Технические вопросы блокировки сервисов интернета



Скачать 169.81 Kb.
Pdf просмотр
Дата13.02.2017
Размер169.81 Kb.
Просмотров107
Скачиваний0

ИНЖЕНЕРНЫЙ СОВЕТ ИНТЕРНЕТА (INTERNET ENGINEERING TASK FORCE, IETF)
ТЕХНИЧЕСКИЕ ВОПРОСЫ БЛОКИРОВКИ СЕРВИСОВ ИНТЕРНЕТА
1

Р.Барнс, А.Купер, О. Колкман
16 июля, 2012
Резюме
Интернет построен как открытая коммуникационная среда. Эта открытость является одной из важнейших основ данной инновации, но она позволяет устанавливать коммуникации, которые одними лицами могут считаться желательными, а другими – нежелательными. Таким образом, по мере роста Интернета развиваются и механизмы, ограничивающие масштабы и последствия злонамеренных или считающихся незаконными соединений. В последнее время наблюдается повышенный интерес к «блокировке», активном пресечении злонамеренных или незаконных коммуникаций. В данном документе рассматривается несколько технических подходов к блокировке интернет-­‐контента с точки зрения их соответствия общей архитектуре Интернета. В целом, наиболее соответствующим архитектуре Интернета подходом к блокировке контента является уведомление конечных пользователей о потенциально нежелательных услугах, что позволит им не принимать участия в оскорбляющих их или незаконных коммуникациях.
Статус данного документа
Этот интернет-­‐проект составлен в полном соответствии с положениями BCP 78 и ВСР 79.
Интернет-­‐проекты являются рабочими документами Инженерного совета Интернета (IETF). Обращаем внимание, что другие группы также могут распространять рабочие документы как интернет-­‐проекты. Список текущих интернет-­‐
проектов можно найти на http://datatracker.ietf.org/drafts/current/
Интернет-­‐проекты – это проекты документов, действительные не более шести месяцев. Они могут быть обновлены, заменены или замещены другими документами в любой момент времени. Не следует использовать интернет-­‐проекты в качестве ссылок или упоминать о них как-­‐то иначе, кроме как «находящиеся в разработке».
Данный интернет-­‐проект действителен до 17 января 2013 г.
Уведомление об авторском праве
Авторские права данного документа принадлежат фонду IETF и лицами, определенным здесь как авторы.
Данный документ составлен в соответствии с ВСР 78 и Положениями о документах Инженерного совета Интернета
Фонда IETF (
http://trustee.ietf.org/license-­‐info
), действовавшими на момент написания документа. Пожалуйста, подробно ознакомьтесь с этими документами, так как они описывают ваши права и ограничения в отношении данного документа. Компоненты кода, взятые из данного документа, должны сопровождаться упрощенным текстом лицензионного соглашения BSD, как описано в разделе 4.е Положений Фонда, и предоставляются без гарантии в соответствии с упрощенной лицензией BSD.
1
Перевод Российской Ассоциации электронных коммуникаций.

2



Содержание

Введение ..................................................................................................................................................... 3 1. Принципы архитектуры ......................................................................................................................... 3 1.1. Сквозное соединение и «прозрачность ........................................................................................ 4 1.2. Иерархичность ................................................................................................................................. 4 1.3. Распределенность и мобильность ................................................................................................. 5 1.4. Локальность и автономность ......................................................................................................... 5 2. Примеры блокирования ........................................................................................................................ 6 3. Модели блокировки .............................................................................................................................. 7 3.1. Блокировка посредником .............................................................................................................. 7 3.2. Блокировка на сервере ................................................................................................................... 9 3.3. Блокировка на стороне пользователя ......................................................................................... 11 4. Резюме плюсов и минусов .................................................................................................................. 12
Соображения Администрации адресных пространств Интернета (IANA) ........................................... 13
Соображения безопасности .................................................................................................................... 13
Информационные ссылки ....................................................................................................................... 14

