Задачи СКАТ DPI в сетях Unet.by
Приоритизация трафика по протоколам
В Республике Беларусь очень дорогие аплинки (каналы до вышестоящего провайдера), так как эта телекоммуникационная сфера регулируется государством
Поэтому самой важной задачей качественного предоставления услуг абонентам является приоритизация трафика и экономия полосы пропускания
СКАТ DPI применяет технологию глубокого анализа трафика – используя наборы сигнатур и поведенческие методы, классифицирует трафик, потребляемый приложением или абонентом. Получение суммарной информации биллинга по классам трафика каждого абонента позволяет отдельно тарифицировать SIP, Skype, Viber, BitTorrent и другие. Также можно заранее выявить приложение или пользователя с наибольшей нагрузкой на полосу пропускания, увидеть тренды и защитить сеть от перегрузки, ограничив скорость.
Подключение к результатам анализа функции управления трафиком позволяет бороться с «прожорливыми» протоколами и обеспечивать высокую скорость работы абонента в Интернете.
С помощью СКАТ DPI Unet.by реализовали следующие задачи:
- Ограничение полосы пропускания для клиентов согласно тарифному плану.
- Предотвращение сетевых перегрузок, гарантируя качество и скорость доступа в сеть Интернет.
- Осуществление приоритизации трафика на всех этапах доставки его пользователю.
- Уменьшение затрат на аплинк и повышение QoE.
- Осуществление контроля «полки».
- Противодействие DDoS-атакам.
Блокировка запрещенных интернет-ресурсов
Второй важной задачей для провайдера была блокировка интернет-ресурсов по списку адресов Республиканского унитарного предприятия по надзору за электросвязью «БелГИЭ». Список ограниченного доступа формируется на основании решений, принимаемых Министерством информации Республики Беларусь, в случаях, установленных законодательными актами в порядке, определенном Положением о порядке ограничения доступа к информационным ресурсам (их составным частям), размещенным в глобальной компьютерной сети Интернет, утвержденным Постановлением Оперативно-аналитического центра при Президенте Республики Беларусь, Министерства связи и информатизации Республики Беларусь от 19 февраля 2015 г
№ 6/8
Список ограниченного доступа формируется на основании решений, принимаемых Министерством информации Республики Беларусь, в случаях, установленных законодательными актами в порядке, определенном Положением о порядке ограничения доступа к информационным ресурсам (их составным частям), размещенным в глобальной компьютерной сети Интернет, утвержденным Постановлением Оперативно-аналитического центра при Президенте Республики Беларусь, Министерства связи и информатизации Республики Беларусь от 19 февраля 2015 г. № 6/8.
В список ограниченного доступа попадают информационные ресурсы (их составные части), размещенные в глобальной компьютерной сети Интернет:
- владельцам которых в течение года вынесено два и более письменных предупреждения Министерства информации;
- содержащим информационные сообщения и (или) материалы, направленные на незаконный оборот наркотиков, иную информацию, запрещенную или ограниченную к распространению в соответствии с законодательными актами Республики Беларусь, а также вступившими в законную силу решениями суда (далее – информация, распространение которой запрещено);
- владельцы которых не выполнили законное требование государственного органа об устранении нарушений законодательства Республики Беларусь о средствах массовой информации.
Требования белорусского законодательства в части блокировки запрещенных ресурсов не такие объемные, как российские, реализуемые Роскомнадзором, но ответственность операторов связи и интернет-провайдеров также высока.
СКАТ DPI позволяет осуществлять блокировку информационных ресурсов как по спискам государственных регуляторов, так и по собственному внутреннему. Это позволяет оптимизировать его для работы в любой стране с любыми законодательными требованиями, в том числе в Республике Беларусь.
Могут ли VPN-сервисы как-то сопротивляться блокировкам? Есть ли данные, что они сопротивляются?
