Наткнулся на такую статью в фейсбуке от человека, мнение которого, как мне кажется, можно считать весьма убедительным. Хотелось бы узнать мнение сообщества о том, насколько это технически реализуемо и что можно с этим делать.
Статья в целом подтверждает мои наблюдения за развитием ситуации, новости и публичные документы с 2019 года, высказывания ответственных лиц, посты на форуме nag.ru. Государственные публичные DNS-резолверы Национальной системы доменных имён (НСДИ) функционируют, провайдеры получали инструкции по их настройке. Провадеров обязывают предоставлять информацию о связности, маршрутизируемых сетях, статистике по подключениям netflow в реальном времени. Системы ТСПУ, которые прежде всего призваны «управлять маршрутизацией», активно устанавливаются по всей стране.
Ничего не слышал насчёт РАРН, но раз о нём рассказывает Алексей Шкиттин, входящий в своё время в совет РосНИИРОС (RIPN) — института, который занимался координацией и распределением IP-адресов в России, нет основания ему не доверять.
Китайская система контроля трафика — это программно-аппаратное решение, которое строилось 30 лет, и повторить такое за пару лет нереально ни при каких затратах.
С сожалением отмечу приуменьшение масштаба проблемы. Оборудование ТСПУ многофункционально и динамично развивается: за последний год мы видели блокировки разных TCP/UDP-протоколов, фильтры пакетов внутри установленной сессии (и её отслеживание), замедление сервисов. Насколько могу судить, пока что все фильтры создаются в ручном режиме человеком, в отличие от китайской системы, где действуют алгоритмы статистического анализа, автоматическое выявление туннелей, и прочее. Такими темпами установки ТСПУ и внедрением новых функций это — несколько ступенек, а не целая лестница.
— Насколько сложно будет обходить блокировки в условиях «суверенного рунета»?
— Если какое-то время они будут держать связь с внешним миром, то будут и возможности обхода блокировок. В таком случае получат распространение сети с ячеистой топологией, где каждый пользователь станет узлом сети, пропуская трафик соседа через себя.
Боюсь, что нас ждёт разделение на провайдеров с ТСПУ и без, и последних становится всё меньше. Радует одно — пока что эти системы почти не устанавливают на магистральных и серверных каналах, а в серверном сегменте нередко полное отсутствие блокировок, однако к 1 января 2023 года они должны быть установлены у всех, если я правильно интерпретирую закон: Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 26.01.2022 № 44 ∙ Официальное опубликование правовых актов
Очень вероятно, что в течении марта Рунет станет полностью закрытым изнутри
Остаётся надеяться, что этот прогноз неверен, но, увы, мною ожидаем.
Рекомендую посмотреть выступление Александра Исавнина на эту тему: Daily Archives – RIPE 83
Хочется задать очевидный вопрос: что делать? Бежать выкачивать информацию, пока всё работает?
Как это всё будет работать, хотя бы примерно? Только контактик и госуслуги?
Как же важные части софта, такие как драйвера и обновления ОС?
Будет ли доступ к торрентам?
Это окукукливание навсегда?
И что мы в целом можем сделать сейчас?
Зачем тогда нужны будут все эти суды и эксперты, блочащие аниме? Для них же работы не будет
Как - хорошо описано в статье.
Но я не думаю, что это реально включат на полную катушку без крайней на то необходимости.
Сложно даже представить сколько всего сломается, если это случится. Это будет сродни атомной бомбардировке.
Логичнее предположить, что они скорее будут развивать функционал ТСПУ для все более продвинутой фильтрации.
Может быть, когда нибудь, когда страна встанет с колен, можно будет без существенного ущерба провернуть такой финт, но если и когда это случится, то будет ли в нем резон ?
Кроме того, если они решатся на выход из всемирной согласованной аллокации IP адресов, то дальше суверенное и внешнее пространство адресации десинхронизируется, и чем дальше, тем сложнее будет его соединить обратно.
Это примерно как форк проекта, годы работы над разными его версиями, и потом вдруг merge
Все это печально. Опасения не беспочвенны. Вот еще одна статья: Власти изолируют сети - Коммерсантъ
… всем госсайтам и порталам необходимо до 11 марта перейти на использование DNS-серверов (domain name system — система доменных имен, обеспечивает связь адреса сайта с его IP), находящихся в России, удалить из шаблонов страниц весь код JavaScript, загружаемый с иностранных ресурсов (баннеры, счетчики и так далее), в случае использования иностранного хостинга перейти на российский, переместиться в доменную дозу .ru
Допустим, большинство вебмастеров разместит сайты на российских хостингах, скрипты и графику на российских CDN. Но!
- Как быть с корневыми серверами DNS? Ведь они расположены за рубежом?
- Как быть с удостоверяющими центрами? Даже сайт налоговой и Госуслуг сидят на зарубежных сертификатах. А сертификаты российских удостоверяющих центров браузеры не поддерживают. Или поддерживают?
2_5269401487477316428.pdf (584.7 KB)
2_5269401487477316427.pdf (580.3 KB)
Вот оригиналы телеграмм, взято с канала ЗаТелеком.
Первый документ не похож на «изоляцию сети», а скорее предосторожность от лёгкого взлома/дефейса веб-сайтов через изменение DNS в панелях управления доменами и самими DNS-записями, а также подмену внешних ресурсов (что уже случалось).
Второй документ вызывает небольшие опасения, но может быть не больше, чем подключение к защите от DDoS-атак.
Корневые серверы DNS расположены по всему миру, в т.ч. несколько находятся в России. Каталог российских зон (но только их) должен зеркалироваться Национальной Системой Доменных Имён. Вероятнее всего, провайдеры переключат свои DNS-резолверы на использование НСДИ, либо же попросят пользователей указать их вручную.
Сертификаты, если их не отзовут, не перестанут работать сами по себе. Удостоверяющих центов много, в разных юрисдикциях, за это я бы особо не беспокоился.
Я знаю, многие здесь знакомы с каналом ЗаТелеком. Вот несколько последних записей оттуда: Telegram: Contact @zatelecom и Telegram: Contact @zatelecom
Это уже совсем серьёзный повод забеспокоиться?
на канале ЗаТелеком появилась новость о каком-то сертификате для товарища майора.
со временем может получиться так, что без этого сертификата не будут работать сайты?
это такая же опасная вещь как и чебурнетизация интернета?
@kstrmv этот сертификат является корневым сертификатом. С его помощью можно подписывать сертификаты для конкретных сайтов. Т.е. если у пользователя он установлен, то владелец этого сертификата сможет сгенерировать сертификат для абсолютно любого сайта. Проблема появляется тогда, когда владелец этого сертификата ещё и имеет возможность вмешиваться в ваш трафик. В таком случае, если между браузером и сайтом стоит человек, у которого есть этот сертификат, он может с лёгкостью читать абсолютно ВСЕ передаваемые данные, не смотря на https. Так же появляется возможность создавать поддельные сайты таким же образом. По факту это и есть чебурнетизация, т.к. по-сути https скатывается до http и о безопасности здесь говорить нельзя. Я не знаю, что будет дальше, но, как мы помним, в том же Казахстане пытались внедрить “сертификат безопасности”.
А теперь о приятном. Сертификат можно будет установить на windows и linux, НО на android в систему его прописать не получится, начиная с android 11. Про ios, я полагаю, такая же ситуация. Более того, браузеры на ПК вроде chromium или firefox быстро забанят такой сертификат. Так что придется пользоваться яндекс браузером или какие там есть еще российские сборки.
Для тех, кто интересуется, что это за сертификаты - прикрепил цепочку от online-alpha.vtb.ru, этот поддомен сейчас работает только с РКН-friendly корневым сертификатом.
online-alpha.vtb.ru.cer.txt (4.8 KB)
russian-trusted-root-ca.cer.txt (5.2 KB)
russian-trusted-sub-ca.cer.txt (5.8 KB)
Вы приложили текстовое представление цепочки. Прикладываю саму цепочку.
online-alpha.vtb.ru_cert.zip (5.3 KB)
Я думаю, все может пойти по казахстанскому сценарию. Т.к. это явно была репетиция (в том числе уличные провокации).
Я недавно посмотрел выступление Александра Исавнина. Но я не увидел прямых сигналов того, что Россию будут отключать от интернета и делать интранет. Вопрос следующий. Есть ли какие либо другие источники/статьи/исследование этого “суверенного интернета”? Почему о создании интранета по Северо-Корейской модели никто другой кроме Алексея Шкиттина никто не говорит