Роскомнадзор латает дыры
Роскомнадзор направил операторам обновленные рекомендации по ограничению доступа к заблокированным ресурсам, говорится на сайте ведомства.
Операторам, использующим оборудование DPI (deep packet inspection, позволяет предоставлять доступ к части сайтов, блокируя или замедляя доступ к другим), служба рекомендует метод резолвинга – самостоятельного определения сетевого адреса ресурса, доступ к которому должен быть ограничен. Операторам связи, не использующим DPI, рекомендуется ограничивать доступ при помощи фильтрации запросов ко всем DNS-серверам (на этих серверах хранится информация о IP и доменах) и использовать только собственные.
Во вторник Владислав Здольников из ФБК в своем телеграм-канале назвал рекомендации Роскомнадзора технически неграмотными и бессмысленными.
Гендиректор поставщика сетевых решений RDP.RU Сергей Никулин согласен с такой оценкой рекомендаций регулятора. Он объясняет, что они составлены технически неграмотно.
DPI позволяет выделять в пакетах передаваемых данных URL (текстовый адрес интернет-страницы) и блокировать ресурс именно по нему, а не с помощью IP, объясняет эксперт. Резолвинг же, наоборот, предполагает фильтрацию контента не по URL, а по IP: операторы выделяют IP-адреса из хостов запрещенных ресурсов, а не URL, и блокируют их. Проблема в том, что Роскомнадзор почему-то по-прежнему рекомендует операторам все тот же резолвинг, хотя именно этот способ показал свою уязвимость при недавних атаках, недоумевает эксперт. Это абсолютно абсурдно, констатирует он.
Есть недостатки и у рекомендации ограничивать доступ при помощи фильтрации запросов ко всем DNS-серверам, считает специалист. Этот способ подразумевает, что операторы принудят своих абонентов не использовать внешние DNS-серверы, а использовать только DNS провайдера, объясняет Никулин. Сейчас каждый провайдер предоставляет DNS-сервер, но иногда пользователи используют сторонний, например для увеличения скорости загрузки страниц.
Оборудование для DPI, которое, в принципе, решает проблему уязвимости, установлено у операторов точечно, указывала директор по стратегическим проектам Института исследований интернета (ИИИ) Ирина Левова. Затраты на его разработку и внедрение для массового применения ИИИ оценивает в $5 млрд, а на его ежегодную поддержку – в $1 млрд. Из крупных операторов DPI нет у "Ростелекома" и "Транстелекома", знает Никулин.
Опубликованные рекомендации не вызывают необходимости в немедленном изменении применяемого в "Ростелекоме" алгоритма, говорит представитель госоператора. В "Ростелекоме" для фильтрации трафика DPI не используется, подтверждает он. Но вместо такого комплекса компания применяет специализированную систему фильтрации.
Наличие фальшивых DNS-записей приводит к перенаправлению большей части интернет-трафика на DPI-системы, предупреждает президент Ассоциации компаний связи Алексей Стуров. А это ведет к возрастанию нагрузки на решения в сотни раз, что практически гарантированно приводит к отказам этих систем, говорит он. При этом ни один из производителей аппаратно-программных комплексов не дает гарантий операторам связи, что их система обеспечивает 100%-ное ограничение запрещенных ресурсов.