Во второй части просветительского материала о технологии VPN технические специалисты «РосКомСвободы» рассказывают о способах борьбы властей разных стран с обходом блокировок, о применяемых для этого технических средствах, а также об уровне их эффективности.
Ограничения на использование VPN можно рассматривать как часть феномена интернет-цензуры, так как рядовыми пользователями данная технология используется в основном для сохранения анонимности в сети, предотвращения сбора персональных данных интернет-провайдером и администраторами посещаемых сайтов, а также для получения доступа к запрещенному контенту.
Блокировка доступа к контенту на основе адресов ресурсов и узлов сети (IP-адрес, доменное имя) реализуется проще, чем блокировка на уровне передаваемых по сети пакетов. Но такого рода блокировки можно обойти при помощи VPN — путём маршрутизации трафика так, чтобы он «выходил» в другом месте, часто в другой стране. Поэтому, после внедрения блокировок по адресам, следующим этапом могут быть блокировки на уровне пакетов, что позволяет, например, блокировать VPN-трафик, относящийся к конкретным протоколам, независимо от того, какому серверу он адресован. На текущий же момент, известно из поступивших от интернет-пользователей и интернет-активистов сообщений о блокировках доступа к VPN «по адресу» (блокируется трафик до «точек входа» — серверов, принимающих соединения от пользователей). Также были сообщения и о блокировке трафика «по портам», но этот метод блокировок довольно легко обойти, «переключив» трафик на другой порт (это будет намного «дешевле» и по трудозатратам, и по материальным, нежели смена протокола, и даже дешевле смены IP-адреса).
Для блокировки на уровне пакетов провайдеру (или иному посреднику в передаче трафика, например, ТСПУ) необходимо их анализировать. Для этого используется технология DPI (Deep Packet Inspection). Это позволяет, к примеру, блокировать только те пакеты, которые относятся к VPN-трафику или те, которые связаны с обращением напрямую к запрещенным ресурсам. Таким образом, если содержимое пакета не зашифровано, то никаких дополнительных инструментов и ухищрений для анализа не нужно, и, в зависимости от содержимого передаваемого пакета (или группы), уже можно принимать решение о блокировке.
Для анализа же шифрованных данных в сети провайдера или в ином месте на пути следования трафика может использоваться промежуточное звено, которое имеет возможность расшифровать трафик, так как от клиента до него трафик шифруется самоподписанными сертификатами провайдера — по сути это является широко известной «атакой посредника» (man-in-the-middle или — MITM), только «атакующим» здесь выступает не «случайный взломщик», а непосредственно провайдер. Однако, такой подход требует добровольной установки пользователями самоподписанных сертификатов таких вот фальшивых «удостоверяющих центров», и по этой причине не имеет широкого распространения в мире (известно о единичных случаях в Казахстане и Китае).
Вариацией данного метода (MITM-атаки) без необходимости добровольного участия со стороны пользователей является создание государством «настоящих» (т.е. находящихся в списках «доверенных» в браузерах и ОС и сертифицированных) удостоверяющих центров, находящихся в подконтрольной таковому государству стране. В случае, если о таких ситуациях становится известно, такие удостоверяющие центры удаляются из списков доверенных.
Данная ситуация возможна из-за особенностей технологии подписания сертификатов доверенными удостоверяющими центрами: как правило, не проверяется ни факт повторной подписи, ни факт подписи другого сертификата, выпущенного на тот же домен/ip-адрес. Причём делается это намеренно, так как иначе это будет создавать проблемы при «обычном» использовании.
Впрочем, даже не имея возможности расшифровать зашифрованные пакеты, можно анализировать и фильтровать их, основываясь не на основном содержимом, а на метаданных (служебной информации о пакете). Довольно часто, опираясь только на метаданные можно с довольно высокой точностью определять принадлежность трафика к тому или иному протоколу. Что, собственно, и позволяет блокировать такие пакеты.
Протоколы VPN (как, впрочем, и большинства мессенджеров) сами по себе, без дополнительных технологий обфускации, уязвимы к таким блокировкам из-за того, что изначально не были рассчитаны на использование в условиях активного противодействия со стороны сетевой инфраструктуры.
Следует также отметить, что технологии DPI, основанные на вероятностном анализе проходящих пакетов, не определяют VPN-трафик со 100% надежностью, однако блокировка даже некоторой части пакетов может сильно снизить качество соединения через VPN. Также обратной стороной такого способа блокировок является и тот факт, что у основанных на DPI фильтров имеются и ложно положительные срабатывания, когда блокируются пакеты обычных пользователей, которые для анализатора по тем или иным причинам выглядят как VPN-трафик.
