Горячее
Лучшее
Свежее
Подписки
Блоги

Краткий обзор средств слежения и блокировки трафика в РФ

Посидел я в профильных чатах, порылся в интернетах, пообщался с людьми и насобирал немного информации, которой и хочу поделиться. Государство в лице МВД, РКН и других структур давно и охотно занимается сбором информации об активности пользователей в сетях связи. На данный момент на сетях провайдеров интернета должны быть установлены как минимум 5 програмно аппаратных комплексов, что бы пользователи этого самого интернета не лезли куда не следует, или что бы быстро дать по пальцам если таки залезли или сделали что-либо противоправное.

Начнем с самого старого и будем продвигаться по мере появления систем на сетях провайдеров. СОРМ - Система оперативно разыскных мероприятий. Современная ее итерация СОРМ-3 получает информацию обо всех пользвателях провайдера с биллинга, радиус сервера, сервера доступа(BRAS), DPI системы. Работает система в режиме реального времени. Хранит информацию до трех лет, и позволяет оперативным службам на основе собранной статистики сформировать полную картину профиля пользователя. Предыдущие итерации СОРМ-2 и СОРМ-1 работали несколько иначе но так же использовались для формирования профиля пользователя и собирали полную информацию действиях в интернете. Установка данной системы осуществляется за счет провайдера и обязательна для всех кто работает в этой сфере. Доступ к СОРМ имеют только сотрудники правоохранительных органов с определенным уровнем доступа и только со специального пульта. Представляет из себя большую "черную коробку" которую провайдер подключает к надежным каналам связи, что бы к ней всегда был доступ а так же интегрирует со всеми своими системами.

Далее DPI(Deep Packet Inspection), данные системы стоят на сетях провайдеров с 2012 года, для выполнения ФЗ 139. Данный закон обязывает провайдеров связи следить за федеральными реестрами запрещенных сайтов и IP адресов, и своевременно блокировать к ним доступ. Данная фильтрация должна быть максимально гибкой что бы не заблокировать что-нибудь лишнее. Но все мы помним войну с телеграмом и сотни если не тысячи пострадавших ресурсов при работающем телеграме. Провайдеры устанавливают данные системы так же за свой счет. Представляют собой они обычные серверы со специализированным ПО. Обычно подключаются по схеме "Зеркалирования трафика", т.е. сбоку сети и ни как ее не нагружают. Так же возможны установки в разрыв, обычно при такой схеме они же и являются сервером доступа и интегрированы с биллингом провайдера.
Все установленные системы DPI у провайдеров работают централизованно, в том смысле что информацию о блокировках получают из одного места, раз в 2-3 часа скачивая изменения реестров, а раз в сутки перекачивая реестры полностью. С их же помощью провайдеры могут предоставлять белые списки, государственные в том числе, есть такой реестр социально значимых ресурсов, и родительский контроль для конечных пользователей.

Обеспечивают 4 типа блокировок, dns, http/https, полностью домен, полностью IP. Если при попытке зайти на какой-либо сайт вас перенаправило на страицу с информацией о том что данный ресурс заблокирован в соответствии с ФЗ 139, значит это отработала DPI система провайдера.

Одни из самых популярных комплексов у провайдеров в РФ это Carbon Reductor DPI X и СКАТ DPI. Лицензии на них предоставляются по подписке, цена зависит от количества активных пользователей, объема трафика, уровня поддержки, в некоторые тарифные планы входит страховка от штрафов РКН при пропусках фильтрации.

АС Ревизор - Появился чуть позже DPI, предназначен для контроля выполнения провайдером ФЗ139. Представляет из себя роутер с самописной прошивкой/скриптами, подключенный к сети провайдера ровно тем же способом которым подключены клиенты. Устанавливается за счет государства. Раз в несколько часов качает копию реестра и проверяет работу DPI. Если выпадает из сети провайдер получает письмо от ГРЧЦ(Государственный радиочастотный центр) с просьбой(требованием) устранить неполадку. Если обнаруживает пропуски фильтрации то провайдер может получить предупреждение или штраф в зависимости от продолжительности и процента пропусков. Судя по графикам статистики работы DPI дает максимальную нагрузку на нее, в том смысле что пики блокировок приходится на пики его активности. Если его выключить статистика срабатываний DPI резко стремится к прямой околонулевой линии.

DNS Рекурсор НСДИ - рекурсивный DNS сервер в качестве корневых у которого указаны серверы Национальной Системы Доменных Имен. Обязателен к установке на сетях провайдера. Так же обязателен для выдачи клиентам при динамической настройке протокола доступа. Работает примерно с 2021 года. Предназначение официальное - DNS будет работать если корневые DNS серверы расположенные за пределами РФ будут отключены. (Всегда читал как если Россию отключат от DNS). На первых этапах внедрения корневые серверы постоянно падали, или просто не резолвили вообще ничего. Сейчас работают стабильно, интернеты людям при помощи этой системы заблокировать полностью не получится, но попортить нервы можно. А так же побыстрому усложнить какому-нибудь домену жизнь. Развертывается за счет провайдера, благо практически бесплатен, т.к. для работы достаточно виртуалки на Linux и должным образом настроенным PowerDNS.