Здольников. Некоторые платные сервисы, которые закладывают это в стоимость подписки, и у которых есть соответствующие механизмы, могут активно сопротивляться блокировкам: ротировать адреса API и самих VPN-серверов. Это делает ExpressVPN и отчасти NordVPN в Китае, это делают некоторые сервисы в ОАЭ, Индии и других регионах. Наш Red Shield VPN будет сопротивляться блокировкам точно так же, как и в предыдущие две попытки нас заблокировать (плюс последует еще одно дело в ЕСПЧ против российского государства). Возможно, таких сервисов будет еще 1-2.
Кулин. Да, конечно.
Климарев. С кем я общаюсь, по крайней мере, почти все в голос говорят, что будут , и Nord VPN, и Tunnel Bear будет. У них бизнес-модель такая, они же деньги зарабатывают именно с того, что они обходят блокировки.
Интернет через спутниковую тарелку.
Например, для подключения одностороннего спутникового интернета понадобиться небольшой комплект оборудования. Нужно купить спутниковую антенну, усилитель-конвертер (подбирается под диапазон C, Ka или Ku и линейную или круговую поляризацию оператора), спутниковый приемник (PCI-плата или USB-приемник), кабель нужной длины типа RG-6 (75 Ом) и пару F-разъемов.
Для двустороннего доступа к спутниковому интернету нужна приемопередающая антенна (диаметром около 1,2 — 1,8 метра), передающий BUC (block-up converter) и приемный LNB (low-noise block) блок и спутниковый модем, к которому можно подключить не один, а несколько компьютеров и обеспечить им доступ в Интернет. Использовать диапазон рекомендованный спутниковым оператором.
У каждого из тих спутниковых подключений к интернету есть свои особенности. Для одностороннего доступа нужен уже существующий доступ в интернет (например, GPRS или EDGE), по которому отправленные запросы поступят в обработку к интернет-провайдеру (одностороннего доступа), а после обработки полученные данные отправят своему клиенту по спутниковому коридору.
При двустороннем доступе в интернет не нужны дополнительные каналы, так как отправка и прием данных осуществляется через спутник. Многие операторы спутникового интернета могут предложить как безлимитные пакеты, так и тариф с оплатой за трафик. Двусторонний спутниковый интернет у некоторых операторов работает быстрее чем в технологии 3G, а скорость в Ka-диапазоне может составлять 20 Мбит/с.
Минусом в данной технологии можно считать высокую стоимость оснащения, сложность настройки оборудования для технически неподкованного пользователя и большое время отклика (задержка). Обычно используют спутниковый интернет в отдаленных уголках страны, там где другой приемлемой альтернативы нет. Использование Wi-Fi маршрутизатора при спутниковом подключении к провайдеру, так же как и в других технологиях, даст вам возможность раздавать интернет по беспроводной связи и LAN кабелю другим цифровым устройствам (ноутбук, планшет ) в доме.
Тенденции BRAS
Сравнительно недавно устройства BRAS выполняли только идентификацию и авторизацию абонента, да и главной услугой, которую предоставлял оператор связи, был доступ к сети Интернет. Причем скорость и нагрузка была небольшая, дополнительные манипуляции с трафиком не требовались, забота о QoS не была приоритетной.
Однако прогресс не стоит на месте, пользовательские сервисы развиваются и запросы абонентов растут. Все больше услуг стали использовать IP сети для передачи своего трафика (VoIP, IPTV и другие), значительно увеличились объемы передаваемой информации, трафик стал очень разнородным из-за большого числа протоколов и приложений. Это привело к увеличению нагрузки на BRAS и появлению новых требований к его функциональности.
Стремлением к уменьшению числа устройств в сети оправданно с точки зрения любого оператора связи: это уменьшает как капитальные затраты на покупку, так и расходы на содержание (техническое обслуживание, сервисные контракты, дополнительные высокоскоростные порты коммутации). К тому же размещение нескольких функций на одной платформе решает вопрос с их интеграцией и взаимодействием. BRAS не самостоятельное устройство, для его работы нужен сервер авторизации, Radius например, откуда он сможет получать соответствие учетной записи пользователя его IP-адресу, с которым уже можно осуществлять применение правил и маршрутизацию.
