*[Enwl-misc] Блокируют все, что могут (но могут не все). Краткое объяснение проблем с доступом к VPN-сервисам в России

ENWL enwl.bellona на gmail.com
Вт Июн 7 00:41:43 MSK 2022 

Блокируют все, что могут (но могут не все). Краткое объяснение проблем с 
доступом к VPN‑сервисам в России

Сергей Голубев
6 июня 2022, 17:11

Тексты
Данное издание существует на пожертвования читателей — только благодаря вам 
мы можем продолжать свою работу. Из-за вторжения в Украину и(или) санкций их 
стало гораздо меньше, поэтому мы пишем капслоком: если можете, поддержите 
«МЕДИАЗОНУ». Нет войне.
Оформите регулярное пожертвование Медиазоне!Поддержать


В первых числах июня у пользователей из России возникли проблемы с доступом 
к сервисам ProtonVPN, Lantern и Outline. Вскоре Роскомнадзор подтвердил, что 
средства для обхода блокировок также блокируются, потому что «признаются 
угрозой». Поначалу выдвигались предположения, что цензурное ведомство 
научилось блокировать сам VPN-протокол WireGuard, а не отдельные сервисы. 
Все оказалось проще, но работа по повышению эффективности блокировок 
продолжается. Об этом «Медиазона» поговорила со Станиславом Шакировым, 
техническим директором «Роскомсвободы» и основателем проекта Privacy 
Accelerator.

VPN — virtual private network, или «виртуальная частная сеть» — общее 
название технологий, с помощью которых компьютеры можно объединить через 
интернет в «частную» сеть, как будто они соединены напрямую, даже если они 
находятся далеко друг от друга. В такую сеть можно объединить любые 
устройства или даже целые локальные сети, например, так можно создать единое 
пространство для офисов или филиалов одной компании. Само VPN-соединение 
шифруется, поэтому стороннему наблюдателю, например провайдеру, виден только 
зашифрованный трафик. Благодаря этому VPN стали использовать для обхода 
блокировок: если установить прямое соединение с точкой выхода в интернет, 
находящейся в другой стране, провайдер не будет знать, на какие сайты 
заходит пользователь, а следовательно, не сможет заблокировать доступ.

DPI — deep packet inspection, или «глубокое исследование пакетов». Поскольку 
информация передается через интернет в виде коротких блоков данных, 
называемых пакетами, существуют методы анализа их содержимого, даже если оно 
надежным образом зашифровано. Прочитать содержимое пакетов наблюдатель не 
может, но может понять, к примеру, с каким сайтом контактирует пользователь 
и по какому протоколу обмена данными. Часто DPI называют и само устройство, 
установленное у интернет-провайдера, которое изучает трафик пользователей, 
чтобы распределять нагрузку в сети или блокировать запрещенную информацию.

ТСПУ — технические средства противодействия угрозам — устройства, которые 
Роскомнадзор устанавливает у интернет-провайдеров в рамках закона о 
«суверенном интернете», чтобы иметь возможность контролировать трафик 
пользователей: изучать с помощью DPI, замедлять и даже полностью 
блокировать.

— Что сейчас происходит: блокировка отдельного хоста, отдельного сервиса или 
нечто более масштабное?

— Сейчас происходят блокировки по IP-адресам и по доменам некоторых 
VPN-cервисов, и происходит тестирование блокировок более хитрыми методами, 
но это происходит на ТСПУ отдельных регионов. А собственно блокировка по 
IP-адресам и по доменам происходит на всех ТСПУ.

Блокируются вспомогательные домены, например, у ProtonVPN блокируется домен, 
который раздает клиентам IP-адреса серверов. Это то, что мы сейчас 
наблюдаем. Информации о блокировке частных непубличных серверов нет, 
блокируются только публичные сервера, и происходит тестирование блокирования 
по протоколам. Блокировка частных непубличных серверов может и быть по 
протоколам, но это тесты на отдельных ТСПУ, и мы не знаем результаты этих 
тестов. То есть вполне возможно, что мы увидим блокировки по протоколам уже 
в ближайшие дни, но вполне возможно, что мы их не увидим никогда или не 
увидим в ближайшие месяцы.

Все зависит от результата тестов: если в результате тестов полегла какая-то 
инфраструктура, сопутствующие государственные сети связи, какие-то 
банковские каналы, то в этом случае они будут пытаться по-другому 
блокировать VPN-протоколы. Если у них получилось блокировать только 
определенные протоколы, не затрагивая какую-то важную инфраструктуру, мы эти 
блокировки можем увидеть достаточно скоро.

— Как именно блокируют VPN-сервисы? ТСПУ во всех регионах получили список 
хостов на блокировку и отработали?

