Рунет обреченный: Великий Российский Фаервол

runet-00Как мы все видим, ситуация со свободой интернета в России ухудшается быстрыми темпами, что было невообразимо вчера, уже вызывает смех сегодня. Что будет, когда электронный железный занавес опустится окончательно? В данной статье я постараюсь объективно описать с технической точки зрения разные сценарии и последствия введения Великого Российского Фаервола.

Методы блокировок

В мире существует не так много способов произвести блокировку, и, как вы догадываетесь, чтобы что-то заблокировать, надо сначала выбрать, что именно мы собираемся блокировать. Методы могут быть такие:

— ACL: на основе Портов / IP адресов
— DPI: на основе типа трафика
— Белые списки

Рассмотрим поподробнее каждый из них.

ACL

9909825-network-iconВ первом случае (ACL=Access Control List) доступ обычно блокируется по политикам черных списков (всё, что не запрещено — разрешено). Таким образом можно «точечно» блокировать отдельные порты приложений (например, заблокировать используемый официальным биткойн-клиентом стандартный TCP port 8333).

В пределе можно заблокировать вообще весь трафик на все порты кроме 80 — а нефиг пользоваться чем-то, кроме браузера, для просмотра котиков в открытом Интернете. Даже шифрованный трафик https вам могут перекрыть — какие-такие онлайн-магазины? Если российские, пусть регистрируются, где положено, и пользуются российским стандартом шифрования с задней дверкой для компетентных органов. А всякие некошерные иБэи с Амазонами будут вам просто недоступны. Как и онлайн-банкинг, впрочем — пока морально устойчивые российские банки не предложат вам доступ, защищенный по одобренному ФСБ стандарту шифрования.

Могут быть и более гибкие ситуации — например, на основе блокировки внешних IP-адресов, которые не хотят сотрудничать (причем, возможны варианты как сайтов, так и просто любых сетевых ресурсов).

Как обойти? 

Правда, тут есть лазейка. При некоторой смекалке и технической подкованности вы можете пускать любой трафик через любые открытые порты, хоть торренты, хоть TOR, и никто не сможет заблокировать его при таком типе блокировки.

Подключаемся через разрешенный порт на незаблокированный IP-адрес (допустим, ваш выделенный или виртуальный сервер за пределами Рунета) и можем передавать и принимать любые данные, которые нам нужны.

DPI

dpiDPI (Deep Packet Inspection) — действительно страшная вещь. В первую очередь она страшна тем, что она может определять тип трафика и маркировать его или перенаправлять в определенный интерфейс в зависимости от политики.

Следует учесть, что сам DPI НИЧЕГО не блокирует, а только распознает/определяет трафик. 

DPI может определять трафик на основе:
— Используемые порты
— Входящий/исходящий адрес (например, skype авторизуется всегда на 10 серверах с 10 постоянными IP-адресами)
— По сигнатурам (признакам определенных приложений)
— Опережающее подключение

С портами и адресами вроде бы все понятно, это относится к трафику наиболее популярных приложений и способы обхода тут такие же, как и в случае ACL.

bitstopОпределение трафика по сигнатурам работает следующим образом: любая компания, которая продает DPI обычно предоставляет поддержку на своё оборудование, а в поддержку входит актуальное обновление базы сигнатур.

Другими словами, если у вас bittorrent, bitcoin, litecoin, twister работает (по очереди) на одном и том же порту и связывается с одним и тем же узлом, то DPI все равно может определить, когда и какой от вас идет трафик, на основе анализа пакета вплоть до последнего уровня модели OSI.

Это похоже на обновления антивирусных пакетов — когда появляется ранее не виданный тип вируса, он добавляется в базы. Как только в сети появляется особо хитрый трафик, который ускользает от определения DPI, его тут же отлавливают и анализируют. У основных вендоров оборудования DPI, все работает обычно автоматически, по принципу 10%: как только в сети оператора появляется новый трафик, который DPI не может определить, и его 10% и более — трафик отправляется на анализ в компанию, которая создает маркер, позволяющий идентифицировать его. Конечно, 10% — это параметр настраиваемый, все дело в цене вопроса. Если будет политическая воля и финансирование, обученные операторы будут анализировать любой подозрительный трафик, так что со временем даже мышь не проскочит.

Данный способ анализа трафика можно победить при динамическом изменении протокола на лету, но этим могут пока похвастаться лишь немногие программы. Какие-то зачатки динамической модификации трафика есть в Tor и I2P. Другими словами, как только приложение замечает, что трафик не проходит (или просто через N минут), происходит смена алгоритма генерации пакетов, что не позволяет сходу идентифицировать трафик.

Как обойти?
Если алгоритмов динамической модификации заложено много, и они меняются без явной закономерности, то производители DPI не будут анализировать такой трафик, т.к потребуется разработать бесконечно много правил, которые должны быть всегда загружены в память устройству, что экономически неоправданно или вообще невозможно.

wall-between-two-groups-Опережающее подключение — это способ опережающего анализа результатов запросов, который сейчас очень популярен в Китае. Он работает следующим образом: Когда вы делаете запрос GET предположим к yandex.ru, оператор его перехватывает и делает такой же запрос (ваш висит в ожидании, либо IP назначения меняется на адрес DPI). Далее анализируется ответ сервиса на предмет того, нет ли там какой-то крамолы.

В случае, если вы запрашиваете просто очередную картинку котика, оператор вам ее отдает (как бы от имени сервиса). А вот если в ответе содержатся какие-либо подозрительные и диссидентские термины, допустим, запрещенные в суверенном интернете слова типа «силовики» или там «биткойн», то вы получаете в ответ страницу с сообщением типа «Не отходите далеко от компьютера, за вами уже выехали». При анализе могут использоваться политики черных/белых списков, в зависимости от настроения диктатора настроек оборудования.

Как обойти?
Практически никак. Если используются черные списки, то только очень серьёзная стеганография. То есть ваш зарубежный сообщник тайно шифрует и впихивает диссидентские материалы в картинку с котиками. И постоянно меняет явки, пароли и IP-aдреса (чтобы избежать попадания в черные списки. Если же используются белые списки… читай ниже.

Белые списки

white-listПолитику белых списков я хочу вынести в отдельный пункт по одной простой причине: при белых списках всё что не разрешено — запрещено. Иначе говоря, если фильтрование внешнего трафика будет внедрено по принципу белых списков, то вообще труба. Кроме котиков, никто в зарубежном интернете ничего не обнаружит, и через какое-то время все привыкнут, что и делать-то там особо нечего.

Другими словами, при сочетании белых списков и использовании любого метода ограничений можно заблокировать вообще всё что нужно.

Например, можно заблокировать все IP-адреса кроме адреса первого канала, НТВ и Почты России, причем только 80 порт. При такой ACL у вас все соединения будут сразу же обрубаться, и будет невозможно обойти данную блокировку никаким способом шифрования.

Какой метод будет использоваться в России ?

Теперь давайте подумаем. Крупнейшие магистральные операторы России это:
1) Ростелеком
2) Вымпелком
3) Транстелеком
4) Центральный телеграф
5) МТС/МГТС
6) Комкор / Акадо

Оборудование DPI пока есть только у Вымпелкома, Транстелекома, и МГТС. Да, да, у Ростелекома пока что нет DPI.

Как проверить, есть ли у моего провайдера DPI ?
Позвонить и спросить. Если ваш провайдер блокирует ссылки из реестра запрещенных ресурсов по IP — нету, если по URL — есть. 

Другими словами, у государственного монополиста нет DPI — значит, в ближайшее время возможны два варианта событий:
1) Закупка и разворачивание DPI на многие десятки миллионов долларов
2) Использование ACL

К сожалению, оба варианта одинаково возможны по разным причинам, но при оперативном решении блокировку можно осуществить только через ACL политики.

Что будет в день Х?

painted-xЕсли предположить, что блокировка осуществляется через ACL и будут заблокированы все неверные и подозрительные ресурсы, то:
— Из социальных сетей будут работать только подконтрольные ВКонтакте/Одноклассники
— Из мессенджеров только Skype / ICQ
— Электронная почта не будет доходить до внешних почтовых ящиков

А как же P2P?

А вот он пока будет работать, причем весь.Что бы заблокировать P2P сети, нужен DPI. Причем, анализ DPI придется спускать прямо к пользователям, а это будет стоить огромного количества денег.

Другими словами, чтобы у нас с вами осталась связь без прослушки, нужно:
— Активно использовать любые P2P средства
— НЕ пользоваться любыми отечественными сервисами (даже если Рунет-компания зарегистрирована за границей — то все равно ей кто-то рулит из России (пример — Яндекс и золотая акция у государства).
— Установить ПО, которое будет работать локально внутри оператора/страны сети БЕЗ внешних серверов.

К сожалению, такие оптимистичные вещи как Mesh-сети продвигать не имеет смысла, на данном этапе, по вполне понятным причинам, на общественное осознание, что такие сети необходимы и их полноценное разворачивание требуется время, которого у нас, похоже, нет. Законодательная база строится на наших глазах, гайки закручиваются неторопливо, но непрерывно. Великий Российский Фаерволл грозит опуститься уже в самое ближайшее время.

Free Firewall Clipart Illustrations at http://free.ClipartOf.com

Другие статьи, посвященные данной теме:

Источник: shifttstas

 

 



Categories: Законы, Инвестиции, Политика, Россия, Технологии

Tags:

Leave a Reply

43 Комментарий на "Рунет обреченный: Великий Российский Фаервол"

Notify of
avatar
trackback
Марк Андреессен: Через 20 лет биткойн будет так же распространен, как сегодня — интернет | Bit•Новости

[…] конечно, являются лишь прикрытием для того, чтобы усилить свой собственный контроль над сетью — то, что они и так собирались […]

танго
Гость

SEC. 206. SUPPORT FOR RUSSIAN DEMOCRACY AND CIVIL SOCIETY ORGANIZATIONS.

(1) improve democratic governance, transparency, accountability, rule of law, and anti-corruption efforts in the Russian Federation

(2) strengthen democratic institutions and political and civil society organizations in the Russian Federation

(3) expand uncensored Internet access in Russia

(4) expand free and unfettered access to independent media of all kinds in Russia, including through increasing United States Government-supported broadcasting activities, and to assist with the protection of journalists and civil society activists who have been targeted for free speech activities

Полинезиец
Гость

ЧТО это? Вернее, ОТКУДА? Хотя, в любом случае, идеи хорошие. Только вот кто и как их реально реализовывает.
Неплохо бы ПОКАЗАТЬ им , насколько интернет в России перестал быть свободным, чтобы они ужаснулись и может примут тогда какие-нибудь радикальные меры.

танго
Гость

ссылу дам ниже, поскольку премодерацию должно пройти

Полинезиец
Гость

Обратите внимание: Очень важный для свободного интернета принцип
«сетевого нейтралитета» под угрозой.
http://www.theguardian.com/technology/2014/may/08/google-facebook-and-amazon-sign-letter-criticising-fcc-net-neutrality-plan
Есть в переводе, http://www.interfax.ru/world/375424
Однако перевели очень плохо — искажается смысл, особенно в «заголовках».
Лучше прочитайте в оригинале и вдумайтесь.
Самое плохое и опасное в этой всей истории то, что очень мало кто из
публики понимает, как это важно. Что-то надо с этим делать, но как?
Правда про это и раньше было много «новостей»/»статей» и обсуждений, см. на habrahabr (задать ТАМ в поиске: «сетевой нейтралитет»)

Локи
Гость

Цитирую: … например, заблокировать используемый официальным биткойн-клиентом стандартный TCP port 8333 …
У меня часть майнеров работает на 3333 порте. Какие именно модели майнеров — не скажу )))

