Característiques de la configuració de DPI

Aquest article no cobreix l'ajust complet del DPI i tot el que està connectat, i el valor científic del text és mínim. Però descriu la manera més senzilla d'evitar DPI, que moltes empreses no han tingut en compte.

Exempció de responsabilitat núm. 1: aquest article és d'investigació i no anima ningú a fer o utilitzar res. La idea es basa en l'experiència personal i qualsevol semblança és aleatòria.

Advertència núm. 2: l'article no revela els secrets de l'Atlàntida, la recerca del Sant Grial i altres misteris de l'univers, tot el material està disponible gratuïtament i pot haver estat descrit més d'una vegada a Habré. (No l'he trobat, agrairia l'enllaç)

Per a aquells que hagin llegit les advertències, comencem.

Què és DPI?

DPI o Deep Packet Inspection és una tecnologia per acumular dades estadístiques, comprovar i filtrar paquets de xarxa analitzant no només les capçaleres de paquets, sinó també el contingut complet del trànsit a nivells del model OSI a partir del segon i superior, que permet detectar i bloquejar virus, filtrar la informació que no compleix els criteris especificats.

Hi ha dos tipus de connexió DPI, que es descriuen ValdikSS a github:

DPI passiu

DPI connectat a la xarxa del proveïdor en paral·lel (no en un tall) ja sigui mitjançant un divisor òptic passiu o mitjançant la duplicació del trànsit provinent dels usuaris. Aquesta connexió no alenteix la velocitat de la xarxa del proveïdor en cas de rendiment de DPI insuficient, per això és utilitzada pels grans proveïdors. DPI amb aquest tipus de connexió tècnicament només pot detectar un intent de sol·licitar contingut prohibit, però no aturar-lo. Per saltar aquesta restricció i bloquejar l'accés a un lloc prohibit, DPI envia a l'usuari que sol·licita una URL bloquejada un paquet HTTP especialment dissenyat amb una redirecció a la pàgina de resguard del proveïdor, com si aquesta resposta l'enviés el mateix recurs sol·licitat (la IP del remitent). l'adreça i la seqüència TCP es forgen). Com que el DPI està físicament més a prop de l'usuari que el lloc sol·licitat, la resposta falsificada arriba al dispositiu de l'usuari més ràpidament que la resposta real del lloc.

DPI actiu

DPI actiu: DPI connectat a la xarxa del proveïdor de la manera habitual, com qualsevol altre dispositiu de xarxa. El proveïdor configura l'encaminament de manera que DPI rebi trànsit dels usuaris a adreces IP o dominis bloquejats, i DPI decideix si permet o bloqueja el trànsit. DPI actiu pot inspeccionar tant el trànsit de sortida com d'entrada, però, si el proveïdor només utilitza DPI per bloquejar llocs del registre, sovint es configura per inspeccionar només el trànsit de sortida.

No només l'efectivitat del bloqueig del trànsit, sinó també la càrrega de DPI depèn del tipus de connexió, de manera que és possible no escanejar tot el trànsit, sinó només alguns:

DPI "normal".

Un DPI "normal" és un DPI que filtra un determinat tipus de trànsit només als ports més habituals per a aquest tipus. Per exemple, un DPI "normal" detecta i bloqueja el trànsit HTTP prohibit només al port 80, el trànsit HTTPS al port 443. Aquest tipus de DPI no farà un seguiment del contingut prohibit si envieu una sol·licitud amb un URL bloquejat a una IP desbloquejada o no. port estàndard.

DPI "complet".

A diferència del DPI "normal", aquest tipus de DPI classifica el trànsit independentment de l'adreça IP i del port. D'aquesta manera, els llocs bloquejats no s'obriran encara que utilitzeu un servidor intermediari en un port completament diferent i una adreça IP desbloquejada.

