Aa Aa Aa

Есть ли у провайдеров технические возможности для реальной блокировки сайтов

Дарина Шварцман
Есть ли у провайдеров технические возможности для реальной блокировки сайтов

Блокировка ряда российских сайтов остается одной из главных тем на повестке дня в украинском IT. Постепенно все крупные интернет-провайдеры усложнили доступ своих клиентов к ВК, ОК, "Мейл.РУ" и "Яндекса". Однако говорить о полном блокировании российских сайтов не приходится - пользователи массово начали устанавливать софт для обхода запрета.

Тем временем уполномоченные ведомства до сих пор не разработали механизм фильтрации "запрещенного" трафика. В результате, интернет-провайдерам пришлось осуществлять блокировку на свое усмотрение.

 «Как только мы начали выполнять Указ, сразу столкнулись с рядом вопросов из-за отсутствия четкого понимания, каким образом осуществлять ту или иную блокировку. Мы слышим только позицию коллег по рынку: одни выбирают блокировку по IP-адресам, другие - DNS. Но являются ли эти методы достаточными, соответствуют ли ожиданиям госорганов? Позиция ГСССЗИ – действуйте, как хотите. Нужно понимать, что у каждого оператора свои технические особенности, ресурсы и возможности», - говорит начальник юридического департамента lifecell Андрей Осипов.

Эксперты телеком-рынка уверены, что подобная техническая саморегуляция в Сети небезопасна и может привести к коллапсу в Интернет-пространстве.

Впрочем, далеко не все провайдеры сразу же отрезали доступ абонентов к российским ресурсам. В частности, киевский провайдер LocalNet заверил своих клиентов, что не отключит сайты до тех пор, пока государственные органы не разработают порядок выполнения Указа:

InternetUA решил расспросить других интернет-провайдеров, как они исполняют или собираются исполнять данное решение и есть ли у них для этого технические возможности. Мы оправили запросы более чем 40 участникам рынка и попросили ответить на следующие вопросы:  

1. Готовы ли Вы (в какие сроки) в рамках выполнения указа президента заблокировать трафик на указанные ресурсы на уровне L3 (по IP-адресам)? Имеются ли у вас для этого необходимые технические средства (оборудование и т.д) ?

2. Имеется ли у вас техническая возможность и оборудование (и в какие сроки вы готовы это реализовать) анализировать проходящий трафик, чтобы отфильтровать доступ к вышеуказанным ресурсам, в случае использования конечными абонентами зарубежных Proxy-серверов?

 3. Имеется ли у вас техническая возможность (и в какие сроки) заблокировать доступ к вышеуказанным ресурсам для тех пользователей, которые пользуются браузерами типа ТOR (или «плагинами» к стандартным браузерам), не ограничивая функциональность последних?

4. Имеется ли у вас техническая возможность (и в какие сроки) выполнить фильтрацию на уровне L7, а именно: в реальном времени анализировать проходящий (возможно, шифрованный) трафик в VPN- и прочих туннелях, (распознавать, что это именно туннель), «на лету» расшифровывать этот трафик для дальнейшего анализа с целью выявления трафика, подлежащего блокировке в рамках Указа?

5. Гарантируете ли вы неизменность тарифов для конечного абонента и прежнее качество сервиса, в связи с необходимостью дополнительных затрат на оборудование и технических средств для осуществления фильтрации интернет-трафика.

6. На данный момент украинский интернет считается самым быстрым в Европе. В связи с введением «новых правил» не станет ли он самым медленным и самым дорогим в Европе?

7. Во сколько вы оцениваете стоимость систем, которые смогут такое выполнять?

Однако в большинстве случаев операторы оказались не готовыми публично ответить на данные вопросы.  Ответили только 5 компаний.

Пресс-служба «Укртелеком»:

- "Укртелеком" виконує вимоги Указу Президента України №133/2017  щодо  заборони надання послуг доступу  до  веб-ресурсів, вказаних у тексті указу. Процес складний і потребував певного  часу, враховуючи значну кількість ресурсів. Роботи проводилися поетапно, враховуючи наявні технічні можливості.  Вони тривають постійно, включаючи і  моніторинг та  аналіз.  Це не відображається на якості послуг, які отримують абоненти.