Однако, учитывая тот факт, что BRAS работает с абонентским трафиком, как и системы глубокого анализа трафика – DPI, совместить эти два устройства на одной платформе выглядит хорошей идеей. Об этом чуть позже.
Wireguard — протокол, который проще заблокировать, чем другие?
Здольников: Да, но не по техническим причинам, а по политическим: он новый, и, несмотря на популярность в VPN-сервисах, его почти не используют компании для служебных нужд. Именно поэтому Роскомнадзор опасается блокировать OpenVPN или IKEv2 — от этого пострадает много фирм, включая банки. С технической точки зрения, почти все VPN-протоколы заблокировать просто, причем без последствий для других протоколов или ресурсов.
Кулин. Нет. Протокол как протокол. Он просто довольно современный, популярный, и есть в ядре Linux. Но он неплохо опознается, потому что не был предназначен для скрытности. Но, кстати, опознается он при этом с заметным числом ложного опознания.
Климарев. Он не проще, но он же рассчитан был, что не будет такой шняги, и он работал максимально оптимальным способом. Сейчас эти протоколы пересматриваются, и он будет, видимо, обфусцирован, будет немножечко работать по-другому. На стандартных портах и на стандартных настройках им удается блокировать. Если перевести клиенты и сервера WireGuard в какие-то неочевидные порты, например, 80-й порт — это порт HTTP, то он не блокируется, нормально работает. Они его пока не могут, видимо, отличить. Пока, подчеркну.
Что видит провайдер о вас?
- Видит ли провайдер адрес сайта, который я посещаю?
- А если подключение происходит через https?
Ответ: на многих сайтах используется сертификаты ssl. Это вид шифрования, который обеспечивает безопасность при передаче данных, например, пароли или форма заполнения информации. Если сайт использует SSL, тогда браузер выдает зеленый замочек напротив адреса сайта. В этом случае провайдер видит имя домена, на который вы зашли и IP адрес сервера, на котором находится домен. Вся остальная информация скрыта, т.к. передается в зашифрованном виде.
- Видит ли провайдер фильмы, которые я скачиваю?
Ответ: пересматривать ваши сериалы никто не будет, но да, провайдер точно видит контент, который вы скачиваете посредством торрента. Почему? Дело в том, что торрент-трекеры используют HTTP протокол, поэтому видно все: от названия файла, до времени, когда вы начали загрузку и остановили раздачу. Есть трекеры, которые используют протокол HTTPS, но это редко.
- Хранит ли данные провайдер?
Ответ: а как вы думаете? Через провайдера, пусть даже самого малого, проходит огромный поток трафика. Если он будет дублировать весь контент – это огромные ресурсы. Т.е. сохранить данные нет возможности. Но есть логи. Провайдер их обязан хранить некоторое время. Например, 3 года.
Что в логах? В них указано, что вы в такой-то день в такое-то время прошли на сайт название.ком. Также в нем указано, сколько данных вы передали или получили с этого сайта, а также когда отключились от этого сайта.
- Кто еще может увидеть данные?
Ответ: что видит провайдер это понятно, но, кроме этого, ваш трафик, как зеркало, отражается на серверах силовых структур, которые обрабатывают весь трафик в автоматическом режиме. Система называется COMP. Точно никто не знает, как работает эта система, но предположительно, трафик анализируется в автоматическом режиме. Однако, в некоторых случаях срабатывает алгоритм, который сомневается в том, что увидел в этом трафике.
- Что видит провайдер, если использовать VPN?
Ответ: при использовании VPN весь трафик шифруется. Провайдер видит только IP адрес VPN сервиса. По IP адресу провайдер видит, что пользователь подключился через VPN, но расшифровать переданные данные невозможно со стороны провайдера. Поэтому они не знают, какой сайт посещает пользователь, что смотрит или скачивает.
