Bevor wir das System beschreiben, das für die Filterung des Zugangs durch Telekommunikationsanbieter verantwortlich ist, möchten wir darauf hinweisen, dass Roskomnadzor nun auch die Kontrolle über die Arbeit der Suchmaschinen übernehmen wird.
Zu Beginn des Jahres wurde die Vorgehensweise zur Kontrolle und die Liste der Maßnahmen zur Einhaltung der Anforderungen der Suchmaschinenbetreiber genehmigt, die die Bereitstellung von Informationen über Internetressourcen, auf die der Zugang im Hoheitsgebiet der Russischen Föderation eingeschränkt ist, einstellen müssen.
von Roskomnadzor vom 7. November 2017 Nr. 229 wurde im Justizministerium der Russischen Föderation registriert.
Der Erlass wurde im Rahmen der Umsetzung der Bestimmungen des Artikels 15.8 des Bundesgesetzes vom 27.07.2006 Nr. 149-FZ „Über Informationen, Informationstechnologien und zum Schutz von Informationen“ angenommen, der die Pflichten für die Betreiber von VPN-Diensten, „Anonymisierern“ und Suchmaschinenbetreibern zur Einschränkung des Zugangs zu Informationen festlegt,, deren Verbreitung in Russland verboten ist.
Die Kontrollmaßnahmen werden am Standort des Kontrollorgans durchgeführt, ohne mit den Betreibern von Suchmaschinen zusammenzuarbeiten.

Unter einem Informationssystem versteht man das FGIS der Informationsressourcen von informationstechnischen und kommunikationstechnischen Netzwerken, auf die der Zugang eingeschränkt ist.
Am Ende der Veranstaltung wird ein Bericht erstellt, in dem unter anderem Informationen über die verwendete Software zur Feststellung dieser Fakten sowie Nachweise angegeben sind, dass bestimmte Seiten der Website zum Zeitpunkt der Kontrolle länger als einen Tag im Informationssystem waren.
Der Bericht wird über das Informationssystem an den Betreiber der Suchmaschinen gesendet. Im Falle von Uneinigkeiten hat der Betreiber innerhalb von drei Werktagen das Recht, seine Einwände beim Roskomnadsor vorzulegen, der ebenfalls innerhalb von drei Werktagen über die Einwände entscheidet. Nach Prüfung der Einwände trifft der Leiter der Kontrollbehörde oder sein Stellvertreter eine Entscheidung über die Einleitung eines Verfahrens wegen einer administrativen Verletzung.
Wie das ZugangsfFiltersystem für Anbieter von Telekommunikationsdiensten derzeit eingerichtet ist.
In Russland gibt es eine Reihe von Gesetzen, die Betreiber von Telekommunikationsdiensten verpflichten, den Zugang zu Seiten zu filtern, die verbotene Inhalte verbreiten.
- Gesetz Nr. 126 «Über die Kommunikation», Änderung des Artikels 46 — zur Pflicht des Betreibers, den Zugang zu Informationen zu beschränken (FSÉM).
- «Einheitliches Register» — Verordnung der Regierung der Russischen Föderation vom 26. Oktober 2012, N 1101 «Über das einheitliche automatisierte Informationssystem „Einheitliches Register von Domainnamen, Webseiten-Adressen im Informations- und Telekommunikationsnetz „Internet“ und Netzadressen, die es ermöglichen, Webseiten im Informations- und Telekommunikationsnetz „Internet“ zu identifizieren, die Informationen enthalten, deren Verbreitung in der Russischen Föderation verboten ist»
- Gesetz Nr. 436 „Über den Schutz von Kindern…“, Kategorisierung zugänglicher Informationen.
- Gesetz Nr. 3 „Über die Polizei“, Artikel 13, Punkt 12 — zur Beseitigung der Ursachen und Bedingungen, die zur Verwirklichung von Bedrohungen für die Sicherheit der Bürger und öffentliche Sicherheit beitragen.
- Gesetz Nr. 187 „Über die Änderungen in bestimmten Gesetzen der RF zum Schutz geistiger Rechte in Informations- und Telekommunikationsnetzen“ („Antipiraterie-Gesetz“).
- Durchführung von Entscheidungen der Gerichtsbarkeit und Anweisungen der Staatsanwaltschaft.
