3 views
Skip to first unread message
Vladimir F. Levchenko
Jun 7, 2022, 7:26:49 PM6/7/22
to en...@googlegroups.com
Блокируют все, что могут (но могут не все). Краткое объяснение проблем
с доступом к VPN‑сервисам в России
Сергей Голубев
6 июня 2022, 17:11
Тексты
Данное издание существует на пожертвования читателей — только
благодаря вам мы можем продолжать свою работу. Из-за вторжения в
Украину и(или) санкций их стало гораздо меньше, поэтому мы пишем
капслоком: если можете, поддержите «МЕДИАЗОНУ». Нет войне.
Оформите регулярное пожертвование Медиазоне!Поддержать
В первых числах июня у пользователей из России возникли проблемы с
доступом к сервисам ProtonVPN, Lantern и Outline. Вскоре Роскомнадзор
подтвердил, что средства для обхода блокировок также блокируются,
потому что «признаются угрозой». Поначалу выдвигались предположения,
что цензурное ведомство научилось блокировать сам VPN-протокол
WireGuard, а не отдельные сервисы. Все оказалось проще, но работа по
повышению эффективности блокировок продолжается. Об этом «Медиазона»
поговорила со Станиславом Шакировым, техническим директором
«Роскомсвободы» и основателем проекта Privacy Accelerator.
VPN — virtual private network, или «виртуальная частная сеть» — общее
название технологий, с помощью которых компьютеры можно объединить
через интернет в «частную» сеть, как будто они соединены напрямую,
даже если они находятся далеко друг от друга. В такую сеть можно
объединить любые устройства или даже целые локальные сети, например,
так можно создать единое пространство для офисов или филиалов одной
компании. Само VPN-соединение шифруется, поэтому стороннему
наблюдателю, например провайдеру, виден только зашифрованный трафик.
Благодаря этому VPN стали использовать для обхода блокировок: если
установить прямое соединение с точкой выхода в интернет, находящейся в
другой стране, провайдер не будет знать, на какие сайты заходит
пользователь, а следовательно, не сможет заблокировать доступ.
DPI — deep packet inspection, или «глубокое исследование пакетов».
Поскольку информация передается через интернет в виде коротких блоков
данных, называемых пакетами, существуют методы анализа их содержимого,
даже если оно надежным образом зашифровано. Прочитать содержимое
пакетов наблюдатель не может, но может понять, к примеру, с каким
сайтом контактирует пользователь и по какому протоколу обмена данными.
Часто DPI называют и само устройство, установленное у
интернет-провайдера, которое изучает трафик пользователей, чтобы
распределять нагрузку в сети или блокировать запрещенную информацию.
ТСПУ — технические средства противодействия угрозам — устройства,
которые Роскомнадзор устанавливает у интернет-провайдеров в рамках
закона о «суверенном интернете», чтобы иметь возможность
контролировать трафик пользователей: изучать с помощью DPI, замедлять
и даже полностью блокировать.
— Что сейчас происходит: блокировка отдельного хоста, отдельного
сервиса или нечто более масштабное?
— Сейчас происходят блокировки по IP-адресам и по доменам некоторых
VPN-cервисов, и происходит тестирование блокировок более хитрыми
методами, но это происходит на ТСПУ отдельных регионов. А собственно
блокировка по IP-адресам и по доменам происходит на всех ТСПУ.
Блокируются вспомогательные домены, например, у ProtonVPN блокируется
домен, который раздает клиентам IP-адреса серверов. Это то, что мы
сейчас наблюдаем. Информации о блокировке частных непубличных серверов
нет, блокируются только публичные сервера, и происходит тестирование
блокирования по протоколам. Блокировка частных непубличных серверов
может и быть по протоколам, но это тесты на отдельных ТСПУ, и мы не
знаем результаты этих тестов. То есть вполне возможно, что мы увидим
блокировки по протоколам уже в ближайшие дни, но вполне возможно, что
мы их не увидим никогда или не увидим в ближайшие месяцы.
Все зависит от результата тестов: если в результате тестов полегла
какая-то инфраструктура, сопутствующие государственные сети связи,
какие-то банковские каналы, то в этом случае они будут пытаться
по-другому блокировать VPN-протоколы. Если у них получилось
блокировать только определенные протоколы, не затрагивая какую-то
важную инфраструктуру, мы эти блокировки можем увидеть достаточно
скоро.
— Как именно блокируют VPN-сервисы? ТСПУ во всех регионах получили
список хостов на блокировку и отработали?
— Да, именно так. ТСПУ управляются Роскомнадзором из единого центра
управления, и они на всех ТСПУ по России блокируют IP-адреса и узлы
известных VPN-провайдеров.
