Помимо платных и бесплатных VPN-сервисов есть частные VPN, которые люди сами поднимают за границей. Может ли ТСПУ блокировать такие VPN — или это слишком трудозатратно?
Здольников. Блокировки по протоколам, которые сейчас применяет Роскомнадзор для борьбы с VPN, затрагивают любые подключения
Не важно, к большому сервису или к собственному серверу
Селезнев. Даже при перекрытии всех коммерческих VPN-серверов очень сложно перекрыть все индивидуальные VPN, которые энтузиасты разворачивают для личного/семейного/корпоративного использования. Просто по причине их скрытности и огромного количества. Таким образом, будет идти речь о техническом противостоянии между ТСПУ, оборудованием, которое при помощи DPI пытается выявить трафик VPN и средствами маскировки этого трафика. Такие технологии вовсю обкатываются, достаточно почитать форумы IT-энтузиастов.
Кулин. Я думаю, это сейчас и тестируют, именно этот вопрос. Одна из основных проблем блокировки частных VPN в том, что на этих же технологиях построены VPN компаний. Так можно сделать, только если ты опричник и метешь метлой мразь всякую, недостойных граждан и фирмы, которые не опричь. Но да, мы уже видим победившую опричнину. «Системообразующие компании не пострадали» А.Жаров. «Мы разослали по ведомствам» , и так далее.
Смысл в том, что сервисы имеют понятные эндпойнты. А связь между филиалами «Рогов и Копыт» можно идентифицировать десятилетиями. А главное, что они ничем не отличаются от Росатома, Ростеха, Роскосмоса и так далее, где свой бардак.
Климарев. Ребята, которые умеют что-то делать, они все эти вещи тоже обойдут. Они решат эти проблемы: есть возможность сделать обфускацию трафика, сделать нестандартные порты, какие-то вещи поднастроить, это индивидуально делается. Не думаю, что кто-то будет бегать ради таких вещей, поэтому да, это возможно, но связь даже при такой архитектуре в любом случае будет хуже, чем без . Приедете в любую страну со свободным интернетом, включите VPN, а потом выключите его — и почувствуете разницу.
Могут ли VPN-сервисы как-то сопротивляться блокировкам? Есть ли данные, что они сопротивляются?
Здольников. Некоторые платные сервисы, которые закладывают это в стоимость подписки, и у которых есть соответствующие механизмы, могут активно сопротивляться блокировкам: ротировать адреса API и самих VPN-серверов. Это делает ExpressVPN и отчасти NordVPN в Китае, это делают некоторые сервисы в ОАЭ, Индии и других регионах. Наш Red Shield VPN будет сопротивляться блокировкам точно так же, как и в предыдущие две попытки нас заблокировать (плюс последует еще одно дело в ЕСПЧ против российского государства). Возможно, таких сервисов будет еще 1-2.
Кулин. Да, конечно.
Климарев. С кем я общаюсь, по крайней мере, почти все в голос говорят, что будут , и Nord VPN, и Tunnel Bear будет. У них бизнес-модель такая, они же деньги зарабатывают именно с того, что они обходят блокировки.
Как превратить Debian в Kali Linux
Этот фокус я делал с Debian 10 в минимальной версии, без графического рабочего стола. Система уже успешно пережила обновление ядра.
Кстати, в информации о ядре:
uname -a
сказано следующее:
Linux w-e-b 5.2.0-kali3-cloud-amd64 #1 SMP Debian 5.2.17-1kali1 (2019-09-27) x86_64 GNU/Linux
Это какое-то cloud ядро, в описании сказано, что это ядро Linux и модули для использования на облачных платформах Amazon EC2, Google Compute Engine и Microsoft Azure. Я его НЕ ставил специально — такое ядро установилось во время обновление. Но система работает — видимо, ей так норм.
Эта инструкция отличается от того, «Как добавить репозитории Kali Linux в другой дистрибутив». Мы не будем сохранять репозитории исходного дистрибутива, а оставим только репозиторий Kali Linux.
