- Специальный корреспондент
Минкомсвязи составило график проведения учений по обеспечению устойчивого функционирования интернета. В том числе будут рассмотрены вопросы блокировки трафика, проходящего по экспериментальным защищенным протоколам DNS over HTTPS и DNS over TLS.
План учений по «суверенному интернету»
Минкомсвязи утвердило график проведения в 2020 г. плановых учений по обеспечению устойчивого, безопасного и целостного функционирования на территории России сети интернет и сетей связи общего пользования. Документ за подписью временно исполняющего обязанности министра связи Алексея Волина опубликован на сайте министерства.
Проведение обозначенных учений предусмотрено вступившим в силу в 2019 г. так называемым законом «О суверенном интернете». В учениях обязаны участвовать операторы связи и организаторы распространения информации в сети интернет (ОРИ).
Первые учения по данному закону прошли в конце 2019 г. По неофициальной информации, тогда уязвимость сотовых сетей через протоколы сигнализации SS-7 и Diameter.
Согласно нынешнему приказу министерства, 20 марта 2020 г. будет отработана возможность по блокировки трафика, защищенного с использованием технологией DNS поверх HTTPS (DoH) и DNS поверх TLS.
20 июня будет отработано противодействие угрозам устойчивости функционирования сети интернет и сети связи общего пользования на территории России, при которой нарушается работоспособность сетей связи при неисправности фрагмента сети связи, а также в условиях внешних дестабилизирующих воздействий природного и техногенного характера.
20 сентября 2020 г. будет отработано противодействие атакам с использованием уязвимостей узкополосных сетей интернета вещей. Наконец, 20 декабря будет отработано противодействие атакам с использованием уязвимостей протокола BGP.
Для чего нужны протоколы BGP, DNS over HTTPS и DNS over TLS
BGP - протокол маршрутизации трафика в сети интернет. Протокол основан на доверии, в связи с чем провайдер потенциально может объявить своими чужие IP-адреса и перехватить обращенный к ним трафик.
DNS - система, отвечающая за соответствие доменном IP-адресов. DNS over HTTPS и DNS over TLS - новые, экспериментальные версии системы DNS, в основе которых лежат защищенные протоколы HTTPS и TLS соответственно.
Использование таких протоколов позволяет скрывать от провайдера запросы пользователей к системе DNS. Потенциально эти протоколы могут использоваться и пользователями блокировки доступа к запрещенных интернет-сайтов, так как провайдер не знает, к какому домену обращается его пользователь.
В чем может быть реальный интерес властей к новым защищенным протоколам
Впрочем, гендиректор хостинг-провайдера «Дремучий лес» Филипп Кулин скептически смотрит на возможность использования указанных протоколов для доступа из России к запрещенным сайтам. «На Западе во многих странах блокировка доступа к сайтам через DNS является единственным легальным видом блокировок, соответственно, в этих странах новые версии протокола DNS могут быть использованы для обхода блокировок, - говорит эксперт. - В России же блокировки через DNS практически не используются: большинство провайдеров установили DPI-системы, которые самостоятельно определяют факт обращения к доменам запрещенных сайтов».
По мнению Кулина, более реально, что власти заинтересовались указанными протоколами из-за их возможности скрывать «цифровой след» пользователей. «Когда пользователь заходит на какой-либо IP-адрес, не всегда можно понять, какой конкретно сайт ему нужен, так как на этом IP могут находится различные ресурсы, - отмечает гендиректор «Дремучего леса». - Если же сопоставить данные о загруженных IP-адресах с данными о предшествовавших запросах пользователя к DNS-системе, вероятность понять, что именно интересовало пользователя, повышается».
Отметим, что параллельно министр связи Константин Носков еще один нормативный акт, также предусмотренный законом «О суверенном интернете» - приказ о требованиях к функционированию технических и программных средств системы DNS. Согласно нему, операторы связи, ОРИ и владельцы технологических сетей связи, владеющие собственными номерами автономных интернет-систем, обязаны вести журналы запросов пользователей к системе DNS и хранить эту информацию в течение года.
