ProHoster > Blog > Bestjoer > Hoe wurket blokkearjen fan tagong ta siden dy't ferbeane ynhâld fersprieden (no kontrolearret RKN ek sykmasines)

Hoe wurket blokkearjen fan tagong ta siden dy't ferbeane ynhâld fersprieden (no kontrolearret RKN ek sykmasines)

Hoe wurket blokkearjen fan tagong ta siden dy't ferbeane ynhâld fersprieden (no kontrolearret RKN ek sykmasines)

Foardat jo trochgean nei de beskriuwing fan it systeem dat ferantwurdlik is foar it filterjen fan tagong troch telekomoperators, konstatearje wy dat no Roskomnadzor ek de wurking fan sykmasines sil kontrolearje.

Oan it begjin fan it jier waarden in kontrôleproseduere en in list mei maatregels goedkard om te soargjen dat sykmasjine-operators foldogge oan de easken om te stopjen mei it útjaan fan ynformaasje oer ynternetboarnen, tagong ta dat is beheind op it grûngebiet fan 'e Russyske Federaasje.

Oerienkommende folchoarder Roskomnadzor datearre 7. novimber 2017 No.. 229 is registrearre by it Ministearje fan Justysje fan Ruslân.

De oarder waard oannommen as ûnderdiel fan 'e útfiering fan' e bepalingen fan kêst 15.8 fan 'e federale wet fan 27.07.2006 july 149 nr. XNUMX-FZ "On Information, Information Technologies and Information Protection", dy't bepaalt ferantwurdlikheden foar eigners fan VPN tsjinsten, "anonymizers" en sykmasine operators te beheinen tagong ta ynformaasje, wêrfan de fersprieding yn Ruslân ferbean is.

Kontrôleaktiviteiten wurde útfierd op 'e lokaasje fan it kontrôleorgaan sûnder ynteraksje mei sykmasjine-operators.

Hoe wurket blokkearjen fan tagong ta siden dy't ferbeane ynhâld fersprieden (no kontrolearret RKN ek sykmasines)
In ynformaasjesysteem wurdt begrepen as in FSIS fan ynformaasjeboarnen fan ynformaasje- en telekommunikaasjenetwurken, tagong ta dat is beheind.

Op grûn fan 'e resultaten fan it evenemint wurdt in rapport opsteld, dat yn it bysûnder ynformaasje oanjout oer de software dy't brûkt wurdt om dizze feiten te fêstigjen, en ek ynformaasje dy't befêstiget dat in spesifike side (siden) fan' e side op 'e tiid fan kontrôle wie mear as in dei yn it ynformaasjesysteem.

De akte wurdt stjoerd nei de sykmasine-operator fia it ynformaasjesysteem. Yn gefal fan net iens mei de hanneling, de operator hat it rjocht om te tsjinjen syn beswieren oan Roskomnadzor binnen trije wurkdagen, dy't beskôget de beswieren ek binnen trije wurkdagen. Op grûn fan 'e resultaten fan' e behanneling fan 'e beswieren fan' e operator, beslút it haad fan 'e kontrôleorgaan of syn plakferfanger om in saak fan in bestjoerlik misdriuw te begjinnen.

Hoe it tagongsfiltersysteem foar telekomoperators op it stuit strukturearre is

Yn Ruslân binne d'r in oantal wetten dy't telekomoperators ferplichtsje om tagong te filterjen nei siden dy't ferbeane ynhâld fersprieden:

  • Federal Law 126 "On Communications", amendemint oan Art. 46 - oer de ferplichting fan 'e operator om tagong ta ynformaasje te beheinen (FSEM).
  • "Unified Register" - Beslút fan 'e regearing fan' e Russyske Federaasje fan 26 oktober 2012 N 1101 "Op in ferienige automatisearre ynformaasjesysteem "Unified register fan domeinnammen, yndeksen fan side-siden yn it ynformaasje- en telekommunikaasjenetwurk "Ynternet" en netwurkadressen dy't it identifisearjen fan siden yn it ynformaasje- en telekommunikaasjenetwurk mooglik meitsje Ynternetnetwurken mei ynformaasje wêrfan de distribúsje ferbean is yn 'e Russyske Federaasje"
  • Federal Law 436 "On the Protection of Children ...", Kategorisaasje fan beskikbere ynformaasje.
  • Federale wet No.
  • Federale Wet No.
  • Neilibjen fan rjochtbankbeslissingen en oarders fan oanklagers.
  • Federale wet fan 28.07.2012 july 139 N XNUMX-FZ "Oer wizigingen oan 'e federale wet "Oer de beskerming fan bern tsjin ynformaasje skealik foar har sûnens en ûntwikkeling" en bepaalde wetjouwingshannelingen fan 'e Russyske Federaasje.
  • Federale wet fan 27 july 2006 nr. 149-FZ "Op ynformaasje, ynformaasjetechnologyen en ynformaasjebeskerming."

