После недавнего скандала с ошибочной блокировкой Google.ru Роскомнадзор обновил рекомендации операторам связи по ограничению доступа к запрещённой информации в Интернете. В частности, обновлены пункты 8.1-8.3 о технических условиях фильтрации (pdf новой версии документа).Теперь провайдерам рекомендуется осуществлять фильтрацию не по IP-адресам, а непосредственно по содержимому пакетов:
Фильтрацию трафика рекомендуется производить готовыми аппаратно-программными комплексами DPI, свободно-распространяемыми программными комплексами анализа и фильтрации сетевого трафика, а также путем приобретения услуги по получению фильтрованного трафика от вышестоящего оператора связи.
Система DPI (Deep Packet Inspection) позволяет проводить глубокий анализ пакетов трафика, а затем фильтровать его на предмет наличия указателей страниц определённых сайтов или доменов.
Если провайдер использует свой комплекс DPI, то ему рекомендуется самостоятельно производить резолвинг информационного ресурса, доступ к которому должен быть ограничен. Таким образом Роскомнадзор надеется избежать «неправомерного ограничения доступа к отсутствующим в выгрузке Роскомнадзора информационным ресурсам».
Провайдерам, не использующим DPI, рекомендуется ограничивать доступ к доменному имени посредством фильтрации запросов ко всем DNS-серверам.
В случае, если провайдер получает уже отфильтрованный трафик от вышестоящего оператора, то ему не грозит привлечение к ответственности за неосуществление блокировки противоправной информации, как предусмотрено законодательством. В этом случае решения о наложении штрафов «будут приниматься с учетом условий договоров, заключённых между такими операторами связи».
Кроме того, операторам связи рекомендуется производить получение и обработку выгрузки не реже двух раз в сутки.
Напомним, что Роскомнадзор признал наличие дыры в системе блокировок, которая позволяет заблокировать ресурс, официально не внесённый в чёрный список. Для этого нужно внести адрес ресурса жертвы (которую вы хотите заблокировать) в DNS-запись домена, уже внесённого в чёрный список. Александр Жаров сказал, что решением этой проблемы может быть «законопроект, дающий органам власти право самостоятельно определять порядок блокировки ресурсов». А до тех пор заблокировать в РФ можно что угодно, абсолютно произвольным образом.
Поделиться с друзьями
oleg0xff
А как быть с шифрованным трафиком? Например https?
А вообще ждем замедления интернета в связи с нововведениями.
ivan386
Предлагают блокировать фильтруя DNS запросы. Пользуйтесь DNSCrypt.
x67
круто.
antey86
когда выпустят закон об изнасилования по субботам посоветуете пользоваться вазелином?
наверное в России и в этом случае все начнуть искать лайфхаки…
Fllash
Зачем лайфхаки? Подсуетятся ребята, начиная с брачных агенств, заканчивая сайтами знакомств, подадут это как доп.услугу и VIP-сервис, платную, само собой. Больше скажу — народ еще и «вау, круто!» будет кричать.
*тут могла быть картинка вида «shut up and take my money», но лень.*
Malevolent
Сделают сервис с электронной очередью, чтобы люди пораньше освобождались в субботу.
ukt
О, спасибо за ещё один инструмент в копилку параноиков.
pwrlnd
oleg0xff, для https имя домена получается элементарно. Любой DPI это умеет. А DNS рекомендуют блокировать только тем, кто не внедрил DPI.
DjPhoeniX
Только если SNI. А оно есть не у всех. Хотя, 2017 год, может, динозавры скоро довымирают…
ivan386
SNI скоро зашифруют в TLS 1.3
Bonio
То есть в 1.3 уже не будет видно домена? Как скоро TLS 1.3 будет распространен повсеместно? Оказывается, в firefox можно уже сейчас включить его поддержку, которая почему то по умолчанию выключена. Из сайтов пока только cloudflare.com с ним работает, похоже.
vesper-bot
SNI ввели как раз для того, чтобы сервер заранее знал, каким сертификатом ему ответить на clienthello. Поэтому зашифровать SNI пока что не получится. Думаю, если распространится DNS TLSA как технология, можно будет шифровать запрос clienthello публичным ключом сервера, выложенным в TLSA, а хинт серверу передавать, скажем, соленым хэшем этого же ключа (ну или ещё как-нибудь, чтобы сервер без расшифровки запроса мог определить, каким именно ключом он зашифрован, и не сильно-то палить в запросе, что это за запрос, к какому он сайту). Но да, это ИМХО дело для TLS1.3, а скорее для TLS2.0.
ivan386
[TLS] Encrypted SNI
vesper-bot
Будут блокировать гейты в таком варианте исполнения. Также гейт может быть подменен MitM-провайдером на DPI, оттуда скушан SNI и в случае разрешенного трафика отдан ответ типа required secure renegotiation (вроде бы в ServerHello можно такой отдать), с перенастройкой маршрутизации для клиента, чтобы сессию не перехватывать. Иначе дропать или отдавать страницу блокировки.