ТСПУ - технические средства противодействия угрозам. Самое новое и самое веселое и то что нам всем сейчас блокирует VPN, отключает telegram и whatsapp. Пока еще мало изучена но принципы работы примерно понятны. Система обязательна к установке на сети каждого провайдера, большого или малого. Устанавливается за счет государства. Представляет собой набор серверного оборудования, в количестве достаточном для просеивания всего трафика провайдера, примерно пол серверной стойки на 30 гигабит трафика(но тут конечно у всех может быть по разному). Устанавливается строго в разрыв между сервером доступа провайдера и его аплинком, либо между клиентами провайдера и сервером доступа. Доступ к управлению есть у сотрудников ГРЧЦ. Умеет блокировать по протоколу, IP источника или назначения, либо по их паре, порту назначения и другим признакам пакетов. Откуда берет информацию для блокировки не совсем ясно. Но по наблюдениям централизации как в случае с DPI нет и решения о том что нужно блокировать спускаются до конечных сотрудников которые что-то делают вручную на серверах. Например у кого-то VPN на базе Wireguard не работает, у других работает до тех же зарубежных IP адресов. А вот OpenVPN не работает ни у кого практически до любых IP адресов.

Есть белые списки IP адресов корпоративных VPN, по информации полученной из третьих рук(эти третьи руки говорили с работником ГРЧЦ), администрируются эти списки сотрудниками ГРЧЦ вручную напрямую на оборудовании, при этом вносятся изменения только внутри региона. Если вы хотите обелить свой рабочий VPN, не факт что он заработает из других регионов.

Проверяет наличие трафика АС Ревизор, если трафик отсутствует, ГРЧЦ могут подумать что провайдер хитрит и для своей безопасности пускает трафик прямиком на DPI для сто процентной уверенности что трафик проверяющей системы будет блокироваться правильно.

В Дагестане и Башкирии во время народных движений включились блокировки по принципу мы не знаем что это за трафик, поэтому он не пройдет. (Т.е. остатеся работать http/https, ssh на дефолтном порту, почта, и мы конечно знаем как это использовать)

Были получены довольно достоверные сообщения о причинах поломки ТСПУ:

  1. В сети провайдера завелся клиент который занимался активным TCP sync сканом, или клиент подцепил какого-то зловреда в этих ваших интернетах, в результате чего нагрузка на CPU у ТСПУ упиралась в потолок и он не хотел нормально работать.

  2. В одном из регионов начли блокировать TOR трафик, через какое-то время ТСПУ у одного из провайдеров сошел с ума, и начал замедлять и рубить вообще весь трафик. Канал провайдера просел в несколько раз, то что проходило проходило с задержками как будто шло через Америку. Страдал не только трафик клиентов, но и управляющий трафик ответственный за BGP. Диагностика заняла 10 минут, и несколько часов на общение с поддержкой ТСПУ, но инцидент признали и фильтрацию выключили.

В заключении немного черного юмора или теории заговора нашего времени -

Если вы зарегистрированы на Госуслугах, то скорее всего весной 2023 года вы получали письмо с просьбой установить корневой сертификат безопасности, мол для безопасного интернета и все такое. Нужен этот корневой сертификат для того что бы ваш браузер доверял SSL сертификатам выпущенным на его основе. Так вот, если вы установили данный сертификат себе в систему или на телефон, а скорее всего так или иначе он к вам попал, например с ЯндексБраузером, либо по инструкции от Сбербанка, т.к. их сайт пока единственный который я нашел с сертификатом выпущенным этим удостоверяющим центром The Ministry of Digital Development and Communications , то может произойти следующее - наше государство теперь имеет очень даже техническую возможность устраивать MitM атаки при помощи ТСПУ и этого удостоверяющего центра. Например выпускается сертификат для доменов youtube.com или facebook.com, устанавливается на ТСПУ и начинают перехватывать трафик от нужного IP до этих ресурсов, подменяя их собой. И браузер жертвы ничего ей не подскажет, т.к. он полностью доверяет этому сертификату. А там уже и пароли и переписки и все остальное. Как проверить установлен ли в вашей системе этот сертификат, просто зайдите на sber.ru, если браузер выдаст ошибку безопасности, то сертификата у вас нет.

Выглядит как теория заговора, но техническая возможность прямо реальная.

Рад бы сказать что это только у нас, но увы, это общемировой тренд, как с блокировками, так и с удостоверяющими центрами ssl сертификатов. На уровне европарламента так же прорабатывается вопрос об этом.

За сим откланиваюсь, всем свободного Интернета!

Информационная безопасность Цензура в интернете Блокировка Обзор Длиннопост Текст Telegram (ссылка)
8
Все комментарии Автора