Зачем нам нужен DPI

How-to или Как это делается

Темпы роста нашей уютной сети под названием Интернет сравнимы, наверно, только с размножением аэробов в среде с высоким потенциалом. Каждый день появляется почти 700 000 новых пользователей (это 8 человек каждую секунду), в России интернет проникает в забытые деревни, а уже к 2014 году прогнозируют, что 70% совершеннолетнего населения страны будет онлайн.

Такая динамика крайне положительно сказывается на общей ситуации в телекоммуникациях – появляется конкуренция, растёт качество услуг, падает цена, на рынок выкидываются всё новые и новые технологии – не успели мы даже посмотреть на 40G-интерфейсы, как уже появились 100G и успешно проходят испытания 400-гигабитных (кстати, недавно на телекомзе была статья о том, что Huawei тоже представило работающее решение). Пользователь утопает в высокоскоростных сервисах: youtube, безразмерные файлохранилища, онлайн-радиостанции и телевидение, торренты и P2P сети. Всё это одновременно с разных компьютеров, X-падов и телефонов. Оптику уже подводят прям к вашему домашнему маршрутизатору.
Но, как нет худа без добра, так и добро без худа большая редкость. Вместе с радостями приходят и проблемы.
Приведу лишь небольшой список наиболее важных трудностей, с которыми приходится сталкиваться сегодня провайдерам и абонентам:

- Высокая загрузка канала к пользователю. При том, что сеть провайдера в порядке и трафик пользователя укладывается в его тариф, большая часть пропускной способности канала занята, например, торрентом, отчего страдает голос, HTTP и другие данные абонента
- высокая нагрузка на каналы провайдера, когда много абонентов запускают торренты или P2P
- бОльшая часть пропускной способности занимается меньшей частью наиболее активных абонентов
- вирусы, черви и зомби (боты) в сети
- DOS-атаки на оборудование провайдера или абонентов
- сканеры портов

У меня действительно была такая ситуация, когда сканировали наши порты в сети, а после этого пытались подбирать пароли. Узнали мы об этом только по логам, когда уже шёл активный процесс брутфорса.

Какие у вас есть возможности исправить положение в обычной ситуации?
1) Канальный уровень: контроль на основе MAC-адресов или номера VLAN. Может быть реализован на коммутаторах и маршрутизаторах.
2) Сетевой уровень: вы можете блокировать пользователей по IP-адресам или запрещать доступ на определённые адреса/подсети во внешней сети. Реализуется на маршрутизаторах.
3) Транспортный уровень: провайдер или ИТ-служба предприятия может ограничить используемые порты. Например, запретить всё, кроме портов 25, 110 и 80 (почта и HTTP). Сделать это также можно на маршрутизаторе
4) Уровень приложений: на прокси-серверах или файрволах вы можете использовать наибольшую степень абстракции — доменные имена. Но файрволы, вообще говоря, имеют более широкие возможности, например, защита против атак, тонкие настройки политик. Они также предоставляют некий функционал глубокого анализа пакетов, но по сравнению со специализированными решениями он крайне ограничен.

И даже одно из популярных сейчас решений — использование в сети QoS — не панацея.

Используя вышеуказанные возможности, невозможно мониторить и контролировать трафик многих приложений и протоколов, как то: Skype в частности и VoIP вообще, BitTorent, P2P, трафик, проходящий в туннелях (GRE, IPSec, QinQ и прочее)

От этих и многих других напастей может спасти DPI. Английское звучание Deep Packet Inspection говорит само за себя — эта технология, которая позволяет проводить глубокий анализ трафика.

DPI на то и Deep, что проникает ещё глубже — он работает на всех 7 уровнях эталонной модели OSI. С его помощью вы можете распознавать трафик практически любых протоколов и применять к нему те или иные действия.

DPI

Простой пример из жизни. Когда-то я работал в местечковом провайдере WiMAX. У нас была довольно небольшая база абонентов, но все они физики (физические лица), и выход в Интернет порядка 30 Мб/с. С физиками есть одна проблема — они любят торренты и P2P-сети. Если с последними всё относительно просто — если провайдер этого не делает, то и пользователи сами вряд ли скооперируются, то с торрентами настоящая беда. Трафик протокола BitTorrent сложно отследить стандартными средствами, тем более, что механизмы работы протокола постоянно адаптируют под меняющиеся реалии. Это стало настоящим бичом компании: в час наибольшей нагрузки сеть лежмя лежала.
ИТ-управлением компании тогда было принято тактическое решение: было куплено самое простое, достаточное по производительности, и недорогое DPI-оборудование, поставлено в разрыв и проблемы решились волшебным образом. Конечно, при этом пострадали особо активные абоненты, но в тот момент такая жертва была необходима. Далее, конечно, ситуацию меняли: ночью ограничение смягчалось, расширялся канал в интернет и т.д. Но DPI выручил и как сиюминутное решение и сейчас в этой сети активно применяется, уже после того, как покинул это место.

Анализ и контроль трафика может выполняться тремя способами:
1) На основе статических правил/политик
2) На основе сигнатур могут распознаваться приложения/протоколы/атаки/вирусная активность. Как правило базы сигнатур предоставляются вендором и обновляются автоматически с некой периодичностью.
3) Deep стоит понимать в неком философском смысле. Это не только глубокое проникновение в пакет, но и глубокий анализ. DPI-устройства могут анализировать поведение, активность хостов в сети. К примеру если с какого-то IP-адреса много попыток соединений на различные порты одного хоста, можно предположить, что это работает сканер портов, а если аналогично на различные хосты, но на один порт, то это может быть червь или вирус.
Благодаря такому поведенческому механизму DPI может распознавать новые протоколы VoIP, P2P или какие-либо другие ещё до выхода соответствующей сигнатуры.

Кроме таких необходимых вещей, как перечислены выше, DPI позволяет провайдеру предоставлять дополнительные услуги.
- прнцип работы DPI почти автоматически влечёт за собой увеличение безопасности абонента (защита от спама и атак) и комфорта его работы (параллельно включенные торренты или проблемы других абонентов не будут сказываться на более критичных сервисах, например, голосе или видео)
- дополнительное оборудование может обеспечить проверку трафика на вирусы
- на базе DPI можно организовать родительский контроль, управляемый самими родителями через портал.

Кроме того ещё одна киллер-фича такого плана железок — бескрайнее ромашковое поле для сбора статистики. Например, вы можете выбрать топ-10 посещаемых сайтов или пять пользователей, наиболее нагружающих канал или кто из пользователей ходил в запрещённые сектора интернета. Простор для вашей аналитической фантазии, в общем, бесконечный.
Кстати, DPI-оборудование может помочь вам обнаружить пользователей, замышляющих, что-то тёмное, отслеживать их активность в сети.
По сути СОРМ, который обязывают устанавливать всех операторов и есть DPI, просто управляете им не вы.

Если года 3-4 назад DPI-решения были относительной редкостью и прерогативой крупных провайдеров, то сейчас это направление набирает обороты и становится уже модным трендом современного телекома. Внедряют его и провайдеры и обычные предприятия для мониторинга или контроля активности своих сотрудников.

Хорошо это или плохо? Сложно ответить однозначно. Как бы то ни было теперь работает уже политика ограничения. С точки зрения пользователя, если с повсеместным внедрением СОРМа, вас можно было мониторить, отслеживать вашу активность в сети, то теперь вашим трафиком можно управлять.
Интернет всё меньше и меньше похож на нашу уютную маленькую сеть. В Китае вот и вовсе глобальная деанонимизация пользователей.
С точки зрения провайдеров и служб безопасности — это манна небесная.

В данный момент на рынке уже немало решений от различных производителей. Занимаются этим и монстры телекома и совсем узкоспециализированные неизвестные в широких кругах компании.

Вот бюджетное решение от немецкой компании Ipoque: PRX Traffic Manager

Русские ребята:
Traffica — простое устройство Monitorium для корпоративного сектора.

I-Teco — предоставляют довольно серьёзное решение, но, откровенно говоря, их сайт пугает.

Одни из признанных лидеров в сфере DPI-оборудования: Inline Telecom с их Sandvine
И Allot

О своём участии заявляет даже IBM

Ну и, разумеется, куда без большой тройки?
Huawei предлагает комплексное решение SIG9800
Juniper выпустило свои устройства серии VXA
И конечно, Cisco SCE

В общем, как ни крути, а вещь в хозяйстве полезная.

Зачем нам нужен DPI by

Возможно, вас также заинтересует:

  • http://www.facebook.com/cyrill.malevanov Cyrill Malevanov

    VXA не DPI

При копировании материалов ссылка обязательна.