Caracteristici ale setărilor DPI

Acest articol nu acoperă ajustarea completă a DPI și totul conectat împreună, iar valoarea științifică a textului este minimă. Dar descrie cel mai simplu mod de a ocoli DPI, pe care multe companii nu l-au luat în considerare.

Disclaimer #1: Acest articol este de natură de cercetare și nu încurajează pe nimeni să facă sau să folosească nimic. Ideea se bazează pe experiența personală, iar orice asemănări sunt aleatorii.

Avertisment nr. 2: articolul nu dezvăluie secretele Atlantidei, căutarea Sfântului Graal și alte mistere ale universului; tot materialul este disponibil gratuit și este posibil să fi fost descris de mai multe ori pe Habré. (nu l-am gasit, as fi recunoscator pentru link)

Pentru cei care au citit avertismentele, să începem.

Ce este DPI?

DPI sau Deep Packet Inspection este o tehnologie pentru acumularea de date statistice, verificarea și filtrarea pachetelor de rețea prin analizarea nu numai a antetelor pachetelor, ci și a întregului conținut al traficului la niveluri ale modelului OSI de la al doilea și mai mare, care vă permite să detectați și blocați virușii, filtrați informațiile care nu îndeplinesc criteriile specificate.

Există două tipuri de conexiune DPI, care sunt descrise ValdikSS pe github:

DPI pasiv

DPI conectat la rețeaua furnizorului în paralel (nu într-o tăietură), fie printr-un splitter optic pasiv, fie folosind oglindirea traficului provenit de la utilizatori. Această conexiune nu încetinește viteza rețelei furnizorului în caz de performanță DPI insuficientă, motiv pentru care este folosită de furnizorii mari. DPI cu acest tip de conexiune poate detecta din punct de vedere tehnic doar o încercare de a solicita conținut interzis, dar nu o poate opri. Pentru a ocoli această restricție și a bloca accesul la un site interzis, DPI trimite utilizatorului care solicită o adresă URL blocată un pachet HTTP special creat cu o redirecționare către pagina stub a furnizorului, ca și cum un astfel de răspuns ar fi trimis chiar de resursa solicitată (IP-ul expeditorului). adresa și secvența TCP sunt falsificate). Deoarece DPI este fizic mai aproape de utilizator decât site-ul solicitat, răspunsul falsificat ajunge la dispozitivul utilizatorului mai repede decât răspunsul real de la site.

DPI activ

Active DPI - DPI conectat la rețeaua furnizorului în mod obișnuit, ca orice alt dispozitiv de rețea. Furnizorul configurează rutarea astfel încât DPI să primească trafic de la utilizatori către adrese IP sau domenii blocate, iar apoi DPI decide dacă să permită sau să blocheze traficul. Active DPI poate inspecta atât traficul de ieșire, cât și de intrare, totuși, dacă furnizorul folosește DPI numai pentru a bloca site-urile din registru, acesta este cel mai adesea configurat pentru a inspecta numai traficul de ieșire.

Nu numai eficacitatea blocării traficului, ci și încărcarea DPI depinde de tipul de conexiune, așa că este posibil să nu scanați tot traficul, ci doar anumite:

DPI „normal”.

Un DPI „regulat” este un DPI care filtrează un anumit tip de trafic numai pe cele mai comune porturi pentru acel tip. De exemplu, un DPI „obișnuit” detectează și blochează traficul HTTP interzis doar pe portul 80, traficul HTTPS pe portul 443. Acest tip de DPI nu va urmări conținutul interzis dacă trimiteți o solicitare cu o adresă URL blocată către un IP deblocat sau non- port standard.

DPI „complet”.

Spre deosebire de DPI „obișnuit”, acest tip de DPI clasifică traficul indiferent de adresa IP și portul. În acest fel, site-urile blocate nu se vor deschide chiar dacă utilizați un server proxy pe un port complet diferit și adresa IP deblocată.