Pave1
Ну помимо SNI имя домена можно вынуть из атрибутов сертификата сервера. Нет?)
ivan386
Сертификат то может быть на пачку доменов.
Pave1
Точность конечно не 100%. Но весьма высока.
ferocactus
То есть по IP можно будет подключаться?
ivan386
Можно по всякому. Вопрос в том сможет ли провайдер воспрепяствовать этому. Если у провайдера нет DPI и осуществляется блокировка подменой DNS то по IP должно быть возможно подключиться.
khanid
Только SNI, т.е. по доменному имени. Других вариантов там кроме mitm и блокировок по ip быть не может.
ivan386
Но ведь DNS же говорят подменять (фильтровать)
Bonio
DNS трафик сам по себе не шифрован, поэтому провайдерам не составляет труда его подменять. Мой так и делает, например, причем независимо от того, к какому DNS серверу я обращаюсь.
Ну тут спасает DNSCrypt и DNS сервера от OpenNIC.
khanid
Это mitm, по сути. Да и то, направлен на выяснение доменного имени/подмену ответа. Так что вряд ли чего они придумают.
vconst
Сюда так и просится картинка «Костыли и велосипеды».
Осталось узнать, кто выдаст провайдерам деньги на DPI?
sirocco
Пользователи, так или иначе.
oleg0xff
Epoiiika
А спамить в комментах обязательно? Создайте свою новость с блекджеком
oleg0xff
У меня нет таких прав
eov
Картина мира (ру.нут-а) видится мрачной...
justiq
Все кто хотел, уже давно свалили из этого ада в цивилизацию. Остались извращенцы типа нас, или бесполезные нищеброды, которые никому в цивилизации не нужны.
vasiache
Эм, а в цивилизацию это куда? Вернее в какую часть :)
StallinHrusch
так в чем проблема: создаешь «дочку» (или не дочку) которая получает отфильтрованный трафик. Но затем она его «расфильтровывает» (пускает через vpn, dnscrypt, etc). Ну а в договоре прописать все как удобно и торговать только услугами «дочки».
Не?
ivan386
А «папка» будет отхватывать штрафы? Или расшифровываться будет уже у пользователя?
Я предлагал разделить провайдеров на тех кто предоставляет только локальную сеть и тех которые будут к ним подключаться и предоставлять интернет по VPN.
StallinHrusch
А папку вобще можно не регистрировать как провайдер. У него фактически 1 клиент — дочка
eov
Вчера обнаружил, что из дома перестал работать habrahabr и geektimes.ru потому, что адреса попали в "списки" из-за того, что их внесли в DNS.
$ dig 1520x520s.com
; <<>> DiG 9.10.3-P4-Ubuntu <<>> 1520x520s.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8474
;; flags: qr rd ra; QUERY: 1, ANSWER: 15, AUTHORITY: 0, ADDITIONAL:
1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;1520x520s.com. IN A
;; ANSWER SECTION:
1520x520s.com. 3600 IN A 31.13.92.36
1520x520s.com. 3600 IN A 91.228.155.94
1520x520s.com. 3600 IN A 100.0.5.6
1520x520s.com. 3600 IN A 87.240.165.80
1520x520s.com. 3600 IN A 192.30.253.112
1520x520s.com. 3600 IN A 178.248.237.68
1520x520s.com. 3600 IN A 95.213.11.181
1520x520s.com. 3600 IN A 134.168.39.186
1520x520s.com. 3600 IN A 104.20.208.21
1520x520s.com. 3600 IN A 116.116.116.117
1520x520s.com. 3600 IN A 104.20.209.21
1520x520s.com. 3600 IN A 100.2.9.44
1520x520s.com. 3600 IN A 185.60.216.35
1520x520s.com. 3600 IN A 134.168.42.58
1520x520s.com. 3600 IN A 192.30.253.113
;; Query time: 89 msec
;; SERVER: x.x.x.x#53(x.x.x.x)
;; WHEN: Thu Jun 29 08:09:31 MSK 2017
;; MSG SIZE rcvd: 282
ivan386
Так в этих рекомендациях сказано: Не умееш DPI и другие фильтры делай всё только по списку. Дайте им почитать. То есть IP можно блокировать только из списка.
eov
Два раза прочитал рекомендации и не понял на какой пункт ткнуть пальцем своему провайдеру.
ivan386
Последнее предложение пункта 9.1
К сожалению скопировать текст не получается.
eov
В "выгрузке" РКН есть только заблокированный домен 1520x520s.com без указания IP адресов. Провайдер резолвит и блочит. Как применить последнее предложение п. 9.1 к данной ситуации?
ivan386
В данном случае как я понимаю не блокировать так как нет достаточной иформации(IP) в реестре для осуществления блокирования по IP как единственно доступного провайдеру способу.
eov
Я даже просить не буду. "Ревизору" все равно есть в реестре IP или нет. Штраф прийдет вне зависимости от этого.
ivan386
Значит судиться надо. Суды будут смотреть на то что в реестре. В реестре IP нет? Нет.