Существует множество причин, по которым простые методы доступа к заблокированным сайтам, такие как использование их кэшированных версий, сохраняемых поисковыми машинами или простых веб прокси сервисов, являются неподходящими.
В некоторых случаях эти простые методы недостаточны для обхода Интернет цензуры. В других – ограничения могут касаться таких сервисов, как службы обмена мгновенными сообщениями, электронной почты или потокового видео. В таких случаях веб прокси сервисы, возможно, не смогут решить Вашу проблему.
Это могут также быть те случаи, когда Вы хотите не только обойти Интернет цензуру, но и предотвратить блокирование страниц, к которым Вы подключаетесь, или скрыть сам факт обхода фильтров.
Для этого существует много различных улучшенных методов и каждый из них решает различные проблемы разными способами.
Эта глава рассказывает о некоторых ключевых технических концепциях, которые помогут Вам сделать правильный выбор решения для Вашей конкретной ситуации. Она также повествует, в некоторых деталях, о различных путях доступа к заблокированной информации.
Порты и протоколы
Интернет основывается на ряде протоколов, стандартизированных наборах правил, которые управляют информационным обменом между компьютерами сети. Основным набором протоколов управления соединениями и информационными пакетами для сети Интернет является TCP/IP (TCP через IP). Протоколы могут справляться с широким диапазоном данных, при этом большие массивы данных разбиваются посредством специального программного обеспечения на малые пронумерованные пакеты, которые передаются по сети от одного компьютера к другому и после этого снова собираются на компьютере получателе. Наиболее распространенным способом установки специфичного протокола для дальнейшего использования является адресация пакетов на определенный номер порта. Например, HTTP для веб обычно использует 80 порт, а POP3, используемый для получения электронной почты – 110. Блокирование поступления информации на определенный порт определенного IP адреса отключает нормальный доступ к одному сервису на сайте, оставляя остальные его сервисы доступными. Простейший способ обхода блокирования портов заключается в обеспечении этого сервиса через нестандартный порт, но это может быть сделано только оператором сервиса, а не его пользователем.
Уровневая сетевая модель
Сетевые протоколы часто описываются как составные части набора уровней. Для сети Интернет нижний уровень (называемый уровень связей – link layer) является ближайшим к аппаратной части компьютера, а верхний уровень (называемый прикладной уровень – application layer) является ближайшим к человеку-пользователю. Важнейшие протоколы, располагающиеся в средних двух уровнях – это TCP (Протокол Управления Передачей Данных - Transmission Control Protocol), который располагается в Транспортном Уровне, и IP (Интернет Протокол – Internet Protocol), располагающийся «под» ним в Интернет Уровне. Эти оба уровня часто упоминаются как TCP/IP. Менее известный, но также очень важный протокол – это UDP (Протокол Передачи Дейтаграмм – User Datagram Protocol), располагающийся на одном уровне с TCP. Большинство, но не все сервисы, предоставляемые через TCP также доступны через UDP, в то время, как некоторые сервисы доступны только через UDP.
Верхний уровень, называемый прикладным уровнем, включает в себя такие протоколы как DNS (доменные имена), FTP (передача файлов), HTTP (веб), IRC (чат), NNTP (пользовательская сеть Usenet), POP3 (доставка электронной почты), SIP (IP-телефония) и SSH (кодированная коммуникация). IANA (Центр по Присвоению Номеров Интернет – Internet Assigned Names Authority) устанавливает номера портов для каждого из этих сервисов. Так, например, 53 порт предназначен для DNS запросов, 80 – для HTTP, а 110 – для POP3 (Post Office Protocol 3). Для удобства эти значения прописываются по умолчанию, чтобы пользователям не пришлось указывать протоколы вручную; фактически же любые данные можно передавать через любой порт. Существует также ряд назначений портов по умолчанию для UDP, которые работают аналогичным образом. В некоторых, но далеко не во всех, случаях доступ к сервису можно получить через одинаковый номер порта используя TCP или UDP. Единственным исключением является NTP (Протокол Сетевого Времени – Network Time Protocol), который предусмотрен только для UDP. UDP также часто используется для мультимедиа приложений в реальном времени, таких как протоколы IP-телефонии, некоторые из которых недоступны через TCP.