Статья«Интернет в России будет все хуже, хуже и хуже». Чем война
Роскомнадзора с VPN грозит россиянам
— Легко ли обойти такую блокировку на стороне разработчика и будут ли обходить?
— Блокировка IP-адреса сервера значит, что просто нужно менять
IP-адреса на незаблокированные. Обычно вычисляются клиенты, которые
стоят у цензора, и им передаются неправильные адреса: разным клиентам
раздают разный набор IP-адресов, ты смотришь, какие заблокированы, и
таким образом можешь определить клиент, который, соответственно,
«сливает» IP-адреса на блокировку.
Второй момент. VPN-протоколы бывают разные, бывают хитрые — с
обфусцированием, с маскировкой трафика. Такие протоколы сложно
достаточно заблокировать. Будут ли обходить сервисы такие блокировки?
Те сервисы, с которыми мы общаемся, например тот же Proton, у них
желание обходить блокировки есть, потому что, во-первых, это бизнес, и
Россия в принципе достаточно большой рынок, несколько десятков
миллионов пользователей, как следствие, наверное, несколько сотен
миллионов долларов в год. Я думаю, что крупным сервисам вполне
целесообразно прибегать к разблокировке своих сервисов в России.
Пройдет какое-то время, дни, может быть, неделя, и все сервисы снова
потихонечку начнут работать. Не все, но большинство. Посмотрим, будет
ли это так.
На китайских примерах обычно это так происходит. Китай — рынок
большой, важный. И когда китайцы применяют новые фильтры для
фильтрации VPN, обычно большинство сервисов ложится, остаются работать
буквально три-четыре штучки, но потом в течение недели-месяца
количество работающих VPN увеличивается. То есть сервисы учатся на
том, как цензоры их блокируют, и предлагают такие протоколы, такие
решения, которые не подвергаются блокировке. Поэтому я думаю, что
скоро это все дело наладится.
— Почему блокировка идет не по протоколам с помощью DPI, а блокируется
отдельный хост?
— Видимо, потому, что пока не особо умеют. Потому что достаточно
сложно резать трафик аккуратно, чтобы это не задевало какие-то
корпоративные VPN, например, на которых работают банкоматы или
платежные терминалы в магазинах. Они тоже находятся внутри сетей,
которые работают по одним и тем же протоколам. И надо научиться
блокировать какие-то одни протоколы, не блокировать какие-то другие
протоколы или составлять белые списки IP-адресов и протоколов, которые
мы не блокируем. Это не очень легкая работа: она осуществима в целом,
потому что мы видим, что в том же Китае или в Туркмении (скорее, в
Китае) происходят именно такие блокировки по протоколам, но, видимо,
пока наши не готовы это сделать. Но они учатся, это видно по тестам.
СтатьяРоссия запрещает запрещать запрещать. Что значат новые поправки
в законодательство об интернете
— Можно ли обходить блокировку по протоколам?
— Да, можно. Есть некоторые протоколы, которые разрабатываются
энтузиастами, в основном китайскими, специально для репрессивных
режимов. И в рамках этих протоколов просто трафик маскируется под
какой-то валидный трафик, например под видеоконференции. Есть много
протоколов, которые написаны таким образом, что они притворяются
WebRTC-трафиком, который используется для видеоконференций типа Zoom.
Не зная IP-адресов серверов, блокировать [его нельзя], есть риск того,
что заблокируются все видеоконференции или видеоконференции каких-то
конкретных приложений. Ну, и дальше власти решают, блокируем эти
конкретные приложения или не блокируем.
Или же VPN-трафик маскируется под валидный https-трафик, под
веб-серфинг, но с подменой внутри домена, как будто пакет идет в
Google, а на самом деле он идет туда, куда надо. Не то чтобы какой-то
хитрый, неуловимый протокол, просто он написан таким образом, что он
внешне выглядит как протокол для чего-то другого, но внутри находится
VPN-трафик, если простыми словами это объяснить.
Оформите регулярное пожертвование Медиазоне!
Мы работаем благодаря вашей поддержке
Связаться с редакцией
© 2022 «Медиазона»
Свидетельство о регистрации СМИ zona.media
ЭЛ № ФС77‑59216 выдано Роскомнадзором 4 сентября 2014 г.
https://zona.media/article/2022/06/06/vpnban
--------------------------------------------------------------------------------
------------- * ENWL * ------------
Ecological North West Line * St. Petersburg, Russia
Independent Environmental Net Service
Russian: ENWL (North West), ENWL-inf (FSU), ENWL-misc (any topics)
English: ENWL-eng (world information)
Send information to en...@lew.spb.org, enwl...@lew.spb.org,
en...@lew.spb.org, en...@lew.spb.org
Subscription,Moderator:vf...@lew.spb.org
Archive: http://groups.google.com/group/enwl/
New digests see on https://ecodelo.org
Additionally: http://www.enwl.net.ru/
(C) Please refer to exclusive articles of ENWL
-------------------------------------
с доступом к VPN‑сервисам в России
Сергей Голубев
6 июня 2022, 17:11
Тексты
Данное издание существует на пожертвования читателей — только
благодаря вам мы можем продолжать свою работу. Из-за вторжения в
Украину и(или) санкций их стало гораздо меньше, поэтому мы пишем
капслоком: если можете, поддержите «МЕДИАЗОНУ». Нет войне.