Utilitzant DPI

Per no reduir la velocitat de transferència de dades, heu d'utilitzar DPI passiu "Normal", que us permet fer-ho de manera efectiva? bloquejar-ne alguna? recursos, la configuració predeterminada és la següent:

• Filtre HTTP només al port 80
• HTTPS només al port 443
• BitTorrent només als ports 6881-6889

Però els problemes comencen si el recurs utilitzarà un port diferent per no perdre usuaris, llavors hauràs de comprovar cada paquet, per exemple pots donar:

• HTTP funciona als ports 80 i 8080
• HTTPS al port 443 i 8443
• BitTorrent a qualsevol altra banda

Per això, haureu de canviar a DPI "actiu" o utilitzar el bloqueig mitjançant un servidor DNS addicional.

Bloqueig mitjançant DNS

Una manera de bloquejar l'accés a un recurs és interceptar la sol·licitud de DNS mitjançant un servidor DNS local i retornar a l'usuari una adreça IP "stub" en lloc del recurs requerit. Però això no dóna un resultat garantit, ja que és possible evitar la falsificació d'adreces:

Opció 1: edició del fitxer hosts (per a escriptori)

El fitxer hosts és una part integral de qualsevol sistema operatiu, la qual cosa us permet utilitzar-lo sempre. Per accedir al recurs, l'usuari ha de:

1. Esbrineu l'adreça IP del recurs requerit
2. Obriu el fitxer hosts per editar-lo (es requereixen drets d'administrador), situat a:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Afegiu una línia amb el format:
4. Guardar canvis

L'avantatge d'aquest mètode és la seva complexitat i el requisit de drets d'administrador.

Opció 2: DoH (DNS sobre HTTPS) o DoT (DNS sobre TLS)

Aquests mètodes us permeten protegir la vostra sol·licitud de DNS de la falsificació mitjançant el xifratge, però la implementació no és compatible amb totes les aplicacions. Vegem la facilitat de configurar DoH per a Mozilla Firefox versió 66 des de l'usuari:

1. Vés a l'adreça about: config al Firefox
2. Confirmeu que l'usuari assumeix tots els riscos
3. Canvia el valor del paràmetre mode.trr.xarxa a:
   • 0: desactiva TRR
   • 1 - selecció automàtica
   • 2: habiliteu DoH per defecte
4. Canvia el paràmetre network.trr.uri seleccionant el servidor DNS
   • DNS de Cloudflare: mozilla.cloudflare-dns.com/dns-query
   • DNS de Google: dns.google.com/experimental
5. Canvia el paràmetre network.trr.boostrapAddress a:
   • Si se selecciona Cloudflare DNS: 1.1.1.1
   • Si se selecciona Google DNS: 8.8.8.8
6. Canvia el valor del paràmetre xarxa.seguretat.esni.activada en veritable
7. Comproveu que la configuració sigui correcta utilitzant Servei Cloudflare

Tot i que aquest mètode és més complex, no requereix que l'usuari tingui drets d'administrador i hi ha moltes altres maneres de protegir una sol·licitud DNS que no es descriuen en aquest article.

Opció 3 (per a dispositius mòbils):

Utilitzant l'aplicació Cloudflare per Android и IOS.

Proves

Per comprovar la manca d'accés als recursos, es va comprar temporalment un domini bloquejat a la Federació Russa:

• Comprovació HTTP + port 80
• Comprovació HTTP + port 8080
• Comprovació HTTPS + port 443
• Comprovació HTTPS + port 8443

Conclusió

Espero que aquest article sigui útil i animarà no només els administradors a entendre el tema amb més detall, sinó que també entendre que els recursos sempre estaran del costat de l'usuari, i la recerca de noves solucions hauria de ser una part integral per a ells.

links útils

• Implementació de l'estàndard SNI xifrat al Firefox
• Bypass DPI fora de línia

Addició fora de l'articleLa prova de Cloudflare no es pot completar a la xarxa de l'operador Tele2 i un DPI configurat correctament bloqueja l'accés al lloc de prova.
P.S. Fins ara, aquest és el primer proveïdor que bloqueja correctament els recursos.

Font: www.habr.com