Таким образом, чтобы с одной стороны выполнять требования государства (в лице контролирующих органов), с другой — минимизировать недовольство пользователей, к фильтрам на основе DPI применяются всё более и более жёсткие правила относительно качества анализа. В то же время, всё большую популярность набирают (и, как следствие — лучше и быстрее развиваются) средства всевозможной обфускации трафика. Как следствие, это выливается в «гонку вооружений»: технологии DPI становятся всё более «надёжными», но одновременно с этим улучшаются и технологии обфускации трафика (Shadowsocks, obfs4 и другие описанные в предыдущей части).
Что касается того, как VPN блокируются в различных странах, имеющиеся данные достаточно фрагментарны:
Следует также отметить, что в большинстве стран, где ограничиваются или блокируются VPN, это происходит на уровне борьбы с технологиями или поставщиками услуг, не всегда юридически. В тоже время в Белоруссии, Северной Корее, Туркменистане, Турции, Ираке, Иране использование VPN запрещено на законодательном уровне (однако это не означает автоматически, что закон регулярно применяется по факту и к рядовым пользователям). Частичные законодательные ограничения на использование VPN есть также в России, Омане, ОАЭ, Китае.
Среди перечисленных стран наиболее развитая система интернет-цензуры в Китае (при том, что в отличие от Северной Кореи, Китай не изолирован от остального мира). Эта система образно называется «Великим китайским файрволом» (Great Firewall). Помимо фильтрации внутрикитайского трафика, она также контролирует весь трафик, пересекающий границы Китая, который проходит через несколько точек, хотя механизмы фильтрации чаще всего расположены не на самой границе (в зависимости от провайдера либо в пограничных сетях (AS, autonomous system), либо в провинциальных).
Блокировка VPN в Китае осуществляется при помощи комбинации ряда методов:
Известно о блокировке следующих VPN-протоколов в Китае:
Для российского читателя будет также интересным узнать, что как минимум с 2016 года Роскомнадзор сотрудничает со своим китайским аналогом для изучения и перенятия их практик (см., например https://www.eurozine.com/china-the-architect-of-putins-firewall/).
В качестве сравнения, можно рассмотреть систему блокировок VPN в Туркменистане, который также серьезно ограничивает доступ своих граждан к Интернету, но не имеет для этого технических ресурсов, доступных Китаю.
В Туркменистане действует только один Интернет-провайдер - государственный Туркментелеком, а также отсутствует государственный орган, регулирующий Интернет-коммуникации (аналог Роскомнадзора). Сообщается, что в сентябре 2019 было создано некое государственное агентство по кибербезопасности, после того, как 6 сентября президент страны подписал соответствующий закон.
В стране распространены адресные блокировки (по доменам и IP-адресам), и попытки посещения заблокированных ресурсов пользователями чреваты вызовами в органы власти, то есть запросы пользователей отслеживаются. Касательно блокировок VPN в этой стране, мы имеем лишь фрагментарную информацию из-за закрытого характера общества.
В октябре 2019 пользователи VPN из Туркменистана стали жаловаться на блокировки. В начале 2019 года также фиксировались ограничения на использование VPN, тогда это было реализовано в виде блокировок VPN-приложений в Play Store для Андроида, а также блокировок SIM-карт абонентов, использовавших эти приложения. В дополнение к этому известно, что с 2017 года власти интересуются теми, кто меняет свои SIM-карты с целью обойти блокировки.
Сообщается, что услуги по нелегальной установке VPN широко распространены в столице, Ашхабаде. Ранее такие услуги предлагались прямо в магазинах мобильных телефонов и сервисных центрах, но позже такая практика прекратилась, после введения штрафов за такие услуги. На официальном уровне наличие блокировок не признается властями Туркменистана.
Также следует отметить, что использование VPN в Туркменистане было и ранее запрещено на законодательном уровне. А в августе 2021 года появилась новость о том, что при подключении к Интернету в стране, от пользователя требуется клятва на Коране о том, что он не будет использовать VPN-сервисы.
Что касается технических механизмов блокировок, то об этом известно мало, но можно отметить, что блокировка коснулась только тех VPN, которые не маскируют свой трафик под HTTPS. Существует информация, что ПО для блокировок поставляется немецкой компанией Rohde & Schwarz (https://www.rohde-schwarz.com, также сотрудничает с властями Белоруссии через местного партнера). Исходя из этого можно предположить, что используется DPI, но без возможности анализа зашифрованного трафика.
***
Источники
https://www.comparitech.com/blog/vpn-privacy/internet-censorship-map/
https://several.com/vpn/vpn-laws
https://en.wikipedia.org/wiki/Deep_packet_inspection
https://proprivacy.com/vpn/guides/how-to-bypass-vpn-blocks
https://en.wikipedia.org/wiki/Great_Firewall
https://www.vpnranks.com/blog/how-does-china-block-vpn/
https://www.thousandeyes.com/blog/deconstructing-great-firewall-china/
https://www.technadu.com/turkmenistan-starts-blocking-vpn-apps/82489/
https://www.technadu.com/turkmenistan-blocks-vpn-applications-google-play-store-restrictions/55482/
https://tech.onliner.by/2021/03/25/kontrol-interneta-v-turkmenistane
Ограничения на использование VPN можно рассматривать как часть феномена интернет-цензуры, так как рядовыми пользователями данная технология используется в основном для сохранения анонимности в сети, предотвращения сбора персональных данных интернет-провайдером и администраторами посещаемых сайтов, а также для получения доступа к запрещенному контенту.
Блокировка доступа к контенту на основе адресов ресурсов и узлов сети (IP-адрес, доменное имя) реализуется проще, чем блокировка на уровне передаваемых по сети пакетов. Но такого рода блокировки можно обойти при помощи VPN — путём маршрутизации трафика так, чтобы он «выходил» в другом месте, часто в другой стране. Поэтому, после внедрения блокировок по адресам, следующим этапом могут быть блокировки на уровне пакетов, что позволяет, например, блокировать VPN-трафик, относящийся к конкретным протоколам, независимо от того, какому серверу он адресован. На текущий же момент, известно из поступивших от интернет-пользователей и интернет-активистов сообщений о блокировках доступа к VPN «по адресу» (блокируется трафик до «точек входа» — серверов, принимающих соединения от пользователей). Также были сообщения и о блокировке трафика «по портам», но этот метод блокировок довольно легко обойти, «переключив» трафик на другой порт (это будет намного «дешевле» и по трудозатратам, и по материальным, нежели смена протокола, и даже дешевле смены IP-адреса).
Для блокировки на уровне пакетов провайдеру (или иному посреднику в передаче трафика, например, ТСПУ) необходимо их анализировать. Для этого используется технология DPI (Deep Packet Inspection). Это позволяет, к примеру, блокировать только те пакеты, которые относятся к VPN-трафику или те, которые связаны с обращением напрямую к запрещенным ресурсам. Таким образом, если содержимое пакета не зашифровано, то никаких дополнительных инструментов и ухищрений для анализа не нужно, и, в зависимости от содержимого передаваемого пакета (или группы), уже можно принимать решение о блокировке.
Для анализа же шифрованных данных в сети провайдера или в ином месте на пути следования трафика может использоваться промежуточное звено, которое имеет возможность расшифровать трафик, так как от клиента до него трафик шифруется самоподписанными сертификатами провайдера — по сути это является широко известной «атакой посредника» (man-in-the-middle или — MITM), только «атакующим» здесь выступает не «случайный взломщик», а непосредственно провайдер. Однако, такой подход требует добровольной установки пользователями самоподписанных сертификатов таких вот фальшивых «удостоверяющих центров», и по этой причине не имеет широкого распространения в мире (известно о единичных случаях в Казахстане и Китае).
Вариацией данного метода (MITM-атаки) без необходимости добровольного участия со стороны пользователей является создание государством «настоящих» (т.е. находящихся в списках «доверенных» в браузерах и ОС и сертифицированных) удостоверяющих центров, находящихся в подконтрольной таковому государству стране. В случае, если о таких ситуациях становится известно, такие удостоверяющие центры удаляются из списков доверенных.
Данная ситуация возможна из-за особенностей технологии подписания сертификатов доверенными удостоверяющими центрами: как правило, не проверяется ни факт повторной подписи, ни факт подписи другого сертификата, выпущенного на тот же домен/ip-адрес. Причём делается это намеренно, так как иначе это будет создавать проблемы при «обычном» использовании.
Впрочем, даже не имея возможности расшифровать зашифрованные пакеты, можно анализировать и фильтровать их, основываясь не на основном содержимом, а на метаданных (служебной информации о пакете). Довольно часто, опираясь только на метаданные можно с довольно высокой точностью определять принадлежность трафика к тому или иному протоколу. Что, собственно, и позволяет блокировать такие пакеты.
Протоколы VPN (как, впрочем, и большинства мессенджеров) сами по себе, без дополнительных технологий обфускации, уязвимы к таким блокировкам из-за того, что изначально не были рассчитаны на использование в условиях активного противодействия со стороны сетевой инфраструктуры.