- Bundesgesetz vom 28.07.2012 N 139-FZ „Über Änderungen des Bundesgesetzes „Über den Schutz von Kindern vor Informationen, die ihrer Gesundheit und Entwicklung schaden“ und bestimmten Gesetzgebungen der Russischen Föderation.“
- Bundesgesetz vom 27. Juli 2006 N 149-FZ „Über Informationen, Informationstechnologien und den Schutz von Informationen.“
Anfragen von Roskomnadzor zur Blockierung enthalten eine aktualisierte Liste von Anforderungen an den Provider, wobei jeder Eintrag aus solcher Anfrage Folgendes enthält:
- den Typ des Registers, gemäß dem die Einschränkung erfolgt;
- den Zeitpunkt, ab dem die Notwendigkeit zur Einschränkung des Zugangs besteht;
- den Typ der Dringlichkeit der Reaktion (normale Dringlichkeit – innerhalb von 24 Stunden, hohe Dringlichkeit – sofortige Reaktion);
- den Typ der Blockierung des Registereintrags (nach URL oder nach Domainnamen);
- den Hash-Code des Registereintrags (ändert sich bei jeder Änderung des Inhalts des Eintrags);
- die Angaben zur Entscheidung über die Notwendigkeit der Einschränkung des Zugangs;
- ein oder mehrere Verweise auf Seiten von Websites, auf die der Zugang eingeschränkt werden soll (nicht zwingend);
- ein oder mehrere Domainnamen (nicht zwingend);
- eine oder mehrere Netzwerkadressen (optional);
- eine oder mehrere IP-Subnetze (optional).
Um die Informationen effizient an die Betreiber zu übermitteln, wurde das „Informationssystem zur Interaktion von Roskomnadzor mit den Telekommunikationsanbietern“ eingerichtet. Dieses befindet sich zusammen mit den rechtlichen Vorschriften, Anleitungen und Merkblättern für Betreiber auf dem spezialisierten Portal:
Von seiner Seite gibt Roskomnadzor jetzt den Client der AS „Revisor“ zur Überprüfung der Telekommunikationsanbieter aus. Im Folgenden einige Informationen über die Funktionen des Agenten.
Algorithmus zur Überprüfung der Verfügbarkeit jeder URL durch den Agenten. Der Agent muss bei der Überprüfung:
- die IP-Adressen bestimmen, in die der Netzwerkname der überprüften Website (Domain) aufgelöst wird oder die IP-Adressen verwenden, die in der Ausgabedatei bereitgestellt werden,;
- für jede IP-Adresse, die von den DNS-Servern erhalten wurde, eine HTTP-Anfrage zur überprüften URL durchführen. Im Falle einer HTTP-Weiterleitung von der überprüften Website muss der Agent die URL überprüfen, auf die verwiesen wird. Es werden mindestens 5 aufeinanderfolgende HTTP-Weiterleitungen unterstützt;
- Wenn der HTTP-Anfrage nicht nachgekommen werden kann (keine TCP-Verbindung hergestellt), muss der Agent den Schluss ziehen, dass die IP-Adresse vollständig blockiert ist;
- Bei erfolgreicher HTTP-Anfrage muss der Agent die erhaltene Antwort der geprüften Website anhand des HTTP-Antwortcodes, der HTTP-Header und des HTTP-Inhalts (die ersten erhaltenen Daten bis zu 10 kB) überprüfen. Wenn die erhaltene Antwort mit den im ZU erstellten Templates für Platzhalterseiten übereinstimmt, muss der Schluss gezogen werden, dass die URL blockiert ist.;
- Bei der Überprüfung der URL muss der Agent die Etablierung des verschlüsselten Verbindungs überprüfen und die Ressource kennzeichnen;
- Wenn die vom Agenten erhaltenen Daten nicht mit den Vorlagen für Interimsseiten oder vertrauenswürdigen Weiterleitungsseiten übereinstimmen, die über die Sperrung der Ressource informieren, muss der Agent zu dem Schluss kommen, dass keine Sperrung der URL im SPD des Telekommunikationsanbieters vorliegt. In diesem Fall werden die Informationen über die Daten (HTTP-Antwort), die der Agent erhalten hat, in einen Bericht (Protokolldatei) aufgezeichnet. Der Systemadministrator hat die Möglichkeit, aus diesem Eintrag eine Vorlage für eine neue Interimsseite zu erstellen, um zukünftige falsche Schlussfolgerungen über das Fehlen einer Sperrung zu verhindern.
