Интеллект - в массы
АрхивНаша страна, похоже, становится единственным (или, по крайней мере, одним из немногих) островком в Сети, где безраздельно господствует учет трафика широкополосных соединений, а так называемые плоские тарифные планы если и предоставляются, то лишь ограниченному кругу абонентов и очень немногими операторами.
Наша страна, похоже, становится единственным (или, по крайней мере, одним из немногих) островком в Сети, где безраздельно господствует учет трафика широкополосных соединений, а так называемые плоские тарифные планы если и предоставляются, то лишь ограниченному кругу абонентов и очень немногими операторами.
Учет трафика, безусловно, полезен и необходим при технологических, и притом весьма серьезных, ограничениях пропускной способности Интернет-доступа — как, например, в сетях сотовых операторов, но выглядит довольно странно, если не сказать анахронично, в широкополосных сетях. Здесь это скорее атавизм, имеющий лишь опосредованное отношение к сетевым реалиям сегодняшнего дня. Особенно (как, например, в нашей стране) когда стоимость трафика искусственно завышена, а пропускная способность каналов используется лишь на малую толику: то есть в меру платежеспособного спроса.
Риски, связанные с широкополосным доступом, в этих случаях растут несоразмерно. Причем чем выше пропускная способность Интернет-каналов на всей цепочке от глобального Интернета до абонента и чем больше число устройств1, подключенных к Сети широкополосными каналами, тем выше риски и неприятнее (быть может, даже неодолимее) возможные последствия.
В случае плоских тарифных планов риски, связанные с нежелательными и непредсказуемыми проявлениями Интернет-активности, берет на себя оператор, главная задача которого — поддержание работоспособности сети и предоставление необходимых услуг и классов обслуживания, а также поддержание соответствующих тарифных планов.
При учете трафика риски приходятся в первую очередь, а зачастую — и в последнюю, на конечного пользователя и операторов нижних уровней. Повсеместно распространенная практика предоставления широкополосного доступа на кредитной основе, когда абонент (или оператор) осуществляет предоплату только части трафика, включенной в абонплату, делает эти риски, по существу, неограниченными. Вернее, ограниченными лишь пропускной способностью соединений.
Самый естественный путь снижения рисков — снижение скорости абонентских подключений до уровня, приемлемого для комфортной работы в Интернете или ограничение ежедневного объема трафика (в том числе — прогрессивным ограничением пропускной способности канала), — пока, увы, не получил распространения, в том числе из-за относительной трудности реализации в городских Ethernet-сетях и вполне объяснимого желания оператора продать абоненту максимально возможный объем трафика.
Задача минимизации рисков, таким образом, ложится на абонента. Казалось бы, он может осуществлять мониторинг соединения с помощью биллинговой системы оператора. Но, к сожалению, далеко не все операторы городских сетей имеют онлайновые биллинговые системы, и тем более — системы, отражающие результат работы в реальном времени. До обновления данных может пройти один-два дня (что зачастую объясняется возросшим трафиком и трудностями его обсчета в связи с распространением вирусов), а сами результаты могут быть объявлены оператором промежуточными и ошибочными. Сбой системы — и только.
То есть необходим собственный (на стороне абонента) комплекс мер, позволяющий осуществлять мониторинг трафика, определять возможные атаки и их источники и защищать компьютер от вторжений извне и просто от нежелательной Интернет-активности.
К сожалению, комплексного, «в одном флаконе», решения проблемы минимизации рисков пока не существует2.
Метром по байту
Основной элемент такого конструктора — программа для постоянного мониторинга трафика. На мой взгляд, одна из лучших программ этого типа — Tmeter, разработанная Алексеем Казаковским (www.tmeter.ru). С появлением четвертой версии она стала распределенной и теперь состоит из мониторов сетевого трафика, которые могут одновременно собирать статистику — каждый на своем компьютере, и консоли управления, позволяющей получить удаленный паролируемый доступ к статистике на любом из компьютеров, где установлен монитор Tmeter.
Программа позволяет вести учет трафика любого локального хоста по любому IP-протоколу (TCP/UDP порту) и предоставлять результаты в реальном масштабе времени, по разным фильтрам (правилам) и в графическом виде. Она осуществляет автоматическое ежедневное и/или ежемесячное формирование отчетов по счетчикам и протоколирование подсчитанных пакетов в файл или базу данных.
Бесплатная версия Tmeter позволяет настроить и использовать не более трех фильтров (впрочем, это не мешает использовать ее с некоторыми ухищрениями, описанными в руководстве, в сетях небольших провайдеров).
В декабре прошлого года, начиная с версии 4.3.167, в программу добавлена возможность протоколирования хостов HTTP в файл или в базу данных. Это позволяет записывать названия web-серверов, к которым (или с которых) производились HTTP-запросы, и, в частности, определять источники нежелательной Интернет-активности.
