Funkcje ustawień DPI

Artykuł ten nie obejmuje pełnej regulacji DPI i wszystkiego, co jest ze sobą powiązane, a wartość naukowa tekstu jest minimalna. Opisuje jednak najprostszy sposób na ominięcie DPI, którego wiele firm nie brało pod uwagę.

Zastrzeżenie nr 1: Ten artykuł ma charakter badawczy i nie zachęca nikogo do robienia lub używania czegokolwiek. Pomysł opiera się na osobistym doświadczeniu, a wszelkie podobieństwa są przypadkowe.

Uwaga nr 2: artykuł nie ujawnia tajemnic Atlantydy, poszukiwań Świętego Graala i innych tajemnic wszechświata, cały materiał jest ogólnodostępny i mógł być opisany więcej niż raz na Habré. (nie znalazłem, byłbym wdzięczny za link)

Zacznijmy od tych, którzy przeczytali ostrzeżenia.

Co to jest DPI?

DPI czyli Deep Packet Inspection to technologia gromadzenia danych statystycznych, sprawdzania i filtrowania pakietów sieciowych poprzez analizę nie tylko nagłówków pakietów, ale także pełnej zawartości ruchu na poziomach modelu OSI od drugiego wzwyż, co pozwala na wykrywanie i blokować wirusy, filtrować informacje, które nie spełniają określonych kryteriów.

Opisano dwa typy połączeń DPI ValdikSS na githubie:

Pasywne DPI

DPI podłączony do sieci dostawcy równolegle (nie w przekroju) albo poprzez pasywny rozdzielacz optyczny, albo przy użyciu lustrzanej kopii ruchu pochodzącego od użytkowników. Połączenie to nie spowalnia szybkości sieci dostawcy w przypadku niewystarczającej wydajności DPI, dlatego korzystają z niego duzi dostawcy. DPI z tym typem połączenia może technicznie wykryć jedynie próbę żądania zabronionych treści, ale nie może jej zatrzymać. Aby ominąć to ograniczenie i zablokować dostęp do zabronionej witryny, DPI wysyła użytkownikowi żądającemu zablokowanego adresu URL specjalnie spreparowany pakiet HTTP z przekierowaniem do strony pośredniczącej dostawcy, tak jakby taką odpowiedź wysłał sam żądany zasób (adres IP nadawcy adres i sekwencja TCP są sfałszowane). Ponieważ DPI jest fizycznie bliżej użytkownika niż żądana witryna, sfałszowana odpowiedź dociera do urządzenia użytkownika szybciej niż rzeczywista odpowiedź z witryny.

Aktywne DPI

Aktywne DPI - DPI podłączone do sieci dostawcy w zwykły sposób, jak każde inne urządzenie sieciowe. Dostawca konfiguruje routing w taki sposób, że DPI odbiera ruch od użytkowników do zablokowanych adresów IP lub domen, a następnie DPI decyduje, czy zezwolić na ruch, czy go zablokować. Aktywne DPI może sprawdzać zarówno ruch wychodzący, jak i przychodzący, jednak jeśli dostawca używa DPI tylko do blokowania witryn z rejestru, najczęściej jest skonfigurowany do sprawdzania tylko ruchu wychodzącego.

Nie tylko skuteczność blokowania ruchu, ale także obciążenie DPI zależy od rodzaju połączenia, dlatego możliwe jest, aby nie skanować całego ruchu, a tylko niektóre:

„Normalne” DPI

„Zwykłe” DPI to DPI, które filtruje określony typ ruchu tylko na najpopularniejszych portach tego typu. Na przykład „zwykły” DPI wykrywa i blokuje zabroniony ruch HTTP tylko na porcie 80, ruch HTTPS na porcie 443. Ten typ DPI nie będzie śledził zabronionych treści, jeśli wyślesz żądanie z zablokowanym adresem URL na niezablokowany adres IP lub nie- standardowy port.

„Pełne” DPI

W przeciwieństwie do „zwykłego” DPI, ten typ DPI klasyfikuje ruch niezależnie od adresu IP i portu. W ten sposób zablokowane strony nie będą się otwierać nawet jeśli korzystasz z serwera proxy na zupełnie innym porcie i odblokowanym adresie IP.

