Екатерина Ахальцева
Специалист по исследованию рынка ComNews Research, ГК ComNews
© ComNews
19.06.2017

Проблемы с ограничением доступа и блокировкой легитимных онлайн-ресурсов в России, несмотря на имеющееся несовершенство используемого механизма, нельзя назвать "дырой в системе блокировки". Конечно, внедрение системы анализа всего проходящего трафика на сети крупного оператора связи, для реализации требований закона, выглядит сильно избыточным, в силу очень большой стоимости необходимого оборудования: оно должно работать на больших скоростях (а скорости линков уже редко бывают меньше 100 Гбит/с) и с сохранением должного уровня качества. Поэтому логично, что крупные операторы связи реализовали на своих сетях механизмы, позволяющие максимально выполнять требования закона и рекомендации Роскомнадзора, при минимально возможных затратах, ведь любые расходы в той или иной форме всегда ложатся на абонентов.

Но решать эти задачи нужно с умом, ведь если сильно экономить на ресурсах, не уделять должного внимания архитектуре или не предусмотреть негативные сценарии, в итоге это может привести к проблемам. А когда должного внимания деталям не уделяют не только мелкие, но и крупные игроки на рынке ШПД, это может привести к проблемам глобального масштаба.

Рассмотрим текущую ситуацию. Федеральный закон 149-ФЗ дает операторам возможность ограничивать доступ к запрещенному ресурсу по сетевому адресу, домену или указателю страницы. Оператор, в зависимости от технической возможности, самостоятельно принимает решение о том, как он будет ограничивать доступ. Ограничение доступа по сетевому адресу - самый простой способ выполнить закон, но в то же время и самый избыточный, так как ограничивается полный доступ к IP, и если на данном адресе находится сотня доменов, все они будут недоступны. А вот ограничение доступа по домену или указателю страницы требует дополнительных затрат на средства анализа и реализацию дополнительных механизмов, но зато дает возможность более точно и безболезненно выполнять требования 149-ФЗ.

Не стоит забывать, что сетевой адрес (а в сети Интернет - это базовая адресация) - сущность не постоянная. Во-первых, его можно сменить, во-вторых, для одного домена может быть несколько сетевых адресов (а говоря точнее, хоть более 100), и в-третьих, владелец сайта может самостоятельно менять адреса для своего домена так часто, как ему этого хочется. Так как реестр Роскомнадзора содержит указатель страницы, домен и сетевой адрес, на котором запрещенный ресурс находился, и Роскомнадзор не обладал ресурсами, позволяющими оперативно отслеживать все изменения сетевых адресов, да и законодательство, насколько мне известно, для запрещенных сайтов этого не предусматривает, злоумышленники начали менять сетевые адреса для своих интернет-ресурсов, чтобы избежать блокировки. В свою очередь Роскомнадзор, как контролирующий орган, начал штрафовать оператора связи за доступные на его сети запрещенные сайты. Оператору потребовались механизмы определения актуальных сетевых адресов для запрещенных ресурсов, и были внедрены механизмы "резолва", то есть постоянного опроса DNS-серверов с целью получения актуальных сетевых адресов запрещенных ресурсов.

Как выглядела ситуация до начала июня, когда в российском сегменте начался хаос:

1. Те, кто блокировал запрещенные ресурсы по сетевому адресу (IP), получали реестр запрещенных сайтов, опрашивали DNS-сервера, определяя список актуальных сетевых адресов, и блокировали доступ к этим адресам для всех абонентов, а где-то и для всего транзита, проходящего через их сеть.

2. Те, кто ограничивал доступ более точно, установили на своих сетях фильтры с функционалом анализа пакетов (DPI), получали из реестра информацию, "резолвили" адреса, но не блокировали к ним доступ, а направляли исходящий на эти сетевые адреса трафик на фильтры для анализа. На фильтрах пакеты анализировались, и блокировались только запросы на запрещенные указатели страниц или домены, без ущерба для всего ресурса.

В итоге и первые, и вторые выполняли закон, но первым было проще, а вторым сложнее, так как требовалось постоянно менять маршрутизацию на сети, и анализаторы пакетов - в силу специфики их работы и отсутствия стандартизации в части содержащихся в реестре ссылок - не давали 100% гарантии блокировки запрещенных пакетов.

Несмотря на то что Роскомнадзор с 2012 года выпустил несколько рекомендаций (последние, если мне не изменяет память, утверждены в июле прошлого года), позволяющих определить все спорные моменты и подсказать оператору, как лучше выполнять требования 149-ФЗ, а также всячески склонял операторов к отказу от фильтрации по сетевым адресам, ряд операторов связи все еще сохранили подобные механизмы на своей сети.

Теперь о том, что произошло:

Злоумышленники, разобравшись, как работают механизмы фильтрации, и установив, что несколько крупных операторов не внедрили механизмы точного ограничения доступа, начали указывать для своих ресурсов, находящихся в блокировке, сетевые адреса банковских сайтов, социальных сетей и иных популярных и крупных онлайн-ресурсов.

Для тех, кто ограничивал доступ по указателям страниц и доменам, это не стало большой проблемой, хотя объем трафика для анализа значительно вырос и некоторые меры предпринять пришлось. А вот те, кто блокировал доступ по сетевым адресам, просто ограничили доступ ко всем ресурсам. Основная проблема заключалась в том, что среди операторов, которые подобным образом ограничивали доступ, оказались крупные телекоммуникационные компании, предоставляющие доступ многим региональным провайдерам и миллионам абонентов.

Нельзя сказать, что проблем совсем не было бы, если бы все внедрили механизмы более точного ограничения доступа, но, на мой взгляд, их масштаб был бы значительно меньше, а возможно, их бы и вовсе не заметили. К сожалению, особенности текущего процесса ограничения доступа не позволяют внедрить на сети оператора систему и забыть про все проблемы: это именно процесс, требующий постоянного участия сотрудников оператора связи в предупреждении проблем и оперативном решении инцидентов.