Более 800 читателей «Медузы» откликнулись на призыв задать любые вопросы о технологии VPN. Мы отобрали те из них, что касаются блокировки VPN-сервисов в России, и задали их профессионалам. На вопросы отвечали Вадим Мисбах-Соловьев, технический специалист «Роскомсвободы» и криптоэнтузиаст, Станислав Шакиров, основатель Privacy Accelerator, а также ValdikSS, основатель проектов для обхода блокировок GoodbyeDPI и «АнтиЗапрет».

Сначала кратчайшая инструкция по тому, как решать проблемы с VPN

1. Если VPN перестал работать, попробуйте поиграть с настройками: переключить протокол или включить режим обфускации.
2. Все еще не работает? Обратитесь в службу поддержки своего сервиса VPN.
3. Подождите несколько дней: возможно, перебои пропадут благодаря усилиям вашего сервиса.
4. Если ничего не помогло, попробуйте поискать другой VPN.
5. Не забудьте поставить Tor, Psiphon и Lantern — программы, специально созданные для обхода блокировок.

Они же в гугл-доке (про то, как читать заблокированные ресурсы, и про то, что делать, если VPN не работает).

Как устроены блокировки и как понять, что ваш VPN заблокирован

Насколько технически сложно заблокировать VPN? Мне казалось, это решается только файерволом, как в Китае

Коротко. Возможно — обычно достаточно заблокировать IP-адреса сервиса.

ValdikSS. Конкретный VPN-сервис заблокировать просто: достаточно заблокировать IP-адреса серверов этого сервиса, чтобы клиент не мог к ним подключиться. Если сервис не имеет широкого пула IP-адресов, не меняет (не ротирует) серверы для затруднения их выявления и блокировки, а также не применяет различные ухищрения против цензуры, то блокировка по IP — вполне надежная мера, которая значительно или полностью заблокирует возможность подключения к сервису.

Блокировки по IP-адресам реализуются на провайдерских сетевых маршрутизаторах, для этого не требуется какого-либо дополнительного оборудования, вроде файрволов или систем Deep Packet Inspection.

Вадим Мисбах-Соловьев. С точки зрения оборудования если трафик можно как-то определить, то его можно и заблокировать. В случае VPN-сервисов достаточно даже понимания, что адрес сервера, на который уходит ваш трафик, принадлежит компании, на сайте которой написано «предоставляем услуги доступа к нашему VPN». Достаточно просто предоставить ТСПУ список адресов, чтобы оборудование принимало решение о блокировке.

Как провайдер видит использование VPN? И видит ли вообще? Может ли он определять использование VPN по тому, какие данные пересылаются?

Коротко. Иногда провайдер явно видит, что его клиент использует VPN. Но данные, которые просматривает пользователь, провайдеру недоступны.

Вадим Мисбах-Соловьев. Все зависит от технологии VPN.

Некоторые протоколы притворяются HTTPS-трафиком либо используют специальные дополнительные программы-обфускаторы, которые маскируют их трафик под HTTPS. Соответственно, DPI-оборудование (и более простое фильтрационное оборудование) это видит так, будто вы обмениваетесь кучей информации с каким-то сайтом.

Но теоретическая возможность отличить такой трафик от использования настоящего сайта есть. Просто требует ощутимо больше усилий для анализа, поэтому никто этим не занимается.

Те технологии VPN, которые не притворяются HTTPS (или не используют его непосредственно), для оборудования выглядят просто как зашифрованный трафик между вами и удаленным сервером (который все еще можно проверить на принадлежность к компании, предоставляющей услуги доступа к VPN). Либо, если технология не использует шифрование, трафик будет полностью открыт для фильтрационного оборудования, и оно сможет анализировать его содержимое так же, как если бы трафик проходил через него напрямую, без VPN.

ValdikSS. Кратко: не все протоколы скрывают факт использования VPN, но шифрованное содержимое недоступно провайдерам. А значит, блокировать сайты и сервисы, открываемые через VPN, у провайдеров возможности нет.

