Фильтрация интернет-трафика: как и почему

Внимательное наблюдение за ситуацией с фильтрацией Интернета позволяет сообразить, где находится корень проблем, – а находится он в глобальных свойствах Интернета, которые сейчас плотно взаимодействуют с суверенностью государств мира. Такого в истории ещё не было. Очередной переломный момент назревает. Но записка немного о другом.

Вот есть такой термин DPI – Deep Packet Inspection (если переводить дословно: глубокий досмотр пакетов). Скрывающиеся за термином технологии позволяют проверять не только и не столько заголовки пакетов данных, проходящих через коммуникационное оборудование, но и само “полезное” содержимое этих пакетов, передаваемые данные. Причём досмотр и фильтрация проводятся на уровень или два выше, чем отдельные пакеты: то есть, можно собирать сессии, выделять потоки данных, анализировать, например, содержимое веб-страниц, поступающих в браузер.

Тут главное выделить побольше вычислительных мощностей: анализ типов пересылаемых файлов, текстов на веб-страницах – по современным меркам, как говорится, не бином Ньютона. При этом к классу “тексты на веб-страницах” относятся личные сообщения в веб-чате, или письма, отображаемые в веб-интерфейсе почты.

Понятно, что системы DPI годятся на роль инструмента, формирующего гибкие, в технологическом смысле, правила блокирования доступа к ресурсам. Есть, конечно, ряд проблем с реализацией масштабного анализа трафика: например, пакеты по Интернету могут ходить разными путями и, перехватив запросы от веб-браузера, можно не получить соответствующих ответов сервера. Но тут главное правильно расставлять точки перехвата. Так, интернет-провайдер заведомо может видеть весь трафик работающих через его сеть конечных пользователей.

Часто ссылаются на HTTPS, как на недоступный для подобного анализа протокол. Да, формально, HTTPS предоставляет зашифрованный канал связи. Но в реальности есть ряд методов, позволяющих, на практике, всю эту защиту перевести в разряд мнимых. Устройства для анализа сетевого трафика, находящиеся между пользователем и тем ресурсом, с которым он соединяется, давно умеют перехватывать сессию HTTPS в момент её установления, на лету генерировать SSL-сертификат для соответствующего ресурса и – пожалуйста, трафик можно прослушивать. Естественно, тут есть проблема с тем, что сертификат, выпущенный перехватывающим устройством, должен успешно помещаться в цепочку доверия браузера – иначе браузер выдаст предупреждение.

Но, во-первых, массовый пользователь игнорирует подобные предупреждения браузера, “заставляя” тот продолжить использование веб-сайта. Во-вторых, нет особых гарантий того, что удостоверяющие центры, входящие в список доверенных браузера, не участвуют в работе систем DPI. Собственно, вокруг второго момента, который, вообще-то, давно известен, сейчас разгорелся нешуточный сыр-бор. В случае, если автоматический инспектор трафика использует для генерации своих “перехватывающих” сертификатов сертификаты доверенного УЦ (не обязательно корневой, годятся промежуточные), то обычный пользователь браузера даже не увидит предупреждения, не заметит подмены. (Кстати, есть неплохой плагин для Firefox, позволяющий следить за тем, как браузер оперирует сертификатами – Certificate Patrol.)

Заметьте, что если у провайдера работает добротная система анализа трафика, то можно блокировать этот трафик не только по контенту или по адресам, но и по типу трафика, используя белый список. Соответственно, если поток не удаётся разбирать и классифицировать, то его можно заблокировать. Естественно, этот принцип работает и для HTTPS – если клиент не стал соединяться с перехватывающим трафик узлом, то соединение вовсе блокируется. Через настроенную подобным образом сеть не пройдёт канал VPN, даже если, скажем, он использует нестандартные порты (например, я использую собственный VPN, работающий по TCP, через 80-й порт).

Проблему передачи шифрованных данных через такую “фильтрующую сеть” можно решить, используя стеганографию – данные закрытого канала помещаются внутрь маскирующего, имитирующего “обычную” работу с рядовым веб-сайтом. Такие решения известны. Из новинок – вот есть Telex. Понятно, подобный канал будет медленным.

Кстати, фокусам с подменой SSL-ей отчасти может помешать внедрение технологий вроде DANE. Но нужно учитывать, что, в теории, тот же DANE, если говорить о типичном пользователе Интернета, перехватывается аналогичными SSL методами, здесь лишь сильно сужается круг тех, кто может осуществить такой перехват. Что, логичным образом, возвращает нас к мысли о реальных причинах шума, высказанной в самом начале заметки.

Адрес записки: https://dxdt.ru/2012/07/24/5022/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 8

  • 1. 25th July 2012, 13:38 // Читатель jno написал:

    Вот “алаверды” к статье с некоторой фактографией рынка:
    http://blogs.computerra.ru/34986
    http://i-business.ru/blogs/21758

    А лично я предпочитаю “лечиться” через “ssh -D” :)
    ssh не использует инфраструктуру CA и, соответственно, менее подвержена MITM-атакам такого рода.

  • 2. 26th July 2012, 19:38 // Читатель sarin написал:

    и всё-же даже глубокое изучение пакетов не гарантирует перехват всего, что нужно перехватить. при этом отключение, например, https приведёт к утрате многих очень важных возможностей не исключив, при этом, использование стеганографии.

    если проблема будет актуальной то существующие сейчас протоколы скрытых сетей типа i2p завернут в стеганографию. затраты на DPI и дописывание соответствующего софта для скрытых сетей не сопоставимы. Интернет людям можно только дать. забрать его потом крайне проблематично.

  • 3. 27th July 2012, 13:15 // Читатель jno написал:

    > забрать его потом крайне проблематично.

    почему же?
    можно и просто отключить национальный сегмент от “большой” Сети.
    и большинство (для которого “интернет” = “яндекс” или около того), я Вас уверяю, даже не заметит.
    для предприятий – организовать пропуск трафика на основе отдельных решений по заявлениям.
    как и для очень отдельных категорий граждан…

  • 4. 27th July 2012, 14:52 // Читатель jno написал:

    http://i-business.ru/blogs/21814

    “””
    По сути, речь идет о том, что операторы ставят на своих сетях системы, которые позволяют им качественно контролировать пользовательский трафик в беспроводных сетях. Речь идет о том, что просто “безлимитные” тарифы постепенно уйдут в прошлое. Будут продаваться услуги – доступ в Сеть, почта, VoD, видеосвязь, соцсети. не явно, но за счет тарифных опций. Абоненты будут жестко разделяться не в зависимости от стажа работы в сети или стоимости своего абонентского устройства. Они будут сегрегироваться в зависимости от оплаты в кассу провайдера связи. Причем – автоматически и без всяких эмоций. Не будет более никаких сетей с равными правилами обслуживания “для всех”. А легендируется внедрение таких систем установкой “комплексов, которые будут ограничивать доступ к отдельным веб-адресам”. Ну да, за такие развлечения десятки миллионов долларов коммерческие компании платить ни за что не будут :)
    “””

  • 5. 27th July 2012, 15:09 // Александр Венедюхин:

    Сомнительная версия.

  • 6. 27th July 2012, 16:03 // Читатель sarin написал:

    jno,

    потому, что интернет в частности и компьютерные сети вообще так устроены. отключение национального сегмента от большой сети одним из первых заметит, как раз, яндекс. но ещё раньше финансовые рынки. позже это станет очень ощутимо в реальном секторе экономики. плохо будет всем.

    но при этом один единственный компьютер в этом национальном сегменте найдя лазейку наружу сможет предоставить доступ для всех желающих.

  • 7. 27th July 2012, 21:26 // Читатель jno написал:

    Да я как бы в курсе, как интернет устроен :)
    Обсуждать же *здесь* “национальные особенности экономики” (кто должен блюсти интересы того же яндекса, например) как-то не в тему.

  • 8. 30th July 2012, 23:27 // Читатель jno написал:

    поехали…
    http://rg.ru/2012/07/30/zakon-dok.html