3
Введение
Первоначальной целью создания Интернета было обеспечение возможности связи между хостами. Но когда эта цель была достигнута, и люди начали использовать Интернет для общения, стало ясно, что некоторые хосты участвуют в потенциально нежелательных коммуникациях.
Наиболее известным примером таких коммуникаций из раннего этапа стал червь Мориса, который в 1988 году использовал Интернет для заражения множества хостов. После того как
Интернет превратился в повсеместно распространенное средство общения, появились механизмы ограничения нежелательных коммуникаций.
Методы ограничения или запрета доступа к ресурсам Интернета эволюционировали с течением времени. Как отмечается в [RFC4084], некоторые интернет-­‐провайдеры ограничивают типы приложений и трафика, которыми можно пользоваться в их сетях. Эти ограничения часто вводятся с согласия клиентов, которыми могут быть как юридические, так и физические лица. Однако все чаще как правительственные, так и частные организации пытаются ограничить доступ пользователей к определенному контенту, траффику или общению без ведома или согласия пользователей. А там, где такие организации не могут управлять сетями непосредственно, для блокирования они стараются использовать системы-­‐посредники.
Причины блокировки интернет-­‐контента могут быть разными, в том числе борьба с угрозами безопасности и незаконной деятельностью и ограничение доступа к нежелательному контенту.
Хотя во многих случаях блокирование остается весьма спорным, стремление ограничить доступ к контенту, скорее всего, сохранится в ближайшее время.
Цель данного документа – прояснить технические последствия, «плюсы и минусы» различных моделей блокировки, а также определить вероятность конфликта этих стратегий с архитектурой
Интернета и появления вредных побочных эффектов («непрямого ущерба»). Стратегии в целом можно разделить на три категории:
1. Контроль при помощи посредников
2. Управление заслуживающими доверия данными
3. Системы репутации и аутентификации
Для демонстрации свойств стратегий каждой из категорий используются примеры блокировки или попыток блокировки при помощи DNS, HTTP, прокси-­‐серверов, арестов доменных имен, спам-­‐
фильтров и управления инфраструктурой открытых ключей (RPKI).
Сложные юридические вопросы о том, являются ли те или иные стратегии блокировки законными в определенной юрисдикции, лежат за пределами данного документа.
1. Принципы архитектуры
Для понимания последствий применения стратегий блокировки важно знать основные принципы, которые повлияли на структуру Интернета. Хотя эта область уже хорошо исследована, в данном разделе мы выделим четыре основных принципа архитектуры, которые прямо влияют на результативность блокировки контента: сквозное соединение, иерархичность, распределение и мобильность и локальность и автономность.

4
1.1. Сквозное соединение и «прозрачность
Принцип сквозного соединения является «основной архитектурной максимой Интернета»
[RFC3724]. Соблюдения принципа предоставления конечным точкам функциональности для решения «сквозных» задач приводит к созданию «прозрачной» сети, в которой пакеты в процессе движения не фильтруются и не изменяются [RFC2775]. Эта прозрачность, в свою очередь, является одним из ключевых условий создания систем сквозной безопасности в сети. Современные механизмы обеспечения безопасности, основанные на коммуникациях между проверенными хостами по безопасным каналам связи без участия посредников, позволяют использовать сеть для электронной коммерции, конфиденциального общения и других подобных целей.
Принцип сквозного соединения является основой безопасности в Интернете, на которой построены интернет-­‐протоколы безопасности. Такие протоколы, как TLS и IPsec [RFC5246]
[RFC4301], созданы так, что каждая из сторон общения гарантированно знает индивидуальные данные другой, а доступ к конфиденциальному контенту соединения имеют только участвующие в нем стороны. Например, когда пользователь подключается к вебсайту банка, TLS гарантирует, что финансовые данные пользователя передаются именно в банк, и никуда больше.
Для некоторых стратегий блокировки требуются посредники, внедряющиеся в сквозную коммуникацию, что может помешать интернет-­‐протоколам обеспечивать безопасность. В таких случаях конечным сторонам общения будет сложно или невозможно отличать хакеров от лиц, осуществляющих блокирование.
Понятие, аналогичное понятию «сквозное соединение» -­‐ прозрачность, в соответствии с которым сеть должна обеспечивать стандартный тип соединения между конечными точками с минимальным вмешательством посредников, ограничивающимся передачей пакетов от источника получателю. В «Размышлениях о прозрачности Интернета» [RFC4924], Архитектурный совет Интернета оценивает актуальность этого принципа и приходит к выводу, что «ничуть не утратив своей актуальности, технические следствия намеренной или непреднамеренной прозрачности сети играют важную роль в способности Интернета поддерживать инновации и глобальное общение».
1.2. Иерархичность
Интернет-­‐приложения строятся из набора слабо связанных компонентов, или «уровней». У различных уровней свои цели, например, маршрутизация, передача и именование (см. [RFC1122], особенно раздел 1.1.3). Функции этих уровней развивались независимо друг от друга, практически всегда ими пользуются различные субъекты. Например, во многих сетях физический уровень связи и канал предоставляет «провайдер доступа», а IP-­‐маршрутизацию осуществляет «провайдер интернет-­‐услуг». Услуги на уровне приложений могут предоставляться совершенно другим юридическим лицом (например, веб-­‐сервером). Протоколам верхнего уровня и приложениям для работы необходима совокупность функций более низкого уровня. Как следует из принципа сквозного соединения, функциональность верхних уровней, как правило, является более специализированной, таким образом, многочисленные специальные приложения могут использовать одни и те же базовые сетевые функции.
Следствием такой структуры является то, что действия, предпринятые на одном уровне, могут повлиять на функциональность или приложения более высоких уровней. Например, вмешательство в функции маршрутизации или именования с целью ограничения доступа к небольшому числу ресурсов при помощи отдельных приложений, скорее всего, затронет все приложения, которые зависят от этих функций.

5
Аналогичным образом, по мере повышения уровня физическое расстояние, на которое распространяется влияние, также растет. Узел должен быть физически подключен к сети провайдера на уровне кабеля, и расстояние до провайдера ограничено длинной кабеля, однако интернет-­‐приложения могут взаимодействовать с любым узлом в мире.
Таким образом, если говорить об изменениях на каждом уровне, то с повышением уровня влияние будет более конкретным с точки зрения приложений, и более широким с точки зрения охвата пользователей. Изменения в сети доступа затронут лишь относительно небольшое число заранее известных пользователей (а именно тех, кто подключен к данной сети доступа), однако могут повлиять на работу всех их приложений. Изменения на уровне приложений могут повлиять на пользователей во всех частях Интернета, но только на тех, кто использует данное приложение.
1.3. Распределенность и мобильность
Интернет проектировался как географически и типологически распределенная система. Ресурсы могут быть доступны из любой точки мира независимо от своего физического места нахождения или предоставляющего услуги провайдера. Ресурсы также очень мобильны – их очень легко переместить с одного физического или логического адреса на другой.
На этой распределенности и мобильности во многом основана надежность Интернета.
Маршрутизация устойчива к серьезным авариям, таким как разрыв подводного кабеля, так как распределенная система маршрутизации Интернета позволяет отдельным сетям совместно осуществлять маршрутизацию трафика. Услуги, доступные через приложения, обычно делают более надежными при помощи распределенных серверов. Так, например, хотя землетрясение
2011 года уничтожило почти всю интернет-­‐инфраструктуру Гаити, работа домена верхнего уровня страны (.ht) не была остановлена, так как он был доступен с серверов, расположенных в США,
Канаде и Франции.
Эта надежность полезна и нежелательным коммуникациям – ресурсы, запрещенные или блокированные в одной части Интернета, могут быть воссозданы в другой (эффект «водяного пузыря»). Если вебсайту запрещают использовать доменное имя или IP адрес, он может легко перейти на другое доменное имя или в другую сеть.
1.4. Локальность и автономность
Основной единицей маршрутизации в Интернете является «автономная система» -­‐ сеть, управляющая своей внутренней маршрутизацией. Концепция автономности присутствует во многих аспектах Интернета, как и концепция локальности, в соответствии с которой локальные изменения не должны оказывать масштабного влияния на сеть.
Эти идеи играют важную роль в обеспечении стабильности и масштабируемости Интернета. Если бы каждое изменение, производимое миллионами инженеров в различных сетях, оказывало влияние на весь Интернет, в нем воцарился бы хаос.
Принцип локальности означает, что результат технических изменений, при помощи которых будет осуществляться блокирование, будет ощущаться только в пределах ограниченной области. Как говорилось выше, в одном измерении эта область может быть незначительной (группа пользователей или группа приложений), а в другом масштабной. Изменения, которые должны блокировать ресурс в определенной зоне, часто распространяют свое влияние за ее пределы.

6
2. Примеры блокирования
Как уже отмечалось, системы блокировки или ограничения интернет-­‐коммуникаций эволюционируют вместе с теми технологиями, которые они ограничивают. Обращаясь к истории
Интернета, можно выделить несколько таких систем, имеющих различную степень эффективности.
• Фаерволы: фаервол – очень распространенная форма блокировки услуг, используемая сегодня во многих областях Интернета. Обычно фаерволы осуществляют контент-­‐
нейтральную блокировку, то есть, блокируют весь входящий и исходящий трафик по определенным портам. Фаерволы могут быть размещены как на конечных узлах (под контролем пользователей), так и на границах сетей.
• Веб-­‐фильтрация: протоколы HTTP и HTTPS часто являются объектом блокировки и фильтрации, обычно по отношению к отдельным адресам. Некоторые организации используют блокировку HTTP, чтобы запретить пользование нерабочими сайтами на работе, ряд стран требует от своих провайдеров использовать веб-­‐фильтрацию для блокировки неприемлемого контента. Блокировка HTTPS представляет некоторую сложность, так как URL-­‐адрес в HTTPS запросе передается по защищенному каналу. Таким образом, чтобы блокировать доступ к контенту, получаемому через HTTPS, система должна либо блокировать поток, основываясь только на IP адресе, либо получить сертификат доверия, которому доверяют обе конечные точки (и действовать как посредник).
• Фильтрация спама: этот метод является одним из самых первых способов блокировки, так как он отказывает спамерам в доступе к почтовым ящикам получателей. Спам-­‐фильтры оценивают сообщения, основываясь на различных критериях и источниках информации, и определяют, является ли данное сообщение спамом. Например, черные списки обратных
DNS содержат данные о IP адресах, зарекомендовавших себя как источники спама
[RFC5782]. Спам-­‐фильтры обычно либо устанавливаются на пользовательских устройствах
(например, в почтовом клиенте), либо на почтовом домене с разрешения пользователей.
• Арест доменных имен: в последние годы правоохранительные органы США через судебные решения арестовывают доменные имена, связанные с распространением контрафактной продукции и другой незаконной деятельностью [US-­‐ICE]. После ареста доменного имени DNS запросы на это имя обычно переадресовываются на адреса правительства США, где содержится информация об аресте. Практика ареста доменных имен противоречит архитектуре безопасности DNS [RFC4033] (так как предполагает изменение авторитетных данных DNS), принципу иерархичности (так как целью блокировки является контент, а не само доменное имя), мобильности (незаконная активность может быть легко перенесена на другой домен) и локальности (контент может быть блокирован только в определенной юрисдикции, но глобально, за ее пределами, он остается совершенно законным [RojaDirecta]).
• Безопасный просмотр: современные браузеры предпринимают ряд мер по предотвращению доступа пользователей к вредоносным сайтам. Так, например, текущие версии Google Chrome и Firefox перед загрузкой URL при помощи услуги Google Safe
Browsing проверяют, безопасен ли данный URL [SafeBrowsing]. Доменные имена также можно помечать как безопасные или представляющие опасность при помощи DNS
[RFC5782].
• Вмешательство в процесс маршрутизации и адресации: с недавнего времени правительственные органы начали вмешиваться в управление маршрутизацией и