Начать нужно с создания нового дроплета:
Выбираем Debian самой последней версии:
Тарифный план выберите в соответствии с вашими потребностями. Если это будет система без графического интерфейса под ваши персональные нужды (для использования инструментов Kali Linux) или для веб-сервера с небольшой нагрузкой, то 1-2 гигабайтов оперативной памяти вполне хватит. Сама система потребляет меньше 100 мегабайт оперативной памяти, то есть под ваши нужды остаётся примерно 900 мегабайт, что для утилит командной строки весьма много. Если вы решите поднять свой собственный веб-сервер, то одного гигабайта вполне хватит, чтобы обслуживать несколько сотен (или даже несколько тысяч — в зависимости сайта) посетителей в день.
При желании, вы можете добавить раздел подкачки: «Как в Kali Linux создать или увеличить файл подкачки (Swap)».
Выбор региона датацентра — исключительно из ваших предпочтений (если это будет веб-сайт, то поближе к его аудитории):
Дополнительные опции:
IPv6 — это поддержка соответствующих IP адресов шестой версии. Адрес IPv6 будет предоставлен бесплатно.
Private networking — сетевому интерфейсу вашего дроплета будет дополнительно назначен локальный адрес вида 10.*.*.*. Его смысл в том, что если у вас несколько дроплетов, то они смогут обмениваться друг с другом данными внутри этой локальной сети.
Теперь нужно указать публичный ключ SSH. Если у вас его нет, то вам нужно сгенерировать пару публичный-приватный ключ. В Linux это делается командой:
ssh-keygen
В Windows установите Cygwin и там выполните команду:
ssh-keygen
Ваш публичный ключ находится в файле .ssh/id_rsa.pub, чтобы его просмотреть:
cat .ssh/id_rsa.pub
Скопируйте этот ключ и вставьте в это окно, также выберите для него имя:
При создании других дроплетов, вы можете использовать этот же самый публичный ключ:
При желании укажите более удобочитаемое имя хоста и включите создание резервных копий:
Довольно быстро будет создана новая система. IP адрес ей будет присвоен автоматически, вы найдёте в информации о дроплете. Для подключения и управления удобнее всего использовать SSH, поэтому смотрите «Полное руководство по SSH в Linux и Windows».
Если нажать Access console, то откроется веб-консоль:
Через неё можно починить систему, если вы поломали SSH службу или если возникли другие серьёзные проблемы (также здесь можно сбросить пароль root, если вы его забыли).
У Debian в конфигурации, которая предлагается по умолчанию на DigitalOcean, все репозитории храняться в файле /etc/apt/sources.list, поэтому открываем его
vim /etc/apt/sources.list
и закомментируем все незакомментированные строки.
Также добавляем строку:
deb https://http.kali.org/kali kali-rolling main non-free contrib
Получается:
Теперь выполняем:
apt update && apt full-upgrade reboot
После этого информация о системе следующая:
cat /etc/issue Kali GNU/Linux Rolling \n \l
То есть теперь система сама себя считает Kali Linux’ом.
Верхние строки в /etc/apt/sources.list говорят, что этот файл сгенерирован автоматически, и что он не переживёт следующего re-bundle. Я не знаю, при каких условиях случиться re-bundle, поэтому лучше на всякий случай принять меры.
Самый простой из предложенных вариантов, это отредактировать шаблон /etc/cloud/templates/sources.list.debian.tmpl:
vim /etc/cloud/templates/sources.list.debian.tmpl
В нём также комментируем ненужные строки и добавляем строку с репозиториями Kali Linux. В результате у меня получилось так:
Как отключить прокси сервер
Вопрос «Как отключить прокси-сервер?» всегда был, есть и будет актуален. В данной статье мы расскажем как отключить прокси-сервер в Windows 7, на Андроиде и в настройках браузера.
Потребность в прокси-серверах чаще вызвана необходимостью, чем обычной прихотью, но как отключить прокси после использования? Процедура не сложная. Нужно лишь несколько раз попробовать, чтобы запомнить порядок действий и делать это в будущем на автомате.
Следует учитывать, что бесплатные прокси характеризуются частыми сбоями в работе, зависаниями, обрывами соединения. Из-за этого возникает необходимость отключить сервер или произвести замену. С платными прокси, дело обстоит на порядок лучше: стабильная работа на высокой скорости, большое количество настроек на все случаи жизни.
Но оплата за сервер не значит, что вы сможете пользоваться прокси всегда. Это не покупка в чистом виде, но аренда. Осуществляется на определенный срок: месяц, два или полгода. По истечению срока, нужно отключить работу браузера через выделенный прокси, иначе internet будет не доступен (даже если он будет оплачен провайдеру по счету в полном объеме).
Как отключить прокси сервер в Windows 7?
Если у вас возник вопрос как отключить прокси сервер в операционной системе Windows 7, то спешим вас заверить, что это достаточно легко:
- Открываем меню «пуск», а затем «панель управления».
- Там ищем «свойства обозревателя».
- Попадаем в окно «Свойства: internet».
- Во вкладке «Подключения», ищем поле про коммутируемые соединения и виртуальные частные сети (VPN).
- Выбираем тот тип соединения, которым будете пользоваться постоянно.
- Переходим в раздел «настройка».
- В появившемся окне убираем галочку возле надписи «использовать прокси-сервер для данного подключения».
Как отключить прокси сервер на Андроиде?
Кроме персональных компьютеров и ноутбуков, прокси можно использовать и на смартфонах, планшетах, которые часто работают на операционной системе Андроид. Как же отключить прокси сервер на Андроиде? Есть два способа: напрямую или через стороннюю программу.
Если Вы подключались к персональному прокси серверу на андроиде через сторонний софт, то проблем с отключением не должно возникнуть вовсе — все должно отключаться в один клик, либо можно просто удалить программу. В другом случае, следуйте указанному пути:
- В системных установках телефона зайдите в раздел Wi-Fi.
- Найдите сеть, к которой подключались, включите дополнительные установки.
- В полях «имя узла прокси» и «порт», удалите вписанные значения.
- Пункт «прокси» нужно перевести из значения «вручную» на «нет».
Меняем IP в браузерах
Прокси-сервер — легкий способ скрыть свой настоящий ip адрес при использовании интернета. Один из существенных недостатов — нужно менять настройки каждого браузера, через который будете посещать веб-ресурсы, а по окончанию работы, менять обратно. Это отнимает определенное количество времени.
Если вы часто меняете браузеры или постоянно подключаетесь к выделенным прокси, есть способ экономии времени. Можно настроить операционную систему, в следствие чего, все браузеры будут по умолчанию использовать подмененный адрес сервера.
Если захотите отключить прокси сервер, для этого нужно будет только один раз изменить настройки внутри операционной системы.
Как отключить прокси в Мозиле Firefox?
Чтобы настроить прокси в Мозиле, раскрываем меню, выбираем «настройки». В подразделе «дополнительные установки», выбираем вкладку «сеть». Осталось дело за малым: активируем кнопку «настроить», а после этого выбираем пункт «без прокси».
Как отключить прокси в Хроме
Рассмотрим теперь, как отключить прокси в Хроме – наиболее популярном браузере современности. В разделе «настройки», находим пункт «показать дополнительные установки». Выбираем «система» и «настройки прокси сервера». Во всплывающем окне «Свойства: интернет», нажимаем на раздел «Подключения». В пункте «настройка сети», выключаем раздел «использовать прокси-сервер для…»
Отключение прокси в Internet Explorer
Последний браузер, в котором мы отключим прокси — Internet Explorer. Он интегрирован в Windows, его почти никто сейчас не использует, но не сказать про него, тоже будет неправильно. Итак, кликаем на шестеренку, в выпадающем меню жмем на пункт «свойства обозревателя». Ищем вкладку «подключения». В ней находим кнопку «настройка сети» и убираем галочку с надписи «использовать прокси…»
Если все выполнено верно, Вы успешно отключите прокси-сервер и начнете работать напрямую со своего настоящего ip адреса. Если рассматривать вопросы:как отключить прокси сервер в Яндекс браузере или как отключить прокси в Опере, то процедура отключения аналогична вышеописанным действиям.
