Комментарии 84
я чет так и не понял чем это отличается от обычного лога выдачи ip адресов провайдером.
1. IP-адреса, выданные пользователям.
2. Геолокация (регион, район, округ и т.д.) использования IP.
3. Идентификаторы оборудования, через которое проходит трафик.
4. Если используется одновременно IPv4 и IPv6: Указываются оба адреса. Отдельный формат для передачи, включая метку времени и TTL.
А через полгода ждём добавление в список предоставляемой информации реквизитов договора и паспортных данных клиента с адресом расположения оборудования....
Это другой TTL.
разве это не хранилось провайдерами раньше? они спокойно выдавали ментам данные конкретного абонента просто по внешнему ip и времени сеанса.
Раньше ментам по запроса, а теперь у РКН будет доступ в ЛК, где они смогут это видеть, без сразу каких-либо запросов.
У ФСБ ж с их СОРМом оно и так есть?
Но софт им ни кто не написал, поэтому вот так хитро эта задача отошла провайдерам
Уровень другой. Сб-шники занимаются всякими террористами и "террористами" в кавычках, кто лайк не там поставил. А ркн хочет еще и "диссидентов" взять на карандаш, что бы им потом удобнее было статус инагента выдавать.... Впрочем, скорее тут освоение бабла, т к у нас и так 9/10 потенциальные инагенты ))
У ФСБ ж с их СОРМом оно и так есть?
Нет, СОРМ работает в IP-сети и не видит идентификаторы оборудования абонента (MAC-адреса и IMEI). Я думаю, для стационарных пользователей это не очень существенно, а вот за мобильными абонентами можно следить 24/7 без ордера. Продавать их геолокацию будут не только провайдеры, но и РКН.
Про мобильную сеть не знаю, не работал. А вот на фиксе в СОРМ зеркалируется весь трафик абонента до BRAS (а следовательно и до NAT) + трафик до radius сервера. Так что органы видят MAC-адреса абонента, но тут вероятно еще от архитектуры сети зависит, у нас был QinQ и L2 от абонента до BRAS. Если сеть L3, то там, конечно, сложнее.
"Жить стало лучше, жить стало веселей!"
Некоторые наверное до сих пор думаю, что у этого безумия есть предел.
То есть, будут знать IP и могут заблокировать на уровне железа?
И передавать эту информацию в РКН сугубо в бумажном виде
Сначала (это до отзыва МТС):
Согласно инициативе регулятора, операторы связи обязаны предоставлять Роскомнадзору информацию, позволяющую идентифицировать средства связи и пользовательское оборудование в интернете
Потом:
В ответе на отзыв МТС в Роскомнадзоре настаивают, что проект не требует от операторов предоставлять сведения, составляющие тайну связи. Идентификация отдельных пользователей и их пользовательского оборудования не требуется
Эхх...
Какая-то биполярка РКН.
В 2025 году говорить о биполярке странно. Есть очень понятный курс государства, очень понятные исполнители и очень понятные методы. ОНи всегда говорят одно, делают другое и прикрываются одними и теми же вещами. В смысле буквально всегда. В смысле вообще не важно, что они говорят, их слова не имеют никакой ценности. Их задача ровно одна - ввести тотальную цензуру, контролировать каждый чих и полностью ограничить любую информацию, кроме одобренной. Всё, это всё, что нужно знать. Законов не существует, существует воля вождя и линия партии. Остальное шелуха.
В 2025-м году называть биполяркой банальное двуличие - странно. Биполярное расстройство это про смену фаз депрессии и гипомании. Со сменой мнения оно никак не связано.
"Всё, дорогие россияне, 1 апреля кончилось. Пошутили, и хватит. Теперь наша очередь"
Протокол IPv4 был создан в 1997 году, использует 32-битные адреса.
А вот здесь написано, что совсем в другом году.
Я не понял, почему информацию о ТСПУ в РКН предоставляют операторы, а не сам РКН определяет ее из своих внутренних данных.
НЯП такая информация позволит "безболезненно" отрубать весь внешний трафик на конкретном ТСПУ, если окажется, что на нем сидят одни домашние пользователи, например.