7 адресацией, что дает им контроль над определенной группой DNS-­‐серверов. В рамках предпринимаемых на международном уровне мер по борьбе с вредоносной программой
DNSChanger, суд Нидерландов обязал RIPE NCC заморозить аккаунты владельцев некоторых ресурсов, чтобы ограничить их возможность блокировать определенные адреса [GhostClickRIPE]. Данные действия вызвали опасения, что системы сертификации ресурсов и соответствующие технологии безопасной маршрутизации, разработанные группой IETF SIDR, также могут стать объектом вмешательства правительства, возможно, с целью отказать определенным сетям в доступе к Интернету.
3. Модели блокировки
В стандартной сквозной интернет-­‐коммуникации есть три логических точки, в которых можно использовать механизмы блокировки: середина и обе конечные точки. Механизмы, осуществляющую блокировку посередине, обычно предполагают наличие некоторого сетевого устройства-­‐посредника, которое следит за трафиком и принимает решения о блокировки тех или иных связей. В точке, предоставляющей услугу, можно управлять авторитетными базами данных
(например, DNS) и серверами, чтобы изменить услугу или отказать в ней. На стороне пользователя системы идентификации и проверки репутации могут позволять устройствам (и пользователям) принимать решения о блокировке определенных коммуникаций.
В этом разделе мы обсудим три модели блокировки, а также их соответствие изложенным выше принципам архитектуры Интернета. В целом, третья модель – информирование пользователя и его устройств о том, что некоторая услуга должна быть блокирована – более всего соответствует архитектуре Интернета.
3.1. Блокировка посредником
Стандартная цель системы блокировки – блокировать коммуникации без согласия или помощи со стороны конечных точек общения. Следовательно, для создания такой системы требуется промежуточное устройство, например, фаервол или система фильтрации. Такие системы проверяют проходящий по сети трафик пользователя, принимают на основе запрашиваемого контента решение о его блокировании, а затем разрешают или запрещают получение данного контента.
Типичными примерами фильтрации при помощи посредника являются фаерволы и сетевые системы фильтрации интернет-­‐контента. Устройства, осуществляющие интернет-­‐фильтрацию, например, обычно изучают HTTP запросы, находят в них URL, сравнивают его с «черным» или
«белым» списком адресов и разрешают перейти на него в том случае, если он разрешен выбранной политикой (или, по крайней мере, не запрещен). Фаерволы выполняют ту же функцию и для других типов трафика помимо HTTP. Обратите внимание, что сюда не входят случаи, когда посредник авторизован конечными точками и действует от их имени (как, например, почтовый сервер), так как для этого необходимо сотрудничество, по крайней мере, с одной из сторон.
Осуществление блокировки таким способом противоречит описанному выше принципу сквозной коммуникации и прозрачности. Сама цель блокировки в данном случае заключается в нарушении прозрачности для определённого контента или соединения. Поэтому такая блокировка сталкивается с рядом технических сложностей, ограничивающих ее применимость на практике. В

