Тема недели: ТСПУ-блокировки и способы их обхода

В Рунете всё больше блокировок, в том числе VPN. Что делать для обхода в таких условиях и как развиваться VPN-сервисам?

Любые массовые сервисы, в том числе VPN, уязвимы к блокировке именно из-за своей массовости.

Пока мы не дошли до так называемого «китайского сценария», самым действенным способом является поднятие собственной VPN на арендованных виртуальных серверах (практически по цене покупки доступа к VPN у «ширпотребных» сервисов). Кроме прочего, в этом случае и возможностей по маскировке трафика намного больше.

Если же говорить в целом о данной ситуации, то сейчас в стадии утверждения в Инжерном Совете Интернета находится стандарт eSNI (который с тех пор превратился в технологию более полного шифрования «первоначального общения» нежели просто шифрования имени сервера). Если упрощённо, то данный стандарт описывает технологию шифрования процедуры предварительного общения клиентов и серверов между собой до того как установится основное зашифрованное соединение. После его «запуска в мир» и повсеместного включения в браузерах и сетевых утилитах DPI-«железо» станет намного менее полезным для блокировок.

Однако, если в оптимистичном, но маловероятном сценарии власти поймут бесполезность блокировок, то в более вероятном, но пессимистичном сценарии это выльется в массовые блокировки по IP. Тем более, что (не смотря на уже ставшее обыденным отсутствие каких-нибудь официальных документов на этот счёт) есть сообщения от пользователей о том, что трафик использующий eSNI блокируется некоторыми провайдерами в некоторых регионах (лично у меня на том же провайдере блокировка (в отличие от внедрения скриптов со своей рекламой в незашифрованный трафик) не воспроизводится, впрочем, как говорят, «но это не точно»). И это, кстати, особенно забавно в ключе того, что эта технология ещё находится в стадии разработки и постоянно меняется (например, вот, эволюционировала в полное шифрование предварительного общения) и посему на данный моментпока  даже не рекомендована к полноценному внедрению на «боевые» сервера (CloudFlare, впрочем, это не останавливает).

Относительно блокировок также хочется заметить следующее: ещё одной «дыркой» в приватности до сих пор является DNS:

Этот протокол тоже разрабатывался во времена, когда никто не боялся слежки и ничего не шифровалось. Поэтому вся информация передаётся открытым текстом. Из-за этого как провайдеры, так и ТСПУ (впрочем, в некоторых случаях, даже соседи рядом) могут перехватывать DNS-запросы и отвечать на них вместо того сервера к которому вы изначально обращались. И отвечать они могут буквально что угодно. В том числе и отдавать совершенно не те IP-адреса (например, именно так в большинстве случаев и отдаются провайдерские страницы-заглушки о заблокированных ресурсах).

Против этого тоже уже давно есть техники вроде DNSSEC и DANE, а так же такие вещи DNS-over-TLS и DNS-over-HTTPS. Но они, увы, мало где внедрены, плюс за последние две уже взялся Роскомнадзор.

Так что, самым действенным вариантом борьбы с этой проблемой будет не использовать в качестве DNS-сервера свой домашний роутер (который как правило использует провайдерские DNS-серверы), а вместо этого использовать в качестве DNS-сервера тот самый, упомянутый выше, купленный виртуальный сервер. Для чего, конечно, потребуется установить на нём соответствующий софт, но это не так сложно, как может показаться. И вот уже там — настроить использование тех же DoT/DoH, и подключаться с их помощью к тем же 8.8.8.8/1.1.1.1. Главное — покупать сервер за пределами России.

Ожидалось, что применение ТСПУ должно сделать блокировки более точечными. Почему этого не произошло?

Постараюсь выразиться помягче: я очень сомневаюсь в компетентности работников, занимающихся блокировками, и ещё больше в компетентности их «начальства». Либо подозреваю саботаж с их стороны.

Если говорить о блокировке «случайных» ресурсов через ТСПУ, то стоит вспомнить, что в техническом задании на разработку комплексов, которые ставят в качестве ТСПУ, вообще не шло речи о реализации тех функций, которые по итогу стали востребованы для осуществления блокировок в том виде, как это происходит сейчас, так что их добавляли постфактум, «на скорую руку» и с кучей взаимных претензий. Из-за этого сейчас, выполняя требования «вышестоящего начальства», работники делают что могут, как умеют, выбирая из того, что есть, и получается, собственно, как получается.

То есть, техническая возможность анализировать трафик по отпечаткам существует, и, если бы ей пользовались, можно было бы «в два счёта» блокировать практически всё, что угодно (и даже намного легче заблокировать тот же Telegram), но заказанные в качестве ТСПУ комплексы DPI были изначально «заточены» на другое и имеют далеко не те мощности, чтобы хорошо справляться с этим всем. Впрочем, ходят слухи, что ведутся работы по исправлению обоих пунктов.

Так что, скорее всего, именно поэтому мы и можем наблюдать происходящие сейчас тупые ковровые блокировки торрентов и WireGuard чуть ли не «по номеру порта» (согласно заявлению пострадавших Wargaming и сообщениям от пользователей).