С апреля российские компании — маркетплейсы, банки, интернет-магазины — обязаны ограничивать доступ пользователям с включенными VPN-сервисами. Минцифры подготовило для них подробную инструкцию: как выявлять таких клиентов и что делать, если технология не срабатывает.
Методические рекомендации оказались в распоряжении издания РБК. По данным коллег, их начали рассылать после совещаний, на которых в Минцифры призвали крупнейших игроков рынка ограничить доступ к своим сервисам пользователям с VPN.
Читайте также: Маркетплейсы, продукты, банки: российские площадки могут начать блокировать VPN-трафик астраханцев уже в этом месяце
Как будут вычислять VPN
Минцифры предлагает проверять устройства в три этапа.
- Сначала определяют IP-адрес устройства и сравнивают его с российскими адресами и списком заблокированных Роскомнадзором IP. Если страна или регион не совпадают с российскими или попадают в «черный список» РКН — это подозрительный сигнал. Если у пользователя часто меняются страны — тоже.
- Затем проверяют использование VPN через собственное приложение на том же устройстве. Здесь сложнее всего приходится владельцам iOS: политика конфиденциальности Apple сильно ограничивает доступ приложений к системным настройкам. С Android проще — там легко отследить, менялся ли IP-адрес через VPN.
- И только потом переходят к проверке устройств на Windows, MacOS и других ОС.
Когда могут возникнуть сложности
Помимо проблем с iOS, Минцифры также описало ряд ситуаций, когда выявление VPN затруднено или невозможно:
- VPN на роутере: если сервис настроен на маршрутизаторе, на самом устройстве нет никаких «следов» — выявить его невозможно.
- Виртуальные машины: если VPN развернут внутри виртуальной среды, обнаружить его тоже затруднительно.
- Прокси-серверы: их не определить по базам, если они расположены у обычных провайдеров и имеют «домашние» IP.
- Split tunneling: когда через VPN идет трафик только выбранных приложений, а остальной — напрямую. В этом случае проверка по одной сети недостаточна.
- CDN и глобальные сервисы: они могут искажать местоположение устройства и без всякого VPN.
- Новые VPN-сервисы появляются быстрее, чем обновляются репутационные базы IP-адресов.
Корпоративные VPN — исключение
Ранее эксперты сообщали, что с средствами обхода, разрешенными для компаний, могут возникнуть некоторые сложности. Однако, судя по документам, для бизнес-VPN будет сделано исключение. Для них сформируют «белый список».
Предполагается, что владельцы интернет-ресурсов будут учитывать исторические данные: если устройство подключается к корпоративной сети в рабочее время и отключается вечером — такой сценарий идентифицируют и не станут блокировать. В сложных случаях платформа должна провести повторную проверку или комбинировать данные с GPS, информацией о сотовой вышке и историей входов.
В общем, российские сервисы начнут массово «отсекать» пользователей с VPN. Технические ограничения (особенно на iOS) и множество «серых зон» делают эту задачу далеко не тривиальной. Однако со временем способы блокировки могут улучшаться. Поэтому астраханцам стоит подготовиться заранее.