ProHoster > Blog > Verwaltung > Wie funktioniert die Sperrung des Zugriffs auf Seiten, die verbotene Inhalte verbreiten (RKN prüft jetzt auch Suchmaschinen)

Wie funktioniert die Sperrung des Zugriffs auf Seiten, die verbotene Inhalte verbreiten (RKN prüft jetzt auch Suchmaschinen)

Wie funktioniert die Sperrung des Zugriffs auf Seiten, die verbotene Inhalte verbreiten (RKN prüft jetzt auch Suchmaschinen)

Bevor wir mit der Beschreibung des Systems fortfahren, das für die Zugriffsfilterung durch Telekommunikationsbetreiber verantwortlich ist, stellen wir fest, dass Roskomnadzor nun auch den Betrieb von Suchmaschinen kontrollieren wird.

Zu Beginn des Jahres wurden ein Kontrollverfahren und eine Liste von Maßnahmen verabschiedet, um sicherzustellen, dass Suchmaschinenbetreiber die Anforderungen erfüllen, keine Informationen mehr über Internetressourcen herauszugeben, deren Zugriff auf dem Territorium der Russischen Föderation eingeschränkt ist.

Entsprechende Reihenfolge Roskomnadzor vom 7. November 2017 Nr. 229 ist beim russischen Justizministerium registriert.

Die Verordnung wurde im Rahmen der Umsetzung der Bestimmungen des Artikels 15.8 des Bundesgesetzes vom 27.07.2006. Juli 149 Nr. XNUMX-FZ „Über Informationen, Informationstechnologien und Informationsschutz“ erlassen, der bestimmt Verantwortlichkeiten für Besitzer von VPN-Diensten, „Anonymisierer“ und Suchmaschinenbetreiber, den Zugriff auf Informationen einzuschränken, dessen Verbreitung in Russland verboten ist.

Kontrolltätigkeiten werden am Standort der Kontrollstelle ohne Interaktion mit Suchmaschinenbetreibern durchgeführt.

Wie funktioniert die Sperrung des Zugriffs auf Seiten, die verbotene Inhalte verbreiten (RKN prüft jetzt auch Suchmaschinen)
Unter einem Informationssystem versteht man ein FSIS von Informationsressourcen von Informations- und Telekommunikationsnetzen, zu denen der Zugriff begrenzt ist.

Auf der Grundlage der Ergebnisse der Veranstaltung wird ein Bericht erstellt, der insbesondere Informationen über die zur Feststellung dieser Tatsachen verwendete Software sowie Informationen enthält, die bestätigen, dass eine bestimmte Seite (Seiten) der Website zum Zeitpunkt der Kontrolle vorhanden war war länger als einen Tag im Informationssystem.

Die Akte wird über das Informationssystem an den Suchmaschinenbetreiber übermittelt. Im Falle einer Meinungsverschiedenheit mit dem Gesetz hat der Betreiber das Recht, seine Einwände innerhalb von drei Werktagen bei Roskomnadzor einzureichen, das die Einwände ebenfalls innerhalb von drei Werktagen prüft. Aufgrund der Ergebnisse der Prüfung der Einwände des Betreibers beschließt der Leiter der Kontrollstelle oder sein Stellvertreter, ein Ordnungswidrigkeitsverfahren einzuleiten.

Wie das Zugangsfiltersystem für Telekommunikationsbetreiber derzeit aufgebaut ist

In Russland gibt es eine Reihe von Gesetzen, die Telekommunikationsbetreiber dazu verpflichten, den Zugriff auf Seiten zu filtern, auf denen verbotene Inhalte verbreitet werden:

  • Bundesgesetz 126 „Über die Kommunikation“, Änderung von Art. 46 - zur Verpflichtung des Betreibers, den Zugang zu Informationen zu beschränken (FSEM).
  • „Einheitliches Register“ – Dekret der Regierung der Russischen Föderation vom 26. Oktober 2012 N 1101 „Über ein einheitliches automatisiertes Informationssystem „Einheitliches Register von Domainnamen, Verzeichnissen von Site-Seiten im Informations- und Telekommunikationsnetz „Internet“ und Netzwerkadressen.“ die es ermöglichen, Websites im Informations- und Telekommunikationsnetz zu identifizieren, Internetnetze, die Informationen enthalten, deren Verbreitung in der Russischen Föderation verboten ist.“
  • Bundesgesetz 436 „Über den Schutz von Kindern...“, Kategorisierung der verfügbaren Informationen.
  • Bundesgesetz Nr. 3 „Über die Polizei“, Artikel 13, Absatz 12 – zur Beseitigung der Ursachen und Bedingungen, die zur Umsetzung von Bedrohungen der Sicherheit der Bürger und der öffentlichen Sicherheit beitragen.
  • Bundesgesetz Nr. 187 „Über Änderungen bestimmter Rechtsakte der Russischen Föderation zum Schutz der geistigen Rechte in Informations- und Telekommunikationsnetzen“ („Anti-Piraterie-Gesetz“).
  • Einhaltung von Gerichtsentscheidungen und Anordnungen der Staatsanwälte.
  • Bundesgesetz vom 28.07.2012. Juli 139 N XNUMX-FZ „Über Änderungen des Bundesgesetzes „Über den Schutz von Kindern vor Informationen, die ihrer Gesundheit und Entwicklung schaden“ und bestimmten Rechtsakten der Russischen Föderation.“
  • Bundesgesetz vom 27. Juli 2006 Nr. 149-FZ „Über Informationen, Informationstechnologien und Informationsschutz“.

