Итак, "приказ" обязывает операторов сдавать логи пользователей в РКН и описывает какой формат. Формат такой:
* ID — идентификатор записи
* TTL — время использования в минутах
* Далее следует адрес или IPv4, или IPv6 пользователя
* Operation — "0" начало использования, "1" конец, "2" продолжение
* Timestamp — время создания записи.
По сути это и есть логи. Там еще должна быть привязка к конкретному номеру ящика ТСПУ, который будет один для групп записей.
Сам РКН объясняет зачем им это нужно так (см. в пояснительной записке):
Ну, то есть да — они хотят сопоставить конкретных пользователей событиям, которые будут фиксировать на ТСПУ.
Условно — вот кто-то пытался зайти на "запрещенный сайт" и ТСПУ, как обычный DPI, это событие зафиксировал. Но кто это сделал РКН не знает. Теперь будет знать.
Зачем это нужно — не очень понятно. Ну, IP адрес-то и так есть. Можно просто потом обратиться к оператору и выяснить кому этот адрес принадлежал.
Кроме того, существует еще и СОРМ же. Где по 573 приказу эти события и так фиксируются. А еще есть "яровая", куда тоже все должно быть записано. Но проблема в том, что эта информация доступна только ментам и фсб. А РКН не доступна.
Я не очень понимаю, что это все даст РКН, хотя в профчатиках пытаются выдавать разные версии. Ну, например, то, что зная, что кто-то пытается подключиться к VPN могут вменить, например, штраф. За какой-нибудь проступок типа "неправомерного доступа к информации". Или "злостный обход блокировок". Там в так называемых "законах" уже столько всего, что применить могут что угодно.
Но для этого же и существуют блокировки VPN — если РКН на этих самых коробочках ТСПУ смогли задетектировать VPN, то они его просто блокируют. А если не задетектировали, то а как они определят, что некто с конкретным IP использует VPN?
Ну, то есть, глупость какая-то.
Я могу только _предположить_ две вещи:
1. На ТСПУ нет разделения источников IP-потоков. Только направление. Вот они и хотят как-то сопоставить. Но тоже как-то нелогично получается...
2. Попытка поиграть со статистической детекцией VPN. Условно, если у какого-то пользователя основной трафик идет только по одному источнику, то очевидно, что этот пользователь использует VPN. Что-то похожее сейчас пытаются внедрить в Иране и уже несколько лет опять таки пытаются сделать в Китае. Но и там, и там пока получается с разной степенью успешности. И все это лечится сплит-туннелированием, когда на заведомо не заблокированные ресурсы трафик идет прямо, без VPN.
Еще раз — это только предположения. Могут быть и другие варианты, которые мне в голову не пришли.
Зато мне сразу приходит в голову, что информация от провайдеров будет приходить асинхронно — события на ТСПУ идут в режиме реального времени, а потом приходит информация с логами от провайдера. Это значит, что мэтчить эти данные должны где-то отдельно, потом анализировать и только потом уже применять. И это довольно сложная фигня получается, с не совсем понятным результатом. Кроме того, операторы "сдачу логов" могут (и, уверен, будут) изрядно саботировать. Ну, потому что там же опять какая-то разработка потребуется, оборудование и интеграции. Быстро, за три месяца, чот я не верю, что можно внедрить.
Но вы можете мне написать ЛС ваше мнение. Только используйте хеш-тэг #РКН_сосат, пожалуйста. Чтоб я мог в потоке сообщения фильтровать.
* ID — идентификатор записи
* TTL — время использования в минутах
* Далее следует адрес или IPv4, или IPv6 пользователя
* Operation — "0" начало использования, "1" конец, "2" продолжение
* Timestamp — время создания записи.
По сути это и есть логи. Там еще должна быть привязка к конкретному номеру ящика ТСПУ, который будет один для групп записей.
Сам РКН объясняет зачем им это нужно так (см. в пояснительной записке):
В целях эффективного выявления интернет-трафика, обеспечивающего доступ к противоправным интернет-ресурсам, для последующего ограничения доступа к ним технические средства противодействия угрозам (далее – ТСПУ) проводится анализ интернет-трафика. Принадлежность интернет-трафика пользовательскому оборудованию(оконечному оборудованию) конкретного пользователя определяется по сетевому адресу.
Ну, то есть да — они хотят сопоставить конкретных пользователей событиям, которые будут фиксировать на ТСПУ.
Условно — вот кто-то пытался зайти на "запрещенный сайт" и ТСПУ, как обычный DPI, это событие зафиксировал. Но кто это сделал РКН не знает. Теперь будет знать.
Зачем это нужно — не очень понятно. Ну, IP адрес-то и так есть. Можно просто потом обратиться к оператору и выяснить кому этот адрес принадлежал.
Кроме того, существует еще и СОРМ же. Где по 573 приказу эти события и так фиксируются. А еще есть "яровая", куда тоже все должно быть записано. Но проблема в том, что эта информация доступна только ментам и фсб. А РКН не доступна.
Я не очень понимаю, что это все даст РКН, хотя в профчатиках пытаются выдавать разные версии. Ну, например, то, что зная, что кто-то пытается подключиться к VPN могут вменить, например, штраф. За какой-нибудь проступок типа "неправомерного доступа к информации". Или "злостный обход блокировок". Там в так называемых "законах" уже столько всего, что применить могут что угодно.
Но для этого же и существуют блокировки VPN — если РКН на этих самых коробочках ТСПУ смогли задетектировать VPN, то они его просто блокируют. А если не задетектировали, то а как они определят, что некто с конкретным IP использует VPN?
Ну, то есть, глупость какая-то.
Я могу только _предположить_ две вещи:
1. На ТСПУ нет разделения источников IP-потоков. Только направление. Вот они и хотят как-то сопоставить. Но тоже как-то нелогично получается...
2. Попытка поиграть со статистической детекцией VPN. Условно, если у какого-то пользователя основной трафик идет только по одному источнику, то очевидно, что этот пользователь использует VPN. Что-то похожее сейчас пытаются внедрить в Иране и уже несколько лет опять таки пытаются сделать в Китае. Но и там, и там пока получается с разной степенью успешности. И все это лечится сплит-туннелированием, когда на заведомо не заблокированные ресурсы трафик идет прямо, без VPN.
Еще раз — это только предположения. Могут быть и другие варианты, которые мне в голову не пришли.
Зато мне сразу приходит в голову, что информация от провайдеров будет приходить асинхронно — события на ТСПУ идут в режиме реального времени, а потом приходит информация с логами от провайдера. Это значит, что мэтчить эти данные должны где-то отдельно, потом анализировать и только потом уже применять. И это довольно сложная фигня получается, с не совсем понятным результатом. Кроме того, операторы "сдачу логов" могут (и, уверен, будут) изрядно саботировать. Ну, потому что там же опять какая-то разработка потребуется, оборудование и интеграции. Быстро, за три месяца, чот я не верю, что можно внедрить.
Но вы можете мне написать ЛС ваше мнение. Только используйте хеш-тэг #РКН_сосат, пожалуйста. Чтоб я мог в потоке сообщения фильтровать.
14🌭290🐳55