Последнее время всё чаще пробегают новости про «суверенный интернет», «отключение интернета» и прочие ужасы. Однако, по состоянию на начало 2017 года, отключить российский сегмент от остальной сети и оставить его работоспособным представляется маловероятным.
Давайте попробуем рассмотреть детально.
Что представляет собой сейчас Интернет (в сильно упрощенном виде): в основном это работа клиент-сервер по протоколу HTTP/HTTPS/HTTP2 и в меньшем количестве остальные протоколы (обмен сообщениями, аудио-видео связь, торренты и т.п.). В связи с инициативой изготовителей браузеров, в 2017 году скорее всего сайты без шифрования будут считаться небезопасными и состоится полный переход с HTTP на HTTPS.
По рекомендации товарищей, которым я показывал черновик статьи, добавил информацию о том, что происходит при открытии сайта на устройстве клиента.
В РФ две типовые схемы доступа в Интернет — мобильный 4G/3G/2G и домашний (WiFi или провод от домашнего роутера). Таким образом, когда пользователь хочет обратиться к сайту https://vasyapupkin99.ru
, происходит следующее:
1. Браузер обращается в DNS рекурсору провайдера (или домашнего роутера) за получением IP и/или IPv6 адресов, соответствующих имени сайта. В свою очередь, DNS рекурсор обращается либо к вышестоящему рекурсору, либо к зарубежным корневым серверам (буква.root-servers.net.). Для доменов .RU и.РФ (точнее, xn--p1ai.) корневые сервера отдают записи NS, которые ссылаются на буква.dns.ripn.net. (корневые для .RU и.РФ), для зарубежных доменов — на другие аналогичные зарубежные DNS сервера. Для DNS также имеется цифровая подпись DNSSEC, ключи проверяются, начиная от корневых серверов и могут меняться периодически.
2. Браузер обращается на порт 443/tcp, начинает устанавливать шифрованное TLS соединение, проверяет сертификат сервера. Сертификат подписан зарубежным удостоверяющим центром, также браузер проверяет валидность сертификата (OCSP или устаревший CRL). В настоящее время в РФ нет своих удостоверяющих центров, которым доверяют производители браузеров.
3. В случае успешной установки TLS соединения, далее происходит получение страницы HTML и для содержимого страницы (графика, скрипты и т.п.) — аналогичные запросы (начиная с п.1).
Следует обратить внимание, что сайт может использовать ресурсы с других доменов, т.е. размещение сайта в зоне RU никак не гарантирует, что содержимое будет получено также из зоны RU, более того, весьма популярным у вебмастеров является размещение скриптов и графики на CDN, в том числе (а может быть и в основном) и на зарубежных.
Таким образом, мы видим, что система DNS не является «суверенной» и полностью зависит от зарубежной корневой зоны. Аналогично с SSL сертификатами — их выдача и отзыв также осуществляется зарубежными компаниями.
А что с IP адресами? Оказывается, что назначение IP адресов, номеров AS, ведение списков для взаимодействия провайдеров по BGP осуществляется организацией Réseaux IP Européens Network Coordination Centre (RIPE NCC), офис которой находится в Амстердаме, Нидерланды. Некоторые отечественные компании являются членами этой организации и ежегодно выплачивают членские взносы. Взамен получают возможность использовать IP и IPv6 адреса и номера автономных систем в протоколе BGP, размещать информацию о своих ресурсах в базе данных RIPE. Создать аналогичный «суверенный» центр затруднительно как минимум, ввиду того, что свободные IP (v4) адреса уже закончились.
Между клиентом и сайтом трафик проходит через несколько интернет провайдеров, которые принято разделять на магистральные и региональные. Магистральные провайдеры имеют высокоскоростные сети между регионами и продают трафик региональным провайдерам. Последние годы происходит «укрупнение» таких организаций, в итоге одна компания является и магистральным провайдером, и региональным — розничным (Ростелеком, ТТК, Мегафон, Билайн, МТС и т.д.), однако еще остаётся значительное число независимых провайдеров, которые зачастую работают более оптимизированно, чем крупные игроки, и предоставляют услуги с лучшим качеством и ценой. Обычно такие независимые провайдеры подключены к нескольким магистральным провайдерам и к региональной точке обмена трафиком. В свою очередь, магистральные провайдеры между собой не всегда имеют достаточное количество точек обмена трафиком в РФ, а иногда, в силу технических и экономических причин, внутрироссийский трафик может проходить через зарубежные точки обмена (в основном, Германия и Нидерланды).
Теперь перейдём к размещению сайтов. Крупные проекты (например, поисковые системы, социальные сети, почтовые службы) имеют собственные датацентры. Меньшие — арендуют мощности (например, новостные сайты, крупные интернет-магазины и т.п.). Для мелких и средних проектов цена размещения играет ключевую роль. Очень многие сайты в доменах RU и РФ размещены на зарубежных серверах. Даже с нынешним курсом иностранных валют это зачастую выгоднее, чем размещение внутри страны. Обычно, в комплекте с размещением сайта или арендой физического или виртуального сервера идут дополнительные услуги, часто бесплатно: выделение IP адресов, виртуальная локальная сеть, защита от DDoS атак. Сравните сами цены на аналогичные конфигурации у отечественных хостеров и, например, у французской компании OVH и немецкой Hetzner.
Теперь о содержимом. Большинство современных сайтов строятся на opensource технологиях, исходные тексты которых, в свою очередь, размещены на зарубежных (sourceforge, github, bitbucket и т.п.). Популярные JavaScript библиотеки зачастую не копируются в код сайта, а используются в виде ссылок на зарубежные CDN.
Давайте теперь предположим, что случился «судный день» и в РФ разорвалась трансграничная связность по Интернет. Что получаем:
1.Проблемы с DNS. Большая часть корневых DNS будет недоступна (в России есть зеркала только 3 корневых DNS). С большой вероятностью, это вызовет задержки в резолве доменов RU и РФ. Также пропадёт возможность резолва зарубежных доменов. Пропадет связь с скриптами на зарубежных CDN и сайтами на зарубежных хостингах.
2.Проблемы со связностью. К счастью, в настоящее время большинство провайдеров имеет хорошую связность в РФ и подключение к точкам обмена. Могут возникнуть проблемы из-за перестройки списков доступа у провайдеров, которые составляются по данным из базы RIPE.
3.Проблема с проверкой SSL сертификатов. Обычно это выглядит как огромный таймаут при подключении к сайту и страшное сообщение «небезопасный сертификат» в браузере.
4.Разные другие проблемы: не будут работать поисковики, мессенжеры, репозитории кода, SIP телефония от зарубежных провайдеров и т.д и т.п.
5.Наверняка еще что-то. Предложите свой вариант.
Вывод: в настоящее время невозможно отключить российский сегмент сети от остального мира так, чтобы он нормально продолжил работать.
Прошу прокомментировать, может быть я что-то не учел, или написал лишнего.
ссылка на оригинал статьи https://habrahabr.ru/post/318900/
Добавить комментарий