VPN & Proxy

ТСПУ

Технические средства противодействия угрозам — оборудование, которое операторы связи в России обязаны устанавливать в своих сетях по закону 90-ФЗ.

Что такое ТСПУ

ТСПУ расшифровывается как технические средства противодействия угрозам. Это оборудование, которое операторы связи в России обязаны устанавливать в своих сетях; централизованно им управляет Роскомнадзор. Технически ТСПУ — устройства класса DPI (deep packet inspection), включённые в разрыв каналов оператора: через них проходит транзитный трафик, и они умеют его анализировать, ограничивать и фильтровать.

Правовая основа

Требование введено Федеральным законом от 01.05.2019 № 90-ФЗ, который внёс поправки в законы «О связи» (126-ФЗ) и «Об информации, информационных технологиях и о защите информации» (149-ФЗ). Закон вступил в силу 1 ноября 2019 года; в публикациях его обычно называют «законом о суверенном рунете», хотя такого названия в тексте нет.

Заявленная в законе цель — устойчивость работы российского сегмента интернета: оборудование должно позволять централизованно управлять маршрутизацией трафика при угрозах целостности, устойчивости и безопасности функционирования сети связи общего пользования.

Кто чем занимается

Участник Роль
Роскомнадзор устанавливает требования, принимает решения о централизованном управлении сетью
ЦМУ ССОП Центр мониторинга и управления сетью связи общего пользования — управляет ТСПУ и ведёт мониторинг
Оператор связи обязан установить ТСПУ в своей сети и обеспечить их работу; оборудование предоставляется государством

Существенная деталь: оборудование стоит в сети оператора, но настройками управляет не оператор. Правила прилетают централизованно.

Как это работает технически

ТСПУ ставится in-line на стыках сети оператора. По сути это DPI-платформа, которая для каждого проходящего потока может:

  • сопоставить IP-адреса и порты с реестрами;
  • прочитать имя домена из открытых полей — SNI в TLS ClientHello, заголовок Host в HTTP, запросы к DNS;
  • распознать протокол по сигнатурам и характеру трафика, даже если содержимое зашифровано;
  • применить к потоку действие: пропустить, ограничить скорость, разорвать.

Содержимое HTTPS при этом остаётся зашифрованным TLS: оборудование в разрыве видит адреса, объёмы, тайминги и открытые поля рукопожатия, но не сами данные.

От прежней схемы фильтрации ТСПУ отличается точкой принятия решения. Раньше реестр выгружался каждому провайдеру, и тот блокировал сам, как умел. Теперь фильтрация выполняется на оборудовании, которым управляют централизованно, а роль оператора сводится к размещению и электропитанию.

Что это значит на практике

Для владельца инфраструктуры ТСПУ — ещё один элемент на пути трафика, который стоит учитывать при диагностике:

  • Симптомы отличаются от обычной сетевой аварии. TCP-соединение устанавливается, но обрывается или зависает на TLS-рукопожатии; трассировка при этом чистая, потерь нет.
  • Результат зависит от оператора и региона. Проблема воспроизводится в одной сети и не воспроизводится в другой, поэтому доступность сервиса полезно проверять с нескольких магистралей, а не с одной машины.
  • Трансграничный участок — отдельный источник проблем. Для сервиса с российской аудиторией размещение в российском ЦОД убирает этот участок из маршрута целиком, попутно снижая задержку. Для баз с персональными данными российских граждан локализация к тому же требуется по 152-ФЗ.

Связанные термины

  • SNI — открытое поле, по которому DPI определяет домен
  • TLS — шифрует содержимое, но не имя хоста в рукопожатии
  • VPN — трафик внутри туннеля выглядит для сети иначе
  • Прокси-сервер — другой вид посредника на пути трафика
  • ЦОД — где физически размещается инфраструктура
  • Персональные данные / 152-ФЗ — смежное регуляторное требование

Готовы запустить GPU-задачу?

Запустить GPU-сервер