Предотвращение воровства интернет-трафика через спутник(часть 2)

Продолжение первой части статьи - Подключение к интернет через спутник(часть 1)

Цель данной статьи - показать, как можно защитить своих клиентов от обворовывания или помочь клиентам выбрать провайдера спутникового интернет, который предоставляет защищенное от воровства VPN-подключение.

Для кражи трафика используется следующая технология - находится интернет-провайдер, который не проверяет исходящий от его клиентов трафик на принадлежность к своему пулу IP-адресов, выход в интернет через этого провайдера необходим для организации канала запроса; далее необходимо перевести DVB-модем в режим прослушивания всего трафика спутникового провайдера интернет; потом запускается сниффер и производится поиск клиентов активно качающих днем, но не работающих ночью, результатом этого поиска будет список из нескольких IP-адресов и парных MAC-адресов для них; после того, как потенциальный потерпевший выйдет из сети, вор подменяет свой IP-адрес на тот, что получил при поиске, потом подменяет MAC-адрес DVB-модема на соответствующий адрес, в результате этих действий весь трафик, который уйдет от подставленного IP-адреса вернется на подставленный MAC-адрес через спутник.

Если  в результате этих действий нарушитель будет воровать трафик у подключенного по безлимитному тарифу пользователя, то последний так ничего и не заметит, но скорей всего выбор падет на работающего по на тарифе с помегабайтной оплатой, т.к. на безлимитных тарифах в большинстве случаем режут скорость. В этом случае факт воровства будет замечен рано или поздно, т.к. сворованный трафик попадет в счет, который провайдер спутникового интернет выставить своему настоящему клиенту.

Эта ситуация неприемлема как для клиента, который "попадает" на деньги, так и для провайдера, который может легко потерять клиента.

Одним из эффективных способов защиты от воровства трафика является организация VPN-сервера, выдающего клиенту фейковые IP-адреса, так же такие адреса называются серыми или приватными, например из подсети: 192.168.0.0/24 или 10.0.0.0/8(макси подсети приведены в формате, принятом в FreeBSD и Cisco). Самым простым способом выпустить в интернет трафик,идущий с эти адресов(т.е .от клиента), это NAT - преобразование фейковых адресов в реальный, но в этом случае получится аналог подключения через прокси-сервер, т.к. у все клиенты конкретного спутникового интернет провайдера будут выходить в интернет с одного реального IP-адреса, что допустимо для частных пользователей, но неприемлемо для организаций, которым нужен выделенный только им реальный IP-адрес. Для реализации подобного функционала используется механизм сценариев,который имеется как у серверной части OpenVPN, так и у PPTP. В основу ложиться следующий принцип - после подключения клиента к VPN-серверу, ему выдается фейковый IP-адрес и на стороне сервера создается трансляция(NAT) закрепленного за клиентам фейкового IP-адреса в так же закрепленного за ним реально адреса, например 10.0.1.30 -> 123.20.1.30. Это достигается за счет запуска скриптов сценарием последующее за установкой VPN-соединения. После разрыва VPN-соединения как по явному желанию пользователя, так и при разрыве связи на канале запроса, происходит выполнение сценария дисконнекта, при котором удаляется ранее созданная трансляция из настроек межсетевого экрана. При таком способе организации VPN через спутник будут проходить только фейковые адреса и потенциальный нарушитель не сможет подключится вместо реального клиента, т.к. эти адреса не маршрутизируются и пакеты не уйдут дальше первого маршрутизатора. Можно конечно изловчится и угадать реальный IP-адрес, который спутниковый провайдер выдает конкретному клиенту, но при правильной настройке VPN-сервера это так же ничего не даст.

У данной реализации защищенного VPN-сервиса есть еще один значимый для клиентов плюс - отсутствие паразитного трафика, который всегда присутствует у клиентов,подключенных к провайдеру спутникового интернет любым способом, при котором клиенту выделяется персональный реальный IP-адрес. Паразитный трафик в большинстве случаев вызван деятельность сетевых червей и ботов, сканирующих интернет в поисках дырявого сайта, сервера или персонального компьютера.Суть в том, что при обычном VPN-соединении спутниковый провайдер прописывает на своем оборудовании маршрутизацию всех IP-адресов из пула VPN-адресов на спутник, в не зависимости установил клиент с ним VPN-соединение или нет.

Основное отличие от схемы в первой части статьи, это наличие NAT(желтый квадрат) и соответствующего возврата интернет-трафика, идущего к клиенту(красные линии) в VPN-сервер.