EcoDPI Teracluster — программно-аппаратный комплекс, предназначенный для распознавания и глубокого анализа трафика
С 1 ноября 2019 года вступает в силу закон об изоляции рунета. Роскомнадзор и операторы связи продолжают тестирование оборудования, которое позволит изменить маршрутизацию трафика и отфильтровать нежелательный контент.
Тестирование проводится в обстановке повышенной секретности. Роскомнадзор не рассказывает, какое конкретно оборудование проверяют, где проходят эксперименты, кто основные подрядчики и выгодополучатели. Издание РБК провело расследование и узнало ответы на некоторые из этих вопросов.
Для первых испытаний универсальной системы фильтрации трафика (DPI) выбран Уральский федеральный округ. Территория: 10,6% от РФ, население: 12,4 млн человек. Крупнейшие города: Екатеринбург, Челябинск, Магнитогорск, Тюмень. Специалисты предупреждают, что жители этого региона могут испытать трудности с работой некоторых интернет-сервисов. «Тестирование проводится в основном на сетях фиксированной связи, то есть затрагивает пользователей домашнего интернета. Подвижную связь, то есть мобильный интернет, пока не особо трогают», — сказал один из источников РБК.
DPI работает не круглосуточно. Его ненадолго включают, смотрят на результат, потом выключают. Операторы стараются, чтобы тесты проходили незаметно для абонентов, но небольшие сбои всё равно случаются.
Рашид Исмаилов
Для внедрения DPI у операторов создана специальная компания «Данные — центр обработки и автоматизации» (ДЦОА), которую возглавил бывший директор Nokia в России и бывший заместитель министра связи Рашид Исмаилов.
«В рамках пилотного проекта ГРЧЦ (ФГУП «Главный радиочастотный центр», находится в ведении Роскомнадзора) планирует до конца 2019 года полностью покрыть системами DPI весь Уральский федеральный округ. Интегратором назначена ДЦОА — она занимается поставкой и внедрением DPI на сетях всех операторов, оборудование разработано компанией РДП.РУ», — рассказал РБК топ-менеджер одного из операторов связи. Информацию подтвердил второй собеседник, участвующий в пилотном тестировании.
Компания зарегистрирована в ноябре 2018 года. Основным видом деятельности в реестре СПАРК указана разработка компьютерного программного обеспечения. Гендиректор — Исмаилов Рашид Рустам Оглы.
Согласно данным СПАРК, до него компанию три месяца возглавлял Павел Никитин — действующий гендиректор «МФИ Софт», крупнейшего производителя систем СОРМ, которая входит в холдинг предпринимателя Антона Черепенникова. Как сказали источники, его сотрудники «участвуют в пилотном проекте и курируют внедрение систем».
Антон Черепинников
Антон Черепинников — в прошлом профессиональный киберспортсмен и киберспортивный функционер, многолетний владелец киберспортивного клуба Virtus.pro и основатель киберспортивного холдинга Esforce. Затем основал структуру «ИКС Холдинг», которая занимается внедрением решений СОРМ и DPI.
Как ранее сообщал РБК, Антон Черепенников в последние годы активно инвестировал в ключевые компании на рынке СОРМ, выкупал их у других игроков. Сейчас пришло время возвращать инвестиции, поскольку государство не жалеет денег на реализацию этих проектов.
В прошлом году Роскомнадзор начал тестирование систем DPI от разных производителей, чтобы выбрать оборудование под закон о «суверенном рунете». Тогда структура Черепенникова купила 80% участвовавшего в тестировании производителя DPI «АДМ Системы». По итогам эксперимента Роскомнадзор выбрал разработку компании RDP.RU. Трое опрошенных РБК представителей операторов связи утверждают, что «АДМ Системы» сейчас дорабатывают свою DPI под требования Роскомнадзора и она может быть использована позднее.
Оборудование от RDP.RU
Из-за секретности Роскомнадзора пока точно не известно, какое конкретно оборудование поставляется для «суверенного рунета», но можно сделать предположения исходя из ассортимента продукции RDP.RU.
Компания Research & Development Partners (RDP.RU) создана в 2010 году в составе группы компаний «Экотелеком» в качестве подразделения, специализирующегося на разработке сетевых решений для операторов связи и предприятий на базе commodity-платформ (x86).
Она специализируется на разработке программного обеспечения и программно-аппаратных комплексов для высокопроизводительной обработки сетевого трафика. Продукция компании широко используется в сетях операторов.
Краткая история компании. С 2013 года компания вышла на российский рынок с продуктом EcoNAT, начались продажи альтернативным операторам связи. В июле 2014 года начаты продажи EcoBRAS и Eco3in1, а EcoNAT стали оптимизировать под технические требования «Ростелекома». В марте 2015 года стартовал масштабный проект по разработке EcoRouter. В ноябре 2015 года RDP.RU одержало победу в крупном конкурсе ПАО «Ростелеком» на поставку комплексов CG-NAT для сети IP/MPLS, хотя в конкурсе участвовали все ведущие мировые вендоры. Итогом стало заключение контракта на поставку CG-NAT на 70% сети «Ростелекома». В ноябре 2016 года ПАО «Ростелеком» вошло в капитал RDP.RU.
EcoRouter
В декабре 2016 года вышла первая версия маршрутизатора EcoRouter — первого в РФ широкополосного универсального IP/MPLS-маршрутизатора отечественной разработки.