Что происходит, когда вы включаете Tor
Когда вы подключаетесь через Tor, провайдер также видит зашифрованный трафик. И расшифровать, что вы делаете в интернете в данный момент, он не сможет.
В отличие от VPN, где трафик обычно направляется на один и тот же сервер в течение большого промежутка времени, Tor автоматически меняет IP-адреса. Соответственно, провайдер может определить, что вы, вероятно, пользовались Tor, по шифрованному трафику и частой смене адресов, а затем отразить это в логах. Но по закону вам за это тоже ничего не будет.
При этом вашим IP-адресом в сети Tor кто-то может воспользоваться, только если вы сконфигурировали Exit Node в настройках.
6 ответов
12
Интересно, как номер порта меняет средний поток:
Это заставляет меня думать, что где-то между клиентом и сервером существует неправильное устройство NAT, устройство с очень кратковременными записями таблицы состояний, которое меняет номер порта источника, который он применяет к установленному потоку клиента, вызывая сервер полагает, что две короткоживущие коммуникации продолжаются, а не один непрерывный.
Такие устройства обычно делают это только с UDP, поэтому я посоветовал вам подтвердить, что вы используете UDP, и вместо этого попробуйте TCP. Это вы сделали и обнаружили, что он исправляет проблему. Следующий шаг — выявить плохое устройство NAT, нанести ему ударный молот и заменить его на тот, который не делает кардинальную ошибку, предполагая, что все сообщения UDP являются эфемерными; но вы указали, что довольны переходом на TCP в качестве обходного пути, и поэтому дело завершено.
2
Это одна из самых распространенных ошибок при настройке Openvpn, и для этого есть элемент часто задаваемых вопросов. Я приведу это здесь:
Весьма вероятно, что любой из них вызывает такую же проблему и в вашем случае. Поэтому просто перейдите по списку один за другим, чтобы разрешить его.
Ссылка:
1
У меня была такая же ошибка, и ни один совет не помог, все было в порядке: IP-адреса, порты, брандмауэр, все. Прошел безумие на 2 часа.
Решение заключалось в том, чтобы изменить протокол с UDP на TCP в конфигурацию клиента (по-видимому, я отключил UDP уже давно).
Надеюсь, это поможет кому-то:)
1
Я получал тайм-ауты согласования ключей TLS, подобные этому. Но в моем случае я понял, что удаленная ссылка была локальным IP-адресом.
VPN на нашем брандмауэре pfSense ошибочно поместился в интерфейс LAN вместо интерфейса WAN, и поэтому экспортированная конфигурация была настроена на попытку подключения к IP-адресу локальной сети брандмауэра — который никогда не работал с клиентом естественно, находясь в другой локальной сети.
Я думаю, что основные выходы из этого:
-
Получение тайм-аута согласования ключей не обязательно означает, что вы даже подключены к VPN-серверу.
Итак, на этом этапе все равно стоит проверить, что вы действительно подключаетесь к нужному месту, и нет правил брандмауэра, блокирующих соединение и т. д. Особенно если ваша конфигурация была автоматически сгенерирована.
-
Убедитесь, что ваш VPN-сервер прослушивает правый интерфейс
(Конечно, это одна из нескольких неправильных конфигураций на стороне сервера, которые могут возникнуть, например, правила брандмауэра, неправильный номер порта, смешение TCP и UDP и т. д.)
Обратите внимание, что вы можете получить ошибку согласования ключа TLS без успешного подключения к серверу OpenVPN — или даже успешно подключиться к чему-либо вообще!
Я изменил конфигурацию VPN для подключения к localhost, на порт, который не прослушивал ничего:
OpenVPN 2.4.6 x86_64-w64-mingw32 построена 26 апреля 2018 г. Windows версии 6.2 (Windows 8 или выше) 64 бит версии библиотеки: OpenSSL 1.1.0h 27 марта 2018 года, LZO 2.10 TCP /UDP: сохранение недавно использованного удаленного адреса: 127.0.0.1:12345 UDP-ссылка локальная (связанная): : 0 Удаленный UDP-канал: 127.0.0.1:12345 Ошибка TLS: согласование ключа TLS не произошло в течение 60 секунд (проверьте сетевое подключение) Ошибка TLS: сбой связи TLS SIGUSR1 , перезапуск процесса ...
Ошибка может усыпить вас ложным чувством, что вы разговариваете с VPN-сервером.
Сначала вы можете получить запрос на учетные данные, но ничего за пределами вашего компьютера не попросил их.
Я столкнулся с этой ошибкой в AWS, где OpenVPN был установлен на сервере с открытым IP-адресом, но в экземпляре, который находился в частной подсети, то есть в подсети, у которой не было маршрута к интернет-шлюзу.
Как только я развернул OpenVPN на сервере в общедоступной подсети, все это прекрасно работало:)
В общедоступных /частных подсетях в AWS: https: //docs .aws.amazon.com /VPC /последний /UserGuide /VPC_Subnets.html
Использование модифицированного приложения
Второй вариант решения проблемы с разными регионами в Mi Home – удалить приложение и воспользоваться доработанной энтузиастами версией. На выбор два варианта:
- Mi Home от EDA Studio
- Mi Home от Vevs
Я пользуюсь вторым и все отлично работает. Так что скачиваем, разрешаем установку с неизвестных источников в Android и устанавливаем.
В модифицированном приложении можно выбрать любой сервер и добавить в него устройства Xiaomi для любого региона. Рекомендуется конечно выбрать Россию, вроде как быстрее должно работать, но я не заметил никакой разницы с Китаем.
При использовании модифицированного приложения можно использовать все доступные устройства в одних сценариях. У меня так в один регион заведен китайский Xiaomi Gateway 2 с датчиками, европейский робот-пылесос Vacuum Cleaner Mop 1C и китайский выключатель Aqara D1, управляющий европейской розеткой Xiaomi ZNCZ05CM. И все это к тому же прекрасно работает с Яндекс Алисой. Единственный нюанс (сам не проверял) – подключить к шлюзу можно только Zigbee устройства того же региона, для которого предназначен и шлюз.
Из других плюсов использования модифицированного приложения можно выделить перевод плагинов на русский язык и большее количество действий и условий в сценариях автоматизации.
Что предлагает DigitalOcean?
DigitalOcean — это облачный хостинг для опытных пользователей, ознакомитесь с Актуальные Контакты и Отзывы DigitalOcean.
DigitalOcean позиционирует себя как доступный виртуальный сервер и обещает высокую производительность даже за минимальную цену. По их словам, активируют веб сервер они за 55 секунд. Засекать не пришлось, но своих слов придерживаются. Дольше 2 минут ожидать не пришлось.
Цены на услуги облачного хостинга стартуют от 5 долларов. За эти деньги вы получите самый простенький набор характеристик: 512 RAM; 20 GB SSD; 1 Core; 1 TB Traffic.
Учитывая, что оборудование DigitalOcean, по словам технической поддержки, обновляет регулярно, вполне есть вероятность получить шустрый недорогой VPS сервер, который выдержит сайт с потоком до нескольких тысяч посетителей в сутки.
Самый дорогой тариф обойдется в 80 долларов и нафарширован по максимуму: 8GB RAM; 80GB SSD; 4 Cores; 5 TB Traffic.
Для нашей местности лучше выбирать VPS сервера компании, расположенные в Амстердаме или Франкфурте. При тестах c выдает средний пинг около 50 мс. Онлайн-мониторинг аптайма выдает выдает 100% а Амстердаме и 99.98% в Нью-Йорке.
