ФСБ и МВД будут искать сервисы-анонимайзеры и VPN

> > А c vps, vps'ом-то как?!

> Ы?

Чего Ы? Резиденты Российской Федерации должны хоститься только на серверах, установленных на территории Российской Федерации, внутри периметра, охраняемого Роскомнадзором.

> я смутно представляю, как они будут глушить те же анонимайзеры или VPNы, которыми, насколько я слышал, даже в Китае пользуются...

Для начала будут взяты под контроль все точки обмена трафиком с зарубежными странами, если они ещё не взяты. Организация новых точек обмена трафиком с зарубежными странами будет возможна только с разрешения соответствующих контролирующих органов.

Далее, в данных точках будет установлено оборудование, которое будет принудительно блокировать трафик VPN в соответствии с определёнными политиками. Политик таких известно ровно две: весь VPN запретить, разрешить VPN только доверенным организациям и частным лицам (т.н. белый список доступа), либо весь VPN разрешить, запретить только VPN конкретных организаций и частных лиц (чёрный список блокировок). Скорее всего, будет реализован белый список доступа, как в Узбекистане и иже с ним. В качестве идентификационных признаков организаций и частных лиц будут использоваться выделенные им их провайдерами сетевые адреса.

В случае с анонимайзерами всё немного сложнее. Трафик в сторону анонимайзеров сложнее отследить, потому что он зачастую ничем не отличается от трафика обычных защищённых веб-сайтов. Но и тут есть методы вклинивания в защищённый обмен с целью анализа содержимого и блокирования доступа по определённым признакам, присущим трафику анонимайзеров. Вкратце, в тех самых контролируемых точках обмена трафиком будут установлены дополнительные устройства, которые будут изображать для пользователей российского сегмента интернета все зарубежные защищённые сайты. Для российских пользователей доступ к защищённым зарубежным сайтам окажется полностью блокированным до тех пор, пока они не импортируют в свои системы сертификат определённого удостоверяющего центра, обслуживающего данные устройства.

Ну и, наконец, за границей и всеми посольствами зарубежных стран будут неусыпно наблюдать на предмет обнаружения несанкционированной радиорелейной связи, а комплекты спутникового доступа будут поставлены на учёт, либо их использование будет вообще запрещено. Возможен также вариант принудительного радиоглушения несанкционированно установленного оборудования радиорелейной и спутниковой связи.

> Это уже сложно технически - понять, где обычный сервер, который обслуживает обычные сайты, а где сервер, на котором частный VPS.

[Смотрит снисходительно]

Способ номер один.
1. Принимаем закон о запрете использования зарубежного хостинга резидентами РФ.
2. Составляем реестр зарубежных хостинговых компаний.
3. Устанавливаем в хуизе блоки адресов, выделенных компаниям из составленного реестра.
4. Передаём перечень установленных блоков адресов провайдерам для блокирования обычным порядком
5. Повторяем, начиная с п.2
...
PROFIT!!!

Способ номер два.
1. Принимаем закон о регулировании использования зарубежного VPN резидентами РФ.
2. Данным законом объявляем деятельность по организации VPN за рубеж лицензируемой.
3. Запрещаем использование зарубежного VPN всем, кроме организаций, получивших соответствующую лицензию.
4. Лицензирование организаций поручаем ФСБ/ФСТЭК.
5. Разработку и внедрение технических мер по реализации требований данного закона возлагаем на провайдеров.

Провайдеры воют, истекают горючими слезьми, кровью из-под ногтей и деньгами из кошельков и блокируют на своём оборудовании трафик GRE, IPIP, L2TP, PPTP, IPsec, SSH, OpenVPN, SSTP и прочих туннельных протоколов, идущих за рубеж и из-за рубежа. Для блокировки SSH, OpenVPN и SSTP в принудительном порядке они внедряют MitM с подменой открытых ключей/сертификатов. Для своих клиентов, имеющих лицензию ФСБ/ФСТЭК, они делают исключения из вышеописанной блокировки.
...
Опять же, PROFIT!!!

> Так в том то и дело, что все сайты в интернете на тех или иных хостингах (часть, конечно, на непубличных - типа серверов Google, которые в собственных дата-центрах Google).

И? Примем ещё один закон, обязывающий резидентов РФ публиковать свои сайты исключительно у хостинг-провайдеров, физически разместивших свои ЦОДы на территории РФ! PROFIT??? PROFIT!!! Эти сервера ещё и физически изъять при случае можно будет. В общем, кругом один сплошной PROFIT!!!

> Технически это не так просто сделать ...

Делается всё очень просто, и я это всё наблюдал лично, когда в конторе, в которой я работал, поставили систему предотвращения утечек информации (DLP) и заставили её вскрывать SSL/TLS подменой сертификатов веб-серверов. Естественно, браузеры немедленно оповещают о такой подмене, и отказываются работать по https://. Но с этим всё просто -- не хочешь, не работай. Хочешь работать -- изволь доверять корневому сертификату, используемому DLP.

> ... а для OpenVPN - думаю вообще невозможно,

С OpenVPN вообще всё отлично. После внедрения такой системы он вообще перестанет работать.

> т.к. внешне соединение по этому протоколу выглядить как обычное SSH соединение.

Не SSH, а SSL/TLS.

Причем, следует понимать, что трафик и SSH, и SSL/TLS обладает определёнными характерными признаками, которые позволяют определить его даже на нестандартных портах.

> Ну я имел ввиду без паяльника модификации трафика. :-)

Без модификации -- никак.

> На практике конечно никто не сунется в зону банковских интересов, ...

Зона банковских интересов будет соблюдаться путём использования белых списков.

> ... т.е. ломать шифрованный трафик ...

Ну, то есть, принятие поправок в закон, требующих от операторов хранить весь трафик клиентов, в том числе и шифрованный, тебе ни на что не намекает? Когда станет понятно, что вскрыть перехваченный и записанный в соответствии с этими требованиями шифрованный трафик невозможно, потому что согласование сеансовых ключей выполнялось по схеме Диффи-Хеллмана, единственным возможным следующим шагом будет вклинивание в работу этой самой схемы. Ну, за исключением принудительного понижения криптостойкости используемых алгоритмов шифрования. См. тж. ниже про индусов.

> ... или запрещать отдельные протоколы никто не позволит.

Щаззз. Узбеки, например, заблокировали у себя зарубежный IPsec VPN чуть ли не в 2008 году. Разрешали только юрлицам, которые должны были ещё добиться внесения адресов своих VPN-концентраторов в белый список. OpenVPN, правда, тогда работал, им и спасались. А индусы поступили ещё проще. У них было всё разрешено, но для шифрования зарубежного трафика можно было использовать только DES, который к тому времени уже давно был взломан.

> Любопытно,а USB порты запретили?

Почему запретили? Просто у тех, кому по должности флешками пользоваться было не положено, флешки работать перестали.

> Ну это ты обрисовал схему, слишком сложную и умную для нашего РКН.

Не то, чтобы я её обрисовал, скорее, я её спалил :)