Серверы-перехватчики нарушают фундаментальные принципы Internet

Фред Бейкер: «Использование технологии NECP для организации перехватывающего proxy-сервера нарушает фундаментальные принципы структуры Internet»

Обсуждение связано с Network Element Control Protocol (NECP) — универсальной технологией, которая поддерживает защищенные, гибкие соединения между серверами, коммутаторами и сетевыми устройствами. Сторонниками NECP стали активнейшие Internet-компании, в частности Akamai Technologies, Foundry Networks, Inktomi, Alteon WebSystems, Novell, Radware и Network Appliance.

Они предложили рабочей группе Internet Engineering Task Force опубликовать NECP в качестве информационного документа. Технология NECP вызвала горячие дискуссии, поскольку некоторые лидеры IETF считают, что ее возможное использование для организации перехватывающего (interception) proxy-сервера нарушает фундаментальные принципы структуры Internet.

Сервер-перехватчик действует как посредник между конечным пользователем и сервером, к которому этот пользователь хочет обратиться. Он имитирует обращения к серверу назначения и призван ускорить доставку конечному пользователю запрашиваемых тем информации или услуг. Важное преимущество серверов состоит в том, что они не требуют конфигурирования со стороны конечных пользователей.

Однако данный механизм нарушает основы стандарта IP, вступая в противоречие с сутью коммуникационной технологии, предусматривающей связь из конца в конец, и порождая проблемы интероперабельности. Кроме того, они меняют соединения без уведомления и одобрения конечных пользователей и серверов назначения.

Серверы-перехватчики уже используются компанией AOL и крупными провайдерами Internet для управления трафиком от клиентов, пользующихся услугами доступа в Internet по коммутируемым соединениям. По данным Питера Данцига, вице-президента по технологии компании Akamai, фактически четверть всех провайдеров в мире применяют серверы-перехватчики.

Несмотря на свою популярность, этот механизм не получил одобрения в IETF. Один из участников дебатов даже потребовал от IETF отказаться от публикации NECP. В ответ на этот призыв всего за одну неделю пришло более ста сообщений электронной почты.

Основные споры развернулись между ревнителями «чистого» IP, утверждавшими, что IETF не должна потворствовать распространению серверов-перехватчиков, и прагматиками, которые уверены, что стандартизация и без того широко распространившейся практики будет полезной.

Кейт Мур, срок полномочий которого как содиректора IETF недавно истек, начал дискуссию о NECP с активной атаки на серверы-перехватчики. Мур поставил под сомнение юридическую законность и «этичность» подобного механизма, а также заявил, что они препятствуют интероперабельности в Internet.

«Я поднял этот вопрос, чтобы привлечь к проблеме всеобщее внимание, — сказал Мур. — Серверы-перехватчики увеличивают сложность структуры Internet и вызывают больше проблем, чем решают. Нам не следует это поощрять».

Мур не против установки proxy-серверов в локальных сетях — там они могут использоваться для балансировки трафика между серверами — или в сети поставщика информационного наполнения, где перенаправление трафика выполняется в интересах пользователя. Вместе с тем он отметил, что провайдеры устанавливают серверы-перехватчики в Internet-магистралях, не уведомив об этом пользователей и не получив на это их согласия.

Мур считает это неэтичным, поскольку такие proxy-серверы выдают себя за другие хосты, фальсифицируя Internet-трафик.

«Проблема возникает, когда неправомочная третья сторона, скажем провайдер, устанавливает сервер-перехватчик между своими клиентами и Internet, — заметил Мур. — Он внедряется между конечным пользователем и поставщиком информационного наполнения, то есть двумя сторонами, рассчитывающими на целостность соединений».

И хотя взгляды Мура на NECP многие считают крайностью, некоторые члены IETF разделяют его беспокойство по поводу серверов-перехватчиков.

«Точка зрения Мура нашла поддержку в IETF, — заметил Джон Диллей, архитектор распределенных систем компании Akamai и один из редакторов документа, описывающего известные проблемы proxy-серверов и Web-кэширования. — Серверы-перехватчики противоречат духу TCP, транспортного протокола, призванного обеспечить доставку пакетов из конца в конец».

Диллей сказал, что провайдеры Internet используют серверы-перехватчики, поскольку это оправданно с точки зрения бизнеса и приемлемых альтернатив такому подходу просто не существует.

Разработка NECP, протокола, который заменяет несколько внутренних протоколов, используемых устройствами Web-кэширования для связи с серверами и коммутаторами, ведется уже два года. Хотя NECP был создан для Web-кэширования и приложений балансировки нагрузки, он может применяться для других устройств, поскольку позволяет любому серверу взаимодействовать с любым сетевым устройством.

«Фактически NECP нацелен на увеличение уровня интероперабельности и эффективности систем балансировки нагрузки и серверов, — считает Эдвард Шарп, менеджер по развитию бизнеса компании Network Appliance. — Это особенно важно в связи с ростом популярности более сложных типов информационного наполнения, таких как потоковое видео; например, поддержка в течение двух часов передачи данных со скоростью 1 Мбайт/с позволяет пользователю посмотреть по Internet полнометражный фильм».

Несмотря на горячие дебаты вокруг NECP, в IETF склоняются к тому, чтобы опубликовать его в виде информационного документа после того, как из текста будут изъяты упоминания о серверах-перехватчиках и внесен ряд других незначительных изменений.

«Не думаю, что нас можно обвинить в попытке воспрепятствовать публикации этого материала», — заметил руководитель IETF Фред Бейкер. Он сказал, что распространение подобных документов имеет особое значение, поскольку они свидетельствуют об общепринятой в Internet практике вне зависимости, хороша она или нет.

«Очень многие рассчитывают на этот протокол, — заметил Данциг. — Для IETF отказаться от его обсуждения не значит действовать в интересах Internet-сообщества. Действуя так, архитекторы Internet могут остаться в одиночестве».


Польза или вред?

Вопрос о proxy-серверах выявил две противоположные позиции в отношении к предлагаемому протоколу кэширования.

Достоинства

  • Не требует конфигурации со стороны конечных пользователей
  • Позволяет провайдерам Internet лучше контролировать спрос на полосу пропускания
  • Позволяет быстрее доставлять информационное наполнение или услуги пользователям

Недостатки

  • Противоречит природе сквозных коммуникаций Internet
  • Препятствует аутентификации пользователей, поскольку меняет адрес отправителя
  • Создает проблемы интероперабельности

Поделитесь материалом с коллегами и друзьями