GlobalCheck сообщил о проблемах с доступностью IPsec и IKEv2 в | Взаимопомощь для ИТ и бизнеса в России

GlobalCheck сообщил о проблемах с доступностью IPsec и IKEv2 в некоторых регионах

В интернет-сообществе подтверждают, что тестирования механизмов блокировок действительно были. Об их целях информации нет. Эти протоколы используются всеми: и VPN, и компаниями (в том числе государственными) для построения корпоративных сетей.

Возможно, РКН проверял, как блокировки протоколов отразятся на работе государственных компаний, для создания стратегии дальнейшей работы.

Что это значит для пользователей?

Если протоколы будут заблокированы на основе анализа трафика, и целью станет, например, IPSec, то тут ничего не поможет, куда бы этот трафик ни направлялся: хоть в Amazon, хоть в соседний ЦОД. Это маловероятно, так как IPSec активно используется госструктурами (например, Госуслугами при «межведомственных» запросах).

Полная блокировка протоколов возможна после согласования на «высшем уровне» и создания импортозаместительной альтернативы. Но такие вещи сложно прогнозировать.

РКН ставит свое оборудование практически в самом начале маршрута, и, по заявлениям самого РКН, блокирует именно точку назначения *. Но важно понимать, о каких "тоннелях" речь и куда они идут.

Если на запрещенный сайт, блокировка будет работать. Если в собственный дата-центр, то, вероятнее всего, не будет.

Вывод: наиболее вероятный вариант – это блокировка точки назначения, то есть вы не сможете попасть туда, куда вас не хочет пускать РКН. В виде исключения – что-то будет работать некорректно и вам «повезет». На работе всех остальных сайтов блокировки не должны сказаться (кроме временных эпизодов тестирования. РКН многому научился с 2018 года, когда при блокировке Telegram блокировались IP-адреса зарубежных облачных хостингов, что вызывало большое количество «случайных жертв»).

Важно: законопроект 2017 года запрещает использование зарубежных и отдельно запрещенных VPN для обхода блокировок и не касается корпоративных. Однако определения «корпоративного VPN» в законе не существует, поэтому «под санкции» в качестве наказания может попасть любая компания. Даже если получится опротестовать такое решение, прецедент все равно останется навсегда.

Возможен ли у нас полноценный «китайский сценарий»?

У нас с Китаем разная топология сети: это значит, что повторение «великого фаервола» потребует у России огромного количества средств и ресурсов. Пока что мы идем своим путем – ТСПУ («технические средства противодействия угрозам» РКН), блокировки сайтов, но не прерываем полностью связь с внешним миром.

Как продолжать пользоваться VPN, если начнутся блокировки?

В базовом сценарии – нужно менять порты, но есть вероятность, что это не поможет. Что бы вы ни делали, анализатор трафика победит любые маскировки. Любая блокировка чего угодно – вопрос времени и наличия у регулятора желания «действительно заблокировать все».

* Роскомнадзор вносит доменное имя, IP-адрес сайта или адрес конкретной страницы в свой реестр — «черный список». Данные этого реестра регулярно загружают на свое оборудование все российские интернет-провайдеры. При этом ведомство обязано известить администратора домена о блокировке.

@helprussianbusiness