Лайфхак
Если вы знаете, что такое облачный сервер и при этом держите свой довольно объемный проект у более дорогостоящих провайдеров, советую перейти на DigitalOcean. Естественно, для раскрутки стартующего приложения и тестирования, рекомендую использовать Azure. Azure доступный, недорогой и максимально настраиваемый под заранее неизвестную нагрузку. После того как вы будите знать нагрузку на сервер вашего стартапа, нужно переходить на DigitalOcean.
История возникновения сервиса DigitalOcean
DigitalOcean – это одна из самых популярных американских компаний по предоставлению услуг аренды облачных инфраструктур с основным центром, расположенным в Нью-Йорке.
Появилась на свет компания еще в далеком 2003 году, когда братья Урецкие, уже владевшие компанией ServerStack, решили не останавливаться на достигнутом и двигаться дальше. Занявшись изучением рынка облачных инфраструктур Бен и Моисей пришли к умозаключению, что все виртуальные сервера в основном ориентированы на крупные компании, а разработчики-любители или независимые маленькие компании оставлены без должного внимания. Именно это несправедливое отношение к независимым одиночным разработчикам и подвигло братьев создать дешевый облачный VPS, который сейчас именуется как DigitalOcean.
Официально компания была зарегистрирована в 2012 году. В следующем году уже были доступны первые тарифные планы на виртуальный хостинг. Всего за один календарный год компании с нуля и без особой рекламы удалось привлечь более 400 клиентов и присоединиться к стартапу TechStars, где она и получила небывалый рост, предлагая доступный облачный хостинг.
Почему при блокировках страдают другие сервисы? Могут ли они улучшить качество блокировок, чтобы не страдали другие сервисы?
Кулин. Во-первых, потому что им пофиг. Во-вторых, где-то могут , где-то нет. Обычно это взаимоисключающие вещи.
Теория блокировок многогранная. Я, например, согласен с мнением бывшего чиновника Минсвязи Вартана Хачатурова. Если уж хотелось что-то заблокировать, сделали бы блокировку на DNS и обязали бы провайдеров прямо всем только фильтрованный DNS выдавать. И волки были бы сыты, и овцы целы. А так бурный токсичный подогрев воздуха.
Здольников. Зависит от того, что именно они будут блокировать. Два года назад РКН не мог эффективно заблокировать сайт «Умного голосования», при этом не задев другие ресурсы на Google, а теперь у них есть такая возможность.
Если, как в случае с WireGuard, протокол используется только сервисами для обхода блокировок, то от его блокировки ничего больше не пострадает. Если они будут блокировать протоколы, которые маскируются под «легитимный» трафик, или, например, под мусор, как это умеет Telegram, то это неизбежно повлечет за собой проблемы с доступностью других ресурсов.
Климарев. Чем дальше, тем будет хуже. Это все равно, что бомбить город. Это называется collateral damage, сопутствующие потери, сопутствующие жертвы. Похожие протоколы, где-то рядышком находились, случайные какие-то срабатывания. Именно так работает, по каким-то признакам определяют пакет, что он должен быть заблокирован. Выясняется, что блокируется не только , но и вот эти сервисы.
Селезнев. ЕСПЧ летом 2020 года в решении по делу «Харитонов против России» указал четко и ясно, что подобные действия властей недопустимы и однозначно являются недопустимым вмешательством в свободу получения и распространения информации. Так что шансы на получение компенсаций у всех пострадавших сервисов и их клиентов весьма реальны. Проект «Сетевые свободы», кстати, готов оказать юридическую помощь. Но, судя по всему, и страдания пользователей, и потенциальный финансовый ущерб от выплат компенсаций власти оценивают как приемлемые для них неудобства ради достижения контроля над сетью.
Что происходит, если у вас включен VPN
Если вы используете VPN, то провайдер видит, что шифрованный трафик (с высоким коэффициентом энтропии) отправляется на определённый IP-адрес. Кроме того, он может узнать, что IP-адреса из этого диапазона продаются под VPN-сервисы.
