Бывает легче читать между строк, чем строку за строкой.

Генри Джеймс

Владимир Оралов
Владимир Оралов, инженер по информационной безопасности, компания LETA

Миром движет любознательность. На протяжении тысячелетий человек пытался объяснить себе, как идут процессы вокруг него: как светит солнце, как дует ветер, как текут реки. Для этого наши пращуры анализировали день за днем поведение сущностей в их мире и пытались выстроить закономерности, по которым впоследствии строилась их жизнь и жизнь будущих поколений. Со временем наука и техника развивались, и современный человек уже пытается понять, как едет его автомобиль, работает холодильник и звонит мобильный телефон. Одной из интереснейших тем для исследования в наши дни является Интернет, и одной из технологий, которая помогает нам в этом, является DPI – Deep Packet Inspection.

Системы DPI, исходя из названия, позволяют проводить глубокий анализ сетевых пакетов. «Глубина» в данном случае выражается в способности системы проверить пакет не по трем-четырем уровням модели OSI, как это делают традиционные системы фильтрации, а заглянуть выше, вплоть до уровня приложений. Системы DPI анализируют данные, проходящие через них, с помощью различных признаков определяют сетевые программы и протоколы, выстраивают определенные закономерности и позволяют не только собирать отчетную информацию, но и различным образом воздействовать на потоки данных – блокировать или, например, менять приоритет. Кому может быть интересен данный функционал?

            Безусловно, развертывание DPI-систем интересно в первую очередь различным телекоммуникационным компаниям и провайдерам услуг связи. Не секрет, что ежедневно через их оборудование проходит колоссальное количество сетевого трафика, и, как показывает статистика, ежегодно этот показатель увеличивается. Возрастают как количество устройств, подключающихся к Всемирной сети, так и численность самих пользователей, немалая доля которых использует Интернет для решения широкого спектра задач – от работы до развлечений. И весь этот трафик выгодно и нужно контролировать.

Во-первых, глубокий пакетный анализ помогает более гибко организовать приоритезацию трафика. Типичный российский пользователь в течение дня может совершать голосовые вызовы с использованием Skype или других VoIP-сервисов, смотреть ролики на youtube, скачивать различный контент с помощью bittorent или пользоваться удаленным VPN-доступом к своему офису. DPI-система поможет провайдеру организовать приоритезацию по этим приложениям таким образом, что требующие высокого приоритета VoIP-сервисы получат его, а, к примеру, P2P приложения будут работать по остаточному принципу. Соответственно оператор прозрачно для себя ограничивает паразитный трафик в своей сети, повышая реальную пропускную способность каналов. Причем корректировка может выполняться как по типу приложения, так и по конкретному IP-адресу. Помимо очевидного повышения качества предоставляемых услуг конечному пользователю провайдер может разработать тарифную сетку так, что запросы даже самого привередливого клиента будут удовлетворены.

Во-вторых, использование DPI-систем – это будущее контекстной рекламы. Вам наверняка известна ситуация, когда пользователь хочет узнать в Интернете более подробно функционал недавно купленного им телефона, после чего поисковики пестрят объявлениями различных интернет-магазинов с предложением приобрести новый девайс? Так работает контекстная реклама. К примеру, небезызвестная компания Google на протяжении многих лет выполняет анализ переписки пользователей сервиса Gmail, на основе которой предлагает рекламу, подходящую тому или иному пользователю в соответствии с содержимым его почтового ящика. Неплохо, правда? А теперь представьте, что крупная маркетинговая компания договаривается с не менее крупной телекоммуникационной компанией об установке в их дата-центре мощной DPI-системы. Петабайты информации после обработки оборудованием превращаются в подробные графики и отчеты, которые после анализа маркетологами становятся золотой жилой для формирования портрета потребителя. Пользователи в соответствии с просматриваемым ими трафиком объединяются по географическим, социальным и поведенческим характеристикам, что позволяет более точно сформировать потребительские группы, предложение определенных товаров которым будет максимально эффективно. Вчерашние вымыслы писателей-фантастов сегодня становятся реальностью. Вы ездите на иностранном автомобиле? Работаете менеджером по продажам? Смотрите американские комедии? Исследования показывают, что самым интересным местом для проведения вашего отпуска будет Италия. И сейчас ряд туроператоров предлагает огромные скидки на поездки в эту страну. Не упустите свой шанс! Естественно, что конечному пользователю может не понравиться столь открытое вмешательство в его личную жизнь. Откровенно говоря, использование систем в подобном контексте можно расценить как нарушение ст. 23 Конституции РФ о неприкосновенности частной жизни, но с учетом отсутствия на данный момент широкой юридической базы в этой области и недостаточной распространенности DPI-систем говорить о запрете, как минимум, преждевременно. И вполне возможно, нас ждет довольно широкое распространение целевого маркетинга путем использования систем глубокого пакетного анализа.

network_scheme

Третьим аспектом функционала DPI является обеспечение безопасности. Распознавание конкретного трафика помимо приоритезации позволяет при необходимости блокировать его. Применительно к провайдерам услуг связи это выражается в расширении функционала блокирования запрещенного трафика в целях выполнения требований законодательства. В 2012 г. Международный союз электросвязи утвердил рекомендательный стандарт Y.2770 Requirements for deep packet inspection in Next Generation Networks (Рекомендации для глубокого пакетного анализа в сетях следующего поколения), который может стать обязательным для интернет-провайдеров. Кроме того, Федеральный закон № 139-ФЗ от 28 июля 2012 г. «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации по вопросу ограничения доступа к противоправной информации в сети Интернет» подразумевает блокировку нежелательных ресурсов силами интернет-провайдеров. В данный момент требования закона выполняются путем блокирования по IP-адресам, URL и доменным именам, что создает ряд проблем. Во-первых, блокировка ресурса по IP-адресу влечет за собой блокировку ряда других ресурсов, которые доступны по этому адресу. Во-вторых, более-менее опытные пользователи практически сразу научились обходить эти ограничения с помощью иностранных прокси-серверов, анонимайзеров и сервисов типа TOR. Вполне вероятно, что в условиях нынешних мировых событий законодательные органы начнут «закручивать гайки» в этой области и обяжут провайдеров использовать DPI-системы, чтобы блокировать ресурсы точечным путем. Для провайдеров это означает дополнительные расходы, что для конечных пользователей, скорее всего, выльется в увеличение стоимости абонентской платы. Позитивным моментом для пользователей может быть сервис родительского контроля, который позволит ограничивать доступ не только по тем категориям, которые затронуты в ФЗ, но и по тем, которые конкретный родитель считает актуальными.

Если рассматривать DPI-системы для корпоративного сегмента, то наиболее актуальным аспектом является-таки как раз безопасность. Разберем пример рабочей сети современного предприятия. На границе сети установлены межсетевые экраны, возможно, совместно с системами предотвращения вторжений, защитой компьютеров и других устройств конечных пользователей занимаются антивирусы, а исходящий трафик пользователей в Интернет контролирует прокси-сервер. Ситуация довольно типичная и в целом кажется оптимальной. Однако построенная таким образом система имеет ряд нюансов. Очевидными проблемами являются сложность администрирования и невозможность применения единой политики на всю сеть ввиду отсутствия комплексного решения для управления всеми подсистемами. Кроме того, разношерстность различных решений требует большого количества ИТ/ИБ-администраторов в компании для поддержки всей инфраструктуры. Как и для телекоммуникационных компаний, интеллектуальная приоритезация трафика – необходимый функционал для компаний, несмотря на наличие классических QoS-техник. В данном случае DPI-системы, развернутые на базе межсетевых экранов нового поколения (NGFW), являются интересным решением для корпоративного сектора с большим потенциалом развития и высокой масштабируемостью.

Устройства, предлагающие DPI-функционал, можно условно разделить на два сегмента – для операторов связи/ЦОД и для корпоративных пользователей. В первом случае решения DPI предлагают такие производители, как Cisco Systems, Allot Communications, Procera Networks или Sandvine. Характерной особенностью этих решений является возможность обработки сотен гигабит информации в секунду, что актуально для любого телекома. Второй характерной особенностью является стоимость подобных систем, которая исчисляется сотнями тысяч долларов. Если рассматривать решения DPI для корпоративного сектора, то чаще всего они реализованы на базе межсетевых экранов нового поколения, где выступают такие производители, как Cisco Systems, Palo Alto Networks, Check Point Software Technologies, McAfee и др. Производительность указанных решений соответствует требованиям различных компаний, а стоимость, в совокупности с использованием остального функционала NGFW, является вполне приемлемой. Кроме того, если для провайдеров DPI может быть предложен только в виде программно-аппаратного решения, требующего установки в ЦОД, то NGFW может быть развернут в виде виртуальной машины и прекрасно справляться со своими задачами.

Увы, в DPI-системах не обходится и без ложки дегтя. Главная проблема, замедляющая распространение на рынке, – высокая стоимость. Причем итоговая стоимость складывается не только из цены самого решения, но и из стоимости внедрения и поддержки производителя. Поддержка заключается в постоянном обновлении списка сигнатур, без которых система становится малополезной. Еще одна проблема – шифрованный трафик. Здесь DPI «опускает руки» и может сообщить своему владельцу, что между двумя IP-адресами было шифрованное соединение, но не больше. Безусловно, способность многих систем расшифровывать SSL-трафик путем подмены сертификатов позволит решить эту проблему, однако не каждый пользователь будет доверять такому сертификату. Да и IPsec этим системам пока не по зубам. Из-за проблемы зашифрованного трафика вытекает следующая техническая проблема – NAT. Механика работы трансляции сетевых адресов никоим образом не позволит оборудованию узнать истинный адрес источника, если он транслирован другой системой, стоящей перед DPI. Но планируемое много лет внедрение IPv6 решит и эту проблему.

Подводя итоги, хотелось бы отметить, что одной ногой мы уже стоим в сетях нового поколения, которые отличаются высокой пропускной способностью и интеллектуальным подходом к обработке данных. DPI в таком случае является инструментом, помогающим различным организациям изучить каналы передачи данных, что может быть использовано как во благо, так и во вред. Однако, учитывая, что, несмотря на высокую стоимость, решения продолжают завоевывать рынок и развиваться, мы можем только предполагать, когда наступит день тотального контроля сети Интернет, но в том, что он наступит, нет никаких сомнений.

Поделиться:
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее
Спецпроект

Специальный проект "Групповой спутниковый канал для территориально-распределенной сети связи"

Подробнее

Подпишитесь
на нашу рассылку