30.10.2007

Фильтрация трафика пользователей как новая услуга ISP

T-Comm №7-8, 2007, Владимир Бычек
Предпосылки появления

Тенденция к непрерывному уменьшению стоимости Интернет-трафика стала причиной увеличения количества пользователей Интернет, приобретающих подписку на безлимитные тарифы доступа к всемирной паутине. В свою очередь, получив неограниченный доступ, среднестатистический пользователь стал чувствовать себя в Интернете гораздо спокойнее и увереннее. География веб-серфинга значительно расширилась, многие открыли для себя прелести потокового видео (самого разнообразного содержания), файлообменных сетей, блогов, недорогих и качественных сервисов связи, услуг Интернет-расчётов, публичной почты и пр. При этом упомянутый среднестатистический пользователь, как правило, совершенно не подготовлен к тем неприятностям, которые являются обратной стороной удобства и доступности. А именно сетевым червям, троянам, разнообразному шпионскому программному обеспечению - всему тому, что мы называем вредоносным кодом. На широкополосном доступе заражение происходит практически моментально и последствия его могут быть самыми печальными, в частности, к ним относятся:

  • выход компьютера из строя или значительное замедление его работы;
  • вынужденное блокирование адреса компьютера пользователя со стороны оператора в случае, если бот, установленный на  компьютере, начинает массовую рассылку спама или включается в DDos атаку  (некоторые операторы могут в ряде случаев отслеживать подобную активность);
  • потеря персональной информации (номеров кредитных карт, например) и многое другое.

Как правило, инфицирование компьютеров происходит при посещении сайтов сомнительного содержания (чаще всего порно, warez и др.) и это тоже проблема, поскольку подавляющее большинство родителей все еще озабочены воспитанием своих детей и хотели бы оградить их от так называемого нежелательного контента, которого в Интернет, к сожалению, предостаточно. Для оператора заражение компьютеров пользователей вредоносным кодом, особенно принимающее массовый характер, также факт весьма неприятный. Пользователь, получивший "сюрприз" из сети Интернет, склонен винить в этом оператора (и не без оснований, замечу). Он требует, как правило, немедленного принятия мер, "нагружая" службу технической поддержки. Не получив должной помощи, пользователь может в большинстве случаев без проблем уйти к другому оператору, благо предложений предостаточно.

Долгое время эта горькая пилюля для оператора в изрядной степени подслащивалась тем, что пользователь оплачивал весь трафик – и свой, и паразитный (являющийся прямым следствием активности вредоносного ПО). На сегодня в силу указанных выше причин, таких пользователей все меньше. Те же пользователи, которые вынуждены использовать тарифы с предоплаченным трафиком по причине отсутствия вблизи их офисов операторов, обеспечивающих подключение по проводу (например, спутниковый Интернет, либо Интернет по GPRS или CDMA), не очень спешат оплачивать паразитный трафик в силу относительно высокой стоимости мегабайта и в ряде случаев предпочитают судиться с оператором c очень высокой вероятностью выиграть процесс.

Что делать

Для многих ответ очевиден – воспользоваться одним из персональных средств защиты, широко представленных на отечественном рынке. Действительно, правильно установленный и сконфигурированный персональный комплект программного обеспечения, включающий в себя антивирус, средство борьбы со шпионским ПО и руткитами, антиспам, персональный межсетевой экран и средство обеспечения "родительского контроля" в состоянии надежно защитить компьютер пользователя от всех современных угроз. Но только при выполнении нескольких "простых" условий:

  • пользователь обладает нужными знаниями и квалификацией для того, чтобы аккуратно и вдумчиво выполнить все необходимые настройки;
  • пользователь аккуратно и непрерывно будет поддерживать актуальность всех баз, необходимых для работы комплекта средств защиты;
  • пользователь будет тщательно разбираться с каждым запросом межсетевого экрана и, возможно, других компонентов комплекта средств защиты, и только после этого запрещать или разрешать соединение, инициированное его компьютером или какое либо действие средства защиты;
  • пользователь с пониманием отнесется к временным задержкам, во время которых средства защиты из комплекта будут выполнять свою работу.

Много ли найдется таких пользователей? Полагаю – нет. При этом комплект персональных средств защиты стоит денег, и денег относительно немалых.

Должен быть другой способ, максимально прозрачный для пользователя и при этом обеспечивающий максимально надежную защиту. И такой способ есть. Он заключается в том, что защиту пользователя от угроз Интернет берет на себя оператор, обеспечивающих услугу подключения. Берет, разумеется, не бесплатно, но при этом в выигрыше оказываются все. Пользователь получает реальную защиту, которая при этом его не обременяет, а оператор увеличивает ARPU за счет предоставления новой услуги, кстати сказать, весьма востребованной на Западе.