Указ Президента зобов’язує  операторів  ввести  певні санкції проти сайтів – блокувати доступ до них. Ми, як провайдер, це і зробили. Що стосується питання доступу до цих сайтів альтернативними шляхами, то їх мають розглядати відповідні державні органи. Вони мають надати операторам роз’яснення чи інструкції  щодо законних способів вирішення цих питань.

Що стосується тарифів, то «Укртелеком» не планує їх переглядати через виконання указу. Вони є ринковими. І вартість послуги ШСД формується в умовах цінової конкуренції.

Пресс-служба Vega:

- Компания Vega выполняет требования Указа Президента Украины №133/2017 о запрете предоставления услуг доступа к веб-ресурсам, указанных в тексте документа.

Работы уже начаты, они будут проводиться поэтапно и, по предварительной оценке специалистов компании, продолжатся до начала июня.

На данный момент компания Vega не планирует изменять стоимость тарифных планов в связи с блокировкой указанных в указе Президента веб-ресурсов.

Скорость доступа в интернет не изменится, будут лишь ограничения по веб-ресурсам, перечисленными в Указе.

Пресс-служба Wnet:

- Национальный ІР-оператор Wnet готов выполнять Указ Президента Петра Порошенко № 133/2017 от 15.05.2017 года «О применении персональных специальных экономических и других ограничивающих мероприятий (санкций)», введенный в действие решением СНБО Украины от 28.04.2017 года.

Компания Wnet ожидает, когда уполномоченные для этого государственные органы разработают порядок его выполнения, согласно п.3 Указа и ст.10 Закона Украины «Про СНБО Украины».

В настоящий момент ни в Указе № 133/2017, ни в Законе Украины «Про санкции» нет четко обозначенного и описанного механизма относительно ограничения в доступе пользователям сети Интернет к запрещенным ресурсам и сервисам, которые указаны в перечне.

В зависимости от выбранного государственными органами механизма внедрения этого запрета, компания Wnet определит дальнейшие шаги и дополнительные ресурсы для выполнения этого Указа.

Можно сделать предварительный вывод, что реализация данного Указа будет иметь финансовые, технические и организационные последствия, которые повлияют на повышение стоимости услуг связи.

Интернет-провайдер, пожелавший остаться не названным:

- Мы не готовы и не поддерживаем данный указ. Считаем, что он нарушает текущее законодательство.

Технические средства для блокировки ресурсов на уровне L3, то есть по IP-адресам, у нас есть.

Однако в случае использования конечными абонентами зарубежных Proxy-серверов мы не сможем анализировать проходящий трафик. Технический возможностей и средств для внедрения этого у нас нет.

Если говорить о возможностях, заблокировать доступ к российским ресурсам, которые попали под санкции, для тех пользователей, которые пользуются браузерами типа ТOR, то это не реально для https трафика.

При этом нужно понимать, что однозначно Интернет станет медленным, в случае фильтрации трафика на уровне L7.
Что касается абонентской платы, то мы  никогда не гарантируем ее неизменность.

Пресс-служба «Датагруп»:

- Все ресурсы, которые попали под «Санкции» на данный момент уже заблокированы.

Имеется ли у нас техническая возможность и оборудование анализировать проходящий трафик, чтобы отфильтровать доступ к вышеуказанным ресурсам в случае использования конечными абонентами зарубежных Proxy-серверов?  Для реализации такого рода задачи нужно специальное оборудование. Выбор оборудования зависит от технического задания и конечной цели, которую следует реализовать.

Что касается технической возможности блокировать доступ к ресурсам тем пользователям, которые пользуются браузерами типа ТOR, то это задача на ближайшую перспективу. Мы изучаем возможности и характеристики оборудования разных производителей.

Если говорить о фильтрации на уровне L7, то по этому вопросу необходимо будет дополнительно консультироваться со специалистами Госспецсвязи. Для того что бы на лету расшифровывать трафик необходимо передать операторам/провайдерам ключи шифрования.

Качество сервиса для наших клиентов с каждым годом только улучшается. Процедура блокировки сервисов, попавших под санкции, не скажется на качестве предоставляемой услуги, а затраты на дополнительное оборудование необходимо будет компенсировать.

«Новые правила» никак не повлияют на качество сервиса. Наоборот, в ближайшие годы качество и скорость предоставляемых услуг вырастет в несколько раз. Что касается стоимости, то спрогнозировать сложно, но учитывая дополнительные затраты, которые понесут провайдеры для реализации «Санкций», цена на предоставляемые услуги может вырасти.