Пользователей обычно не интересуют назначения портов, так как они в большинстве случаев настраиваются автоматически. Использование стандартных портов, однако, не является принудительным. По предварительной договоренности между провайдером услуги и пользователем, системные администраторы могут настроить серверы для доступа к стандартным услугам через нестандартные порты. Это позволяет программно обходить простое блокирование портов, нацеленное на избежание использования этих сервисов.
Некоторое программное обеспечение может быть настроено на использование нестандартных портов. URL адреса также имеют очень удобный стандартный путь спецификации номера порта внутри адреса. Например, адрес http://www.example.com:8000/foo/ произведет HTTP запрос к серверу example.com через порт 8000, вместо стандартного 80-го порта.
Улучшенные методы фильтрации
[Текст взят из книги "В доступе отказано", глава 3. Авторы: Steven J. Murdoch и Ross Anderson]
Цели запуска механизма фильтрации разнятся в зависимости от мотивации отдельных организаций, запускающих такие механизмы. Они могут заключаться в закрытии доступа к веб сайту (или отдельной веб странице) тем, кто желает его просмотреть, в искажении потока данных, так чтобы информация стала нечитабельной, или, вообще, в отслеживании пользователей, которые пытаются получить доступ к этой информации. Выбор конкретного метода фильтрации напрямую зависит от возможностей организации нуждающейся в фильтрации, – к каким техническим средствам коммуникации у них есть доступ, каким людям они хотят навязать фильтрацию, и сколько средств они готовы на это потратить. Другие важные вопросы включают количество приемлемых сбоев и ошибок, должна ли фильтрация быть явной или скрытой, и насколько она должна быть надежной (и против обычных пользователей и против тех, кто захочет её обойти).
В этой части мы опишем, как может осуществляться блокирование после составления списка ресурсов, которые должны быть заблокированы. Составление этого списка является довольно сложной задачей и общей слабостью всех развернутых систем. Не только из-за огромного числа веб сайтов составление полного списка запрещенных ресурсов является проблематичным заданием. В связи с тем, что ресурсы и веб сайты перемещаются, меняют свои IP-адреса, поддержание такого списка обновленным требует огромного количества работы. Более того, если оператор веб сайта захочет повлиять на блокирование, этот сайт может быть перемещен чаще, чем обычно.
Фильтрация заголовков TCP/IP
Пакет данных IP состоит из заголовка, после которого следует информация, которую содержит этот пакет (полезная нагрузка, т.е. передаваемые данные - payload). Маршрутизаторы сети должны проверять заголовки пакета, так как там содержится информация об IP-адресе пункта назначения. Для предотвращения доступа к целевым хостам, роутеры (маршрутизаторы) могут быть настроены на сброс пакетов, направленных на IP-адреса сайтов, находящихся в черном списке. Однако любой хост может обеспечивать различные сервисы, такие как хостинг и веб сайтов и серверов электронной почты. Блокирование, основанное только на IP адресе ресурса, сделает все сервисы, расположенные на хосте, находящемся в черном списке, недоступными.
Немного более точное блокирование может быть достигнуто добавлением черного списка номеров портов, которые также находятся в заголовке TCP/IP.
Блокирование портов
Доступ к портам может контролироваться сетевым администратором организации, которая является владельцем используемого Вами компьютера – это может быть частная компания или Интернет кафе. Он может также контролироваться Интернет Сервис Провайдером, обеспечивающим Ваш доступ в сеть или кем-либо еще, например, правительственным цензором, который имеет доступ ко всем соединениям Интернет Сервис Провайдера. Существует масса причин, кроме цензуры, по которым некоторые порты могут быть заблокированы – борьба со спамом или контроль расходов, связанных с использованием широкополосных связей, таким, например, как пиринговый файлообмен.
Если порт заблокирован весь трафик, поступающий через него, становится для Вас недоступным. Цензоры часто блокируют порты 1080, 3128 и 8080, так как они чаще всего используются для доступа к прокси сервисам. В этом случае, Вам необходимо найти прокси сервис, доступный через другой, «нестандартный» порт. Это может оказаться довольно сложной задачей.
