Как происходит блокировка сайтов: взгляд провайдера

Как Роскомнадзор находит ресурсы для блокировки?

Для пополнения списка запрещенных сайтов Роскомнадзор использует постановления различных федеральных служб и судебные решения, а также принимает сообщения от граждан о наличии на сайтах в интернете противоправной информации – об изготовлении наркотиков, азартных играх, детской порнографии и т.д. Чтобы отправить сообщение Роскомнадзору о подозрительном ресурсе, достаточно просто зайти на официальный сайт и заполнить форму.

Кто блокирует сайты?

Блокировками запрещенных ресурсов должны заниматься все операторы связи, предоставляющие услуги доступа в интернет. Это и Ростелеком, и операторы большой тройки, и КРОК в том числе. Наша компания в данном случае также относится к группе операторов связи, так как мы предоставляют услуги доступа в интернет для клиентов нашего ЦОДа на основании выданной нам лицензии.

Как происходят блокировки и насколько это сложно? 

Ежедневно два раза в сутки мы синхронизируем перечень блокируемых сайтов с перечнем запрещенных сайтов, который предоставляет Роскомнадзор. В дампе сейчас содержится в общей сложности по 12 000 доменов и IP-адресов и до 18 000 URL-адресов. В среднем ежедневно он пополнятся на 50-70 новых записей.  Естественно, осуществлять вручную блокировки каждого сайта отдельно практически невозможно. Поэтому нам пришлось написать специальный скрипт, чтобы автоматизировать процесс синхронизации перечней блокировки и добавления новых записей запрещенных ресурсов на системах фильтрации исходящего сетевого трафика. Весь процесс добавления новых записей теперь занимает менее двух минут.

Какие есть способы блокировки сайтов?

Сам Роскомнадзор предоставляет только распоряжение о блокировках, но как технически блокировки нужно осуществлять, однозначного ответа нет. Каждый оператор реализует это по-своему.

Существует 3 способа блокирования запрещенного ресурса: по IP-адресу, по домену и по URL. Но в этом кроется одна из основных проблем. Если мы заблокируем IP-адрес, владелец ресурса может завтра сменить его, и запрещенный сайт будет снова доступен. Также на одном IP-адресе может находиться несколько сайтов, и блокировка адреса может привести к недоступности легитимных ресурсов. Поэтому данный вид блокировки считается неэффективным.

Второй способ – блокировка по домену. Тут кроется другая опасность. Существуют крупные веб-порталы, на которые может быть добавлен пользовательский контент, например, Youtube. В списках запрещенных сайтов может быть указан URL на этот портал, и если мы заблокируем весь домен Youtube, то пользователи не смогут получить доступ к легитимной информации на всем сайте. Это категорически неправильно.

Поэтому мы, например, выбрали для блокировки связку IP-адрес + URL.

Как фильтровать трафик клиента?

Есть ряд решений, позволяющих выполнить фильтрацию трафика. Одно из них – Deep Packet Inspection, оно дает возможность полностью отслеживать и блокировать исходящий трафик на запрещенные ресурсы. Но это решение очень дорогое, вряд ли кто-то из операторов связи позволит себе только ради одних блокировок установить такую систему. Поэтому зачастую фильтрация осуществляется «на том, что есть».

Одна из серьезных проблем операторов – это зашифрованный SSL-трафик. Многие сайты сейчас используют шифрование, и чтобы понять, куда обращается клиент, оператору связи нужно расшифровать этот исходящий трафик. Поверьте, задача не из легких, а иногда и просто невыполнимая.

Сюда же относится использование различных шифрованных VPN-туннелей, прокси-серверов и анонимайзеров – исходящий трафик может транзитом уходить за пределы Российской Федерации и попадать на запрещенный ресурс через IP-адреса других стран.

К сожалению, эта проблема не имеет решения на сегодняшний день.

Сколько времени дается на блокировку?

Операторам дается 3 дня для исполнения распоряжения Роскомнадзора. Если предписание за этот срок не исполняется, оператору вменяют штраф в размере 30 000 рублей. Сейчас Роскомнадзор начинает планомерно контролировать исполнения предписаний с помощью системы «Ревизор». Этот программно-аппаратный комплекс будет устанавливаться на стороне оператора связи, что позволит Роскомнадзору в автоматическом режиме отслеживать исполнение предписаний.