СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Новости
Артем
3 часа назад
#ИБ

150 рублей за гигабайт зарубежного трафика теряют смысл, VPN уже имеют готовые схемы обхода

150 рублей за гигабайт зарубежного трафика теряют смысл, VPN уже имеют готовые схемы обхода

изображение: grok

Идея ввести плату за зарубежный трафик свыше 15 ГБ в месяц рискует оказаться технически слабой мерой. Программный инженер и эксперт в области ИБ Пётр Осетров отметил, что крупные VPN-сервисы уже больше 1 года умеют маскировать зарубежный маршрут под российский трафик через промежуточный сервер внутри страны. По его оценке, пользователям и сервисам не придётся ничего менять, поскольку нужная схема обхода давно встроена в инфраструктуру.

Обсуждение началось после данных «Ведомостей» о просьбе Минцифры к мобильным операторам ввести плату за зарубежный трафик уже с 1 мая. По плану ведомства, после 15 ГБ в месяц каждый дополнительный гигабайт зарубежного трафика должен стоить 150 рублей. Операторы попросили отсрочку, а теперь эксперты спорят о реальном эффекте подобной меры.

Пётр Осетров объяснил «Газете.Ru» работу современных VPN-сервисов с направлением соединения пользователя через несколько узлов. Принцип маскировки выглядит так:

  • соединение идёт сначала на промежуточный узел в России;
  • мобильный оператор видит локальный поток к российскому серверу;
  • дальнейший путь уходит из зоны видимости мобильной сети;
  • зарубежная часть начинается уже за российским узлом;
  • маршрутизация обслуживается сервером в российском дата-центре.

Интересно, что VPN-сервисы научились прятать зарубежный трафик за российскими серверами ещё до того, как государство задумалось о плате за внешний интернет.

Платная граница между российским и зарубежным трафиком при подобной архитектуре теряет смысл. При подключении пользователя к VPN через российский промежуточный сервер оператор технически фиксирует местный маршрут. Зарубежная часть возникает дальше, уже за пределами его прямой видимости.

Пётр Осетров отметил появление такой схемы у крупных VPN-сервисов задолго до обсуждения платного зарубежного интернета. По его словам, российские DPI-системы давно затрудняют прямой доступ ко многим зарубежным провайдерам и веб-ресурсам в мобильных и фиксированных сетях. Среди специалистов подобный способ ограничения известен как метод «TCP 16–20».

Для обхода ограничений VPN-сервисы и начали маскировать трафик через промежуточные узлы. Возможная платная модель зарубежного трафика сталкивается не с новой реакцией рынка, а с уже готовой инфраструктурой обхода. Пользователям не нужно искать инструкцию или менять настройки.

По оценке Петра Осетрова, ни VPN-сервисы, ни их клиенты почти не почувствуют введения платы за зарубежный трафик. Эксперт считает меру потенциально мертворождённой с точки зрения заявленной цели. Вопрос сводится к смыслу запуска ограничения, обходимого технически ещё до его появления.

Ранее сообщалось о планах ГРЧЦ при Роскомнадзоре довести среднюю эффективность ограничения доступа к VPN за счёт сигнатур до 92% к 2030 году. Параметры будущей системы АСБИ выглядят впечатляюще:

  • ежегодная обработка 98% трафика Рунета;
  • скорость обработки до 831 100 Гбит/с к концу 2030 года;
  • средняя эффективность ограничения VPN до 92% по сигнатурам;
  • покрытие почти всего объёма российского интернет-трафика;
  • работа на базе автоматизированной системы безопасности Рунета.

Государство делает ставку не только на тарифные меры, но и на техническое распознавание обходных сервисов. Сигнатурный подход должен помогать выявлять VPN-трафик по характерным признакам. Чем активнее системы фильтрации ищут подобные признаки, тем активнее сервисы маскируются под обычные соединения и распределяют инфраструктуру.

Также мы писали о том, что в российских школах подросткам начали рассказывать о рисках использования VPN и рекомендовать удалять подобные приложения с телефонов. Занятия проходили в разных регионах, среди них Ростовская область, Иркутск и Санкт-Петербург.

Наталья Касперская ранее заявляла о доступности разрешённого VPN в России лишь ограниченному кругу компаний. По её данным, Роскомнадзор предоставил доступ к зарубежным ресурсам через разрешённые каналы для более чем 57 000 адресов и подсетей, связанных примерно с 1730 организациями.

Уточняется, что разрешённый корпоративный VPN в России доступен лишь 1730 компаниям, а в стране зарегистрированы миллионы юридических лиц.

В итоге формируется странная конструкция с несколькими слоями ограничений и исключений:

  • массовые VPN стараются ограничивать через DPI-фильтрацию;
  • корпоративный доступ нужен бизнесу для рабочих процессов;
  • разрешённые каналы доступны лишь тысячам компаний;
  • плата за трафик не задевает обходные схемы с местными узлами;
  • операторам сложно отличать обычный поток от обходного.

Самый слабый участок идеи платного зарубежного интернета связан с технической видимостью маршрута. При невидимости конечной точки оператор не оценивает поток как зарубежный на своей стороне. Более агрессивные методы анализа повышают риск ложных срабатываний на легальных рабочих сервисах и корпоративных соединениях.

Эксперты редакции CISOCLUB отмечают, что спор вокруг платного зарубежного трафика наглядно показывает разрыв между тарифными решениями и реальной сетевой архитектурой. По мнению редакции, VPN-сервисы давно адаптировались к фильтрации и научились прятать маршруты за российскими узлами, поэтому новая плата ударит не по подготовленным обходным сервисам, а по обычным пользователям и компаниям с простой инфраструктурой. ИБ-специалисты заявили, что для управления трансграничным трафиком без массовых сбоев государству придётся точнее отделять корпоративные каналы, обычный шифрованный обмен и коммерческие VPN, иначе рынок получит больше обходов, чем порядка.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: