Как запретить доступ к интернету
Перейти к содержимому

Как запретить доступ к интернету

  • автор:

Как заблокировать программе доступ в Интернет

Как запретить программе доступ в Интернет

Если по какой-либо причине вам потребовалось заблокировать определенной программе Windows 10, 8.1 или Windows 7 доступ в Интернет, сделать это сравнительно просто, причем возможно использование как встроенных функций системы, так и сторонних бесплатных утилит для установки соответствующих ограничений.

Блокировка доступа программы в Интернет в брандмауэре Windows

Брандмауэр Windows — один из самых простых способов заблокировать программе доступ к Интернету, не требующий установки каких-либо сторонних средств. Шаги для блокировки будут следующими:

  1. Откройте панель управления (в Windows 10 это можно сделать, используя поиск в панели задач), переключите поле просмотр на «Значки», а затем откройте пункт «Брандмауэр Защитника Windows» или просто «Брандмауэр Windows». Брандмауэр Windows в панели управления
  2. В открывшемся окне, слева, нажмите «Дополнительные параметры». Дополнительные параметры брандмауэра
  3. Откроется окно брандмауэра в режиме повышенной безопасности. В левой панели выберите «Правило для исходящего подключения», а в правой — «Создать правило». Создать правило в брандмауэре
  4. Выберите «Для программы» и нажмите «Далее». Создание правила брандмауэра для программы
  5. Укажите путь к исполняемому файлу программы, которой нужно запретить доступ в Интернет. Выбор программы, которую нужно заблокировать
  6. В следующем окне оставьте отмеченным пункт «Блокировать подключение».
  7. В следующем окне отметьте, для каких сетей выполнять блокировку. Если для любых — оставьте отмеченными все пункты.
  8. Укажите понятное для вас имя правила (это поможет его найти, если в будущем вы захотите снять блокировку) и нажмите «Готово». Имя для правила блокировки программы
  9. При желании можно проверить, сработала ли блокировка: как видите, у меня сработало. Интернет заблокирован для программы

Это не единственный возможный метод с помощью встроенного брандмауэра. Есть ещё один подход, который позволит легко заблокировать доступ в Интернет выбранным приложениям из Магазина Windows 10, не вводя вручную пути к ним:

Блокировка доступа в Интернет для приложения из магазина Windows 10

  1. Создайте правило для всех программ, выбрав соответствующий пункт на 5-м шаге вышеприведенной инструкции.
  2. После создания правила, найдите его в списке, нажмите по нему мышью дважды, а затем на вкладке «Программы и службы» нажмите по кнопке «Параметры» в пункте «Пакеты приложений», отметьте «Применять к следующему пакету приложений» и укажите в списке то приложение, для которого нужно заблокировать доступ в Интернет. Например, у меня на скриншоте блокируется Edge.
  3. Примените сделанные настройки и проверьте их работоспособность.

В целом всё очень просто, но существует возможность даже более быстрой настройки запрета.

Автоматическое создание правил брандмауэра в Winaero OneClickFirewall

Winaero OneClickFirewall — простая бесплатная утилита для Windows, которая упрощает включение и отключение блокировки доступа программ к Интернету:

Блокировка программе доступа в Интернет в OneClickFirewall

  1. Скачайте программу с официального сайта https://winaero.com/download.php?view.1886 и установите её на компьютер.
  2. Сразу после этого в контекстном меню ярлыков и программ появятся пункты «Block Internet Access» (заблокировать доступ в Интернет) и «Restore Internet Access» (восстановить доступ).

При этом, блокируя доступ, эта утилита использует тот же механизм, что и при ручном создании правил в брандмауре Windows, просто автоматизирует это.

Comodo Firewall

После установки файрвола, выполните следующие шаги для блокировки программе доступа к сети:

  1. Зайдите в настройки и откройте пункт Фаервол — Правила для приложений. Нажмите кнопку «Добавить». Добавление правила в Comodo Firewall
  2. Нажмите «Обзор» и укажите файл программы или группу файлов (например, все приложения Metro/UWP, все браузеры) для которых нужно создать правило.
  3. Выберите пункт «Использовать набор правил», а затем — «Заблокированное приложение». Блокировка интернета для программы в Comodo Firewall

Примените настройки, после этого выбранная программа будет заблокирована. При необходимости разблокировать доступ, нажмите кнопку «Разблокировать приложение» в главном окне Comodo Firewall, отметьте программу и нажмите «Разблокировать».

