DNS фильтрация трафика

DNS представляет собой распределенную систему, используемую для получения данных о доменах. База данных поддерживается за счет иерархии серверов, работающих по протоколу DNS. DNS-фильтрация нужна из соображений производительности и безопасности.

Ключевые свойства

DNS обладает следующими характеристиками:

1. Распределенность администрирования, хранения данных. Ответственность за части иерархической структуры лежит на плечах разных предприятий, лиц. Каждый узел сети хранит только ту информацию, которая находится в его компетенции.
2. Кэширование данных. Чтобы снизить нагрузку на сеть, узел способен хранить дополнительную информацию, которая не соответствует зоне ответственности.
3. Резервирование. Обслуживание своих зон обеспечивают серверы, разделенные и логически, и физически. Это исключает простой системы при сбое одного узла.

Работа DNS очень важна для Сети, так как для контакта с узлом требуются данные о его IP-адресе, а люди лучше воспринимают адреса из букв, чем цифровой набор. Иногда это позволяет использовать HTTP-серверы, отличающиеся именем запроса. Если сначала преобразование между IP-адресами и доменными проводилось с помощью файла hosts, который рассылался участникам сети, впоследствии начал активно использоваться автоматизированный механизм – Domain Name System.

Зачем нужна фильтрация DNS-запросов?

1. Для снижения нагрузки на сети оператора связи

Допустим, DNS-сервер работает в регионе как кэширующий, тогда он должен заниматься обработкой запросов только из местных сетей. Аналогично и с внешним оборудованием. Если DNS-сервер используется провайдером, он должен ускорять обработку запросов клиентов, которые находятся в его сети.

2. Для ограничения доступа к информации, распространение которой запрещено.

Способы фильтрации

1. Пользовательский компьютер. ПО устанавливается на ПК. Используется для домашних пользователей, небольших предприятий. Пользователь должен непосредственно участвовать в процессе.
2. Интернет-шлюз. Применяется государственными, образовательными, частными организациями. Контроль имеет обширные настройки, сохраняется скорость интернет-доступа. Обслуживанием занимается стороннее предприятие или штатный специалист.
3. Фильтрация трафика оператором связи. Выполняет фильтрацию всего трафика использую программно-аппаратные или аппаратные комплексы.
4. Международный уровень. Централизованное решение. Контроль осуществляется на государственном уровне. Метод требует немалых вложений.

В итоге используются специальные программы и аппаратно-программные комплексы. Пример – Carbon Reductor DPI X. Это программное обеспечение предлагается нашей компанией для операторов связи, которым необходимо выполнять фильтрацию трафика в своей сети.

Способы блокировки DNS-ресурсов с помощью Carbon Reductor DPI X

Подмена DNS (DNS Spoofing)

Для подмены DNS-запроса необходимо рассмотреть подробнее структуру DNS-пакета. Пакет DNS-протокола содержит в заголовке уникальный идентификатор(ID), которые указывает машинам, что они общаются в одной сессии. Также DNS-запрос в открытом виде содержит доменные имена ресурсов к которым обращается. При запросе абонента DNS-сервера об IP адресе заблокированного ресурса, Carbon Reductor DPI формирует ответный пакет, который содержит одинаковый идентификатор и IP-адрес страницы-блокировки от имени DNS-сервера. Для абонента данное соединение представляется в виде обращения к реальному DNS-серверу, только ответ DNS-сервера игнорируется, так как приходит позже.

Интеграция с DNS-сервером провайдера

Carbon Reductor DPI X содержит встроенный модуль интеграции с DNS-серверами оператора связи, который позволяет настроить блокировку доменов средствами DNS-сервера. Принцип работы заключается в следующем, Carbon Reductor DPI X локально генерирует конфигурационные файлы с DNS-зонами для заблокированных ресурсов и отправляет их на DNS-сервер оператора связи. Так как абоненты обращаются к нему по-умолчанию, в ответ получают страницу-блокировки.

О продукте Carbon Reductor DPI X

Carbon Reductor DPI X – комплексный продукт «под ключ», а не обычное программное обеспечение. Включает в себя учёт нескольких федеральных законов (ФЗ-436, ФЗ-398, ФЗ-187, ФЗ-149, ФЗ-139), которые относятся к блокированию запрещённых ресурсов. Продукт одобрен Роскомнадзором как рекомендуемое средство фильтрации трафика. ПО используют более 1200 операторов связи и интернет-провайдеров, в том числе такие компании как: АО «Газпром космические системы», АО «Российские Космические Системы», «Управление делами Президента РФ», АО «Уралвагонзавод», Филиалы ПАО «Ростелеком», ОАО «Межрегиональный ТранзитТелеком», АО «Цифра 1», АО «Мастертел» и так далее.

Основные возможности Carbon Reductor DPI X:

1. Полная блокировка запрещённых ресурсов по спискам запрещённых сайтов Роскомнадзора и Минюста.
2. Интеграция с АС «Ревизор». Автоматически скачивает и анализирует отчёты о блокировках.
3. Система мониторинга сервера фильтрации и сети провайдера по 100+ показателям. Уведомляет администратора сервера об обнаруженных проблемах, а также техническую поддержку Carbon Soft.
4. Готовые отчёты. Информация о количестве обращений к запрещённым ресурсам.
5. Редактируемая страница-заглушка, может брендироваться, изменяться, отображать любые данные на усмотрение провайдера.
6. Информирование абонентов о ЧС, промо-акциях интернет-провайдера. Продукт легко интегрируется с любым биллингом через готовые шаблоны.
7. Детализированный веб-интерфейс. Можно работать с помощью REST API. Есть роли «администратора» и «оператора». Результаты выгрузки реестра РКН доступны к просмотру в журналах.
8. Бесплатное предоставление дублирующего сервера. Система резервируется по схеме 2N либо 2N+1.

Упрощенный контроль над трафиком, простота установки, использования, исключение нарушений безопасности – всё это обеспечивает Carbon Reductor DPI X. Продукт гарантирует фильтрацию и классификацию трафика по содержимому, на тарифах SLA4 доступна финансовая страховка от штрафов Роскомнадзора.

Заключение

DPI-система способна заблокировать запросы DNS несколькими способами. DNS-фильтрация происходит за счет анализа содержимого трафика на втором уровне модели OSI и выше. Такое программное решение характеризуется простотой, эффективностью применения, позволяет соблюдать действующее законодательство в отношении фильтрации трафика.