Так они смогут быстрее найти через какой ящик блокировать. Вот и всё.
Я думаю, оно немного для другого сделано.
Возможность разделять абонентов на группы и применять к ним блокировки разной интенсивности. Например, в случае чего домашним пользователям можно жестко краник перекрыть, а юрлицам оставить чуть побольше, чтобы уменьшить collateral damage или сэкономить ресурсы оборудования.
Опционально - сделать что-то типа "социального рейтинга", если клиент был замечен в попытках использования VPN (некоторые вон до сих пор умудряются OpenVPN и Wireguard использовать, совсем необучаемые), то при наступлении дня X автоматически получит максимально жесткие блокировки вообще всего что можно (щас вон уже фронтенды Cloudflare и подсети Hetzner'а в некоторых регионах блокируют).Если ТСПУ стоит после NAT'а, то РКН из всего огромного потока не может узнать, какой именно трафик принадлежит какому конкретному абоненту - за одним IP-адресом могут тысячи пользователей сидеть. С нововведением - сможет. У РКНа довольно сильно пригорает от протоколов, мимикрирующих под обычный TLS/HTTPS, делать всякие хитрые эвристики для их детектирования как в Китае у них не хватает либо мозгов либо денег, а так они смогут действовать проще - анализировать трафик с разбивкой по пользователям, если от какого-то абонента идет очень много трафика на один адрес, с которым, к тому же, не коммуницирует никто из других абонентов кроме него - значит, вероятно, там прокся/VPN, можно блокировать или замедлять.
Ламерский вопрос, но как IP клиента до NAT поможет идентифицировать его трафик после?
Таблицы соответствия есть только на самом NAT, нет?
Ну так в этом "установленном порядке" довольно широкие формулировки, так что вполне может быть что в РКН будут передаваться не IP клиента до NAT'а, а именно пары IP:port клиентских подключений после NAT'а с привязкой к какому-нибудь идентификатору абонента, как раз чтобы идентифицировать трафик снаружи.
p.s. хотя еще раз посмотрел пункт 7 из постановления, там порт не фигурирует, тогда бессмысленница какая-то, второй пункт моего комментария отпадает, но первый все еще может быть.
Опциональная часть первого пункта тоже под вопросом. Каким образом привязать IP к конкретному домашнему абоненту? Известные мне провайдеры не дают "белую статику" по умолчанию. Подобная опция платная в основном. "Белая динамика" - это пожалуйста, но любая перезагрузка роутера (по расписанию либо вручную) будет менять адрес на новый.
Как я понимаю, каждая выдача IP-адреса должна передаваться в РКН. В базу биллинга оно уже улетает, сильно переделывать не придётся.
Я пытаюсь отталкиваться от текущей редакции документа, согласно которой не вижу возможности по передаваемым данным определить кому конкретно в определенный момент времени принадлежал IP. В предыдущей редакции "уникальный идентификатор пользовательского оборудования (оконечного оборудования)" присутствовал непосредственно.
Хотя в целом вроде смекнул как даже при текущих данных РКН может реализовать динамические блокировки (для конкретного абонента, не зная что это за абонент). "Побочный ущерб" останется, но будет сведен к минимуму (насколько это возможно).
Определенный IP триггерит ТСПУ по каким то критериям. Ему, к примеру, режут скорость во внешку. РКН раз в час от провайдера получает обновленные данные и пока у этого IP "Operation = 2" ограничения сохраняются. Как только "Operation <> 2" ограничения снимаются. Т.е. остается шанс что в интервале передачи данных от провайдера в РКН какой-нибудь "невинный" абонент получит этот "ограниченный" IP, но в течение часа ограничения сбросятся, так что проблемы индейцев шерифа не волнуют.
PROFIT в любом случает, т.к. уже не нужно будет резать условный Hetzner для всех "Дарагих Рассиян".
Вот только...это по сути становится темой про сотовых операторов в такой постановке. У всех проводных если пользователю хоть немного важно - либо динамические белые IP (пусть меняются но без CGNAT'а) либо вообще статика если пользователю хоть немного это хочется (мне вот хочется, все проводные провайдеры которые у меня были - согласны были предоставить - пусть не совсем бесплатно, мегафон правда в итоге не смог хотя упорно старался и деньги взял).
