РосКомНадзорУже несколько лет функционирует реестр запрещённых сайтов Роскомнадзора (РКН). Смысл этого реестра не в наказании владельцев сайтов за плохое поведение, а в ограничении доступа к запрещенной информации. Согласно федеральному закона «Об информации, информационных технологиях и защите информации» и Постановлениями правитьельства, Приказами Роскомнадзора и т.п. (т.е. в идеале) перед попаданием в реестр запрещенных сайтов владельцам сайтов даётся возможность избежать этого. РКН уведомляет оператора связи, а тот в свою очередь обязан уведомить владельца сайта о нарушении, чтобы запрещенная информация была удалена. Но это в идеале, реально далеко не все операторы связи будут уведомлять своих клиентов, им проще проигнорировать сообщение. Поэтому не надо удивляться, если ваш сайт или какая-нибудь его страница вдруг перестанут загружаться. Так же не надо сильно удивляться, если при блокировке страницы в реестре будет заблокирован весь IP адрес, на котором расположен сайт (а возможно и не один) со всеми его страницами и сервисами. Это связано с «особенностями реализацией системы фильтрации трафика» у оператора связи. Давайте разбираться.

Основным Законом, регламентирующим ведение реестра запрещенной информации, является федеральный закон «Об информации, информационных технологиях и защите информации». В нём ограничения чётко разделены на виды. Это следует даже из название статьи этого федерального закона — Статья 15.1 «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено». Согласно пункта 2 этой статьи в реестр включаются «доменные имена и (или) указатели страниц сайтов» и «сетевые адреса»:

2. В реестр включаются:
1) доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации запрещено;
2) сетевые адреса, позволяющие идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено

В Статье 2 «Основные понятия, используемые в настоящем Федеральном законе» этого закона даётся расшифровка самих понятий «страница сайта», «доменное имя» и «сетевой адрес»:

14) страница сайта в сети «Интернет» (далее также — интернет-страница) — часть сайта в сети «Интернет», доступ к которой осуществляется по указателю, состоящему из доменного имени и символов, определенных владельцем сайта в сети «Интернет»;
15) доменное имя — обозначение символами, предназначенное для адресации сайтов в сети «Интернет» в целях обеспечения доступа к информации, размещенной в сети «Интернет»;
16) сетевой адрес — идентификатор в сети передачи данных, определяющий при оказании телематических услуг связи абонентский терминал или иные средства связи, входящие в информационную систему;

Таком образом законодательством чётко разделяется «доменные имена», «страница сайта» и «сетевые адреса». И это сделано не случайно. При занесении в реестр чётко указывается вид ограничения.

Как операторы связи технически реализовывают ограничение

РКН в своих комментариям к законам указывает, что:

Законодателем не определены порядок и методы ограничения доступа к информации распространение которой запрещено на территории Российской Федерации, поэтому для предотвращения наложения взыскания, оператор связи имеет право воспользоваться любым имеющимся способом чтобы ограничить доступ к соответствующей информации доступ к которой запрещен на территории Российской Федерации.

Таким образом РКН пытается снять с себя ответственность за контролем соблюдения реализации законов о блокировке ресурсов и спихнуть всё на плечи операторов связи. Многие операторы связи со своей стороны по своему толкуют законодательство о блокировке и искажают суть ограничений, вводимых законом ограничений.

Как же ограничивают интернет операторы связи?

Ограничение к «сетевому адресу» делается уровне IP адресов, реализовать это можно маршрутизацией или блокировкой на сетевом IP уровне. Это достаточно простой, с точки зрения реализации, вариант блокировки — жёстко заблокировать IP-адрес не составляет большого труда.

Совсем другое дело ограничение к «странице сайта» и к «доменному имени». Эти виды ограничений реализовать с использованием сетевого IP уровня невозможно, поскольку это приведёт к недопустимой блокировке всего, что расположено на IP адресе, а значит изменится и вид ограничения. Для этих видов ограничений необходимо анализировать соответствующие системные заголовки протокольного уровня для определения запрашиваемого доменного имени или страницы сайта. Любые системы требующие анализа — дорогие решения, поэтому некоторые горе-операторы связи решили сэкономить и используют блокировку IP даже при ограничении доступа к «доменному имени» или к «странице сайта». Вот так грубо и неправильно, зато дёшево и сердито. У владельцев других сайтов и сервисов на этом IP адресе большие проблемы? Да, кого это волнует?!

Но владелец сайта может изменить его IP адрес и тогда «старания» оператора связи пропадут даром. Поэтому особенно «умные» из операторов связи, переодически определяют из внешних DNS текущие значения IP-адресов, привязанных к заблокированному домены/сайту, и загружают их в свою систему ограничений. Главная проблема, что фактически эти операторы связи открывают брешь в безопасности своих клиентов (а часто и в собственной безопасности). Кто может запретить владельцу заблокированного РКН сайта привязать к нему любой IP-адрес или даже группу IP-адресов?! Да, никто! Таким образом владельцы запрещённых сайтой фактически могут манипулировать блокировками у оператора связи и наполнять их произвольными IP адресами. Если уж совсем простым языком — в такой ситуации оператор связи заблокирует в своей сети IP-адреса, которые укажет владелец заблокированного домена. Щедрый «подарок». Получается — как повезло владельцу заблокированного домена и как не повезло клиентам такого горе-оператора связи.

Напишем крупными буквами главное правило для операторов связи:

Категорически и ни при каких обстоятельствах, нельзя загружать списки заблокированных IP-адресов из DNS для заблокированных в РКН доменов/сайтов

Операторы связи не выполняющие это правило подставляют свои клиентов и себя.

Пользователь прочитает это и подумает: неужели такое возможно? Неужели в РФ есть такие недалёкие в вопросах безопасности операторы связи? Как это не странно, но есть. И причём достаточно крупные и известные.

Знакомьтесь — Билайн, он же Вымпелком, он же Совинтел и ещё много других, поглощённых этим брендом, операторов связи

БилайнВ конце августа Билайн начал активно блокировать сайты по спискам реестра РКН. Причём, начали блокировать любые виды ограничений по IP-адресам, даже когда блокируется только одна страница на сайте.

Ответы поддержки Билайна, что ничего с этим поделать нельзя:

из-за особенностей работы блокировки и того что ресурс находится в сети «Билайн» может возникать петля маршрутизации. К сожалению, для данного случая пока нет технической возможности организовать ограничение по другому

с недоступностью IP вызвана реализацией системы фильтрации трафика на нашей сети. С этим, к сожалению, ничего сделать нельзя.

Как единственный выход инженеры Билайна предлагают переносить сайт с заблокированной страницей на другой IP. Самое интересное, что, как оказалось, Билайн один из тех «шибко умных» операторов связи, решивших сэкономить, который периодически перегружает заблокированные IP адреса заблокированных сайтов и доменов, получая их текущие значения из DNS. Тем самым открывая безграничные возможности для блокировки сетей как клиентов Билайна, так и самого Билайна. В общем, тяжёлый случай.

И, к сожалению, нет уверенности, что так «решает проблемы» с блокировкой только Билайн.