8 частности, множество проблем возникает в результате того, что для принятия решения посреднику необходимо получить доступ к достаточному объему трафика.
Первая сложность в получении этого трафика заключается именно в получении доступа к содержимому пакета. Интернет создан так, что пакеты данных доставляются от источника к получателю, а не к некоторому находящемуся между ними узлу. На практике маршрутизация в
Интернете часто бывает асимметричной, а для достаточно сложных локальных сетей внутрисетевой трафик также может быть асимметричным.
Эта асимметричность означает, что посредник часто будет видеть только одну половину некоторого соединения (если он вообще видит хотя бы одну из них), что ограничивает его способность принимать решения, основываясь на передаваемом контенте. Например, фильтр, основанный на URL, не может принять решение о блокировке, если получает доступ только к
HTTP-­‐ответам (а не запросам). Маршрутизация в некоторых случаях может быть вынужденно асимметричной, например, если в некоторой сети используются определенные настройки маршрутизации или механизмы второго уровня (напр., MPLS), но такие механизмы часто ненадежны, сложны и дороги, а также часто ухудшают быстродействие сети по сравнению с применением асимметричной маршрутизации.
Если блокирующее устройство-­‐посредник может получить доступ к пакетам, из которых состоит соединение, то следующий вопрос в том, может ли такой посредник получить доступ к контенту приложений, который содержится в этих пакетах. Если контент приложения зашифрован при помощи протокола безопасности (напр., IPsec или TLS), тогда посредник должен уметь расшифровывать эти пакеты, чтобы проверить их содержимое. А поскольку протоколы безопасности созданы для обеспечения сквозной безопасности (то есть, не позволяют посредникам прочитать содержимое), посреднику придется маскироваться под одну из конечных точек, взламывая аутентификацию в протоколе безопасности, что ставит под угрозу безопасность участвующих в коммуникации пользователей и серверов, а кроме того, является вмешательством в личное общение.
Если посредник не в состоянии расшифровать протокол безопасности, тогда решение о блокировке содержимого безопасной сессии может быть принято лишь на основе изучения незащищенных характеристик, таких как IP адрес и номер порта. Некоторые системы блокировки сегодня все еще пытаются осуществлять блокировку, основываясь на этих характеристиках, например, блокируют TLS трафик на известные прокси-­‐сервера, которые могут использоваться как тоннели через блокирующую систему.
Однако, как недавно показал проект Telex, если конечная точка сотрудничает с сервером, она может создать TLS тоннель, который будет неотличим от разрешенного трафика [Telex].
Например, если вебсайт банка использует Telex сервер, блокирующая система не сможет отличить разрешенный зашифрованный трафик банка от трафика, прошедшего по Telex тоннелю (который может содержать контент, подлежащий блокированию).
Таким образом, не блокируя весь зашифрованный трафик, невозможно помешать прокладке тоннеля через устройство-­‐посредник (единственное практическое ограничение – наличие специального программного обеспечения у клиента). В большинстве случаев блокировка всего зашифрованного трафика является неприемлемым результатом блокировки, так как многие онлайн-­‐услуги, такие как электронная коммерция, промышленные VPN и управление необходимой инфраструктурой, требуют обеспечения безопасности. Если правительство или

9 администраторы сетей будут заставлять поставщиков таких услуг использовать небезопасные протоколы, чтобы эффективно осуществлять блокировку, то они подвергнут пользователей риску сетевых атак, от которых защищают безопасные протоколы.
Некоторые операторы сетей могут полагать, что одного лишь блокирования доступа к ресурсам, доступным через незащищенные каналы, для их целей будет достаточно, или, другими словами, что пользовательская база, которая будет пользоваться безопасными тоннелями или специальными программами, препятствующими блокировке, настолько мала, что применение блокирующих посредников будет приносить результат. Однако чем дольше будут использоваться такие системы, тем вероятнее появление эффективных и простых в использовании программ обхода блокировки, которые сделают практику создания защищенных тоннелей более распространенной.
Администраторы систем блокировки могут поддаться искушению и полагать, что прокладка тоннелей через промежуточные точки – дело довольно трудное, и обычные пользователи не будут пытаться это сделать. При данном предположении может показаться, что необходимости контролировать безопасный трафик нет, а блокирующие системы-­‐посредники являются привлекательным решением. Однако чем дольше будут использоваться такие системы, тем больше вероятность появления эффективных и простых средств для создания тоннелей.
Например, распространение сети ToR и усложнение ее техник уклонения от блокировки показывает, что данная тенденция весьма сильна.
Таким образом, блокировка через посредника эффективна только в весьма ограниченных обстоятельствах. Во-­‐первых, структура маршрутизации сети должна быть таковой, что посредник мог бы получить доступ к любому соединению, которое он намерен заблокировать. Во-­‐вторых, блокирующей системе необходим внешний механизм снижения рисков использования протоколов безопасности для уклонения от блокировки (напр., человек-­‐аналитик, определяющий
IP адреса конечных точек тоннеля), что может оказаться ресурсозатратным, особенно если конечные точки тоннелей начнут часто меняться. Если сеть достаточно сложна, или риск использования тоннелей слишком велик, такая система блокировки вряд ли будет эффективной.
3.2. Блокировка на сервере
Интернет-­‐услуги предоставляются физическими устройствами, такими как веб-­‐серверы, DNS серверы, серверы сертификатов или базы данных WHOIS. Эти устройства контролируют структуру и доступность интернет-­‐приложений, предоставляя элементы данных, используемые кодом приложений. Например, изменение записи А или ААА на DNS сервере приведет к изменению IP адресов, связанных с определенным доменным именем; приложения, обменивающиеся данными с этим узлом теперь будут обмениваться данными с узлом, расположенным по новому адресу.
Как физические объекты, сервера, на которых установлены определенные приложения, находятся в юрисдикции тех или иных стран, а лица, ими управляющие, соответственно, обязаны подчиняться их законам. Таким образом, законы могут разрешать блокировку интернет-­‐услуг в своей юрисдикции, и исполняться либо правительственными органами, либо путем требования от владельцев серверов заблокировать их (например, при помощи исков).
«Аресты» доменных имен, о которых шла речь выше, являются примерами такого типа блокировки. Чиновники требуют от операторов родительской зоны определенного имени
(например, .com для сайта example.com) направлять запросы к этому имени на ряд