Oanfragen fan Roskomnadzor foar blokkearjen befetsje in bywurke list mei easken foar de provider, elke yngong fan sa'n fersyk befettet:

  • it type register wêrmei't de beheining makke wurdt;
  • it punt yn 'e tiid wêrfan't de needsaak om tagong te beheinen ûntstiet;
  • type urginsje fan antwurd (gewoane urginsje - binnen XNUMX oeren, hege urginsje - direkte reaksje);
  • type blokkearjen fan registeryngong (troch URL of troch domeinnamme);
  • hash-koade fan 'e registeryngong (feroaret as de ynhâld fan' e yngong feroaret);
  • details fan it beslút oer de needsaak om tagong te beheinen;
  • ien of mear yndeksen fan sidesiden, wêrta tagong moat wurde beheind (opsjoneel);
  • ien of mear domeinnammen (opsjoneel);
  • ien of mear netwurkadressen (opsjoneel);
  • ien of mear IP subnets (opsjoneel).

Om effektyf kommunisearje ynformaasje oan operators, in "Ynformaasje systeem foar ynteraksje tusken Roskomnadzor en telecom operators" waard makke. It leit tegearre mei regeljouwing, ynstruksjes en herinneringen foar operators op in spesjalisearre portal:

vigruzki.rkn.gov.ru

Foar har diel, om telekomoperators te kontrolearjen, begon Roskomnadzor in klant út te jaan oan AS "Revizor". Hjirûnder is in bytsje oer de funksjonaliteit fan 'e agent.

Algoritme foar it kontrolearjen fan de beskikberens fan elke URL troch de Agent. By it kontrolearjen moat de Agent:

  • bepale de IP-adressen wêrnei't de netwurknamme fan 'e side dy't kontrolearre wurdt (domein) wurdt omboud of brûk IP adressen opjûn yn de upload;
  • Foar elk IP-adres ûntfongen fan DNS-tsjinners, meitsje in HTTP-fersyk foar de URL dy't wurdt kontrolearre. As in HTTP-trochferwizing wurdt ûntfongen fan 'e side dy't wurdt skansearre, moat de Agent de URL kontrolearje wêr't de trochferwizing wurdt makke. Op syn minst 5 opienfolgjende HTTP trochferwizings wurde stipe;
  • as it ûnmooglik is om in HTTP-fersyk te meitsjen (in TCP-ferbining is net fêstlein), moat de Agent konkludearje dat it folsleine IP-adres is blokkearre;
  • yn gefal fan in suksesfol HTTP-fersyk moat de Agent it ûntfongen antwurd kontrolearje fan 'e side dy't wurdt kontrolearre troch de HTTP-antwurdkoade, HTTP-koppen en HTTP-ynhâld (de earste ûntfongen gegevens oant 10 kb yn grutte). As it ûntfongen antwurd oerienkomt mei de sjabloanen foar stubside dy't makke binne yn it kontrôlesintrum it moat konkludearre wurde dat de URL dy't kontrolearre wurdt blokkearre is;
  • by it kontrolearjen fan in URL moat de Agent de ynstallaasje fan in fersifere ferbining kontrolearje en de boarne markearje;
  • As de gegevens ûntfongen troch de Agent net oerienkomme mei de sjabloanen fan stubsiden of fertroude omliedingssiden dy't ynformearje oer it blokkearjen fan boarnen, moat de Agent konkludearje dat de URL net is blokkearre op de SPD fan 'e telekomoperator. Yn dit gefal wurdt ynformaasje oer de gegevens (HTTP-antwurd) ûntfongen troch de Agent opnommen yn in rapport (kontrôlelogbestân). De systeembehearder hat de mooglikheid om in sjabloan te meitsjen foar in nije stubside fan dit record om opfolgjende falske konklúzjes oer it ûntbrekken fan in blok te foarkommen.