Как понять, что мой VPN действительно заблокирован? Вдруг это просто технические проблемы VPN-сервиса?

Коротко. Это не так просто понять самому, поэтому проще обратиться в службу поддержки вашего VPN-сервиса.

ValdikSS. Это бывает нетривиальной задачей даже для специалистов, и вот почему: серверы VPN-сервисов блокируют на оборудовании ТСПУ, не добавляя их в единый реестр запрещенных сайтов — официальный сайт Роскомнадзора не покажет вам факт блокировки, даже если вы знаете IP-адрес VPN-сервера или технический домен сервиса.

Например, приложение заблокированного ProtonVPN обращается к https://api.protonvpn.ch для скачивания информации о серверах. В реестре этот адрес не числится, но и не открывается на провайдерах с системой ТСПУ.

Вариантов два: либо для проверки воспользоваться VPN с сервером в России, на котором отсутствуют блокировки сайтов, либо попробовать использовать альтернативы VPN — автономные способы обхода, такие как GoodbyeDPI, zapret и DPI Tunnel. Эти программы изменяют трафик и добавляют поддельные пакеты, чтобы обдурить систему DPI без использования туннелей.

Станислав Шакиров. Простому пользователю это понять невозможно. Любая диагностика без специализированных инструментов, которыми пользуются системные администраторы, может носить только вероятностный характер.

Даже проверка такими инструментами, в силу особенностей работы ТСПУ, не может дать точного ответа, что имеет место именно блокировка конкретного сервиса, а не проблемы у провайдера, которые он не признает, или «ковровая бомбардировка» другого ресурса, под которую случайно попал нужный вам.

Самый действенный вариант:

1. Проверить работу сервиса из нескольких стран. Для этого могут подойти или арендованные виртуальные серверы (более точный ответ — но способ требует трат и знаний в IT), или сервисы проверки доступности (менее точный ответ, но способ бесплатный и относительно простой).
2. Написать письмо в службу поддержки самого сервиса и спросить, не наблюдается ли у них проблем (и попробовать попросить помощи).

Если конкретный VPN оказался заблокирован, имеет ли смысл ждать обхода его блокировки со стороны разработчиков?

Коротко. Иногда ждать бессмысленно. Лучше всего спросить в службе поддержки VPN-сервиса, планируют ли они обходить блокировку.

ValdikSS. Все зависит от технической компетенции и желания сервиса предоставлять доступ в конкретном регионе. Роскомнадзор не особенно тщательно блокирует серверы и не спешит актуализировать информацию. Так, простая программа для перебора IP-адресов узлов в поисках рабочего позволяет подключиться к сети Tor в течение 30 секунд в 100% случаев: блокируются 60–70% промежуточных узлов, но остальные 30–40% остаются доступными; похожая ситуация с ProtonVPN — администрация изменила IP-адреса части серверов, и они снова доступны, пусть и не по всем протоколам.

Вадим Мисбах-Соловьев. Однозначного ответа нет. Некоторые сервисы заинтересованы в попытках обхода блокировок. Некоторые нет. Например, если для них затраты на обход блокировок превышают доход от сервиса.

Лучшим способом опять же будет спросить в службе техподдержки, планируют ли они что-то предпринимать в связи с блокировкой или им это неинтересно.

Почему в мобильных сетях VPN блокируется гораздо чаще и эффективнее, чем при проводном подключении?

Коротко. Потому что пока не у всех проводных операторов стоит специальное оборудование для блокировки. Мобильные сети таким оборудованием охвачены полностью.

ValdikSS. Потому что во всех мобильных сетях установлены системы ТСПУ, а у мелких проводных провайдеров они присутствуют не везде. К 2023 году ситуация может измениться — закон предписывает установку ТСПУ у всех провайдеров с 1 января.

Вадим Мисбах-Соловьев. Потому что у всех мобильных операторов трафик ходит через ТСПУ. И у них и без этого стоит очень много DPI-оборудования, одна из функций которого — блокировка.

А у проводных операторов (которых пока еще истребили не всех) бывают разные наборы оборудования, настроенные по-разному, да и сами они могут использовать разных магистральных провайдеров с разными условиями.

И если у вас интернет не от условных «Дом.ру» или «Ростелекома» (а также не от «проводных» подразделений мобильных операторов) и никто из них до сих пор не купил вашего провайдера, то есть шанс, что у него не установлено ТСПУ, а реестровые блокировки он выполняет каким-нибудь кустарным способом.

Какого типа DPI-оборудование установлено у крупных провайдеров и операторов «большой тройки»?

Коротко. Собственное оборудование для блокировки трафика и оборудование Роскомнадзора. Второе блокирует домены и серверы даже вне единого реестра запрещенных ресурсов.

ValdikSS. Типичная конфигурация крупного провайдера России по состоянию на лето 2022-го следующая: система ТСПУ Роскомнадзора плюс DPI, который использовался до внедрения ТСПУ. Используются две (иногда и более) системы одновременно.

ТСПУ задумывался в качестве гибкой системы с разнообразными функциями, но пока используется исключительно для блокировок.

Стандартное оборудование DPI блокирует только ресурсы из единого реестра запрещенных ресурсов, а ТСПУ — и из реестра, и дополнительные домены/протоколы/сервисы вне реестра. В отличие от стандартного DPI, который настраивается и управляется провайдером, ТСПУ управляется исключительно Роскомнадзором, у провайдера нет доступа к настройкам.

Станислав Шакиров. Известно, что в качестве ТСПУ у операторов стоит EcoDPI от компании RDP. Эта система — активный DPI, то есть может блокировать или подменять трафик.

А если перекроют VPN, то граждане РФ за рубежом не смогут подключиться с его помощью к российским сервисам?

Коротко. Смогут, если нужные сайты не блокируют зарубежный трафик или у VPN есть российские серверы.

Вадим Мисбах-Соловьев. Прямой связи между этими событиями нет. Все зависит от конкретных VPN-сервисов и того, как у них построены сети.

Для того чтобы через VPN-сервис можно было зайти на российские сайты, должно выполняться какое-то из этих условий:

• у сервиса разные серверы для подключения к сети и для выхода из нее в интернет, при этом адрес сервера для выхода не заблокирован на целевом сайте (в том числе по географическому признаку);
• у сервиса сложная система маршрутизации трафика в зависимости от назначения и есть серверы выхода, расположенные в России, а трафик до российских сайтов выходит через них (или есть возможность это настроить).

ValdikSS. С VPN борются только в контексте обхода блокировок, сами туннели не запрещены в России. Например, Kaspersky VPN Secure Connection сотрудничает с Роскомнадзором и не позволяет заходить на заблокированные в РФ сайты.

Кроме того, ТСПУ различает направление подключения (из РФ или в РФ), так что технически даже при автоматических блокировках возможна настройка оборудования на подключение внутрь России.

Сотрудничество с властями, силовики

Можно ли узнать, почему вновь заработал заблокированный VPN: согласился сотрудничать с властями или научился обходить блокировки?

Коротко. Нет, но у администрации VPN-сервиса можно спросить об этом напрямую.

Вадим Мисбах-Соловьев. Наверняка — нельзя. Даже в случае некой договоренности стороны могут не признаться в этом. Проверить их довольно проблематично в принципе и совсем уж невозможно для обычного пользователя.

Можно напрямую спросить об этом в службе поддержки VPN-сервиса и, опираясь на ответ, сформировать свое мнение на основе опыта и интуиции.

ValdikSS. Самый простой вариант — задать вопрос администрации сервиса. Подавляющее их большинство охотно идут на контакт и рассказывают о проделанной работе как публично в блогах, так и клиентам по запросу, ведь практически все они предоставляют сервис обхода цензуры и региональных блокировок, а не только VPN как таковой.

Какова вероятность, что хотя бы за одним крупным VPN-сервисом стоят люди в погонах?

Коротко. Это сложно оценить.

