Internet erişimini kısıtlama, engelleme veya limitleme

İnternet kullanımını kısıtlama ve engelleme genel olarak yasal kurumların talepleri üzerine veya servis sağlayıcıların kendi politikaları gereği oldukça güncel bir konudur.  Engelleme dışında, P2P servisleirn kullanımında kısıtlamak veya düzenlemek için kullanılabilir. Network dışındana olan P2P kullanımını kısıtlamak, limitlemek vb gibi.

Yöntemler genel olarak :

1 – DNS : Genel olarak kullanıcıların DNS sorgulaması üzerinden servislere eriştiği düşünülür. Dolayısı ile servis sağlayıcılar kullanıcıların kullanımına açtığı DNS’lerde erişime izin vermek istemediği kayıtlar için farklı bir kayıt girer (ip adresini kendi istediği ip ile değiştirir vs). Bu tarz bir uygulamada sorun;

– Kullanıcı direk erişmek isteği ip adresini girebilir. Bu şekilde hiç bir zaman DNS sorgusu yapmıyacağı için engelleme yapılamaz.

– Kullanıcı local host tanımları ile static olarak DNS eşlemelerini değiştirebilir.

– Erişimi kısıtlaması sadece DNS kayıtları seveyesinde yapılabilir. Bir sayfa içerisindeki bir yorum veya resim bazında yapılamaz.

– Kullanıcılar farklı DNS’ler kullanarak (engellemenin yapılmadığı) engellemeden kurtulabilirler. DNS yönlendirme ve başka DNS’lere erişimin engellemesi veya engellemeden kaçmak için kullanılan DNS’lerin iplerini çalmak gibi etik olmayan yöntemler ile buda engellenebilir.

2 – IP erişiminin egellemesi : Belirlenen IP’lere erişim network üzerinde, blacked hole routing, ACL vb yöntemler ile engellenir. Fakat DNS benzer www gibi servislerde DNS çözümlemesi kullanılır. DNS kaydının değişmesi durumunda veya DNS kaydının  farklılaşması yani bir sayfanın birden fazla ip adresi kullanıyor olması gibi (genelde sosyal ağ uygulamaları yedeklilik, kapasite vb nedenlerden dolayı farklı DNS’ler kullanıyor olabilir) kısıtlama tam anlamı ile yapılamaz. Yapılan kısıtlama söz konusu ip’ye erişimi tamamen kısıtlar. Servis bazında engelleme yapılamaz. Çok fazla IP girdisi olması ve bunların dinamik olarak değişmesi bu yöntemin zorluklarındadır.

3 – IDS vb trafik inceleme cihazları kullanılarak : Genelde bu tarz cihazlar güvenlik amacı ile kullanılmaktadır. Trafiği içerik bazında filtreleme yapabilirler. Bu tarz cihazlarda izlenen yöntemler fitlerelenecek trafiği tespit etmek ve sonuca göre izin vermek veya engellemektir. IDS vb cihazlar ile tüm ip trafiği izlenebilir. Bu tarz cihazlar genelde belirlenen trafik davranışlarına bakarak trafiği tanımlarlar.

Benzer şekilde oldukça yaygın olarak kullanılmıya başlanan yöntem ise TCP Reset kullanımıdır. Bu şekilde kullanıcı ve uç nokta arasındaki erişim engellenmiş olur. Kullanıcı trafaği bir sunucuya doğru kopyalanır. Bu sunucu engellemek isteği session için iki tarafada TCP reset gönderir. Bu şekilde kullanıcı ve uç nokta arasında TCP bağlantısı kullanılamaz. Aşağıdaki linkde bu yöntemin kullanımı ve analizine yönelik oldukça fazla bilgi bulunabilir. Bu yöntem aynı zamanda P2P uygulamaları limitlemek amacı ilede kullanılıyor. Kullanıcının veri trafiği bu tarz bir sunucu üzerine gönderildikden sonra, uygulama kullanıcının upload ve dowload trafiğini analiz edip, gerektiği durumda ilgili connectionlara reset göndererek bu konuda bir limitleme uygulıyabiliyor.

Detecting Forged TCP Reset Packets

Dökümanda da belirtildiği gibi TCP Reset kullanımı cihazın out of band olarak konumlandırılmasını sağlar ve ağ üzerindeki hata noktası sayısını azaltır. Fakat cihazın veya uygulamanın devre dışı kalması engellemenin veya istenilen işlevin yapılamaması anlamına gelir. Çalışma mantığı gereği zaman zaman engellemenin yapılamaması mümkün olabilir. TCP Resetin geç gitmesi vb durumlarda (race conditions). Fakat uygulamalar genelde birde fazla TCP reset gönderirler, seq numarsını artırarak’da işlemi garantiye almaya çalışabilirler. Dökümanda bunlarda oldukça net anlatılmaktadır. Yinede zaman zaman kaçaklar olabilir.  Fakat istenilen büyük bir oranda yapılmaktadır.

Genelde tüm methodları bir arada kullanılarak engellemede en fazla verim alınmaya çalışılır.

HTTPS trafiğinin engellemesi ise oldukça etik ve teknik zorlukları barındırmaktadır. HTTPS trafiğinin URL bazında engellemesi için data’nın açılması gerekir. Bu işemde beraberinde sertifika sorunlarını getirir.