List fan wat de Agent moat leverje

  • kontakt opnimme mei it kontrôlesintrum om in folsleine list te krijen mei URL's en blokkearjende modi dy't moatte wurde hifke;
  • kommunikaasje mei it kontrôlesintrum om gegevens te krijen oer testmodi. Stipe modi: folsleine ienmalige kontrôle, folsleine periodyk mei in spesifisearre ynterval, selektyf ien kear mei in brûker oantsjutte list fan URL's, periodike kontrôle mei in spesifisearre ynterval fan in list mei URL's (fan in bepaald type EP-record);
  • fuortsetting fan 'e útfiering fan spesifisearre ferifikaasjeprosedueres mei de besteande URL-list, as it ûnmooglik is om in list mei URL's fan it kontrôlesintrum te krijen, en opslach fan' e krigen testresultaten mei dêropfolgjende oerdracht nei it kontrôlesintrum;
  • folsleine ymplemintaasje fan oantsjutte ferifikaasjeprosedueres mei help fan beskikbere URL-listen, as it ûnmooglik is om ynformaasje te krijen oer ferifikaasjemodi fan it kontrôlesintrum, en opslach fan 'e krigen testresultaten mei dêropfolgjende oerdracht nei it kontrôlesintrum;
  • kontrolearje de blokkearjende resultaten yn oerienstimming mei de fêststelde modus;
  • it ferstjoeren fan in rapport oer de útfierde ynspeksje nei it kontrôlesintrum (ynspeksjelogbestân);
  • de mooglikheid om te kontrolearjen de funksjonaliteit fan de telecom operator syn SPD, i.e. kontrolearje de beskikberens fan in list mei bekende tagonklike siden;
  • de mooglikheid om blokkearjende resultaten te kontrolearjen mei in proxy-tsjinner;
  • mooglikheid fan remote software update;
  • de mooglikheid om diagnostyske prosedueres út te fieren op 'e SPD (antwurdtiid, pakketpaad, snelheid fan it downloaden fan bestannen fan in eksterne boarne, bepaling fan IP-adressen foar domeinnammen, de snelheid fan it ûntfangen fan ynformaasje yn it omkearde kommunikaasjekanaal yn bedrade tagongsnetwurken, pakket ferlies taryf, gemiddelde oerdracht fertraging tiid pakketten);
  • skennen prestaasjes fan op syn minst 10 URL's per sekonde, mits der genôch kommunikaasje kanaal bânbreedte;
  • de mooglikheid foar de agint om meardere kearen tagong te krijen ta de boarne (oant 20 kear), mei fariabele frekwinsje fan 1 kear per sekonde oant 1 kear per minuut;
  • de mooglikheid om in willekeurige folchoarder te meitsjen fan listyngongen oerstjoerd foar testen en prioriteit ynstelle foar in spesifike side fan in side op it ynternet.

Yn it algemien sjocht de struktuer der sa út:

Hoe wurket blokkearjen fan tagong ta siden dy't ferbeane ynhâld fersprieden (no kontrolearret RKN ek sykmasines)
Software- en hardware-software-oplossings foar it filterjen fan ynternetferkear (DPI-oplossingen) kinne operators it ferkear blokkearje fan brûkers nei siden fan 'e RKN-list. Oft se blokkearre binne of net wurdt kontrolearre troch de AS Auditor-kliïnt. Hy kontrolearret automatysk de beskikberens fan de side mei in list fan it RKN.

Sample monitoring protokol beskikber link.

Ferline jier begon Roskomnadzor blokkearjende oplossingen te testen dy't in operator kin brûke om dit skema troch in operator út te fieren. Lit my sitearje út de resultaten fan sokke testen:

"Spesjalisearre software-oplossings "UBIC", "EcoFilter", "SKAT DPI", "Tiksen-Blokirovka", "SkyDNS Zapret ISP" en "Carbon Reductor DPI" krigen positive konklúzjes fan Roskomnadzor.

In konklúzje fan Roskomnadzor waard ek ûntfongen dy't de mooglikheid befêstiget fan telekomoperators mei de ZapretService-software as middel om tagong te beheinen ta ferbeane boarnen op it ynternet. De testresultaten lieten sjen dat by ynstalleare neffens it oanrikkemandearre ferbiningskema fan 'e fabrikant "yn gap" en it netwurk fan 'e telekomoperator korrekt konfigureare, it oantal ûntdutsen oertredings neffens it Unified Register of Prohibited Information net mear dan 0,02% is.

