OpenBSD специально избегает DPI по той самой причине, что это нельзя сделать безопасно и с уверенностью.

Это означает, что службы безопасности, зависящие от DPI, такие как бывшая реализация TalkTalk HomeSafe, фактически торгуют безопасностью нескольких (защищаемых и часто уже защищаемых многими более эффективными способами) за счет снижения безопасности для всех, где пользователи также имеют гораздо меньше возможностей снижение риска. Служба HomeSafe, в частности, включена для блокировки, но от нее нельзя отказаться даже для бизнес-пользователей [ необходима ссылка ] .

Программное обеспечение [ править ]

nDPI ( ответвление от OpenDPI [52], которое является EoL разработчиками ntop ) [53] [54] - это версия с открытым исходным кодом для необфусцированных протоколов . PACE, еще один такой механизм, включает в себя запутанные и зашифрованные протоколы, которые являются типами, связанными со Skype или зашифрованным BitTorrent . [55] Поскольку OpenDPI больше не поддерживается, была создана ветвь OpenDPI под названием nDPI [56], которая активно поддерживается и расширяется новыми протоколами, включая Skype , Webex , Citrix и многие другие.

L7-Filter - это классификатор для Netfilter Linux, который идентифицирует пакеты на основе данных уровня приложения. [57] Он может классифицировать пакеты, такие как Kazaa , HTTP , Jabber , Citrix , Bittorrent , FTP , Gnucleus , eDonkey2000 и другие. Он классифицирует потоковые, почтовые, P2P, VOIP , протоколы и игровые приложения. Программное обеспечение было удалено и заменено Netify DPI Engine с открытым исходным кодом . [58]

Hippie (Hi-Performance Protocol Identification Engine) - это проект с открытым исходным кодом, который был разработан как модуль ядра Linux. [59] Он был разработан Джошем Баллардом. Он поддерживает как DPI, так и функции межсетевого экрана. [60]

Проект SPID (Statistical Protocol IDentification) основан на статистическом анализе сетевых потоков для определения трафика приложений. [61] Алгоритм SPID может обнаруживать протокол прикладного уровня (уровень 7) по сигнатурам (последовательность байтов с определенным смещением в рукопожатии), путем анализа информации о потоках (размеры пакетов и т. Д.) И статистики полезной нагрузки (как часто байтовое значение используется для измерения энтропии) из файлов pcap. Это всего лишь экспериментальное приложение, которое в настоящее время поддерживает около 15 приложений / протоколов, таких как трафик обфускации eDonkey , Skype UDP и TCP, BitTorrent , IMAP , IRC , MSN., и другие.

Tstat (TCP STatistic and Analysis Tool) дает представление о моделях трафика и предоставляет подробную информацию и статистику для многочисленных приложений и протоколов. [62]

Libprotoident представляет облегченную проверку пакетов (LPI), которая проверяет только первые четыре байта полезной нагрузки в каждом направлении. Это позволяет минимизировать проблемы конфиденциальности, уменьшая при этом дисковое пространство, необходимое для хранения трассировок пакетов, необходимых для классификации. Libprotoident поддерживает более 200 различных протоколов, и классификация основана на комбинированном подходе с использованием сопоставления с шаблоном полезной нагрузки, размера полезной нагрузки, номеров портов и сопоставления IP. [63]

Французская компания под названием Amesys , разработана и продается интрузивный и массивный Интернет мониторинга системы Eagle с Муаммаром Каддафи . [64]

Сравнение [ править ]

Подробное сравнение различных классификаторов сетевого трафика, зависящих от Deep Packet Inspection (PACE, OpenDPI, 4 различных конфигурации L7-filter, NDPI, Libprotoident и Cisco NBAR), показано в разделе «Независимое сравнение популярных инструментов DPI для классификации трафика». . [65]

Оборудование [ править ]

Особое внимание уделяется глубокой проверке пакетов - это выясняется [ требуется разъяснение ] после отклонения законопроектов SOPA и PIPA . Многие современные методы DPI медленны и дороги, особенно для приложений с высокой пропускной способностью. Разрабатываются более эффективные методы DPI. Специализированные маршрутизаторы теперь могут выполнять DPI; маршрутизаторы, оснащенные словарем программ, помогут определить цели локальной сети и маршрутизируемого интернет-трафика. Cisco Systems сейчас работает над второй версией маршрутизаторов с поддержкой DPI, объявив о выпуске маршрутизатора CISCO ISR G2. [66]

См. Также [ править ]