Следует также отметить, что технологии DPI, основанные на вероятностном анализе проходящих пакетов, не определяют VPN-трафик со 100% надежностью, однако блокировка даже некоторой части пакетов может сильно снизить качество соединения через VPN. Также обратной стороной такого способа блокировок является и тот факт, что у основанных на DPI фильтров имеются и ложно положительные срабатывания, когда блокируются пакеты обычных пользователей, которые для анализатора по тем или иным причинам выглядят как VPN-трафик.
Таким образом, чтобы с одной стороны выполнять требования государства (в лице контролирующих органов), с другой — минимизировать недовольство пользователей, к фильтрам на основе DPI применяются всё более и более жёсткие правила относительно качества анализа. В то же время, всё большую популярность набирают (и, как следствие — лучше и быстрее развиваются) средства всевозможной обфускации трафика. Как следствие, это выливается в «гонку вооружений»: технологии DPI становятся всё более «надёжными», но одновременно с этим улучшаются и технологии обфускации трафика (Shadowsocks, obfs4 и другие описанные в предыдущей части).
Что касается того, как VPN блокируются в различных странах, имеющиеся данные достаточно фрагментарны:
- Правительства и провайдеры этих стран не всегда публично заявляют о таких блокировках, и также не предоставляют технической информации об их реализации.
- Мониторинг блокировок на мировом уровне не ведётся (здесь стоит отметить российский проект Global Check, направленный на восполнение этой лакуны).
- Блокировки VPN обычно учитываются в рамках общего уровня интернет-цензуры, а не отдельно.
Страна | Ограничение VPN | Блокировка VPN |
Бахрейн | Да | Нет |
Беларусь | Да | Да |
Китай | Да | Да |
Куба | Да | Нет |
Египет | Да | Нет |
Иран | Да | Да |
Ирак | Да | Да |
Казахстан | Да | Нет |
Северная Корея | Да | Да |
Оман | Да | Нет |
Катар | Да | Нет |
Россия | Да | Нет |
Саудовская Аравия | Да | Нет |
Сирия | Да | Нет |
Таджикистан | Да | Нет |
Таиланд | Да | Нет |
Турция | Да | Нет |
Туркменистан | Да | Нет |
Объединённые Арабские Эмираты | Да | Нет |
Следует также отметить, что в большинстве стран, где ограничиваются или блокируются VPN, это происходит на уровне борьбы с технологиями или поставщиками услуг, не всегда юридически. В тоже время в Белоруссии, Северной Корее, Туркменистане, Турции, Ираке, Иране использование VPN запрещено на законодательном уровне (однако это не означает автоматически, что закон регулярно применяется по факту и к рядовым пользователям). Частичные законодательные ограничения на использование VPN есть также в России, Омане, ОАЭ, Китае.
Среди перечисленных стран наиболее развитая система интернет-цензуры в Китае (при том, что в отличие от Северной Кореи, Китай не изолирован от остального мира). Эта система образно называется «Великим китайским файрволом» (Great Firewall). Помимо фильтрации внутрикитайского трафика, она также контролирует весь трафик, пересекающий границы Китая, который проходит через несколько точек, хотя механизмы фильтрации чаще всего расположены не на самой границе (в зависимости от провайдера либо в пограничных сетях (AS, autonomous system), либо в провинциальных).
Блокировка VPN в Китае осуществляется при помощи комбинации ряда методов:
- Блокировка доступа к сайтам поставщиков VPN-услуг
- Блокировка известных китайским властям точек входа в VPN по IP
- Блокировка трафика на портах, используемых VPN-протоколами (например порта 1194, который используется OpenVPN по умолчанию)
- Анализ и блокирование трафика при помощи DPI
- Quality of service filtering («замедление трафика») — «подозрительные» соединения анализируются и им присваивается «оценка», в зависимости от которой определенный процент трафика блокируется.
- Предполагается, что система умеет распознавать двойное шифрование трафика (например, HTTPS поверх SSH), анализируя энтропию пакетов. Использование алгоритмов шифрования приводит к тому, что зашифрованные пакеты содержат в себе случайную последовательность символов, анализируя которую статистическими методами можно с определенной вероятностью предположить, относится ли этот трафик к VPN-соединению.
- Особенностью китайской системы DPI является то, что трафик фильтруется не во время прохождения через соответствующие узлы системы, а после. Проходящие пакеты копируются на отдельное устройство, где анализируются и если принимается решение их заблокировать, то посылается соответствующая сфабрикованная команда (TCP reset) обеим сторонам коммуникации.
- Это возможно за счет того, что система является stateful (сохраняет состояние), что позволяет им сфабриковывать команды на разрыв соединения после анализа и блокировать попытки аналогичного соединения после (такому соединению присваивается timeout, который может быть увеличен после новых попыток установить его).