- В каких случаях VPN не поможет анонимно бродить в сети Интернет?
Ответ: весь трафик, который проходит через VPN шифруется, как было сказано выше. Платные сервисы VPN заботятся о своей репутации, поэтому обычно они не хранят данные о пользователях. Риск есть со стороны бесплатных VPN. Также система Windows может открыть ваши реальные данные, если VPN случайно отключиться. Чтобы этого избежать, нужно дополнительно настроить систему. В платных VPN есть функция отключения сети Интернет, если VPN случайно перестал работать.
- Что будет, если постоянно сидеть через VPN?
Ответ: в этом случае нет нужды беспокоится о том, что видит провайдер. Но это относится к платным VPN сервисам, ибо бесплатные иногда даже продают данные рекламодателям (об этом есть статья на сайте). Но есть один момент: при использовании VPN создается впечатление, что вам есть что скрывать. А значит вы можете попасть в особую базу.
- Видит ли адрес сайта провайдер при включенном впн?
Ответ: нет, данные зашифрованы. Об этом создается запись в логах, которые хранит провайдер. Расшифровать может только VPN сервис, но надежный поставщик этой услуги не хранит этих данных.
- Видит ли провайдер переписку в мессенджерах?
Ответ: смотря какой мессенджер. Например, telegram использует end-to-end шифрование, которое гарантирует, что данные никто не увидит, кроме адресата. Но в некоторых странах, по этой причине, этот мессенджер запрещен. Остальные так или иначе сотрудничают с органами. Иначе бы их также заблокировали (личное мнение).
- На особых территориях, вроде Крыма, все используют VPN, чтобы обойти санкции. Люди в базе подозреваемых?
Ответ: этой информации у нас нет. Возможно, если действительно все пользуются VPN, чтобы использовать сервисы Google, об этом и так все знают, а значит это не проблема. Однако точно сказать невозможно.
Deep Packet Inspection
Системы глубокого анализа трафика позволяют классифицировать те приложения и протоколы, которые невозможно определить на Layer 3 и Layer 4, например URL внутри пакета, содержимое сообщений мессенджеров, голосовой трафик Skype, p2p-пакеты BitTorrent.
Основным механизмом идентификации приложений в DPI является анализ сигнатур (Signature Analysis). Каждое приложение имеет свои уникальные характеристики, которые занесены в базу данных сигнатур. Сопоставление образца из базы с анализируемым трафиком позволяет точно определить приложение или протокол. Но так как периодически появляются новые приложения, то базу данных сигнатур также необходимо обновлять для обеспечения высокой точности идентификации.
Существуют несколько методов сигнатурного анализа:
- Анализ образца (Pattern analysis).
- Числовой анализ (Numerical analysis).
- Поведенческий анализ (Behavioral analysis).
- Эвристический анализ (Heuristic analysis).
- Анализ протокола/состояния (Protocol/state analysis).
Преимущества СКАТ DPI
Все пользователи отмечают отличную реализацию фильтрации по спискам Роскомнадзора, но это не единственное преимущество СКАТ DPI.
- СКАТ DPI более прост для управления. Нельзя сказать, что этот процесс более удобен, но его проще интегрировать с биллингом, можно настроить выполнение собственных скриптов по SSH.
- СКАТ DPI – стабильная платформа, а режим Bypass позволяет выполнять настройку и обслуживание без перенастройки остальной сети. Правила на СКАТ DPI применяются без задержек как на SCE (10–15 секунд) и максимально точно.
- СКАТ DPI имеет ряд дополнительных функций (Captive Portal, черные списки для абонентов, уведомления, приоритизация трафика), которые позволяют повысить лояльность абонентов и ввести новые услуги.
- СКАТ DPI можно установить на собственный сервер. Многие интернет-провайдеры установили СКАТ DPI на аппаратные платформы Cisco и Dell, доказавшие высокий уровень надежности и производительности, с которыми у их инженеров есть опыт работы.