  • Общий носитель
  • Директива о хранении данных
  • Глубокая проверка контента
  • ЭШЕЛОН
  • Брандмауэр
  • Закон о наблюдении за внешней разведкой
  • Золотой Щит
  • Система предотвращения вторжений
  • Сетевой нейтралитет
  • Споры о слежке со стороны АНБ
  • Анализатор пакетов
  • Межсетевой экран с отслеживанием состояния
  • Theta Networks
  • Wireshark

Ссылки [ править ]

  1. ^ Дункан Гир, https://www.wired.co.uk/article/how-deep-packet-inspection-works
  2. Томас Портер (11 января 2005 г.). «Опасности глубокой проверки пакетов» . securityfocus.com . Проверено 2 марта 2008 .
  3. Хэл Абельсон; Кен Ледин; Крис Льюис (2009). "Just Deliver the Packets, in: Essays on Deep Packet Inspection", Ottawa " . Офис уполномоченного по вопросам конфиденциальности Канады . Проверено 8 января 2010 .
  4. ^ Ralf Bendrath (2009-03-16). «Глобальные технологические тенденции и национальное регулирование: объяснение различий в управлении глубокой проверкой пакетов, доклад, представленный на Ежегодном съезде международных исследований, Нью-Йорк, 15–18 февраля 2009 г.» (PDF) . Ассоциация международных исследований . Проверено 8 января 2010 .
  5. ^ Идо Dubrawsky (2003-07-29). «Эволюция межсетевого экрана - глубокая проверка пакетов» . securityfocus.com . Проверено 2 марта 2008 .
  6. ^ Хачатрян, Артавазд (2020-02-01). «Сетевой DPI 100 Гбит / с, извлечение контента на ПЛИС Xilinx» . Средний . Проверено 23 октября 2020 .
  7. ^ Москола, Джеймс и др. «Внедрение модуля сканирования содержимого для межсетевого экрана». Программируемые в полевых условиях специализированные вычислительные машины, 2003 г. FCCM 2003. 11-й ежегодный симпозиум IEEE по. IEEE, 2003.
  8. ^ Элан Амир (2007-10-29). «Доводы в пользу глубокой проверки пакетов» . itbusinessedge.com . Проверено 2 марта 2008 .
  9. ^ "брандмауэр" .
  10. ^ Майкл Мориси (2008-10-23). «Предотвращение утечки данных начинается с доверия к своим пользователям» . SearchNetworking.com . Проверено 1 февраля 2010 .
  11. ^ a b Нейт Андерсон (2007-07-25). «Deep Packet Inspection отвечает« Сетевому нейтралитету, CALEA » . ars technica . Проверено 6 февраля 2006 .
  12. Джефф Честер (01.02.2006). "Конец Интернета?" . Нация . Проверено 6 февраля 2006 .
  13. ^ a b Питер Вориски (2008-04-04). «Каждый клик, который вы делаете: интернет-провайдеры незаметно тестируют расширенное отслеживание использования Интернета для целевой рекламы» . Вашингтон Пост . Проверено 8 апреля 2008 .
  14. ^ «Устав связи: Расширенный опыт работы в Интернете» . Проверено 14 мая 2008 .
  15. ^ «Глубокая проверка пакетов: укрощение зверя трафика P2P» . Легкое чтение. Архивировано из оригинала на 2008-03-02 . Проверено 3 марта 2008 .
  16. ^ Matt Хамблена (2007-09-17). «Ball State использует Deep Packet Inspection для обеспечения производительности видеоконференцсвязи» . Компьютерный мир . Проверено 3 марта 2008 .
  17. ^ «Allot развертывает решение DPI у двух операторов мобильной связи уровня 1 для предоставления дополнительных и многоуровневых пакетов обслуживания» . news.moneycentral.msn.com. 2008-02-05 . Проверено 3 марта 2008 .[ постоянная мертвая ссылка ]
  18. Джереми Кирк (13 февраля 2008). «Датский интернет-провайдер готовится отменить судебный запрет на Pirate Bay» . Служба новостей IDG . Архивировано из оригинала на 2008-02-14 . Проверено 12 марта 2008 .
  19. ^ Мэттью Кларк (2005-07-05). «Eircom и BT не будут выступать против музыкальных фирм» . enn.ie. Архивировано из оригинала на 2007-08-14 . Проверено 12 марта 2008 .
  20. ^ Эрик Bangeman (2008-03-11). « « Год фильтров »превратился в год судебных исков против интернет-провайдеров» . ars technica . Проверено 12 марта 2008 .