Liste der Anforderungen, die der Agent erfüllen muss
- Kontakt mit dem ZU, um die vollständige Liste der URLs und Sperrmodi, die getestet werden müssen, zu erhalten;
- Kontakt mit dem ZU, um Daten über die Prüfmodi zu erhalten. Unterstützte Modi: vollständige einmalige Prüfung, vollständige regelmäßige Prüfung mit festgelegtem Intervall, stichprobenartige einmalige Prüfung mit einer vom Benutzer vorgegebenen URL-Liste, regelmäßige Prüfung der URL-Liste (bestimmter Datensatztyp EР) mit festgelegtem Intervall;
- Fortsetzung der Überprüfung der vorgegebenen Verfahren anhand der vorhandenen URL-Liste, falls es nicht möglich ist, die URL-Liste vom zentralen Unternehmen (ЦУ) zu erhalten, sowie die Speicherung der erhaltenen Prüfergebnisse mit anschließender Übermittlung an das ЦУ;
- Vollständige Durchführung der vorgegebenen Verfahren zur Überprüfung der vorhandenen URL-Listen, falls Informationen über die Prüfmodi vom ЦУ nicht erhältlich sind, sowie die Speicherung der erhaltenen Prüfergebnisse mit anschließender Übermittlung an das ЦУ;
- Durchführung der Überprüfung der Blockierungsergebnisse gemäß dem festgelegten Modus;
- Übermittlung eines Berichts über die durchgeführte Überprüfung an das ЦУ (Prüfprotokolldatei);
- Möglichkeit zur Überprüfung der Funktionsfähigkeit des Kommunikationsproviders, d.h. Überprüfung der Verfügbarkeit einer Liste von eindeutig zugänglichen Websites;
- Möglichkeit zur Überprüfung der Blockierungsergebnisse unter Verwendung eines Proxy-Servers;
- Möglichkeit zur Fernaktualisierung der Software;
- Möglichkeiten zur Durchführung diagnostischer Verfahren auf dem SPD (Reaktionszeit, Paketroute, Downloadgeschwindigkeit von externen Quellen, Bestimmung von IP-Adressen für Domainnamen, Wert der Informationsgeschwindigkeit im Rückkanal von verkabelten Zugangsnetzen, Paketverlustquote, durchschnittliche Verzögerungszeit der Paketübertragung);
- Die Prüfung muss mindestens 10 URLs pro Sekunde durchführen können, vorausgesetzt, die Bandbreite ist ausreichend;
- Die Möglichkeit zur mehrfachen Abfrage des Ressourcen durch den Agenten (bis zu 20 Mal), mit variabler Frequenz von 1 Mal pro Sekunde bis 1 Mal pro Minute;
- Die Möglichkeit, eine zufällige Reihenfolge der im Test übertragenen Listeneinträge zu erstellen und eine Priorität für eine bestimmte Seite der Website im Internet festzulegen.
Im Allgemeinen sieht die Struktur so aus:

Software- und hardwarebasierte Lösungen zur Filterung von Internetverkehr (DPI-Lösungen) ermöglichen es Betreibern, den Verkehr von Benutzern zu Websites aus der RKN-Liste zu blockieren. Ob sie blockiert werden oder nicht, wird vom Kunden von AS Revisior überprüft. Er prüft im automatischen Modus die Erreichbarkeit der Website gemäß der RKN-Liste.
Ein Beispiel für ein Monitoring-Protokoll ist verfügbar. .
Im vergangenen Jahr begann die Roskomnadzor mit dem Testen von Lösungen zur Blockierung, die von Betreibern zur Umsetzung dieses Schemas eingesetzt werden können. Ich möchte ein Zitat aus den Ergebnissen dieser Tests anführen:
„Positive Bewertungen von Roskomnadzor wurden für die spezialisierten Softwarelösungen „UBIC“, „EcoFilter“, „SKAT DPI“, „Tiksens-Blockierung“, „SkyDNS Zapret ISP“ und „Carbon Reductor DPI“ erhalten.
Es liegt auch ein Gutachten der Roskomnadzor vor, das die Möglichkeit bestätigt, dass Telekommunikationsanbieter die Software „ZapretService“ als Mittel zur Beschränkung des Zugangs zu verbotenen Internetressourcen einsetzen können. Die Testergebnisse zeigten, dass bei der Installation nach dem vom Hersteller empfohlenen „In-Line“-Schema und der korrekten Konfiguration des Netzes des Telekommunikationsanbieters die Anzahl der festgestellten Verstöße im Einheitlichen Register verbotener Informationen 0,02% nicht überschreitet.
