Кібербезпека: освіта, наука, техніка (Dec 2020)
МЕТОД ЗАХИСТУ ТРАФІКУ ВІД ВТРУЧАННЯ DPI СИСТЕМ НА БАЗІ ВИКОРИСТАННЯ DOH ТА DOT ПРОТОКОЛІВ
Abstract
Дана стаття присвячена розгляду подальших шляхів забезпечення захисту трафіку від втручання DPI систем. У статті досліджено можливості використання мережевих протоколів та застосування DPI систем. Проведений аналіз проблеми дав змогу визначити вразливі місцями протоколу DNS, який базується на протоколі UDP. Цими вразливими місцями є - спуфінг, перехоплення та переприв’язування трафіку. Також на підставі проведеного аналізу методів захисту DNS трафіку від втручання, авторами обґрунтовано та визначено наступне: 1) усі DNS запити передаються у відкритому вигляді; 2) існуючі підходи забезпечення захисту трафіку не використовують шифрування та, в наслідок чого, не забезпечують конфіденційність інформації; 3) відбувається лише підтвердження автентичності записів. Авторами було сформовано зведену таблицю, в якій визначено надійні методи захисту DNS трафіку. Автори пропонують розробку повноцінного локального проксуючого серверу для забезпечення DNS трафіку, який може звертатися до довірених публічних DNS резолверів за допомогою протоколів doh та dot. Для розуміння принципів взаємодії протоколів було розгорнуто власну локальну реалізацію основних компонентів мережі, з якими найчастіше мають справу користувачі мережі, а саме: 1) веб сервер; 2) DNS сервер; 3) сервер забезпечення криптографічного захисту та приховування відкритих запитів. Практична цінність отриманих результатів полягає у програмній реалізації методів захисту трафіку від втручання DPI систем у середовищі Visual Studio Code за рахунок використання мови програмування Python 3.8, що дає змогу забезпечити криптографічний захист трафіку. Запропоноване рішення локального проксуючого серверу може удосконалюватись в майбутньому за рахунок впровадження локального кешування з додаванням можливості створення правил для певних доменів та їх під доменів. Реалізований тестовий doh сервер може бути розгорнуто на довіреному виділеному сервері за межами можливих точок встановлення фільтруючого обладнання. Така реалізація дасть змогу повністю контролювати власний трафік для резолвінгу доменних імен. Авторами в подальшому планується ряд науково технічних рішень розробки та впровадження ефективних методів, засобів забезпечення вимог, принципів та підходів забезпечення кібернетичної безпеки та організації захисту трафіку від втручання DPI систем в дослідних комп’ютерних системах та мережах.
Keywords