Блокировки VPN в России

Что касается блокировок VPN в России, то юридическое обоснование этого процесса было заложено еще в 2017 году, когда вступил в силу федеральный закон 276-ФЗ («закон о VPN»), обязывающий поставщиков VPN-услуг подключаться к федеральной государственной информационной системе (ФГИС). Данная система находится в ведении Роскомнадзора (РКН) и содержит список запрещенных к доступу ресурсов, которые VPN-сервис также должен блокировать.

В 2019 году РКН потребовал у популярных VPN-сервисов (NordVPN, VyprVPN, ExpressVPN и другие) присоединиться к ФГИС. Такие требования были неприемлемыми для VPN-сервисов, и все из них, кроме Kaspersky Secure Connection, ответили отказом, некоторые также закрыли сервера, находящиеся в России.

Однако возможность приступить к тестовым блокировкам VPN-сервисов у российских властей появилась только в 2021 году, когда в достаточной степени была внедрена система технических средств противодействия угрозам (ТСПУ) — программное обеспечение, устанавливаемое на сетях операторов, но подконтрольное РКН, которое позволяет осуществлять DPI и блокировку трафика. Данное ПО разрабатывается компанией ООО «РДП.ру», которая была приобретена Ростелекомом и выбрана в качестве поставщика оборудования для ТСПУ. Эта система была создана в рамках закона о «суверенном интернете» (90-ФЗ, принят в 2019).

Первое практическое применение ТСПУ, видимо, произошло в марте 2021 года, когда на некоторое время был замедлен трафик к Twitter (в мае замедление было ослаблено). Предположительно на техническом уровне это обеспечивалось через полисер (policer), который ограничивал лимит полосы пропускания от подсетей, принадлежащих Twitter, до конкретного IP адреса клиента (наиболее часто фиксировалась скорость 128 Кбит/сек). Первоначально это привело к заметным проблемам в Сети (например, произошел сбой в работе Ростелекома: оказались недоступны сайты Кремля, Правительства и Роскомнадзора в числе прочих).

Сайты Кремля, правительства премьер-министра и Госдумы частично перестали открываться — это заметили после того, как Роскомнадзор начал замедлять работу твиттера.

Сам же сайт Роскомнадзора тоже не работает у некоторых пользователейhttps://t.co/V1FX50oiNa

— TJ (@tjournal) March 10, 2021

Также эффекты блокировки пользователи ощущали неодинаково, возможно из-за того, что за одним IP адресом у разных интернет-провайдеров находится разное число клиентов и установка единого лимита полосы пропускания действует в разных случаях неодинаково.

Из курьёзов можно отметить, что фиксировалась недоступность сайтов, чье доменное имя содержало в себе “t.co” (например, rt.com). Это можно объяснить ошибкой в правиле блокировки, когда планировалось заблокировать вспомогательный домен Twitter https://t.co/, но проверка проходила по частичному вхождению этой строки в доменное имя, а не по полному совпадению.

Несмотря на проблемы на начальном этапе, замедление доступа к Twitter было осуществлено. В апреле Twitter согласился начать удалять контент по требованию РКН, что и послужило первоначальным поводом для блокировок.

Twitter не заблокируют, так как он удалил более 91% запрещённой информации — Роскомнадзор

— Лента.ру (@lentaruofficial) May 17, 2021

В июне 2021 года в России впервые запретили использование отдельных VPN-сервисов: VyprVPN и OperaVPN. OperaVPN, являющийся не полноценным VPN, а браузерным расширением, отказался предоставлять свои услуги пользователям, находящимся в России. В июле Google согласился удалить из выдачи сотни тысяч ссылок на VPN-сервисы.

На лето 2021 пришлось несколько блокировок крупных ресурсов, которые в итоге шли РКН навстречу и удаляли требуемый контент (DeviantArt, Genius).

Попытка ограничить доступ к VPN произошла в сентябре 2021 года, в преддверии выборов в Госдуму. Ей предшествовала блокировка ресурсов, связанных с Навальным, которая произошла в июле (в том числе использовались ТСПУ), после того, как в июне ФБК и штабы Навального были признаны судом экстремистскими организациями.

3 сентября РКН заявил о блокировке еще 6 VPN-сервисов (включая крупных ExpressVPN и NordVPN), одновременно с этим начались блокировки VPN протоколов. 8 сентября выяснилось, что блокировки повлияли не только на VPN, но также и на другие сервисы, использующие схожие технологии туннелирования (стриминг видео, онлайн-игры). Предположительно, были заблокированы UDP-порты, используемые этими сервисами. Через некоторое время блокировки VPN-протоколов судя по всему были остановлены, возможно результаты тестовых блокировок оказались неуспешными.

Помимо блокировок VPN-трафика, также планируется ограничивать другие технологии, помогающие обходить блокировки, например DoH и DoT, шифрующие DNS-запросы, что можно использовать для обхода блокировок по доменным именам. Тестовые блокировки зарубежных DNS-резолверов уже были зафиксированы (Google, Cloudflare).

🪓 🪓🪓 Роскомнадзор перешел от «IP-геноцида» к блокировке сервисов публичного DNS и даже отдельных протоколов, опираясь на закон «о суверенном Рунете». Естественно, главными жертвами снова стали совершенно рядовые интернет-сервисы.
Обзор: https://t.co/ty9xxCCWu2

— РосКомСвобода (@RuBlackListNET) September 10, 2021

15 сентября был заблокирован Red Shield VPN. А в вышедшей новой версии iOS функция «Частный узел» (аналог VPN) оказалась недоступна в России.

Частные блокировки VPN-протоколов продолжаются до сих пор, так 22 сентября сообщалось о проблемах с NordVPN.

Активность блокировок можно связать с выборным сезоном (основные блокировки пришлись на проект «Умного голосования»), и их активность уменьшилась после его окончания. Логичным будет сделать предположение, что конечной целью властей является ограничение Интернета по китайскому образцу, но на текущий момент их возможности не показали себя состоятельными. РКН не раскрывает технических деталей ТСПУ, поэтому нет возможности узнать, насколько надежно могут блокироваться VPN-сервисы без того, чтобы не сильно нарушать остальной трафик в Сети. Судя по примерам недавних блокировок, они по-прежнему вызывают серьезные нарушения в работе Интернета.

В перспективе блокировки отдельных точек входа в VPN по IP можно будет обойти, подняв собственную VPN, но она, вероятно, будет уязвима к блокировке по протоколам сама по себе, то есть ее будет необходимо дополнительно обфусцировать. Что касается поставщиков VPN-сервисов, то у некоторых из них накоплен большой опыт обхода блокировок.

Используя Китай в качестве аналогии, можно предположить, что полностью заблокировать VPN-трафик не удастся, но для его относительно стабильной работы будет необходимо использовать технологии обфускации.

***

Дополнительное чтение:

https://habr.com/ru/post/579588/

https://habr.com/ru/post/507494/

Часть I — «VPN-блокировки не за горами, но с ними можно бороться»

Часть II — Блокировки VPN в мире: как это происходит