«Закон о российском файерволле»: мнение эксперта

«Закон о российском файерволле»: мнение эксперта
«Закон о российском файерволле»: мнение эксперта

Разбираем «Закон о российском файерволле». Приглашенный эксперт специально для Telecom Times проводит технический анализ проекта закона по отключению России от мирового интернета. Приводим ниже его монолог.

«К большому сожалению, от принятия закона на бумаге до реального решения по технической реализации лежит очень большой путь. Для понимания этого пути и следования ему, конечно, нужно иметь полное представление о том, как современный интернет устроен.

Изначально интернет — это «сеть сетей», в которой взаимоотношения между операторами связи выстраиваются индивидуально. Выделение операторов в группы по признаку масштаба или географии, конечно, возможно. Но надо учитывать некоторые общие принципы. Помимо множества оптических кабелей и магистрального оборудования, представляющих собой структуры операторов, есть определенные сервисы, без которых работа в таком комплексном виде, к которому мы привыкли, была бы невозможна.

Что это за сервисы:
1) Взаимодействие большинства сетей обеспечивается при помощи протокола IP-версий 4 и 6. А также протоколов обмена маршрутной информацией: BGP (Border Gateway Protocol) версий 4 и 6, соответственно.

Операторы связи имеют в своем распоряжении различные подсети IP-адресов. А также различные номера автономных систем AS (Autonomous System), между которыми протокол BGP обеспечивает обмен маршрутной информацией между этими AS. И таким образом обеспечивает связность сетей друг с другом. Разумеется, эта связность между операторами должна быть полной и двусторонней. Иначе информация из одной сети в другую и обратно не найдет свой путь.

2) Говоря о подсетях IP-адресов, которыми пользуются операторы связи, необходимо иметь в виду, что использование данных адресов по всей Европе между операторами связи регулирует организация RIPE (Нидерланды, Амстердам). И все операторы связи в России имеют членство в этой организации. Все ресурсы в виде подсетей и автономных систем описаны в базе данных RIPE.

Если кто-то из операторов связи захочет незаконно использовать чужую адресацию, в глобальных масштабах этого сделать не получится. Множество операторов используют базу данных RIPE для фильтрации маршрутной информации и предотвращения возможных атак.

3) Корневые DNS-сервера (Domain Name System), которые обеспечивают преобразование цифрового IP-адреса ресурса интернета в удобное для использования именное значение, а также для балансировки и отказоустойчивости нагруженных сервисов. Большинству пользователей интернета неизвестно то, что если бы не служба DNS, то для попадания на Yandex надо было бы запомнить, например, http://77.88.55.50 . Что в данном случае не так сложно, но точно неудобно для использования. Сервера синхронизации времени NTP также имеют значение в обособленных группах. И с точки зрения бизнеса могут быть крайне важны.

Подводя итог по описанным выше 3 пунктам:
Для работы интернета необходимо обеспечить операторов связи автономными системами и IP-адресацией по аналогии с базой RIPE. А точнее — необходимо делать репликацию этой базы и постепенно начать ее использование операторами. Также надо организовать и настроить работу корневых DNS-серверов с доменными зонами, закрепленными за российскими регистраторами доменных имен. И обеспечить полносвязный обмен маршрутной информацией между операторами связи по протоколам BGP.

Все эти факторы необходимо учитывать для обеспечения автономности российской части интернета («Закон о российском файерволле»). Но остается еще один ключевой момент «трансграничного файерволла». Это место взаимодействия операторов друг с другом и решение вопроса защиты передаваемой и получаемой за границей информации.

Защита информации
Это наиболее сложная технически и наиболее дорогая часть решения данного вопроса. Операторам нужна площадка для взаимодействия, через которую они смогут обмениваться трафиком как друг с другом, так и с заграничными операторами связи. На которой также будут размещать корневые DNS-сервера и роут-сервера с маршрутной информацией и российских сетях, подключенных к ней. Площадка должна иметь резервирование через дублирование структуры на оборудовании разных вендоров. И должна иметь пропускную способность не менее 10Тбит/с.

Почему это должна быть именно площадка для операторов, а не единый федеральный оператор связи? Это возможность свободного заключения договоров на покупку зарубежного трафика у глобальных операторов, не ухудшая качество интернета. А также контроль этой информации со стороны государства.

Трафик любого оператора связи было бы возможно зеркалировать на СОРМ и обеспечить доступ спецслужб к анализу всего трансграничного трафика, проходящего между портами взаимодействующих операторов. Данная площадка могла бы находиться под контролем какого-то транзитного оператора, например Ростелекома. Но она не должна использовать его маршрутную структуру и автономную систему, а должна быть «плоской». Подходящим примером может быть площадка MSK-IX, которая, к слову, принадлежит Ростелекому. Но по своим возможностям она пока что далека от того, чтобы агрегировать такие объемы данных, которыми обмениваются российские и зарубежные операторы связи.

Когда же возможно перейти от подписания закона к какой-то реализации?
Очень и очень нескоро, спустя многие годы, при условии колоссального финансирования со стороны государства. Сейчас Россию и другие страны объединяют сотни трансграничных оптических кабелей. В каждом их которых по сотне оптических волокон, на каждой паре волокон — по сотне оптических частот. А в каждой частоте — еще сотни виртуальных каналов связи. Это миллионы различных каналов, которые сейчас используют операторы связи для трафика. И минимизировать их работу крайне непросто.

В качестве примера: Apple и Google производят смартфоны и ПО для них, которыми сейчас пользуются люди по всему миру. Этот трафик является заграничным, имеет очень большие объемы данных и не контролируется. А отключение устройств от их глобальных сетей лишит их работоспособности. Также любимые многими Facebook и Twitter, игровые и медиа-сервисы — это тоже огромные объемы. И эти объемы сейчас передают через сети операторов связи России, построенные на 80% из оборудования, произведенного в США.

«Закон о российском файерволле» принять можно. А вот когда дойдет дело до реализации, получится то же самое, что и с известным «Пакетом Яровой».

У операторов связи нет таких денег, чтобы провести необходимые изменения в своей структуре. Чтобы выполнить «Закон о российском файерволле», нужны годы или даже десятки лет. В проблеме минимизации объема трансграничной информации ключевым моментом является то, что нам нечего противопоставить хотя бы тем же смартфонам, с которых, безусловно, стоит начать рассмотрение этого вопроса. Не говоря уже об оборудовании, которое должно обеспечить работу».

Егоров Виталий,
независимый эксперт по вопросам межоператорского взаимодействия.

https://telecomtimes.ru/2018/12/rossiysliy-firewall/
firewall
Alt text