Sa krije telekomoperators de kâns om de meast geskikte oplossing te kiezen foar it beheinen fan tagong ta ferbeane boarnen, ynklusyf út 'e list fan softwareprodukten dy't in positive miening hawwe krigen fan Roskomnadzor.

Lykwols, tidens it testen fan it IdecoSelecta ISP-softwareprodukt, fanwegen de lange proseduere foar syn ynset en konfiguraasje, wiene guon operators net yn steat om op tiid te testen. Foar mear as de helte fan 'e telekomoperators dy't dielnimme oan testen, hat de testperioade fan Ideco Selecta ISP net mear as in wike west. Mei it each op it lytse folume fan statistyske gegevens krigen en it lytse oantal testen dielnimmers, Roskomnadzor yn syn offisjele konklúzje oanjûn de ûnmooglikheid fan it krijen fan unambiguous konklúzjes oer de effektiviteit fan it Ideco Selecta ISP produkt as in middel fan beheinen tagong ta ferbeane middels op it ynternet. ”

Lit my taheakje dat maksimaal 27 telekomoperators mei wikseljend oantal abonnees út ferskate federale distrikten fan 'e Russyske Federaasje meidien hawwe oan it testen fan elk softwareprodukt.

De offisjele konklúzjes basearre op de testresultaten kinne fûn wurde hjir. Dizze konklúzjes befetsje praktysk nul technyske ynformaasje. Jo kinne lêze oer it produkt "Ideco Selecta ISP" om te witten wat net te dwaan.

Dit jier sille testen trochgean en op it stuit, te beoardieljen troch it nijs fan Roskomnadzor, is ien produkt al nommen en 2 mear binne yn 'e heine takomst.

Wat as it blokkearjen per fersin barde?

As konklúzje soe ik jo wolle herinnerje dat Roskomnadzor "gjin flaters makket", wat wurdt befêstige troch it konstitúsjonele hof.

De resolúsje, dy't Roskomnadzor effektyf ûntslacht fan ferantwurdlikens foar it ferkeard blokkearjen fan siden, waard oannommen as ûnderdiel fan 'e behanneling fan in klacht oan it Constitutional Court troch de direkteur fan' e Internet Publishers Association, Vladimir Kharitonov. It sei dat yn desimber 2012, Roskomnadzor fersin blokkearre syn online bibleteek digital-books.ru. As de hear Kharitonov ferklearre, wie syn boarne op itselde IP-adres as it portal rastamantales(.)ru (no rastamantales(.)com), dat it oarspronklike objekt fan blokkearjen wie. Vladimir Kharitonov besocht it beslút fan Roskomnadzor yn berop te dwaan yn 'e rjochtbank, mar yn juny 2013 erkende it Tagansky District Court de blokkearjen as legaal, en yn septimber 2013 waard dit beslút befêstige troch it Moskouske stedsgerjocht.

Dêrwei:

Roskomnadzor fertelde Kommersant dat se tefreden wiene mei it beslút fan it konstitúsjonele hof. "It konstitúsjonele hof befêstige dat Roskomnadzor de wet ymplementearret. As de operator net de technyske mooglikheid hat om tagong te beheinen ta in aparte side fan 'e side, en net nei syn netwurkadres, dan is dit de ferantwurdlikens fan' e operator, "sei de parsekretaris fan 'e ôfdieling Kommersant.

Dit probleem is ek relevant foar wolkproviders en hostingbedriuwen, om't ferlykbere ynsidinten mei har binne bard. Yn juny 2016 waard de Amazon S3-wolktsjinst blokkearre yn Ruslân, hoewol allinich de 888poker-pokerkeamerside dy't op har platfoarm leit, waard opnommen yn it register op fersyk fan 'e Federal Tax Service. It blokkearjen fan 'e folsleine boarne wie krekt te tankjen oan it feit dat Amazon S3 it feilige https-protokol brûkt, dat it blokkearjen fan yndividuele siden net tastean. Pas neidat Amazon sels de side wiske hat wêrop de Russyske autoriteiten klachten hiene, waard de boarne út it register fuortsmiten.

Boarne: www.habr.com

Add a comment