{"id":9390,"title":"\u041a\u0430\u043a \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f \u043f\u043e\u043c\u043e\u0433\u0430\u0435\u0442 \u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c \u0440\u0430\u0431\u043e\u0447\u0438\u0435 \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u044b ","url":"\/redirect?component=advertising&id=9390&url=https:\/\/vc.ru\/promo\/305439-reshenie-dlya-biznesa-zashchitit-rabochie-kompyutery-i-tratit-menshe-na-tehpodderzhku&placeBit=1&hash=4ea9d1d61c4062a3298d30372d4661b75dccd4b06bc8ec1d444f810e530f2e6c","isPaidAndBannersEnabled":false}
Офтоп
Илья Рогов

На линии фронта цифровой войны: как работают блокировки Роскомнадзора

Сетевые специалисты дата-центра Xelent — о том, как технически работают пресловутые блокировки и что должны делать операторы связи, чтобы не лишиться лицензии.

Любая компания, которая предоставляет коммерческие услуги передачи данных, обязана иметь и продлевать лицензию, выдаваемую Роскомнадзором. Следовательно, любой оператор связи обязан подчиняться требованиям регулятора, в том числе по ограничению доступа к информации. Кстати, это касается только коммерческой деятельности — если вы не берёте плату за связь и передачу данных, то теоретически вас эти требования не касаются.

Мы — коммерческий дата-центр, наш принцип carrier neutral — это значит, что мы не навязываем клиентам сервис по доступу в интернет, можем организовать связность с любым из 25 интернет-провайдеров, представленных на нашей площадке, но можем дать и свой доступ в интернет. И для таких случаев (которых немало, потому что цены на интернет у нас низкие) у нас есть лицензия оператора, а значит, мы обязаны выполнять все требования РКН.

Начинается всё с получения выгрузки — специального XML-файла, который постоянно обновляется Роскомнадзором. Все зарегистрированные операторы, которые имеют лицензию на телематические услуги, обязаны этот файл получить, обработать и заблокировать то, что там содержится.

Первый способ, который Роскомнадзор использует уже довольно давно, — получение файла с сайта rkn.gov.ru по HTTP. Оператор направляет на известный URL веб-запрос, подписывает его сертификатом, который каждый оператор получает для себя в центре сертификации (кстати, это стоит денег), и получает ответ — это и есть файлик, дамп XML.

Второй способ сейчас введён для всех крупных операторов — это так называемая «дельта». Файл выгрузки формируется примерно раз в час. А периодически становится доступным не полный файл, а разница — то, во что РКН внёс изменения: «дельты», дельта-1, дельта-2, дельта-3. И операторы закачивают каждый раз не полную выгрузку, а изменения: это быстрее и удобнее.

Далее перед оператором стоит задача заблокировать список сайтов в файле. Есть два способа, которые РКН официально считает правильными.

Первый – DPI, Deep Packet inspection — глубокое изучение пакета. Представим, что у оператора есть некий маршрутизатор, на который подключены клиенты, и есть маршрутизатор, который ведёт в интернет. Между ними (напрямую или через зеркало, это уже нюансы) ставится мощный сервер DPI, в котором должно быть много памяти и хорошие сетевые карты, потому что весь пользовательский трафик идёт через него.

Программное обеспечение DPI анализирует проходящие пакеты трафика и не пропускает те, которые соответствуют правилам, описанным в файле РКН. Есть коробочные сертифицированные DPI, есть самописные DPI. Роскомнадзор рекомендует пользоваться сертифицированными, но это необязательно. У Xelent, например, свой DPI.

Второй путь — блокировка по DNS, Domain Name Service, служба доменных имён. Сейчас он уже потерял свою значимость, потому что через DNS трудно добиться правильной блокировки.

Как работает DNS? Клиент вбил в браузере запрос, например, rutracker.org, его компьютер отправляет запрос на соответствие этого имени IP-адресу - либо DNS-серверу провайдера, либо DNS-серверу какого-то другого узла сети, это не имеет значения, потому что, как правило, DNS-запросы перехватываются провайдерами.

И вот этот провайдер, чтобы организовать блокировку, не возвращает правильный адрес заблокированного сайта, а сообщает некий поддельный адрес с другим IP, где, например, висит страничка с объявлением о блокировке сайта.

И третий вариант блокировки, самый лобовой — по IP-адресу сервера, где находится запрещённый контент. Но поскольку в этом случае весьма вероятно под раздачу попадают сторонние сервисы и сайты, то его использование может носить ограниченный характер — об этом чуть ниже, а теперь о том, что мы видим в файле выгрузки РКН.

Выгрузка РКН состоит из трёх основных типов записей. Первый тип – блокировка по адресу страницы, URL, он начинается так: http:// доменное имя, / страница. В этом случае блокируется доступ не ко всему сайту, а к его конкретной странице: например, к статье с запрещённой информацией. Второй тип – блокировка по домену. Здесь в файле указывается домен, сайт и IP, который Роскомнадзор зафиксировал для этого сайта.

