План Б

Поэтому государство устанавливает «рубильник» на своей стороне.

Разработчики закона о «суверенном интернете» сами проводят аналогию с атомной бомбой, утверждая, что отключение страны от остального мира так же маловероятно, как применение ядерного оружия. Тем не менее учения по изоляции Рунета проводятся уже сегодня: связисты на живых сетях отрабатывают защиту от угроз, перечисленных в законе и подзаконных актах.

«Цифровой океан» разобрался, что это за угрозы. И не опасна ли «бомба» для нас самих.

В чем опасность. При отсоединении от внешних сегментов сети интернет — неважно, по чьей воле, — связь между пользователями внутри страны может нарушиться. Отключить часть сетей от заграницы можно как физически, перерезав кабель, так и воспользовавшись особенностями работы протокола маршрутизации BGP.

При этом без связи останутся клиенты тех провайдеров, которые не имеют пиринговых соединений с другими российскими операторами, а полагаются на зарубежные точки обмена трафиком. Таких провайдеров в России довольно много. К ним, например, относится RETN, подключающий клиентов по всей стране от Брянска до Хабаровска.

Что предполагается сделать. В законе «о суверенном интернете» фигурируют технические средства противодействия угрозам (ТСПУ). Это черные ящики (они буквально черного цвета), которые государство за свой счет устанавливает у каждого провайдера. В законодательстве прописаны нормы установки ТСПУ: оно ставится вразрез с вышестоящим соединением или перед граничным маршрутизатором. 

Такое подключение дает возможность Минкомсвязи (ныне – Минцифры. – Прим. ред.) отключать вышестоящие соединения, чтобы проверить, сможет ли сеть работать через точки обмена трафиком (IX) и прямые соединения между провайдерами (пиринги) внутри страны. Во время учений выявляются узкие места: проверяются настройки маршрутизации у провайдеров, пропускная способность у пиринговых операторов — не каждый пиринг технически готов пропускать через себя «лишние» гигабиты трафика.

Какой ценой. Распространено мнение, что государственное вмешательство в архитектуру сетей сделает интернет медленнее и дороже. Скорее всего, будет немного не так: интернет станет быстрее и дороже, причем независимо от действий госорганов. Во всем мире, прежде всего в США и Европе, удорожание связано с массовой заменой сетевого оборудования для перехода на новое поколение: смотреть Netflix всем одновременно недешево. Расходы на «суверенизацию» архитектуры сети в этих затратах могут оказаться едва заметны. При этом хорошая связность между провайдерами внутри страны сделает качество интернета для пользователей лучше: связь через пиринг быстрее, чем через зарубежные точки обмена трафиком.

В чем опасность. Когда пользователь набирает в браузере имя сайта, его компьютер должен узнать IP-адрес сервера, на котором этот сайт находится. Теоретически часть DNS-запросов может проходить через зарубежные серверы. В этом случае даже при физически связной сети внутри страны российский пользователь не сможет найти российский же сайт. Однако на практике вероятность безответных DNS-запросов в РФ крайне низка, так как в стране уже более чем достаточно DNS-серверов.

Настоящая угроза, к борьбе с которой готовятся разработчики «национальной системы доменных имен» (так ее называют в законе), — шифрование DNS-трафика. Новейшую технологию DoH (DNS over HTTPS) продвигают Google и Mozilla Foundation, заставляя волноваться госорганы разных стран. Ведь именно на «подглядывании» за DNS-запросами пользователей основаны средства блокировки запрещенных сайтов, от детской порнографии до идеологической пропаганды. Анализ DNS позволяет отслеживать активность пользователей в Сети.

Наконец, создатели DoH не спешат разъяснять, как именно будет маршрутизироваться и обрабатываться зашифрованный DNS-трафик. Возможно, в случае изоляции Рунета DoH сделает обработку запросов невозможной.

Что предполагается сделать. Технически запретить российским провайдерам обрабатывать зашифрованный DNS-трафик как минимум сложно: пострадает значительная часть доступа к web. Поэтому, скорее всего, власти постараются поставить эту технологию вне закона для производителей ПО.

Какой ценой. Российские пользователи не смогут рассчитывать на ту анонимность, которую обещает технология DoH. Провайдеры, а вместе с ним и госорганы, по-прежнему будут видеть, какие сайты человек посещал в интернете. Роскомнадзор по-прежнему будет блокировать нежелательные сайты, скрывая от пользователей их IP-адреса.

Небольшим утешением может послужить тот факт, что россияне не одиноки: в частности, Mozilla пообещала не включать шифрование DNS-трафика на территории Великобритании по договоренности с властями страны.

В чем опасность. Под казенной формулировкой из нормативного акта подразумевается стремление государства контролировать трафик. Чтобы блокировать неугодные сайты. Чтобы противодействовать пиратству. Чтобы следить за пользователями, которые чем-то заинтересовали спецслужбы.

Что предполагается сделать. Дополнительно оснастить сети оборудованием глубокой фильтрации трафика DPI (Deep Packet Inspection). Если простейшие технологии блокировки препятствуют прохождению пакетов по неугодным адресам, то DPI-оборудование заглядывает внутрь пакета и ищет в нем запрещенные сочетания символов. К таким сочетаниям могут относиться как фразы на русском, английском и любом другом языке, так и фрагменты вредоносных программных кодов.

Производитель устройства не раскрывается, хотя, проанализировав рынок, можно предположить, что это устройство глубокой фильтрации трафика от компании RDP.RU.

Какой ценой. На перетряхивание пакетов требуется время. Именно с DPI связаны небезосновательные опасения, что закон о «суверенизации» сделает интернет в России медленным.

В пример приводят китайский «Золотой щит», более известный как «Великий китайский файрвол». Действительно, интернет в Поднебесной, мягко говоря, небыстрый. Но есть разница: принцип китайской системы — запрещено все, что не разрешено. Принцип российской — разрешено все, что не запрещено. Нагрузки на DPI соответствующие.

Стоит иметь в виду, что операторы связи давно используют технологию DPI, чтобы определять, какими приложениями пользуются пользователи. Парадоксально, но с помощью DPI провайдеры делают свои сети быстрее, а не медленнее. К примеру, в дневное время они ограничивают скорость для скачивания торрентов, оставляя более широкий канал для сайтов, видео и телефонии.

Пожалуй, наиболее заметный для большинства пользователей недостаток DPI-фильтрации лежит в финансовой плоскости: провайдеры обязаны устанавливать DPI-оборудование за свой счет, т.е. в конечном счете на средства клиентов.

В чем опасность. Закон о «суверенном интернете» не рассматривает подобные риски. Отчасти он их даже создает. С одной стороны, «суверенитет» строится преимущественно для противодействия угрозам военного характера, и отключение России от мирового интернета пока что выглядит крайне маловероятным. В то же время закон является логичным продолжением государственных инициатив, направленных на поддержку хранения и обработки данных внутри страны. Сайты и сервисы, размещенные на российских серверах, в будущем будут лучше защищены от любых угроз, внутренних и внешних.

Что делать и какой ценой. Бизнесам предстоит провести технический аудит, чтобы понять, насколько сильно они зависят от зарубежных сервисов. Маленький пример. Множество сайтов используют бесплатную функцию от Google для защиты от ботов — reCAPTCHA. Размещается она на серверах Google. И если пропадет связь с международной сетью, то даже размещенный в России сайт станет бесполезными.

Мир как «большая деревня» заканчивается. Большинство пользователей в ближайшее время вряд ли почувствуют изменения. Но бизнесу стоит проработать план Б и удостовериться в работоспособности своих онлайн-систем при любом развитии ситуации.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!