don_katalan: (Default)
[personal profile] don_katalan
Stanislav Kukareka
Поскольку много еще есть энтузиастов которые вроде как понимают в пропаганде, но намного меньше понимают в сетевых технологиях (и безопасности) хочу немного раскрыть тему. На самом так сказать простом и примитивном уровне.
Бывают сети категории "интранет". Это какая-то сеть из десятков, может быть сотен (и редко - тысяч) компьютеров которая находится под неким централизованным контролем и управлением. То есть где-то там есть "волшебный админ", или несколько админов, но среди всяких "нескольких" там обязательно есть условно "главный". Который царь и бог и воинский начальник, который решает кому куда ходить, чего смотреть и докладает "шефу" про злостных нарушителей. Такие сети создаются например на предприятиях. Они не обязательно должны находиться в одном месте (комнате, здании, городе или даже стране), и могут состоять из многих "расположений", то есть собственно "сетей", это не суть важно. Суть важно что они имеют тот самый централизованный контроль и как правило имеют собственную систему адресации и маршрутизации. Еще одним важным их свойством есть то, что они как правило не обслуживают никакой транзитный трафик. Она не работает в интересах "внешних" клиентов. Это важно.
И там в каких-то "местах соединения" этой самой интрасети с собственно интернетом (которых может быть одно, или несколько) могут стоять (и обычно стоят) какие-то "шлюзы" которые могут в том числе фильтровать трафик. Так или иначе. Способов такой фильтрации есть много всяких разных. Среди которых можно выделить SPI (statefull packet inspection) и DPI (deep packet inspection). Пока запомним эти два названия.
Суть в том что "интернет" как таковой, и "интранет" это на самом деле не одно и то-же, хотя энтузиасты многие их зачастую путают. Интернет собственно - это совсем другая штука, включая туда и сети провайдеров, которые (вместе с клиентами тех провайдеров) тоже неправильно считать такими себе частными случаями "интранетов". Интернет сам по себе (и провайдерские сетки) изначально созданы именно для обработки транзитного трафика. Причем в совершенно других объемах. И они при этом не имеют как таковых "шлюзов", и никакой "фильтрацией трафика" не занимаются по определению. И потому вообще сложилась концепция "net neutrality". То есть кагбэ считается что если владелец (админ) интранета может в принципе делать с трафиком все что угодно (ибо это его на самом деле трафик), то уже провайдер (как часть интернета, а не интранета) такого делать не должен. Дабы не нарушить всякие тонкие материи и прочую тайную магию своим вмешательством, даже если из самых лучших побуждений.
Эту концепцию не мы придумали и не сегодня, ее придумали те самые кто собственно и создал интернет, и которые кстати про него знают намного больше чем все мы вместе взятые. И эти принципы нашли свое отражение в самой технологии работы тех самых провайдеров, и даже создаваемом для них оборудовании. Которое в принципе не предназначено ни для SPI ни уж тем более DPI. Оно не может и даже не должно, там другие задачи и другие механизмы совершенно. И нынешние попытки чего-то там блокировать и цензурировать с помощью DNS и блеклистов, и уж тем более с помощью BGP (а прецеденты уже были) является типичным забиванием гвоздей с помощью мелкоскопа, и принесет самые печальные последствия. Неизбежно. Ибо эти механизмы как раз придуманы для обхода любых возможных препятствий включая физические отказы, и я хочу вам напомнить что интернет изначально придуман для работы даже в условиях ядерной войны...
Оборудования которое способно осуществлять например SPI и уж тем более DPI на скоростях сегодняшних магистральных каналов интернет обеспечивая низкую задержку пакета - просто не существует на рынке, а если и существует то это какая-то экзотика которую делали совершенно не для этого. А если даже делали ее для этого, то нет ее в широком доступе, ибо это игрища спецслужб. И попытки там играть в какие-то колхозы будут во первых страшно дорогими, во вторых - принесут многочисленные грабли, а в третьих серьезно снизят качество услуг. И многие сегодня распространенные сервисы просто не смогут при этом работать в хоть сколь нибудь удовлетворительном качестве. Это технологически невозможно при существующем техническом уровне и хоть сколь нибудь разумном уровне затрат. Это вам к вопросу о миллиардах гривен на которые вам намекали провайдеры, но это я думаю они еще большие были оптимисты. Провайдерское оборудование не предназначено для этого, технологии их работы не предназначены для этого, и сами по себе провайдеры (как явление) не предназначены для этого...