- СКАТ DPI легко внедрить. Чтобы разобраться с платформой, достаточно нескольких недель, а первичная настройка в среднем занимает не больше месяца с учетом интеграции с биллингом и написания собственных приложений.
- СКАТ DPI можно использовать для СОРМ, как предфильтр или источник статистических данных.
- СКАТ DPI поддерживается и развивается разработчиком. Время реакции на запросы клиентов в техническую поддержку минимально, существуют закрытые чаты для консультации в реальном времени.
- СКАТ DPI может быть использован в качестве CG-NAT и BRAS.
Используемые абонентом протоколы и приложения
Это один из самых распространенных сценариев использования данных, получаемых с систем DPI. Существуют излишне прожорливые протоколы, такие как P2P (torrent) например, или особо чувствительные к скорости и задержкам (sip, skype, voip). Настройка параметров для каждого из них в отдельности – отличная практика для эффективного использования полосы пропускания. Использование абонентом торрентов на максимальной скорости резко снижает качество других приложений: видео идет с рывками, страницы сайтов загружаются медленно, звук при разговоре с собеседником заикается, настройка отдельного правила для p2p-протокола, в котором его скорость искусственно ограничена, решает эти проблемы и делает абонента более лояльным к оператору. Главное, не переусердствовать, ведь заблокированная совсем или работающая на минимальной скорости загрузка торрентов – повод искать провайдера, который «не режет полосу».
Помимо торрентов безболезненно для абонента можно ограничить скорость фоновых загрузок, таких как обновления ОС и программ, файловые обменники, резервное копирование в облако и другие приложения с низким приоритетом.
Проблемы, связанные с внедрением протокола 6-ой версии
Старое железо
Многие провайдеры до сих пор используют устаревшее оборудование. Принцип прост: работает – значит, нечего лезть. Это самая распространенная ошибка. Новое железо создается с учетом использования не только новых технологий, но и новых критериев безопасности. В свою очередь оборудование с актуальной (последней) версией прошивки и оконченной поддержкой производителя не подлежит программному и аппаратному апгрейду. Это означает, что если оборудование не умело работать с протоколом IPv6, то каким-либо образом установить и включить его не получится.
Дело в том, что адрес IPv4 имеет размер 4 байта, а IPv6 – 16 байт, то есть в 4 раза больше. Соответственно, и памяти потребуется в 4 раза больше, а для аппаратных платформ это роскошь.
Инфраструктура сети. IPv6 + IPv4. DNS
Допустим, оператор связи уже имеет собственное пространство IPv4-адресов и хочет внедрить еще и IPv6. Какое оборудование необходимо?
Есть несколько способов внедрения IPv6 в уже существующую инфраструктуру. Самые распространенные:
- IPv4v6 Dual-Stack – одновременная поддержка IPv4 и IPv6;
- NAT64 – трансляция IP-адресов из адресного пространства IPv6 в IPv4 или наоборот;
- туннелирование IPv6 внутри IPv4.
Каждый вариант имеет как преимущества, так и недостатки, однако IPv4v6 Dual-Stack является самым перспективным.
А что с DNS? Там все просто. Адресная запись IPv4 для доменного имени является записью типа A. Для IPv6 было предложено назвать тип записи как A6, который позже переименовали в AAAA.
Проблемы клиентов
Очередная проблема перехода к IPv6 – поддержка этого протокола клиентским оборудованием. Если современные операционные системы полностью поддерживают IPv6, то, например, домашние маршрутизаторы могут оказаться не готовы. И тому есть ряд причин:
- Клиент использует устаревшее оборудование и не имеет желания тратить деньги на замену того, что «и так работает».
- Производители пользовательского оборудования по каким-то причинам не хотят включать поддержку IPv6 на своем оборудовании.
