Bezpečnostní výzkum  

Přejdi na

Státní služba  


Rychlé linky: Mapa serveru Textová verze Rozšířené vyhledávání


 

Hlavní menu

 

 

Sondy pro analýzu a filtraci provozu na úrovni aplikačních protokolů

STRUČNĚ O PROJEKTU

Název projektu
Sondy pro analýzu a filtraci provozu na úrovni aplikačních protokolů

Bezpečnostní hrozba
Kriminalita

Cíl projektu
Cílem projektu bylo vytvořit pro orgány činné v trestním řízení malé flexibilní síťové sondy umožňující zákonné odposlechy až do úrovně aplikační vrstvy. Pro dosažení požadovaného výkonu byl využit koncept softwarově definovaného monitorování a výkonná výpočetní platforma s FPGA SoC. Sonda umí kromě detailní analýzy a přesné filtrace provozu poskytovat informace o kvalitě měřených dat, identifikovat šifrovaný provoz, poskytovat statistické informace a přizpůsobí sběr dat dostupným hardwarovým zdrojům.

Příjemce
Vysoké učení technické v Brně / Fakulta informačních technologií

Doba realizace
1. 9. 2015 – 31. 5. 2019

Projekt byl podpořen dotací ve výši 21 691 000 Kč.

 

PODROBNĚ O PROJEKTU

Autoři: Výzkumná skupina akcelerovaných síťových technologií FIT VUT v Brně pod vedením doc. Ing. Jana Kořenka, PhD.

Díky rostoucímu významu informačních a komunikačních technologií je potřeba s ohledem na zajištění bezpečnosti státu a jeho obyvatel předcházet kybernetickým hrozbám a kriminalitě. Pro vyšetřovatele je důležité získat ze sítě kvalitní data, ať už pro účely zákonných odposlechů a/nebo pro analýzu veškerého provozu potřebnou zejména pro bezpečnostní složky státu. V obou případech je důležité zachytit data bez jakýchkoliv ztrát nebo v případě řízené ztráty informovat o rozsahu a charakteru ztracených dat.

Projekt mířil do oblasti zákonných odposlechů, které v ČR upravuje §97 zák. 259/2010Sb., který vychází z evropské legislativy a norem ETSI pro zákonné odposlechy, zejména ETSI TR 101 943 a souvisejících. Ty umožňují v definovaných případech provádět odposlechy komunikace podezřelých osob. Výsledky projektu měly mimo jiné poskytnout technické prostředky pro tyto odposlechy, a přitom dodržovat chování specifikované v uvedených dokumentech a aplikovat jejich myšlenky na neustále se vyvíjející používání počítačových sítí.

Jedním z hlavních plánovaných výsledků projektu byl funkční vzorek “Sondy pro zákonné odposlechy na úrovni aplikačních protokolů”. Funkční vzorek zařízení umožňuje efektivně vyfiltrovat a zachytit na plné rychlosti linky komunikaci konkrétního podezřelého. Funkční vzorek je konstruován pro rychlost 1 Gbps, ale navržená technologie má potenciál škálovat výkonnost až do desítek Gb/s. Zájmový síťový provoz je možné specifikovat nejen na základě standardních IP adres (IPv4, IPv6), ale i pomocí L7 identifikátorů aplikačních protokolů (např. emailová adresa). Umožněna je také kombinace IP adres a L7 identifikátorů. Zájmové pakety jsou následně exportovány na ukládací zařízení, např. zabezpečené vzdálené úložiště. Typicky jsou tyto zaznamenané pakety určeny jako důkazní materiál pro trestní činy způsobené pachateli kybernetické kriminality. I proto jsou kladeny na zařízení relativně náročné požadavky, které bylo potřeba při konstrukci funkčního vzorku splnit.

Funkční vzorek zařízení je založeno na speciální hardwarové platformě ZE7000 s výkonným čipem Xilinx Zynq, který obsahuje procesor ARM s programovatelným hradlovým polem (tzv. FPGA). S využitím technologie FPGA a speciálně navrženým firmware pro zákonné odposlechy je možné zpracovat vstupní síťová data na plné rychlosti linky (tzv. wire-speed) a současně zajistit naprosto tajný odposlech komunikace a zachycení zájmového síťového provozu. Díky propracovanému systému filtrace síťových dat umožňuje prototyp identifikovat konkrétní zájmovou komunikaci, přiřadit každému paketu přesnou časovou značku a poskytnout takto získaná data vyšetřovatelům pro další analýzu. Součástí prototypu je uživatelská dokumentace a několik příkladu použití pro jednoduché nasazení.