Anträge von Roskomnadzor auf Sperrung enthalten eine aktualisierte Liste von Anforderungen an den Anbieter, jeder Eintrag aus einem solchen Antrag enthält:

  • die Art des Registers, nach dem die Einschränkung vorgenommen wird;
  • der Zeitpunkt, ab dem die Notwendigkeit einer Zugangsbeschränkung entsteht;
  • Art der Dringlichkeit der Reaktion (normale Dringlichkeit – innerhalb von XNUMX Stunden, hohe Dringlichkeit – sofortige Reaktion);
  • Art der Registrierungseintragssperrung (nach URL oder nach Domänenname);
  • Hash-Code des Registrierungseintrags (ändert sich, wenn sich der Inhalt des Eintrags ändert);
  • Einzelheiten zur Entscheidung über die Notwendigkeit der Zugangsbeschränkung;
  • ein oder mehrere Indexe der Seiten der Website, deren Zugriff eingeschränkt werden sollte (optional);
  • ein oder mehrere Domainnamen (optional);
  • eine oder mehrere Netzwerkadressen (optional);
  • ein oder mehrere IP-Subnetze (optional).

Um den Betreibern Informationen effektiv zu übermitteln, wurde ein „Informationssystem für die Interaktion zwischen Roskomnadzor und Telekommunikationsbetreibern“ geschaffen. Es befindet sich zusammen mit Vorschriften, Anweisungen und Hinweisen für Betreiber auf einem speziellen Portal:

vigruzki.rkn.gov.ru

Um die Telekommunikationsbetreiber zu überprüfen, begann Roskomnadzor seinerseits, einen Kunden an AS „Revizor“ zu vergeben. Im Folgenden erfahren Sie etwas über die Funktionalität des Agenten.

Algorithmus zur Überprüfung der Verfügbarkeit jeder URL durch den Agenten. Bei der Überprüfung muss der Agent:

  • Bestimmen Sie die IP-Adressen, in die der Netzwerkname der überprüften Site (Domäne) umgewandelt wird, oder verwenden Sie IP Adressen, die im Upload angegeben wurden;
  • Stellen Sie für jede von DNS-Servern empfangene IP-Adresse eine HTTP-Anfrage für die zu prüfende URL. Wenn eine HTTP-Umleitung von der gescannten Site empfangen wird, muss der Agent die URL überprüfen, zu der die Umleitung erfolgt. Es werden mindestens 5 aufeinanderfolgende HTTP-Weiterleitungen unterstützt.
  • Wenn es nicht möglich ist, eine HTTP-Anfrage zu stellen (es wird keine TCP-Verbindung hergestellt), muss der Agent zu dem Schluss kommen, dass die gesamte IP-Adresse blockiert ist;
  • Im Falle einer erfolgreichen HTTP-Anfrage muss der Agent die empfangene Antwort von der zu prüfenden Site anhand des HTTP-Antwortcodes, der HTTP-Header und des HTTP-Inhalts überprüfen (die ersten empfangenen Daten sind bis zu 10 KB groß). Wenn die empfangene Antwort mit den im Kontrollzentrum erstellten Stub-Seitenvorlagen übereinstimmt Daraus sollte geschlossen werden, dass die überprüfte URL blockiert ist;
  • Bei der Prüfung einer URL muss der Agent die Installation einer verschlüsselten Verbindung prüfen und die Ressource markieren;
  • Wenn die vom Agenten empfangenen Daten nicht mit den Vorlagen von Stub-Seiten oder vertrauenswürdigen Umleitungsseiten übereinstimmen, die über die Ressourcenblockierung informieren, muss der Agent zu dem Schluss kommen, dass die URL im SPD des Telekommunikationsbetreibers nicht blockiert ist. In diesem Fall werden Informationen über die vom Agenten empfangenen Daten (HTTP-Antwort) in einem Bericht (Audit-Log-Datei) aufgezeichnet. Der Systemadministrator hat die Möglichkeit, aus diesem Datensatz eine Vorlage für eine neue Stub-Seite zu erstellen, um spätere falsche Schlussfolgerungen über das Fehlen eines Blocks zu verhindern.