В завершение ещё два нюанса:

А вдруг и это будет интересно:

  • Лучшие бесплатные программы для Windows
  • Браузер Arc доступен для Windows 11
  • Что за пользователь ASPNET в Windows
  • Как разрешить обычному пользователю запускать программу от имени Администратора без ввода пароля
  • Как выйти из полноэкранного режима в Windows
  • Как включить компактный вид панели быстрых настроек Windows 11
  • Windows 11
  • Windows 10
  • Android
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Установка с флешки
  • Настройка роутера
  • Всё про Windows
  • В контакте
  • Одноклассники

    Вячеслав 25.03.2019 в 00:41

  • Dmitry 25.03.2019 в 11:01

Как запретить доступ в интернет

На прошлом вебинаре задали вопрос «Как ограничить доступ к сети интернет для разных компьютеров»?.

Давайте попробуем решить данный вопрос

Хотите получать свежие новости через ВК? Не вопрос, жми по ссылке: IT-Skills | Запишись в ИТ качалку

Лично я бы выбрал один из следующих способов:

— Настройка файла HOSTS – благодаря чему, мы можем указывать на какие сайты можно ходить, а на какие нет. Об этом я уже снимал видео.

— Используя прокси-сервер или файервол, который устанавливается на пути между интернетом и локальной сетью и в зависимости от настроек, выдает тем или иным пользователям и компьютерам доступ в интернет. Про подобную систему я так же рассказывал в видео по программе IDECO UTM, более подробно понять, как это работает вы, можете посмотрев данное видео.

— Настройка антивируса – как правило в современных корпоративных антивирусных решениях есть модуль, отвечающий за интернет контроль, настроив который мы можете так же ограничивать доступ к сайтам.

— Настройка сетевого подключения

— Настройка брандмауэра Windows

Вот как раз о последних двух, мы сейчас поговорим более подробно…

Настройка сетевого подключения

Если у вас интернет раздает сервер, то в сетевых настройках мы указываем IP адрес сервера, который раздает интернет. И указываем мы его в качестве шлюза.

Как работает шлюз?

Есть сервер с двумя сетевыми картами, одна смотрит в локальную сеть, вторая в сеть интернет. И все настроено так, что, если какой-то компьютер в локальной сети хочет выйти в сеть интернет, он отправляет свой запрос на ШЛЮЗ, т.е. как раз на этот сервер, который имеет выход в сеть интернет. Тот в свою очередь перенаправляет запрос на внешнюю сетевую кару, потом Интернет и уже нужную информацию обратным путем Интернет – Внешняя сетевая кара – Локальная сетевая карта – Компьютер пользователя.

В итоге, если мы просто оставим пустой строку с указанием ШЛЮЗА, то компьютеры в локальной сети не будут знать, через кого выходить в интернет, а значит будут изолированы от внешней среды. Однако смогут пользоваться локальными сетевыми ресурсами

Заходим на клиентский компьютер \ Изменить сетевые настройки \ Если мы под обычным пользователем, не администратором, то для изменения настроек потребуется указать логин и пароль администратора. Это тоже важный момент, так как если пользователь будет администратором на своем компьютере, он сможет ввести адрес ШЛЮЗА и интернет у него появится.

Но, тут еще один нюанс, так как у меня поднят сервер DHCP, а он автоматически прописывает адрес ШЛЮЗА, то нам необходимо исключить из настроек те IP адреса, которые предназначены для компьютеров, без выхода в интернет. Иначе, он может назначить какой-нибудь машине такой же адрес и будет конфликт IP адресов. (Диспетчер серверов \ Средства \ DHCP \ Область \ ПКМ \ Свойства \ Смотрим какой вообще диапазон и можем его изменить \ Пул адресов \ ПКМ \ Диапазон исключения… \ Добавить 150-200)

При данной настройке у нас получится следующее, те кто выходит в интернет будут иметь адреса 100-150, остальные 150-200, но все настройки нам придется прописывать вручную.

Проверяем, включаем DHCP интернет есть, вбиваем вручную без ШЛЮЗА, интернета нет.

Настройка брандмауэра

В данном случае, мы создадим правило, запрещающее отправлять запросы по протоколам http и https, через которые пользователь получает данные из браузера (Этот компьютер \ Панель управления \ Брандмауэр \ Дополнительные параметры \ Правила исходящего подключения \ ПКМ \ Создать правило \ Для порта \ Определенные удаленные порты \ 80, 8080, 443 \ Блокировать подключение \ Все профили \ Блокировка интернета \ Готово)

Проверить на Edge и iexplorer.

Данное правило можно раскидать по компьютерам через групповую политику, если у вас есть домен.

При таким методе, вы отключаете пользователя от возможности просматривать интернет страницы, но сохраняется возможность работать с почтовыми программами, так как они работают по другим протоколам.

А это довольно часто требуется, чтобы пользователи работали с почтой, но не могли ходить по разным сайтам.

Но, через данный запрет мы запрещаем пользоваться любыми интернет ресурсами по указанным протоколам. Так что, если у вас в сети поднят локальный веб-сервер, допустим для доступа к 1С через браузер, то работа с ним также будет запрещена.