Куда идёт трафик с VPN-сервиса, провайдер автоматически отследить не может. Но если сопоставить трафик абонента с трафиком любого сервера по временным меткам, можно выполнить дальнейшее отслеживание. Просто для этого нужны более сложные и дорогие технические решения. От скуки никто такое точно разрабатывать и использовать не будет.
Бывает, что внезапно VPN «отваливается» – такое может произойти в любой момент и в любой операционной системе. После того, как VPN прекратил работу, трафик автоматически начинает идти открыто, и провайдер может его анализировать.
Важно, что даже если анализ трафика показывает, что слишком большой объём пакетов постоянно идёт на IP-адрес, который потенциально может принадлежать VPN, вы ничего не нарушите. Пользоваться VPN в России не запрещено – запрещено предоставлять такие услуги для обхода сайтов из «чёрного списка» Роскомнадзора
Клонирование приложения
Первый способ – использование двух приложений. Точнее одного, но клонированного. В базовом функционале ОС Android данной возможности не предусмотрено, но некоторые производители реализовали клонирование в своих прошивках. Этим, например, может похвастаться Xiaomi, в MIUI которой присутствует функция «двойные приложения». При активации выбираем приложение для клонирования, после чего будет создано идентичное. С аналогичным функционалом и с возможностью одновременной работы и оригинала, и клона.
Если же у Вас смартфон от другого производителя, то можно воспользоваться сторонними программами для клонирования – App Cloner, Dual Space или Parallel Space.
Из существенного минуса данного решения – все устройства для европейского региона добавляются в одно приложение, а все устройства для китайского – в другое. И их не получится использовать в совместных сценариях. Т е если у Вас розетка на европейском сервере, а датчики на китайском, то в одном сценарии они не заработают. Так что данный вариант подойдет скорее для тех, у кого только одно устройство (например, робот-пылесос) из другого региона и никакие сценарии не требуются.
ТСПУ — вообще само по себе продвинутое программное обеспечение?
Климарев. Оказалось продвинутое. Мы не знаем, что это такое, никто его не видел. Это все в условиях секретности ставится, для операторов это черный ящик. Просто вот коробка, которую поставили под страхом всяких писем, всяких соглашений о секретности, и не пускают никого.
Я даже фото от человека не могу получить, мне обещают фото прислать, как выглядят все эти штуки, но не могут, потому что там телефоны отбираются при заходе в зал, где стоит это оборудование. В закрытый шкаф , к нему подводится электричество, интернет — в смысле, оптика — и отвод тепла, и стойка закрыта на ключ, алюминиевые печати ставят.
Если такие работы , находят окно , чтобы никому не мешало — или наоборот всех разгоняют. Это планируется все, в виде письма какого-то, просим обеспечить доступ наших специалистов в особых условиях. Договариваются об особых условиях, в каждом же операторе связи до сих пор существуют всякие «секретчики». Служба мобилизации, поскольку это связь, военные, гражданская оборона, всякие МЧС и так далее. У крупных операторов есть целые отделы, которые занимаются взаимодействием с этими службами, вот через эти службы это проводится, и организуется так, чтобы в условиях секретности это все ставилось.
Здольников. Получив опыт блокировок, включая провал с Telegram, власти сделали очевидный вывод: не нужно пытаться делать технические решения самостоятельно. Тогда они стали присматривать компанию, которая качественно поможет решить технические задачи по цензуре в интернете.
Выбор пал на ООО «РДП.ру» — фактически бывший отдел подмосковного оператора «Экотелеком», который делал решения сначала для собственных нужд, а затем стал продавать их другим операторам в России и СНГ. В итоге его купил Ростелеком в качестве поставщика оборудования для ТСПУ.
Коробочки ЭкоDPI, которые ставят в качестве ТСПУ, много лет до этого покупали за свой счет — и покупают до сих пор — операторы, чтобы решать свои задачи: BRAS, NAT, ну и DPI, чтобы эффективно блокировать сайты, не получая штрафы от системы «Ревизор». Это качественное железо и софт, которое, к сожалению, эффективно блокирует сайты и протоколы.
