Deep Packet Inspection. Анализ, контроль и защита информационных потоков на уровне страны (территориальной единицы)

24 октябрь 2017

 Современное состояние и уровень развития информационных технологий, телекоммуникаций и контента диктует новые подходы к возможности анализа информации. Сегодня невозможно обеспечить надлежащий уровень информационной безопасности на уровне региона или государства без средств глубокого анализа трафика на уровне приложений и ресурсов. Любая угроза информационной безопасности в конечном итоге базируется на определенных приложениях, ресурсах и пользователях. Без четкой идентификации этих составляющих средства защиты будут “слепы” и, соотвественно, неэффективны.

Возможность реализации

 Возможность и глубина реализации системы анализа, управления и защиты периметра на уровне региона или государства будет во многом определяться законодательной базой и уровнем взаимодействия управляющего безопасностью органа власти или ведомства с опператорами связи. Информационные потоки не висят в воздухе. В конечном счете трафик проходит по каналам операторов и имеено на этих каналах он будет анализироваться и контролироваться.

Постановка задачи

 Мы видим следующую возможную постановку задачи для системы анализа, контроля и защиты информационных потоков на уровне региона/государства. Разумеется она может корректироваться в зависимости от текущих задач того или иного региона. Для целей данного документа будем считать Периметром – все точки Международного Обмена Трафиком. Также мы будем использовать в данном документе уровень страны, однако все изложенное ниже с тем же успехом может быть использовано на уровне региона, города или любой другой территориальной единицы.

Система должна обеспечивать следующие возможности

Анализ , идентификация , классификация и управление информационными потоками / приложениями:

  • Полная идентификация трафика приложений на 7 уровне.
  • Аналитика и статистика по приложениям, пользователям в краткосрочном и долгосрочном разрешениях.
  • Возможность управления (полный запрет, снижение полосы пропускания, гарантия полосы пропускания) в зависимости от времени и условий по любому приложению/протоколу
  • Возможность перенаправления и/или копирования трафика определенных приложений/протоколов на внешние системы для дальнейшего анализа и/или хранения  

Анализ и управление Интернет-ресурсами:

  • Анализ популярности Интернет-ресурсов (конкретных web-страниц – поисковые системы, блоги, определенные видео-файлы или трансляции, страницы социальных сетей и т.д.). В том числе на краткосрочных интервалах времени (например специфический информационный повод, событие)
  • Возможность блокирования страниц (именно определенных страниц, видео-файлов, трансляций и т.д. а не всего IP-адреса ресурса!) без влияния на производительность остального функционала решения. Система должна позволять блокировать 100 000 URL единого списка запрещенных ресурсов. Пример – мгновенная блокировка видео-ролика запрещенного содержания
  • Возможность взаимодействия с международными организациями в области защиты интересов различных групп населения (например, детей) от информации этим группам не предназначенной (например, «черный список» IWF – Internet Watch Foundation)
  • Возможность фильтрации Веб трафика по содержанию / контенту а так же категоризации контента

Защита периметра

  • Система должна обеспечивать распознавание и защиту от атак типа DDoS (Distributed Denial of Service) на внешнем периметре 
  • Система должна распознавать и блокировать атаки изнутри периметра (защита от попадания в «черный список» операторов-партнеров)

Общие требования:

  • Система должна поддерживать весь описанный выше функционал при работе в ассиметричном режиме передачи данных
  • Система должна поддерживать существующие стандарты оборудования операторского класса

Почему именно решение на базе Сервисного Шлюза DPI (Deep Packet Inspection)?

 Существующие решения в области информационной безопасности в массе своей оперируют на уровне протоколов 3 и 4 (иногда 5 и 6). В мире контент-провайдеров, социальных сетей, BitTorrent, Skype и т.д. аналитика и управления приложениями, пользователями и ресурсами на этих уровнях не дает полной картины информационных потоков, а соответственно не дает возможности ими эффективно управлять и обеспечивать необходимый уровень безопасности и контроля.

 Другие специализированные решения, напротив, «смотрят» глубже – в отдельные детали конкретной транзакции (разговора, письма электронной почты, и т.д.) и не предназначены для управления информационными потоками и ресурсами.

