Привет, Хабр! (И тебе, страдалец, который идя по улице не может зайти в приложения банка.)

В последнее время меня не отпускает одна мысль. Она засела в голове как тихий, но навязчивый системный процесс и пожирает ресурсы мозга, особенно когда читаешь новости об очередных блокировках и «белых списках», а особенно когда с ними сталкиваешься ежедневно так как я из региона. И я подумал, что неплохо бы разобраться в этом вопросе и заодно немного пофантазировать. Как делаю это я каждый раз сталкиваясь с напастью в виде не открывающегося приложения.

Сегодня мы заглянем под капот - чисто гипотетически! - того самого «Великого НАШЕГО Белого Файрвола» и задумаемся: что если бы РКН подошли к вопросу не как политики, а как инженеры с истинной педантичностью?

Короче статья будет не особо технической, так как превзойти авторов которые уже написали на эту тему большие исчерпывающие статьи я не ставлю цели. Эта статья про фан, в такое не простое время для российского интернета, так что поехали.

Пасхалка: исходный код суверенитета

Говорят, в недрах Роскомнадзора, среди тысяч строк lifecycle-политик и конфигурационных скриптов, разбросанных по ТСПУ - техническим средствам противодействия угрозам - живёт загадочный кусочек. Это специальное оборудование РКН, установленное у операторов сотовой связи и пропускающее через себя 100% трафика, но не весь подряд. Предполагается, что где-то там в недрах есть некий «софтовый фильтр», примерно такой:

# core/sovereignty_engine.py
FOREIGN_DOMAINS = [...]      # Блокируем всё зарубежное по GeoIP
RESOURCE_BLOCKLIST = [...]   # Точечно бьем по особо нежелательным ресурсам

И вот тут и начинается самое интересное. Судя по (вымышленным) фрагментам, у ребят, возможно, стоит строгий линтер, который не терпит смешения языков в нейминге. Если уж они стремятся к технологической независимости, то никаких WHITE_LISTS, white_lists или whiteList там быть не может. Только хардкор и дух Рунета:

# Это вам не какой-то импортозамещённый фреймворк, а истинно русская инженерия!

from roskomnadzor import БелыйСписок

Вы только вдумайтесь в эту красоту! Как поэтично звучит этот импорт. Никаких компромиссов: если мы строим наш интернет, пакет должен называться не rkn, а roskomnadzor, и экспортировать - только БелыйСписок. Ведь если изолироваться от зарубежных ресурсов, то делать это надо последовательно, на всех уровнях стека.

Как белый список работает в реальности

Мой гипотетический БелыйСписок - это не просто перечень разрешённых URL. Это двухуровневая фильтрация трафика, которая по слухам работает так:

На уровне IP (L3) - разрешённые подсети, в которые пакет может «идти дальше». Если IP назначения не в белом списке, пакет дропается сразу - т.е. физически не покидает сеть оператора.

На уровне SNI (L7 TLS ClientHello) - если IP разрешён, система смотрит, какое имя домена клиент пытается открыть. Если SNI не разрешён - соединение сбрасывается.

Проще говоря, фильтр бьёт не по адресам страницы, а по реальным сетевым пактам и их метаданным. Если у тебя IP или имя хоста нет в списке - то ничего ты не получишь!

Гипотетический класс БелыйСписок

Чтобы лучше понять, давайте представим, как мог бы выглядеть код такой системы:

class БелыйСписок:
    """
    Главный фильтр сетевого трафика.
    Всё, что не разрешено — запрещено.
    """

    РАЗРЕШЁННЫЕ_IP = [
        '77.88.55.0/24',   # Подсеть Яндекса
        '87.240.128.0/24', # Подсеть VK
        # ... ещё CIDR
    ]

