(English)

Bloqueo gubernamental VS de tu router

December 24, 2019
Solución
Bloqueo gubernamental VS de tu router
A medida que Internet se convierte en un fenómeno social y su influencia sigue creciendo, el gobierno tiene que controlar algunos tipos de contenido por diferentes razones, como la seguridad nacional, la protección contra la propaganda del terrorismo, las drogas o los juegos de azar. Cada país tiene su propio conjunto de reglas y restricciones.

Mapa de bloqueo gubernamental - Libertad de Internet

Ejemplos de países con recursos bloqueados por el gobierno

Pakistán

El informe «Freedom on the Net» califica a Pakistán de «No libre», con una puntuación de libertad de Internet de 27/100 y, a lo largo de los años, este índice no deja de bajar. Debido al sistema político multipartidista, las autoridades interrumpen con frecuencia las telecomunicaciones para impedir la cobertura de noticias y acontecimientos políticos, como ocurrió en julio de 2018 durante las elecciones generales, cuando el gobierno cerró los servicios de telefonía móvil e Internet. Más de 800.000 sitios web están bloqueados por motivos religiosos y sociales, y la mayoría de las restricciones se refieren a recursos pornográficos. Algunas investigaciones confirman que los sitios web más populares, como Facebook, Twitter y Youtube, fueron bloqueados mediante filtración basada en DNS.

Turquía

Precisamente, Pakistán no es el único país en el que se controla el acceso a los recursos web y a las redes sociales durante las intervenciones políticas. El gobierno de Turquía reacciona instantáneamente a los acontecimientos políticos bloqueando determinados sitios web o estrangulando el tráfico de Internet. En 2014-2018, el gobierno turco ha ordenado a los proveedores de servicios de Internet que bloqueen 246.000 sitios web, incluida Wikipedia, por contenidos que contradicen la perspectiva de la política pública. Algunos de estos bloqueos son temporales, como el estrangulamiento de Facebook y Twitter, mientras que otros son sostenibles. Los informes sobre la transparencia de Twitter y Facebook afirman que Turquía es uno de los principales países en cuanto a solicitudes de retirada de contenidos de las redes sociales. El informe «Libertad en la Red» califica a Turquía de «No libre», con una puntuación de libertad en Internet de 37/100.

India

En la India, la situación es un poco más estable, pero, no obstante, la libertad de Internet se ha visto reducida por los abrumadores cierres y la expansión de la desinformación, así como las noticias erróneas en los medios sociales. El gobierno también dijo que en un periodo comprendido entre el 01/2016 y el 11/2017, 1791 sitios web fueron bloqueados por los ISP por orden del Departamento de Telecomunicaciones, y 2133 sitios web fueron bloqueados por orden de varios tribunales. Según la información publicada en 2017, el gobierno bloqueó hasta 23.030 sitios web/URL. El informe » Freedom on the Net» califica a India de «Parcialmente libre», con una puntuación de libertad de Internet de 55/100.

En otoño de 2019 hubo protestas en varios estados de la India. Según The Washington Post, en los estados indios de Jammu y Cachemira se bloqueó Internet durante más de 134 días, un tiempo récord.

¿Cuántas direcciones procesa el router?

El bloqueo gubernamental de los recursos web no facilita el trabajo a los ISP, pero hay diferentes formas de simplificar la filtración y hacerla más eficiente.

Muchos operadores bloquean las direcciones IP mediante BGP Blackhole o bien publican sólo una parte del tráfico BGP en el sistema de filtrado. Si consideramos toda la carga de tráfico transferida al router, observamos la siguiente cantidad:

  1. La FIB (Forwarding Information Base — una tabla para el reenvío acelerado de paquetes) ya contiene unas 800.000 rutas;
  2. El operador de telecomunicaciones puede anunciar un determinado número de rutas, que depende del tamaño de la red;
  3. Las listas negras gubernamentales que difieren de un país a otro. A modo de comparación, los informes de «Freedom on the Net» dividen a los países en cuatro categorías de libertad en Internet: Generalizada, Sustancial, Selectiva, Poca o ninguna. Por ejemplo:
    • Rusia se refiere a «No libre». BGP anuncia alrededor de 1,5 millones de rutas de la lista de bloqueo gubernamental.
    • Pakistán — No Libre con unas 800.000 rutas bloqueadas.
    • Turquía — No Libre con unas 246.000 rutas bloqueadas.

Como resultado, el router tiene que procesar de 1 a 2,3 millones de direcciones.

¿Qué problemas causa en el hardware del operador y por qué?

Nos referimos al hardware que está diseñado para procesar un número significativamente menor de rutas. Por ejemplo, un gran número de operadores tienen en su red routers de la serie MX de Juniper, que son capaces de procesar hasta 1 millón de rutas, según se establece en la documentación. En 2009, cuando estos modelos acababan de ser creados, el hardware estaba diseñado para gestionar unas 500 mil direcciones, lo que parecía más que suficiente.

Los propietarios de Cisco SCE podrían enfrentarse pronto a un problema similar, ya que la capacidad de procesamiento de estos equipos es de hasta 2,5 millones de direcciones.

Este tipo de sobrecarga lleva al agotamiento de la memoria de las rutas, lo que a su vez provoca una perturbación en el rendimiento del router y puede causar un cierre de la red. Algunos equipos ya no pueden soportar la carga, y las tarjetas de línea que contienen hasta 2,5 millones de prefijos FIB pueden agotar sus recursos muy pronto si el número de IPs bloqueadas sigue aumentando.

Para filtrar un gran número de rutas, utilizamos el tipo de bloqueo DPI con el esquema de implementación «in-line». El filtrado lo realiza DPI. La plataforma Stingray puede manejar hasta 4.000 millones de registros.

Un aspecto importante de la aplicación de DPI es la transición del bloqueo por IP al bloqueo moderado por URL, SNI, CN y, si es necesario, IP + puerto.

Esquemas de bloqueo

Echemos un vistazo a varios esquemas de filtrado de tráfico y marquemos las ventajas y desventajas de cada aparato.

  1. BGP Blackhole: el router lanza paquetes en dirección a una dirección IP o subred determinada.
    Ventajas: Aplicación en cualquier equipo.
    Desventajas: Requiere preparar una lista de recursos para el router. El bloqueo total puede provocar reacciones negativas de los abonados. Asimismo, crea una carga adicional en el router.
  2. >Implementación de DPI en el tráfico saliente prefiltrado: el tráfico es seleccionado por BGP o PBR en ciertos puertos (80, 443).
    Ventajas: Reducción del coste de implementación y disminución del uso del tráfico procesado.
    Desventajas: Carga adicional en el router y posibles omisiones en los recursos prohibidos, ya que no se filtra todo el tráfico.
  3. Filtración basada en DNS: El servidor DNS incluye una lista de contenidos prohibidos y se centra en examinar y controlar las consultas DNS.
    Ventajas: la rapidez de aplicación y el bajo coste de uso.
    Desventajas: El cambio de nombres de dominio se realiza en el lado del usuario. Facilita la evasión de la solución DNS.esquemas de filtrado de tráfico
  4. DPI en el modo de funcionamiento «mirror»: procesamiento a través de divisores ópticos o equipos activos mediante puertos SPAN.
    Ventajas: no hay impacto en la red en caso de fallo de la misma.
    Desventajas: Este método provoca un posible acceso a contenidos prohibidos y excluye un escenario de bloqueo de IP o subred debido a la imposibilidad de limitar la solicitud inicial de la red.
  5. Esquema de implementación «inline» sólo para el tráfico saliente: el acceso solicitado por el usuario final a Internet se proporciona a través del dispositivo de bloqueo; el tráfico entrante se gestiona sin ningún tipo de procesamiento.
    Ventajas: el coste de esta solución es menor, ya que el uso del tráfico saliente es significativamente menor.
    Desventajas: esta solución se centra en dividir los flujos de la red, lo que la hace más compleja y exige puertos adicionales.
  6. Esquema de implementación «inline» para el tráfico entrante y saliente: se implementa pasando todo el tráfico a través del filtro.
    Ventajas: La posibilidad de utilizar todas las capacidades de DPI para aumentar la QoS / QoE, la implementación de las funciones de recopilación de estadísticas / BRAS / NAT.
    Desventajas: Aumento de los costes de implementación en comparación con los enfoques anteriores, más puntos que requieren redundancia.esquemas de filtrado de tráfico

Así, es posible resolver el problema de la congestión y el mal funcionamiento de los routers cambiando el método de filtrado. Es necesario eliminar la carga del dispositivo causada por el anuncio de rutas adicionales y configurar el esquema de implementación «In-line» o «Asymmetric».

Póngase en contacto con nosotros para obtener más información sobre las funciones y capacidades de Stingray Service Gateway.

Utilizamos cookies para optimizar la funcionalidad del sitio y ofrecerle la mejor experiencia posible. Para saber más sobre las cookies que utilizamos, visite nuestra Política de Cookies. Al hacer clic en "Aceptar", aceptas el uso que hacemos de las cookies. Más información