Exemplos de países com recursos bloqueados pelo governo
Paquistão
O relatório “Liberdade na Rede” (“Freedom on the Net”) caracteriza o Paquistão como “Não Livre”, com uma pontuação de 27/100 em Liberdade na Internet, índice que vem diminuindo constantemente ao longo dos anos. Devido ao sistema político multipartidário, as autoridades frequentemente interrompem as telecomunicações para interromper a cobertura de notícias e eventos políticos, como ocorreu em julho de 2018, durante as eleições gerais, quando o governo interrompeu os serviços de telefonia móvel e internet. Mais de 800.000 sites são bloqueados por motivos religiosos e sociais, sendo que a maioria das restrições se refere a recursos pornográficos. Algumas pesquisas confirmam que os sites mais populares, como Facebook, Twitter e YouTube, foram bloqueados por meio de filtragem baseada em DNS.
Turquia
O Paquistão não é o único país com acesso controlado a recursos da web e mídias sociais durante intervenções políticas. O governo turco reage instantaneamente a eventos políticos bloqueando determinados sites ou restringindo o tráfego da internet. Entre 2014 e 2018, o governo turco ordenou que os provedores de internet bloqueassem 246.000 sites, incluindo a Wikipédia, por conteúdo que contradissesse a perspectiva de políticas públicas. Alguns desses bloqueios são temporários, como a restrição do Facebook e do Twitter, enquanto outros são sustentáveis. Twitter e Facebook, relatórios de transparência, afirmam que a Turquia é um dos países que mais solicitam remoção de conteúdo de redes sociais. O relatório “Liberdade na Rede” caracteriza a Turquia como “Não Livre”, com uma pontuação de 37/100 em Liberdade na Internet.
Índia
Na Índia, a situação é um pouco mais estável, mas, ainda assim, a liberdade na internet foi reduzida por bloqueios generalizados e pela expansão da desinformação, bem como pela má interpretação de notícias nas mídias sociais. O governo também afirmou que, entre 01/2016 e 11/2017, 1.791 sites foram bloqueados por provedores de internet por ordem do Departamento de Telecomunicações, e 2.133 sites foram bloqueados por ordem de diversos tribunais. De acordo com informações publicadas em 2017, o governo bloqueou até 23.030 sites/URLs. O relatório “Liberdade na Rede” caracteriza a Índia como “Parcialmente Livre”, com uma pontuação de 55/100 em Liberdade na Internet.
No outono de 2019, houve protestos em vários estados da Índia. De acordo com o The Washington Post, a internet está fora do ar há mais de 134 dias nos estados indianos de Jammu e Caxemira, um tempo recorde.
Quantos endereços o roteador processa?
O bloqueio governamental de recursos da web não facilita o trabalho dos ISPs, mas existem diferentes maneiras de simplificar a filtragem e torná-la mais eficiente.
Muitas operadoras bloqueiam endereços IP usando o BGP Blackhole ou anunciam apenas parte do tráfego BGP para o sistema de filtragem. Se considerarmos toda a carga de tráfego transferida para o roteador, observamos a seguinte quantidade:
- A FIB (Forwarding Information Base – uma tabela para encaminhamento acelerado de pacotes) já contém cerca de 800.000 rotas;
- Um certo número de rotas, que depende do tamanho da rede, pode ser anunciado pela operadora de telecomunicações;
- As listas negras governamentais variam de país para país. Para comparação, o relatório “Liberdade na Rede” divide os países em quatro categorias de Liberdade na Internet: Pervasiva, Substancial, Seletiva e Pouca ou Nenhuma. Por exemplo:
- A Rússia se refere a Não Livre. O BGP anuncia cerca de 1,5 milhão de rotas da lista de bloqueio do governo.
- Paquistão – Não Livre, com cerca de 800.000 rotas bloqueadas.
- Turquia – Não Livre, com cerca de 246.000 rotas bloqueadas.
Como resultado, o roteador precisa processar de 1 milhão a 2,3 milhões de endereços.
Que problemas isso causa ao hardware do operador e por quê?