10 правительственных серверов. Пользователи услуг, которые предоставлялись данным именем, таким образом, не могут подключиться к серверу, находившемуся под этим именем, и не могут получить доступ к услугам. Действия полиции Нидерландов против RIPE NCC, которая ограничила возможности некоторых провайдеров интернет-­‐услуг управлять своими сервисами при помощи контроля над их информацией WHOIS, имели ту же природу.
Блокировка услуг путем остановки или вмешательства в работу сервера не противоречит принципу сквозного соединения, так как подвергшийся блокировке сервер является одной из сторон заблокированной коммуникации. Однако оно не соответствует принципу иерархичности, мобильности ресурсов и автономности, что может ограничить его эффективность и привести к нежелательным последствиям.
Многоуровневая архитектура Интернета предполагает наличие нескольких точек, в которых может быть заблокирован доступ к услуге. Сервису может быть отказано в доступе к Интернету
(посредством контроля маршрутизаторов), DNS (DNS серверов) или услугам на уровне приложений (например, веб-­‐серверов). Однако блокирование по этим каналам одновременно является и чрезмерным, и мало результативным вследствие глобальной природы Интернета. \
С одной стороны, глобальная природа Интернета делает блокировку чрезмерной, в том смысле, что она может затронуть и другие ресурсы, причинить побочный ущерб, ограничив не противоречащее закону использование ресурсов. Определенная сеть или доменное имя могут содержать как вполне законные услуги, так и сервисы, которые намерено заблокировать правительство. Сервис, находящийся на доменном имени и управляемый в юрисдикции, где он считается неправомерным, может считаться вполне приемлемым в другой юрисдикции; таким образом, блокировка в юрисдикции хоста приведет к отказу в правомерных услугах в другой юрисдикции.
С другой стороны, распределенность и мобильность Интернета ограничивает эффективность такого блокирования. Поскольку интернет-­‐услуга доступна из любой точки Интернета, сервис, заблокированный в одной юрисдикции, часто перемещается или переустанавливается в другой.
Аналогичным образом, сервисы, которые зависят от заблокированных ресурсов, могут быть быстро переконфигурированы, что позволит им использовать незаблокированные. Например, техника «спама на снегоступах» (спама, не оставляющего следов) уже широко использует возможности распространения спама с разных ресурсов и из разных юрисдикций, что делает его блокировку неэффективной.
Эффективность блокировки на стороне сервера еще больше ограничена описанным выше принципом автономности. Если интернет-­‐сообщество понимает, что некоторый контент подвергся блокировке, и желает ее обойти, локальные сети могут «пропатчить» авторитетные данные, чтобы обойти блокировку. Например, в 2008 году компания Pakistan Telecom попыталась ограничить доступ к Youtube на территории Пакистана, сфальсифицировав маршрутизацию к адресам сервиса для серверов Пакистана. Благодаря передаче маршрутов (route leak) работа Youtube была временно приостановлена во всем мире, но примерно через два часа работа сервиса была восстановлена, так как администраторы сетей во всем мире переконфигурировали свои роутеры, чтобы те могли игнорировать блокирующие маршруты [RenesysPK]. В ситуации SIDR и безопасной маршрутизации можно провести подобную реконфигурацию, если сертификат ресурса будет изменен с целью блокирования маршрутизации к определенной сети.

11
В случае DNS также возможны подобные пути обхода блокировки. Если доменное имя блокируется методом изменения авторитетных данных, администраторы сетей могут восстановить сервис, просто расширив время жизни (TTL) кэшированных до блокировки записей на рекурсивных распознавателях, или статически переконфигурировав распознаватели, чтобы те возвращали для данного имени незаблокированный ответ. На самом деле, такие техники широко используются на практике для обеспечения доступа к доменам, работа которых была нарушена, как, например, в случае с доменом .ht во время землетрясения на Гаити в 2010 году
[EarthquakeHT].
У блокировки на стороне сервера есть также ряд нетехнических следствий. Соображения, изложенные в официальном документе Сообщества Интернет (ISOC) по DNS фильтрации
[ISOCFiltering], справедливы также и для других глобальных интернет-­‐ресурсов.
Подводя итог, блокировка серверов иногда может быть использована для немедленной блокировки некоторой услуги путем удаления некоторых ресурсов, от которых она зависит.
Однако у таких действий часто есть вредные побочные эффекты, вызванные глобальным характером интернет-­‐ресурсов. Глобальная мобильность интернет-­‐ресурсов наряду с автономностью сетей, из которых состоит Интернет, может означать, что результат блокировки сервера может быть очень быстро сведен на нет. Перефразировав цитату Джона Гилмора,
«Интернет относится к блокировке как к повреждению и строит маршруты в обход нее».
3.3. Блокировка на стороне пользователя
Пользователи Интернета и их устройства каждый день принимают тысячи решений о том, вступать им в определенную коммуникацию или нет. Пользователь определяет, переходить ли ему по ссылке в подозрительном письме; браузеры советуют ему не посещать сайты, содержимое которых кажется им подозрительным; спам-­‐фильтры оценивают подлинность отправителя и сообщения. Если бы устройства и программное обеспечение были обучены не участвовать в определенных коммуникациях, то блокировка была бы наиболее эффективной, потому что такие коммуникации никогда бы не случились.
Сегодня существует несколько систем, советующих пользователям пользоваться или не пользоваться теми или иными услугами. Как говорилось выше, некоторые современные браузеры, прежде чем загрузить сайт, сверяются с сервисом «безопасного поиска», чтобы определить, является ли сайт потенциально опасным. Фильтрация спама является одним из самых старых видов систем блокировки в Интернете; современные системы блокировки для принятия решений об ограничении некоторого сообщения или отправителя обычно используют тот или иной вид «репутации» или базы «черных списков». Обычно многие системы блокировки
(браузеры, почтовые сервера) пользуются единым репутационным сервисом.
Такой подход к блокировке соответствует обсуждавшимся выше принципам архитектуры
Интернета, он не противоречит принципам сквозной коммуникации, иерархичности, мобильности и локальности/автономии.
Как и блокировка сервера, блокировка на стороне пользователя производится одной из сторон интернет-­‐коммуникации, что позволяет ей избежать проблем с обходом механизмов сквозной безопасности, с которыми сталкивается блокировка через посредника. Блокировка на стороне пользователя также не имеет ряда недостатков серверной блокировки: в то время как блокировка на сервере влияет только на часть приложения, расположенную на данном сервере (например, разрешение доменного имени), блокировка на стороне пользователя затрагивает все приложение

