В сети появилась методичка для выявления сетевых средств обхода
В Telegram-канале «Профсоюз работников IT» опубликовали в открытом доступе методичку для российских IT-компаний по борьбе с VPN. «Делимся с вами документом под названием „Методика выявления признаков использования средств обхода блокировок на клиентских устройствах“», — пояснили на профильном ресурсе.
Методика предлагает трехэтапную проверку. Сначала компании должны анализировать IP-адрес входящего соединения: сверять геолокацию, ASN, принадлежность адреса к инфраструктуре дата-центров и хостинг-провайдеров, а также сопоставлять данные с репутационными списками VPN, прокси и узлов TOR. В документе указано, что основной GeoIP-базой должна стать система РАНР, а до ее запуска допускается использование MaxMind и IP2Location. Совпадение IP со списками VPN или TOR в методике рассматривается как признак выявленного обхода независимо от геолокации.
Второй этап касается мобильных устройств и разделен на два подэтапа. Сначала предлагается искать прямые признаки VPN и proxy на Android и iOS, затем подключать косвенные признаки, чтобы повысить точность и снизить число ложных срабатываний. Проверку рекомендуют запускать в момент входа, аутентификации или другого ключевого действия, а не постоянно, поскольку непрерывный мониторинг увеличивает расход трафика и заряд батареи.
Для Android методика описывает использование системных API ConnectivityManager и NetworkCapabilities. Среди прямых признаков перечислены системные флаги и параметры вроде IS_VPN, TRANSPORT_VPN и VpnTransportInfo. Для proxy предлагается дополнительно анализировать системные настройки, включая IP, порт и типовые диапазоны портов для SOCKS, HTTP и Tor.
Третий этап касается устройств под управлением Windows, macOS, Linux и UNIX. Для таких систем методика описывает анализ сетевых интерфейсов, таблиц маршрутизации, DNS-настроек и MTU. Среди косвенных признаков упоминаются характерные имена интерфейсов вроде tun, tap, wg, utun и ppp, но документ отдельно оговаривает, что такие признаки нельзя использовать как самостоятельное доказательство.
Авторы методики отдельно указывают, что ни один признак сам по себе не должен считаться универсальным основанием для вывода. В документе есть матрица принятия решения: из неё следует, что одного положительного сигнала на стороне устройства недостаточно, если серверная проверка не выявила обход. Среди факторов, которые могут приводить к ошибкам, названы VPN на роутере, виртуальные машины и контейнеры, прокси с адресами обычных провайдеров, split tunneling, CDN и новые VPN-сервисы, которые появляются быстрее, чем обновляются репутационные базы.