Тспу роскомнадзор что это
Роскомнадзор обязал небольших провайдеров устанавливать ТСПУ по закону о «суверенном интернете»
Роскомнадзор рассылает официальные уведомления небольшим интернет-провайдерам с требованием установки ТСПУ – технических средств противодействия угрозам. Подобные требования обусловлены законодательством о «суверенном интернете».
Telegram-канал «ОрдерКом» опубликовал сообщение, согласно которому Роскомнадзор выставляет официальное требование интернет-провайдерам по установке оборудования, которое выпущено российской компанией RDP.ru (официально принадлежит «Ростелекому»).
Необходимое для установки оборудование – ТСПУ (технические средства противодействия угрозам). Его основная задача – фильтрация трафика, ограничение доступа пользователей к запрещенным веб-ресурсам.
Помимо обязательства по установке оборудования от компании RDP.ru, Роскомнадзор также выставляет в отношении небольших интернет-провайдеров требования по:
Подобные письма с соответствующими требованиями ведомство направило всем интернет-провайдерам.
Отмечается, что исполнение требований такого типа приведет к существенному увеличению расходов для небольших компаний, о чем говорит Дмитрий Галушко, генеральный директор «ОрдерКом».
«Небольшие интернет-провайдеры, особенно региональные, будут вынуждены дополнительно выделять каждый месяц около 300 000 рублей или больше для обеспечения пропускной способности в 100 Мб/с для DPI. Если в европейской части России это еще можно реализовать технически, то компании восточных и северных регионов страны столкнутся с серьезными проблемами. К примеру, в Республике Коми и Норильске провайдеры будут вынуждены арендовать дополнительные каналы, о чем придется договариваться с тем же «Ростелекомом», – отметил специалист.
Тема недели: ТСПУ-блокировки и способы их обхода
В Рунете всё больше блокировок, в том числе VPN. Что делать для обхода в таких условиях и как развиваться VPN-сервисам?
Любые массовые сервисы, в том числе VPN, уязвимы к блокировке именно из-за своей массовости.
Пока мы не дошли до так называемого «китайского сценария», самым действенным способом является поднятие собственной VPN на арендованных виртуальных серверах (практически по цене покупки доступа к VPN у «ширпотребных» сервисов). Кроме прочего, в этом случае и возможностей по маскировке трафика намного больше.
Если же говорить в целом о данной ситуации, то сейчас в стадии утверждения в Инжерном Совете Интернета находится стандарт eSNI (который с тех пор превратился в технологию более полного шифрования «первоначального общения» нежели просто шифрования имени сервера). Если упрощённо, то данный стандарт описывает технологию шифрования процедуры предварительного общения клиентов и серверов между собой до того как установится основное зашифрованное соединение. После его «запуска в мир» и повсеместного включения в браузерах и сетевых утилитах DPI-«железо» станет намного менее полезным для блокировок.
Однако, если в оптимистичном, но маловероятном сценарии власти поймут бесполезность блокировок, то в более вероятном, но пессимистичном сценарии это выльется в массовые блокировки по IP. Тем более, что (не смотря на уже ставшее обыденным отсутствие каких-нибудь официальных документов на этот счёт) есть сообщения от пользователей о том, что трафик использующий eSNI блокируется некоторыми провайдерами в некоторых регионах (лично у меня на том же провайдере блокировка (в отличие от внедрения скриптов со своей рекламой в незашифрованный трафик) не воспроизводится, впрочем, как говорят, «но это не точно»). И это, кстати, особенно забавно в ключе того, что эта технология ещё находится в стадии разработки и постоянно меняется (например, вот, эволюционировала в полное шифрование предварительного общения) и посему на данный моментпока даже не рекомендована к полноценному внедрению на «боевые» сервера (CloudFlare, впрочем, это не останавливает).
Относительно блокировок также хочется заметить следующее: ещё одной «дыркой» в приватности до сих пор является DNS:
Этот протокол тоже разрабатывался во времена, когда никто не боялся слежки и ничего не шифровалось. Поэтому вся информация передаётся открытым текстом. Из-за этого как провайдеры, так и ТСПУ (впрочем, в некоторых случаях, даже соседи рядом) могут перехватывать DNS-запросы и отвечать на них вместо того сервера к которому вы изначально обращались. И отвечать они могут буквально что угодно. В том числе и отдавать совершенно не те IP-адреса (например, именно так в большинстве случаев и отдаются провайдерские страницы-заглушки о заблокированных ресурсах).
Против этого тоже уже давно есть техники вроде DNSSEC и DANE, а так же такие вещи DNS-over-TLS и DNS-over-HTTPS. Но они, увы, мало где внедрены, плюс за последние две уже взялся Роскомнадзор.
