Новости Редколонка Точка зрения

Пт, 23.06.2017

Полная версия сайта   

 Поиск
USD 60.15 EUR 67.15
23 июня 2017 года, Пт

Блокировка как процесс

Екатерина Ахальцева
Специалист по исследованию рынка ComNews Research, ГК ComNews
© ComNews
19.06.2017

Проблемы с ограничением доступа и блокировкой легитимных онлайн-ресурсов в России, несмотря на имеющееся несовершенство используемого механизма, нельзя назвать "дырой в системе блокировки". Конечно, внедрение системы анализа всего проходящего трафика на сети крупного оператора связи, для реализации требований закона, выглядит сильно избыточным, в силу очень большой стоимости необходимого оборудования: оно должно работать на больших скоростях (а скорости линков уже редко бывают меньше 100 Гбит/с) и с сохранением должного уровня качества. Поэтому логично, что крупные операторы связи реализовали на своих сетях механизмы, позволяющие максимально выполнять требования закона и рекомендации Роскомнадзора, при минимально возможных затратах, ведь любые расходы в той или иной форме всегда ложатся на абонентов.

Но решать эти задачи нужно с умом, ведь если сильно экономить на ресурсах, не уделять должного внимания архитектуре или не предусмотреть негативные сценарии, в итоге это может привести к проблемам. А когда должного внимания деталям не уделяют не только мелкие, но и крупные игроки на рынке ШПД, это может привести к проблемам глобального масштаба.

Рассмотрим текущую ситуацию. Федеральный закон 149-ФЗ дает операторам возможность ограничивать доступ к запрещенному ресурсу по сетевому адресу, домену или указателю страницы. Оператор, в зависимости от технической возможности, самостоятельно принимает решение о том, как он будет ограничивать доступ. Ограничение доступа по сетевому адресу - самый простой способ выполнить закон, но в то же время и самый избыточный, так как ограничивается полный доступ к IP, и если на данном адресе находится сотня доменов, все они будут недоступны. А вот ограничение доступа по домену или указателю страницы требует дополнительных затрат на средства анализа и реализацию дополнительных механизмов, но зато дает возможность более точно и безболезненно выполнять требования 149-ФЗ.

Не стоит забывать, что сетевой адрес (а в сети Интернет - это базовая адресация) - сущность не постоянная. Во-первых, его можно сменить, во-вторых, для одного домена может быть несколько сетевых адресов (а говоря точнее, хоть более 100), и в-третьих, владелец сайта может самостоятельно менять адреса для своего домена так часто, как ему этого хочется. Так как реестр Роскомнадзора содержит указатель страницы, домен и сетевой адрес, на котором запрещенный ресурс находился, и Роскомнадзор не обладал ресурсами, позволяющими оперативно отслеживать все изменения сетевых адресов, да и законодательство, насколько мне известно, для запрещенных сайтов этого не предусматривает, злоумышленники начали менять сетевые адреса для своих интернет-ресурсов, чтобы избежать блокировки. В свою очередь Роскомнадзор, как контролирующий орган, начал штрафовать оператора связи за доступные на его сети запрещенные сайты. Оператору потребовались механизмы определения актуальных сетевых адресов для запрещенных ресурсов, и были внедрены механизмы "резолва", то есть постоянного опроса DNS-серверов с целью получения актуальных сетевых адресов запрещенных ресурсов.

Как выглядела ситуация до начала июня, когда в российском сегменте начался хаос:

1. Те, кто блокировал запрещенные ресурсы по сетевому адресу (IP), получали реестр запрещенных сайтов, опрашивали DNS-сервера, определяя список актуальных сетевых адресов, и блокировали доступ к этим адресам для всех абонентов, а где-то и для всего транзита, проходящего через их сеть.

2. Те, кто ограничивал доступ более точно, установили на своих сетях фильтры с функционалом анализа пакетов (DPI), получали из реестра информацию, "резолвили" адреса, но не блокировали к ним доступ, а направляли исходящий на эти сетевые адреса трафик на фильтры для анализа. На фильтрах пакеты анализировались, и блокировались только запросы на запрещенные указатели страниц или домены, без ущерба для всего ресурса.

В итоге и первые, и вторые выполняли закон, но первым было проще, а вторым сложнее, так как требовалось постоянно менять маршрутизацию на сети, и анализаторы пакетов - в силу специфики их работы и отсутствия стандартизации в части содержащихся в реестре ссылок - не давали 100% гарантии блокировки запрещенных пакетов.

Несмотря на то что Роскомнадзор с 2012 года выпустил несколько рекомендаций (последние, если мне не изменяет память, утверждены в июле прошлого года), позволяющих определить все спорные моменты и подсказать оператору, как лучше выполнять требования 149-ФЗ, а также всячески склонял операторов к отказу от фильтрации по сетевым адресам, ряд операторов связи все еще сохранили подобные механизмы на своей сети.

Теперь о том, что произошло:

Злоумышленники, разобравшись, как работают механизмы фильтрации, и установив, что несколько крупных операторов не внедрили механизмы точного ограничения доступа, начали указывать для своих ресурсов, находящихся в блокировке, сетевые адреса банковских сайтов, социальных сетей и иных популярных и крупных онлайн-ресурсов.

Для тех, кто ограничивал доступ по указателям страниц и доменам, это не стало большой проблемой, хотя объем трафика для анализа значительно вырос и некоторые меры предпринять пришлось. А вот те, кто блокировал доступ по сетевым адресам, просто ограничили доступ ко всем ресурсам. Основная проблема заключалась в том, что среди операторов, которые подобным образом ограничивали доступ, оказались крупные телекоммуникационные компании, предоставляющие доступ многим региональным провайдерам и миллионам абонентов.

Нельзя сказать, что проблем совсем не было бы, если бы все внедрили механизмы более точного ограничения доступа, но, на мой взгляд, их масштаб был бы значительно меньше, а возможно, их бы и вовсе не заметили. К сожалению, особенности текущего процесса ограничения доступа не позволяют внедрить на сети оператора систему и забыть про все проблемы: это именно процесс, требующий постоянного участия сотрудников оператора связи в предупреждении проблем и оперативном решении инцидентов.

Редколонка

При использовании материалов ссылка на ComNews обязательна.

Свидетельство о регистрации СМИ от 8 декабря 2006 г.
Эл № ФC 77-26395

Новости

Рейтинг@Mail.ru Rambler's Top100