Оформите регулярное пожертвование Медиазоне!Поддержать
В первых числах июня у пользователей из России возникли проблемы с
доступом к сервисам ProtonVPN, Lantern и Outline. Вскоре Роскомнадзор
подтвердил, что средства для обхода блокировок также блокируются,
потому что «признаются угрозой». Поначалу выдвигались предположения,
что цензурное ведомство научилось блокировать сам VPN-протокол
WireGuard, а не отдельные сервисы. Все оказалось проще, но работа по
повышению эффективности блокировок продолжается. Об этом «Медиазона»
поговорила со Станиславом Шакировым, техническим директором
«Роскомсвободы» и основателем проекта Privacy Accelerator.
VPN — virtual private network, или «виртуальная частная сеть» — общее
название технологий, с помощью которых компьютеры можно объединить
через интернет в «частную» сеть, как будто они соединены напрямую,
даже если они находятся далеко друг от друга. В такую сеть можно
объединить любые устройства или даже целые локальные сети, например,
так можно создать единое пространство для офисов или филиалов одной
компании. Само VPN-соединение шифруется, поэтому стороннему
наблюдателю, например провайдеру, виден только зашифрованный трафик.
Благодаря этому VPN стали использовать для обхода блокировок: если
установить прямое соединение с точкой выхода в интернет, находящейся в
другой стране, провайдер не будет знать, на какие сайты заходит
пользователь, а следовательно, не сможет заблокировать доступ.
DPI — deep packet inspection, или «глубокое исследование пакетов».
Поскольку информация передается через интернет в виде коротких блоков
данных, называемых пакетами, существуют методы анализа их содержимого,
даже если оно надежным образом зашифровано. Прочитать содержимое
пакетов наблюдатель не может, но может понять, к примеру, с каким
сайтом контактирует пользователь и по какому протоколу обмена данными.
Часто DPI называют и само устройство, установленное у
интернет-провайдера, которое изучает трафик пользователей, чтобы
распределять нагрузку в сети или блокировать запрещенную информацию.
ТСПУ — технические средства противодействия угрозам — устройства,
которые Роскомнадзор устанавливает у интернет-провайдеров в рамках
закона о «суверенном интернете», чтобы иметь возможность
контролировать трафик пользователей: изучать с помощью DPI, замедлять
и даже полностью блокировать.
— Что сейчас происходит: блокировка отдельного хоста, отдельного
сервиса или нечто более масштабное?
— Сейчас происходят блокировки по IP-адресам и по доменам некоторых
VPN-cервисов, и происходит тестирование блокировок более хитрыми
методами, но это происходит на ТСПУ отдельных регионов. А собственно
блокировка по IP-адресам и по доменам происходит на всех ТСПУ.
Блокируются вспомогательные домены, например, у ProtonVPN блокируется
домен, который раздает клиентам IP-адреса серверов. Это то, что мы
сейчас наблюдаем. Информации о блокировке частных непубличных серверов
нет, блокируются только публичные сервера, и происходит тестирование
блокирования по протоколам. Блокировка частных непубличных серверов
может и быть по протоколам, но это тесты на отдельных ТСПУ, и мы не
знаем результаты этих тестов. То есть вполне возможно, что мы увидим
блокировки по протоколам уже в ближайшие дни, но вполне возможно, что
мы их не увидим никогда или не увидим в ближайшие месяцы.
Все зависит от результата тестов: если в результате тестов полегла
какая-то инфраструктура, сопутствующие государственные сети связи,
какие-то банковские каналы, то в этом случае они будут пытаться
по-другому блокировать VPN-протоколы. Если у них получилось
блокировать только определенные протоколы, не затрагивая какую-то
важную инфраструктуру, мы эти блокировки можем увидеть достаточно
скоро.
— Как именно блокируют VPN-сервисы? ТСПУ во всех регионах получили
список хостов на блокировку и отработали?
— Да, именно так. ТСПУ управляются Роскомнадзором из единого центра
управления, и они на всех ТСПУ по России блокируют IP-адреса и узлы
известных VPN-провайдеров.
Статья«Интернет в России будет все хуже, хуже и хуже». Чем война
Роскомнадзора с VPN грозит россиянам
— Легко ли обойти такую блокировку на стороне разработчика и будут ли обходить?
— Блокировка IP-адреса сервера значит, что просто нужно менять
IP-адреса на незаблокированные. Обычно вычисляются клиенты, которые
стоят у цензора, и им передаются неправильные адреса: разным клиентам
раздают разный набор IP-адресов, ты смотришь, какие заблокированы, и
таким образом можешь определить клиент, который, соответственно,
«сливает» IP-адреса на блокировку.
Второй момент. VPN-протоколы бывают разные, бывают хитрые — с
обфусцированием, с маскировкой трафика. Такие протоколы сложно
достаточно заблокировать. Будут ли обходить сервисы такие блокировки?
Те сервисы, с которыми мы общаемся, например тот же Proton, у них
желание обходить блокировки есть, потому что, во-первых, это бизнес, и
Россия в принципе достаточно большой рынок, несколько десятков
миллионов пользователей, как следствие, наверное, несколько сотен
миллионов долларов в год. Я думаю, что крупным сервисам вполне
целесообразно прибегать к разблокировке своих сервисов в России.
Пройдет какое-то время, дни, может быть, неделя, и все сервисы снова
потихонечку начнут работать. Не все, но большинство. Посмотрим, будет
ли это так.
На китайских примерах обычно это так происходит. Китай — рынок
большой, важный. И когда китайцы применяют новые фильтры для
фильтрации VPN, обычно большинство сервисов ложится, остаются работать
буквально три-четыре штучки, но потом в течение недели-месяца
количество работающих VPN увеличивается. То есть сервисы учатся на
том, как цензоры их блокируют, и предлагают такие протоколы, такие
решения, которые не подвергаются блокировке. Поэтому я думаю, что
скоро это все дело наладится.
— Почему блокировка идет не по протоколам с помощью DPI, а блокируется
отдельный хост?
— Видимо, потому, что пока не особо умеют. Потому что достаточно
сложно резать трафик аккуратно, чтобы это не задевало какие-то
корпоративные VPN, например, на которых работают банкоматы или
платежные терминалы в магазинах. Они тоже находятся внутри сетей,
которые работают по одним и тем же протоколам. И надо научиться
блокировать какие-то одни протоколы, не блокировать какие-то другие
протоколы или составлять белые списки IP-адресов и протоколов, которые
мы не блокируем. Это не очень легкая работа: она осуществима в целом,
потому что мы видим, что в том же Китае или в Туркмении (скорее, в
Китае) происходят именно такие блокировки по протоколам, но, видимо,
пока наши не готовы это сделать. Но они учатся, это видно по тестам.
СтатьяРоссия запрещает запрещать запрещать. Что значат новые поправки
в законодательство об интернете
— Можно ли обходить блокировку по протоколам?
— Да, можно. Есть некоторые протоколы, которые разрабатываются
энтузиастами, в основном китайскими, специально для репрессивных
режимов. И в рамках этих протоколов просто трафик маскируется под
какой-то валидный трафик, например под видеоконференции. Есть много
протоколов, которые написаны таким образом, что они притворяются
WebRTC-трафиком, который используется для видеоконференций типа Zoom.
Не зная IP-адресов серверов, блокировать [его нельзя], есть риск того,
что заблокируются все видеоконференции или видеоконференции каких-то
конкретных приложений. Ну, и дальше власти решают, блокируем эти
конкретные приложения или не блокируем.
Или же VPN-трафик маскируется под валидный https-трафик, под
веб-серфинг, но с подменой внутри домена, как будто пакет идет в
Google, а на самом деле он идет туда, куда надо. Не то чтобы какой-то
хитрый, неуловимый протокол, просто он написан таким образом, что он
внешне выглядит как протокол для чего-то другого, но внутри находится
VPN-трафик, если простыми словами это объяснить.
Оформите регулярное пожертвование Медиазоне!
Мы работаем благодаря вашей поддержке
Связаться с редакцией
© 2022 «Медиазона»
Свидетельство о регистрации СМИ zona.media
ЭЛ № ФС77‑59216 выдано Роскомнадзором 4 сентября 2014 г.
https://zona.media/article/2022/06/06/vpnban
--------------------------------------------------------------------------------
------------- * ENWL * ------------
Ecological North West Line * St. Petersburg, Russia
Independent Environmental Net Service
Russian: ENWL (North West), ENWL-inf (FSU), ENWL-misc (any topics)
English: ENWL-eng (world information)
Send information to en...@lew.spb.org, enwl...@lew.spb.org,
en...@lew.spb.org, en...@lew.spb.org
Subscription,Moderator:vf...@lew.spb.org
Archive: http://groups.google.com/group/enwl/
New digests see on https://ecodelo.org
Additionally: http://www.enwl.net.ru/
(C) Please refer to exclusive articles of ENWL
-------------------------------------
Reply all
Reply to author
Forward
0 new messages