Somit haben die Telekommunikationsanbieter die Möglichkeit, die für sie am besten geeignete Lösung zur Einschränkung des Zugangs zu unerlaubten Ressourcen auszuwählen, einschließlich der Softwareprodukte, die eine positive Bewertung von der Roskomnadsor erhalten haben.
Während der Testphase des Softwareprodukts Ideco Selecta ISP konnten einige Anbieter aufgrund des langwierigen Bereitstellungs- und Konfigurationsprozesses die Tests nicht innerhalb der festgelegten Fristen beginnen. Bei mehr als der Hälfte der in den Tests involvierten Telekommunikationsanbieter betrug der Zeitraum für die Testnutzung von Ideco Selecta ISP nicht mehr als eine Woche. Angesichts der geringen Menge an gesammelten statistischen Daten und der geringen Anzahl von Teilnehmern stellte die Roskomnadsor in ihrem offiziellen Bericht fest, dass keine eindeutigen Schlussfolgerungen zur Effektivität des Produkts „Ideco Selecta ISP“ als Mittel zur Einschränkung des Zugangs zu unerlaubten Inhalten im Internet gewonnen werden konnten.
Ich möchte ergänzen, dass bis zu 27 Telekommunikationsanbieter mit unterschiedlich vielen Abonnenten aus verschiedenen Bundesgebieten der Russischen Föderation an den Tests jedes Softwareprodukts teilnahmen.
Die offiziellen Berichte über die Testergebnisse sind einsehbar. In diesen Berichten gibt es praktisch keine technischen Informationen. Informationen über das Produkt „Ideco Selecta ISP“ sind verfügbar, um zu erfahren, wie man es nicht machen sollte.
In diesem Jahr werden die Tests fortgesetzt, und derzeit scheint es laut den Neuigkeiten der Roskomnadzor, dass bereits ein Produkt untersucht wurde und zwei weitere in naher Zukunft geplant sind.
Was, wenn die Sperrung irrtümlich erfolgt ist?
Abschließend möchte ich daran erinnern, dass die Roskomnadzor „keine Fehler macht“, was vom Verfassungsgericht bestätigt wird.
Die Entscheidung, die tatsächlich die Verantwortung der Roskomnadzor für die fehlerhafte Sperrung von Websites aufhebt, wurde im Rahmen der Prüfung einer Beschwerde beim Verfassungsgericht des Direktors der Internetverleger-Vereinigung, Wladimir Charitonow, getroffen. Er erklärte, dass Roskomnadzor im Dezember 2012 fälschlicherweise seine Internetbibliothek digital-books.ru gesperrt hatte. Wie Herr Charitonow erklärte, lag seine Ressource auf derselben IP-Adresse wie das Portal rastamantales(.)ru (jetzt rastamantales(.)com), das ursprünglich gesperrt wurde. Wladimir Charitonow versuchte, die Entscheidung von Roskomnadzor gerichtlich anzufechten, doch im Juni 2013 erkannte das Tagansker Bezirksgericht die Sperrung als rechtmäßig an, und im September 2013 bestätigte das Moskauer Stadtgericht dieses Urteil.
Von dort:
In Roskomnadzor erklärte man gegenüber «Ъ», dass man mit der Entscheidung des Verfassungsgerichts zufrieden sei. «Das Verfassungsgericht hat bestätigt, dass Roskomnadzor das Gesetz einhält. Wenn der Betreiber nicht die technische Möglichkeit hat, den Zugriff auf eine bestimmte Seite der Website und nicht auf deren Netzwerkadresse zu beschränken, trägt er die Verantwortung», sagte der Pressesprecher der Behörde gegenüber «Ъ».
Diese Frage ist auch für Cloud-Anbieter und Hosting-Unternehmen relevant, da ähnliche Vorfälle auch dort aufgetreten sind. Im Juni 2016 wurde der Cloud-Service Amazon S3 in Russland blockiert, obwohl nur die auf seiner Plattform befindliche Seite des Pokerraums 888poker auf Anforderung des Bundessteuerdienstes in das Verzeichnis aufgenommen wurde. Die Blockierung der gesamten Ressource hing gerade damit zusammen, dass Amazon S3 das sichere Protokoll HTTPS verwendet, das nicht erlaubt, Einzelseiten zu sperren. Erst nachdem Amazon selbst die Seite, zu der die russischen Behörden Einwände erhoben hatten, entfernt hatte, wurde die Ressource aus dem Verzeichnis gestrichen.
Quelle: habr.com