С помощью программы Telnet Вы можете протестировать, какие порты заблокированы на используемом Вами соединении. Для этого просто откройте командную строку (терминал или DOS), впечатайте "telnet login.icq.com 5555" или "telnet login.oscar.aol.com 5555" и нажмите Ввод (Enter). Указанное число является номером порта, который Вы хотите протестировать. Если в итоге Вы увидите символы (пример см. ниже) – соединение установлено.
Если же компьютер сразу выдаст информацию о том, что связь неустановленна (connection failed), просрочена (timed out), прервана (interrupted), отключена (disconnected) или сброшена (reset), то порт, скорее всего, заблокирован. (Обратите внимание на тот факт, что некоторые порты могут быть заблокированы в связке с определенными IP адресами.)
Список некоторых наиболее часто используемых портов:
• 20 и 21 - FTP (передача файлов);
• 22 - SSH (безопасный доступ к файлам на удаленном компьютере);
• 23 - Telnet (небезопасный доступ к файлам на удаленном компьютере);
• 25 - SMTP (отправка электронной почты);
• 53 - DNS (перевод имени сетевого компьютера в его IP адрес);
• 80 - HTTP (обычный просмотр веб страниц; иногда, помимо прочего, используется для доступа к прокси сервисам);
• 110 - POP3 (получение электронной почты);
• 143 - IMAP (отправка/получение электронной почты);
• 443 - SSL (безопасное подключение HTTPS);
• 993 - безопасный IMAP;
• 995 - безопасный POP3;
• 1080 – протокол передачи данных SOCKS для прокси сервисов;
• 1194 – OpenVPN;
• 3128 - Squid proxy;
• 3389 – доступ к удаленному рабочему столу;
• 8080 – доступ к стандартному прокси сервису типа HTTP.
Например, в университете для внешних связей открыты только порты 22 (SSH), 110 (POP3), 143 (IMAP), 993 (безопасный IMAP), 995 (безопасный POP3) и 5190 (служба обмена мгновенными сообщениями ICQ). Это означает, что Вам для доступа к другим сервисам придется найти прокси или VPN сервер, работающий через один из этих портов, либо убедить друга или знакомого вне университета установить для Вас сервер на этот порт. Только благодаря возможности работы серверов через нестандартные порты, существуют некоторые методы обхода Интернет цензуры.
Фильтрация контента TCP/IP
Фильтрация заголовков TCP/IP блокирует обмен данных только на основании того откуда они приходят или куда пересылаются, но не по их содержимому. Это может стать проблемой для цензоров в тех случаях, когда невозможно создать полный список IP адресов, содержащих запрещенную информацию, или если некоторые IP адреса содержат достаточное количество разрешенной информации, так что полная блокировка информационного обмена с этими ресурсами является неоправданной. В этих случаях возможен «точечный» контроль: содержимое пакетов может быть проверено на запрещенные ключевые слова. Учитывая, что роутеры, как правило, не проверяют содержимое пакетов, и только считывают их заголовки, для осуществления этой процедуры понадобится дополнительное оборудование. Обычное оборудование, возможно, не сможет реагировать достаточно быстро, чтобы заблокировать передачу запрещенной информации, поэтому здесь должны будут использоваться другие методы блокировки передачи информации. Учитывая, что максимальный размер пакетов ограничен, передаваемые целостные сегменты данных, скорее всего, будут находиться сразу в нескольких различных пакетах. Таким образом, если будет пропущен один пакет с запрещенной информацией, информационный обмен может быть прерван блокированием последующих пакетов. Этого можно добиться как прямым блокированием пакетов, так и отправкой сообщений в обе обменивающиеся информацией стороны с запросом о завершении обмена информацией. Еще одним эффектом ограниченного максимального размера пакетов является возможный разрыв ключевых слов между разными пакетами. В таком случае устройства-инспекторы, проверяющие отдельные пакеты, вероятно, не смогут определить блокируемые ключевые слова. Для обеспечения высокой эффективности инспекции пакета, их поток должен быть пересобран, что добавляет сложности в этот процесс. В качестве альтернативы могут использоваться HTTP прокси фильтры, описываемые далее в тексте.