Вадим Мисбах-Соловьев. Учитывая историю компаний [Евгения и Натальи] Касперских и их сотрудничества с обладателями погон, а также истории с Tor, такая вероятность существует, но оценить ее нет никаких возможностей.

Что касается крупных VPN-сервисов, нужно смотреть, кто основатели и в каких странах зарегистрирован сервис. Также стоит почитать отзывы на Reddit. Обычно за крупными иностранными сервисами не стоят российские «ребята в погонах».

Корпоративные VPN, прокси, Lantern

Что будет с VPN, которые компании используют не для обхода блокировок, а для связывания офисов в единую сеть?

Коротко. Скорее всего, они будут работать.

ValdikSS. Мой прогноз следующий: трафик внутри страны (Россия — Россия) будет фильтроваться минимально или не будет вообще, а стандартные протоколы VPN за рубеж не будут блокироваться, по крайней мере в автоматическом режиме.

Вадим Мисбах-Соловьев. Однозначно ответить нельзя, все зависит от того, какие именно технологии используются.

У одних сервисов вероятность пострадать (в качестве «побочного урона» от борьбы с сервисами, предоставляющими доступ к своим VPN для обхода блокировок) довольно мала. Например, шанс, что пострадают сети на базе Cisco AnyConnect, достаточно низок.

У других, например на базе WireGuard или OpenVPN, шанс выше. Но все равно есть варианты «подстелить солому» и уменьшить вероятность блокировки конкретной сети. Тут уже дело за администратором, который ее обслуживает.

Также гипотетически возможно введение «белых списков» корпоративных VPN — по примеру того, как это работает в Китае.

Правда ли, что власти не блокируют VPN по-настоящему из-за того, что многие бизнесы используют эти протоколы для корпоративной связи?

Коротко. Да, корпоративные клиенты действительно, возможно, спасают Россию от массовой блокировки VPN.

ValdikSS. Полагаю, что это основной фактор.

Станислав Шакиров. Да, риски для корпоративных клиентов — одна из причин, почему уже сейчас не началась массовая блокировка VPN. Но с этим работают, это решается «белыми списками», и это дело времени. Полагаться на то, что именно из-за возможной поломки корпоративных каналов не заблокируют все остальное, точно не стоит. Когда будет на то политическая воля, не будут особо церемониться ни с кем. Все это уже обкатано в Китае.

Другой вопрос, что полностью заблокировать все VPN нельзя, всегда будут протоколы, которые работают.

Такие провайдеры, как Psiphon или Lantern, обещают, что их трафик неблокируем. Почему остальные не идут тем же путем?

Коротко. Это действительно надежные сервисы с широким набором функций для обхода блокировок, но все же заявления о «неблокируемости» — преувеличение.

ValdikSS. Я не встречал таких заявлений от авторов этих программ, но они действительно созданы с расчетом на работу в условиях блокировки. Частичную блокировку Psiphon мы видели в России в декабре 2021 года, Lantern — в мае — июне, причем попытка блокировки Lantern привела к недоступности многих адресов крупной хостинг-площадки DigitalOcean.

Могу сказать про Psiphon: программа имеет встроенные методы обфускации, использует технологию domain fronting, мимикрирования под другие протоколы, получения списка серверов через дополнительные каналы и умные методы поиска рабочего способа подключения.

Из интересных особенностей Psiphon можно отметить поддержку Refraction Networking — особого протокола туннелирования, сервер для которого устанавливается у зарубежного провайдера прямо на транзитных каналах связи. Такой метод позволяет превратить любой чужой сайт в прокси, если данные каким-либо образом проходят через провайдеров с установленной технологией, что еще сильнее усложняет жизнь цензорам.

Вадим Мисбах-Соловьев. В определенном смысле это маркетинговый трюк, основанный на недосказанных допущениях. Суть в том, что они используют элементы так называемой технологии mesh. Суть этой технологии — в том, что, условно, все участники общаются со всеми. И даже если большинство путей между ними заблокировано, но есть хоть один незаблокированный, трафик найдет его и пойдет по нему. Конкретно у этих сервисов все немного сложнее, но основа идеи такая.

Однако все зависит от того, насколько сильно тем, кто блокирует, хочется заблокировать конкретный сервис. А также от того, насколько сервис готов к активному противодействию. Теоретическая возможность заблокировать что угодно существует всегда. Вопрос — в компетенции и затраченных ресурсах.

Есть успешный опыт борьбы против цензуры с помощью mesh-сетей?

Коротко. Вроде бы нет. Для массового пользователя это сложная технология.

ValdikSS. Мне о таком неизвестно. На Кубе используются mesh-сети, но для обмена файлами и онлайн-игр.

Вадим Мисбах-Соловьев. Примеры борьбы с блокировками mesh-сетей единичные и остаются на уровне энтузиастов. Большинство обычных пользователей не осилит настоящие mesh-сети. К тому же чем больше людей будут про них знать, тем быстрее узнают и те, кто блокирует, — и начнут блокировать узлы mesh-сетей, усложняя подключение новых пользователей.

Почему все еще работают расширения для браузеров, которые перенаправляют запросы для заблокированных сайтов на прокси-серверы? Насколько они безопасны?

Коротко. Роскомнадзор просто еще не взялся за них — технические возможности блокировки у властей есть. С безопасностью могут быть проблемы.

ValdikSS. Заблокировать прокси-серверы не составит Роскомнадзору никакого труда: браузерные расширения сильно ограничены в возможностях и не могут использовать методы обфускации или нестандартные протоколы. Тем не менее в случае блокировки авторы расширений могут сменить IP-адреса или домены серверов в автоматическом режиме, без необходимости обновления расширения.

С безопасностью этих расширений бывает по-разному: какие-то достаточно примитивны и только меняют настройки сервера, другие ранее вмешивались в содержимое страниц и «отбирали» кешбэк в интернет-магазинах. Политика относительно прокси-расширений в каталогах Chrome и Firefox не позволит встроить совсем уж вредоносный код, но бывают нюансы.

Вадим Мисбах-Соловьев. Работают они в большей степени потому, что:

• за прокси-серверами идет не такая сильная охота, как за VPN-сервисами;
• при определенной настройке отличить (на блокирующем оборудовании) зашифрованный прокси-трафик от HTTPS очень сложно; скорее, даже невозможно;
• ну и «жонглировать» ими в выдаче клиентам, то есть менять один на другой в случае блокировки, все же легче, чем в случае VPN-сервисов.

А вот с безопасностью «в среднем по больнице» все плохо. Очень много таких расширений гоняют незашифрованный прокси-трафик, и блокирующее оборудование в подобных случаях может его анализировать, вмешиваться в него и подменять (осуществляя блокировки).

В случаях, когда такие расширения используют только зашифрованное соединение с прокси-сервером (как, например, Censor Tracker от «Роскомсвободы»), для оборудования это выглядит практически как HTTPS-трафик. Соответственно, нет возможности понять, что это прокси, и заблокировать. Тут возможны только целевые атаки со стороны блокировщиков на конкретные сервисы (и попытка «душить» их серверы).

Вадим Мисбах-Соловьев. Важное соображение про безопасность

Даже если с прокси-сервером или с сервером VPN-сервиса идет зашифрованный обмен трафиком, нужно помнить, что владельцы этих серверов могут анализировать ваш трафик. И точно так же имеют теоретическую возможность модификации незашифрованного трафика, идущего внутри зашифрованного туннеля (защищенного от вторжения со стороны провайдера и блокирующего оборудования).

А значит, подобно тому, как это делает «Ростелеком» и вроде бы все или как минимум большинство мобильных операторов, владелец сервера может подменять и даже вставлять свою рекламу в HTTP-трафик (если вы заходите на сайт, у которого нет HTTPS). А еще у него есть теоретическая возможность красть пароли. В случае некоторых VPN такая возможность может быть не только у владельцев, но и у других пользователей, которые подключены к тому же серверу.

Так что, если вам важна безопасность и приватность, нужно следить за наличием шифрования на каждом этапе:

• между вами и сервером, через который подключаетесь к VPN;
• между вами и целевым сервером, к которому подключаетесь, пропуская трафик через VPN;
• в случае если сеть (VPN) построена так, что «входной» и «выходной» узлы разные — чтобы обмен трафиком между ними тоже шел по зашифрованному каналу. Вы не можете это контролировать напрямую или влиять на это, но это тоже важно, если вы криптопараноик.

Какие протоколы VPN эффективнее

Может ли РКН блокировать такие протоколы, как WireGuard, OpenWeb, Stealth VPN, SoftEther, VLess и Xray? А Stunnel + OpenVPN или Shadowsocks + OpenVPN?

Коротко. Может, но точно не все.

ValdikSS. WireGuard — однозначно да, с остальными сложнее.

Система ТСПУ обладает гибким движком блокировок с динамическими правилами, которые позволяют постоянно или временно блокировать доступ к определенным адресам или портам после срабатывания определенного события. Это может быть использовано для определения OpenVPN внутри другого туннеля, например Stunnel, с довольно высокой степенью достоверности.

Относительно Shadowsocks, Vless и Xray — скорее нет, чем да. Эти протоколы не позволяют идентифицировать туннель, заблокировать их можно только ценой блокировки всех шифрованных неидентифицируемых протоколов.

Протоколы Iodine (технология VPN over ICMP) работают даже в Китае. Какие VPN-сервисы используют этот протокол и другие аналогичные варианты (например, DNS)?

Коротко. VPN-сервисы, использующие такие протоколы, встречаются редко, они сложны в настройке и работают медленно.

ValdikSS. Коммерческих решений подобного рода мало, потому что VPN over ICMP непрактичен в настройке и не работает через прокси-серверы, а VPN over DNS обычно работает медленно (есть только одна быстрая реализация, которая появилась в апреле 2020-го, — dnstt, но ее скорость на порядок ниже классических туннелей).

Преимущество DNS-туннеля заключается в возможности переиспользования публичной инфраструктуры DNS как промежуточного узла — резолверы предоставляет Google, «Яндекс», Cloudflare и множество других IT-компаний, интернет-провайдеров и сетевых энтузиастов. Если заблокировали один, можно попробовать использовать другой.

Этим же преимуществом обладает так называемое проксирование через CDN, которое позволяет «привязать» множество IP-адресов и доменов к одному VPN-серверу: это и дешево (домены стоят 1–3 доллара в год), и эффективно маскирует трафик, и затрудняет работу цензора.

Какие ограничения еще возможны в России, китайский опыт и суверенный Рунет

Заставят ли интернет-пользователей в России расшифровывать свой трафик для властей — устанавливать сертификаты для MitM?

Коротко. Вряд ли — технически это не так просто. Но технология может быть внедрена в браузерах и других программах, подконтрольных госорганам.

ValdikSS. Сомнительно: как минимум в современных версиях Android (начиная с седьмой) установка сторонних сертификатов затруднена, программы должны отдельно разрешить их использование. Основной набор приложений откажется работать, даже если сертификат будет импортирован в хранилище. Кроме того, мощности, требуемые для перешифровки данных, на порядки выше мощностей, необходимых для анализа в стиле систем DPI.

Станислав Шакиров. Можно рассмотреть угрозу внедрения корневых сертификатов государственных регуляторов в хранилище сертификатов конечных пользователей для осуществления mitm-атаки на пользовательский веб-трафик. Это может быть реализовано путем популяризации браузеров, подконтрольных государственным органам, или приложений и утилит, которые сами устанавливают корневые сертификаты.

В любом случае можно предположить, что такой процесс не может быть осуществлен в одночасье. Более того, конъюнктура Рунета препятствует таким действиям — введение обязательного использования государственных корневых сертификатов при посещении сайтов будет равносильна полному отключению страны от внешней части интернета.

Смогут ли в России блокировать P2P-мессенджеры?

Коротко. Только если власти этого сильно захотят.

Вадим Мисбах-Соловьев. Если вкратце, то это вопрос затраченных сил и компетенций. На данный момент власти не прикладывают достаточное количество сил (или им не хватает компетенций), чтобы заблокировать P2P-мессенджеры. Но если очень захотят — смогут сделать и это.

В этом плане федеративные мессенджер-сети (Jabber, Matrix, с натяжкой Fediverse) будут понадежнее. Всю сеть не заблокируешь, не вводя «белые списки» сервисов.

Чем отличаются блокировки в России и Китае? Сколько нужно России времени, чтобы создать аналог китайского файрвола? Есть ли у России технологии и оборудование для его создания собственными силами?

Коротко. В Китае используются более продвинутые технологии блокировки, но со временем в России тоже могут на них перейти.

Станислав Шакиров. До сих пор в России блокируют только по IP-адресам и по доменам. В Китае искусственный интеллект обучен находить протоколы внутри трафика. Сколько потребуется времени, чтобы в России появился аналог китайского файрвола, неизвестно. С технологической точки зрения все нужное оборудование и софт у нас уже есть. Но есть трудности.

Компетентные органы пока не очень хорошо могут определять, что нужно блокировать. Роскомнадзор на отдельных ТСПУ тестирует различные более интеллектуальные способы блокировок, чем просто по IP и домену: иногда — успешно, иногда — внезапно ложится смежная инфраструктура, например «Сбер.Онлайн» или вроде того. Пока не получается блокировать VPN без сопутствующих потерь. И вопрос в том, как скоро государство заставит важные «государствообразующие» сервисы использовать те протоколы, подсети и IP-адреса, которые разрешены («белый список») и не будут блокироваться. После этого блокировки по протоколам или, как еще это называют, по сигнатурам (то, что умеет DPI) станут массовым явлением.

Поэтому с точки зрения «железа» китайский файрвол есть у нас уже сейчас, а с точки зрения алгоритмов — нужно дорабатывать. Для этого уже не нужны «западные спецы», опыта китайских специалистов и сервисов достаточно, чтобы сделать, «как у них», выстроить цензуру по китайскому сценарию. С другой стороны, она тоже не является совершенной и безупречно эффективной: миллионы китайцев ежедневно пользуются VPN, и все у них хорошо.

ValdikSS. В Китае применяются более точные методы обнаружения туннелей. Российские системы не столь продвинуты, но, судя по темпам развития и ТСПУ, и коммерческих систем, это вопрос времени.

Софт для DPI делается в России, железо все достаточно стандартное и доступное. Из сравнительно немассовых вещей, которые сложно достать на рынке, разве что оптические байпассеры Silicom (модель IS401U-48 как минимум).

Возможно ли полное отключение России по собственной инициативе от всемирной сети и создание «суверенного интернета», из которого невозможно будет выйти даже при помощи VPN? В корпоративной сети крупной компании я такое видел

Коротко. Могут попробовать, но лазейки наверняка останутся.

ValdikSS. Моя оценка такова: если доступ вовне когда-то отключат, то только на обычном интернете для частных лиц, с сохранением связи внутри страны. На серверах в дата-центрах останется обычный доступ в интернет — VPN-подключение к серверу внутри страны обеспечит доступ в мировую сеть. Такой сценарий уже был в Иране.

Также велика вероятность, что отключение будет не полным — останутся «дырки» в виде незаблокированных протоколов или определенных портов, которые можно будет использовать для создания туннеля. Такое было в Казахстане.

Надеюсь, такого никогда не случится.

Станислав Шакиров. Да, могут все закрыть наглухо. Но в масштабах страны должен отсутствовать риск, что «левые доступы» будут неправильно влиять на инфраструктуру.

Сейчас ведется работа по перенастройке систем, чтобы в ситуациях, когда отключаются какие-то VPN или протоколы на выход из страны, не пострадала важная для государства инфраструктура. Поэтому одна из масштабных целей регулирования — сделать так, чтобы и VPN не работал, и все остальное работало.