12 на всех уровнях и соединениях. Такая заметность блокировки дает системам, расположенным на стороне пользователя, более подробную информацию, на основе которой можно принимать решение о блокировке.
В частности, блокировка на стороне пользователя позволяет успешно бороться с мобильностью злоумышленников. Если блокированная услуга переносится на другой ресурс или использует другие сервера, блокировка на стороне сервера не будет распространяться на новые ресурсы.
Блокировка через посредника, в том случае, если для коммуникации используется безопасный протокол, может даже не понять, что используется новый ресурс. Блокировка на стороне пользователя, напротив, позволяет определить, что ресурсы, использованные заблокированной услугой, изменились (поскольку ей полностью видны все уровни взаимодействия), и поменять параметры блокировки, как только репутационная система передаст новые данные.
И, наконец, в системе блокировки, расположенной на стороне пользователя, действия по блокировке выполняются автономно, отдельными пользователями или их агентами. Таким образом, блокировка локальна по своему масштабу, что позволяет минимизировать воздействие на других пользователей и другие правомерные сервисы.
Основная сложность, связанная с блокировкой на стороне пользователя, заключается в том, что для ее осуществления необходимо сотрудничество конечных точек. В тех случаях, когда такое сотрудничество желательно, препятствие невелико, так как от пользователя потребуется только перенастроить или обновить программное обеспечение. Но в случае отсутствия такого желания, заставить большое количество пользователей сотрудничать крайне сложно. Однако если удастся прийти к пониманию важности сотрудничества, блокировка на стороне пользователя будет намного более эффективной, чем все остальные методы, потому что она полностью соответствует принципам архитектуры Интернета.
4. Резюме плюсов и минусов
Системы блокировки через посредника в некоторых случаях являются относительно недорогим решением, но они слабо соответствуют архитектуре Интернета, особенно принципу сквозного соединения. Таким образом, у него есть несколько недостатков.
• Примеры: фаерволы, системы фильтрации интернет-­‐контента
• Одно устройство-­‐посредник может использоваться для блокировки доступа многими пользователями к многим сервисам.
• Блокировка через посредника может осуществляться без содействия сторон коммуникации (хотя сотрудничество с ними сделало бы ее намного более эффективной).
• Посредникам часто не хватает достаточной информации для принятия решения о блокировке по причине асимметричности маршрутизации или шифрования.
• Сложно предотвратить создание тоннелей через систему блокировки, не мешая разрешенным сервисам безопасности.
Блокировка сервера может дать быстрый результат при блокировке ресурсов, находящихся под контролем заблокированного устройства, но ее эффективность ограничена глобальным, автономным характером интернет-­‐ресурсов и сетей.
• Примеры: аресты доменных имен, заморозка аккаунтов WHOIS, отзыв сертификатов
RPKI.

13
• Интернет-­‐сервисы, зависящие от определенных ресурсов, могут быть заблокированы при отключении этих ресурсов.
• Заблокированные ресурсы обычно можно легко перенести или переустановить в месте, где их не будут блокировать.
• Ресурсы, используемые нежелательными сервисами, как правило также используются и не нарушающими закона сервисами, что может привести к побочному ущербу.
• Автономность сетей в Интернете позволяет им строить маршруты в обход блокировки.
Блокировка на стороне пользователя полностью соответствует общей архитектуре Интернета.
• Примеры: безопасный поиск, фильтрация спама, промышленные HTTPS прокси
• Пользователь блокирует услугу, принимая решение, вступать ему в некоторую коммуникацию или нет.\
• Система блокировки имеет полный доступ ко всем уровням, участвующим в коммуникации.
• Мобильность злоумышленников может быть легко обнаружена, что позволяет быстро обновить систему блокировки.
• Требует сотрудничества пользователей.
Поскольку она столь хорошо согласуется с принципами архитектуры Интернета, блокировка на уровне пользователя является наиболее эффективной и наименее опасной для Интернета формой блокировки в Интернете.
Соображения Администрации адресных пространств
Интернета (IANA)
Этот документ не содержит запросов к Администрации адресных пространств Интернета.
Соображения безопасности
Основная угроза безопасности, связанная с блокировкой интернет-­‐сервисов, заключается в том влиянии, которое она оказывает на модель сквозной безопасности, которую используют многие сетевые протоколы. Если блокировка применяется системой-­‐посредником в отношении определенной коммуникации, для принятия решения о блокировке ей необходимо получить доступ к защищенным конфиденциальным данным. Механизмы получения такого доступа обычно связаны с нарушением работы механизмов аутентификации, встроенных в протоколы безопасности.
Например, фаервол некоторой организации динамически создает TLS сертификаты с ключом доверия, принимаемым конечными точками, которые подлежат блокировке. Такие сертификаты позволяют фаерволу идентифицировать себя как любой веб-­‐сайт, то есть, он может действовать как посредник при TLS соединениях, проходящих через этот фаервол.
Подобные модификации, безусловно, делают такой фаервол уязвимым местом. Если хакер получит к нему доступ или сможет подделать пару ключей, используемых фаерволом для подписи сертификатов, он получит доступ к открытой информации всех TLS соединений всех пользователей, расположенных за этим фаерволом, причем сами пользователи не смогут этого определить.

14
Если система блокировки неспособна просматривать и блокировать протоколы безопасности, возникает соблазн просто блокировать их. Например, система блокирования интернет-­‐контента, неспособная взломать HTTPS-­‐соединение, может просто блокировать все подобные соединения.
Однако такие интернет-­‐протоколы часто используются в жизненно необходимых сервисах, таких как онлайн-­‐торговля и банкинг. Блокировка данных протоколов полностью лишит пользователей доступа к таким услугам, или, что еще хуже, вынудит их пользоваться услугами через небезопасные протоколы.
Протоколы безопасности, безусловно, также можно использовать для блокировки сервисов.
Например, если система блокировки сможет внедрить в протокол аутентификации ложные данные для одной из сторон, другая сторона разорвет соединение из-­‐за ошибки аутентификации.
Однако обычно намного проще блокировать протоколы безопасности, чем использовать их для блокировки услуг.
Информационные ссылки
[EarthquakeHT]
Raj Upadhaya, G., ".ht: Recovering DNS from the Quake", March 2010,
Talk_03_Gaurab-­‐Upadhaya-­‐dotht-­‐apricot-­‐lightning.pdf>.
[GhostClickRIPE]
RIPE NCC, "RIPE NCC Blocks Registration in RIPE Registry Following Order from Dutch Police", 2012,
registration-­‐in-­‐ripe-­‐registry-­‐following-­‐ order-­‐from-­‐dutch-­‐police>.
[ISOCFiltering]
Internet Society, "DNS: Finding Solutions to Illegal On-­‐ line Activities", 2012,
.
[RFC1122]
Braden, R., "Requirements for Internet Hosts -­‐ Communication Layers", STD 3, RFC 1122, October
1989.
[RFC2775]
Carpenter, B., "Internet Transparency", RFC 2775, February 2000.
[RFC3724]
Kempf, J., Austein, R., and IAB, "The Rise of the Middle and the Future of End-­‐to-­‐End: Reflections on the Evolution of the Internet Architecture", RFC 3724, March 2004.
[RFC4033]
Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and
Requirements", RFC 4033, March 2005.
[RFC4084]
Klensin, J., "Terminology for Describing Internet Connectivity", BCP 104, RFC 4084, May 2005.
[RFC4301]
Kent, S. and K. Seo, "Security Architecture for the Internet Protocol", RFC 4301, December 2005.
[RFC4924]
Aboba, B. and E. Davies, "Reflections on Internet Transparency", RFC 4924, July 2007.
[RFC5246]
Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246,
August 2008.
[RFC5782]
Levine, J., "DNS Blacklists and Whitelists", RFC 5782, February 2010.
[RFC6480]
Lepinski, M. and S. Kent, "An Infrastructure to Support Secure Internet Routing", RFC 6480,
February 2012.
[RenesysPK]
Brown, M., "Pakistan hijacks YouTube", February 2008, .
[RojaDirecta]
Masnick, M., "Homeland Security Seizes Spanish Domain Name That Had Already Been Declared
Legal", 2011, seizes-­‐spanish-­‐omain-­‐name-­‐that-­‐had-­‐ already-­‐been-­‐declared-­‐legal.shtml>.
[SafeBrowsing]
Google, "Safe Browsing API", 2012, .
[Telex]
Wustrow, E., Wolchok, S., Goldberg, I., and J. Halderman, "Telex: Anticensorship in the Network
Infrastructure", August 2011, .
[Tor]
"Tor Project: Anonymity Online", 2012, .
[US-­‐ICE]
U.S. Immigration and Customs Enforcement, "Operation in Our Sites", 2011,
.


Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал