Так произошло 4 июня 2017 года, когда из-за действий злоумышленников оказались заблокированы социальные сети «Одноклассники» и «ВКонтакте», а также сайты РЖД, НТВ, РБК и «Первого канала». Причина инцидента – в давно известной уязвимости при блокировке запрещенных ресурсов по IP-адресу. Ее применяют некоторые провайдеры для экономии средств и минимизации усилий по созданию системы блокировки, при которой владелец запрещенного интернет-ресурса может ограничить доступ к любому сайту в сети Интернет.
Почему блокируются разрешенные сайты
Каждый владелец домена имеет доступ к настройке своих DNS-записей, в том числе если этот домен находится в списке Роскомнадзора и блокируется всеми операторами связи.
Владелец заблокированного ресурса может прописать у себя в DNS, после чего они тоже будут автоматически блокироваться всеми интернет-провайдерами, которые используют механизм блокировки по IP, так как при использовании такого вида фильтрации провайдер вынужден самостоятельно получать список IP-адресов для запрещенных ресурсов от DNS-сервера. Провайдеру трудно определить, принадлежит ли полученный им IP-адрес злоумышленнику или легитимному ресурсу. По такому же принципу работает и система проверки «Ревизор», отвечающая за контроль выполнения блокировок провайдерами и передающая сведения в территориальное управление Роскомнадзора.
Роскомнадзор не рекомендует применять этот способ блокировки, но и не требует использовать какой-то конкретный способ. Выбирает интернет-провайдер, а Роскомнадзор лишь дает рекомендации по возможным методам. Следовательно, с точки зрения законодательства провайдеры могут продолжать блокировать ресурсы по IP-адресу.
А заблокированных ресурсов много, причем их можно свободно приобрести и использовать в корыстных целях, компрометируя систему законного ограничения к запрещенным сайтам.
Как избежать проблемы
Решить возникшую проблему можно двумя способами:
- Оператор связи или интернет-провайдер должен осуществлять блокировку не по IP-адресу, а по URL для http-трафика или по доменному имени узла для https-трафика, извлекаемого из расширения SNI (Server Name Indication) в процессе инициации SSL-сессии. Такая возможность обеспечивается применением на сети оператора связи оборудования глубокого анализа трафика – DPI (Deep Packet Inspection), которое умеет извлекать эту информацию. Не все производители DPI поддерживают эту возможность, в частности популярная платформа Cisco SCE не умеет это делать, а у многих других она работает недостаточно надежно.
- Использовать рекомендуемый Роскомнадзором метод блокировки на стороне DNS-сервера провайдера, когда для запрещенных ресурсов DNS-сервер должен выдавать адрес не запрещенного хоста, а хоста провайдера со страницей-заглушкой. Данный метод не требует приобретения DPI-оборудования, но его также необходимо комбинировать с блокировкой по IP тех адресов, которые указаны в реестре. Такую схему проще реализовать, но она не обеспечивает достаточной надежности и ее легко обойти. Тем не менее ее использования на текущем этапе достаточно для удовлетворения требований Роскомнадзора.
Роскомнадзор со своей стороны предпринял усилия, чтобы попытаться минимизировать ущерб, причиненный «экономными» провайдерами. Он исключил из реестра часть хостов, которые управлялись хулиганами, создал белый список хостов, которые нельзя блокировать, и временно разрешил части провайдерам с «кривой» системой блокировки не определять IP-адреса из DNS, а блокировать только по IP из реестра.
Новые технологии
Чтобы избежать проблемы, необходимо использовать современный способ автоматической блокировки. Более 400 интернет-провайдеров по всей России и ближнему зарубежью и миллионы их абонентов не заметили проблемы с доступом к сайтам 4 июня 2017 года. Для блокировки ресурсов сети Интернет, находящихся в едином реестре запрещенных сайтов Роскомнадзора, они использовали систему анализа трафика СКАТ DPI от отечественного разработчика – компании VAS Experts.
«СКАТ DPI позволяет осуществлять автоматическую фильтрацию запрещенных сайтов. Если интернет-ресурс использует http-протокол, то фильтрация осуществляется исключительно по URL, а не по IP-адресу. Если соединение зашифровано и применяется протокол https, то имя ресурса извлекается из Server Name Indication (SNI) или Common Name сертификатов», – отмечает технический директор VAS Experts Дмитрий Молдованов.
По словам руководителя единого отдела разработки ООО «Орион телеком» Кирилла Иванова, перевод инфраструктуры компании на платформу СКАТ DPI позволил полностью автоматизировать процесс блокировки запрещенных ресурсов, избавив инженеров от регулярного ручного добавления и проверки актуальности соответствия списку Роскомнадзора.
Особенность системы СКАТ DPI – в использовании современных технологий фильтрации:
- автоматическая загрузка реестров фильтрации Роскомнадзора и Минюста из облачного сервиса;
- фильтрация по собственному списку оператора;
- фильтрация URL с кириллическими символами;
- фильтрация с маской в виде «*.domain.com»;
- блокировка https-трафика по Common Name сертификатов;
- поддержка Server Name Indication (SNI).
Эти новые технологии позволяют осуществлять блокировку максимально точно и эффективно, а дополнительные функции системы СКАТ DPI по управлению трафиком делают ее выгодным вложением для операторов связи.
VAS Experts – российский разработчик, который занимается созданием и внедрением инновационных сервисов контроля и анализа трафика. В компании работают инженеры-программисты с опытом работы более 15 лет. Продукты от VAS Experts предназначены для крупных российских и зарубежных операторов фиксированной и сотовой связи.
По материалам сайта www.itweek.ru