Passage de TCP à QUIC. Signatures Stingray SG

May 5, 2022
Fonctionnalité de Stingray SG
Passage de TCP à QUIC. Signatures Stingray SG
Bref sur le QUIC: QUIC est un protocole de communication de transport qui est considéré comme un remplacement de TCP en raison d'une plus grande fiabilité, sécurité et latence réduite et qui fonctionne sur UDP. Cette technologie a été créée par les développeurs de Google et l'appelait à l'origine « HTTP/2-encrypted-over-UDP ».

Dans le processus de normalisation par l’organisation IEFT, QUIC a été divisé en protocoles de transport et HTTP. Avec l’aide du QUIC de transport, non seulement les données HTTP sont transmises, mais aussi d’autres, ce développement est réalisé par QUIC Working Group.

QUIC implique un cryptage du trafic obligatoire : pour ce faire, il utilise TLS 1.3 pour définir les clés de session, puis crypter chaque paquet. Mais comme il est basé sur UDP, une grande partie des informations de session et des métadonnées ouvertes sur TCP sont cryptées dans QUIC.

quic, tcp, udp

Comment Stingray SG gère le QUIC

Avant l’avènement du QUIC, la détection des connexions HTTPS chiffrées se faisait en tenant compte du SNI (Server Name Indication), qui était transmis en clair lorsque le client contactait le serveur.

La norme QUIC de l’IETF introduit le cryptage SNI, ce qui complique la détection de l’hôte auquel la connexion est effectuée. Depuis Stingray SG 11.2, le décryptage SNI est devenu disponible lors de l’établissement d’une connexion à l’aide du protocole QUIC IETF. Cette fonctionnalité a permis de décomposer les connexions IETF QUIC en signatures distinctes dont le transport est QUIC.

common channel traffic allocation

Nous voyons que les protocoles HTTP/HTTPS et QUIC/QUIC IETF sont dans le canal commun. Cela nous indique qu’il y a une transition en douceur vers les nouvelles normes. La sélection des applications basées sur ces protocoles est effectuée par le nom de domaine des hôtes sur lesquels le contenu est hébergé, par exemple, YOUTUBE, TWITTER, FACEBOOK, INSTAGRAM.

Signatures Stingray SG

Les signatures sont des modèles de recherche de trafic chargés dans le moteur DPI. Ils sont utilisés pour scanner en permanence tous les paquets IP afin de déterminer l’appartenance de Flow (IPscr:port – IPdst:port) à une application/protocole/signature particulière.

Les signatures en Stingray SG sont divisées en deux groupes:

  1. Générales
  2. Personnalisés ou Programmables.

Signatures générales

Ajoutées et modifiées uniquement par les développeurs de VAS Experts. Sont chargés dans Stingray SG lors de la mise à niveau de la version du logiciel Stingray SG.

Signatures personnalisées

Ajouté par l’utilisateur via l’interface graphique Stingray SG en utilisant le compte personnel de VAS Cloud.

vas cloud

La signature personnalisée est déterminée par l’IP ou le nom de domaine d’hôte (SNI) avec lequel l’utilisateur interagit. Tous les Flow avec ces paramètres sont marqués de la signature correspondante, qui peut ensuite être affectée à l’une des huit classes de maintien de l’ordre, ignorée sans traitement ou bloquée.

Nous utilisons des cookies pour optimiser les fonctionnalités du site et vous offrir la meilleure expérience possible. Pour en savoir plus sur les cookies que nous utilisons, veuillez consulter notre Politique de cookies. En cliquant sur « Okay », vous acceptez notre utilisation des cookies. Learn more.