Pruebenos

Transición de TCP a QUIC. Firmas Stingray SG

May 5, 2022
Funcionalidad de Stingray SG
Transición de TCP a QUIC. Firmas Stingray SG
Brevemente sobre QUIC: QUIC es un protocolo de comunicación de transporte que se considera un reemplazo de TCP debido a su mayor confiabilidad, seguridad y latencia reducida y se ejecuta sobre UDP. Esta tecnología fue creada por los desarrolladores de Google y originalmente se llamaba "HTTP/2-encrypted-over-UDP".

Durante el proceso de estandarización de IEFT, QUIC se dividió en protocolos de transporte y HTTP. Con la ayuda del transporte QUIC, no solo se transmiten datos HTTP, sino también otros; este desarrollo lo está llevando a cabo el Grupo de Trabajo QUIC.

QUIC implica encriptación de tráfico obligatoria: para esto, utiliza TLS 1.3 para establecer claves de sesión y luego encripta cada paquete. Pero dado que se basa en UDP, gran parte de la información de la sesión y los metadatos expuestos en TCP se cifran en QUIC.

quic, tcp, udp

Cómo Stingray SG procesa QUIC

Antes de la llegada de QUIC, la detección de conexiones HTTPS cifradas se realizaba teniendo en cuenta SNI (Server Name Indication), que se transmitía en texto sin cifrar cuando el cliente contactaba con el servidor.

El estándar IETF QUIC introduce el cifrado SNI, lo que dificulta detectar a qué host se está conectando. Desde Stingray SG 11.2, el descifrado SNI está disponible al establecer una conexión mediante el protocolo QUIC IETF. Esta característica permitió dividir las conexiones del protocolo QUIC de IETF en firmas separadas cuyo transporte es QUIC.

common channel traffic allocation

Vemos que los protocolos HTTP/HTTPS y QUIC/QUIC IETF están presentes en el canal común. Esto nos dice que hay una transición sin problemas a los nuevos estándares. La selección de aplicaciones en base a estos protocolos se realiza por el nombre de los dominios host en los que se encuentra el contenido, por ejemplo, YOUTUBE, TWITTER, FACEBOOK, INSTAGRAM.

Firmas Stingray SG

Las firmas son patrones de búsqueda en el tráfico que se cargan en el motor DPI. Se utilizan para escanear constantemente todos los paquetes IP para determinar si el Flujo (IPscr: puerto – IPdst: puerto) pertenece a una aplicación/protocolo/firma en particular.

Las firmas en Stingray SG se dividen en dos grupos:

  1. Firmas comunes
  2. Firmas personalizadas (programables).

Firmas comunes

Agregado y modificado solo por desarrolladores de VAS Experts. Se cargan en el Stingray SG al actualizar la versión del software Stingray SG.

Custom signatures

El usuario los agrega a través de Stingray SG GUI utilizando una cuenta personal en VAS Cloud.

vas cloud

La firma personalizada está determinada por la IP o el nombre de dominio del host (SNI) con el que interactúa el usuario. Todos los flujos con estos parámetros se marcan con la firma correspondiente, que luego se puede asignar a una de las ocho clases de vigilancia, omitir sin procesar o bloquear.

Vota:
5 de 5
Valoración media : 5
Valorado por: 2
Ensayo de una conexión PPTP “Donde no esperaban”: cómo IPv6 puede comprometer las redes
Utilizamos cookies para optimizar la funcionalidad del sitio y ofrecerle la mejor experiencia posible. Para saber más sobre las cookies que utilizamos, visite nuestra Política de Cookies. Al hacer clic en "Aceptar", aceptas el uso que hacemos de las cookies. Más información