Liste dessen, was der Agent bereitstellen muss

  • Kontaktaufnahme mit dem Kontrollzentrum, um eine vollständige Liste der URLs und Blockierungsmodi zu erhalten, die getestet werden müssen;
  • Kommunikation mit dem Kontrollzentrum, um Daten zu Testmodi zu erhalten. Unterstützte Modi: vollständige einmalige Prüfung, vollständige periodische Prüfung mit einem bestimmten Intervall, selektive einmalige Prüfung mit einer vom Benutzer angegebenen Liste von URLs, regelmäßige Prüfung mit einem bestimmten Intervall einer Liste von URLs (eines bestimmten EP-Datensatztyps);
  • Fortsetzung der Durchführung spezifizierter Überprüfungsverfahren unter Verwendung der vorhandenen URL-Liste, wenn es nicht möglich ist, eine Liste von URLs von der Leitstelle zu erhalten, und Speicherung der erhaltenen Testergebnisse mit anschließender Übertragung an die Leitstelle;
  • vollständige Umsetzung spezifizierter Verifizierungsverfahren unter Verwendung verfügbarer URL-Listen, wenn es nicht möglich ist, Informationen über Verifizierungsmodi vom Kontrollzentrum zu erhalten, und Speicherung der erhaltenen Testergebnisse mit anschließender Übertragung an das Kontrollzentrum;
  • Überprüfen der Blockierungsergebnisse gemäß dem festgelegten Modus;
  • Senden eines Berichts über die durchgeführte Inspektion an die Leitstelle (Inspektionsprotokolldatei);
  • die Möglichkeit, die Funktionalität des SPD des Telekommunikationsbetreibers zu überprüfen, d. h. Überprüfen der Verfügbarkeit einer Liste bekannter zugänglicher Websites;
  • die Möglichkeit, Blockierungsergebnisse mithilfe eines Proxyservers zu überprüfen;
  • Möglichkeit eines Remote-Software-Updates;
  • die Fähigkeit, Diagnoseverfahren am SPD durchzuführen (Reaktionszeit, Paketpfad, Geschwindigkeit beim Herunterladen von Dateien von einer externen Ressource, Ermittlung von IP-Adressen für Domänennamen, Geschwindigkeit beim Empfang von Informationen im umgekehrten Kommunikationskanal in kabelgebundenen Zugangsnetzwerken, Paket). Verlustrate, durchschnittliche Übertragungsverzögerungszeit Pakete);
  • Scanleistung von mindestens 10 URLs pro Sekunde, sofern ausreichende Kommunikationskanalbandbreite vorhanden ist;
  • die Fähigkeit des Agenten, mehrmals (bis zu 20 Mal) auf die Ressource zuzugreifen, mit variabler Häufigkeit von 1 Mal pro Sekunde bis 1 Mal pro Minute;
  • die Möglichkeit, eine zufällige Reihenfolge der zum Testen übertragenen Listeneinträge zu erstellen und die Priorität für eine bestimmte Seite einer Website im Internet festzulegen.

Im Allgemeinen sieht der Aufbau so aus:

Wie funktioniert die Sperrung des Zugriffs auf Seiten, die verbotene Inhalte verbreiten (RKN prüft jetzt auch Suchmaschinen)
Software- und Hardware-Software-Lösungen zum Filtern des Internetverkehrs (DPI-Lösungen) ermöglichen es Betreibern, den Verkehr von Benutzern zu Websites aus der RKN-Liste zu blockieren. Ob sie blockiert sind oder nicht, wird vom AS Auditor-Client überprüft. Er prüft automatisch die Verfügbarkeit der Seite anhand einer Liste des RKN.

Beispielüberwachungsprotokoll verfügbar Link.

Letztes Jahr begann Roskomnadzor mit dem Testen von Blockierungslösungen, mit denen ein Betreiber dieses Schema durch einen Betreiber umsetzen kann. Lassen Sie mich aus den Ergebnissen solcher Tests zitieren:

„Spezialisierte Softwarelösungen „UBIC“, „EcoFilter“, „SKAT DPI“, „Tixen-Blocking“, „SkyDNS Zapret ISP“ und „Carbon Reductor DPI“ erhielten positive Schlussfolgerungen von Roskomnadzor.

Es ging auch eine Schlussfolgerung von Roskomnadzor ein, die die Möglichkeit bestätigt, dass Telekommunikationsbetreiber die ZapretService-Software als Mittel zur Einschränkung des Zugriffs auf verbotene Ressourcen im Internet nutzen. Die Testergebnisse zeigten, dass bei Installation gemäß dem vom Hersteller empfohlenen Verbindungsschema „in Lücke“ und korrekter Konfiguration des Netzwerks des Telekommunikationsbetreibers die Anzahl der festgestellten Verstöße gemäß dem Unified Register of Prohibited Information 0,02 % nicht überschreitet.