DNS манипуляции
Большая часть коммуникаций, осуществляющихся посредством сети Интернет, проходит с использованием доменных имен, а не IP адресов. Особенно это касается просмотра веб страниц. Таким образом, на стадии перевода доменного имени в IP-адрес можно осуществлять фильтрацию, эффективно блокируя запрещенный контент. При таком раскладе, на используемый DNS сервер загружается список запрещенных доменных имен. В случае если компьютер запрашивает один из запрещенных доменов, в ответ он получает либо сообщение об ошибке, либо он вообще не получает ответ. Не получив IP-адрес компьютер не может продолжить соединение и поэтому он выдаст сообщение об ошибке.
Обратите внимание, что на этой стадии осуществилось блокирование, хотя пользователь еще не успел запросить конкретную страницу. Именно поэтому все страницы расположенные в этом домене будут заблокированы.
HTTP прокси фильтрация
Альтернативно можно настроить сеть таким образом, что все пользователи будут вынуждены (или заинтересованы) подключаться ко всем сайтам не напрямую, а через прокси сервер. Помимо пересылки запросов, прокси сервер может временно сохранять все посещенные веб страницы в кэше. Преимуществом такого подхода является то, что если второй пользователь одного провайдера запросит загруженную ранее страницу, она будет подгружаться напрямую из кэша, а не через повторное подключение к веб серверу. С точки зрения пользователя это лучше, так как веб страницы будут загружаться быстрей, ведь для этого не придется выходить за пределы сети провайдера. Это также удобно для поставщика Интернет услуг. Ему намного выгодней загрузить популярную страницу однажды и затем отображать её при каждом последующем запросе, вместо того, чтобы платить за увеличение ширины пропускания внешнего канала для обеспечения более скоростного соединения.
Однако помимо повышения производительности, HTTP прокси может также блокировать веб сайты. Прокси сервер решает, разрешить ли передачу запроса на загрузку веб страницы или нет и в случае положительного ответа, посылает запрос на веб сервер, содержащий этот контент. Так как в этом случае все содержимое страницы доступно для анализа, отдельные страницы могут быть отфильтрованы на основании их имен или содержания.
Гибридные TCP/IP и HTTP прокси
Для осуществления успешной фильтрации запросов при помощи HTTP прокси-серверов, передаваемые данные должны быть пересобраны из оригинальных пакетов, декодированы, а затем переданы снова. Учитывая вышеизложенное, надо сказать, что оборудование для обеспечения фильтрации с сохранением быстрого доступа в Интернет является очень дорогим. Так появились системы, предоставляющие многофункциональные HTTP прокси-фильтры по более низкой цене. Они функционируют путем составления списка IP-адресов тех сайтов, на которых опубликована запрещенная информация, но вместо блокирования всего информационного потока идущего с этих серверов, все данные пропускаются через прозрачный HTTP прокси-сервер. Там, веб адрес полностью проверяется и если в нем содержится запрещенный контент – доступ блокируется; в противном случае запрос проходит нормально.
Отказ в обслуживании (DoS)
В тех случаях, когда организация не имеет права (или доступа к сетевой инфраструктуре) для установления механизмов фильтрации, веб сайты могут быть сделаны недоступными путём перегрузки сервера или сетевого соединения. Этот метод, известный под названием атака «Отказ в обслуживании» (Denial-of-Service, или, коротко, DoS), может быть осуществлён при помощи одного компьютера с очень быстрым соединением с сетью; обычно, большое число компьютеров одновременно используется для обеспечения рассредоточенного «Отказа в обслуживании» (distributed DoS, или DDoS).
Снятие регистрации домена
Как было упомянуто ранее, на первой стадии веб запроса, компьютер подключается к местному DNS серверу, чтобы определить IP-адрес запрашиваемого веб сайта. Сохранение всех существующих доменных имен на одном сервере практически невозможно, так что так называемые рекурсивные преобразователи адресов сохраняют указатели на другие DNS сервера, которые, скорее всего, знают ответ. Эти серверы будут перенаправлять рекурсивный преобразователь адресов последующим DNS серверам до тех пор, пока не найдется такой официальный сервер, который ответит на запрос.