- Поддержка IPv6 имеется, но работает нестабильно, либо программное обеспечение клиентского маршрутизатора поддерживает IPv6, но не так, как это реализовано у провайдера.
- Отсутствие пользовательского контента в IPv6-сетях.
На третьем пункте хотелось бы заострить внимание. Производитель клиентского оборудования, например TP-Link, включил поддержку IPv6 в последних моделях своей продукции
Достаточно выбрать тип WAN-соединения:
- DHCPv6;
- статический адрес IPv6;
- PPPoEv6;
- туннелирование (Tunnel 6to4).
К сожалению, не все производители готовы предоставить такой выбор клиенту и ограничиваются в лучшем случае туннелированием и динамической/статической конфигурацией, в худшем – только динамической конфигурацией.
Касательно нестабильной работы, упомянутой в этом пункте, следует обратить внимание, что клиенту по умолчанию выдается подсеть с префиксом /64, которая рассчитана на 18446744073709551616 сетевых адресов. Пространство достаточно большое, однако изменение префикса сети как в большую (/63, /64), так и в меньшую (/61, /60) сторону у некоторых производителей приводит к нестабильной работе оборудования
Отсутствие контента в IPv6-сетях больше вызвано нежеланием владельцев ресурсов внедрять этот протокол. Несмотря на то что многие зарубежные организации уже активно его используют, российские не торопятся это делать.
Почему нельзя будет отказаться от IPv4-адреса?
От адресного пространства IPv4 еще долгое время нельзя будет отказаться. Причина – неспешный переход к IPv6. Ход миграции изображен на графике:
Теоретически предполагается, что размер пула IPv4-адресов будет уменьшаться, в то время как IPv6 – только расти. На практике пространство IPv4-адресов еще не окончено, то есть RIR (региональные интернет-регистраторы) исчерпали адресное пространство не полностью, и выглядит оно следующим образом:
Прогнозируемые сроки окончания пула IPv4 для стран Африки – 30 апреля 2019 года, для Европы, Ближнего Востока и Центральной Азии – начало 2021 года. Предполагается, что массовый переход к IPv6 начнется после полного исчерпания свободных адресов и увеличения роста пользователей Интернета (в том числе и Интернета вещей).
Проблемы законодательства
Провайдер, в соответствии со статьей 64 Федерального закона «О связи», должен хранить логи доступа клиентов в Сеть на протяжении трех лет. Введение IPv6 требует внесения изменений в сбор данной статистики. В частности, netflow-данные должны иметь поля IPv6 в адресе назначения и адресе источника. Это доступно начиная с 9-й версии протокола.
Также значительному изменению подвергнется биллинговая система провайдера и СОРМ.
Процесс назначения профилей
После авторизации в MS AD информация об абоненте поступает в Radius сервер. Когда абонент совершает первый запрос, СКАТ DPI формирует Accept-Request с указанием IP абонента. На основе информации о принадлежности этого IP к определенному абоненту и группе, Radius сервер формирует Access-Accept с указанием атрибутов. В атрибутах может передаваться:
- имя профиля черного списка;
- имя профиля белого списка;
- имя профиля полисинга;
- имя NAT пула;
- подключение услуги по сбору статистики по абоненту;
- подключение услуги нотификации;
- подключение услуги встраивания баннеров для HTTP ресурсов.
После получения данных СКАТ DPI применяет ограничения на период равный Session-Timeout (в примере 600 секунд). По истечению этого периода происходит повторный запрос авторизации для данного IP на Radius сервер.
В случае если в Radius сервере нет информации о запрашиваемом IP, формируется ответ Access-Reject с указанием дефолтных профилей:
- имя профиля белого списка;
- имя профиля полисинга.
В данном случае абонент при следующем запросе по HTTP будет переадресован на Captive Portal и ограничен по доступным протоколам обмена.