Так что самый надежный и более гибкий способ, это использование прокси-сервера, там можно настроить куда более универсальные правила.

Как заблокировать интернет на телефоне ребенка

В современном мире дети школьного возраста активно пользуются гаджетами и, соответственно, интернетом. Помимо совершения незапланированной покупки и заражения смартфона вирусным ПО, ребенок может столкнуться с ненужной и вредной информацией. С другой стороны, мобильное устройство – отличный помощник в социализации, развитии и обучении. Как настроить доступ к сети так, чтобы оградить ребенка от опасности, рассмотрим в этой статье.

31 марта 2023
8 минут на чтение

Как работает родительский контроль и для чего он нужен?

В последнее время смартфоны обзавелись широкими возможностями. Благодаря развитию технологий маленький девайс вмещает в себе камеру, телефон, книги, телевизор, кошелек и игровую приставку. Добавляем безлимитный интернет – и получаем бесконтрольный источник информации.

Так называемый родительский контроль направлен на то, чтобы оградить детей от вредного воздействия виртуальной вселенной. Выделяется два вида такой защиты: активная и пассивная.

Под пассивным контролем подразумевается:

  • блокировка онлайн-покупок;
  • запрет на запуск определенных приложений и посещение некоторых интернет-ресурсов;
  • защита слуха и зрения;
  • уменьшение доступного экранного времени.

Активный контроль предполагает:

  • отслеживание сайтов, посещаемых ребенком;
  • контроль местонахождения;
  • проверка всех звонков, сообщений и файлов на детском устройстве;
  • блокировка запрещенного контента – материалы 18+, насилие, распространение запрещенных веществ.

Какому типу следовать, каждый выбирает самостоятельно. Важно, что оба этих подхода позволяют уберечь детей от различных опасностей, подстерегающих их в сети, а родителей – от чрезмерных переживаний за свое чадо и нежелательных трат.

Как установить и настроить родительский контроль на телефоне?

Специальное ПО для настройки родительского контроля, как правило, устанавливается по умолчанию на мобильное устройство либо требует скачивания в магазине приложений. Вот что могут предложить смартфоны на базе двух самых популярных платформ:

На Android

  • для этого сначала необходимо открыть магазин приложений;
  • нажать на иконку вашего аккаунта и найти настройки;
  • в пункте «Семья» переключите ползунок около графы «Родительский контроль» на значение «вкл».

В настройках фильтрации можно указать, какие приложения и какой контент будут ограничены. Система попросит установить пароль, который знают только родители и который можно будет использовать для изменения настроек.

Кроме того, стандартные настройки платформы позволяют ограничивать доступ к определенным приложениям:

  • откройте настройки и найдите пункт «Безопасность»;
  • нажмите на «Блокировку приложений» (в разных версиях Android пункт может называться по-разному);
  • выберите приложения, доступ к которым собираетесь ограничить.

После того как настройки будут закрыты, попасть в ограниченные программы можно будет только при помощи специального пароля или отпечатка пальца.

Среди несомненного плюса данной операционной системы – наличие встроенного отслеживания геолокации гаджета. Для того чтобы найти ребенка, достаточно заранее включить поиск телефона.

  • откройте настройки и найдите пункт «Безопасность»;
  • включите «Поиск телефона» (нередко функция включена по умолчанию, но проверить не помешает);
  • теперь для того, чтобы отыскать смартфон, зайдите на сайт google.com/android/find и войдите в аккаунт Google, который используется на телефоне;
  • здесь вы сможете увидеть местонахождение девайса, позвонить на него и заблокировать.

На iOS

  • В настройках смартфона найдите пункт «Контент и конфиденциальность».
  • В графе «Экранное время» нажмите «Включить», затем нажмите еще раз.
  • Выберите «Это устройство моего ребенка».
  • Нажмите «Использовать код-пароль», система предложит вам ввести свой идентификатор и пароль, после чего вы сможете задать пароль, известный только вам.
  • Выберите «Контент и конфиденциальность» и зайдите в графу «Ограничение».
  • В появившемся окне можно регулировать возрастные ограничения на определенных приложениях и контенте, а также ограничивать экранное время. Здесь же можно запретить совершение покупок.

Важно: если вы забыли или потеряли код-пароль, обновите смартфон до последней версии ОС, после чего у вас появится возможность сбросить код-пароль.

Программы для родительского контроля

Если встроенных инструментов блокировки вам недостаточно, можно обратиться за помощью к стороннему ПО. Рассмотрим самые популярные и эффективные приложения:

Kaspersky Safe Kids

  • создание маршрута для передвижения по безопасной территории;
  • настройка времени, в которое смартфон будет заблокирован и недоступен для использования:
  • отслеживание местонахождения ребенка в реальном времени;
  • поддержка большинства популярных платформ, может работать и на ПК, и на смартфоне;
  • контроль уровня заряда аккумулятора на детском телефоне;
  • в конце каждого месяца родители получают отчет о том, как ребенок вел себя в сети.
  • высокая стоимость;
  • не предусмотрена тревожная кнопка на экстренный случай;
  • во время использования программы наблюдается снижение скорости работы устройства.

