Новые возможности СКАТ: SNI, BRAS, CG-NAT

СКАТ 5.3

Развитие платформы СКАТ не стоит на месте, мы ежедневно делаем ее лучше! Благодаря отзывам наших клиентов мы устраняем ошибки и оптимизируем работу программного обеспечения, а также добавляем новые функции к обширному списку уже реализованных.

Некоторые нововведения продиктованы изменениями в российском законодательстве, а некоторые – сложной ситуацией на рынке. Рост курсов валют за последние годы неизбежно привел к повышению цен на импортное оборудование. На наши разработки это оказало лишь косвенное воздействие, ведь мы – отечественная компания и от импорта не зависим, а вот нашим клиентам – операторам связи – приходится экономить на сложных системах, тратя больше денег на устройства первой необходимости (коммутаторы, маршрутизаторы и т. п.).

Поэтому мы стараемся создать на нашей платформе СКАТ многофункциональное устройство, которое позволит оператору решать сразу несколько задач.

В ногу с требованиями Роскомнадзора

Начнем с обзора обновлений одной из самых популярных функций СКАТ – фильтрации запрещенных ресурсов по спискам Роскомнадзора.

В связи с утверждением распоряжением Роскомнадзора от 07.07.2016 № 8 «Рекомендаций по ограничению доступа к информации, распространяемой посредством информационно-телекоммуникационной сети «Интернет», в порядке, установленном Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (/wp-content/out?link=https://eais.rkn.gov.ru/docs/Recomendation.pdf), в выгрузке для атрибута blockType реестровой записи добавляется новое значение «domain-mask», указывающее на блокировку реестровой записи по маске доменного имени. При этом значение доменного имени в реестровой записи с блокировкой типа «domain-mask» будет указано с маской в виде «*.domain.com». (По информации с сайта /wp-content/out?link=http://vigruzki.rkn.gov.ru.)

Это означает, что для указанного в списке домена *.domain.com необходимо блокировать все возможные варианты URL адресов, например:

http://www.domain.com

http://subdomain1.domain.com

http://subdomain1.domain.com/subdir/index.php

http://www.domain.com/subdir/index.php

http://www1.www.domain.com/subdir/index.php

В версии ПО СКАТ 5.1 мы учли это требование и обеспечили его полную поддержку. Тем, у кого установлена более ранняя версия ПО, необходимо обновиться до актуальной. Обновление осуществляется бесплатно в рамках действующей технической поддержки.

Роскомнадзор

Теперь СКАТ имеет возможность фильтрации по SNI. Она повышает точность фильтрации для HTTPS-сайтов (при установке на зеркало и «в разрыв»). Ранее, если СКАТ был установлен в зеркальном режиме для фильтрации исходящей составляющей, блокировку можно было производить только по IP. Блокировка по Common Name была возможна только при зеркалировании также и входящей составляющей, что не всегда возможно реализовать и приводило к удорожанию решения.

Поддержка SNI позволяет осуществлять блокировку по домену на зеркале только исходящего трафика. Такой способ повышает точность блокировки, так как блокируется только один домен вместо IP, на котором может быть группа сайтов для CN (в случае систем DDoS-защиты или CDN).

Server Name Indication (SNI) – расширение компьютерного протокола TLS, позволяющее клиентам сообщать имя хоста, с которым он желает соединиться, во время процесса «рукопожатия». Это позволяет серверу предоставлять несколько сертификатов на одном IP-адресе и TCP-порту и, следовательно, работать нескольким безопасным (HTTPS) сайтам (или другим сервисам поверх TLS) на одном IP-адресе без использования одного и того же сертификата на всех сайтах. Это эквивалентно возможностям основанного на имени виртуального хостинга из HTTP/1.1, но для HTTPS. Запрашиваемое имя хоста не шифруется.

Вторым преимуществом поддержки SNI является возможность блокировки рекламы для HTTPS-ресурсов. Даже если рекламный баннер находится на другом ресурсе, он может быть идентифицирован по SNI и заблокирован или подменен другим. Это позволяет оператору создать тарифный план или опцию, избавляющую пользователя от рекламы, например убрать все объявления на сайте www.youtube.com. Эта замечательная функция доступна в версии СКАТ COMPLETE.

Многофункциональность – СКАТ как BRAS и CGNAT

Уже сейчас есть клиенты, которые используют СКАТ в роли BRAS для создания тарифных планов IPoE. Рассмотрим схему работы СКАТ в таком режиме.

СКАТ в роли BRAS для создания тарифных планов IPoE

Тестовый ПК – это клиент.

VPN-концентратор – отвечает за терминацию и выдачу адреса клиенту.

Radius-сервер – отвечает за хранение данных о пользователе и аутентификацию.

Монитор событий Radius – слушает Radius-трафик и передает его в СКАТ.

Первоначально в СКАТ выгружается информация из биллинга с данными о пользователях, а также соответствие тарифного плана и логина абонента. Но так как СКАТ работает только с IP-адресами, применяя к ним настройки политик и дополнительные услуги, то необходимо получить IP-адрес для клиента и привязать к нему тарифный план.

После того как клиент вошел в сеть и получил адрес, он проходит авторизацию на Radius-сервере, монитор событий Radius прослушивает данный трафик и передает в СКАТ информацию о выданном IP для конкретного логина. Теперь СКАТ знает, для какого адреса надо применять необходимые политики, и осуществляет функцию BRAS. Эта схема реализуется при использовании динамических адресов, для статичных адресов получать соответствие с логином не нужно.

Но на этом развитие BRAS в СКАТ не останавливается, в наших планах на ближайшее время сделать эту функцию доступной не только для интернет-провайдеров, но и для операторов мобильной связи, то есть обеспечить соответствие стандартам 3GPP.

Открытые стандарты 3GPP описывают узлы сети связи, интерфейсы взаимодействия между ними и дают рекомендации, какие протоколы использовать в качестве этих интерфейсов. Эта логика позволяет по мере развития протоколов изменять рекомендации, но архитектуру сети оставлять без изменения.

До конца 2016 года мы обеспечим работу СКАТ на уровне L3 и он получит две основные функции PCC (Policy and Charging Control) – PCRF и PCEF. Подробнее о них можно прочитать в нашей статье про состав системы DPI.

BRAS СКАТ PCEF

PCRF в данном случае является развитием Radius-монитора с новыми возможностями получения данных об абоненте:

  • авторизация IPoE сессий на Radius;
  • назначение и изменение политик (тарифного плана и дополнительных услуг) через VSA (Vendor Specific Atribute) в процессе авторизации на Radius и через CoA (Change of Authorization);
  • переключение в Captive Portal (блокировки) по событию Radius Disconnect.

На первом этапе СКАТ будет объединять в одном устройстве обе функции (PCRF и PCEF), в дальнейшем PCRF станет отдельным устройством, взаимодействующим с биллингом, radius-сервером и управляющим СКАТ (PCEF).

В 2017 году мы продолжим развивать сервер политик PCRF, который получит функции квотирования трафика и задания интервалов действия тарифа (день-ночь).

Работа BRAS на уровне L2 (получение оригинального MAC пользователя) позволит реализовать IPoE- и PPPoE-технологии, DHCP relay (выдача IP-адресов) и антиспуффинг (борьба с нелегальными подключениями).

В 2016 году мы анонсировали функцию CG-NAT и до настоящего времени занимаемся ее развитием и оптимизацией, что позволит полноценно использовать ее операторам связи.

Сейчас СКАТ поддерживает следующие функции:

  • CG-NAT – трансляция сетевых адресов и портов позволяет совместно использовать публичный IPv4-адрес несколькими абонентами и продлевает использование ограниченного адресного пространства IPv4.
  • RFC – соответствует отраслевым стандартам, закрепленным в RFC 6888, RFC 4787.
  • Full Cone – обеспечивает прозрачную работу пиринговых протоколов (торренты, игры).
  • Paired IP address pooling – сессии абонента привязываются к единому для абонента внешнему IP-адресу.
  • Hairpinning – абоненты внутри NAT взаимодействуют друг с другом без трансляции адресов.
  • Лимиты – для каждого пула IP-адресов индивидуально устанавливается лимит на количество TCP- и UDP-соединений для абонента, что позволяет оператору экономно распределять ресурсы адресного пространства между корпоративными и частными клиентами. При отсутствии активности неиспользуемые соединения закрываются, высвобождая порты.
  • Журналирование трансляций – сетевые трансляции записываются в текстовый файл или передаются на внешний коллектор по протоколу IPFIX (известному также как NetFlow v10).

Обращаем внимание, что при использовании функции CG-NAT крайне рекомендуем использовать резервный СКАТ, что позволит в случае выхода из строя основного (или перехода его в режим bypass) продолжать трансляцию серых адресов в публичные белые.

СКАТ резерв

В 2017 году мы продолжим развивать NAT, а именно NAT 1:1 (трансляция определенного внешнего адреса на определенный внутренний) и DNAT (динамическая трансляция адресов). Подробнее о NAT и CG-NAT вы можете прочитать в статьях на нашем блоге.

Это далеко не все новинки, которые ожидают наших клиентов в ближайшем будущем, узнать больше вы сможете, обратившись к специалистам VAS Experts или задав вопросы в комментариях к статьям в блоге.

Подписывайтесь на рассылку новостей блога, чтобы не пропустить новые материалы.

Поделиться в социальных сетях