Как читают трафик с помощью DPI
Пример схемы от VAS Expert
В составе СОРМ либо отдельно могут использоваться DPI (Deep Packet Inspection). Это системы (обычно программно-аппаратные комплексы – железо со специальным ПО), которые работают на всех, кроме первого (физического, битового), уровнях сетевой модели OSI.
В простейшем случае провайдеры используют DPI для контроля доступа к ресурсам (в частности, к страницам сайтов из «черного» списка Роскомнадзора по ФЗ № 139 о внесении изменений в закон «О защите детей от информации, причиняющей вред их здоровью и развитию» или торрентам). Но, вообще говоря, решение могут применить и для чтения вашего трафика.
Противники DPI заявляют, что право на неприкосновенность переписки закреплено в конституции, к тому же технология нарушает сетевой нейтралитет. Но это не мешает задействовать технологию на практике.
Некоторые системы также используют эвристику – косвенные признаки, которые помогают опознать сервис. Это, к примеру, временные и численные характеристики трафика, а также особые последовательности байт.
С HTTPS сложнее. Однако в уровне TLS, начиная с версии 1.1, который сегодня нередко используется для шифрования в HTTPS, доменное имя сайта передаётся в открытом виде. Таким образом, провайдер сможет узнать, на какой домен вы заходили. Но что там делали, он без закрытого ключа не узнает.
Это слишком затратно. А вот мониторить чей-то трафик по запросу теоретически могут.
То, что отметила система (или товарищ майор), обычно исследуется вручную. Но чаще всего никакого СОРМ у провайдера (особенно если это мелкий провайдер) нет. Всё ищется и находится рядовыми сотрудниками в базе данных с логами.
Другие методы устранения ошибки безопасного соединения TLS
- Если вы пользуетесь Internet Explorer — откройте «Сервис». Нажмите «Свойства обозревателя», выберите «Дополнительно», затем нажмите вкладку «Безопасность». Здесь нужно найти пункты SSL и TLS. Если галочка установлена на пункте SSL, уберите её и поставьте на более новую версию протокола. Сохраните настройки и попытайтесь войти на сайт;
- В Opera — нажмите «Инструменты», далее выберите «Общие настройки». Перейдите в «Расширенные», и в разделе безопасности найдите пункт «Протоколы безопасности». Здесь нужно убрать галочки со строк с версиями TLS и оставить те, которые установлены на пунктах, вроде «256 bit…». Обязательно уберите галочку с пункта «Anonymous DH/SHA-256;
- Для Mozilla Firefox — откройте настройки, выберите пункт «Дополнительно» и «Шифрование». Как в IE, нам нужно оставить галочки на TLS и убрать со старого протокола SSL. Другие браузеры (Google Chrome, Safari и т.д.) настроек безопасного соединения не имеют. Поэтому нам приходится либо сменить браузер, либо искать причины в другом месте.
Настройка браузера Internet Explorer (SSL, TLS)
Встречается проблема со сбоем протокола TLS еще в том случае, если в системе время настроено неправильно. Чтобы это исправить:
- Выберите внизу рабочего стола Windows справа время правой кнопкой мыши;
- Нажмите пункт «Настройка даты и времени»;
- Установите правильное значение времени;
- Выберите вкладку «Время по интернету», выберите «Изменить параметры», поставьте галочку на «Синхронизировать с временем по интернету». Выберите сервер «windows.com» и сохраните настройки.
Summary
Article Name
Возможно, на сайте используются устаревшие или ненадежные параметры безопасности протокола TLS
Description
При подключении к некоторым сайтам пользователи встречают ошибку «Возможно, на сайте используются устаревшие или ненадежные параметры безопасности протокола TLS». Это особый интернет-протокол, который был разработан для более безопасного соединения между браузером и сервером. При передаче сигнала в нём данные зашифровываются, не позволяя третьей стороне получить важную информацию. Рассмотрим, что делать в этой ситуации и что эта ошибка означает.
Author
Publisher Name
Игорь
Publisher Logo