Family Link

  • На смартфон родителей устанавливается взрослая версия программы, на устройство ребенка – детская.
  • Настраивается родительский гаджет и создается группа, куда приглашаются детские аккаунты.
  • Каждый детский аккаунт настраивается по отдельности, устанавливаются параметры родительского контроля.
  • Все данные защищаются паролем.
  • настройка экранного времени и времени работы девайса;
  • местонахождение ребенка указывается на Google Maps;
  • ограничение установки приложений и просмотра нежелательного контента;
  • управление детскими аккаунтами;
  • запрет на совершение онлайн-покупок, оплата совершается исключительно с родительского смартфона.
  • если у ребенка iPhone, воспользоваться программой не получится.
  • не устанавливается на ПК.

Parental Control Kroha

  • есть бесплатный пробный период в 5 дней;
  • приложение устанавливается на любой смартфон;
  • позволяет просматривать галерею на телефоне ребенка и контролировать его общение в сети;
  • поддерживает установку ограничения на нежелательный контент и веб-ресурсы в целом;
  • позволяет управлять несколькими устройствами (всего до 5 штук).
  • высокая стоимость.

«Где мои дети»

  • можно дозвониться ребенку, даже если на его устройстве будет включен режим «Без звука»;
  • есть тревожная кнопка, о нажатии которой сообщит специальное уведомление, автоматически отправленное на родительский гаджет;
  • можно услышать, что творится около ребенка, даже если он не отвечает на звонок;
  • местоположение отображается на карте и дополняется информацией о заряде смартфона;
  • приложение полностью бесплатное и работает на смартфонах и смарт-часах.
  • скудный функционал, касающийся ограничения нежелательного контента.

Детские браузеры

Браузеры для детей – своего рода альтернативный ответ сторонним приложениям. С их помощью переходы по веб-страницам можно сделать безопасными, а нежелательный контент и вовсе исключить из поля зрения ребенка. Вот несколько наиболее востребованных модов для установки:

  1. Kid Mode. Требует наличия аккаунта Google. В списке возможностей числится блокировка рекламы, игр и некоторых видео, создание автозакладок и более простой доступ к образовательным материалам.
  2. «Семейный поиск». Исключает из поисковой выдачи сайты с взрослым контентом и блокирует ресурсы с нецензурной лексикой.
  3. «Гогуль». Расширение, устанавливаемое в имеющийся браузер. Позволяет контролировать время, проводимое за ПК, ограничивать работу с сайтами и блокировать ресурсы, не предназначенные для детей. Не дает возможности запустить другой браузер, тем самым контролируя поисковые запросы ребенка.
  4. «Тырнет Прокси». Поддерживает работу только с теми площадками, которые были одобрены специальным комитетом.
  5. Kido’z. Гибкий браузер, настраиваемый родителями. Приложение наполнено фильтрами для интернет-контента и даже обладает собственным телеканалом.

Отключение мобильного интернета у оператора связи

Родительский контроль – услуга, предоставляемая и операторами связи. Например, функция «Дети онлайн» у Tele2 позволит родителю ограничить интернет-покупки на телефоне ребенка, отследить его местоположение и предоставить доступ к огромному количеству познавательной информации.

Но самым простым способом все же является отключение интернета на SIM-карте ребенка. Сделать это можно двумя способами:

Временное отключение

  • зайдите в настройки смартфона;
  • найдите раздел с SIM-картами и выберите ту, к которой подключен мобильный интернет;
  • найдите пункт «Точки доступа» и сбросьте настройки.

После перезагрузки мобильного устройства настройки будут возвращены, поэтому такой метод подходит только тем детям, которые о нем не знают.

Постоянное отключение

  • обратитесь к оператору через сайт или по короткому номеру;
  • попросите отключить функцию и следуйте указаниям оператора.

Если есть возможность, зайдите в личный кабинет и отключите опцию самостоятельно.

Дети онлайн

Мультфильмы, полезные сервисы и образовательные программы – 2 месяца бесплатно при первом подключении.

Блокировка доступа к интернету: способы, типы, инструменты контроля

Блокировка доступа к интернету: способы, типы, инструменты контроля

Согласно новому отчёту KeepItOn, за 2021 год выявлено 182 случая полной или частичной блокировки доступа к интернету в 34 странах мира. Проведён анализ типов вводимой блокировки, методов их обнаружения и обхода. Названы инструменты, которые позволяют надёжно выявить подобные инциденты.

