Как работает "Великий казахстанский файервол"

Новостная редакция -

Поговорим о нашем, родном: о подключении казахстанских операторов с помощью Deep Packet Inspection и почему это не работает

Большинство казахстанцев, пользующихся интернетом, знают, что иногда что-то не работает. Особенно по вечерам, когда "выключается" популярный мессенджер Telegram. Среди пользователей даже ходит шутка о том, что по Телеграму можно сверять часы: ровно в девять вечера (по Астане) он перестает работать на два часа.

Подобные блокировки, очевидно, носят политический характер: в определенное время суток происходит онлайн-вещание контента, который запрещен в Казахстане. Помимо политики, блокируется ряд сайтов и приложений, носящих порнографический, эротический (недавно под блокировку попал сайт technodom.kz из-за нашумевшего в Интернет-сообществах ассортимента товаров для взрослых), религиозно-экстремистский характер, а также некоторые зарубежные блог- и новостные платформы.

Блокировки осуществляются решениями судов, а также различными указаниями сверху, и просто в результате того, что технические службы государства находят и, так сказать, обезвреживают нелегитимный с их точки зрения контент и ресурсы.

Почему это работает

Технически это реализуется примерно так. В Казахстане есть считанное количество операторов, имеющих собственные внешние каналы в сеть Интернет. Внешние каналы в Интернет — это интерфейсы между сетями, к которым подключаются пользователи в Казахстане, и сетями зарубежных провайдеров, через которых доступен весь Интернет-контент, который располагается на серверах за пределами Казахстана. Так вот, все внешние каналы всех операторов подключены в разрыв специализированными устройствами — Deep Packet Inspection (DPI), выполняющими несколько основных функций: мониторинг проходящего через каналы трафика и выборочная его фильтрация. Фильтрация — то есть пропуск легитимного и блокировка нелегитимного трафика — осуществляется с максимально возможной точностью: сигнатура приложения, доменное имя сервера и URL, TCP- или UDP-порт или группа портов, IP-адрес сервера. Высокая точность фильтра DPI очень важна: на одном сервере под одним IP-адресом может находиться несколько сотен сайтов (так работают почти все хостинги в мире); за одним IP-адресом может быть множество серверов; один сайт или приложение могут иметь разные IP-адреса и использовать разные протоколы доступа пользователей и так далее. Специализированные устройства позволяют выявить и что-нибудь сделать с различными (обычно двунаправленными) потоками трафика между пользователем и сервером с максимальной точностью, то есть идентификацией по указанным выше параметрам. Блокировка обычно реализуется через TCP/IP-механизмы сброса соединений (TCP reset) или по-файрвольному — закрытием тех или иных портов в сочетании с IP-адресами, доменами (с использование механизмов DNS poisoning — то бишь нарушением корректной отработки DNS-запроса), сигнатурами и т.д.

Чтобы всё работало правильно, существуют специализированные государственные службы, занимающиеся как исполнением законов, что-то запрещающих или ограничивающих в Интернете, так и оперативным реагированием на всевозможные события в режиме онлайн. Это что-то вроде Роскомнадзора, только без необходимости блокирования миллионов IP-адресов ради нескольких, за которыми скрывается Телеграм. Задачи таких служб — заблокировать то, что надо, ничего не упустив (казахстанская служба иногда работает несинхронно на разных операторах, например, на "Казахтелеком" может что-то не работать, в то время как на AlmaTV всё доступно), нанеся при этом минимальный ущерб работоспособности всего Интернета для казахстанских пользователей.

Почему это не работает

Кстати, утечки трафика пока имеют место быть благодаря всевозможным VPN-приложениям, которые работают примерно так же, как и обычный интернет, то есть используют TCP/IP, клиент-серверную архитектуру, распространенные протоколы шифрования трафика (их использует сейчас весь интернет как минимальная гигиеническая мера защиты). Отличия VPN в том, что они делают так, что трафик пользователя перенаправляется в туннель, который смотрит на VPN-сервер где-то за рубежом, а оттуда создают еще один туннель, который смотрит на тот ресурс, куда нужно попасть пользователю. Но такие VPN детектировать возможно если не средствами DPI напрямую, то просто отслеживая популярные VPN-клиенты в магазинах приложений — для Chrome, Android, iOS и т.д., чем и занимаются сотрудники специализированных служб.

Похожая практика существует в Китае и Турции, но с одной оговоркой — сетевой контент у наших великих соседей куда более самобытный, чем казахстанский. Например, в Китае сервисы WeChat, Alipay, Baidu намного востребованнее аналогов в лице Google, Facebook, Youtube, Instagram и Whatsapp. Более того, в Китае невозможно представить, чтобы какой-нибудь WeChat не сотрудничал с властями, осуществляющими интернет-цензуру. А в WeChat порядка миллиарда пользователей. В Турции ситуация аналогичная: много местного контента, включая телевизионных и околотелевизионных каналов, вещающих в том числе онлайн.

Вопрос, в каком направлении пойдет цензура Интернета в Казахстане, чтобы стать по-настоящему эффективной, оставим открытым. Может, она станет похожей на китайскую или турецкую, то есть мы, пользователи, каким-то образом преодолеем самих себя и полюбим казахстанский интернет?