IP Subscriber
Схема аналогична Cisco IP Subscriber c инициацией сессии по IP-пакету — Unclassified source MAC address (For Layer 2-connected IP subscribers, a new IP session is triggered when an IP packet with an unclassified source MAC address (which means that an IP session does not yet exist for that MAC address) is received). Абонент получает динамический или статический адрес по DHCP от InetAccess-сервера биллинга, далее в InetAccess от СКАТ приходит Access-Request с User-Name=<IP-адрес абонента>, биллинг находит по указанному <IP-адрес абонента> и выдает параметры доступа в RADIUS-ответе СКАТ’у.
Для работы необходимо настроить InetDhcpProcessor, чтобы InetAccess выступал DHCP-сервером и абонент получал IP-адрес от биллинга.
В inet-access.xml и inet-accounting.xml необходимо вместо:
<!-- Cоздание процессора radius-пакетов --> <bean name="radiusProcessor" class="ru.bitel.bgbilling.modules.inet.radius.InetRadiusProcessor"/>
указать:
<!-- Cоздание процессора radius-пакетов --> <bean name="radiusProcessor" class="ru.bitel.bgbilling.modules.inet.radius.InetRadiusHelperProcessor"/>
В конфигурации корневого устройства указать в параметре radius.key.deviceTypeIds ID типа устройства СКАТ DPI:
Конфигурация типа устройства
radius.key.deviceTypeIds=<ID типа устройства СКАТ DPI>
Чтобы отключить проверку пароля при RADIUS-аутентификации, в типе устройства «СКАТ DPI» укажите:
Конфигурация типа устройства
# Нужно ли проверять пароль: 0 - нет (например, для IPoE), 1 (по умолчанию) - да. radius.password.verification=0
DPI – для получения данных
Для составления своего отчета МГТС использует обезличенные данные с собственной платформы по управлению интернет-трафиком на базе системы DPI. Технология DPI выполняет глубокий анализ трафика, и средства для аналитики и составления отчетов, которые предлагают современные платформы DPI, могут быть использованы не только для подготовки ежеквартальных отчетов, но и для детального изучения полосы пропускания.
Это помогает операторам связи повышать эффективность использования интернет-канала и улучшать качество предоставляемых абонентам услуг.
Также получаемые с помощью DPI данные можно использовать для решения следующих задач:
- Определение интересов пользователей на основе данных о посещаемых ими ресурсах для профилирования абонентской базы и проведения маркетинговых кампаний.
- Создание специальных тарифов для sip, skype, torrent и других типов трафика на базе суммарной информации по каждому абоненту.
- Выявление «утечки» интернета – когда абонент занимается перепродажей услуги доступа к Сети.
Для выгрузки данных применяется стандартизированный протокол Netflow, а для создания отчетов и графиков можно использовать бесплатный анализатор NFSEN.
Более подробно о функции аналитики и отчетов вы можете прочитать в наших статьях:
Зачем нужно тестирование
Во время испытаний определят возможность DPI-системы фильтровать контент из реестра запрещенных ресурсов Роскомнадзора. В первую очередь это коснется Telegram, который ведомство не может заблокировать с апреля 2018-го. В рамках тестирования также должны проверить возможность приоритизации трафика. И последующего снижения скорости доступа к отдельным сервисам. Об этом говорят сразу три источника.
Вопрос о замедлении скорости доступа к отдельным ресурсам (нарушение принципа сетевой нейтральности) в России обсуждают уже около года. В мае 2018-го глава Ростелекома Михаил Осеевский рассказал о необходимости введения данной меры. Он пояснил, что это позволило бы переложить часть расходов на хранение контента в рамках «закона Яровой» с российских операторов связи на иностранные интернет-компании, такие как Google и Facebook. А в случае их отказа операторы могли бы снижать скорость доступа для абонентов сервисов этих компаний.
Реализация проекта
СКАТ DPI установлен со стороны пользователей перед маршрутизаторами по схеме «в разрыв» для фильтрации всего проходящего через сеть оператора пользовательского трафика. Также настроено взаимодействие с кеширующим сервером.