Нигде ведь (кроме КНДР) не было такого, чтобы внешний интернет отключали полностью и перманентно? Могут ли издержки перманентной изоляции Рунета показаться властям приемлемыми по сравнению с сохранением доступности хотя быть отдельных VPN-сервисов?

Коротко. Сложно сказать наверняка, но полная изоляция — это точно чрезвычайная мера.

ValdikSS. Мне кажется, глобальная и постоянная блокировка «внешки» — крайне маловероятный сценарий. Могу представить применение замедления доступа к определенным ресурсам до такой скорости, которая не позволит ими пользоваться. При блокировке велика вероятность, что пользователь будет пытаться ее обойти, а при замедлении, во-первых, не очевидно, чем вызвана проблема (может, что-то произошло у сервиса или провайдера?), а во-вторых, это психологически более раздражающая мера, которая может вынудить пользователя самостоятельно перейти на альтернативный сервис. Но опять же применение подобных мер — экстремальный сценарий, который, надеюсь, маловероятен. С другой стороны, стране мало что осталось терять.

Депутат [Госдумы Александр] Хинштейн говорил о замедлении YouTube в апреле, а 22–23 мая у клиентов провайдеров в ЛНР и ДНР замедлился YouTube до 128 кбит/с, что не позволяло смотреть видео без прерываний даже в качестве 144p. Инцидент остался обделен вниманием со стороны СМИ.

Станислав Шакиров. Все верно: полная изоляция российского сегмента интернета — это полный экономический коллапс страны. Тут вопрос политической воли, того, когда власти будут на это готовы. Хотелось бы, чтобы никогда. Но некоторые сценарии говорят, что полная изоляция на время не исключена. К тому же уже ведутся работы, чтобы минимизировать потери: например, в России сделан аналог SWIFT, к которому подключены банки стран ЕАЭС.

Что делать, если введут «белые списки»? Как подготовиться к сценарию тотального закрытия внешнего интернета?

Коротко. Заранее установите и настройте необходимые программы (например, Tor и Psiphon), в случае необходимости — арендуйте собственный сервер в России.

ValdikSS. Я бы порекомендовал арендовать серверы в России — магистральные каналы будут фильтровать в последнюю очередь. Не лишним будет настроить DNS-туннели за рубеж: всемирная связность DNS-инфраструктуры очень важна даже для сайтов в зоне .ru и .рф, поэтому ее будут поддерживать в рабочем состоянии с высокой вероятностью.

Станислав Шакиров. Обычно, если вводятся «белые списки», то обход блокировок производится через них, то есть трафик маркируется, как будто он идет на один из разрешенных сайтов из списка и по протоколам, по которым невозможно узнать, что там на самом деле происходит. Там используется даже не выход в mesh-сети, а протоколы типа Cloak.

Можно заранее установить программы для обхода блокировок, которые будут работать в случае полного локдауна: Tor, Lantern, Psiphon, Amnezia и некоторые другие.

Насколько реален сценарий входа в интернет только по паспорту или токену с электронной цифровой подписью в этом десятилетии?

Коротко. В России и так уже давно идентифицируют пользователей, но о дополнительном контроле речь пока не идет.

ValdikSS. Интернет, по сути, и сейчас работает по паспорту: проводные подключения и сим-карты оформляются на конкретного человека, публичный Wi-Fi требует идентификации по номеру телефона.

Если речь об идентификации личности конкретного пользователя на домашних подключениях, то об этом ничего не слышно.

Станислав Шакиров. Сложно сказать, будет ли это действительно осуществлено и в каком виде. Это вопрос политической воли.

Де-факто вход в интернет по документу, идентифицирующему личность, уже практикуется. Домашний интернет невозможно подключить без паспорта, пользователь заключает с провайдером именной договор аренды. В публичных местах невозможно подключиться к Wi-Fi без введения номера телефона, который привязан к вашему контракту с оператором связи.

Выход в интернет по токену ЭЦП — история маловероятная.