Sonda1.JPG
     Sonda pro zákonné odposlechy na úrovni aplikačních protokolů

Pro usnadnění nasazení v neznámých sítích také umožňuje funkční vzorek zařízení aktivovat alternativní režim, který zpřístupní statistické informace o síťovém provozu na připojené lince. Tento režim informuje uživatele (vyšetřovatele, apod.) o variabilitě zapouzdření jednotlivých protokolů a poskytuje informace, zda do sondy přichází kompletní síťové toky. Je tak možné ověřit, že sonda je správně připojena do sítě a při aktivaci vybraného záchytu paketů bude úplný i zachycený provoz.

Za vytvoření unikátního zařízení byla autorům výsledku v roce 2018 udělena cena Ministra vnitra: https://www.mvcr.cz/vyzkum/clanek/cena-ministra-vnitra-za-mimoradne-vysledky-v-oblasti-bezpecnostniho-vyzkumu-299037.aspx.

V kvalitě výsledku se promítají dlouholeté zkušenosti týmu v oblasti zpracování síťového provozu a hardwarové akcelerace. Z teoretického hlediska přináší výsledek zcela nový způsob konstrukce zařízení využívající technologii Xilinx Zynq, efektivní rozdělení úlohy mezi hardwarové a softwarové prostředky a v neposlední řadě vysoce výkonnou hardwarovou architekturu pro filtraci síťového provozu. Umožňuje zachytit začátek komunikace i v případě, že L7 identifikátor se nenachází v síťovém toku až po několika paketech. Návrh architektury vychází z technologie publikované v časopisu IEEE Transactions on Networking (Software Defined Monitoring of Application Protocols). Základní hardwarová architektura byla publikována na renomované konferenci ACM/IEEE ANCS (Network monitoring probe based on Xilinx Zynq).


Vytvořený funkční vzorek “Sondy pro zákonné odposlechy na úrovni aplikačních protokolů“ disponuje řadou unikátních vlastností, mezi které patří:

  • naprosto tajný odposlech konkrétní internetové komunikace,
  • možnost bezeztrátového fungování na plné rychlosti linky,
  • exaktní označení komunikace přidáváním přesných časových značek,
  • filtraci až na úrovni aplikačních protokolů,
  • záchyt kompletního spojení i v případě, že se L7 identifikátor odposlouchávaného nachází až po několika paketech síťového toku,
  • komplexní přehled o stavu linky apod.

Mezi další výsledky projektu patří:

  • Knihovna softwarových modulů a firmware SDM pro filtraci síťového provozu na úrovni aplikačních protokolů pomocí FPGA SoC (software) - software a firmware, který umožňuje zpracování síťového provozu až do úrovně aplikačních protokolů s využitím hardwarové akcelerace.
  • Hardwarová platforma pro vestavěná síťová zařízení s rychlostí linek 10 Gb/s (funkční vzorek) - hardwarová karta využívající výkonné FPGA SoC pro zpracování síťového provozu na rychlosti desítek Gb za sekundu.
  • Knihovna akceleračních modulů pro analýzu aplikačních protokolů v FPGA (software) - sada firmwarových komponent pro technologii FPGA, která umožňuje rychlé zpracování síťového provozu. Komponenty řeší úlohu analýzy a filtrace paketů a hledání řetězců popsaných regulárními výrazy.  
     

Policejní a jiné bezpečnostní složky státu využívají Sondy pro zákonné odposlechy na úrovni aplikačních protokol pro tzv. zákonné odposlechy internetové komunikace jako nástroj využívaný při boji s kybernetickou kriminalitou. Ostatní výsledky byly nabídnuty komerčním firmám, které se zabývají oblastí monitorování a bezpečnosti počítačových sítí. Nad většinou výsledků projektu také probíhá další výzkum a vývoj.

Sonda2.JPG

       Schématické znázornění nasazení sondy

vytisknout  e-mailem