  1. Введение
  2. Типы блокировки доступа к интернету
  3. Блокировка – зло или польза?
  4. Детальный анализ типов блокировки интернета
    1. 4.1. Отключение базовой инфраструктуры
    2. 4.2. Вмешательство в маршрутизацию
    3. 4.3. Манипулирование системой доменных имён
    4. 4.4. Фильтрация
    5. 4.5. Глубокая проверка пакетов (DPI)
    6. 4 6. Подмена инфраструктуры
    7. 4.7. Атака «отказ в обслуживании» (DoS)
    8. 4.8. Дросселирование

    Введение

    Международное движение KeepItOn опубликовало в начале июня отчёт с результатами глобального исследования по теме выявления случаев блокировки доступа к интернету в 2021 году.

    Согласно полученным данным, в течение прошлого года было зарегистрировано 182 таких инцидента в 34 странах мира. Их масштаб был различным, от общей блокировки глобального трафика до местного ограничения доступа к интернету. Учитывались случаи как отключения доступа только в мобильных сетях на ограниченной территории, так и полной блокировки в мобильных и магистральных сетях.

    По собранной статистике проведён анализ инструментов, которые применялись для реализации того или иного вида блокировки. Названы способы, позволяющие выявить случаи блокировки, а также обойти их, если есть такая возможность. Поскольку данные собирались сразу из разных источников, можно говорить о высокой степени достоверности опубликованных результатов.

    Движение KeepItOn существует с 2016 года. Оно объединяет в своих рядах свыше 280 организаций различного профиля из 105 стран мира. Партнёрами сообщества выступают самые разные организации: представители гражданского общества, местные и международные СМИ, правительства стран, региональные и международные управляющие органы, межправительственные организации, провайдеры телекоммуникационных и интернет-услуг, технические платформы, отраслевые ассоциации, исследовательские центры и ЦОДы, центры сетевых измерений, дипломатические миссии и многие другие.

    В число партнёров KeepItOn входят и крупные технологические компании, такие как Oracle, Google, Meta (организация, признанная в России экстремистской), Cloudflare, Mozilla, различные сообщества, например Internet Outage Detection & Analysis (IODA) и Open Observatory of Network Interference (OONI), ряд специализированных веб-сайтов.

    Рисунок 1. Статистика блокировок интернета в 2021 году (по типу сетей). Источник: KeepItOn

    Статистика блокировок интернета в 2021 году (по типу сетей)

    Типы блокировки доступа к интернету

    Согласно классификации KeepItOn, в мире встречается восемь основных типов блокировки интернета:

    1. Отключение базовой инфраструктуры — физическое отключение каналов связи на территории страны или отдельного региона.
    2. Вмешательство в маршрутизацию — вмешательство в свободный обмен трафиком операторов связи.
    3. Манипулирование системой доменных имён (DNS) — подмена ответов DNS-систем.
    4. Фильтрация — отсечение отдельных сетевых ресурсов без установки полной блокировки доступа.
    5. Глубокая проверка пакетов (DPI) — блокировка по отдельным признакам, например по протоколам.
    6. Подмена инфраструктуры — подмена легитимной инфраструктуры на её имитацию или искажённую копию.
    7. Атака «отказ в обслуживании» (DoS) — глобальная блокировка за счёт подавления пропускной способности магистральных каналов связи.
    8. Дросселирование (Throttling) — особый вид блокировки, когда запрещённый сетевой ресурс остаётся доступным, но остаточная пропускная способность канала доступа становится настолько малой, что эффективно пользоваться таким сетевым ресурсом оказывается затруднительно.

    Блокировка — зло или польза?

    Блокировка доступа к интернет-ресурсам, строго говоря, не является однозначным проявлением «добра» или «зла». Трактовка во многом зависит от целей совершаемых действий, а также отношения к ним.

    Например, недавно сообщалось, что эксперты антивирусной компании ESET проанализировали, как разные страны решают проблемы с запрещёнными или вредоносными сайтами. Результаты исследования показали, что Россия заняла первое место по числу заблокированных веб-ресурсов.

    Доля отфильтрованных фейковых сайтов в России составила 12,8 %. В топ-5 вошли Япония (8,2 %), Польша (5 %), Перу (4,6 %) и Украина (4,1 %).

    Речь в данном случае идёт о блокировке сайтов, контент которых был признан (тем или иным уполномоченным органом) как фейковый. В результате сайт классифицируется как источник распространения поддельных данных и подлежит фильтрации.

    Детальный анализ типов блокировки интернета

    Рассмотрим в деталях каждый вид блокировки в отдельности.

    Отключение базовой инфраструктуры

    Данный тип блокировки осуществляется чаще всего путём отключения питания магистральной электросети или вышек сотовой связи в районе действия блокировки. Заказчик при этом может скрывать истинную причину происходящего, что ставит пользователей в тупик относительно оценки событий.