Somit erhalten Telekommunikationsbetreiber die Möglichkeit, die am besten geeignete Lösung zur Beschränkung des Zugriffs auf verbotene Ressourcen auszuwählen, unter anderem aus der Liste der Softwareprodukte, die von Roskomnadzor eine positive Bewertung erhalten haben.

Beim Testen des Softwareprodukts IdecoSelecta ISP konnten einige Betreiber jedoch aufgrund des langwierigen Verfahrens für dessen Bereitstellung und Konfiguration nicht rechtzeitig mit den Tests beginnen. Bei mehr als der Hälfte der am Test teilnehmenden Telekommunikationsbetreiber betrug der Testbetriebszeitraum von Ideco Selecta ISP nicht mehr als eine Woche. Angesichts der geringen Menge an statistischen Daten und der geringen Anzahl an Testteilnehmern wies Roskomnadzor in seiner offiziellen Schlussfolgerung darauf hin, dass es unmöglich sei, eindeutige Schlussfolgerungen über die Wirksamkeit des ISP-Produkts Ideco Selecta als Mittel zur Einschränkung des Zugriffs auf verbotene Ressourcen im Internet zu ziehen. ”

Ich möchte hinzufügen, dass bis zu 27 Telekommunikationsbetreiber mit unterschiedlicher Teilnehmerzahl aus verschiedenen Bundesbezirken der Russischen Föderation an den Tests jedes Softwareprodukts teilgenommen haben.

Die offiziellen Schlussfolgerungen basierend auf den Testergebnissen finden Sie hier hier. Diese Schlussfolgerungen enthalten praktisch keine technischen Informationen. Sie können über das Produkt „Ideco Selecta ISP“ lesen, um zu erfahren, was Sie nicht tun sollten.

In diesem Jahr werden die Tests fortgesetzt, und nach den Nachrichten von Roskomnadzor zu urteilen, wurde ein Produkt bereits vergeben und zwei weitere folgen in naher Zukunft.

Was passiert, wenn die Sperrung versehentlich erfolgt ist?

Abschließend möchte ich Sie daran erinnern, dass Roskomnadzor „keine Fehler macht“, was vom Verfassungsgericht bestätigt wird.

Die Resolution, die Roskomnadzor effektiv von der Verantwortung für die irrtümliche Sperrung von Websites entbindet, wurde im Rahmen der Prüfung einer Beschwerde beim Verfassungsgericht vom Direktor der Internet Publishers Association, Vladimir Kharitonov, angenommen. Darin heißt es, dass Roskomnadzor im Dezember 2012 versehentlich seine Online-Bibliothek digital-books.ru gesperrt habe. Wie Herr Kharitonov erklärte, befand sich seine Ressource unter derselben IP-Adresse wie das Portal rastamantales(.)ru (jetzt rastamantales(.)com), das ursprünglich blockiert wurde. Vladimir Kharitonov versuchte, gegen die Entscheidung von Roskomnadzor vor Gericht Berufung einzulegen, doch im Juni 2013 erkannte das Bezirksgericht Tagansky die Sperrung als rechtmäßig an, und im September 2013 wurde diese Entscheidung vom Moskauer Stadtgericht bestätigt.

Vom selben Ort:

Roskomnadzor sagte gegenüber Kommersant, dass man mit der Entscheidung des Verfassungsgerichts zufrieden sei. „Das Verfassungsgericht hat bestätigt, dass Roskomnadzor das Gesetz umsetzt. Wenn der Betreiber technisch nicht in der Lage ist, den Zugriff auf eine separate Seite der Website und nicht auf deren Netzwerkadresse einzuschränken, liegt dies in der Verantwortung des Betreibers“, sagte der Pressesprecher der Abteilung gegenüber Kommersant.

Dieses Problem ist auch für Cloud-Anbieter und Hosting-Unternehmen relevant, da bei ihnen ähnliche Vorfälle aufgetreten sind. Im Juni 2016 wurde der Cloud-Dienst Amazon S3 in Russland gesperrt, obwohl auf Antrag des Föderalen Steuerdienstes nur die auf seiner Plattform befindliche Seite des Pokerraums 888poker in das Register aufgenommen wurde. Die Sperrung der gesamten Ressource war gerade darauf zurückzuführen, dass Amazon S3 das sichere https-Protokoll verwendet, das die Sperrung einzelner Seiten nicht zulässt. Erst nachdem Amazon selbst die Seite gelöscht hatte, über die sich die russischen Behörden beschwert hatten, wurde die Ressource aus dem Register entfernt.

Source: habr.com

Kommentar hinzufügen