В июле 2017 года компания RDP.RU объявила об успешном завершении процедуры сертификации по ФСТЭК EcoRouterOS — операционной системы для маршрутизаторов серии ER EcoRouter. Таким образом, продукт официально признан пригодным для работы с конфиденциальной информацией.
EcoFilter
В октябре 2017 года эксперты Роскомнадзора протестировали EcoFilter — специализированный программно-аппаратный комплекс для URL-фильтрации сетевого трафика. Анализ показал, что устройство полностью решает задачу по выявлению и блокировке запрещённого трафика.
Платформа EcoSGE
Service Gateway Engine — универсальная сервисная платформа для операторов связи. Обеспечивает следующую функциональность:
- CG-NAT с СОРМ логгированием через Syslog и Netflow v9;
- BRAS – Services Gateway для ограничения абонентам скорости доступа и отключения неплательщиков;
- URL-Filtering. Фильтрация запрещённых сайтов по реестрам Роскомнадзора (РКН), Минюста, а также нежелательных сайтов по реестру ЦАИР и пользовательским спискам;
- Quality of Experience. Программный компонент, поддерживаемый платформами EcoSGE и EcoDPI.
«Решение EcoSGE представляет собой прозрачный L2 мост, — сказано в описании. — Обработке подвергаются только не тегированные кадры. Фреймы, тегированные 802.1Q пропускаются прозрачно. Все порты 10G для абонентского трафика делятся на пары: Inside (LAN) и Outside (WAN). Каждая пара портов LAN+WAN – это псевдо-провод: пакеты, пришедшие на LAN-1 передаются на WAN-1, пришедшие на WAN-3 — передаются на LAN-3 и так далее. Передача пакетов между разными парами не происходит. При этом все структуры данных – таблица трансляций, сессий и пр. — общие для всего устройства. Поскольку устройство является мостом, оно включается между двумя маршрутизаторами (PE и Core) или между двумя VRF одного маршрутизатора. Все или несколько LAN портов могут быть объединены в LAG (на базе LACP) на маршрутизаторе, аналогично – для WAN портов. EcoNATDPI прозрачно пропускает кадры ARP, IP-Multicast, сервисный трафик LACP и другие кадры Ethernet, в которые не инкапсулированы IP-пакеты».
См. также презентацию RDP.RU по внедрению DPI в сетях операторов связи.
Производитель предлагает операторам вести лог посещённых URL для каждого абонента — и монетизировать эту информацию.
На случай, если клиент посетил сайт конкурента, предусмотрены меры экстренного реагирования.
Платформа EcoDPI
Сейчас оборудование RDP.RU устанавливают на сетях всех крупнейших операторов связи в Уральском федеральном округе. «Насколько нам известно, это решение под названием EcoNATDPI, которое позволяет и фильтровать трафик, и решать вопрос с нехваткой IPv4-адресов», — сказал собеседник РБК. Оборудование уже стоит в Екатеринбурге, сейчас его устанавливают в Челябинске, Тюмени, Магнитогорске и других городах. В тестировании участвуют «Ростелеком», МТС, «МегаФон», «Вымпелком», «ЭР-Телеком Холдинг», «Екатеринбург-2000» (бренд «Мотив»).
Технический комплекс по распознаванию и детальному анализу трафика (EcoDPI) состоит из следующих компонентов:
- подсистема EcoDPI Bypass из одного или нескольких устройств EcoDPI Bypass;
- подсистема EcoDPI Balancer из одного или нескольких устройств EcoDPI Balancer;
- подсистема EcoDPI Unit из одного или нескольких устройств EcoDPI Unit;
- Cluster element Management System (EcoDPI CeMS) — система управления кластером;
- подсистема EcoDPI Collector.
EcoDPI Teracluster — программно-аппаратный комплекс, предназначенный для распознавания и глубокого анализа трафика на высоконагруженных участках крупных магистральных сетей операторов связи, контент-провайдеров и компаний уровня Enterprise. По заявлению производителя, это первый в России отказоустойчивый мультитерабитный DPI-кластер, масштабируемый до 40 Тбит/c на узел.
Система DPI (Deep Packet Inspection) работает на различных уровнях модели OSI (от второго до седьмого) по протоколам, приложениям, сервисам, включая multicast и служебные протоколы.
Платформа позволяет просмотреть статистику по всем видам трафика и блокировать некоторые из них. Например, трафик YouTube или BitTorrent. Очевидно, Роскомнадзор в первую очередь интересует техническая возможность блокировки трафика Telegram.
Логи DPI. Используемые игровые или другие сервисы, например, World of Tanks
Логи DPI. Топ автономных систем
Интересно, что этим оборудованием заинтересовались покупатели из Ирана и Алжира, которые тоже нуждаются в фильтрации нежелательного трафика. Новинка была представлена на Всемирном мобильном конгрессе в Шанхае в 2017 году. Российскую делегацию на конференции тогда возглавлял заместитель министра связи Рашид Исмаилов.
Согласно данным программы «Цифровая экономика», расходы на реализацию закона о суверенном рунете запланированы в размере более 30 млрд руб., из которых 20,8 млрд руб. должно пойти на закупку оборудования.
Пилотный проект по переводу всего Уральского федерального округа на DPI будет завершён к концу года, после этого начнётся развёртывание системы в других регионах. «После сдачи пилота будут оценивать, насколько «токсичным» он был для пользователей, то есть влиял ли на сервис, а также было ли заблокировано всё из реестра запрещённых сайтов Роскомнадзора и не заблокировали ли что-то лишнее», — сказал участник пилота на Урале.