Рома
Гость
О ячеистой топологии и mesh сетях ни кто не слышал? А между тем устройства от apple под управлением iOS 7 позволяют быстро развернуть независимую мобильную сеть (слышал что уже и для android устройств эта технология реализована). Не буду вдаваться в подробности, кому надо погуглите в яндексе, но суть в том, что практически можно создать независимый и неподконтрольный государству «интернет», была бы необходимость, а она судя по всему назревает! Оценить технологию уже могут пользователи ios7 устройств, первый отголосок доступен в AppStore, приложение называется fire chat. Звучит похоже как реклама, но я не засланный! ))) Я за свободу мысли! В общем технология… Read more »
Локи
Гость

Цитата : … независимая ни от кого финансовая структура …
Вы хоть один «яблочный» девай в руках держали, юзали его???
Да на яблокофон не то что со стороны музню качнуть не получится, дисковое пространство не получится посмотреть… Если бы вы юзали яблоко, то не говорили бы о его независимости………..

Александр Петров
Гость

Этак каверзные оппозиционные статьи начнут распространяться сначала в виде видеороликов и аудиокниг, чтобы замучать DPI ещё и энергозатратным распознаванием фактически километровых капчей. Содержимое текстовых веб-страниц потеряет явный смысл: мешанина фраз и цифр, вроде-бы выглядящая легальной для пакетного анализа, будет требовать тем не менее дешифровки по старинке. Ну и конечно, некоторые веб-страницы сами себя будут расшифровывать за определенный кусок времени, с помощью встроенных java-сценариев.
Сколько ещё сотен механизмов появится, чтобы нагнуть цензуру и спасти операторов связи от банкротства (которые кстати тоже будут стараться!)?

Анонимно
Гость

В России появится «национальная операционная система» О — бъём госзаказа на поставку ИТ-продукции оценивается в $12 млрд ежегодно. Как всегда кончилось распилом бабала. Все начинания бюрократов заканчиваются распилом. Не стоит волноваться, они сами себя разворуют. У бюрократоав хорошо получается запрещать и распиливать, а другого они просто не умеют.

Cyr
Гость

Bolgen OS 2

Asd_skala
Гость

В воду глядишь ))))

4emp
Гость
По белым спискам едва ли будут фильтровать… «Конституция РФ (ч. 4 ст. 29) закрепляет право каждого человека свободно искать, получать, передавать, производить и распространять информацию любым законным способом.» А средствами белых списков блокируется все кроме того, что разрешено. Нарушение конституции это очень серьезно и не пойдет правительство на это. Просто хотят избавить интернет от всякого рода мошенников, детской порнографии, терроризма и прочей мерзости, что льется на нас с экранов компьютеров. Если это поможет избежать появления хотя бы одного маньяка-педофила(который может прогуливаться неподалеку от дорогих людей каждого из нас), то любые вложенные средства в это мероприятие будут оправданы. Все забавляются на… Read more »
MatriX
Гость
Какие педофилы, какой терроризм? Нет, я не говорю, что в нашей стране таких случаев не было… НО, как именно блокировка сайтов поможет спасти детей от педофилов, а как граждан от террористов? Вы хоть знаете, кто эти самые теракты устраивал и зачем? Если не знаете, то и не пишите. Неужели вам непонятно, что сильные мира сего смотрят на нас, как на скота, которого нужно постоянно удерживать в стойле. И нет и никакого дела до судьбы отдельно взятых граждан и их детей… Неужели это не очевидно? P.S.: А вообще, мне очень жаль, что есть немало людей, которые думают также как вы. Наверное… Read more »
4emp
Гость

Просто все привыкли бубонить на правительство вот и все. Это у нас в крови. В сталинские времена и рот никто открыть не мог, потом людям дали свободу слова вот и полюбилась она им до такой степени, что аж передалась по наследству. Абстрагируйтесь от своей предвзятости и взгляните на нынешних управленцев с чистого листа. Неужели не очевидно, что мы стали жить лучше? Да, не все получается, да подворовывают, но стараются и это становится все заметнее. Не ошибается тот лишь, кто ничего не делает.