Случай из практики: резкое ухудшение скорости работы Интернета заставило заподозрить неладное. Экспресс-анализ (рис. 1) позволил установить, что по Интернет-каналу передается постоянный поток данных. При этом все страницы загружены, а почта получена. То есть, казалось бы, Интернет-активности нет. А она — есть, и даже очень «ест».
Журнал хостов3 позволил установить, что по каналу идет постоянный обмен данными с корейским сайтом www.hankooki.com (выловленным во время одного из поисков в Google) со средней скоростью около 200 Кбайт/мин. За час поддержания страницы в открытом состоянии — около 10 Мбайт. Осталось добавить, что по расценкам моего провайдера мегабайт зарубежного трафика стоит около 17 центов, а интерфейс браузера Opera располагает к сохранению открытыми множества страничек.
Интересно, что поведение широкополосного канала больше зависело не от типа соединения, а от типа браузера. На рис. 2 — та же операция в городской Ethernet-сети. Пара «браузер Opera — www.hankooki.com» по-прежнему генерирует нескончаемый паразитный трафик на скорости 200–250 Кбайт/мин. Паразитный трафик имеет место и при использовании Internet Explorer, но — заканчивается. При этом загрузка одной — всего одной! — страницы сопровождается передачей 860–1500 Кбайт, а экономическая целесообразность такого широкополосного доступа вызывает большие сомнения — куда дешевле сходить в библиотеку или даже соседний киоск.
Более того, Hankooki даже трудно обвинить в злонамеренности — ведь трафик широкополосных соединений чаще всего бесплатен, оплачивается лишь скорость соединения как более привязанный к экономическим и Интернет-реалиям показатель. Тем более что Hankooki далеко не одинок — к сходным результатам (и 50 мегабайтам непонятно откуда свалившегося трафика) привело октябрьское посещение сайта компании Vonage.
Выводы из этого мини-экскурса просты: на широкополосных каналах следует включать не только кэширование картинок, но и минимизировать число открытых окон и постоянно мониторить соединение с Интернетом. Еще один неприятный для российского пользователя момент: пару лет назад можно было говорить о среднем объеме web-страницы на уровне сотни килобайт. С распространением широкополосного доступа и плоских тарифных планов страницы заметно обогатились графикой, потяжелели, и, при мало изменившейся стоимости трафика, результирующая стоимость широкополосного Интернета возросла4.
Следующий уровень — устранение закладок, или рекламных агентов, собирающих информацию о сетянах. Найти и удалить закладки5 позволяет некоммерческая программа Ad-aware. Для обеспечения полноценной защиты понадобится межсетевой экран. Программные решения подкупают бесплатностью, но… вслед за широкополосным доступом в доме, не говоря уже об офисе, появляются дополнительные компьютеры, встает задача объединения их в сеть, требуется дополнительный коммутатор и постоянно включенная машина, служащая шлюзом в Интернет. Добавим сюда необходимость обновления ПО и латания дыр в защите — в общем, скучно не будет никому.
1 Независимо от класса устройств — абонентских компьютеров, Интернет-серверов, маршрутизаторов, управляемых коммутаторов и даже сетевых холодильников.
2 Ситуация лишь усугубляется «уникальностью» российской практики тарификации широкополосного трафика. На других рынках такие решения не востребованы, а потому не продаются, не покупаются и… не разрабатываются.
3 Неплохим дополнением к журналу может стать Ethereal — бесплатная программа анализа Ethernet-трафика.
4 Две страницы, десять минут и более пятидесяти центов по расценкам моего провайдера — TTK. Дешевле купить «Компьютерру» в киоске.
5 К сожалению, далеко не все. Особенно внимательными следует быть посетителям сайтов определенного содержания.
Агрегат на 100 кВт
У межсетевых экранов появляется еще одна «оборонная» задача — обнаружение вторжений в локальную сеть уже не извне, из «страшной и ужасной» глобальной сети, а из внутренней. Причем это не выдумка, это реальный случай, имевший место в моей квартирной (sic!) сети: вирус был принесен домой вместе с ноутбуком. Сразу после включения компьютера встроенный в маршрутизатор6 межсетевой экран обнаружил, что с ноутбука производится сканирование открытых портов во всем доступном адресном пространстве (последовательным перебором из ряда 192.168.0.1, 0.2 и т. д.), и просто отключил WAN-интерфейс, вернее возможность Интернет-доступа7. Слава богу, просмотр журнала событий маршрутизатора позволил выявить (и подавить) источник заражения.
Даже примитивные межсетевые экраны, встроенные в устройства нижней ценовой категории, могут обнаруживать случаи подстановки IP-адресов (один из способов «воровства» трафика) и атаки класса «отказ в обслуживании» (DoS)8.
