ТСПУ
Технические средства противодействия угрозам — оборудование, которое операторы связи в России обязаны устанавливать в своих сетях по закону 90-ФЗ.
Что такое ТСПУ
ТСПУ расшифровывается как технические средства противодействия угрозам. Это оборудование, которое операторы связи в России обязаны устанавливать в своих сетях; централизованно им управляет Роскомнадзор. Технически ТСПУ — устройства класса DPI (deep packet inspection), включённые в разрыв каналов оператора: через них проходит транзитный трафик, и они умеют его анализировать, ограничивать и фильтровать.
Правовая основа
Требование введено Федеральным законом от 01.05.2019 № 90-ФЗ, который внёс поправки в законы «О связи» (126-ФЗ) и «Об информации, информационных технологиях и о защите информации» (149-ФЗ). Закон вступил в силу 1 ноября 2019 года; в публикациях его обычно называют «законом о суверенном рунете», хотя такого названия в тексте нет.
Заявленная в законе цель — устойчивость работы российского сегмента интернета: оборудование должно позволять централизованно управлять маршрутизацией трафика при угрозах целостности, устойчивости и безопасности функционирования сети связи общего пользования.
Кто чем занимается
| Участник | Роль |
|---|---|
| Роскомнадзор | устанавливает требования, принимает решения о централизованном управлении сетью |
| ЦМУ ССОП | Центр мониторинга и управления сетью связи общего пользования — управляет ТСПУ и ведёт мониторинг |
| Оператор связи | обязан установить ТСПУ в своей сети и обеспечить их работу; оборудование предоставляется государством |
Существенная деталь: оборудование стоит в сети оператора, но настройками управляет не оператор. Правила прилетают централизованно.
Как это работает технически
ТСПУ ставится in-line на стыках сети оператора. По сути это DPI-платформа, которая для каждого проходящего потока может:
- сопоставить IP-адреса и порты с реестрами;
- прочитать имя домена из открытых полей — SNI в TLS ClientHello, заголовок
Hostв HTTP, запросы к DNS; - распознать протокол по сигнатурам и характеру трафика, даже если содержимое зашифровано;
- применить к потоку действие: пропустить, ограничить скорость, разорвать.
Содержимое HTTPS при этом остаётся зашифрованным TLS: оборудование в разрыве видит адреса, объёмы, тайминги и открытые поля рукопожатия, но не сами данные.
От прежней схемы фильтрации ТСПУ отличается точкой принятия решения. Раньше реестр выгружался каждому провайдеру, и тот блокировал сам, как умел. Теперь фильтрация выполняется на оборудовании, которым управляют централизованно, а роль оператора сводится к размещению и электропитанию.
Что это значит на практике
Для владельца инфраструктуры ТСПУ — ещё один элемент на пути трафика, который стоит учитывать при диагностике:
- Симптомы отличаются от обычной сетевой аварии. TCP-соединение устанавливается, но обрывается или зависает на TLS-рукопожатии; трассировка при этом чистая, потерь нет.
- Результат зависит от оператора и региона. Проблема воспроизводится в одной сети и не воспроизводится в другой, поэтому доступность сервиса полезно проверять с нескольких магистралей, а не с одной машины.
- Трансграничный участок — отдельный источник проблем. Для сервиса с российской аудиторией размещение в российском ЦОД убирает этот участок из маршрута целиком, попутно снижая задержку. Для баз с персональными данными российских граждан локализация к тому же требуется по 152-ФЗ.
Связанные термины
- SNI — открытое поле, по которому DPI определяет домен
- TLS — шифрует содержимое, но не имя хоста в рукопожатии
- VPN — трафик внутри туннеля выглядит для сети иначе
- Прокси-сервер — другой вид посредника на пути трафика
- ЦОД — где физически размещается инфраструктура
- Персональные данные / 152-ФЗ — смежное регуляторное требование
Готовы запустить GPU-задачу?
Запустить GPU-сервер