Кто в России из проводных провайдеров сажает обычных пользователей за CGNAT то?
Сейчас у каждого второго провайдера по-умолчанию серый IP и CGNAT.
Белый только по запросу и, как правило, за отдельные деньги.
Возможно это мне так везло что по умолчанию была динамика белая.
В ДОМ.РУ по умолчанию прячут всех за NAT, причём дают IP, непохожий на серый (что-то там 187.x.x.x, это для примера, точно не помню). То есть, сразу не прочухаешь, что он серый, пока не начнёшь настраивать сервер у себя. И для самых умных галочка в глубинах личного кабинета галочка "NAT", по умолчанию влюченная, подаётся как
Защита вашего компьютера от несанкционированного доступа из Интернета
"некоторые вон до сих пор умудряются OpenVPN и Wireguard использовать, совсем необучаемые" - Можете объяснить почему, пожалуйста, только понятным языком))
Потому что РКН уже много лет отлично умеет их детектировать и может заблокировать в абсолютно любой момент по щелчку пальца.
Более того, я абсолютно уверен, что они их детектируют даже когда не блокируют и вносят замеченные в подобной деятельности IP-адреса серверов в "серый список", и когда придет время, не поможет даже замена OpenVPN/Wireguard на сервере на что-то более приличное.
Интересно, сколько пройдет времени, прежде чем сотрудники РКН начнут этими данными торговать.
Это как?
«Установлены порядок, сроки, состав и формат предоставления оператором связи в Роскомнадзор информации, позволяющей идентифицировать средства связи и пользовательское оборудование (оконечное оборудование) в сети „Интернет“ на территории России», — пояснили в Роскомнадзоре. Новые требования затронут не только модемы и роутеры, но также смартфоны, ноутбуки и персональные компьютеры.
Отсюда:
https://t.me/moscowtimes_ru/31787
Может быть, редакция Хабра (или кто-нибудь еще) задаст вопросы представителю РКН? Хотелось бы подробностей, если честно.
Может быть, вот это поможет при обсуждении:
Схема пропуска трафика через ТСПУ для лицензии на Интернет:
Метод. Рекомендации РКН.
https://t.me/ordercomru/5596
Так я так и не понял, если я обновил роутер и, предположим, использую свой XBOX через VPN и использую для игр? Меня блокнут? Железо будет мертвым, пока ничего не сделаю или что?
Я прямо чувствую как становится безопаснее, а завтра и коррупцию наверное победим правда же? И жить станем лучше.
Это сарказм, по факту это катастрофа блок cf грозит отвалом letsencrypt и не только, они идут не правильным путем, блочить сети ведёт к поломке сайтов/сервисов, может прежде чем заниматься интернетом, вы займитесь бюджетом и откатами? Может и бюджет вырастет если перестать кормить всех алигархов и депутатов, может тогда и жить мтанет лучше и люди иначе станут воспринимать информацию и цензура не нужна будет такая?
И как это поможет от мошенников, и жертвам мошенников с них все долги спишут, раз дело будет о мошенничестве ?
Пока я вижу только негативные последствия блокировок и ни какой пользы, ну сломаете cdn reality все равно так или иначе пробьёт и без cdn.
В Великобритании, если не ошибаюсь, на телевизор нужно до сих пор лицензию получать
А, ну тогда ладно.
Там как раз есть вменяемое объяснение зачем. независимое финансирование BBC (который ну-совсем-не-гос-канал) и вроде бы контент доступен у них тем кто там
Так в СССР с 1920х по 1960е радио предоставлялось по абонементу, если вы вдруг не знали. И стоимость абонемента зависела от типа приемника, поэтому их и нужно было регистрировать, чтобы госы знали, сколько конкретный абонент им должен. В Великобритании то же самое с телевизорами, только называется это там не абонементный платеж, а лицензионное отчисление. Тут ближайший аналог - это налог на автомобиль. В СССР с 1960х годов государство начало оплачивать радио полностью за свой счет, отменив абонементную плату, а без сбора платежей учет приемников оказался не нужен, т.к. это тупо бесполезная трата бумаги, и к цензуре он вообще никакого отношения не имел. Штрафовали за отсутствие регистрации не по причине кровавой цензуры, а за банальную неулату.
Вот передача инфы о роутерах РКНу в эту концепцию уже не вписывается никак, вот вообще, за интернет мы платим провайдеру, а провайдер наше оборудование знает и так. Ну и требует РКН с провайдера, а не с конечного абонента. И сравнивать это с регистрацией радио во времена СССР или с регистрацией телевидения в Великобритании - ну это такое натягивание совы на глобус, что я даже не знаю. В случае с РКН кроме как цензурных мотивов не прослеживается, разве что РКН начнет деньги собирать за каждый подключенный к интернету девайс.
А вот этот ньюанс истории СССР для меня новость
Зачем тогда выпускались радиоприёмники с урезанием частот? Зачем КВ диапазон вообще глушился?
Сейчас тоже можно сказать, что РКН пообрубал полинтернета чтобы "защитить детей"
Зачем тогда выпускались радиоприёмники с урезанием частот? Зачем КВ диапазон вообще глушился?
Да, вот это уже про цензуру.
Но как это относится к контролю за абонентской платой, который вы просто физически произвести не сможете без регистрации принимающего оборудования, на основании которого рассчитывается тариф, я до сих пор решительно не понимаю.
Замечу, что регистрацию радиоприемников отменили с 1 января 1962го года, а это в самый разгар Холодной войны, в октябре того же года произошел Карибский кризис.
А теперь что? Роутеры регистрировать?
Дожили...
Потом ждать дома гестапо?
Вроде как, речи о передаче mac/imei не идёт, так?
Ip адрес, географический адрес — из интересного
Тут больше непоняток с конечными устройствами. Вот у меня за домашним роутером компы, планшеты, телефоны, умные унитазы и так далее. РКН хочет про них знать. Но каким образом они это хотят получать? Пойдут брутить пароль к админке роутера?
Вроде как, речи о передаче mac/imei не идёт, так?
ID - уникальный идентификатор пользовательского оборудования (оконечное оборудование)
это он и есть, чтобы не вносить каждый раз правки к закон, когда вместо MAC или IMEI будет что-то новое.
Ну то есть цель всех манипуляций иметь возможность сопоставлять пользователей с конкретными посещенными ресурсами в сети получается? А для чего уже широкий выбор. Или собрать статистику что Вася П. обращается к нескольким определенным адресам, и адреса относятся к средствам обхода замедления, можно Васю напугать не пользоваться услугами. Или же зная что определенный адрес принадлежит незаконному ресурсу, возможно пока не заблоченному, узнать кто этот ресурс посещает, как часто и как долго. Наказание за пользование средствами обхода замедления пока не подвезли, возможно появиться.
Обсуждение этого приказа на форуме операторов связи:
https://forum.nag.ru/index.php?/topic/201795-prikaz-roskomnadzora-ot-28022025-n-51/
Этот приказ вступает в силу 11 апреля этого года (совсем уже скоро).
Попробуйте публично спросить своих провайдеров об этом приказе, что они думают? А интересные ответы потом здесь опубликуйте.
Мой молчит, как партизан, спрашивать не имеет смысла. Но у меня такой провайдер, который на своем сайте пишет, что "мы не знаем, отчего не работает ютуб".
Дальше цитата:
https://poligon.media/kak-roskomnadzor-stal-glavnym/
Статья от 13.09.2022.
В итоге Липов довершает построение РКН как могущественного репрессивного органа, хотя и не обладающего самостоятельностью в принятии решений. Этакий карающий меч в руках администрации президента и Совбеза, и Липов — «как их цербер».
«Глобальная цель — закрыть гражданское общество полностью и изолировать его от информации. Создать систему, в которой единственная и она же верная информация будет работать на генеральную линию партии. Будут просто условные Симоньян с Соловьевым вещать. Вот они будут все наше телевидение и вся наша пресса. Все, что надо знать, расскажут вам они», — говорит Шкиттин.
По его мнению, в отличие от Жарова, Липов четко понял свою задачу и правильно, в этой логике, расставил приоритеты. Он уверен, что в той системе интернета, которую выстраивает Кремль, вообще не нужно будет блокировать внешние источники. В интернете каждому устройству сети нужен адрес. Эти адреса выдает мировая структура ICANN каждому узлу. Как объясняет Шкиттин, в России создадут свою систему нумерации, аналогичную мировой, а затем скажут: а теперь мы все будем пользоваться вот этими номерами.
Как это будет выглядеть? Шкиттин приводит пример с телефонией. Можно использовать мировые телефонные номера, а можно пользоваться внутренними, российскими. Как было в Советском Союзе? Чтобы позвонить в другую страну, на мировой номер, нужно было прийти на коммутатор. Примерно так же будет и с интернетом. Шкиттин полагал, что система заработает уже этой весной, но из-за начавшегося вторжения России в Украину и западных санкций, нарушивших логистические цепочки, в стране начались проблемы с оборудованием, серверами и софтом. Тем не менее, он считает, что речь все равно идет о самом ближайшем будущем.
Шкиттин говорит: «Никакой VPN здесь уже работать не будет, ведь он будет находиться во внешнем интернете.
Чтобы зайти на внешний сайт, понадобится разрешение от коммутатора. И этим коммутатором будет Роскомнадзор».
Кто знает, где-то есть статистика, сколько DDoS атак РКН отразил благодаря своим ТСПУ (техническим средствам противодействиям угрозам)? Или DDoS, к примеру, на Сбербанк или оператора связи не та угроза с которой борется ТСПУ?
Это прям вызов. Пошел на микроте генерировать MAK .Думаю для начала МАК и принтеров .... Потом можно разной бытовой техники..... Вот будет весело. Каджый день новый МАК.
Есть провайдеры где mac привязывается и надо сбрасывать привязку
1) У многих провайдеров авторизация осуществляется по MAC-адресу абонентского роутера.
2) У многих провайдеров, когда в квартиру заведена оптика, она воткнута в роутер провайдера, за которым уже ставится абонентский роутер. Доступа к настройкам провайдерского роутера абоненту, конечно, не дают (и совершенно правильно).
Многие - это далеко не все. Причем это какая то дедовская практика, создающая провайдеру чем он больше, тем больше проблем. Проще за абонентом закрепить порт, и не париться.
Да, есть роутеры провайдера с их прошивкой. А есть те что берутся в аренду с заводской прошивкой и таким образом за определенный период времени просто выкупаются абонентом.
дедовская практика, создающая провайдеру чем он больше, тем больше проблем
Зависит от того, как налажены процессы. У моего провайдера раньше при смене абонентского MAC надо было звонить в поддержку. А сейчас всё автоматизировано: новый абонент (или абонент с новым роутером) при попытке входа в интернет попадает в Captive Portal, где надо аутентифицироваться кодом из СМС (нет мобильного телефона - до свидания, проводной интернет не получишь). Заодно исключаем человеческий фактор, когда поддержка ошиблась со вводом данных или нетрезвый монтажник вырвал из свича пучок кабелей и воткнул их обратно не том порядке.
С новыми правилами требование строго идентифицировать физлиц-абонентов дополняется реалтайм-контролем со стороны РКН. Так что провайдеры, которые ушли от "дедовских практик", будут вынуждены к ним вернуться.
Идентификация абонента и так есть, путем заключения договора. А обойти подобную "защиту", тому кто решит врезаться в провод и включить MAC-идентифицированного абонента "по обратке", труда не составит.
Должна быть формальная аутентификация. Что абонент где-то сознательно предоставил свои реквизиты, чтобы потом не было "я не знаю, оно само". Раньше это был логин/пароль в L2TP/PPPoE сессии, сейчас переходят на IPoE, протокол DHCP не предполагает аутентификацию. Прикрутили Captive Portal с кодом из SMS, а чтобы зафиксировать сессию абонента, взяли MAC. Криво-косо, но привязка есть.
Хотя, привязка к MAC была ещё во времена PPPoE. Может, одно включили, другое не выключили.
Установлен порядок предоставления операторами связи в РКН данных для идентификации пользовательского оборудования