Так что, самым действенным вариантом борьбы с этой проблемой будет не использовать в качестве DNS-сервера свой домашний роутер (который как правило использует провайдерские DNS-серверы), а вместо этого использовать в качестве DNS-сервера тот самый, упомянутый выше, купленный виртуальный сервер. Для чего, конечно, потребуется установить на нём соответствующий софт, но это не так сложно, как может показаться. И вот уже там — настроить использование тех же DoT/DoH, и подключаться с их помощью к тем же 8.8.8.8/1.1.1.1. Главное — покупать сервер за пределами России.
Ожидалось, что применение ТСПУ должно сделать блокировки более точечными. Почему этого не произошло?
Постараюсь выразиться помягче: я очень сомневаюсь в компетентности работников, занимающихся блокировками, и ещё больше в компетентности их «начальства». Либо подозреваю саботаж с их стороны.
Если говорить о блокировке «случайных» ресурсов через ТСПУ, то стоит вспомнить, что в техническом задании на разработку комплексов, которые ставят в качестве ТСПУ, вообще не шло речи о реализации тех функций, которые по итогу стали востребованы для осуществления блокировок в том виде, как это происходит сейчас, так что их добавляли постфактум, «на скорую руку» и с кучей взаимных претензий. Из-за этого сейчас, выполняя требования «вышестоящего начальства», работники делают что могут, как умеют, выбирая из того, что есть, и получается, собственно, как получается.
То есть, техническая возможность анализировать трафик по отпечаткам существует, и, если бы ей пользовались, можно было бы «в два счёта» блокировать практически всё, что угодно (и даже намного легче заблокировать тот же Telegram), но заказанные в качестве ТСПУ комплексы DPI были изначально «заточены» на другое и имеют далеко не те мощности, чтобы хорошо справляться с этим всем. Впрочем, ходят слухи, что ведутся работы по исправлению обоих пунктов.
Так что, скорее всего, именно поэтому мы и можем наблюдать происходящие сейчас тупые ковровые блокировки торрентов и WireGuard чуть ли не «по номеру порта» (согласно заявлению пострадавших Wargaming и сообщениям от пользователей).
Громкие блокировки через ТСПУ: разбираемся, что это такое
Что случилось?
В начале сентября сайт «Умного голосования» заблокировали, не задев ресурсы Google. Раньше так сделать было нельзя, теперь это стало возможно из-за ТСПУ.
Позднее в этом месяце «Ростелеком» предложил ограничить доступ к публичным DNS-серверам Google и Cloudflare и протоколам DoH (DNS over HTTPS) и DoT (DNS over TLS).
В ночь с 15-го на 16-е сентября Роскомнадзор блокировал docs.google.com и telegra.ph через ряд операторов связи, не внося ни тот, ни другой в свой реестр.
Что такое ТСПУ?
ТСПУ — технические средства противодействия угрозам. Другими словами, это новый программно-аппаратный комплекс, позволяющий ограничивать доступ к информации, распространение которой запрещено на территории России.
Когда это появилось?
Роскомнадзор стал требовать от операторов установливать ТСПУ с сентября 2020 года. Делает он это в рамках закона о «суверенном интернете» 2019 года. Теперь надзорное ведомство может централизованно управлять российским сегментом интернета, фильтруя трафик при помощи DPI.
Что такое DPI?
DPI — Deep Packet Inspection («глубокое исследование пакетов»). Это анализ содержимого пакетов (коротких блоков, которыми информация передаётся по интернету). Прочитать содержимое зашифрованных пакетов нельзя, но по метаданным можно понять, какие сайты смотрит пользователь и, в большинстве случаев, какой протокол обмена данными он использует.
Раньше такое не применяли?
ТСПУ, согласно доступным данным, мало чем отличаются от других DPI-комплексов, которые провайдеры ставят уже много лет. Другое дело, изначально трафик изучали, чтобы выставлять приоритеты при его передаче. Например, голосовые сообщения более требовательны к задержкам и им нужно предоставлять бо́льший приоритет в общем потоке трафика.
Позже появились решения для монетизации (анализа трафика для продажи информации и подмены рекламы на сайтах, не использующих HTTPS на «свою»). И вот в последние пару лет уже, как мы видим, технологии применяют в том числе для блокировки контента.
То есть с помощью ТСПУ можно блокировать «эффективнее»?
Да, можно так сказать. Всё дело в том, что DPI-оборудование стоит далеко не у всех провайдеров и не все, у кого оно есть, используют его для блокировки. ТСПУ же управляются централизованно Роскомнадзором, который может распространить одинаковые правила блокировок на всех.
С ТСПУ можно не только блокировать, но и, например, «замедлять» те или иные сервисы и протоколы передачи данных (вспомните историю с Twitter), а также устраивать «шатдауны» на локальном уровне.