 Предлагаемое решение ни коим образом не конкурирует с решениями типа СОРМ или другими специальными системами/приложениями, предназначенными для анализа собственно содержимого того или иного информационного потока (разговор, сообщение электронной почты и т.д.).

 Напротив, предлагаемая инфраструктура решает задачи на более «высоком» уровне и может являться источником информации и пре-процессором для специализированных систем безопасности и анализа, выдавая на них только релевантный трафик определённых приложений.

 Стандарт по применению технологии DPI ("глубокий анализ пакетов" - Deep Packet Inspection) был утвержден на Всемирной конференции ООН по международной электросвязи (ВКМЭ 2012).

 Решения DPI также существенно различаются между собой. Предлагаемое ниже решение – Сервисный Шлюз DPI помимо высочайшей точности распознавания протоколов и приложений и, соответственно, возможности эффективно ими управлять в реальном масштабе времени, обеспечивает защиту от DoDOS, URL-фильтрацию («черный список» интернет-страниц) и многое другое, необходимое для эффективного функционирование предлагаемого решения.

Предлагаемое решение

Схема внедрения

 Существует множество схем внедрения в зависимости от инфраструктуры, требующей анализа, контроля и обеспечения безопасности. В простейшем случае оборудование сервисных шлюзов устанавливается на точках международного обмена трафика (International Interconnect). Ниже приведен простейший вариант реализации.

Соответствие решения Allot поставленным задачам

 Рассмотрим соответствие решения Allot Communications поставленным задачам. Отметим, что за исключением пропускной способности и количества интерфейсов все указанное ниже справедливо для всех платформ Allot Communicaitons – Service Gateway Tera (SG Tera), Service Gateway Sigma-E (SG Sigma-E) и NetEnforcer. Графическая объектно-ориентированная система управления и мониторинга NetXplorer является централизованной и может управлять любой комбинацией указанных моделей.

Анализ и управление информационными потоками / приложениями

  • Полная идентификация трафика приложений на 7 уровне. Все платформы Allot Communications базируются на запатентованной технологии DART (Dynamic Actionable Recognition Technology), которая помимо сигнатур и портов использует поведенческий, статистический и временной анализ и позволяет идентифицировать не менее 97% всех протоколов и приложений, присутствующих на сети (с точки зрения объема трафика). При этом уровень ошибочного определения - 0%. Другими словами протокол может быть отнесен к неопределенному (не более 3% от общего объема трафика), но не может быть ошибочно идентифицирован как другой протокол или приложение. Число определяемых протоколов и приложений постоянно растет и на сегодняшний день превышает 950. Обновление базы сигнатур происходит в среднем раз в 4-6 недель (иногда чаще при изменении поведения популярных протоколов). Также пользователь системы может самостоятельно создать сигнатуру специализированного протокола или приложения. Эту работу для заказчика также может выполнить компания Allot или системный интегратор.
  • Аналитика по приложениям и пользователям. Система управления Allot NetXplorer обеспечивает не только управление платформами Allot, но и базовый уровень статистики. Предоставляется аналитика по протоколам и приложениям в разрешении 5 мин/ 30 мин / часа /дня /месяца в зависимости от требований заказчика. Как показала практика этого разрешения более чем достаточно для решения обсуждаемых задач. Помимо подобной статистики решения Allot позволяют собирать полную статистику по «установленным соединениям » (Conversations) -(т.н. Data Records - DR): VoIP DR, HTTP DR…, включая шифрованные протоколы/приложения такие как HTTPS, Skype, SPDY, Gmail и многие другие. Если же заказчику требуется еще более всесторонняя и глубокая аналитика, а также возможности моделирования ситуаций – можно использовать решение Allot ClearSee. Это аналитическая система из разряда систем BigData, которая может выступать как в качестве законченной системы (Front End), так и в качестве источника данных для других аналитических систем (Data Source).
  • Возможности управления. Платформы и централизованная система управления Allot NetXplorer позволяют полностью управлять трафиком в разрезе – приложение/пользователь/время. Возможные варианты воздействия на трафик – полная блокировка выбранных приложений/пользователей, шейпинг, повышение приоритета, гарантия полосы для определенных приложений и/или пользователей (групп пользователей).
  • Возможность перенаправления трафика (Steering). Платформы Allot поддерживают перенаправление трафика выборочных приложений и/или пользователей на внешние системы в режимах зеркалирования и/или перенаправления с возвратом в общий поток после обработки внешней системой.