План учений по «суверенному интернету»
Минкомсвязи утвердило график проведения в 2020 г. плановых учений по обеспечению устойчивого, безопасного и целостного функционирования на территории России сети интернет и сетей связи общего пользования. Документ за подписью временно исполняющего обязанности министра связи Алексея Волина опубликован на сайте министерства.
Проведение обозначенных учений предусмотрено вступившим в силу в 2019 г. так называемым законом «О суверенном интернете». В учениях обязаны участвовать операторы связи и организаторы распространения информации в сети интернет (ОРИ).
Первые учения по данному закону прошли в конце 2019 г. По неофициальной информации, тогда уязвимость сотовых сетей через протоколы сигнализации SS-7 и Diameter.
Согласно нынешнему приказу министерства, 20 марта 2020 г. будет отработана возможность по блокировки трафика, защищенного с использованием технологией DNS поверх HTTPS (DoH) и DNS поверх TLS.
20 июня будет отработано противодействие угрозам устойчивости функционирования сети интернет и сети связи общего пользования на территории России, при которой нарушается работоспособность сетей связи при неисправности фрагмента сети связи, а также в условиях внешних дестабилизирующих воздействий природного и техногенного характера.
20 сентября 2020 г. будет отработано противодействие атакам с использованием уязвимостей узкополосных сетей интернета вещей. Наконец, 20 декабря будет отработано противодействие атакам с использованием уязвимостей протокола BGP.
Для чего нужны протоколы BGP, DNS over HTTPS и DNS over TLS
BGP - протокол маршрутизации трафика в сети интернет. Протокол основан на доверии, в связи с чем провайдер потенциально может объявить своими чужие IP-адреса и перехватить обращенный к ним трафик.
DNS - система, отвечающая за соответствие доменном IP-адресов. DNS over HTTPS и DNS over TLS - новые, экспериментальные версии системы DNS, в основе которых лежат защищенные протоколы HTTPS и TLS соответственно.
Использование таких протоколов позволяет скрывать от провайдера запросы пользователей к системе DNS. Потенциально эти протоколы могут использоваться и пользователями блокировки доступа к запрещенных интернет-сайтов, так как провайдер не знает, к какому домену обращается его пользователь.
В чем может быть реальный интерес властей к новым защищенным протоколам
Впрочем, гендиректор хостинг-провайдера «Дремучий лес» Филипп Кулин скептически смотрит на возможность использования указанных протоколов для доступа из России к запрещенным сайтам. «На Западе во многих странах блокировка доступа к сайтам через DNS является единственным легальным видом блокировок, соответственно, в этих странах новые версии протокола DNS могут быть использованы для обхода блокировок, - говорит эксперт. - В России же блокировки через DNS практически не используются: большинство провайдеров установили DPI-системы, которые самостоятельно определяют факт обращения к доменам запрещенных сайтов».
По мнению Кулина, более реально, что власти заинтересовались указанными протоколами из-за их возможности скрывать «цифровой след» пользователей. «Когда пользователь заходит на какой-либо IP-адрес, не всегда можно понять, какой конкретно сайт ему нужен, так как на этом IP могут находится различные ресурсы, - отмечает гендиректор «Дремучего леса». - Если же сопоставить данные о загруженных IP-адресах с данными о предшествовавших запросах пользователя к DNS-системе, вероятность понять, что именно интересовало пользователя, повышается».
Отметим, что параллельно министр связи Константин Носков еще один нормативный акт, также предусмотренный законом «О суверенном интернете» - приказ о требованиях к функционированию технических и программных средств системы DNS. Согласно нему, операторы связи, ОРИ и владельцы технологических сетей связи, владеющие собственными номерами автономных интернет-систем, обязаны вести журналы запросов пользователей к системе DNS и хранить эту информацию в течение года.