- Active probing — зафиксировав соединение к «подозрительному» IP, система самостоятельно посылает запрос к этому узлу, и если убеждается, что это действительно входная точка VPN, то блокирует его. Такие блокировки можно обходить, применяя технологию obfs4, которая использует out-of-band shared secret. Происходит передача секретной информации для аутентификации между сторонами через иные каналы коммуникации. Условным примером может служить СМС-сообщение при двухфакторной авторизации.
Известно о блокировке следующих VPN-протоколов в Китае:
- OpenVPN - блокируется на этапе установки соединения (handshake). Если же используется опция tls-crypt, защищающая от таких блокировок, то трафик туннеля замедляется до 56 Кбит/сек.
- IPSec (в связке с другими протоколами) - блокируется на этапе установки соединения или также замедляется.
- TLS (не протокол VPN, но используется для установки соединения) - анализируется, чтобы отделить HTTP over TLS (HTTPS) от других вариантов, которые блокируются.
Для российского читателя будет также интересным узнать, что как минимум с 2016 года Роскомнадзор сотрудничает со своим китайским аналогом для изучения и перенятия их практик (см., например https://www.eurozine.com/china-the-architect-of-putins-firewall/).
В качестве сравнения, можно рассмотреть систему блокировок VPN в Туркменистане, который также серьезно ограничивает доступ своих граждан к Интернету, но не имеет для этого технических ресурсов, доступных Китаю.
В Туркменистане действует только один Интернет-провайдер - государственный Туркментелеком, а также отсутствует государственный орган, регулирующий Интернет-коммуникации (аналог Роскомнадзора). Сообщается, что в сентябре 2019 было создано некое государственное агентство по кибербезопасности, после того, как 6 сентября президент страны подписал соответствующий закон.
В стране распространены адресные блокировки (по доменам и IP-адресам), и попытки посещения заблокированных ресурсов пользователями чреваты вызовами в органы власти, то есть запросы пользователей отслеживаются. Касательно блокировок VPN в этой стране, мы имеем лишь фрагментарную информацию из-за закрытого характера общества.
В октябре 2019 пользователи VPN из Туркменистана стали жаловаться на блокировки. В начале 2019 года также фиксировались ограничения на использование VPN, тогда это было реализовано в виде блокировок VPN-приложений в Play Store для Андроида, а также блокировок SIM-карт абонентов, использовавших эти приложения. В дополнение к этому известно, что с 2017 года власти интересуются теми, кто меняет свои SIM-карты с целью обойти блокировки.
Сообщается, что услуги по нелегальной установке VPN широко распространены в столице, Ашхабаде. Ранее такие услуги предлагались прямо в магазинах мобильных телефонов и сервисных центрах, но позже такая практика прекратилась, после введения штрафов за такие услуги. На официальном уровне наличие блокировок не признается властями Туркменистана.
Также следует отметить, что использование VPN в Туркменистане было и ранее запрещено на законодательном уровне. А в августе 2021 года появилась новость о том, что при подключении к Интернету в стране, от пользователя требуется клятва на Коране о том, что он не будет использовать VPN-сервисы.
Что касается технических механизмов блокировок, то об этом известно мало, но можно отметить, что блокировка коснулась только тех VPN, которые не маскируют свой трафик под HTTPS. Существует информация, что ПО для блокировок поставляется немецкой компанией Rohde & Schwarz (https://www.rohde-schwarz.com, также сотрудничает с властями Белоруссии через местного партнера). Исходя из этого можно предположить, что используется DPI, но без возможности анализа зашифрованного трафика.
***
Источники
https://www.comparitech.com/blog/vpn-privacy/internet-censorship-map/
https://several.com/vpn/vpn-laws
https://en.wikipedia.org/wiki/Deep_packet_inspection
https://proprivacy.com/vpn/guides/how-to-bypass-vpn-blocks
https://en.wikipedia.org/wiki/Great_Firewall
https://www.vpnranks.com/blog/how-does-china-block-vpn/
https://www.thousandeyes.com/blog/deconstructing-great-firewall-china/
https://www.technadu.com/turkmenistan-starts-blocking-vpn-apps/82489/
https://www.technadu.com/turkmenistan-blocks-vpn-applications-google-play-store-restrictions/55482/
https://tech.onliner.by/2021/03/25/kontrol-interneta-v-turkmenistane
Часть I — «VPN-блокировки не за горами, но с ними можно бороться»
Роскомсвобода
Ведём деятельность в области защиты цифровых прав и расширения цифровых возможностей.
roskomsvoboda.org