Совместно с разработчиками Carbon Soft мы подготовили статью о том, какие виды HTTPS фильтрации трафика существуют и как они работают в современных DPI-системах у российских операторов связи.
HTTPS – расширенный протокол HTTP, используемый для улучшения безопасности передачи данных. Передача данных осуществляется поверх протоколов шифрования TLS и SSL. Разработка SSL (Secure Sockets Layer) началась компанией Netscape Communications для добавления протокола HTTPS в одноименный браузер, чтобы обеспечить безопасность коммерческих сайтов в сети Интернет.
Методы фильтрации HTTPS-трафика
Для выполнения требований федерального законодательства у операторов связи появилась острая необходимость в качественной фильтрации HTTPS-трафика. Рассмотрим, какие для этого предусмотрены способы. Существует несколько методов, которые используются параллельно.
Операторы связи выполняют фильтрацию HTTPS-трафика с учетом Приказа №249 Роскомнадзора. Для этого компания Carbon Soft предлагает самое производительное программное обеспечение на рынке – Carbon Reductor DPI X. С его помощью обеспечивается эффективная блокировка HTTPS-сайтов.
DNS-фильтрация
DNS-спуфинг настраивается для всех HTTPS записей в реестре, имеющих ограничение доступа к доменному имени. DNS-фильтрация работает по-умолчанию, для её настройки требуется следовать инструкциям мастера настройки Carbon Reductor DPI X. Ограничивается доступ к доменному имени с помощью фильтрации запросов ко всем DNS-серверам.
Если абонент оператора связи хочет обратиться к запрещенному домену example.com, перед этим он узнает у DNS- сервера IP-адрес, по которому находится данный домен. Carbon Reductor DPI перехватывает DNS-запросы, проверяет наличие ресурса в списках для фильтрации и если ресурс необходимо заблокировать, то возвращает IP-адрес(192.168.0.4) страницы-заглушки оператора связи. Ответ DNS-сервера не принимается, так как получен ответ на запрос.
Страница-заглушка поднимается на сервере с Carbon Reductor DPI и только при высокой нагрузке на сервер фильтрации возможно установить отдельный сервер со страницей-заглушкой. Страница-заглушка обязательно содержит служебную информацию, которую распознает АС «Ревизор». А именно уникальный код – идентификатор оператора связи и текст в соответствии с требованиями Роскомнадзора.
Специнформация должна занимать не меньше половины площади страницы и не может находиться на страницах с новостями, информацией о том, как получить доступ к ресурсам, содержащим запрещённые данные.
SNI-фильтрация
Server Name Indication является расширением протокола TLS, которое позволяет отправлять доменное имя, с которым необходимо установить сетевое соединение. SNI предоставляет возможность установить несколько SSL сертификатов для одного IP-адреса. Браузеры, которыми пользуется большинство пользователей, в открытом виде осуществляют передачу имени хоста, с которым происходит HTTPS-соединение. Блокировка осуществляется правомерно, расшифровка трафика не нужна. И пусть URL не отображаются, однако адрес ресурса, с которым происходит соединение, открыт для систем DPI. Чаще всего такой способ применяется для повышения надежности DNS-фильтрации.
Абонент устанавливает соединение с сайтом https://example.com. После установления TCP-соединения, клиент включает имя сервера, с которым он хотел установить соединение, в запрос ClientHello, давая возможность серверу понять, какой именной сертификат нужно сообщить в ответ клиенту в сообщении ServerHello. При обнаружении запроса в запрещенному ресурсу в пакете ClientHello система фильтрации одновременно отправляет TCP-RST пакет абоненту и сайту. Даже если абонент получит сертификат для сайта example.com, ему будет уже не важно, так как TCP-соединение закрыто.