Второй способ применяется, когда Роскомнадзор решил заблокировать весь домен целиком, например, Rutracker или LinkedIn. Домены могут быть как сами по себе, так и с поддоменами: *.linkedin.com, то есть всё, что включается в linkedin.com, блокируется.

Третий тип блокировки — по IP, когда Роскомнадзор может указать IP-адрес. Так блокируются сайты, которые реализованы не как веб-сайты, а как различные сервисы. Именно так блокируется Telegram, поскольку в его основе не веб-страница, а сервис.

Точно так же — по IP — РКН ранее боролся с интернет-рацией Zello. И поскольку один IP адрес может быть назначен нескольким виртуальным серверам, то здесь как раз и возникает проблема, с которой столкнулось из-за блокировки Telegram множество сервисов, использующих те же IP-адреса, что были заблокированы под одну гребёнку с мессенджером.

В чём вообще основная проблема с реализацией блокировок? В протоколе HTTPS, который обеспечивает шифрование веб-страниц. По протоколу HTTP данные и страницы передаются в нешифрованном виде.

А протокол HTTPS был разработан для того, чтобы решить все проблемы безопасности протокола HTTP: зашифровать всё внутри, чтобы никто снаружи не смог влезть в передаваемую страницу, подсмотреть содержимое – например, номера кредитных карт или персональных данных. И эту задачу успешно решили.

А вот те, кто хотят что-то отфильтровать, что-то подделать, в нашем случае — реализовать требования РКН, сталкиваются с трудностями. Главная – то, что в протоколе HTTPS нельзя выяснить страницу на сайте, на которую идёт пользователь.

В рамках HTTPS обмен данными идёт примерно по такой схеме: пользователь вбил доменное имя, оно преобразуется в IP, и начинается запрос на этот хост. И вот в рамках этого запроса наружу не отдаётся ничего кроме IP-адреса, даже не узнать, на какой домен идёт пользователь. В этом случае придётся заблокировать все запросы на этот IP: страдают все, кто на нём находится.

Хорошие новости в том, что все современные браузеры весьма «разумны» — они не просто отправляют IP сервера, а ещё указывают SNI-идентификатор, это некое имя, которое определяет, с какого домена нужно получить данные. И это, к счастью, позволяет системам DPI не блокировать все IP скопом, а, проанализировав запрос, понять, на какой домен всё же хочет пойти клиент, и заблокировать только его.

Но больше домена в случае HTTPS ничего определить невозможно, соответственно, непонятно, на какие страницы идёт клиент. Бывают случаи в выгрузке РКН, когда указывается сайт и страница – но всё это внутри HTTPS, то есть это приводит только к тому, что блокируется весь сайт, потому что саму страницу выделить нельзя. Такое редко, но бывает.

Поэтому, когда РКН требует заблокировать ролик на YouTube, то они добавляют строчку в выгрузке в формате HTTP, и ни одной страницы HTTPS на YouTube в выгрузке нет – если бы они были, нам пришлось бы блокировать весь YouTube.

Теперь пара слов о том, как регулятор контролирует исполнение блокировки. Каждый провайдер связи обязан установить в своей сети программно-аппаратный комплекс «Ревизор». Эта система проводит постоянные тесты, доступны ли из нашей сети адреса из выгрузки, и если они доступны, отправляет отчёты в РКН. Мы тоже можем видеть эти отчёты в своём личном кабинете – он есть у каждого оператора, включенного в «Ревизор», — и понимать, что у нас блокируется, а что нет. Так мы можем сами себя контролировать.

Если у нас что-то ломается, мы должны сообщать об этом в местное представительство Роскомнадзора, если это длительное время – от 12 часов и дольше – у нас не работает, то наступают санкции, достаточно серьёзные штрафы, причём и на компанию, и отдельно на ответственное лицо. Поэтому операторы в целом следят за соблюдением требований регулятора, так как за многочисленные нарушения можно и лицензию потерять.

0
16 комментариев
Популярные
По порядку
Написать комментарий...
Георгий Пришкин

Будто немцы взяли в оккупацию, только это своя же власть

Ответить
25
Развернуть ветку
Илья Мартынов

Боже мой, сколько денег тратится впустую... специальные севера, программные комплексы, системы "ревизор", человеко-часы, да и весь Роскомнадзор с его бюджетом. И все это ради контроля и "безопасности". Причем на выходе ни контроля, ни безопасности. А деньги из кармана забрали 😣

Ответить
13
Развернуть ветку

Комментарий удален

Развернуть ветку
Denis Cartman

Столько денег и геммороя всем завязаным лицам и ради чего? Бред, блин.

Ответить
6
Развернуть ветку
Дмитрий Маничев

Раздражает. Знакомые экстренно переносят все свои проекты на RU серверы: а там не только блоги, но и крупные ИМ, целые платформы. Плюс в России не так много аналогов DO. Пока друзья ориентируются на Timeweb из-за помощи с переносом.