  21. ^ Энн Броуч (2007-07-19). «MPAA: Сетевой нейтралитет может повредить антипиратской технологии» . CNET News . Проверено 12 марта 2008 .
  22. ^ Кэролайн Даффи Марсан (2007-06-27). «OEM-поставщик Bivio нацелен на государственный рынок» . Сетевой мир . Проверено 13 марта 2008 .
  23. Перейти ↑ JI Nelson (2006-09-26). «Как работает система прослушивания телефонных разговоров АНБ без санкции» . Проверено 3 марта 2008 .
  24. ^ Белловин, Стивен М .; Мэтт Блейз; Уитфилд Диффи; Сьюзан Ландау; Питер Г. Нойман; Дженнифер Рексфорд (январь – февраль 2008 г.). «Риск безопасности коммуникаций: потенциальные опасности Закона о защите Америки» (PDF) . Безопасность и конфиденциальность IEEE . Компьютерное общество IEEE . 6 (1): 24–33. DOI : 10.1109 / MSP.2008.17 . S2CID 874506 . Архивировано из оригинального (PDF) 27 февраля 2008 года . Проверено 3 марта 2008 .  
  25. Роберт По (17 мая 2006 г.). «Лучший инструмент сетевого мониторинга» . Проводной . Проверено 3 марта 2008 .
  26. ^ Кэрол Д. Леонниг (2007-01-07). "Отчет опровергает Буша о шпионаже - законность внутренних действий оспаривается" . Вашингтон Пост . Проверено 3 марта 2008 .
  27. ^ Шерил Гербер (2008-09-18). «Глубокая безопасность: DISA усиливает безопасность с помощью глубокой проверки пакетов при передаче IP» . Архивировано из оригинала на 2011-07-26 . Проверено 30 октября 2008 .
  28. ^ Бен Элгин; Брюс Эйнхорн (12 января 2006 г.). «Великий китайский файрвол» . Деловая неделя . Архивировано из оригинала на 2008-02-28 . Проверено 13 марта 2008 .
  29. ^ «Интернет-фильтрация в Китае в 2004-2005 годах: исследование страны» . Инициатива Open Net . Архивировано из оригинала на 2007-09-28 . Проверено 13 марта 2008 .
  30. ^ Гай Кьюни, Китай блокирует Skype, VoIP , The Register, 2005
  31. ^ «Китай блокирует YouTube, восстанавливает Flickr и Blogspot» . Мир ПК . 2007-10-18 . Проверено 3 марта 2008 .
  32. ^ "Perusa :: Кто мы" . perusa-partners.de . Архивировано из оригинала на 2015-09-24.
  33. ^ "Иранский веб-шпионаж с помощью западных технологий" Кристофера Роудса в Нью-Йорке и Лоретты Чао в Пекине, The Wall Street Journal , 22 июня 2009 г. Проверено 22 июня 2009 г.
  34. ^ «Вопросы об истории WSJ о сетевом менеджменте в Иране» Дэвида С. Изенберга, isen.blog, 23 июня 2009 г. Проверено 22.06.09.
  35. «Предоставление возможности законного перехвата в Иране». Архивировано 25 июня 2009 г. впресс-релизе Wayback Machine Company. 22 июня 2009 г. Дата обращения 22.06.09.
  36. ^ "Web Pries Lid иранской цензуры" Брайан Stelter и Брэд Стоун, The New York Times , 22 июня 2009 годаизвлекаемых 23 июня 2009 года.
  37. ^ 14 февраля 2012 "Взлом и Изгиб Цензура с Валидом аль-Saqaf" архивной 2 мая 2013, в Wayback Machine , интервью с Arseh Sevom . Последний раз просматривали 23 февраля 2012 г.
  38. ^ «Роскомнадзор внедрит новую технологию блокировки» . BBC News Русская Служба . 18 декабря 2018.
  39. Конституция Российской Федерации (перевод на английский). Архивировано 4 мая 2013 г. в Wayback Machine.
  40. ^ "Глубокая проверка пакетов поднимает уродливую голову" . Проверено 28 апреля 2015 года .
  41. ^ Го Кхенг Теонг (2013-05-20). «DAP жалуется MCMC на блокировку своих веб-сайтов, видео, FB, социальных сетей» . Проверено 21 мая 2013 .
  42. ^ «В Малайзии онлайн-предвыборные баталии принимают неприятный оборот» . Рейтер. 2013-05-04. Архивировано из оригинала на 2013-05-07 . Проверено 22 мая 2013 .
  43. ^ «Египет заблокировал приложение для обмена зашифрованными сообщениями Signal» .
  44. ^ "Архивная копия" . Архивировано из оригинала на 2017-04-23 . Проверено 22 апреля 2017 .CS1 maint: заархивированная копия как заголовок ( ссылка )
  45. ^ Дженни Першинг. «Сетевой нейтралитет: исторический нейтралитет» . Кибертелеком. Архивировано из оригинала на 2008-05-11 . Проверено 26 июня 2008 .
  46. ^ Дженни Першинг. «Сетевой нейтралитет: недостаточный вред» . Кибертелеком. Архивировано из оригинала на 2008-05-11 . Проверено 26 июня 2008 .
  47. ^ "Архивная копия" . Архивировано из оригинального (PDF) 25 октября 2013 года . Проверено 11 октября 2013 . CS1 maint: заархивированная копия как заголовок ( ссылка )
  48. ^ Шерри Жюстин, Чанг Лан, Ралука Ада Попа и Сильвия Ратнасами, Blindbox: глубокая проверка пакетов по зашифрованному трафику , ACM SIGCOMM Computer Communication Review, 2015
  49. ^ «Лучшие практики - проверка HTTPS» . Центр поддержки Check Point . 2017-07-21. С помощью HTTPS Inspection шлюз безопасности может проверять трафик, зашифрованный HTTPS. Шлюз безопасности использует сертификаты и становится посредником между клиентским компьютером и защищенным веб-сайтом. Все данные хранятся конфиденциально в журналах проверки HTTPS. Только администраторы с разрешениями HTTPS Inspection могут видеть все поля в журнале.
  50. ^ «Спецификации SecureSphere WAF» . Спецификации SecureSphere WAF [...] Проверка HTTPS / SSL: пассивное дешифрование или завершение
  51. ^ «Что такое проверка SSL? Как это работает? - Магазин SSL ™» . Размещено в SSL Store ™ . 2018-08-03 . Проверено 26 июня 2019 .
  52. ^ "OpenDPI.org" . Архивировано из оригинала на 2015-12-07.
  53. ^ ntop (2 февраля 2012 г.). «nDPI - открытая и расширяемая библиотека глубокой проверки пакетов LGPLv3» . ntop.org . Проверено 23 марта 2015 года .
  54. ^ Фихтнер, Франко. «Прощай, OpenDPI» . lastsummer.de . Проверено 23 марта 2015 года .
  55. ^ «Механизм глубокой проверки пакетов становится открытым» . Ars Technica . 9 сентября 2009 г.
  56. ^ "nDPI" . ntop . 2 февраля 2012 г.
  57. ^ «Классификатор пакетов прикладного уровня для Linux» . sourceforge.net .
  58. ^ "Прощание с l7-фильтром" .
  59. ^ "Репозиторий SourceForge.net - [хиппи] Индекс /" . sourceforge.net .
  60. ^ «HiPPIE - Бесплатная загрузка» . linux112.com .
  61. ^ hjelmvik. «Идентификация статистического протокола SPID» . SourceForge .
  62. ^ Главная страница проекта Tstat
  63. ^ "Группа сетевых исследований WAND: libprotoident" . wand.net.nz .
  64. ^ Spy-Gear Бизнес может быть продано - Amesys продать бизнес, предоставивших технологии видеонаблюдения Используется М.Каддафи , в Wall Street Journal, немецкое издание, 9 марта 2012 года.
  65. ^ Томаш Буйлов; Валентин Карела-Эспаньол; Пере Барлет-Рос (2015). «Независимое сравнение популярных инструментов DPI для классификации трафика» . Компьютерные сети . В печати (Компьютерные сети). 76 : 75–89. CiteSeerX 10.1.1.697.8589 . DOI : 10.1016 / j.comnet.2014.11.001 . Проверено 10 ноября 2014 . 
  66. ^ Видимость и контроль приложений. (nd). В Cisco Systems

Внешние ссылки [ править ]

  • Что такое «глубокая проверка»? от Marcus J. Ranum . Проверено 10 декабря 2018.
  • Сборник эссе отраслевых экспертов
  • Что такое глубокая проверка пакетов и почему возникают разногласия
  • Информационный документ «Глубокая проверка пакетов - технологии, приложения и сетевой нейтралитет»
  • Киберпреступления в Египте при поддержке американской компании - DPI использовался египетским правительством при недавнем подавлении Интернета
  • Deep Packet Inspection накладывает свой отпечаток на развивающийся Интернет
  • Глубокая проверка пакетов с использованием фильтра частных