Анализ и управление интернет ресурсами

  • Анализ популярности Интернет-ресурсов. Система управления NetXplorer предоставляет исчерпывающую статистику по популярности конкретных web-страниц – поисковые системы, блоги, определенные видео-файлы или трансляции, страницы социальных сетей и т.д. Важным аспектом является возможность контроля популярности на коротком промежутке времени. Другими словами мы говорим о текущей популярности ресурсов в разрешении 5 мин или 30 мин, тогда как для определения популярности ресурса поисковой системе, например, потребуется существенно больше времени (иногда более суток).
  • Возможность блокирования web-страниц. Все платформы Allot имеют возможность блокировки web-страниц (функционал имеет название WebSafe). Подчеркнем, что речь идет именно об определенных страницах, видео-файлах, трансляциях и т.д. Блокируется не весь Интернет-ресурс и не существенная его часть. Например, если нужно заблокировать конкретный ролик на YouTube – совсем не обязательно блокировать YouTube полностью. Разумеется полная блокировка ресурса также возможна. Все платформы Allot Communications поддерживают размер Черного Списка от 100 000 до 500 000 записей в зависимости от модели устройства без сколь-нибудь существенного влияния на производительность системы. На сегодняшний день нам не известны Черные Списки URL превышающие 17 000 записей, таким образом имеется многократный запас по производительности.
  • Возможность взаимодействия с международными организациями в области защиты интересов различных групп населения. Allot NetXplorer по умолчанию кроме работы с собственным черным списком заказчика поддерживает интеграцию с Черным Списком IWF – Internet Watch Foundation.

Защита периметра

  • Система должна обеспечивать распознавание и защиту от атак типа DDoS. Решение Allot Service Protector в полной мере обеспечивает защиту периметра от различных видов атак типа Distributed Denial of Service (DDoS). Система постоянно анализирует поток данных и при возникновении аномального поведения протокола(ов) создает сигнатуру и блокирует аномалию (атаку). Система проверена практикой на уровне крупных операторов и целых государств.
  • Система должна распознавать и блокировать атаки изнутри периметра. Allot Service Protector позволяет обеспечить защиту от Botnet и различных типов атак (Flow Bomb, Address Scan, Mass SMTP (DNS), Port Scan и др.) изнутри периметра. Данный функционал позволяет избежать проблем с попаданием в Черный Список партнеров по обмену трафиком при возникновении атаки изнутри сети.

Общие требования

  • Система должна поддерживать весь описанный выше функционал при работе в ассиметричном режиме. Платформы Allot полностью поддерживают работу разнесенных систем в ассиметричном режиме передачи данных . При этом к взаимной сетевой доступности систем предъявляются минимальные требования. На сегодняшний дней объединения до 32 систем могут работать в ассиметричном режиме, что позволяет обработать суммарный трафик в 16 ТБит.
  • Система должна поддерживать существующие стандарты оборудования операторского класса. Сервисные шлюзы Allot имеют следующие ключевые характеристики:
  • производительность до 500Gb на платформу
  • интерфейсы 1/10/100G 
  • ATCA шасси (Advanced TCA)
  • отказоустойчивость на уровнях 1+1 и N+1 по шасси и модулям
  • сертификат NEBS level 3 на работу в экстремальных условиях

Возможности использования системы на уровне страны (региона, города), которые на сегодняшний день нашли наиболее широкое применение на практике:

