Cisco SCE и Роскомнадзор – проблемы взаимопонимания

4 апреля 2017
Роскомнадзор
Cisco SCE и Роскомнадзор – проблемы взаимопонимания
Не так давно, мы проводили сравнение Cisco SCE и СКАТ DPI по общим вопросам работы обеих платформ. С точки зрения операторов связи и интернет-провайдеров, одной из наиболее востребованных функций этих систем является фильтрация по спискам Роскомнадзора, и тут у американского коллеги отечественного СКАТ DPI начинаются серьезные проблемы, которые сейчас обозначим.

Сложности взаимопонимания между SCE и Роскомнадзором

«Что русскому хорошо, то немцу – смерть», — гласит русская пословица. В данном случае в роли русского – Роскомнадзор с защитой своих граждан, а в роли немца – американский DPI, который хоть и работает, но от русских требований норовит скончаться.

Пока список запрещенных URL небольшой и содержит ссылки только на сайты целиком, например, www.podzapret.ru, любая система фильтрации справляется с такой задачей адекватно. Но все чаще, необходимо фильтровать отдельные страницы сайта или контент, который на них размещен, вы же не будете запрещать доступ к сервису Youtube, только из-за того, что один ролик содержит экстремистские материалы. К тому же, список Роскомнадзора обновляется регулярно, а на реакцию со стороны оператора связи дается время от одного часа (экстремистские материалы, которых уже около 3000) до одних суток, за которые надо обновить его на оборудовании и проверить на предмет корректности блокировки. Не каждое оборудование позволяет это делать легко и быстро – возникают проблемы, грозящие штрафами.
проблемы cisco sce

Проблемы SCE

Cisco не понимает кириллические домены
Это означает, что перед тем как загрузить список таких URL на оборудование, необходимо переводить idn в punycode, что, во-первых, требует дополнительных действий, а во-вторых вызывает проблему с длиной строки, об этом дальше.
Длина строки ссылка, воспринимаемая SCE ограничена
При переводе и без того длинной ссылки в punycode, она становится еще длиннее и упирается в ограничение SCE, а, следовательно, перестает обрабатываться. Можно блокировать полностью домен, а не конкретный URL, но это не применимо ко многим сайтам, на которых требуется запретить только определенный контент. Это касается и блокировки IP адреса сайта, что также приводит к прекращению доступа ко всему ресурсу и не всегда работает (некоторым сайтам соответствуют сразу несколько IP адресов).

Существует вариант ограничения суммарной длины поля flavor 250 символами (которые точно SCE воспримет), обрезать остальное и поставить в конце символ «*». Но и это решение не идеально. Если «*» попадет за окончание юникод-символа %D0%xx, может возникнуть ошибка:

apply operation failed: Invalid Encoded String
‘/index.php/topic/718-%D0%BC%D0%BE%D0%BB%D0%BE%D1%87%D0%B8%D1%89%D0%B5-%D0%BE%D0%BD%D0%B0-%D0%B6%D0%B5-%D0%BC%D0%B0%D0%BD%D0%B0%D*’
for item of Flavor ‘FZ139’. Two chars after % should be followed by Hexa Digit.

Также SCE не может обработать запросы поиска, такого вида:

mp3.get.az/*q=%D0%B1%D0%B0%D0%B3%D0%B0%D1%83%D0%B4%D0%B4%D0%B8%D0%BD+

%D0%BC%D1%83%D1%85%D0%B0%D0%BC%D0%BC%D0%B0%D0%B4+%D0%94%D0%BE%D0%B2*

Но это не единственное ограничение SCE, он не поддерживает больше 20000 записей IP адресов в зонах, и этого явно недостаточно по меркам текущего времени – в реестре Роскомнадзора уже более 70000 URL и IP адресов, а их число постоянно растет.
Нет автоматической блокировки переадресованных ссылок
Ситуация, когда в список внесен URL запрещённого ресурса, переход на который осуществляется с разрешенного адреса в процессе переадресации не обрабатывается автоматически. Вы добавили в список блокировки www.podzapret.info, пользователь заходит на разрешенный www.podzapret.ru, с которого его автоматически переадресует на www.podzapret.info – блокировка не происходит, а должна.
Невозможны одновременное обновление списка SCE и блокировка URL
Во время загрузки данных на SCE через java API весь проходящий трафик перестает фильтроваться и блокироваться, соответственно, в это момент требования Роскомнадзора не выполняются, и оператор связи может получить штраф. Варианты обхода проблемы есть: отключить программы проверки Роскомнадзора на время загрузки списков или загружать разные ACL и применять их на интерфейсах сразу друг за другом (новый применить, старый удалить), но это неудобно.
SCE не умеет фильтровать URL по SNI и Common Name (CN), а значит бесполезен для HTTPs
Если учесть тот факт, что весь интернет планомерно движется к тотальному шифрованию и протокол HTTPs более распространён чем HTTP, отсутствие поддержки фильтрации по SNI и Common Name у Cisco SCE делает его непригодным для выполнения требований Роскомнадзора. Возможности блокировки только по IP и портам явно недостаточно. Поддержка SNI позволяет блокировать только определенный домен вместо всего IP, для которого может быть группа CN, но SCE это делать не умеет.
SCE не обновляется и не будет обновляться
Еще с 2015 года SCE8000 End-of-Sale and End-of-Life, что не мешает им продаваться на вторичном рынке, но с сентября 2017 года — End of SW Maintenance. А это значит, что никаких обновлений, новых релизов и баг-фиксов, использование оборудования такого уровня и ответственности без поддержки, это большой риск для любого оператора связи.
скат dpi

Как быть?

Выбрасывать дорогие Cisco SCE на помойку конечно не стоит, но для фильтрации по списку Роскомнадзора их точно использовать уже не стоит. Это устройство DPI не создавалось, чтобы удовлетворять требованиями Российского законодательства в рамках осуществления ограничению доступа к информации, распространяемой посредством информационно-телекоммуникационной сети «Интернет». Поэтому его использование превращается в «квест», которые приходится регулярно проходить – обойти ограничения, подстроить под свои нужды, написать скрипты, а не выполнение условий влечет вполне реальные и ощутимые штрафы.

Проще купить российский СКАТ DPI, который в начальной комплектации стоит около 80 тысяч рублей (размер 1-2 штрафов) без стоимости аппаратной платформы (любой совместимый x86 сервер). Эта система, которая изначально создавалась для выполнения требований Роскомнадзора, делает это с высокой точностью, автоматически и не требует дополнительной квалификации сетевых администраторов.

Тем более, вы получаете не только блокировщик URL, но и возможность апгрейда до полноценной платформы, со всеми вытекающими функциями: управление полосой пропускания, QoS, аналитика в реальном времени, блокировка рекламы, Captive Portal и другие. Это уже отдельная тема, про которую мы писали раньше.

Более подробную информацию о преимуществах СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также миграции с других платформ, вы можете узнать у специалистов компании «VAS Experts», разработчика и поставщика системы анализа трафика СКАТ DPI.

Мы используем файлы cookies для оптимизации функциональности сайта и улучшения качества услуг. Нажимая «Принять», вы даете согласие на работу с этими файлами. Чтобы узнать больше, пожалуйста, прочтите нашу Политику конфиденциальности.