Кроме того, блокировки стали менее прозрачными?
Да. Все списки сайтов, доменов и IP-адресов, по которым приняты решения об ограничении доступа в России, фиксируются в реестре запрещённых сайтов. «Роскомсвобода» проводит открытый общественный мониторинг этих блокировок.
Но теперь делают блокировки вне этого реестра. Всё стало более непредсказуемым, к тому же, мягко говоря, весьма сомнительным даже с точки зрения тех норм законов, которые регламентируют блокировки сайтов. Нельзя проследить — по какому решению, от какого госоргана и на каких основаниях происходят эти блокировки и замедления через ТСПУ. А это же, напомним, затрагивает наши конституционные права на доступ и распространение информации.
К слову, кто производитель этих ТСПУ-«железок»?
Точно не известно, но есть весьма вероятные предположения от экспертов, что это ООО «РДП.ру» — фирма, которую купил «Ростелеком».
Для подключения трафика напрямую в случае проблем с ТСПУ, по некоторым данным, предлагается использовать оборудование израильской компании Silicom.
Кстати, а VPN-сервисы всё ещё могут помочь?
VPN-сервисы используют множество протоколов, но при проектировании большинства из них не стояло задачи скрыть факт их использования. Соответственно, если задаться целью, определить протоколы VPN относительно легко. Более того, в случаях пристального анализа трафика (вряд ли массового, скорее, в случае, если вы лично кого-то заинтересовали), признаком использования VPN может быть то, что у вас много трафика проходит через один и тот же IP-адрес, даже если внешне он выглядит как «безобидный».
Протоколы можно усовершенствовать, но сервисы, ориентированные на массового пользователя, не очень гибки в обходе блокировок: каждое изменение в работе несёт риск того, что у уже имеющихся клиентов может что-нибудь «сломаться».
Кроме того, внедрение дополнительных технологий сокрытия и маскировки трафика требует дополнительного усложнения. Из-за добавления новых «слоёв» оно может сказаться, например, на скорости прохождения трафика через серверы провайдера.
Но в будущем сервисы, наверно, научатся маскировать трафик?
Должно быть. Сейчас самыми многообещающими являются Shadowsocks, OBFS4 и Cloak.
В Госдуме решили освободить небольших операторов связи от установки оборудования ТСПУ от РКН
Источник изображения: cartoon.ru.
15 июня 2021 года члены комитет Госдумы по информационной политике, информационным технологиям и связи одобрили ко второму чтению поправку в закон «О связи» в рамках законопроекта №1087071-7, согласно которой небольшие операторы связи в РФ могут не устанавливать в разрыв на своих сетях технические средства противодействия угрозам (ТСПУ) от Роскомнадзора по закону о «суверенном Рунете».
Это не значит, что сетевой трафик пользователей этих операторов не будет обрабатываться защитными системами РКН, так как они по сути подключены к большим провайдерам, у который ТСПУ РКН установлены и работает.
Согласно тексту законопроекта, теперь системы на базе ТСПУ РКН должны будут устанавливаться операторами связи только «на средствах связи, обеспечивающих возможность передачи данных на пользовательское оборудование со скоростью более чем 10 гигабит в секунду».
По информации «Интерфакс», глава комитета по информационной политике Александр Хинштейн пояснил, что сейчас в России узлов обмена трафика с низкой пропускной способностью в настоящий момент гораздо больше, чем узлов с крупной емкостью, в то же время их совокупный трафик не превышает 5% от общего. «Установка ТСПУ на каждом из них экономически не целесообразна. Это норма коснется в основном малых операторов связи, для таких операторов будет предусмотрен порядок пропуска трафика через ТСПУ, установленных на крупных узлах связи у вышестоящих операторов связи, к которым они подключены», — рассказал Хинштейн «Интерфаксу».
Поправки в законы «О связи» и «Об информации, информационных технологиях и защите информации», получившие неофициальное название «закон о «суверенном Рунете», вступили в силу с 1 ноября 2019 года. Они направлены на защиту российского сегмента интернета от внешних угроз. Все операторы связи должны установить на свои сети специальное оборудование. В случае возникновения угроз целостности, устойчивости и безопасности функционирования интернета Роскомнадзор сможет централизованно управлять маршрутизацией трафика. Также это оборудование фильтрует трафик, ограничивает доступ к запрещенным в России ресурсам, замедляет часть ресурсов (это было с Twitter) и может полностью блокировать запрещенные в стране сервисы.
Комплекты ТСПУ от РКН уже установлены и запущены на площадках большинства провайдеров и операторов связи РФ. Эта система анализирует весь интернет-трафик (пакеты) пользователей по ряду параметров и решает, пропустить его (по-умолчанию), ограничить скорость (правила для Twitter и может Google) или заблокировать (для запрещённых сайтов). Настраивают и управляют элементами ТСПУ только специалисты РКН. Из-за секретности Роскомнадзора пока точно не известно, какое конкретно оборудование поставляется для «суверенного рунета», но можно сделать предположения, исходя из ассортимента продукции RDP.RU, что это в основном системы на базе EcoDPI.
26 мая начальник управления президента России по развитию информационно-коммуникационных технологий и инфраструктуры связи Татьяна Матвеева рассказала о критической ситуации в Рунете, которую сейчас власти не могут не регулировать. Для борьбы с такими критическими ситуациями в Интернете проводится внедрение системы фильтрации трафика (на базе технических средств противодействия угрозам — системы ТСПУ РКН) в рамках закона о «суверенном Рунет». Этот процесс является одной из приоритетных задач Роскомнадзора и других профильных ведомств на 2021 год и будет продолжен и расширен в 2022 году и далее. «Власти планируют окончательно ввести систему на базе ТСПУ в эксплуатацию с точки зрения максимально полного покрытия и трансграничного трафика, и мобильного, и широкополосного», — пояснила Матвеева.
25 мая глава Роскомнадзора Андрей Липов рассказал как используется оборудование для фильтрации трафика ТСПУ. Эта система с 1 ноября 2019 года ежедневно предотвращает более 421 млн попыток доступа, включая обход блокировок и DDoS-атаки. Она способна противостоять двенадцати категориям сетевых угроз и может блокировать VPN-сервисы.
9 апреля 2021 года Роскомнадзор опроверг наличие проблем и критических сбоев у российских операторов связи из-за установленного в их сетях оборудования для «суверенного рунета». Ведомство пояснило, что работа всех комплектов технических средств противодействия угрозам (ТСПУ) все время мониторится и «никоим образом не влияет на работу сетей операторов связи». РКН рассказал, что дежурные сотрудники Центра мониторинга и управления сетями связи общего пользования (ЦМУ ССОП) и территориальных управлений РКН постоянно сотрудничают с представителями операторов связи и следят за появлением неполадок в их инфраструктуре из-за оборудования ТСПУ. По словам представителя ведомства, по настоящее время замечаний от операторов связи после внедрения в их сети оборудования для «суверенного Рунета» не поступало.
17 февраля 2020 года Правительства РФ утвердило правила установки и эксплуатации у операторов связи оборудования для «суверенного Рунета». Причем операторы связи не могут отказаться от установки этого оборудования, а только потребовать провести его модернизацию в случае, если из-за его использования «возникает негативное влияние на функционирование сети связи общего пользования (потеря скорости, качества услуг связи, ухудшение других параметров) в связи с работой технических средств противодействия угрозам, в том числе их недостаточной пропускной способностью».
Также в этом постановлении прописаны правила установки, эксплуатации и модернизации в сетях операторов связи технических средств для противодействия целостности, устойчивости и безопасности интернета в России, согласно которым операторы связи обязаны обеспечить место в своих автозалах для устанавливаемого оборудования, подвести к этому оборудование электропитание (основное и резервное), обеспечить удаленный доступ к оборудованию для специалистов ФГУП «ГРЧЦ», Роскомнадзора и производителей оборудования. Вдобавок операторам связи запрещено препятствовать специалистам РКН осуществлять посредством использования специальных программных средств дистанционное управление техническими средствами противодействия угрозам.
Тспу роскомнадзор что это
С 27 марта вступил в действие федеральный закон от 24.02.2021 №19-ФЗ (см. новость ComNews от 10 февраля 2020 г.), вводящий для операторов связи штрафы до 1 млн руб. за нарушения закона «об устойчивом рунете», в том числе за несоблюдение правил установки технических средств противодействия угрозам (ТСПУ). В рамках «суверенного рунета» операторы обязаны устанавливать системы ТСПУ на сетях связи, однако решения Роскомнадзора о сертификации этого оборудования пока нет. При этом ТСПУ являются частью сети, оборудование которой должно пройти сертификацию.
«Большая четверка» сотовых операторов, а также ПАО «Ростелеком», АО «ЭР-Телеком Холдинг» и некоторые другие операторы либо воздержались от комментариев, либо не ответили на запрос корреспондента ComNews.
Несколько средних по масштабам операторов в разных регионах России на условиях анонимности сообщили ComNews, что пока им удается «отбиваться» от установки ТСПУ, ссылаясь на отсутствие сертификации оборудования и риски его выхода из строя.
Топ-менеджер заметного на рынке интернет-провайдера указывает еще один риск установки ТСПУ для любого оператора: «Оператор обязан передать в Роскомнадзор доступы от всех маршрутизаторов/коммутаторов. А где гарантия, что молодой сотрудник в этом ведомстве, с небольшой зарплатой, завтра не продаст эти данные налево?»