28 нояб. 2013 г.

Роскомнадзор, Ростелеком, Group-IB

Введение

Прочитав, статью на Хабре про то, что Роскомнадзор приказал Ростелекому заблокировать IP адрес сайта Group-IB, хочу прокомментировать.
Да ситуация абсурдная. Давайте разберемся.

Текущая ситуация на 28.11.2013
  1. Один явно неглупый человек в Роскомнадзоре принимает заявки-жалобы на "плохие сайты" и затем, вместо URL сайта, вписывает в "черный список" его IP адрес. Почему он так делает? Выполняет указ депутатов. Понимает ли он, что за одним IP адресом чаще всего скрывается много доменов? Да, поскольку это написано во всех новостях.
  2. Другой явно неглупый человек в Ростелекоме ставит где-то там список доступа на роутере или на межсетевом экране на блокирование этого адреса. Почему он так делает? Приказ руководства. 
  3. Плохие люди, а также целая группа хороших людей, обнаруживает что их сайты больше нельзя посетить, потому что Ростелеком блокирует к их сайтам доступ. Они все сразу меняют IP адрес, в DNS это занимает максимум сутки и продолжают работать дальше.
  4. Есть и продолжение: если сайт хороший и известный и его блокировка отражается в новостях, тогда есть еще офигенная забава: перетереть это в новостях. Ну тут уж много неглупых людей собирается, особенно в комментах. Собственно и я не удержался. Перетру.
В итоге, вся эта система работает вхолостую, лишь создавая негативные информационные поводы. Моего ребенка она как не защищала, так и не защищает, так и не будет защищать. А вот это уже обидно.

Основная идея

К чему это все. Будучи в здравом уме и светлой памяти я вижу несколько вариантов.

  1. Отменить это все. Ну тут мне одному не справиться. Нужны еще другие люди в здравом уме и светлой памяти. Живя лично в России уже 38 лет и читая труды классиков, догадываюсь, что этот вариант отпадает.
  2. Начать блокировать все-таки по URL. Здесь как раз начинается то, о чем я хотел поговорить.


Фильтрация по URL

В упомянутой статье был приведен диалог между Group-IB и Ростелекомом, с мыслью о том, что для реализации идеи фильтрации URL нужен DPI и мало того почему-то дешевый.
Выжимка:
»Известия": Для снятия блокировки сайта компании Group-IB, «Ростелеком» рекомендовал сменить IP-адрес
«Group-IB»: пусть наркоторговцы меняют IP
«Ростелеком»: IP в реестре eais.rkn.gov.ru, можете обжаловать решение ФСКН и Роскомнадзора в установленном порядке
«Group-IB»: судебный процес научит Ростелеком в 21м веке блокировать ресурсы по url
«Ростелеком»: Мы готовы выслушать ваши предложения по бюджетному внедрению DPI в масштабах всей страны.
 Без дешевого DPI никак! (Троллю богатую компанию.) Как у технаря у меня возникает вопрос почему DPI?
  1. Фильтрацию URL легко можно сделать на собственных DNS серверах любого провайдера. Клиент обращается получить IP адрес сервера по DNS имени, а ему DNS дает адрес другой, который показывает страничку: извините, сайт по закону такому-то заблокирован. Красиво! Отмазки, что типа пользователь может использовать чужой DNS не проходят, ведь он может использовать еще кучу способов: анонимайзер, TOR, IPSEC и другие способы обхода блокировок сайтов. И что?
  2. Фильтрацию URL можно сделать на IPS. Для этого не нужно покупать DPI. Обычный IPS легко заблокирует вам необходимый URL. В том числе и бесплатный IPS! 
  3. Но это не все. DPI движок, который так часто упоминается, чтобы прекратить спор, реально дорог, потому что он знает огромное количество протоколов, кроме HTTP. Так зачем покупать DPI ради одного HTTP? Из пушки по воробьям у нас принято, я понимаю. Но задача для программиста: поймать трафик HTTP и заблокировать соединение или перенаправить - достаточно легко реализуема. Я готов реализовать сам, причем буду просить дешевле, чем за тендер на DPI. ;-) 
  4. Кстати, DPI не сам режет URL, а он лишь обнаруживает и передает HTTP трафик на другой продукт, который уже режет URL, так что идея transparent proxy + SQUID с фильтрацией URL вообще тоже быть реализована провайдером. Я как-то делал у себя в сети - отлично работает. Но это верно только для мелких провайдеров.


В итоге если кто не понял - я за то, чтобы абсурд отменить. Всем проще ведь, да?

Обновление от 29.11.2013: Оказалось мои опасения разделяют в самом РКН :) Существует документ, который об этом и говорит. Приятно почитать: http://rkn.gov.ru/docs/Analysys_and_recommendations_comments_fin.pdf