Estamos nos referindo a hardware projetado para processar um número significativamente menor de rotas. Por exemplo, um grande número de operadoras possui roteadores Juniper da série MX em suas redes, capazes de processar até 1 milhão de rotas, conforme definido na documentação. Em 2009, quando esses modelos foram lançados, o hardware foi projetado para lidar com cerca de 500 mil endereços, o que parecia mais do que suficiente.
Proprietários de Cisco SCE podem enfrentar um problema semelhante em breve, pois a capacidade de processamento desses equipamentos é de até 2,5 milhões de endereços.
Esse tipo de sobrecarga leva ao esgotamento da memória da rota, o que, por sua vez, causa distúrbios no desempenho do roteador e pode causar o desligamento da rede. Alguns hardwares já não conseguem lidar com a carga, e placas de linha contendo até 2,5 milhões de prefixos FIB podem esgotar seus recursos muito em breve se o número de IPs bloqueados continuar a aumentar.
Para filtrar um grande número de rotas, utilizamos o tipo de bloqueio DPI com o esquema de implementação “em linha”. A filtragem é realizada por DPI. A plataforma Stingray pode processar até 4 bilhões de registros.
Um aspecto importante da aplicação DPI é a transição do bloqueio de IP para o bloqueio moderado por URL, SNI, CN e, se necessário, IP + porta.
Esquemas de bloqueio
Vamos dar uma olhada em vários esquemas de filtragem de tráfego e marcar os prós e contras de cada dispositivo.
- BGP Blackhole: o roteador descarta pacotes na direção de um determinado endereço IP ou sub-rede.
Prós: Implementação em qualquer equipamento.
Contras: Exige a preparação de uma lista de recursos para o roteador. O bloqueio completo pode gerar feedback negativo dos assinantes. Também cria carga adicional no roteador. - Implementação de DPI em tráfego de saída pré-filtrado: o tráfego é selecionado por BGP ou PBR em determinadas portas (80, 443).
Prós: Redução do custo de implementação e diminuição do uso do tráfego processado.
Contras: Carga adicional no roteador e possíveis omissões em recursos proibidos, já que nem todo o tráfego é filtrado. - Filtragem baseada em DNS: O servidor DNS inclui uma lista de conteúdo proibido e se concentra em examinar e controlar consultas DNS.
Prós: Implementação rápida e baixo custo de utilização.
Contras: A alteração de nomes de domínio ocorre no lado do usuário. Isso facilita a burla da solução de DNS.
- DPI no modo de operação “espelho”: processamento por meio de divisores ópticos ou equipamentos ativos utilizando portas SPAN.
Prós: não há impacto na rede em caso de falha.
Contras: Este método permite o acesso a conteúdo proibido e exclui um cenário de bloqueio de IP ou sub-rede devido à impossibilidade de limitar a solicitação inicial da rede. - Esquema de implementação “Inline” apenas para tráfego de saída: o acesso solicitado pelo usuário final à Internet é fornecido por meio de um dispositivo de bloqueio; o tráfego de entrada é tratado sem qualquer processamento.
Prós: menor custo desta solução, pois o uso do tráfego de saída é significativamente menor.
Contras: esta solução se concentra na divisão dos fluxos de rede, o que torna a rede mais complexa e exige portas adicionais. - Esquema de implementação “inline” para tráfego de entrada e saída: implementado passando todo o tráfego pelo filtro.
Prós: Capacidade de usar todos os recursos do DPI para aumentar a QoS/QoE, implementação das funções de coleta de estatísticas/BRAS/NAT.
Contras: Custos de implementação mais altos em comparação com abordagens anteriores, mais pontos que exigem redundância.
Assim, é possível solucionar o problema de congestionamento e mau funcionamento de roteadores alterando o método de filtragem. É necessário remover a carga do dispositivo causada pelo anúncio de rotas adicionais e configurar o esquema de implementação “Em Linha” ou “Assimétrico”.
Entre em contato conosco para saber mais sobre a funcionalidade e os recursos do Stingray Service Gateway.
