[ad_1]
В распоряжении D-Russia.ru находятся материалы сентябрьского совместного заседания научно-технических советов ФГУП «ГРЧЦ» на тему «Опыт Китая по регулированию сети Интернет: правовой и технический аспекты», организованного Роскомнадзором, ФГУП «ГРЧЦ» и Институтом стран Азии и Африки МГУ. Обсуждение шло в широком диапазоне тем, не все из которых были посвящены IT. Среди именно технических аспектов очевидный интерес, по нашему мнению, представляют данные о системах защиты национального киберпространства Китая, представленные кандидатом филологических наук, доцентом кафедры китайской филологии Института стран Азии и Африки МГУ Константином Барабошкиным, китаистом по профессии и сертифицированным специалистом Cisco по совместительству.
Эволюция
Сегодня «Золотой щит» – комплекс мер защиты и контроля китайского сегмента Интернета, включающий далеко не только средства фильтрации трафика. Но начиналось (конец 90-х) всё именно с этого, а именно с блокировки запрещённого в Китае онлайн-контента по IP-адресам.
Весь интернет-трафик на границе страны проходит через считанное число узлов (сейчас их не более четырёх). Запрос на доступ к ресурсу – а в ту пору понятия «онлайн-ресурс» и «веб-сайт» были практически эквивалентны – сверяется с «чёрным списком» IP-адресов. В случае, если IP-адрес находился в числе запрещённых, DNS-сервер запрос не обрабатывает. Способ хотя и примитивный, но достаточно действенный, хотя и недешёвый – для анализа всего трансграничного трафика страны с огромным населением требовались серьёзные вычислительные мощности.
Поскольку «чёрные списки» полностью с фильтрацией не справлялись (да и не могли справиться), весь трафик на границе страны на следующем этапе развития «Золотого щита» направлялся в иные системы, где его анализировали методами более тонкими. Если не получалось там, весь трафик шёл в следующий усовершенствованный фильтр.
Такой подход обеспечивает «Золотому щиту» возможность эволюционировать.
С 2007 года этапом эволюции стала проверка IP-пакетов трансграничного трафика по сигнатурам, речь о DPI (Deep Packet Inspection) и IDS (Intrusion Detection System). Китайцы научились определять принадлежность IP-пакета к определённому онлайн-сервису, будь то сайт, мобильное приложение или Tor-сеть. Нужно это было далеко не только и даже не столько для автоматической фильтрации трафика. Важно, что появилась возможность для нетривиального анализа, в частности, для выявления аномалий.
Например, резкий рост запросов с разных адресов к одному и тому же ресурсу сигнализирует о DDoS-атаке. Если анализ протоколов передачи данных обнаружил, что веб-сервер вдруг сменил протокол HTTP на HTTPS (такая ситуация определяется сменой порта 80 на 443), это повод для подозрений. Подозрительно также изменение активности трафика на ресурсе, не соответствующее предшествующей статистике, и т.п.
Автоматизировать принятие решения о блокировке трафика в случае обнаружения аномалий нельзя. Это и не требуется, анализом причин занимаются специалисты, которых снабдили эффективным инструментарием.
С 2008 года и по настоящее время «Золотой щит» находится на третьей стадии эволюции – противодействие средствам обхода ограничений, к которым относится прежде всего Tor, а также VPN и анонимные прокси-серверы.
Tor в КНР блокируют с 2008 года. В 2009 обеспечена блокировка доступа к главному каталогу адресов Tor-сети. Разработчики Tor включились в соревнование, совершенствуя маскировку трафика и обход систем проверки, а китайцы ещё в 2011 нейтрализовали возможность использовать так называемые мосты для обеспечения работоспособности браузера Tor. Но новые протоколы (в частности, snowflake), тем не менее, пока эффективны.
Технические сведения об устройстве «Золотого щита» не публикуются. Можно обоснованно предположить, однако, что даже если маршрут трафика в даркнете не определяется, а сам трафик не расшифровывается (скорее всего так и есть, хотя известно, что средства поиска ключей шифрования разрабатываются, может, уже и существуют), то идентифицируется такой трафик вполне надёжно. TLS-шифрование этому не мешает.
Борьба с VPN идёт точно так же – через сигнатуры IP-пакетов. В отличие от Tor с VPN справиться удалось гораздо лучше, возможности разработчиков сервисов создавать средства обхода «Золотого щита» отказались недостаточны для соревнования с государством. Способствовало успеху и то, что создание нелегальных VPN-сервисов в стране – уголовное преступление. Такие VPN используются для противоправной деятельности, торговли наркотиками, общественно опасной пропаганды и т.п.
Часть системы
«Золотой щит» – инструмент для множества применений. Фильтрация трафика только одно из них, и теперь, возможно, уже не самое главное. В самом общем виде «Золотой щит» следует определить как средство для обеспечения мер, с помощью которых государство добилось суверенитета Китая в киберпространстве.
Например, ограничение времени компьютерных игр для детей. Обеспечить соблюдение запрета играть слишком долго – сложная задача, без средств контроля трафика нерешаемая.
Ещё один – гипотетический, умозрительный – пример: использование технических ресурсов «Золотого щита» в качестве кибероружия. Если задействовать эти ресурсы для DDoS-атаки, может получиться нечто невиданное.
Зачем
По прошествии четверти века с начала разработки «Золотого щита» даже айтишник должен задуматься на тему «почему это работает, что такого государство даёт гражданам взамен неограниченного доступа к онлайн-порнографии».
Действительно, со стороны компартии было бы недальновидно свести задачу «Золотого щита» к подавлению беспричинно ненавистной им «сетевой свободы». Должна существовать иная цель, гораздо более общая и, главное, разделяемая миллиардом сограждан.
Она и существует. Это защита национального самосознания, обеспечение будущего, в котором китайский народ сохранится в качестве успешной цивилизации, самой древней из существующих. Достигается такая цель, понятно, технологиями несколько более сложными, чем компьютерные.
Упомянуть данное обстоятельство было необходимо, однако углубляться в эту тему здесь не станем, лучше запланируем её для следующих публикаций.
[ad_2]