Анализ информационных потоков и другая аналитика

  • Получение абсолютно полной картины по используемым приложениям, протоколам, IP-адресам, сайтам, блогам за пределами страны, и т.д.
  • При необходимости – получение полной статистики по «разговорам» «пересекающим периметр» (источник, приемник, продолжительность, объем переданных данных и т.д.) – Skype, Viber, WhatsApp другие приложения чат, VoIP и т.д.
  • Статистика используемых устройств (настольные компьютеры, портативные компьютеры, планшеты, мобильные телефоны) вплоть до модели и версий операционных систем
  • Анализ популярности внутренних ресурсов страны извне. Например, полная аналитика по популярности и нагрузке интернет-сайтов внутри страны при проведении мероприятий государственного, регионального или мирового уровня (Олимпийские Игры, Чемпионаты Мира, региональные соревнования, государственные мероприятия, пресс-конференции лидеров государства и другие «информационные поводы»)
  • Всю вышеперечисленную аналитику можно получить и для информационных потоков внутри страны, однако при этом решение должно быть внедрено не только на периметре, но и в точках меж-операторского обмена трафиком внутри страны (Local Exchange) или даже на сетях самих операторов (для анализа и контроля трафика внутри сети оператора связи, если это требуется).

Управление

  • Гарантия приоритетного доступа извне к наиболее важным в данный период внутренним ресурсам. Например, обеспечение приоритетного доступа к сайтам, освещающим важное событие и при этом увеличение гарантированной полосы для виде-приложений. Таким образом пользователи извне смогут, например, получить высококачественный доступ к порталам, освещающим Олимпиаду или Чемпионат мира. Можно предоставить еще большую полосу по конкретному времени -скажем на время открытия и закрытия Олимпийских Игр. Очевидно, что спортивные соревнования взяты здесь исключительно для примера. Подобные настройки могут быть сделаны или изменены в течение нескольких минут на централизованной системе управления.
  • Снижение нагрузки на узлы международного обмена трафиком определенных приложений, которые агрессивно используют полосу пропускания. Например, в ЧНН можно ограничить полосу, которую могут занять различные приложения P2P – BitTorrent (включая шифрованный), Shareman и т.д. С точки зрения пользователей этих систем это приведет к незначительному замедлению процесса закачки контента, но позволит существенно сэкономить полосу пропускания и улучшить качество других приложений, несущих большую смысловую нагрузку.
  • Возможно также управление трафиком по отдельным IP-адресам (пользователям) или их группам. Например, приоритетный доступ некоторых организаций к внешним для страны ресурсам по выделенной группе протоколов.

Безопасность

  • Поддержание Черного Списка Интернет-ресурсов. Этот список обычно поддерживается на уровне государства. Он также может быть сформирован ответственной государственной организацией из нескольких списков. Например, текущий список сайтов экстремальной направленности, список сайтов, порочащих страну, список сайтов, определенных к блокировке по решению судов и т.д. В общем случае различными типами списков могут заниматься различные организации. После помещения списка в систему управления он автоматически распространяется на все платформы и блокировка происходит далее в автоматическом режиме. Очевидно, что процесс подготовки общего списка легко автоматизируется.
  • Использование международных Черных Списков URL. В случае решения Allot Communications задача использования Черного Списка IWF технически решается установкой галочки в системе управления.
  • Защита от DDoS атак извне
  • Защита от Botnet и различных, связанных с этими атаками изнутри сети на внешние ресурсы

Решение специальных задач

  • Получение статистики по отдельно взятым пользователям (адресам) или группам пользователей (адресов) в рамках специальных мероприятий
  • Частичное или полное блокирование отдельных видов или конкретных приложений. Например, если заблокировать трафик HTTPS для определенного пользователя, многие приложения автоматически переключатся в режим работы без шифрования – HTTP, который в свою очередь может быть проанализирован специальными системами. Также возможно блокирование Skype, Viber, WhatsApp и многих других приложений. Возможно например, заблокировать протокол TOR и другие анонимайзеры .
  • Перенаправление (с последующим возвратом в поток) или зеркалирование трафика на различные системы. Это могут быть специализированные системы или общераспространенные решения типа AntiFraud и т.д.

 Приведенные выше примеры дают лишь базовое представление о возможностях использования Сервисных Шлюзов DPI компании Allot Communications для анализа, контроля и защиты информационных потоков на уровне страны.

Делаем выводы

 Решение на базе Сервисных Шлюзов Allot Communications соответствует поставленным задачам и позволяет решать их с высокой степенью эффективности. Технические параметры решения и набор интегрированного функционала является уникальным для отрасли и не имеют аналогов. Данное решение прошло неоднократную проверку практикой и на сегодняшний день продолжает успешно решать поставленные задачи в постоянно меняющемся окружении.

Мероприятия