Не DPI: Роскомнадзор за другой метод точечного блокирования

 Роскомнадзор опубликовал на своем сайте 3 документа, в которых содержится анализ и предложения по новому методу осуществления блокирования интернет-ресурсов в России.

Среди документов значатся:
— Анализ существующих методов управления доступом к интернет-ресурсам и рекомендации по их применению (ссылка);
— Результирующая часть анализа, организованного Роскомнадзором (ссылка);
— Проект рекомендаций по организационным и техническим решениям, которые предлагается обсуждать с профессиональным и экспертным сообществами (ссылка).

Ключевые моменты из данных документов, которые бы мы выделили: 

1) ни один из известных методов блокирования не является на 100% эффективным, те кому надо смогут найти способ обойти блокировку — поэтому наращивание дополнительных барьеров бессмысленно, оно приведет лишь к «гонке вооружений»;
2) отказ от блокирования защищенного трафика (т.к. в обратном случае — обесцениваются бизнес-приложения, персональные и другие защищенные данные);
3) при любом методе блокировки будут финансовые издержки со стороны того, кто ее непосредственно осуществляет, операторы, готовьтесь к дополнительным расходам;
4) осознание факта «хронической нехватки IPv4-адресов» и того, что применяемый на данный момент в России метод блокирования ресурсов по IP-адресу является очень грубым методом блокирования интернет-сайтов и из-за того, что 80-90% всех сайтов в интернете расположены не на выделенном только им IP-адресе, то под блокировку за одно попадает огромное число добропорядочных интернет-ресурсов;
5) метод блокирования с использованием DNS-сервера тоже не является точным блокированием, поскольку блокируется домен целиком или сеть доменов следующих уровней, а не отдельная запрещенная страница;
6) недопустимость магистральной блокировки интернет-ресурсов за пределами национальной юрисдикции: сейчас пользователи сопредельных с Россией государств (Армения, Азербайджан, Молдова, Украина, Белоруссия) получают “заглушки” от Ростелекома и Вымпелкома, поскольку компании блокируют по IP-адресу ресурсы из черного списка и для пользователей из этих стран на магистральном уровне;
7) необходимость проведения дискуссии с максимально широким кругом заинтересованных сторон (с подозрительной оговоркой «по крайней мере, формально»):

“Учитывая сложившуюся практику управления использованием сети Интернет, членство Российской Федерации в ряде авторитетных международных организаций и «клубов» развитых стран, а также перспективу вступления в другие подобного рода объединения, рекомендуется сделать, — по крайней мере, формально — вопросы возможности, допустимости, адекватности и пропорциональности реализации тех или иных методов блокирования предметом широкой общественной дискуссии с учетом всех ключевых заинтересованных сторон: государства, бизнеса, гражданского общества, науки и интернет-пользователей.”

8) сюрприз: отказ от внедрения нового метода блокирования на основе технологии DPI, об опасности повсеместной реализации которого говорили многие, аргументируя примерно так: «если не будет блокировки по IP, внедрят DPI, оно вам надо?»;
9) Оказалось, госорганами избран третий путь — блокирование на основе комбинированного метода IP+URL.

Итак, Роскомнадзор остановился и предлагает сделать основным методом ограничения доступа к запрещенным интернет-ресурсам — «блокирование с предварительным выделением по IP адресам и дальнейшей фильтрацией по URL (IP+URL)».

Обоснование, почему был выбран именно такой метод, а не великий и ужасный Deep Packet Inspection:
— массовое использование DPI несет существенные риски,
— является спорным с точки зрения соблюдения права на неприкосновенность частной жизни,
— приводит во многих случаях к ничем некомпенсируемому удорожанию сети,
— вносит технические ограничения на развитие сети.
Согласимся. При повсеместном внедрении DPI плохо будет всем, кроме спец.служб.

А вот что примерно будет показано на картинке (из документа):

Модель «прозрачного» прокси-блокирования с помощью URL:
1 — Трафик для сайта x, отделяется от остального трафика и пересылается через
блокирующий прокси-сервер
2 — Обычный путь следования интернет-трафика
3 — Прозрачный прокси-сервер поставщика услуг Интернет, осуществляющий
проверку URL на принадлежность к заблокированным значениям
4 — Совпадение отсутствует, трафик пропускается
5 — URL совпал, трафик блокируется

Т.е. другими словами: весь траффик/запросы от пользователя будет проходить через некий аппаратно-программный комплекс, который будет анализировать IP-адреса тех ресурсов, которые хочет посетить пользователь и если IP-адрес совпадет с таким же в черном списке, то попадает на анализ в некий proxy-сервер и если идет запрос на запрещенный URL, то он его не пропускает, а весь остальной траффик с/на данный IP свободно проходит.

При этом, Роскомнадзор допускает комбинированную схему, когда в список запрещенных ресурсов попадает не только URL, а сам домен, тогда «возможно, дополнительно, проводить блокировку на уровне DNS, обязав DNS-оператора производить замену записей в соответствующей доменной зоне записью, указывающей либо на недоступность данного ресурса, либо перенаправляющей запросы на специальный ресурс, уведомляющий о факте блокировки»

Предварительный наш вывод: то, что вместо широкомасштабного внедрения технологии DPI избран вышеописанный метод — это относительно хорошо, но требуется подробная спецификация предполагаемого к внедрению варианта аппаратно-программного комплекса (дабы избежать возможности избыточного анализа траффика к пользователю и от него), а также наличие варианта т.н. DNS-блокирования внесет неоднозначное толкование исполнения блокировок.

Также настораживает тот факт, что согласно 149-ФЗ в Реестр запрещенных сайтов должны включаться сетевые адреса, т.е. по факту — IP-адреса из Реестра никуда не исчезнут и де-юре операторы несмотря на рекомендации Роскомнадзора по блокировке будут иметь право продолжать блокировать интернет-ресурсы именно по IP-адресу. Ответственность не обозначена.

Еще один важный, но упущенный момент: в представленных документах не обозначен единый механизм представления информации пользователю при попытке зайти на заблокированный ресурс. На наш взгляд это необходимо прописать, т.к. выскакивающие заглушки не несут адекватной для пользователя информации и возникают например такие ситуации, когда пользователь хочет зайти на сайт детского садика «Солнышко», а ему выскакивает окошечко от провайдера, что ресурс заблокирован по одной из причин: или попал в Реестр запрещенных сайтов или в список экстремистских материалов. Пишите письма госорганам. Занавес.

Материал подготовлен для theRunet.com