Folosind DPI

Pentru a nu reduce rata de transfer de date, trebuie să utilizați DPI pasiv „Normal”, care vă permite să faceți eficient? blocați vreunul? resurse, configurația implicită arată astfel:

• Filtru HTTP numai pe portul 80
• HTTPS numai pe portul 443
• BitTorrent numai pe porturile 6881-6889

Dar problemele încep dacă resursa va folosi un alt port pentru a nu pierde utilizatori, atunci va trebui să verificați fiecare pachet, de exemplu puteți da:

• HTTP funcționează pe porturile 80 și 8080
• HTTPS pe porturile 443 și 8443
• BitTorrent pe orice altă trupă

Din acest motiv, va trebui fie să comutați la DPI „Activ”, fie să utilizați blocarea folosind un server DNS suplimentar.

Blocare folosind DNS

O modalitate de a bloca accesul la o resursă este să interceptați cererea DNS folosind un server DNS local și să returnați utilizatorului o adresă IP „stub”, mai degrabă decât resursa necesară. Dar acest lucru nu oferă un rezultat garantat, deoarece este posibil să preveniți falsificarea adresei:

Opțiunea 1: editarea fișierului hosts (pentru desktop)

Fișierul hosts este o parte integrantă a oricărui sistem de operare, ceea ce vă permite să îl utilizați întotdeauna. Pentru a accesa resursa, utilizatorul trebuie:

1. Aflați adresa IP a resursei necesare
2. Deschideți fișierul hosts pentru editare (sunt necesare drepturi de administrator), situat în:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Adăugați o linie în formatul:
4. Salvează modificările

Avantajul acestei metode este complexitatea ei și cerințele pentru drepturi de administrator.

Opțiunea 2: DoH (DNS peste HTTPS) sau DoT (DNS peste TLS)

Aceste metode vă permit să vă protejați cererea DNS de falsificare folosind criptare, dar implementarea nu este acceptată de toate aplicațiile. Să ne uităm la ușurința de a configura DoH pentru Mozilla Firefox versiunea 66 din partea utilizatorului:

1. Du-te la adresa about: config în Firefox
2. Confirmați că utilizatorul își asumă toate riscurile
3. Modificați valoarea parametrului rețea.trr.mode pe:
   • 0 - dezactivați TRR
   • 1 - selectie automata
   • 2 - activați DoH în mod implicit
4. Modificați parametrul network.trr.uri selectând serverul DNS
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • DNS Google: dns.google.com/experimental
5. Modificați parametrul network.trr.boostrapAddress pe:
   • Dacă este selectat Cloudflare DNS: 1.1.1.1
   • Dacă este selectat Google DNS: 8.8.8.8
6. Modificați valoarea parametrului network.security.esni.activat pe adevărat
7. Verificați dacă setările sunt corecte folosind Serviciul Cloudflare

Deși această metodă este mai complexă, nu necesită ca utilizatorul să aibă drepturi de administrator și există multe alte modalități de a securiza o solicitare DNS care nu sunt descrise în acest articol.

Opțiunea 3 (pentru dispozitive mobile):

Folosind aplicația Cloudflare pentru a Android и IOS.

Testarea

Pentru a verifica lipsa accesului la resurse, a fost achiziționat temporar un domeniu blocat în Federația Rusă:

• Verificare HTTP + portul 80
• Verificare HTTP + portul 8080
• Verificare HTTPS + portul 443
• Verificare HTTPS + portul 8443

Concluzie

Sper că acest articol va fi util și va încuraja nu numai administratorii să înțeleagă subiectul mai detaliat, ci va oferi și o înțelegere a faptului că resursele vor fi întotdeauna de partea utilizatorului, iar căutarea de noi soluții ar trebui să fie o parte integrantă pentru aceștia.

Link-uri utile

• Implementarea standardului SNI criptat în Firefox
• Bypass offline DPI

Adăugare în afara articoluluiTestul Cloudflare nu poate fi finalizat pe rețeaua operatorului Tele2, iar un DPI configurat corect blochează accesul la site-ul de testare.
P.S. Până acum acesta este primul furnizor care blochează corect resursele.

Sursa: www.habr.com