Говоря об оборудовании нужно понимать, что его стоимость зависит от производителя, от возможностей оборудования, от технического задания для такого оборудования. Сейчас мы изучаем предложения. Ориентировочно, это сотни тысяч долларов разовых затрат. В этом вопросе необходимо учитывать также обучение специалистов.

Тем временем блокировка сайтов не прошла бесследно, уже появились первые технические проблемы.

Виталий Василенко, Technical Operations Engineer в Namecheap.com:

- Проблема “1” - DNS. Многие люди используют DNS сервера от "Яндекса". Возможно,  это было бы хорошо только для хостинга своих сайтов. Но ведь есть еще и роутеры, в которых эти же сервера захардкоженные.

Проблема “2” – NTP. Все попытки блокировать ресурсы потянули за собой синхронизации времени. Из 10-15 пакетов проходит 1-2. По статистике за месяц, количество инцидентов с работой этого сервиса выросло с 1-2 в день - до 190-260. Что еще характерно, это было пока замечено на операторском включении от двух из крупных операторов феерической десятки.

С технической стороны, все выглядит значительно веселей. Было обнаружено, что многие операторы делают по-разному. Разделю на несколько категорий эти все блокировки:
1) Отправка в blackhole всей AS
2) Заворот трафика на отдельный адрес с вывешиванием странички с предупреждением
3) Закрытием 80 и 443 портов на всю AS
4) Подмена адресов на своем рекурсоре
5) Отсутствие какой-либо блокировки

По словам главы правления ИнАУ Александра Федиенко, для эффективного внедрения ограничений конкретных ресурсов нужны системы DPI (Deep Packet Inspection) на сетях операторов, которые покупают российский трафик. Эти решения уже могут анализировать трафик, а также выборочно и комфортно для потребителя блокировать его, при этом имеют возможность анализа трафика с VPN и прокси-серверов. 

В Украине есть ряд вендоров - Cisco и Juniper, у которых есть свое решение. Например, Juniper имеет в своей продуктовой линейке Next-Generation Firewall, который обладает функциями Deep Packet Inspection, устройства - Juniper SRX.

«В терминологии Juniper Network, функционал, который имеет возможность анализа контента называется - Apllication Secure. Данный функционал поддерживает возможность логирования, приоритезации и блокировки контента на основании сигнатурного метода анализа. В наше время в Интернете различные сайты и ресурсы могут иметь не стандартные порты для обмена информацией, зеркала. И именно в таком случае администраторам тяжело справиться с разграничением доступа к данным ресурсам. Здесь в помощь приходит Next-Generation Firewall с функцией Apllication  Secure. Цена зависит от многих факторов: от функциональных требований к оборудованию, необходимых интерфейсных карт, требуемых лицензий, технической поддержки», - говорит технический  специалист ITbiz Solutions Александр Матенко

В среднем цены на подобное решение могут достигать 1,5 млн грн.

 

Платить за оборудование вряд ли будет государство. Расходы возьмут на себя операторы, что отразится и на тарифах для рядового потребителя. Как и любое другое удорожание эксплуатационных затрат.

К примеру, с 1 июня интернет-провайдер "Воля" в среднем повышает тарифы на телекоммуникационные услуги на 12,6%. Такой шаг  провайдер объясняет ростом тарифов на энергоснабжение, законодательные изменения и другими экономическими факторами.

В общем и целом не понятно одно: если украинские юзеры путём обхода запретов будут ходить на "вражеские" ресурсы, не проще было бы просто ограничить бизнес российских холдингов в Украине? Запретить "Яндексу" и другим продавать рекламу украинским резидентам, а нашим рекламистам - сотрудничать с ними?

Потому как один хорошо информированный эксперт отметил, что "любой провайдер, в т.ч. мобильного интернета, сможет прочесть (прослушать) все. Реквизиты банковских карточек, разговоры в мессенджерах, переписку и т.д. Big Brother is watching you на законных основаниях".

 Интересно, кто будет возмещать похищенные таким образом деньги с карт? Президент? СНБО?... Потому как сисадмины за небольшие деньги продадут на сторону любую перехваченную информацию: данные карт, пинкоды и т.д.