IP-фильтрация
В едином реестре запрещенных сайтов содержится большое количество сетевых адресов, которые необходимо заблокировать по всем протоколам и портам без расшифровки трафика. Данный способ является самым простым, чтобы полностью ограничить доступ к ресурсу. Но у него есть один «большой» недостаток. Множество сайтов может использовать один и тот же IP-адрес, следовательно доступ будет закрыт ко всем ресурсам, не только запрещенным. При обнаружении запроса на IP-адрес запрещённого ресурса, абоненту и сайту отправляется TCP-RST пакет.
Проксирование трафика
Данный способ фильтрации осуществляется с помощью прокси-сервера, который установлен между абонентом и сайтом. Когда устанавливается HTTPS-соединение, браузеру отправляется сертификат ресурса. Он проверяет подпись путем взаимодействия с центром сертификации. В результате такого действия, провайдеру известно название сайта, с которого осуществляется запрос. Если он внесен в перечень РКН – блокирует его и все его страницы. Пример работы представлен на ниже.
Прокси-сервер перехватывает запрос сертификата и сам подменивает его новым корневым сертификатом вместо запрашиваемого сертификата, который подписан собственным центром сертификации и занимается установкой соединения с example.com, выполняя роль «клиента», чтобы получать весь передаваемый трафик. Следовательно, оператор связи получает информацию о запрашиваемых ресурсах, а не весь домен целиком и может точечно осуществлять блокировку. Трафик может быть расшифрован прокси-сервером, так как пользователь соглашается на такую защищенную сессию. Чтобы новый сертификат был валидным с точки зрения браузера для работы, всем абонентам требуется установить «подменный» сертификат в свой браузер.
Однако, в таком случае оператор связи получает доступ ко всему трафику пользователя, его переписке в социальных сетях, логинам и паролям от других сайтов, загружаемому контенту. Это нарушает ряд Федеральных Законов, права на частную жизнь и является противозаконным, поэтому данный вид фильтрации не используется.
Подробнее о Carbon Reductor DPI X
Это готовое решение «под ключ», выполняет Федеральные Законы ФЗ-139; ФЗ-149; ФЗ-187; ФЗ-398; ФЗ-436, относящиеся к блокировке запрещённых сайтов. Продукт прошел одобрение Роскомнадзором, рекомендован как средство фильтрации трафика и успешно используется более 1000 операторами связи.
Ключевые свойства для операторов связи:
- Гарантированное выполнение требований Федеральных Законов по ограничению доступа к запрещённым ресурсам.
- Финансовая страховка от штрафов Роскомнадзора.
- Интеллектуальная система мониторинга, контролирующая состояние системы фильтрации и сеть провайдера, предупреждающая о неполадках инженеров Carbon Soft и администраторов интернет-провайдера.
- Оповещение абонентов. Возможно информирование о минусовом балансе, ЧП, новой тарификации и пр. Простая интеграция продукта с любой биллинговой системой.
- Страница-заглушка с возможностью редактирования. Допустима демонстрация любой информации, не нарушающей требования Приказа № 249. Допускается брендирование страницы.
- Данные по числу обращений к запрещенным сайтам по изменяемому фильтру в виде отчётов.
- Современный веб-интерфейс. Есть возможность работы при помощи REST API. Доступны к просмотру журналы об итогах выгрузки реестра РКН. Предусмотрены роли: «оператор» и «администратор».
- Бесплатная лицензия на дублирующий сервер. Систему фильтрации можно резервировать по схеме 2N+1 или 2N.
- Обнаружение аномального трафика, атак. Контролируется нагрузка на сеть контролируется, выявляются сетевые угрозы — безопасность абонентов гарантирована.
Carbon Reductor DPI X предназначен для надежной фильтрации HTTPS, HTTP, IP и не только. Позволяет легко инсталлировать и использовать программную среду для упрощения контроля над трафиком.
Скачать и протестировать Carbon Reductor DPI X можно по ссылке: www.carbonsoft.ru/download/
Спасибо, что пользуетесь продуктами компании Carbon Soft!