Testez-nous

Blocage gouvernemental versus votre routeur

December 24, 2019
Solution
Blocage gouvernemental versus votre routeur
Alors qu'Internet devient un phénomène de société et que son influence ne cesse de croître, le gouvernement doit contrôler certains types de contenu pour différentes raisons telles que la sécurité nationale, la protection contre la propagande du terroriste, la drogue, les jeux de hasard. Chaque pays a sa propre gamme de règles et de restrictions.

Carte de blocage gouvernementale - Liberté d'Internet

Exemples de pays avec des ressources bloquées par le gouvernement

Pakistan

Le rapport « Freedom on the Net » caractérisele Pakistan comme « Non-libre » avec le Score de Liberté sur Internet de 27/100 et au fil des ans, cet indice ne cesse de baisser. En raison du système politique multipartite, les autorités perturbent fréquemment les télécommunications pour arrêter la couverture des actualités et des événements politiques, comme ce fut le cas en juillet 2018 lors des élections générales lorsque le gouvernement a coupé les services mobiles et Internet. Plus de 800 000 sites Web sont bloqués pour des raisons religieuses et sociales, la plupart des restrictions se rapportant à des ressources pornographiques. Certaines recherches confirment que les sites Web les plus populaires tels que Facebook, Twitter et Youtube étaient bloqués à l’aide d’une filtration basée sur DNS.

Turquie
Le Pakistan n’est certainement pas le seul pays à avoir un accès contrôlé aux ressources Web et aux médias sociaux lors d’interventions politiques. Le gouvernement turc réagit instantanément aux événements politiques en bloquant certains sites Web ou en limitant le trafic Internet. En 2014-2018, le gouvernement turc a ordonné aux FAI de bloquer 246 000 sites Web, y compris Wikipedia, pour contenu contraire aux politiques publiques. Certains de ces verrous sont temporaires, tels que la restriction de l’accès à Facebook et Twitter, tandis que d’autres sont durables. Les rapports Twitter et Facebook Transparency indiquent que la Turquie est l’un des principaux pays pour les demandes de suppression de contenu des réseaux sociaux. Le rapport « Freedom on the Net » caractérise la Turquie comme « Non-libre » avec le Score de Liberté sur Internet de 37/100.

L’Inde
En Inde, la situation est un peu plus stable, mais la liberté d’Internet a néanmoins été réduite en raison de blocages massives et de la propagation de la désinformation, ainsi que de l’incompréhension des nouvelles sur les médias sociaux. Le gouvernement a également déclaré que sur une période allant du 01/2016 au 11/2017, 1791 sites Web ont été bloqués par des FAI sur ordre du Département des Télécommunications, et 2133 sites Web ont été bloqués sur ordre de différents tribunaux. Selon des informations publiées en 2017, le gouvernement a bloqué jusqu’à 23 030 sites Web/URL. Le rapport « Freedom on the Net » caractérise l’Inde comme « Partiellement libre » avec le Score de Liberté sur Internet de 55/100.

À l’automne 2019, des manifestations ont eu lieu dans plusieurs États de l’Inde. Selon The Washington Post, pendant plus de 134 jours, Internet est coupé dans les États indiens de Jammu et Cachemire, ce qui est désormais un temps record.

Combien d’adresses le routeur traite-t-il ?

Le blocage gouvernemental des ressources Web ne facilite pas le travail des FAI, mais il existe différentes façons de simplifier la filtration et de la rendre plus efficace.

De nombreux opérateurs bloquent les adresses IP à l’aide de BGP Blackhole ou n’annoncent qu’une partie du trafic BGP au système de filtrage. Si nous considérons toute la charge de trafic transmise au routeur, nous observons la valeur suivante :

  1. La FIB (Forwarding Information Base — une table pour le transfert accéléré de paquets) contient déjà environ 800 000 routes
  2. Un certain nombre de routes, qui dépend de la taille du réseau, peuvent être annoncées par l’opérateur télécom
  3. Les listes noires gouvernementales qui diffèrent d’un pays à l’autre. À titre de comparaison, les rapports « Freedom on the Net » divisent les pays en quatre catégories de liberté sur Internet : Global, Considérable, Sélective, Faible ou Non-libre. Par exemple :
    • La Russie est de Non-libre. BGP annonce environ 1,5 million de routes de la liste de blocage du gouvernement.
    • Pakistan est de Non-libre avec environ 800 000 routes bloqués.
    • Turquie — Non-libre avec environ 246 000 itinéraires bloqués.

En conséquence, le routeur doit traiter de 1 million à 2,3 millions d’adresses.

Quels problèmes cela pose-t-il pour l’équipement de l’opérateur et pourquoi ?

