4 июня из-за действий злоумышленников оказались заблокированы социальные сети «Одноклассники» и «ВКонтакте», а также сайты РЖД, НТВ, РБК и «Первого канала». Причина инцидента — в давно известной уязвимости при блокировке запрещенных ресурсов по IP-адресу. Ее применяют некоторые провайдеры для экономии средств и минимизации усилий по созданию системы блокировки, при которой владелец запрещенного интернет-ресурса может ограничить доступ к любому сайту в Интернете.

И подобная ситуация может повториться вновь, потому что далеко не все провайдеры используют современные способы фильтрации ресурсов, находящихся в едином реестре запрещенных сайтов Роскомнадзора и в федеральном списке экстремистских материалов Минюста.

Ниже мы обсудим, почему заблокированными оказываются разрешенные сайты и какие меры должны принять провайдеры и операторы связи, чтобы этого избежать.

Почему блокируются разрешенные сайты

Каждый владелец домена имеет доступ к настройке своих DNS-записей, в том числе если этот домен находится в списке Роскомнадзора и блокируется всеми операторами связи.

Владелец заблокированного ресурса может прописать у себя в DNS IP-адреса или CNAME-имена любых разрешенных сайтов, после чего они тоже будут автоматически блокироваться всеми интернет-провайдерами, которые используют механизм блокировки по IP, так как при использовании такого вида фильтрации провайдер вынужден самостоятельно получать список IP-адресов для запрещенных ресурсов от DNS-сервера. Провайдеру трудно определить, принадлежит ли полученный им IP-адрес злоумышленнику или легитимному ресурсу. По такому же принципу работает и система проверки «Ревизор», отвечающая за контроль выполнения блокировок провайдерами и передающая сведения в территориальное управление Роскомнадзора.

Роскомнадзор не рекомендует применять этот способ блокировки, но и не требует использовать какой-то конкретный способ. Выбирает интернет-провайдер, а ведомство лишь дает рекомендации по возможным методам. Следовательно, с точки зрения законодательства провайдеры могут продолжать блокировать ресурсы по IP-адресу.

А заблокированных ресурсов много, причем их можно свободно приобрести и использовать в корыстных целях, компрометируя систему законного ограничения к запрещенным сайтам.

Как избежать проблемы

Решить возникшую проблему можно двумя способами:

  1. Оператор связи или интернет-провайдер должен осуществлять блокировку не по IP-адресу, а по URL для http-трафика или по доменному имени узла для https-трафика, извлекаемого из расширения SNI (Server Name Indication) в процессе инициации SSL-сессии. Такая возможность обеспечивается применением на сети оператора связи оборудования глубокого анализа трафика — DPI (Deep Packet Inspection), которое умеет извлекать эту информацию. Не все производители DPI поддерживают эту возможность, в частности популярная платформа Cisco SCE не умеет это делать, а у многих других она работает недостаточно надежно.
  2. Использовать рекомендуемый Роскомнадзором метод блокировки на стороне DNS-сервера провайдера, когда для запрещенных ресурсов DNS-сервер должен выдавать адрес не запрещенного хоста, а хоста провайдера со страницей-заглушкой. Данный метод не требует приобретения DPI-оборудования, но его также необходимо комбинировать с блокировкой по IP тех адресов, которые указаны в реестре. Такую схему проще реализовать, но она не обеспечивает достаточной надежности и ее легко обойти. Тем не менее ее использования на текущем этапе достаточно для удовлетворения требований Роскомнадзора.

Роскомнадзор со своей стороны предпринял усилия, чтобы попытаться минимизировать ущерб, причиненный «экономными» провайдерами. Он исключил из реестра часть хостов, которые управлялись хулиганами, создал белый список хостов, которые нельзя блокировать, и временно разрешил части провайдерам с «кривой» системой блокировки не определять IP-адреса из DNS, а блокировать только по IP из реестра.

Новые технологии

Чтобы избежать проблемы, необходимо использовать современный способ автоматической блокировки. Некоторые DPI-системы, представленные на рынке, позволяют осуществлять автоматическую фильтрацию запрещенных сайтов. Если интернет-ресурс использует http-протокол, то фильтрация осуществляется исключительно по URL, а не по IP-адресу. Если соединение зашифровано и применяется протокол https, то имя ресурса извлекается из Server Name Indication (SNI) или Common Name сертификатов.

По словам руководителя единого отдела разработки ООО «Орион телеком» Кирилла Иванова, перевод инфраструктуры компании на DPI-платформу фильтрации позволил полностью автоматизировать процесс блокировки запрещенных ресурсов, избавив инженеров от регулярного ручного добавления и проверки актуальности соответствия списку Роскомнадзора.

Для эффективной и точной фильтрации по спискам Роскомнадзора, операторам связи и интернет-провайдерам рекомендуется приобретение платформы DPI, позволяющей осуществлять:

  • автоматическую загрузку реестров фильтрации Роскомнадзора и Минюста из облачного сервиса;
  • фильтрацию по собственному списку оператора;
  • фильтрацию URL с кириллическими символами;
  • фильтрацию с маской в виде «*.domain.com»;
  • блокировку https-трафика по Common Name сертификатов;
  • поддержку Server Name Indication (SNI).

Автор статьи — технический директор VAS Experts.