«Роскомнадзор» рекомендует фильтровать трафик с помощью DPI

[oleg0xff]

Теперь провайдерам рекомендуется осуществлять фильтрацию не по IP-адресам, а непосредственно по содержимому пакетов:

А как быть с шифрованным трафиком? Например https?

А вообще ждем замедления интернета в связи с нововведениями.

[ivan386]

Предлагают блокировать фильтруя DNS запросы. Пользуйтесь DNSCrypt.

[x67]

круто.

[Fllash]

Зачем лайфхаки? Подсуетятся ребята, начиная с брачных агенств, заканчивая сайтами знакомств, подадут это как доп.услугу и VIP-сервис, платную, само собой. Больше скажу — народ еще и «вау, круто!» будет кричать.
*тут могла быть картинка вида «shut up and take my money», но лень.*

[Malevolent]

Сделают сервис с электронной очередью, чтобы люди пораньше освобождались в субботу.

[ukt]

О, спасибо за ещё один инструмент в копилку параноиков.

[pwrlnd]

oleg0xff, для https имя домена получается элементарно. Любой DPI это умеет. А DNS рекомендуют блокировать только тем, кто не внедрил DPI.

[DjPhoeniX]

Только если SNI. А оно есть не у всех. Хотя, 2017 год, может, динозавры скоро довымирают…

[ivan386]

SNI скоро зашифруют в TLS 1.3

[Bonio]

То есть в 1.3 уже не будет видно домена? Как скоро TLS 1.3 будет распространен повсеместно? Оказывается, в firefox можно уже сейчас включить его поддержку, которая почему то по умолчанию выключена. Из сайтов пока только cloudflare.com с ним работает, похоже.

Скрин

[vesper-bot]

SNI ввели как раз для того, чтобы сервер заранее знал, каким сертификатом ему ответить на clienthello. Поэтому зашифровать SNI пока что не получится. Думаю, если распространится DNS TLSA как технология, можно будет шифровать запрос clienthello публичным ключом сервера, выложенным в TLSA, а хинт серверу передавать, скажем, соленым хэшем этого же ключа (ну или ещё как-нибудь, чтобы сервер без расшифровки запроса мог определить, каким именно ключом он зашифрован, и не сильно-то палить в запросе, что это за запрос, к какому он сайту). Но да, это ИМХО дело для TLS1.3, а скорее для TLS2.0.

[ivan386]

[TLS] Encrypted SNI

 Client                       Gateway                      Hidden

 ClientHello#1
  + KeyShare
  + EarlyDataIndication
  + SNI = gateway
 (Finished)
 (
   ClientHello#2
    + KeyShare
    + SNI = hidden
   <Finished>        // 
 )
 (end_of_early_data alert)  ---->            

                             ClientHello#2   
                             + KeyShare
                             + SNI = hidden
                             <Finished>        ---->
                                                       ServerHello
                                                        + KeyShare
                                             {EncryptedExtensions}
                                            {ServerConfiguration*}
                                                    {Certificate*}
                                             {CertificateRequest*}
                                              {CertificateVerify*}
                     <-------------------------------   {Finished}
{Finished}           ------------------------------->

Key to brackets:

  () encrypted with Client->Gateway 0-RTT key (either handshake or data)
  <> encrypted with Client->Hidden 0-RTT key
  {} encrypted with Client->Hidden 1-RTT handshake

[vesper-bot]

Будут блокировать гейты в таком варианте исполнения. Также гейт может быть подменен MitM-провайдером на DPI, оттуда скушан SNI и в случае разрешенного трафика отдан ответ типа required secure renegotiation (вроде бы в ServerHello можно такой отдать), с перенастройкой маршрутизации для клиента, чтобы сессию не перехватывать. Иначе дропать или отдавать страницу блокировки.

[Pave1]

Ну помимо SNI имя домена можно вынуть из атрибутов сертификата сервера. Нет?)

[ivan386]

Сертификат то может быть на пачку доменов.

[Pave1]

Точность конечно не 100%. Но весьма высока.

[ferocactus]

фильтруя DNS

То есть по IP можно будет подключаться?

[ivan386]

Можно по всякому. Вопрос в том сможет ли провайдер воспрепяствовать этому. Если у провайдера нет DPI и осуществляется блокировка подменой DNS то по IP должно быть возможно подключиться.

[khanid]

Только SNI, т.е. по доменному имени. Других вариантов там кроме mitm и блокировок по ip быть не может.

[ivan386]

Но ведь DNS же говорят подменять (фильтровать)

[Bonio]

DNS трафик сам по себе не шифрован, поэтому провайдерам не составляет труда его подменять. Мой так и делает, например, причем независимо от того, к какому DNS серверу я обращаюсь.
Ну тут спасает DNSCrypt и DNS сервера от OpenNIC.

[khanid]

Это mitm, по сути. Да и то, направлен на выяснение доменного имени/подмену ответа. Так что вряд ли чего они придумают.

[vconst]

Сюда так и просится картинка «Костыли и велосипеды».

Осталось узнать, кто выдаст провайдерам деньги на DPI?

[sirocco]

Пользователи, так или иначе.

[oleg0xff]

Сенаторы предложили приравнять зарубежные русскоязычные СМИ к иностранным агентам и блокировать их в России

https://meduza.io/news/2017/06/28/senatory-predlozhili-priravnyat-zarubezhnye-russkoyazychnye-smi-k-inostrannym-agentam-i-blokirovat-ih-v-rossii

[Epoiiika]

А спамить в комментах обязательно? Создайте свою новость с блекджеком

[oleg0xff]

У меня нет таких прав

[eov]

Картина мира (ру.нут-а) видится мрачной...

• хана всем иностранным менеджерам.
• наши менеджеры из-за границы тоже закроем (ибо много общаемся с иностранными шпионами).
• хана VPN-ам (только по разрешению, как раньше было с мобильными телефонами).
• хана https с иностранными сертификатами
• хана шифрованной почте с ЭЦП, выданными иностранными центрами
• хана TOR-у
• хана DNSSEC
• весь трафик через ЦЕНТР "обработки данных"
• пакеты всех пользователей пронумеровать и промаркировать и чтобы размером от 500 до 1000 байт(чтобы не задидосили ЦЕНТР "обработки данных"...

[StallinHrusch]

В случае, если провайдер получает уже отфильтрованный трафик от вышестоящего оператора, то ему не грозит привлечение к ответственности за неосуществление блокировки противоправной информации, как предусмотрено законодательством. В этом случае решения о наложении штрафов «будут приниматься с учетом условий договоров, заключённых между такими операторами связи».

так в чем проблема: создаешь «дочку» (или не дочку) которая получает отфильтрованный трафик. Но затем она его «расфильтровывает» (пускает через vpn, dnscrypt, etc). Ну а в договоре прописать все как удобно и торговать только услугами «дочки».

Не?

[ivan386]

А «папка» будет отхватывать штрафы? Или расшифровываться будет уже у пользователя?

Я предлагал разделить провайдеров на тех кто предоставляет только локальную сеть и тех которые будут к ним подключаться и предоставлять интернет по VPN.

[StallinHrusch]

А папку вобще можно не регистрировать как провайдер. У него фактически 1 клиент — дочка

[eov]

Вчера обнаружил, что из дома перестал работать habrahabr и geektimes.ru потому, что адреса попали в "списки" из-за того, что их внесли в DNS.

dig 1520x520s.com

$ dig 1520x520s.com

; <<>> DiG 9.10.3-P4-Ubuntu <<>> 1520x520s.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8474
;; flags: qr rd ra; QUERY: 1, ANSWER: 15, AUTHORITY: 0, ADDITIONAL:
1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;1520x520s.com. IN A

;; ANSWER SECTION:
1520x520s.com. 3600 IN A 31.13.92.36
1520x520s.com. 3600 IN A 91.228.155.94
1520x520s.com. 3600 IN A 100.0.5.6
1520x520s.com. 3600 IN A 87.240.165.80
1520x520s.com. 3600 IN A 192.30.253.112
1520x520s.com. 3600 IN A 178.248.237.68
1520x520s.com. 3600 IN A 95.213.11.181
1520x520s.com. 3600 IN A 134.168.39.186
1520x520s.com. 3600 IN A 104.20.208.21
1520x520s.com. 3600 IN A 116.116.116.117
1520x520s.com. 3600 IN A 104.20.209.21
1520x520s.com. 3600 IN A 100.2.9.44
1520x520s.com. 3600 IN A 185.60.216.35
1520x520s.com. 3600 IN A 134.168.42.58
1520x520s.com. 3600 IN A 192.30.253.113

;; Query time: 89 msec
;; SERVER: x.x.x.x#53(x.x.x.x)
;; WHEN: Thu Jun 29 08:09:31 MSK 2017
;; MSG SIZE rcvd: 282

Я спросил могут ли они внести habr и geek в "белый список" и смотрят ли они на SNI в TLS-е.

Ответ провайдера звучит вот так:
Мы не имеем права вносить любые поправки, если нет официального письма от РКН. В ином случае, это будет самоуправством. АС Ревизор, который обязывают ставить на стороне ВСЕХ провайдеров, непрерывно проходится по списку блокировок, и если в какой-то момент всплывет доступ к запрещенному сайту, на нас тут же настучат и последует наказание в виде приличного штрафа.

В текущей реализации нет dpi.

Итог в том, что всем провайдерам придется ставить DPI, а платить за него придется абонентам.

[ivan386]

Так в этих рекомендациях сказано: Не умееш DPI и другие фильтры делай всё только по списку. Дайте им почитать. То есть IP можно блокировать только из списка.

[eov]

Два раза прочитал рекомендации и не понял на какой пункт ткнуть пальцем своему провайдеру.

[ivan386]

Последнее предложение пункта 9.1
К сожалению скопировать текст не получается.

[eov]

В "выгрузке" РКН есть только заблокированный домен 1520x520s.com без указания IP адресов. Провайдер резолвит и блочит. Как применить последнее предложение п. 9.1 к данной ситуации?

[ivan386]

В данном случае как я понимаю не блокировать так как нет достаточной иформации(IP) в реестре для осуществления блокирования по IP как единственно доступного провайдеру способу.

[eov]

Я даже просить не буду. "Ревизору" все равно есть в реестре IP или нет. Штраф прийдет вне зависимости от этого.

[ivan386]

Значит судиться надо. Суды будут смотреть на то что в реестре. В реестре IP нет? Нет.