— Да, именно так. ТСПУ управляются Роскомнадзором из единого центра 
управления, и они на всех ТСПУ по России блокируют IP-адреса и узлы 
известных VPN-провайдеров.

Статья«Интернет в России будет все хуже, хуже и хуже». Чем война 
Роскомнадзора с VPN грозит россиянам
— Легко ли обойти такую блокировку на стороне разработчика и будут ли 
обходить?

— Блокировка IP-адреса сервера значит, что просто нужно менять IP-адреса на 
незаблокированные. Обычно вычисляются клиенты, которые стоят у цензора, и им 
передаются неправильные адреса: разным клиентам раздают разный набор 
IP-адресов, ты смотришь, какие заблокированы, и таким образом можешь 
определить клиент, который, соответственно, «сливает» IP-адреса на 
блокировку.

Второй момент. VPN-протоколы бывают разные, бывают хитрые — с 
обфусцированием, с маскировкой трафика. Такие протоколы сложно достаточно 
заблокировать. Будут ли обходить сервисы такие блокировки? Те сервисы, с 
которыми мы общаемся, например тот же Proton, у них желание обходить 
блокировки есть, потому что, во-первых, это бизнес, и Россия в принципе 
достаточно большой рынок, несколько десятков миллионов пользователей, как 
следствие, наверное, несколько сотен миллионов долларов в год. Я думаю, что 
крупным сервисам вполне целесообразно прибегать к разблокировке своих 
сервисов в России. Пройдет какое-то время, дни, может быть, неделя, и все 
сервисы снова потихонечку начнут работать. Не все, но большинство. 
Посмотрим, будет ли это так.

На китайских примерах обычно это так происходит. Китай — рынок большой, 
важный. И когда китайцы применяют новые фильтры для фильтрации VPN, обычно 
большинство сервисов ложится, остаются работать буквально три-четыре штучки, 
но потом в течение недели-месяца количество работающих VPN увеличивается. То 
есть сервисы учатся на том, как цензоры их блокируют, и предлагают такие 
протоколы, такие решения, которые не подвергаются блокировке. Поэтому я 
думаю, что скоро это все дело наладится.

— Почему блокировка идет не по протоколам с помощью DPI, а блокируется 
отдельный хост?

— Видимо, потому, что пока не особо умеют. Потому что достаточно сложно 
резать трафик аккуратно, чтобы это не задевало какие-то корпоративные VPN, 
например, на которых работают банкоматы или платежные терминалы в магазинах. 
Они тоже находятся внутри сетей, которые работают по одним и тем же 
протоколам. И надо научиться блокировать какие-то одни протоколы, не 
блокировать какие-то другие протоколы или составлять белые списки IP-адресов 
и протоколов, которые мы не блокируем. Это не очень легкая работа: она 
осуществима в целом, потому что мы видим, что в том же Китае или в Туркмении 
(скорее, в Китае) происходят именно такие блокировки по протоколам, но, 
видимо, пока наши не готовы это сделать. Но они учатся, это видно по тестам.

СтатьяРоссия запрещает запрещать запрещать. Что значат новые поправки в 
законодательство об интернете
— Можно ли обходить блокировку по протоколам?

— Да, можно. Есть некоторые протоколы, которые разрабатываются энтузиастами, 
в основном китайскими, специально для репрессивных режимов. И в рамках этих 
протоколов просто трафик маскируется под какой-то валидный трафик, например 
под видеоконференции. Есть много протоколов, которые написаны таким образом, 
что они притворяются WebRTC-трафиком, который используется для 
видеоконференций типа Zoom. Не зная IP-адресов серверов, блокировать [его 
нельзя], есть риск того, что заблокируются все видеоконференции или 
видеоконференции каких-то конкретных приложений. Ну, и дальше власти решают, 
блокируем эти конкретные приложения или не блокируем.

Или же VPN-трафик маскируется под валидный https-трафик, под веб-серфинг, но 
с подменой внутри домена, как будто пакет идет в Google, а на самом деле он 
идет туда, куда надо. Не то чтобы какой-то хитрый, неуловимый протокол, 
просто он написан таким образом, что он внешне выглядит как протокол для 
чего-то другого, но внутри находится VPN-трафик, если простыми словами это 
объяснить.

Оформите регулярное пожертвование Медиазоне!

Мы работаем благодаря вашей поддержке


Связаться с редакцией
© 2022 «Медиазона»
Свидетельство о регистрации СМИ zona.media
ЭЛ № ФС77‑59216 выдано Роскомнадзором 4 сентября 2014 г.


https://zona.media/article/2022/06/06/vpnban

----------- следующая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://lists.enwl.net.ru/pipermail/enwl-misc/attachments/20220607/7ead1375/attachment-0001.html>

Подробная информация о списке рассылки Enwl-misc