Nous parlons du matériel conçu pour traiter beaucoup moins de routes. Par exemple, un grand nombre d’opérateurs ont des routeurs de la série Juniper MX dans leur réseau, qui sont capables de traiter jusqu’à 1 million de routes comme indiqué dans la documentation. En 2009, lorsque ces modèles venaient d’être créés, le matériel était conçu pour gérer environ 500 000 adresses, ce qui semblait plus que suffisant.

Les propriétaires de Cisco SCE pourraient bientôt faire face à un problème similaire, car la capacité de traitement de tel équipement peut atteindre 2,5 millions d’adresses.

Ce type de surcharge entraîne un épuisement de la mémoire de la route, ce qui entraîne une perturbation des performances du routeur et peut provoquer un arrêt du réseau. Certains équipements ne peuvent plus supporter la charge, et les cartes de ligne contenant jusqu’à 2,5 millions de préfixes FIB peuvent bientôt épuiser leurs ressources si le nombre d’adresses IP bloquées continue d’augmenter.

Pour filtrer un grand nombre de routes, nous utilisons le type de blocage DPI avec le schéma de mise en œuvre « en ligne ». Le filtrage est effectué par DPI. La plateforme Stingray peut gérer jusqu’à 4 milliards d’enregistrements.

Un aspect important de l’application DPI est la transition du blocage IP au blocage modéré par URL, SNI, CN et, si nécessaire, IP + port.

Schémas de blocage

Considérons les différents schémas de filtrage du trafic et notons les avantages et les inconvénients de chacun.

  1. BGP Blackhole : le routeur rejette les paquets vers une adresse IP ou un sous-réseau donné.
    Avantages : mise en œuvre sur n’importe quel équipement.
    Inconvénients : il nécessite de préparer une liste de ressources pour le routeur. Un blocage complet peut provoquer une réaction négative des abonnés. Cela crée également une charge supplémentaire sur le routeur.
  2. Implémentation DPI sur trafic sortant pré-filtré : le trafic est sélectionné par BGP ou PBR sur certains ports (80, 443).
    Avantages : réduction du coût de mise en œuvre et diminution de l’utilisation du trafic traité.
    Inconvénients : charge supplémentaire sur le routeur et omissions possibles sur des ressources interdites, car tout le trafic n’est pas filtré.
  3. Filtrage DNS : le serveur DNS contient une liste de contenu interdit et se concentre sur l’examen et le contrôle des requêtes DNS.
    Avantages : mise en œuvre rapide et faible coût d’utilisation.
    Inconvénients : modification des noms de domaine du côté de l’utilisateur. Cela simplifie le contournement des schémas de filtrage du trafic DNS traffic filtering schemes
  4. DPI en mode de fonctionnement « miroir » : traitement via des séparateurs optiques ou un équipement actif utilisant des ports SPAN.
    Avantages : pas d’impact sur le réseau en cas de panne réseau.
    Inconvénients : cette méthode permet d’accéder au contenu interdit et élimine le scénario de blocage IP ou de sous-réseau en raison de l’impossibilité de limiter la demande initiale du réseau.
  5. Schéma de mise en œuvre « en ligne » uniquement pour le trafic sortant : l’accès demandé de l’utilisateur final à Internet est fourni via un dispositif de blocage ; le trafic entrant est géré sans aucun traitement.
    Avantages : le coût de cette solution est plus faible, car l’utilisation du trafic sortant est beaucoup plus faible.
    Inconvénients : cette solution se concentre sur la séparation des flux réseau, ce qui complique le réseau et nécessite des ports supplémentaires.
  6. Schéma de mise en œuvre « en ligne » pour le trafic entrant et sortant : mis en œuvre en faisant passer tout le trafic à travers le filtre.
    Avantages : la possibilité d’utiliser toutes les capacités de DPI pour augmenter la QoS / QoE, la mise en œuvre des fonctions de collecte de statistiques / BRAS / NAT.
    Inconvénients : augmentation des coûts de mise en œuvre par rapport aux approches précédentes, plus de points nécessittent une redondance.esquemas de filtrado de tráfico

Ainsi, il est possible de résoudre le problème de congestion et de dysfonctionnements des routeurs en changeant la méthode de filtrage. il est nécessaire de supprimer la charge de l’appareil causée par l’annonce de routes supplémentaires et de configurer le schéma de mise en œuvre « en ligne » ou « asymétrique ».

Contactez-nous pour en savoir plus sur les fonctionnalités et les capacités de Stingray Service Gateway.

Vote:
5 sur 5
Note moyenne : 5
Évalué par: 1
Utilisation du DPI dans les réseaux d'entreprise: intégration avec Microsoft Active Directory E-SIM – est-ce un mal ou une panacée ?
Nous utilisons des cookies pour optimiser les fonctionnalités du site et vous offrir la meilleure expérience possible. Pour en savoir plus sur les cookies que nous utilisons, veuillez consulter notre Politique de cookies. En cliquant sur « Okay », vous acceptez notre utilisation des cookies. Learn more.