Система доменных имен организована иерархично, с национальными доменами, такими как ".uk" и ".de" на её вершине. Наряду с ними расположены негеографические домены высшего уровня, такие как ".org" и ".com". Серверы, ответственные за эти домены, распределяют обязанности для субдоменов (например, example.com) между другими DNS серверами. Запросы на субдомены перенаправляются затем на соответствующие DNS серверы. Таким образом, если DNS сервер высшего уровня снимает регистрацию доменного имени, рекурсивные преобразователи адресов не смогут определить его IP-адрес и в результате сайт станет недоступным.
Национальные домены высшего уровня обычно управляются правительством конкретной страны или организацией в чье ведомство оно поставило эту задачу. Так если сайт, зарегистрирован в домене страны, в которой запрещена публикуемая на нем информация, он рискует потерять свою регистрацию.
Демонтаж сервера
Серверы, на которых размещена информация веб страниц, должны физически где-то находиться, у них также должны быть администраторы, управляющие ими. Если место расположения находится под законным или незаконным контролем кого-либо, кто против опубликованной на сервере информации, этот сервер может быть отключен или его операторы будут вынуждены его деактивировать.
Надзор
Обозначенные выше механизмы препятствуют доступу к запрещенным материалам, но оба они являются «сырыми» и оставляют место для обхода. Другой подход, который может осуществляться параллельно фильтрации – это надзор за тем, какие веб сайты посещают пользователи. Если запрещенная информация была получена (или была предпринята попытка осуществить доступ к ней), тогда могут применяться легальные (или незаконные) средства наказания.
Если этот факт становится широко известным, он обескураживает многих других людей, и они даже не пытаются подключаться к запрещенному содержимому, даже если технические средства и меры блокирования доступа являются неадекватными и неэффективными.
Криптография
Криптография – в числе других приложений – является технической защитой против надзора, которая использует сложные математические методы шифрования данных, так что они становятся нераспознаваемыми для перехватчика. Криптография может также защитить от модификаций информационного обмена сетевым оператором, или, как минимум, сделать эти модификации выявляемыми.
Считается, что крайне сложно одолеть современную криптографию при помощи технических средств; широкодоступные криптографические программные решения могут предоставить пользователю мощную защиту от надзора. С другой стороны кодирование может быть взломано несколькими средствами, включая целевую рассылку вредоносных программ, или главным образом через проблемы, связанные с управлением ключами и передачей ключей, когда пользователи не могут или не хотят следовать процедурам, необходимым для обеспечения безопасного использования криптографии. Например, криптографическим приложениям обычно необходимо распознавать пользователей или компьютеров, находящихся на другом конце сетевого соединения. В противном случае, информационный обмен может стать уязвимым для атаки людей посередине, где контролирующий выдает себя за коммуникационного партнера, с тем, чтобы препятствовать задуманному конфиденциальным информационному обмену. Эта идентификация пользователей в различных программах осуществляется разными путями, но пропускание или обход этапа верификации пользователя может увеличить уязвимость пользователя для перехватчиков.
Еще одним методом надзора является анализ трафика, при котором факты информационного обмена используются для вынесения предположений касательно контента, происхождения, направления, или значения коммуникации, даже если перехватчик не способен понять содержимое этого информационного обмена. Анализ трафика может быть очень мощным методом и от него сложно защищаться. Особое значение это имеет для систем конфиденциальности, где метод анализа трафика может помочь определить анонимную сторону. Улучшенные системы конфиденциальности как, например, Tor включают некоторые средства, нацеленные на уменьшения эффективности анализа трафика, но все же могут быть уязвимыми перед ними, в зависимости от возможностей перехватчика.
Социальные методы
Социальные механизмы часто используются для препятствия доступу пользователей к неподходящей информации. Например, в семьях компьютер может быть установлен в гостиной, где экран виден всем присутствующим, а не в другой, более конфиденциальной комнате. Это простой метод предупреждения доступа детей к неподходящим сайтам. В библиотеке компьютеры могут быть установлены так, что все мониторы хорошо просматриваются со стола библиотекаря. В Интернет кафе может быть установлена система видео наблюдения. Возможно даже наличие местного закона, требующего установления системы видеонаблюдения в Интернет кафе, и/или требующего от пользователей регистрации с получением идентификационной карты государственного образца с фотографией. Спектр доступных вариантов контроля огромен. Он начинается с разумных, а заканчивая очень спорными методами.