Реализация проекта была произведена несколько лет назад совместно с инженерами производителя VAS Experts. Все возникшие проблемы и ошибки были оперативно устранены. С ростом числа абонентов и увеличением трафика произведена модернизация версии системы со СКАТ-6 Complete до СКАТ-40 Complete.
Сейчас оператор связи тестирует встроенную в СКАТ DPI функцию NAT, в частности NAT 1:1, которая появилась в СКАТ DPI 7.2 и позволяет привязать внутренний IP-адрес абонента к определенному внешнему IP-адресу.
СКАТ DPI от отечественного разработчика VAS Experts выполняет все необходимые функции по анализу и управлению трафиком, гибкая система лицензирования позволяет удовлетворить требования как крупных операторов связи, так и небольших интернет-провайдеров, а применение возможно в рамках законодательства любых государств, что подтверждает успешный опыт внедрения СКАТ DPI на сети связи белорусского интернет-провайдера Unet.by.
Более подробную информацию о преимуществах СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также о миграции с других платформ вы можете узнать у специалистов компании VAS Experts, разработчика и поставщика системы анализа трафика СКАТ DPI.
Подписывайтесь на рассылку новостей блога, чтобы не пропустить новые материалы.
TLSv1.3 наносит ответный удар
Во-первых, в TLSv1.3 SNI может быть зашифрованным. Хорошая новость в том, что зашифрованный SNI не расшифрует и сам провайдер, а значит он будет блокировать любые TLS-запросы к IP точно так же. Вторая особенность в том, что сертификат сервер клиенту теперь тоже отправляет в зашифрованном виде…
Проблема усугубляется ещё и тем, что Мегафон отправляет свой сертификат как раз таки по TLSv1.3, то есть зашифрованным, в случае если клиент поддерживает TLSv1.3. А все основные браузеры сейчас его поддерживают. Проблема…
На этом этапе я уже даже думал о том, чтобы патчить ClientHello, убирая из него поддержку TLSv1.3, осуществляя по сути атаку на downgrade до TLSv1.2, но вовремя почитал описание TLSv1.3. В нём реализовано аж ДВА механизма по предотвращению подобных даунгрейдов, поэтому вариант плохой.
…И здесь приходится прибегать к экстренным мерам. На самом деле этот метод я реализовал даже первым, и он по сути и является сутью метода peek and splice у Squid-а.
Мы не можем просто взять и вычитать сертификат. Поэтому мы просто открываем свой собственный коннект к серверу и пытаемся сами совершить tls-handshake. Получаем из него сертификат с CN=megafon.ru? Значит нас блокируют. Нет? Значит всё в порядке
И нам не сильно важно какой другой — да пусть даже мы дисконнект получим. Главное, что мы не получили сертификат, который является флагом блокировки
Единственным минусом такого подхода является то, что в случае, если Мегафон начнёт поддерживать eSNI, то коннекты к его сайту будут проксироваться, но пока что SNI у него вполне незашифрованный. Да и, на самом деле, сертификат там самоподписанный отдаётся, так что можно и углубить проверку.
Эталонная модель построения сети
Эталонная модель построения сети
На рисунке приведена эталонная модель построения сети. Она представляет собой топологию «дерево» (объединение нескольких топологий «звезда») с дополнительными избыточными связями. Избыточность компенсирует главный недостаток данной топологии (отказ одного из узлов влияет на работу всей сети), но и увеличивает без того чрезмерный расход кабеля вдвое. Для уменьшения затрат на кабель многие организации «усиливают» только наиболее значимые части сети.
Следует помнить, что это всего лишь модель, а следовательно, деление на уровни может быть условным — некоторые устройства могут реализовывать сразу оба уровня, а какие-то уровни могут вовсе отсутствовать.
Как видно, данная модель состоит из четырех уровней:
- уровень доступа;
- уровень агрегации;
- уровень ядра сети;
- серверный уровень.
Разберем каждый из них по отдельности.