К сожалению, обнаружением все, как правило, и заканчивается: данных, протоколированных в журнале событий, чаще всего недостаточно даже для конструктивного разговора с оператором. Жаль, что нет мониторов, позволяющих собирать диагностику с маршрутизаторов с помощью Tmeter. Такая возможность предусмотрена в программе Netup — но это уже полноценная биллинговая система операторского класса со всеми вытекающими — приставленными к ней на постоянной основе сисадминами и ценой.
То есть для полноты картины требуется более развернутая диагностика и, в идеале, несколько интерфейсов управления: один операторский, с дополнительными возможностями управления и мониторинга по защищенному протоколу (например, SSH), и абонентский — по локальной сети, для экспресс-диагностики.
Появление подобных специализированных устройств, в частности, позволило бы оператору ограничивать скорость «прямо на абоненте» (перенося весь интеллект и средства диагностики на периферию сети и максимально используя на магистралях и в ядре сети прекрасно масштабируемые Ethernet-решения) и легко решать проблемы неуправляемого локального трафика, ограничивая нежелательную активность непосредственно на абонентском уровне.
Небольшая цена таких маршрутизаторов (от 50 до 200 долларов, в зависимости от встроенной функциональности и числа и типов локальных сетевых интерфейсов — разница в цене с неуправляемым коммутатором не превышает 30–40 долларов) в принципе позволяет сделать их использование обязательным и даже включать в стоимость контракта на подключение к городской сети.
Дополнительное (и очень важное!) преимущество такого подхода — возможность постоянного мониторинга всей сети и быстрый поиск и обнаружение неисправностей. Не менее важна и потенциальная возможность генерации и поддержания тарифных планов9 (оператором или даже самим абонентом) на абонентских устройствах доступа.
Самое интересное, что все компоненты для таких устройств: аппаратные маршрутизаторы, сетевые процессоры и открытые операционные системы — уже есть.
Некоторые выводы
- До сих пор реальной — и востребованной — альтернативой широкополосному постоянному доступу в Интернет остается в нашей стране коммутируемый доступ. То есть конкурентоспособной альтернативой модемному доступу могут стать плоские тарифные планы начиная, скажем, с гарантированных полнодуплексных 32 кбит/с (более чем достаточных для IP-телефонии). Заметной части абонентов больше и не надо — а вот свободная телефонная линия и время, сэкономленное на дозвоне, нужны;
- неотъемлемой принадлежностью каждого Интернет-подключения — неважно, выделенного, постоянного или коммутируемого, становится программный или аппаратный межсетевой экран. Программный экран (а таковым мы назовем любое устройство, исполняющее наряду с задачами сетевого доступа и пользовательские приложения) не обеспечивает необходимое качество, надежность и средства диагностики. Для полноценной, предсказуемой и удобной реализации сетевого доступа нужны специализированные устройства;
- сотни тысяч пользователей (а по всему миру — миллионы) занимаются совершенно непроизводительным трудом, настраивая, каждый в отдельности, межсетевые экраны и средства безопасности и не обеспечивая, в силу низкой квалификации или просто недостатка времени, должного уровня защиты;
- число так называемых «профилей» пользователей не так велико. Задачи сетевого доступа в общем-то однотипны, и их решение допускает общий, унифицированный и при этом основанный на стандартах и открытом ПО подход;
- лицом, наиболее заинтересованным в обеспечении безопасного сетевого доступа, — более того, лицом, которому все равно приходится решать эти задачи, является оператор Интернета;
- появление унифицированной, пусть даже в пределах сети одного оператора, аппаратной платформы защищенного пользовательского доступа позволит такому оператору предложить абонентам (за отдельные деньги или включив в абонентскую плату) дополнительные услуги по настройке, поддержанию и обновлению ПО и межсетевых экранов, встроенных в маршрутизаторы доступа.
Более того, такая аппаратная платформа предоставляет оператору средства прямого (а не опосредованного) контроля работоспособности и пропускной способности сети и является основой для предоставления наложенных услуг — IP-телефонии, сетевого видео, etc. Заложенные в эту платформу вычислительные возможности можно использовать (централизованно, силами самого оператора) для ограничения скорости абонентских подключений и генерации необходимого числа плоских тарифных планов непосредственно на абонентском оборудовании, снижая нагрузку на городские Ethernet и Интернет-сети и позволяя с минимальными затратами обеспечить высокое качество услуг даже на недорогом сетевом оборудовании (по крайней мере, на уровне агрегации трафика).
6 SMC2804WBR.
7 Интернет, странное дело, по-прежнему пинговался, но ни почта, ни браузер не работали.
8 Цель атаки типа Denial of Service (отказ в обслуживании) состоит в выводе из строя Интернет-сервера путем содания перегрузки на его каналах передачи данных или центральном процессоре.
9 В том числе — привязанных к пропускной способности канала.