Ответить
–35
Развернуть ветку
Dmitry Prudnikov

Гений рекламы, блять. Хотя бы концы прячь, что работаешь в таймвебе.

Ответить
26
Развернуть ветку
Anton Ilabanau

аха
скорее из рашки свалят все, чем все сюда перенесут.

Ответить
6
Развернуть ветку
Miroslav Tsarev

Сколько приходилось работать с хостингами, каждый второй предлагает помощь в переносе сайта к себе

Ответить
1
Развернуть ветку

Комментарий удален

Развернуть ветку
Dmi Q

Интересно, что на главной Яндекса нет развития всей это истории с истерическими блокировками Роскомнадздора, в новостях вчера и сегодня, ох не зря их в друзья Путина записали, свободное распространение информации не их конёк

Ответить
4
Развернуть ветку
Василий Петров

Хорошая статья. А много в файле блокировок вида (https:// + страница), а не весь IP целиком?

Ответить
1
Развернуть ветку
dy

Толку от блокировок Youtube по http - ноль.

Ответить
1
Развернуть ветку
Георгий Пришкин

Со всех сторон обложили

Ответить
1
Развернуть ветку
Руслан Киямов

Спасибо добрый человек!
За простое объяснение как там у вас, у операторов, все устроено...

Ответить
1
Развернуть ветку
Виталий Морозов

Видимо Kerio в "чей-то голове" дал фатальный сбой :D

Ответить
0
Развернуть ветку
Виктор Маскин

Только фишка в том что Телеграмм блокировали блоками адресов, не присылали они доменные имена

Ответить
0
Развернуть ветку
Yegor Yeremenko

Вопрос датацентру: Во сколько вы оцениваете capex и opex этой регуляторки?

Ответить
0
Развернуть ветку
Егор Летов

Сарех и орех? Это что-то из Израильской мифологии?

Ответить
0
Развернуть ветку

Комментарий удален

Развернуть ветку
Читать все 16 комментариев
Baring Vostok инвестировал $13 млн в российскую платформу автоматизации маркетинга Mindbox Статьи редакции

Деньги направят на развитие продуктов, опционный пул и сделки.

Как автоматизация работы юристов экономит время и деньги

В работе любой компании есть важнейшая рутина, малозаметная со стороны. Например, корпоративные юристы – это почти всегда «бойцы невидимого фронта», но от качества их претензионно-судебной работы зависит благополучие всей корпорации. Особенно если у вас в работе тысячи договоров, претензий и судебных дел. Тут поможет только глубокая автоматизация…

Улучшаем UX: ранжирование требований и анализ поведенческих переменных

Казалось бы, ваши копирайтеры хорошо постарались и изложили на сайте всю возможную информацию о продукте и его использовании, которая может интересовать потребителя. Но в техподдержку продолжает поступать большое количество звонков по самым рутинным вопросам, ответы на которые точно есть в разделе «Помощь». Возможно, пользователи просто…

Праздник к нам приходит: когда заказывать подарки за рубежом

Ещё в ноябре для логистических компаний начинается горячий сезон, который продолжается до марта. 11 ноября — большая распродажа AliExpress, а сразу после неё — Чёрная пятница, плавно перетекающая в подготовку к Новому году, 14 и 23 февраля, и, наконец, к 8 марта. В это время Почта и другие логистические службы по всему миру доставляют особенно…

Фоторамка 2.0 или что подарить бабушке на Новый год

Давно мечтал подарить бабушке фоторамку для просмотра фотографий детей и внуков, но нужно было как-то поддерживать актуальность фотографий, загружать их на флешку, такое себе занятие.

Юристы оценили решение Верховного суда по штрафу из-за маски по фото

Советник административной и уголовно-правовой практики юридической фирмы «Надмитов, Иванов и Партнеры» Булат Тугутов дал комментарий для РБК о решении Верховного суда РФ по штрафу из-за маски.

Голова не варит: 10+ советов, как предотвратить умственное переутомление

Наш мозг потребляет уйму энергии, но мы почему-то часто игнорируем, продолжая нагружать его новыми задачами. Как следствие — возникает умственное переутомление, и мы печально и бессильно глядим в пустоту в конце дня. Разбираемся, почему такое состояние возникает и как с ним бороться.

Talantix подключил интеграцию с Telegram

Облачная CRM-система для рекрутмента Talantix расширила возможности общения HR-команд с кандидатами внутри сервиса. К уже существующим интеграциям — с Viber и WhatsApp — добавился Telegram!

Сезон подкаста как эксперимент: научили ведущих бегать и отправили на полумарафон. Кейс Sports.ru и adidas
Платежи в Южной Африке

Несмотря на то, что Южная Африка находится (сюрприз) в Африке, мобильные кошельки или QR-коды там совсем не используются, в отличие от большинства стран континента. И причина тому -- сильная банковская система, доставшаяся стране от Британской империи. Как следствие, в плане банковских услуг и платежей Южную Африку сложно отличить от…

null