Trajtoj de DPI-agordoj

Ĉi tiu artikolo ne kovras plenan DPI-ĝustigon kaj ĉion ligitan kune, kaj la scienca valoro de la teksto estas minimuma. Sed ĝi priskribas la plej simplan manieron preteriri DPI, kiun multaj kompanioj ne konsideris.

Malgarantio #1: Ĉi tiu artikolo estas de esplora naturo kaj ne instigas iun ajn fari aŭ uzi ion ajn. La ideo baziĝas sur persona sperto, kaj ĉiuj similecoj estas hazardaj.

Averto n-ro 2: la artikolo ne rivelas la sekretojn de Atlantido, la serĉon de la Sankta gralo kaj aliajn misterojn de la universo; ĉiu materialo estas libere havebla kaj eble estis priskribita pli ol unufoje sur Habré. (Mi ne trovis ĝin, mi dankus la ligilon)

Por tiuj, kiuj legis la avertojn, ni komencu.

Kio estas DPI?

DPI aŭ Deep Packet Inspection estas teknologio por amasigi statistikajn datumojn, kontroli kaj filtri retajn pakaĵojn analizante ne nur pakajn kapliniojn, sed ankaŭ la plenan enhavon de trafiko ĉe niveloj de la OSI-modelo de la dua kaj pli alta, kiu permesas vin detekti kaj bloki virusojn, filtri informojn, kiuj ne plenumas specifitajn kriteriojn.

Estas du specoj de DPI-konekto, kiuj estas priskribitaj ValdikSS sur github:

Pasiva DPI

DPI konektita al la provizanto-reto paralele (ne en tranĉo) aŭ per pasiva optika splitilo, aŭ uzante spegulon de trafiko originanta de uzantoj. Ĉi tiu konekto ne malrapidigas la rapidecon de la reto de la provizanto en kazo de nesufiĉa agado de DPI, tial ĝi estas uzata de grandaj provizantoj. DPI kun ĉi tiu konekto-tipo povas teknike nur detekti provon peti malpermesitan enhavon, sed ne haltigi ĝin. Por preteriri ĉi tiun limigon kaj bloki aliron al malpermesita retejo, DPI sendas al la uzanto, kiu petas blokitan URL, speciale kreitan HTTP-pakon kun alidirektilo al la stumbpaĝo de la provizanto, kvazaŭ tia respondo estus sendita de la petita rimedo mem (la IP de la sendinto. adreso kaj TCP-sekvenco estas forĝitaj). Ĉar la DPI estas fizike pli proksima al la uzanto ol la petita retejo, la falsa respondo atingas la aparaton de la uzanto pli rapide ol la reala respondo de la retejo.

Aktiva DPI

Aktiva DPI - DPI konektita al la reto de la provizanto laŭ la kutima maniero, kiel ajna alia reto-aparato. La provizanto agordas vojigon tiel ke DPI ricevas trafikon de uzantoj al blokitaj IP-adresoj aŭ domajnoj, kaj DPI tiam decidas ĉu permesi aŭ bloki trafikon. Aktiva DPI povas inspekti ambaŭ elirantan kaj envenantan trafikon, tamen, se la provizanto uzas DPI nur por bloki retejojn de la registro, ĝi estas plej ofte agordita por inspekti nur elirantan trafikon.

Ne nur la efikeco de trafika blokado, sed ankaŭ la ŝarĝo de DPI dependas de la tipo de konekto, do eblas ne skani la tutan trafikon, sed nur iujn:

"Normala" DPI

"Regula" DPI estas DPI kiu filtras certan tipon de trafiko nur sur la plej oftaj havenoj por tiu tipo. Ekzemple, "regula" DPI detektas kaj blokas malpermesitan HTTP-trafikon nur sur haveno 80, HTTPS-trafikon sur haveno 443. Ĉi tiu speco de DPI ne spuros malpermesitan enhavon se vi sendas peton kun blokita URL al neblokita IP aŭ ne- norma haveno.

"Plena" DPI

Male al "regula" DPI, ĉi tiu speco de DPI klasifikas trafikon sendepende de IP-adreso kaj haveno. Tiel, blokitaj retejoj ne malfermos eĉ se vi uzas prokurilon sur tute malsama haveno kaj malblokita IP-adreso.