Интернет изнасиловали
Гость

Бля. От твоего лепета тошнит. По сталину он, сука, скучает. В ГУЛАГ долбо*ба.
Извините за добло*ба, но вы действительно им являетесь.

Анонимно
Гость

Ну мне остается только пообещать вычислить по айпи. Детский сад.

Анонимно
Гость

Интернет давно превратился в помойку, и мусор там попадаться довольно вредный. Но главное что бы таких троллей как ты стало меньше.

Анонимно
Гость

К сожалению высшая мудрость довольно редкая штука, ну а «изрекать» глупости мы не стесняемся. Но дело в другом, вы бежите впереди поезда, преувеличиваете следствия и не трудитесь разобраться в причинах.

MatriX
Гость

А вы не замечаете, что к сталинизму как раз все и идет? По вашему сталинизм — это «нормальное», «эталонное» состояние России? А любая свобода — это происки загнивающего запада?

Анонимно
Гость

Не очень понял с какого момента я стал любителем сталинских времен. Эта тема была затронута для внедрения в ваши сознания следующего посыла: после того как человеку что-то очень долго и очень жестко запрещают, а потом вдруг эти времена проходят и становится можно то, о чем раньше боялся даже подумать, может оставить неизгладимое подсознательное желание целой нации бубонить на правительство без умолку по делу и без него.

Asd_skala
Гость

Все это льется на нас с экранов гос.телеканалов.
В интернете мне не ни разу не попадались ни те не другие, а если специально искать то найти можно все и везде.

nusuth
Гость

не совсем по теме поста, но про говно:
http://www.kommersant.ru/Doc/2401171

nusuth
Гость

опс, не ту ссылку кинул с телефона.
Ну в общем, по делу тут уже откомментировали. Путин подписал изменения в закон о НПС — обещают ее создание стахановскими темпами, чуть ли не к концу 2014 года. Разумеется, в целях обеспечения бесперебойности платежей. Разумеется, граждане России по прежнему смогут пользоваться услугами мировых платежных систем. Правда, требования к этим системам для продолжения присутствия на российском рынке выставлены явно в заградительных целях.
Another brick in the Wall.

Бравонь
Гость

За мешьььь сетями будущее! p2p уже в прошлом, кто не понял тот дурак!

btc4ever
Гость

Всё это фигня и все легко обходится 9000+ методами… кроме белых списков… белые списки это попа, причем огромная, сравнимая с оружием массового поражения, но как и всякое ОМП, белые списки имеют очень большие побочные эффекты так как лупят по площадям, не разбираясь, поэтому все-таки сомнительно чтобы белые списки ввели, это будет означать смерть Интернета на 1/6 части суши…

tango
Участник

Возможно, у регуляторов скоро будет других проблем

tango
Участник

вот, кстати, можно будет посмотреть:
«В частности, депутаты обязали зарубежные платежные системы с 1 июля вносить ежеквартально обеспечительные взносы на специальный счет в Банк России в размере 25% от среднедневного оборота.»

user
Гость

Действительно, как вариант будет только спутниковый интернет.

mifikaciy
Гость

Надо Гугл поторопить, поддержать, с проектом высоколетов ретрансляторов, недоступных, для средств ПВО!

ART
Гость

Будут глушить диапазон частот гугл-ретрансляторов.

mifikaciy
Гость

Надо глушилки жечь, украина вам в пример. Свободу надо заслужить!

Анонимно
Гость

Ты дебил?

Мохнатый
Гость

ахахаха, украина в пример :)))

Кто то
Гость

Вы про ту Укр. которую делят олигархи и некоторые представители других стран? Свобода? Не смешите. Ситуация в очередной раз нам показывает наше место. Мы просто мясо, рабы, скот и т.д. тут кому как больше нравиться. Вспоминаем пастухов с коровьим стадом. Понравиться ли пастуху когда коровы разбредаться начнут? Вот то то же. Это только мы можем ложиться спать с верой на перечень разных свобод, а по сути своей мы ни чем не отличаемся от тех самых коров этого пастуха, который определил нам лужайку где мы должны чувствовать себя свободными..

wpDiscuz