Но технологическая сторона медали - это еще не все. Есть еще аспекты безопасности. В принципе аксиомой есть что? Аксиомой есть то что сломать можно все что угодно, если очень захотеть. Вопрос в том каких это потребует трудозатрат и денег. Так вот, тут очень оно зависит. Там один из принципов защиты - это "капля в море", или там "песчинка в дюне". Для того что бы тебя (конкретно тебя) ломать, так это нужна точка опоры, надо куда упереться рогом. Перехватывать трафик с масштабах интернета - это очень сложное и громоздкое мероприятие, которое просто никак себя не оправдает. И потому что-бы предпринять хоть какую-то реалистичную попытку взлома - сперва тот трафик нужно отфильтровать, сильно снизить его количество. Желательно не до клиента даже, а до конкретной сессии. Вот именно этот процесс и называется SPI. И именно потому провайдеры этого не делают, они принципиально не делают за взломщика самую сложную и трудоемкую часть его работы...
Ибо если они начнут это делать, то перехват уже отфильтрованных клиентских данных (даже внутри самого провайдера) станет задачей вполне тривиальной. Вы на сегодня можете поручиться за ИБ сетей провайдеров инета, за добросовестность его персонала (да и самих его владельцев) и т.д? Что там не коррумпировали младшего админа то ли бандиты (шоб взломать Приват24) то ли ФСБ шоб угнать у Геращенко его фейсбук-страницу? Не можете. И обеспечение должной безопасности всего этого хозяйства (включая кадровые и организационные аспекты) это гиперзадача. Я вовсе не уверен что государство может с ней справится даже в рамках своих собственных, чисто государственных сетей, включая НБУ, Минобороны и прочее такое. Ломают даже Пентагон, и шпионов туда внедряют. Сейчас в том фишка что даже сам провайдер (сколь нибудь крупный) и его персонал даже при наличии горячего желания просто не имеет технической возможности эффективно фильтровать пользовательский трафик, и потому требования к их ИБ довольно невысокие. Но если он такую возможность таки получит, то возникнут и сопутствующие проблемы.
Если на сегодняшний день провайдер осуществляет хотя-бы SPI (не говоря про DPI) то это очень толстый намек на возможность утечки данных и существовании угроз ИБ. А сам этот факт легко и просто устанавливается лишь по наличию профильного оборудования. Если провайдер делает такое, то его можно уже смело волочь в тюрьму, или как минимум отказываться от его услуг. Но если вы хотите их всех заставить это делать (без чего немыслима ниакая "эффективная фильтрация") то что вы будете делать потом? Как вы усторожите сторожей, и как будете контролировать распространение той успешно перехваченной информации? Как вы прогарантируете что меня слушает Луценко и только Луценко, но не Путин и не Аль-Каида? Это по сути невозможно будет гарантировать. Человек не расскажет то чего он не знает, но то что он знает - есть 100500 методов из него вытянуть, от подкупа и взлома тихого до терморектального криптоанализа и штурма автоматчиами, и это одна из аксиом информационной безопасности, которую энтузиасты так и не могут осознать.
Ну и третий тут аспект, чисто структурный. Обеспечение хоть сколь нибудь эффективных возможностей контроля трафика по сути означает что? Означает превращение той сети в тот или иной интранет, или другими словами - чебурнет. Интернетом оно уже не будет. Вы не можете контролировать интернет просто по определению, максимум вы можете его уничтожить, и вместо него чебурнет построить. Допустим. Забудем пока про деньги даже, технические сложности, качество услуг и даже про двух майоров которых придется поставить за спину каждому админу, и еще одного капитана уложить ему в постель. Допустим. Но по итогу - чебурнет. А завтра или послезавтра - к власти придет внезапно не Ляшко а Вилкул, или Медведчук. И что тогда? И тогда эта вся безумными средствами, жертвами и усилиями выстроенная система обрушится на ваши головы, на головы тех самых энтузиазистов что сегодня ратуют за усиление контроля. Оно вам надо? Вы головою вообще думаете или просто верите в светлое будущее и пылаете излишним энтузиазмом?
From:
Anonymous (will be screened)
OpenID (will be screened if not validated)
Identity URL: 
User
Account name:
Password:
If you don't have an account you can create one now.
Subject:
HTML doesn't work in the subject.

Message:

If you are unable to use this captcha for any reason, please contact us by email at support@dreamwidth.org


 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

don_katalan: (Default)
don_katalan

August 2017

M T W T F S S
  1 234 5 6
7 8 9 10 11 12 13
14 15 16 17 181920
21222324252627
28293031   

Expand Cut Tags

No cut tags