    Метод отличается высокой надёжностью блокировки. Физическое восстановление трафика возможно только после возобновления подачи электропитания. Но реализация этого метода, особенно в мобильных сетях, может столкнуться с риском отказа в её осуществлении или симуляции ввода блокировки, особенно если речь идёт о необходимых действиях телеком-оператора, штаб-квартира которого находится в другой стране. В этом случае возникают законодательные или процедурные препятствия для ввода режима блокировки на определённой территории. В то же время такой способ позволяет ввести блокировку единовременно, а эффект срабатывания проявится немедленно.

    Обнаружить отключение базовой инфраструктуры сети не представляет особого труда. Но гораздо труднее выявить причину. Отключение питания необязательно связано с блокировкой, это может быть также результатом технического сбоя или непреднамеренного отключения.

    Возможность обхода блокировки: в отдельных случаях для обхода физического отключения инфраструктуры можно использовать спутниковые каналы связи, каналы пакетного и цифрового радио, альтернативную телекоммуникационную инфраструктуру, а также оборудование работающее от аккумуляторов.

    Рисунок 2. Статистика блокировок интернета в 2021 году (по регионам). Источник: KeepItOn

    Статистика блокировок интернета в 2021 году (по регионам)

    Вмешательство в маршрутизацию

    Это вариант блокировки наиболее прост в реализации для заказчика. Он также эффективен, особенно когда ставится широкая задача — полностью блокировать доступ ко внешним ресурсам за пределами страны.

    Суть метода состоит в том, чтобы заменить маршрутную информацию в ключевых узлах сетевой инфраструктуры (на шлюзах сочленения с международным интернетом).

    В то же время у этого способа есть и свои минусы. На распространение изменений, внесённых в таблицы маршрутизации, требуется время. Поэтому эффект блокировки не может наступить мгновенно. Невозможно также мгновенное восстановление доступа после возврата маршрутов в оригинальное состояние.

    Кроме того, многие протоколы маршрутизации имеют специальные механизмы, которые помогают им автоматически обходить возникающие на коммуникационных узлах перегрузки или отключения. В определённой степени это препятствует распространению процесса блокировки.

    Как выявить блокировку: манипуляции с таблицами маршрутизации выявляются в сетях автоматически. Информацию об этом получают операторы связи.

    Возможность обхода блокировки: обойти этот вариант блокировки трудно. Единственный способ — иметь вход в интернет через сегмент сети, где нет подмены маршрутизации.

    Манипулирование системой доменных имён

    Манипулирование DNS похоже на вмешательство в маршрутизацию, но в этом случае делается акцент на IP-адресации ресурсов.

    Этим способом часто пользуются мошенники. Например, подменяя DNS-адрес коммуникационной платформы, можно перенаправить трафик на вредоносный ресурс или обеспечить отключение услуг блокируемой платформы.

    Действия правительств реализуются по аналогичной схеме. Для реализации важно, чтобы государство имело возможность напрямую работать с интернет-провайдерами. Именно на их адреса первичных DNS-серверов приходят пользователи, если в своих настройках сети они выбрали опцию автоматического получения данных.

    Возможность обхода блокировки: для обхода блокировки следует использовать доверенные и неподконтрольные регулятору DNS-серверы.

    В случае работающего спуфинга (перехвата и подмены трафика) следует применять VPN и доверенные DNS-серверы, находящиеся вне юрисдикции регулятора. Для выстраивания более сильной защиты может пригодиться использование DNSSEC (безопасного DNS), DoT (DNS через TLS) или DoH (DNS через HTTPS). DoT и DoH шифруют DNS-трафик.

    Существуют и более действенные меры для обхода блокировок через DNS-серверы. Это — размещение сайтов в дипвебе (Deep Web), например в «луковом» домене .ONION. Именно так, например, поступил Twitter, который запустил «луковый» сервис после блокировки социальной сети на территории России.

    Суть метода состоит в том, что адреса «луковых» сайтов, хотя и могут выглядеть вполне «читаемыми» (например, ab7q4c5dl4xys5sn.onion), не зарегистрированы в системе DNS. Поэтому их блокировка на уровне DNS неосуществима.

    Адрес «лукового» сайта является первой частью хешированного SHA-1 открытого ключа RSA. При его вводе Tor-подобный сервис не отправляет адрес на разрешение через DNS-сервер для получения нужного IP-адреса, а запрашивает каталог скрытых сервисов. Его может запустить добровольно любой желающий.

    В результате Tor-сервис Twitter, реализованный на базе инструмента Enterprise Onion Toolkit (EOTK), позволяет владельцам веб-ресурсов добавлять URL вида «*.onion» к своему домену за считаные минуты.