Uzante DPI

Por ne redukti la transdonon de datumoj, vi devas uzi "Normal" pasivan DPI, kiu ebligas al vi efike? bloki iun? rimedoj, la defaŭlta agordo aspektas jene:

• HTTP-filtrilo nur sur la haveno 80
• HTTPS nur ĉe la haveno 443
• BitTorento nur ĉe havenoj 6881-6889

Sed problemoj komenciĝas se la rimedo uzos alian havenon por ne perdi uzantojn, tiam vi devos kontroli ĉiun pakaĵon, ekzemple vi povas doni:

• HTTP funkcias sur havenoj 80 kaj 8080
• HTTPS sur havenoj 443 kaj 8443
• BitTorento en iu ajn alia bando

Pro tio, vi devos aŭ ŝanĝi al "Aktiva" DPI aŭ uzi blokadon per plia DNS-servilo.

Blokado uzante DNS

Unu maniero bloki aliron al rimedo estas kapti la DNS-peton uzante lokan DNS-servilon kaj resendi al la uzanto "stumpon" IP-adreson prefere ol la postulatan rimedon. Sed ĉi tio ne donas garantiitan rezulton, ĉar eblas malhelpi adreson falsifikadon:

Opcio 1: Redaktante la gastigajn dosierojn (por labortablo)

La hosts-dosiero estas integra parto de iu ajn operaciumo, kio permesas vin ĉiam uzi ĝin. Por aliri la rimedon, la uzanto devas:

1. Eltrovu la IP-adreson de la bezonata rimedo
2. Malfermu la hosts-dosieron por redaktado (administranto-rajtoj necesas), situanta en:
   • Linukso: /etc/hosts
   • Vindozo: %WinDir%System32driversetchosts
3. Aldonu linion en la formato:
4. Konservu ŝanĝojn

La avantaĝo de ĉi tiu metodo estas ĝia komplekseco kaj la postulo por administraj rajtoj.

Opcio 2: DoH (DNS super HTTPS) aŭ DoT (DNS super TLS)

Ĉi tiuj metodoj ebligas al vi protekti vian DNS-peton kontraŭ falsado per ĉifrado, sed la efektivigo ne estas subtenata de ĉiuj aplikaĵoj. Ni rigardu la facilecon agordi DoH por Mozilla Firefox versio 66 de la uzanto:

1. Iru al adreso pri: config en Fajrovulpo
2. Konfirmu, ke la uzanto supozas ĉiun riskon
3. Ŝanĝi parametron valoron reto.trr.mode en:
   • 0 - malŝalti TRR
   • 1 - aŭtomata elekto
   • 2 - ebligu DoH defaŭlte
4. Ŝanĝi parametron reto.trr.uri elektante DNS-servilon
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • Gugla DNS: dns.google.com/experimental
5. Ŝanĝi parametron reto.trr.boostrapAdreso en:
   • Se Cloudflare DNS estas elektita: 1.1.1.1
   • Se Google DNS estas elektita: 8.8.8.8
6. Ŝanĝi parametron valoron network.security.esni.enabled sur veraj
7. Kontrolu ke la agordoj estas ĝustaj uzante Servo Cloudflare

Kvankam ĉi tiu metodo estas pli kompleksa, ĝi ne postulas, ke la uzanto havas administrantajn rajtojn, kaj ekzistas multaj aliaj manieroj por certigi DNS-peton, kiuj ne estas priskribitaj en ĉi tiu artikolo.

Opcio 3 (por porteblaj aparatoj):

Uzante la apon Cloudflare por android и iOS.

Testado

Por kontroli la mankon de aliro al rimedoj, domajno blokita en la Rusa Federacio estis provizore aĉetita:

• HTTP-kontrolo + haveno 80
• HTTP-kontrolo + haveno 8080
• HTTPS-kontrolo + haveno 443
• HTTPS-kontrolo + haveno 8443

konkludo

Mi esperas, ke ĉi tiu artikolo estos utila kaj kuraĝigos ne nur administrantojn kompreni la temon pli detale, sed ankaŭ donos komprenon, ke rimedoj ĉiam estos flanke de la uzanto, kaj la serĉado de novaj solvoj estu por ili integra parto.

utilaj ligoj

• Efektivigo de la Ĉifrita SNI-normo en Fajrovulpo
• Senkonekta DPI-Pretervojo

Aldono ekster la artikoloLa Cloudflare-testo ne povas esti kompletigita sur la Tele2-operaciisto-reto, kaj ĝuste agordita DPI blokas aliron al la testejo.
P.S. Ĝis nun ĉi tiu estas la unua provizanto, kiu ĝuste blokas rimedojn.

fonto: www.habr.com