Проблемы и решения

После того, как мы определились с вопросом "что делать", пришло время разобраться с вопросами какими средствами и каким образом. Далеко не все контентные фильтры, представленные на рынке, обладают достаточной функциональностью, производительностью и масштабируемостью для того, чтобы дать оператору решение, опираясь на которое он сможет предоставить пользователям востребованные слуги очистки почтового и веб-трафика от вредоносного кода и спама, а также обеспечить "родительский контроль" с использованием URL-фильтрации Причем, если URL-фильтрацию на объемах трафика оператора способны предложить несколько вендоров, то качественную очистку веб-трафика от вредоносного кода, пожалуй, только Aladdin с его семейством продуктов eSafe.

Определившись с продуктом, и опираясь на богатый опыт вендора в реализации услуг очистки трафика для пользователей мы, казалось бы, могли бы легко применить этот опыт в России и в кратчайший срок внедрить ее у всех операторов, благо маркетинговых схем взаимодействия с оператором предостаточно. К сожалению, специфика работы отечественных провайдеров категорически не позволяет сделать это. А заключается она, прежде всего, в том, что в отличие от своих зарубежных коллег, большинство наших операторов поддерживают собственную локальную сеть с огромным количеством внутренних ресурсов (FTP-серверов, чатов, P2P и пр.) которые либо контролируются очень слабо, либо не контролируются вовсе. Поэтому концентрация вредоносного и нежелательного контента в этих сетях часто повыше, чем в среднем по Интернет. Интересный факт: как правило, доступ в локальную сеть предоставляется оператором бесплатно всем подписчикам на услугу доступа в Интернет вне зависимости от тарифного плана. Поэтому существует достаточно многочисленная группа пользователей, которые приобретают минимальный пакет услуг и практически не выходят в Интернет, довольствуясь контентом локальной сети оператора.

Вторая, более сложная проблема, заключается в интеграции решения в систему управления сетевыми ресурсами или OSS (Operations Support Systems) оператора. Несмотря на то, что опорные сети операторов построены более или менее одинаково и то, что спектр используемого оборудования также не особенно широк (в основном, Juniper и Cisco), OSS системы операторов сильно разнятся. Поэтому говорить о какой-либо унификации сейчас и в близком будущем, к сожалению, не приходится. Таким образом, на сегодняшний день не представляется возможным разработать универсальный программный модуль, который имел бы все необходимые интерфейсы для связи с подсистемами заказа услуги очистки трафика, ее активации, системой сетевого управления, билинга и т. д. Это означает, что возможность использования имеющихся наработок ограничивается общими схемами имплементации, интеграцию же в OSS оператора каждый раз приходится практически делать с нуля. Это непростая задача, требующая привлечения серьезных ресурсов. В своей практике мы предпочитаем передавать эту работу компаниям-партнерам, специализирующимся, в том числе на разработке OSS, например, компании NVision Group.

Как это может выглядеть

Со стороны подписчика услуги доступа в Интернет активация услуги очистки трафика и родительского контроля в самом общем виде выглядит следующим образом:

  • после аутентификации в личном кабинете пользователь оказывается в окне активации сервиса, где имеет возможность выбрать из нескольких политик, в соответствии с которыми будет обрабатываться его трафик. Например:
    • фильтрация трафика от вредоносного кода (вирусы, трояны, черви, spyware и т. д.);
    • блокирование сайтов с нежелательным контентом (порно, насилие, наркотики);
    • комбинация двух предыдущих;
  • в зависимости от эксплуатируемой OSS, активация услуги и списывание средств с баланса подписчика происходит немедленно, либо в начале следующего месяца, либо как-нибудь еще.

В процессе работы над проектами нескольких отечественных провайдеров было отмечено еще одно существенное отличие отечественного рынка. У зарубежных операторов услуга очистки трафика слабо кастомизирована и при этом очень востребована. Речь идет о том, что трафик подписчика услуги очистки трафика и/или родительского контроля обрабатывается всегда в соответствии с одной и той же политикой. Это значит, что и дети и их родители при работе с Интернет будут подвержены одним и тем же ограничениям.  

По прогнозам служб маркетинга операторов, с которыми мы в настоящее время работаем над проектами внедрения услуги очистки трафика, в России потребуется более серьезная проработка вопроса. Предоставляя услугу очистки трафика от вредоносного и нежелательного контента мы должны будем дать оператору возможность сильно кастомизировать услугу. Т.е. предложить пользователю несколько политик для обработки его трафика. На практике это будет означать, что в рамках одной семьи родители смогут, например,  посещать сайты всех категорий без ограничений, а дети не смогут попасть на сайты из категорий эротики, насилия, азартных игр и др.

Подобная кастомизация выглядит привлекательной, но сильно усложняет интеграцию услуги в OSS оператора. При этом она потребует от пользователя более серьезного участия в процессе активации услуги. Ему придется вначале создать несколько бюджетов с соответствующими логинами и паролями (для членов семьи),  а затем к каждому из них привязать соответствующую политику.

 В каком виде услуга окажется более востребованной и в какой мере отечественный рынок действительно готов ее принять покажет пилотный проект на одном из крупных операторов Москвы, который будет запущен в ближайшее время.

Результатам этого эксперимента будет посвящена отдельная статья.

Скачать pdf версию
Владимир Бычек, руководитель направления контентной фильтрации (eSafe) компании Aladdin.
Все публикации