Pull to refresh

Великий Российский Фаервол, что будет когда занавес опустится?

Information Security *


Как мы все видим, ситуация со свободой интернета в России ухудшается, что было невообразимо вчера, уже вызывает смех сегодня.
Палка уже на полметра вошла в маршрутизатор, создав ограничение, но есть еще такие же пол метра, до кнопки выключения.

В данном посте я постараюсь объективно описать с технической точки зрения разные сценарии и последствия после введения Великикого Российского Фаервола.


Методы блокировок


В мире существует не так много способов что бы произвести блокировку, и как вы догадываетесь, чтобы что-то заблокировать, то сначала надо выбрать что мы блокируем.

Методы могут быть:
— ACL: на основе Портов / IP адресов
— DPI: на основе типа трафика
— Белые списки

Рассмотрим каждый из них.

ACL


В первом случае (ACL) доступ, обычно, блокируется по политикам черных списков (всё, что не запрещено — разрешено) таким образом что можно блокировать:
— Порты приложений (Например заблокировать весь трафик на все порты кроме 80, 443) но тут есть лазейка, вы можете пускать любой трафик через эти порты, хоть торренты, хоть TOR и никто не сможет заблокировать его при таком типе блокировки.

Могут быть более гибкие ситуации, например на основе блокировки внешних IP адресов которые не хотят сотрудничать (причем возможны варианты как сайтов, так и просто, любых сетевых ресурсов)
Как обойти?
Подключатся через разрешенный порт на разрешенный IP адрес и передавать любые данные, которые вам нужны

DPI


DPI — действительно страшная вещь, она страшная тем, что она может определять трафик и маркировать его или направлять в определенный интерфейс в зависимости от политики.

Главное учтите сам DPI НИЧЕГО не блокирует, а только определяет трафик.

DPI может определять трафик на основе:
— Порты
— Входящий/исходящий адрес (например если skype авторизуется всегда на 10 серверах с 10 IP адресами)
— По сигнатурам
— Опережающее подключение

Определение трафика по сигнатурам работает следующим образом: Любая компания которая продает DPI обычно предоставляет поддержку на своё оборудование, а в поддержку входит актуальное обновление базы сигнатур.

Другими словами, если у вас bittorrent, bitcoin, litecoin, twister работает (по очереди) на одном и том же порту связывается с одним и тем же узлом, и использует DHT сеть (все технологии одинаковые) то DPI все равно может определить когда и какой от вас идет трафик на основе анализа пакета вплоть до последнего уровня модели OSI.

Поддержку у основных вендоров оборудования DPI работает обычно по принципу 10%, как только в сети оператора появляется новый трафик который DPI не может определить и его 10% и более — трафик отправляется на анализ в компанию, которая создает маркер позволяющий идентифицировать его.

Данный способ анализа трафика можно победить при динамическом изменении протокола на лету, этим могут похвастаться немногие программы, немного Tor, I2P. Другими словами, как только приложение замечает, что трафик не проходит (или просто через N минут) происходит смена алгоритма генерации пакетов, что не позволяет идентифицировать трафик.

Как обойти?
Если алгоритмов заложено много, или бесконечно много в особенности без явной закономерности, то производители DPI не будут анализировать такой трафик, т.к потребуется разработать бесконечно много правил, который должны быть всегда загружены в память устройству, что экономически не оправдано или вообще не возможно.

Опережающее подключение — это способ который очень популярен в Китае работает следующим образом:
Когда вы делаете запрос GET предположим к yandex.ru, DPI его перехватывает и делает такой же запрос (ваш висит в ожидании, либо IP назначения меняется на адрес DPI) далее анализируется ответ, и используются политики черных/белых списков, в зависимости от диктатора настроек оборудования.

Как обойти?
Практически никак, только очень серьёзная стеганография. (если используются черные списки)

Белые списки


Политику белых списков я хочу вынести в отдельный пункт по одной простой причине: при белых списках всё что не разрешено — запрещено.

Другими словами, при введение белых списков и использовании любого метода ограничений можно заблокировать вообще всё что нужно.

Например можно заблокировать все IP адреса кроме адреса первого канала, НТВ и Почты России, причем только 80 порт.
При такой ACL у вас все соединения будут сразу же обрубаться и будет невозможно обойти данную блокировку никаким способом шифрования.

Какой метод будет использоваться в России ?


Теперь давайте подумаем: Крупнейшие магистральные операторы в России это:
1) Ростелеком
2) Вымпелком
3) Транстелеком
4) Центральный телеграф
5) МТС/МГТС
6) Комкор / Акадо

Оборудование DPI есть только у Вымпелкома, транстелекома, и МГТС.
Да да, у Ростелекома нет DPI.

Как проверить есть ли у моего провайдера DPI ?
Позвонить и спросить
Если ваш провайдер блокирует ссылки из реестра запрещенных ресурсов по IP — нету, если по URL — есть.

Другими словами, у государственного монополиста нет DPI — значит возможны два варианта событий:
1) Закупка DPI на миллионы долларов
2) Использование ACL

К сожалению оба варианта одинаково возможны по разным причинам, но при оперативном решении, блокировку можно осуществить только через ACL политики.

Что будет в день Х?


Если предположить, что блокировка осуществляется через ACL и будут заблокированы все неверные и подозрительные ресурсы, то:
— Из социальных сетей будет работать только ВКонтакте/Одноклассники
— Из мессенджеров только Skype / ICQ
— Почта не будет доходить до внешних почтовых ящиков

А как же P2P?

А вот он будет работать, причем весь.
Что бы заблокировать P2P сети нужно спускать DPI прямо к пользователям с это будет стоит огромного количества денег.

=(


Другими словами, что бы у нас с вами осталась связь без прослушки нужно:
— Активно использовать любые P2P средства
— НЕ пользоваться любыми отечественными сервисами (даже если компания зарегистрирована заграницей — то все равно ей управляет скорее всего кто-то от сюда) пример — Яндекс и золотая акция.
— Установить ПО которое будет работать локально внутри оператора/страны сети БЕЗ внешних серверов

К сожалению, такие оптимистичные вещи как Mesh продвигать не имеет смысла, на данном этапе, по вполне понятным причинам.

Обращение к хабра-пользователям:
Пожалуйста, прошу вас, давайте воздержимся от политики, мы же не хотим, чтобы хабр постигла участь заблокированных ресурсов, каждый из нас и так для себя всё знает, что надо делать, но не стоит оглашать это как тут, так и в ЛЮБОЙ сети в которой ведется логирование IP адресов


PS Около месяцев назад, был пост рассказывающий о свободном, децентрализованном аналоге Твиттера — Twister.
У большинства пользователей были вопросы о том, что отсутствует инсталлятор и им никто не будет пользоваться, теперь у него есть инсталлятор.
А так же полностью новый дизайн, пока он не попал в блокировку, у вас есть шанс его попробовать.
github.com/iShift/twister-webkit/releases/tag/0.9.19.16
Да там уютно, есть русские и он действительно работает.
Для поиска русских в твистере пишите/ищите с тегом #ru
Почитать о твистере можно тут habrahabr.ru/post/213165
Only registered users can participate in poll. Log in, please.
Что для вас станет точкой перегиба, после чего вы решите уехать, или что-либо другое
19.36% Введение белых списков 890
8.81% Блокировка любимых ресурсов 405
10.57% Блокировка анонимных способ доступа 486
21.85% Блокировка SSH/VPN 1004
39.4% Момент уже настал, ищу пути отхода 1811
4596 users voted. 1756 users abstained.
Only registered users can participate in poll. Log in, please.
Стараетесь ли вы донести всю суть происходящего до ваших друзей/родных (далёких от IT)
19.88% Да, они всё понимают 993
59.65% Да, им все равно 2979
20.46% Нет 1022
4994 users voted. 1339 users abstained.
Tags:
Hubs:
Total votes 204: ↑165 and ↓39 +126
Views 141K
Comments Comments 514