«Непреодолимый» барьер, или Почему не удается заблокировать Telegram
Вопрос надежной, но бюджетной блокировки запрещенных сайтов из реестра Роскомнадзора (РКН) уже не первый год волнует операторов связи. Недавние технические сбои привели к определенным размышлениям о том, что широко используемые в настоящее время инструменты для блокировки ресурсов из реестра РКН при ряде условий не способны обеспечивать соответствие требованиям закона. Кроме того, такие «инструменты для блокировки» вызывают нештатные ситуации на сети и связанные с ними репутационные и финансовые потери. Отчетливо проступили очертания новой проблемы: подавляющее большинство операторов связи используют несовершенные, устаревшие и уязвимые методы блокировки реестра РКН, риски по которым могут ударить ощутимо больнее штрафов за пропуски.
Насколько экономной должна быть экономия?
Блокировать запрещенные ресурсы можно по-разному. Существует ряд методик: например, блокировка по DNS, блокировка по IP, глубокий анализ сетевых пакетов (DPI) и другие. Операторы хорошо знают сильные и слабые стороны этих технологий, а выбирают, как правило, самые простые и бюджетные. Наиболее эффективный метод (DPI на весь трафик) традиционно считается затратным.
Понять участников рынка несложно. Операторский бизнес требует постоянных вложений: модернизация инфраструктуры, привлечение новых абонентов, удержание существующих, обеспечение требований регулятора… Поэтому многие операторы стараются решить вопрос «малой кровью», используя блокировку в два этапа. Метод предельно прост: на первом этапе весь исходящий трафик фильтруется штатными маршрутизаторами (firewall, blackhole) на основе IP-адреса (адреса «подозрительных» ресурсов заранее резолвятся и заносятся в таблицу маршрутизации), на втором — небольшой объем оставшегося трафика поступает на простейшее низкопроизводительное DPI-решение.
Несмотря на все недостатки, которые операторам давно известны, эта схема весьма популярна и встречается даже у крупнейших игроков рынка связи. Однако такая методика способна закрыть вопрос фильтрации только до какого-то определенного момента. Проблема в том, что в процессе резолвинга неконтролируемо большое количество правил ACL может в автоматическом режиме попасть на маршрутизаторы, которые на выполнение таких задач совсем не рассчитаны.
В итоге переполняется память и прекращается пропуск не только запрещенного, но и всего остального трафика. Кроме того, сам объем трафика, направляемого с предфильтра на фильтр, может существенно меняться по мере включения в реестр РКН новых запрещенных URL (недавно, например, была попытка заблокировать Amazon cloud). На фильтрующий модуль, рассчитанный на трафик ~10% от общей полосы, может резко «политься» 50%. Все это происходит без участия человека и автоматически приводит к неработоспособности сети.
Тут есть, над чем задуматься. Надежды на то, что все условно бесплатные «заплатки» на предфильтрах, блокировка по IP и другие полумеры позволят еще долго держаться на плаву, с каждым днем слабеют. Судите сами: реестр растет, количество IP-адресов растет (у одного сайта их могут быть тысячи, что не является само по себе нештатной ситуацией), а ресурсов у маршрутизаторов больше не становятся — напротив, скоро они будут исчерпаны. Оставшиеся ресурсы, которые мы «из экономии» хотим использовать для фильтрации, уже недостаточны для решения задач не только завтрашнего, но и сегодняшнего дня. Схема «предфильтр-фильтр» сегодня является для провайдера настоящей бомбой замедленного действия.
DPI — не роскошь, а механизм
Что делать? Пожалуй, стоит признать, что старая схема «латания дыр» себя практически исчерпала: сейчас блокировка на предфильтрах уже выглядит, как «шлагбаум в океане». Похоже, пришла пора подыскивать адекватную по стоимости и функционалу систему на базе DPI-технологий.
