Podsłuch w Sieci - czy można go wykryć

xray hand

"Głęboka analiza pakietów została opracowana w celu walki ze złośliwym oprogramowaniem i atakami na sieci firmowe. Jednak od zaawansowanego narzędzia służącego do identyfikowania zagrożeń w przesyłanym ruchu dzieli nas już tylko krok od filtrowania ruchu w zależności od przesyłanej treści, słów kluczowych itp." - mówi w rozmowie z serwisem PC World Adrian Dorobisz, Inżynier systemowy w firmy Dagma.

Kilka dni temu informowaliśmy o tym, że firmy Nokia i Siemens, dostarczając Iranowi technologię niezbędną do rozbudowy infrastruktury telekomunikacyjnej, najprawdopodobniej wyposażyły władze w system umożliwiający przechwytywanie komunikacji, działający w oparciu o technologię głębokiej inspekcji pakietów (DPI). Więcej na ten temat w artykule: Iran szpieguje Sieć dzięki zachodniej technologii. O wyjaśnienie zasady działania systemu DPI poprosiliśmy Adriana Dorobisza, inżyniera systemowego w firmie Dagma.

PC World: Na czym polega działanie mechanizmu DPI?

Adrian Dorobisz, Dagma: "Deep Packet Inspection" to ogólna nazwa typu filtrowania pakietów, w którym oprócz skanowania nagłówków badana jest również zawartość pakietów - a więc transportowane dane. Urządzenia posiadające możliwości filtrowania DPI sprawdzają więc ruch od warstwy 2 do 7 modelu OSI. Ponieważ oprócz typu ruchu badamy też dane, możliwe staje się filtrowanie i monitorowanie ruchu w zależności od treści, które są przesyłane.

Początkowo tak głęboka analiza pakietów została opracowana w celu walki ze złośliwym oprogramowaniem i atakami na sieci firmowe. Klasyczne firewalle nie posiadały możliwości analizy zawartości samego ruchu, a więc ich możliwości ochronne były bardzo ograniczone - można było jedynie zablokować lub zezwolić na dany ruch w zależności od portu i protokołu. Stąd narodziła się potrzeba powstania systemów IPS/IDS i stopniowo rozwijano technologie coraz dokładniej monitorujące przesyłany ruch. Obecnie dzięki głębokiej analizie pakietów firmy mogą lepiej chronić się przed wirusami, robakami internetowymi, atakami przepełnienia bufora, czy atakami typu denial-of-service.

Czy można rozpoznać, gdy DPI jest wykorzystywana do podsłuchu przesyłanych Internetem informacji?

Od zaawansowanego narzędzia służącego do identyfikowania zagrożeń w przesyłanym ruchu dzieli nas już tylko krok od filtrowania ruchu w zależności od przesyłanej treści, słów kluczowych itp. Politycznie niepoprawna treść może być raportowana do odpowiednich władz, wstrzymywana itp.



Adrian Dorobisz, inżynier systemowy w firmie DAGMA
Możliwość wykrycia tego typu "podsłuchu" zależy od metody, którą jest on prowadzony. Bardzo niewiele wiemy o typie rozwiązania zastosowanego w Iranie. Według doniesień medialnych jest to rozwiązanie dostarczone przez koncern europejski, jednak bardzo mało wiemy o jego metodzie działania, a więc od tego momentu możemy jedynie spekulować. Jeśli ruch jest analizowany poprzez serwery proxy (a więc serwery pośredniczące w przekazywaniu całego ruchu do/z danego kraju), to możliwe staje się wykrycie takiego faktu.

Można też wtedy próbować ominąć takie serwery proxy, chociażby poprzez tunelowanie do ruchu innych proxy z wykorzystaniem protokołu SSL. Istnieje również mechanizm specjalnie stworzony do anonimizacji ruchu internetowego - nazywany TOR (the onion router). Jeśli jednak inspekcja następuje na poziomie firewalla/IPS bądź jeszcze niżej, na poziomie samego osprzętu sieciowego (switche, routery) to wykrycie takiego podsłuchu może być niemożliwe.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.