    РАЗРЕШЁННЫЕ_SNI = [
        'gosuslugi.ru',    # Святой Грааль
        'max.ru',          # Модный мессенджер
        'vkontakte.ru',    # Без него никуда
        'nalog.ru',        # Штрафы сами себя не отправят
        'yandex.ru',       # Народный поисковик
        '2gis.ru',         # Чтобы не заблудиться
        # TODO: дописать банки
    ]

    def проверить_пакет(self, ip, sni):
        if not self._ip_в_разрешённых(ip):
            raise НеПройденаПроверкаНаБлагонадёжность("IP не в белом списке")
        if not self._sni_в_разрешённых(sni):
            raise НеПройденаПроверкаНаБлагонадёжность("SNI не прошёл проверку")
        return True

    def _ip_в_разрешённых(self, ip):
        # Сложная проверка CIDR опущена, вернём True, если в списке
        pass

    def _sni_в_разрешённых(self, sni):
        return sni in self.РАЗРЕШЁННЫЕ_SNI

Фильтр истинности, или как «запретить всё, кроме»

В этой архитектуре белый список - не просто перечень разрешённых URL. Это строгий фильтр доступа, который отсекает неугодные ресурсы на самой базовой сетевой инфраструктуре.

Google, Wikipedia, GitHub, YouTube - все они оказываются за пределами белого списка на уровне IP или SNI, и поэтому автоматически недоступны, без нужды отдельно блокировать каждый из них.

Есть даже моя ноу-хау версия «алгоритма проверки»:

def является_ли_пакет_истинно_российским(данные):
    if 'gzip' in str(данные):
        # Gzip был изобретён во Франции — увольняем пакет!
        return False
    if 'Content-Type: application/json' in str(данные):
        # JSON — заслуга американца, пора переходить на отечественные форматы
        return False
    return True

Импортозамещение логов и сообщений

Когда система работает исключительно на русском - это должно отражается даже в логах:

[ОШИБКА] [фильтр_белый_список]: Домен 'playstation.com' не найден. Возможно, вы хотели открыть MAX?

Вместо привычного англоязычного сообщения:

[ERROR] [white_list_filter]: Domain 'playstation.com' not found in allowed list, dropping packet.

А ещё у меня есть идея: раз мы контролируем трафик, можно делать редиректы с неразрешённых URL на отечественные сайты - тогда и ошибок не будет, а пользователи будто бы «перенаправлены на родное» (с кодом 301).

Технические нюансы и лотерея белых списков

Но не всё так просто. Белые списки, по сообщениям с рынка, имеют одну неприятную особенность: оборудование РКН (ТСПУ) зачастую не справляется с пропускной способностью, если включён максимальный режим белого списка - который дропает всё, кроме разрешённого.

Когда нагрузка возрастает, система переходит в аварийный режим «пропускать без фильтров».

Здесь нужно такое сообщение: Обнаружена перегрузка системы. Просьба не злоупотреблять и не заходить на ресурсы без домена .ru.

Заключение, которое мы заслужили

Конечно, всё это - плод моих фантазий. В реальности белые списки - очень сложный многослойный механизм, который внедряется неравномерно и отличается по регионам, операторам и даже точкам доступа.

Но с банками и некоторыми другими сервисами становиться грустно, когда ты идёшь по улице и понимаешь, что не можешь зайти в важное приложение из-за ограничений. Не говоря уже о ютубчике или чём-то подобном (западном).

Если однажды среди вакансий вы увидите объявление:

«Требуется Senior Python Developer. Обязательно знание фреймворка roskomnadzor. Опыт работы с классами БелыйСписок и ПатриотическийПакет приветствуется»

- Знайте, я был к этому морально готов.

Мне очень понравилась статья - Это — всё что вам надо знать о белых списках: как устроены и 6 способов обхода рекомендую и по этому я написал не пересказ того же, а более ироничный и упрощённый взгляд на то что происходит с интернетом, тем болеем накопилось этого во мне.

Спасибо, что дочитали! Надеюсь, эта небольшая инженерная фантазия немного расширила представление о том, как устроено интернет-пространство сегодня. Пишите свои мысли, иронию, и фантазируйте в комментах, я думаю это будет интересно.