DPI в разрезе реальных потребностей российских операторов связи — это, в первую очередь, функционал, и не обязательно использовать на нем весь возможный перечень функций. Как показала практика, правило «оптом дешевле» справедливо далеко не всегда, а вот «взвешивать точно в граммах» — это ровно то, что нужно, но DPI-вендоры не торопятся переходить к такой парадигме. Фактически, оборудованием класса DPI может быть любое решение, способное «заглядывать» чуть дальше, чем заголовки сетевых пакетов, и работать с их содержимым, что гарантированно закроет потребность в фильтрации с хорошим заделом на будущее.
Этим механизмом вполне можно пользоваться в необходимых объемах, не переплачивая за лишнее. При таком подходе польза от внедрения становится очевидной: во-первых, сам инструмент (да, он наверняка окажется дороже «бесплатных» решений) станет значительно дешевле продуктов от нишевых игроков DPI-рынка с их пакетными предложениями; во-вторых, стоимость должна однозначно перекрывать риски вероятных убытков в результате сбоев и потерь самого ценного для любого оператора — его абонентов.
Безусловно, здесь, как и в любом деле, необходимо найти золотую середину между ценой, надежностью и производительностью. Возможно, её стоит поискать на молодом, но уже окрепшем рынке российских DPI-решений.
Недавно Роскомнадзор протестировал ряд российских систем и опубликовал отчеты на своём официальном сайте. Среди них есть решения на базе DPI-технологий, обладающие достаточной пропускной способностью для установки «в разрыв» на весь трафик оператора. Надо отметить, что операторы, использующие подобные системы для фильтрации, никак не почувствовали на себе проблем, от которых недавно «трясло» почти весь российский сегмент Интернета.
Что в перспективе?
Конечно, задачи, стоящие перед участниками рынка связи, могут быть разные. Кто-то пытается закрыть вопрос бесплатно, пусть и ненадолго. Кто-то думает о будущем развитии и выбирает гибкие масштабируемые решения, оперативно изменяемые и дорабатываемые за счет актуализации софта. Кто-то пытается совмещать «неприятное с полезным», монетизируя данные, получаемые с трафика от DPI-систем, и защищая тем самым инвестиции, потраченные на внедрение DPI.
В любом случае, постоянно усложняющиеся требования регулятора, эволюция реестра РКН (увеличение списка блокируемых ресурсов, появление новых протоколов и др.) и связанный с ней прогноз развития систем фильтрации однозначно позволяют утверждать: двухэтапная блокировка уходит в прошлое. DPI на весь проходящий трафик, исключающий пути обхода и позволяющий заглядывать внутрь пакетов, — это единственный доступный уже сегодня метод, дающий практически стопроцентный результат. Пока регулятор настоятельно рекомендует использовать DPI для выполнения требований федерального законодательства, а в будущем, возможно, и обяжет. В результате развития ситуации те, кто уже вложился в устаревшие технологии, будут вынуждены заплатить дважды.
А пока всё, что мы имеем — это участившиеся случаи сбоев и DNS-атак. Что будет делать государство? Позволим себе предположить, что прежде всего оно обязано пристально следить за происходящим и реагировать на инциденты, особенно когда эти инциденты влияют на оказание операторами федерального масштаба критичных социальных услуг населению. Может так случиться, что уже завтра метод резолвинга будет запрещен. И попытки блокировки Telegram это скорее подтверждают. Особенно, если возникнет вопрос регулирования P2P-сетей: без функционала DPI на всем трафике такое регулирование технически просто неосуществимо.
Разумеется, всё это в скором времени может повлиять на ценовые политики вендоров, даже российских. Поэтому уже сейчас необходимо задуматься, какие методы и механизмы будут актуальны в новых технических и правовых условиях. Выбор есть: сегодня отечественные разработчики готовы предложить широкий спектр оборудования как для среднего сегмента, так и для топовых игроков — например, мультитерабитные кластеры, способные масштабироваться до десятков Тб, но при этом предлагая и бюджетные решения для довольно большого объема трафика, которые вполне могут быть пригодны для небольших и даже средних провайдеров. Как из этого многообразия выбрать искомую золотую середину — оборудование с хорошим КПД и оптимальной удельной стоимостью, — отдельный вопрос, ответ на который операторам еще только предстоит найти.
Дмитрий Иванов, директор департамента развития сетевых проектов Центра сетевых решений компании «Инфосистемы Джет»