В Telegram-канале «Профсоюз работников IT» опубликовали в открытом доступе методичку для российских IT-компаний по борьбе с VPN. «Делимся с вами документом под названием „Методика выявления признаков использования средств обхода блокировок на клиентских устройствах“», — пояснили на профильном ресурсе.
Эксперты из SecurityLab.ru провели технический разбор этой методички.
Методика предлагает трехэтапную проверку. Сначала компании должны анализировать IP-адрес входящего соединения: сверять геолокацию, ASN, принадлежность адреса к инфраструктуре дата-центров и хостинг-провайдеров, а также сопоставлять данные с репутационными списками VPN, прокси и узлов TOR. В документе указано, что основной GeoIP-базой должна стать система РАНР, а до ее запуска допускается использование MaxMind и IP2Location. Совпадение IP со списками VPN или TOR в методике рассматривается как признак выявленного обхода независимо от геолокации.
Второй этап касается мобильных устройств и разделен на два подэтапа. Сначала предлагается искать прямые признаки VPN и proxy на Android и iOS, затем подключать косвенные признаки, чтобы повысить точность и снизить число ложных срабатываний. Проверку рекомендуют запускать в момент входа, аутентификации или другого ключевого действия, а не постоянно, поскольку непрерывный мониторинг увеличивает расход трафика и заряд батареи.
Для Android методика описывает использование системных API ConnectivityManager и NetworkCapabilities. Среди прямых признаков перечислены системные флаги и параметры вроде IS_VPN, TRANSPORT_VPN и VpnTransportInfo. Для proxy предлагается дополнительно анализировать системные настройки, включая IP, порт и типовые диапазоны портов для SOCKS, HTTP и Tor.
Третий этап касается устройств под управлением Windows, macOS, Linux и UNIX. Для таких систем методика описывает анализ сетевых интерфейсов, таблиц маршрутизации, DNS-настроек и MTU. Среди косвенных признаков упоминаются характерные имена интерфейсов вроде tun, tap, wg, utun и ppp, но документ отдельно оговаривает, что такие признаки нельзя использовать как самостоятельное доказательство.
Авторы методики отдельно указывают, что ни один признак сам по себе не должен считаться универсальным основанием для вывода. В документе есть матрица принятия решения: из неё следует, что одного положительного сигнала на стороне устройства недостаточно, если серверная проверка не выявила обход. Среди факторов, которые могут приводить к ошибкам, названы VPN на роутере, виртуальные машины и контейнеры, прокси с адресами обычных провайдеров, split tunneling, CDN и новые VPN-сервисы, которые появляются быстрее, чем обновляются репутационные базы.
Ранее СМИ сообщили, что Минцифры выпустило для российских IT-компаний методичку по борьбе с VPN. В ведомстве просят площадки следить за сетевой активностью с помощью своих сервисов. При этом в Минцифры признали, что выявление VPN на iPhone «существенно ограничено» из-за ограничений ОС. В документе Минцифры указывается, что внедрение механизмов для поиска VPN следует начинать с мобильных устройств на Android и iOS.
«80% приложений, с помощью которых можно проводить выявление средств обхода, установлено именно на этих устройствах [...]. Внедрение проверок на устройства под управлением других ОС следует отнести к последующим более поздним этапам», — пояснили в РКБ предписания из методички.
Как в Минцифры предлагают выявлять VPN у пользователей:
смотреть IP-адрес устройств, затем сравнивать с российскими IP-адресами, а потом сверять с заблокированными РКН;
проверять, есть ли у пользователя средства обхода блокировок, с помощью стандартных приложений российских компаний, которые устанавливаются на смартфонах в РФ;
проверять использование VPN на устройствах с другими ОС, кроме Android и iOS — например Windows или macOS.
на iOS это сделать нельзя, потому что «на iOS доступ к системным параметрам существенно ограничен», следует напрямую из материалов Минцифры. «Причина в том, что у этой операционной системы политика конфиденциальности и безопасности предполагает, что все сторонние приложения изолированы и не могут собирать или изменять информацию, хранящуюся в других приложениях», — уточнили в ведомстве;
в случае устройств на Android, там работают системы ConnectivityManager и NetworkCapabilities, которые позволяют любому приложению запросить параметры активной сети и сообщить, что текущий интернет-трафик идёт через VPN.
Где ещё можно, но очень сложно найти VPN, согласно Минцифры:
правильно настроенный VPN на роутерах;
VPN, развёрнутый внутри виртуальной машины;
прокси-сервера, имеющие IP домашнего провайдера;
split tunneling — режим, при котором через VPN направляется трафик только выбранных приложений, а остальной идет напрямую, из-за чего проверки по одной активной сети недостаточно;
CDN и глобальные сервисы могут искажать местоположение устройства без использования VPN;
новые VPN-сервисы появляются быстрее, чем обновляются репутационные базы IP-адресов.