Korzystanie z DPI

Aby nie zmniejszać szybkości przesyłania danych, należy zastosować „Normalne” pasywne DPI, które pozwala efektywnie? zablokować jakiś? Resources domyślna konfiguracja wygląda następująco:

• Filtr HTTP tylko na porcie 80
• HTTPS tylko na porcie 443
• BitTorrent tylko na portach 6881-6889

Ale problemy zaczynają się, jeśli zasób będzie korzystał z innego portu, aby nie stracić użytkowników, wtedy będziesz musiał sprawdzić każdy pakiet, na przykład możesz podać:

• HTTP działa na porcie 80 i 8080
• HTTPS na porcie 443 i 8443
• BitTorrent na dowolnym innym paśmie

Z tego powodu będziesz musiał albo przełączyć się na „Aktywne” DPI, albo zastosować blokowanie za pomocą dodatkowego serwera DNS.

Blokowanie za pomocą DNS

Jednym ze sposobów zablokowania dostępu do zasobu jest przechwycenie żądania DNS przy użyciu lokalnego serwera DNS i zwrócenie użytkownikowi „odcinkowego” adresu IP zamiast wymaganego zasobu. Nie daje to jednak gwarantowanego rezultatu, ponieważ można zapobiec fałszowaniu adresów:

Opcja 1: Edycja pliku hosts (na komputerze)

Plik hosts jest integralną częścią każdego systemu operacyjnego, co pozwala zawsze z niego korzystać. Aby uzyskać dostęp do zasobu, użytkownik musi:

1. Znajdź adres IP wymaganego zasobu
2. Otwórz plik hosts do edycji (wymagane uprawnienia administratora), znajdujący się w:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32drivesetchosts
3. Dodaj linię w formacie: <nazwa zasobu>
4. Zapisz zmiany

Zaletą tej metody jest jej złożoność i wymaganie uprawnień administratora.

Opcja 2: DoH (DNS przez HTTPS) lub DoT (DNS przez TLS)

Metody te pozwalają chronić żądanie DNS przed fałszowaniem przy użyciu szyfrowania, ale implementacja nie jest obsługiwana przez wszystkie aplikacje. Przyjrzyjmy się łatwości konfiguracji DoH dla Mozilla Firefox w wersji 66 od strony użytkownika:

1. Przejdź do adresu about: config w Firefoksie
2. Potwierdź, że użytkownik bierze na siebie całe ryzyko
3. Zmień wartość parametru tryb.trr.sieci na:
   • 0 — wyłącz TRR
   • 1 - wybór automatyczny
   • 2 - domyślnie włącz DoH
4. Zmień parametr sieć.trr.uri wybierając serwer DNS
   • DNS Cloudflare'a: mozilla.cloudflare-dns.com/dns-query
   • DNS Google: dns.google.com/experimental
5. Zmień parametr adres sieciowy.trr.boostrap na:
   • Jeśli wybrano Cloudflare DNS: 1.1.1.1
   • Jeśli wybrano Google DNS: 8.8.8.8
6. Zmień wartość parametru network.security.esni.enabled na prawdziwy
7. Sprawdź, czy ustawienia są prawidłowe, używając Usługa Cloudflare

Chociaż ta metoda jest bardziej złożona, nie wymaga od użytkownika posiadania uprawnień administratora i istnieje wiele innych sposobów zabezpieczenia żądania DNS, które nie są opisane w tym artykule.

Opcja 3 (dla urządzeń mobilnych):

Korzystanie z aplikacji Cloudflare do Android и IOS.

Testowanie

W celu sprawdzenia braku dostępu do zasobów zakupiono tymczasowo zablokowaną domenę w Federacji Rosyjskiej:

• Sprawdź HTTP + port 80
• Sprawdź HTTP + port 8080
• Kontrola HTTPS + port 443
• Kontrola HTTPS + port 8443

wniosek

Mam nadzieję, że ten artykuł okaże się przydatny i zachęci nie tylko administratorów do głębszego zrozumienia tematu, ale także pozwoli zrozumieć, że zasoby zawsze będą po stronie użytkownika, a poszukiwanie nowych rozwiązań powinno być dla niego integralną częścią.

Przydatne linki

• Implementacja standardu Encrypted SNI w Firefoksie
• Obejście DPI offline

Dodatek poza artykułemTestu Cloudflare nie da się przeprowadzić w sieci operatora Tele2, a prawidłowo skonfigurowane DPI blokuje dostęp do strony testowej.
PS Jak na razie jest to pierwszy dostawca, który poprawnie blokuje zasoby.

Źródło: www.habr.com