    Впрочем, вопросы остаются. Использование браузера Tor, а по сути — применение лежащей в его основе особой технологии маршрутизации попало под блокировку на территории нашей страны. Поэтому некоммерческая организация Tor Project, стоящая за его разработкой, подала апелляцию на решение российского суда о блокировке. Помогать НКО в обжаловании решения будет «Роскомсвобода».

    Надо добавить, что данная технология не только обеспечивает размещение маркетплейсов различных запрещённых продуктов и услуг, а, по слухам, также очень широко используется, например, в научных исследованиях, в работе альтернативных, непубличных сетей, в том числе оборонных, правоохранительных, правозащитных направлений. Поэтому решение проблемы не настолько просто и прямолинейно, как может показаться с первого взгляда.

    Фильтрация

    Блокировка путём фильтрации обычно реализуется через настройку сетевых устройств. Так можно легко настроить блокировку доступа к определённым коммуникационным платформам, например Facebook (социальная сеть, признанная в России экстремистской), Twitter, WhatsApp.

    Для блокировки обычно используется сетевое устройство, находящееся в магистральной сети. Если заказчик не имеет прямого доступа к такому устройству, то он выдаёт соответствующее предписание каждому оператору или провайдеру, работающему в стране. Это предписание является обязательным к исполнению.

    Второй, децентрализованный, способ установки блокировки легко отличить от первого по важному признаку: применение разных правил фильтрации для блокировки определённого веб-ресурса у разных операторов / провайдеров. Расхождения возникают из-за того, что среди операторов не существует заранее выверенных, единообразных правил установки запретов. Поэтому блокировка со стороны одного интернет-провайдера может распространяться, например, на всю структуру домена, тогда как другой оператор может блокировать только базовый домен, оставляя без контроля те части, которые находятся ниже (что позволяет пользователям обходить ограничения).

    Данный тип блокировки легко реализовать, когда количество участвующих в фильтрации устройств невелико. Поэтому такой способ активно применяют внутри крупных компаний, когда хотят, например, установить запрет на доступ к социальным платформам с рабочих мест внутри корпоративных сетей. В то же время для реализации фильтрации на общенациональном уровне требуется привлечение значительных инвестиций: для проектирования, развёртывания и обслуживания таких перенастроенных сетей.

    Устройства, участвующие в фильтрации, работают на анализе метаданных, относящихся к коммуникационному трафику: исходный и целевой IP-адреса, имя и адрес домена назначения, порт источника и порт назначения, полный путь к ресурсу, расширение файла и т. д.

    Возможность обхода блокировки: в большинстве случаев для обхода такой блокировки достаточно перейти на использование доверенного VPN-сервиса. Можно также пользоваться открытыми защищёнными (HTTPS) прокси-серверами, расположенными за пределами подвергшейся фильтрации сети.

    Рисунок 3. Фильтрация мобильных сетей активно применяется при народных волнениях. Источник: Techpoint Africa

    Фильтрация мобильных сетей активно применяется при народных волнениях

    Глубокая проверка пакетов (DPI)

    В арсенале многих государств широко представлены различные средства DPI, которые применяются для онлайн-наблюдения в целях защиты национальной безопасности или борьбы с организованной преступностью. Некоторые страны, такие как Китай, широко используют также технологию встраивания DPI в потребительские устройства для разрыва соединений в сетях, которые не соответствуют протоколам из списка разрешённых (также называемого «белым списком»).

    Устройства DPI, которые установлены на ключевых сетевых магистралях, могут быть использованы для выполнения DPI-блокировки. С их помощью можно реализовать фильтрацию в национальном масштабе с применением всевозможных разрешающих правил или эвристических подходов, основанных на оценке содержания сообщений, привлекать метаданные. Это создаёт исключительную гибкость в настройке блокировки. Более того, DPI позволяет также выявлять приёмы, которые используются подписчиками блокируемого веб-ресурса для обхода установленной цензуры, например через запутывание выбора протокола.

    В то же время DPI-блокировки очень сложны для внедрения на национальном уровне. При включении этой опции возникают значительные задержки в сети. Пакеты приходится вытягивать из сети, затем собирать обратно в соответствии с протоколом их передачи более высокого уровня. Требуется проводить проверки на соответствие действующим правилам. Всё это сильно усложняет работу сети.

    Возможность обхода блокировки: для обхода блокировки чаще всего применяют VPN или открытый прокси-сервер HTTPS, который расположен за пределами подвергшейся блокировке сети. Если устройство DPI является логическим, то выявить его и обойти становится значительно труднее. В таких случаях часто используют прокси-серверы, которые запутывают реальные связи и позволяют скрыть использование доступа к запрещённому контенту.

    Подмена инфраструктуры

    Этот способ блокировки чаще всего относят к мошенничеству, когда вследствие злонамеренной подмены законной инфраструктуры пользователь попадает на её имитацию. Реализуется он следующим образом: «злоумышленник» внедряет (обычно временно) в локальный или сетевой сегмент уже существующей инфраструктуры дополнительный механизм, посредством которого происходит клонирование последней. У пользователя создаётся впечатление, что, обращаясь по привычному адресу, он продолжает работать с законной инфраструктурой, хотя вместо неё он прозрачно подключает свои устройства к мошеннической сети. В этом случае его коммуникации передаются в руки оператора-мошенника.

    Подобный тип блокировки чаще всего реализуют в радиосетях путём подмены мобильных точек доступа (Wi-Fi).

    Блокировка этого типа может выполняться с разными целями — от вывода оборудования пользователя из строя до реализации попыток кражи данных или проникновения в частную сеть. Выявить этот тип блокировки могут только сами пользователи, если используют подходящие средства контроля.

    Возможность обхода блокировки: обычно единственным действенным средством обхода при установке этого типа блокировки является прекращение работы через мошеннические узлы. Например, в случае обнаружения перехвата сети через Wi-Fi можно перейти на проводное (Ethernet) соединение.

    В случае обнаружения блокировки этого типа в мобильных сетях выход может состоять в переходе на внешнюю MESH-антенну (например, goTenna). Однако если блокировку этого типа устанавливает государство, то такой способ приемлем до тех пор, пока власти ещё не развернули соответствующее оборудование для компрометации MESH-сетей.

    Атака «отказ в обслуживании» (DoS)

    Блокировку путём проведения DDoS- и DoS-атак могут использовать злоумышленники — например, когда они предпринимают попытку вывести из рабочего состояния интернет-коммуникации страны. Если для России такой вариант смотрится нереальным, то для небольших стран он вполне реализуем.

    Примером подобной атаки может служить история произошедшая в ноябре 2016 года. Тогда создатели ботнета Mirai попытались отключить подводный кабель, через который Либерия получала доступ к интернету. Их попытка завершилась провалом, но эффект был замечен.

    Этим же способом могут воспользоваться и правительства, если они поставили перед собой цель лишить население небольшой страны доступа к интернету. Атака может быть осуществлена силами третьей компании.

    К этому типу блокировки относятся также способы подавления мобильного доступа к интернету через установку радиопомех. Они будут мешать нормальной работе оборудования, приводя к невозможности пользоваться интернетом. Примером реального применения можно назвать отключение доступа к спутниковому интернету в Иране.

    Возможность обхода блокировки: лучшим способом смягчения DDoS-атаки в этом случае будет использование провайдера услуг защиты от отказа в обслуживании (DoSP). Однако настройку таких систем надо проводить до того, когда начнётся фактическая атака.

    Существуют бесплатные DoSP для гражданских организаций: Project Galileo от Cloudflare и Deflect от компании eQualit.ie.

    В то же время в случае блокировки через установку радиопомех обойти её практически невозможно.

    Дросселирование

    Блокировка интернета путем «дросселирования» — это искусственное уменьшение полосы пропускания. Оно не приводит к остановке трафика, но настолько занижает пропускную способность, что несмотря на доступность интернета и его служб работать с ними становится практически невозможно. Это делает запрашиваемую веб-службу или ресурс бесполезными.

    Существует немало технических средств для ограничения или замедления доступа к интернету. К ним относятся регулирование QoS (качества обслуживания) по используемому протоколу, управление пропускной способностью по IP-адресам источника или получателя, управление настройкой IP-подсетей, выстраивание VLAN (виртуальных локальных сетей) или управление MAC-адресами, применение политик к формированию трафика, запуск глубокой проверки пакетов на уровне 5 и выше модели OSI, управление NIC (контроллером сетевого интерфейса) или разделение портов на канальном уровне 2 в OSI.

    Эти методы позволяют ограничить трафик для всех соединений (или только для части из них) по протоколу, источнику, месту назначения передачи пакетов и т. д.

    Возможность обхода блокировки: для восстановления доступа при таком способе блокировки следует использовать VPN, коммуникационные платформы с промежуточным хранением данных или прокси-серверы обфускации (которые затрудняют правильную интерпретацию передаваемых данных). Можно также применить инкапсулирование трафика в другой протокол, не затронутый регулированием.

    К сожалению, доступные варианты обхода обычно дают ограниченную пропускную способность и высокую задержку.

    Выводы

    Многочисленные блокировки доступа к интернету, которые были выявлены движением KeepItOn в 34 странах мира за 2021 год, позволили подготовить отчёт о ландшафте применяемых технологий, распространённости инцидентов, способах их выявления и обхода. Цель публикации этого исследования — показать гражданам и заинтересованным компаниям широту применяемых решений, их сильные и слабые стороны, а также риски, с которыми могут сталкиваться те или иные общественные группы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *