پنجشنبه، مهر ۱۹، ۱۳۸۶

عبور از ديوار اينترنت ملي جمهوري اسلامي

عبور از ديوار اينترنت ملي جمهوري اسلامي-چگونه فيلترينگ جمهوري اسلامي را خنثي کنيم-بخش سوم
سام قندچي

Bypassing IRI National Internet Wall-How to Neutralize IRI Filtering-Part 3
Sam Ghandchi
http://www.ghandchi.com/485-filtershekan3Eng.htm

بيش از يکسال پيش مقامات جمهوري اسلامي ايران خبر ساختن آنچه را که «اينترنت ملي» ميناميدند با هدف بالا بردن کيفيت ارتباط با اينترنت براي کابران در ايران در عين پائين آوردن هزينه براي آنها، اعلام کردند.

گروهي در جمهوري اسلامي دلائل روشن خود را براي به پيش راندن اين ساختار جديد اينترنت در ايران داشت که ارتباطي به اهداف غير قابل نکوهش اعلام شده بالا نداشتند. آنها ميخواهند اينترنت گلوبال را در ايران به يک شبکه *اينترانت* بزرگ [لطفاً به دومين حرف الف توجه کنيد]، يعني چيزي شبيه *اينترانت هاي* قابل کنترل مؤسسات، ولي در سطح کل کشور که در آن *همه* سرويس هاي اينترنتي براحتي قابل فيلترکردن باشند، تبديل کنند، همانگونه که اخيراً همه سرويس هاي گوگل در ايران را بنظر من براي آزمايش اين سوپر زيربناي طرح باصطلاح «اينترنت ملي،» چند ساعتي قطع کردند، و البته بعداً گفتند که يک اشتباه بوده است.

نحوه فيلترينگ با استفاده از ساختار تازه به اين شکل خواهد کرد که يک نفر مأمور اطلاعاتي همه آدرس سرويس هاي اينترنتي را که جمهوري اسلامي ميخواهد سانسور شوند، جمع آوري ميکند تا بوسيله «نول روتينگ» که بعداً توضيح ميدهم، فيلتر شوند. بلوک کردن گوگل بدون شک از طريق «نول روتينگ» (روتينگ خالي null routing) آن بود که اساساً به اين معني است که آنها روتينگ (يعني نحوه پيدا کردن راه به يک سرويس معين در اينترنت) را پخش نميکنند يا که پخش ميکنند ولي ميگويند که آدرس ايستگاه بعدي (يعني روتر router بعدي) در خلأ /dev/null است. به عبارت ديگر آنها آدرس را «نول روت» ميکنند به جاي آنکه ديگر از متدي که در 5 سال گذشته که ميليونها سايت را در آي اس پي ISP يعني شرکت هاي خدمات دهنده فيلتر ميکردند، استفاده کنند.

در نتيجه ديگر تأخير زماني بين درست کردن ليست ها توسط مأمورين اطلاعاتي و پياده کردن فيلترينگ در آي اس پي ها که در پنج سال گذشته وجود داشت، از بين ميرود. همچنين اينها ميتوانند فيلترينگ برمبناي هر قاعده اي را که انتخاب کنند، مثلاً نه فقط بر مبناي آدرس سايت ها و حتي نه فقط وب سايت ها بلکه هر هر سرويسي نظير ايميل و با هر مبنائي که بخواهند را نيز به راحتي بلوگ کنند، مثلاً بر اساس اينکه در داخل حتي ايميل هائي که منشاء آنها از سرور هاي گوگل يا ياهو يا هات ميل باشد ايميل کسي را که در آن يک سايت ممنوع شده يا يک پراکسي ذکر شده باشد، فيلتر کنند.

در واقع جمهوري اسلامي چند سالي است ايميل هائي که توسط سرويس دهندگان داخل ايران ارائه ميشوند را بر مبناي همين قواعد مسدود ميکند ولي با طرح اينترنت ملي اين فيلترينگ را به استفاده کنندگان ايميل هاي گوگل، ياهو، و هات ميل و ديگر سرويس دهندگان بين المللي هم گسترش خواهد داد. بنظر من اين چيزي بود که اين دستگاههاي اطلاعاتي داشتند چند هفته پيش تست ميکردند ولي يکدفعه دسترسي به کل گوگل از جمله دسترسي به موتور جستجوگر گوگل را قطع کردند که آن آخري بنظر من هدفشان نبود و اشتباهشان در نوع درج آدرس سرويس در موقع تست بوده است.

البته اگر دست مقامات امنيتي ايران بود آنها همه سرويس هاي گوگل، ياهو، و ام اس اِن MSN را مدتها پيش مسدود کرده بودند اما آنها خوب ميدانند که اين سرويس ها براي مؤسسات تجاري و دولتي ايران حياتي هستند و حتي با همه صرف هزينه هاي روي باصطلاح اينترنت ملي، خوب ميدانند که اينترنت يک پديده گلوبال است و آنها نميتوانند جايگزيني همتاي سرويس هاي گلوبال بسازند، و هدف آنها هم توليد چنان جايگزيني نيست که بتواند در سطح جهاني نظير گوگل رقابت کند بلکه هدفشان بالا بردن ديوارهاي سانسور در برابر هر آنچيزي است که کمترين اختلاف سليفه اي با منويات جمهوري اسلامي داشته باشد. بله اين پرده آهنين تازه نيز براي هدف تقويت کردن ديوارهاي زندان هائي که کابران اينترنت در ايران را از مطالب باصطلاح «نا مطلوب» در دنياي گلوبال اينترنت جدا ميکند، ساخته ميشود.

کثر متدهائي که اپوزيسيون ايران براي عبور از فيلترينگ در چند ساله اخير استفاده ميکرده است ديگر با جا افتادن ساختار «اينترنت ملي» رژيم، کار نخواهند کرد، و با توجه به آنچه بتازگي در مورد گوگل مشاهده کرديم، بنظر ميرسد ما از موعدي که بايد با اين پرده آهنين جديد طرف شويم، فاصله زيادي نداريم. اکثر توصيه هاي من در دو بخش قبلي اين سري مقالات براي خنثي کردن فيلترينگ اينترنت بزودي ديگر کارآ نخواهند بود. پراکسي هاي عمومي اچ تي تي پي http و حتي نوع امن شده آن https ممکن است زودتر از آنچه تصور کنيم، کار نکنند. البته راه حل هاي شخصي نظير سايفون که نياز به داشتن دوستي با تبحر تکنيکي نسبتاً خوب در خارج دارد، هنوز کار خواهند کرد، گرچه راه حل خيلي راحتي نخواهد بود. من جزئيات راه حل سايفون را براي آنها که هنوز علاقه مند باشند آنرا نصب کنند در مصاحبه ام با آقاي احمد بهارلو در صداي آمريکا 9 ماه پيش، مفصلاً تشريح کرده ام :

http://www.ghandchi.com/samvoa021507.ram

همچنين راه حل ديگري که در مصاحبه بالا ذکر کردم، يعني شبکه هاي «پي تو پي» P2Pکار خواهند کرد، گرچه آن راه حل نياز به اين دارد که اقلاً يک کاربر در داخل شبکه بتواند مطالب سايت هاي ممنوع شده را بدست آورده و وارد شبکه کند. در نتيجه براي آن يک نفر کماکان مسأله اينکه چگونه اين کار را با استفاده از متد ديگري انجام دهد، مطرح است. همچنين بايستي بگويم که شبکه هاي «پي تو پي» نظير «بيت تورنت» BitTorrent هنوز در ايران آنقدر مرسوم نشده اند، و براي اکثر کاربران اينترنتي ممکن است که کار نکنند، چرا که همه شبکه هاي پي تو پي ممکن است نخواهند که مطالب سايت هاي ممنوعه را ارائه دهند، چرا که يک فضاي مشترک است و به تصميم جمعي بستگي دارد. به هرحال من شبکه هاي «پي توپي» و نرم افزار «تور» TOR را در بخش دوم اين سري بحث کردم و علاقمندان ميتوانند به آن مقاله رجوع کنند:

http://www.ghandchi.com/452-filtershekan2Eng.htm

موضوع بحث من در اين نوشتار راه مقابله با وضعيت تازه است و در واقع هرچه زودتر ساختاري پاسخگو به آنچه در حال شکل گيري است را بسازيم موقعي که ديوار باصطلاح «اينترنت ملي» کاملاً به کار بيافتد، توانمند تر خواهيم بود، چرا که ساختار اينترنت ملي نظير بسر بردن در داخل زنداني خواهد بود که ضخيم ترين ديوار ها را براي مانع شدن از فرار به دورمان ساخته باشند.

***

يکي از همکاران سابق و زبدگان اينترنت اخيراً وقتي درباره وضعيت ديوار اينترنت ملي ايران و راه هاي تونل زدن به جهان خارج بحث ميکرديم، يک پارديم جديد جهت برخورد به موضوع فيلترينگ را در عبارات زير مطرح کرد:

«تصور کن فقط محض خيال که اگر هر *روتر* در منطقه به يک سِرور پراکسي مبدل شود.»

انديشه بالا پاسخ نيرومندي به پرده آهنين تازه جمهوري اسلامي ايران است. بله اينترنت ملي جديد جمهوري اسلامي هر «روتر» که در کنترل وزارت ارتباطات و فناوری اطلاعات است را به يک برج زندان تبديل ميکند، اما به عوض با پيشنهاد دوست من، هر «روتر» در *بيرون* از ديوارهاي اين زندان ميتواند به يک سرور پراکسي مبدل شود. پيشنهاد اين خبره اينترنت بنظر من يکي از درخشان ترين انديشه هائي است که من تاکنون درباره روش مقابله با فيلترينگ شنيده ام. دوست من ادامه داد که هر روتر هم اکنون اين قابليت را در خود دارد و مسأله فقط پيکربندي configuration اين قابليت روتر ها است. مثلاً وي اشاره کرد که کمپاني سيسکو Cisco تصميم نميگيرد که مشتريانش به چه شکل روتر خود را پيکربندي کنند.

تونل زدن ميـتواند با استفاده از تکنولوژي هاي مختلف انجام و در روتر پيکربندي شود. مثلاً IP/IP، GRE، IPsec، يا SSH و غيره. بعنوان مثال فکر کنيد که يک نفر ميتواند به محل هاي متفاوتي از طريق SSH وصل شود و آن نقاط لازم نيست که دور يا نزديک باشند. فقط روتر است که بايستي SSH server خود را براي کساني که کليد ورودي دارند، پيکربندي کند، تا آنها بتوانند به سرور دسترسي پيدا کنند. مثلاً يک کاربري که از زيربناي تونل IPsec استفاده ميکند ممکن است بتو.اند دهها جا در دنيا را از طريق تونل رمزي encrypted شده بوسيله لپ تاپ خود، بنوردد. شکل ديگر براي توصيف هر نوع ساحتار تونلي، همان «وي پي اِن» VPN است، که از نظر لغوي به معني شبکه خصوصي مجازي است. هر تکنيکي که به شما اجازه دهد يک ارتباط وي پي اِن VPN برقرار کنيد، هدف عبور از اينترنت ملي را بر آورده ميکند.

به عبارت ديگر اگر صاحبان روتر ها مثلاً آنهائي که هم اکنون پراکسي هاي اچ تي تي پي http براي ايرانيان فراهم ميکنند، نظير صداي آمريکا، بتوانند روتر هاي خود را با پيکربندي جديد، که هيچ خرج اضافي برايشان ندارد، به سرورهاي وي پي اِن VPN تبديل کنند، خواهند توانست به کاربران ايراني کمک کنند که به دنياي خارج تونل بزنند. اگر تعداد زيادي کليد هاي وي پي اِن، و تعدادي کليدهاي عمومي، پيش از آنکه مسدود شدن ايميلها توسط اينترنت ملي جمهوري اسلامي بيشتر ارتباط با جهان خارج را مسدود کند، در دسترس مردم قرار گيرد، در آنصورت خيلي از کاربران وقتي که اينترنت ملي به کار افتد ميتوانند با استفاده از آن کليدها، به خارج تونل بزنند.

در زير لينک به چند سند راهنمائي درباره تونل زدن براي روتر هاي سيسکو که متداولترين روتر ها هستند و اينکه چگونه آنها را ميشود با پيکربندي به سرور وي پي اِن VPN تبديل کرد، ليست شده است:

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_8-3/ssh.html

http://www.ssh.com/support/documentation/online/ssh/adminguide/32/Port_Forwarding.html

همانگونه که دوست من گفت سازندگان سرور وي پي اِن «فقط تصور کنيد اگر هر روتر در منطقه يه يک پراکسي براي SSH تبديل شود، و با استفاده از شماره هاي پورت هاي رندم شده randomized port numbers و اعلام آدرس هاي متعدد براي روتر بشود جلوي فيلتر شدن SSH. در آنصورت ميشود به مردم گفت که به يک سيستم در خارج با کليد دانسته شده وصل شوند (هر کس بايد کليد خود را داشته باشد اما دليلي ندارد که نشود يک کليد *عمومي* براي اين هدف ساخت) و بعد همه ترافيک از طريق اين تونل هدايت شود.» بله او درست ميگويد اين کار شدني است.

من مطمئن هستم متخصصين تکنيکي ايراني و دوستان ايرانيان در دنياي خارج که همه اين سالها با ساختن پروکسي هاي اچ تي تي پي http به ما کمک کردند، سرورهاي وي پي اِن VPN هم براي استفاده مردم ايران نصب خواهند کرد و در اين عصر تاريک انديشي جمهوري اسلامي کاربران ايراني اينترنت کماکان قادر خواهند شد که شبکه اينترنت را به شکل يک شبکه *گلوبال* و *نه* يک اينترانت ملي با پرده آهنين جمهوري اسلامي استفاده کنند، برعکس خواست مقامات متحجر جمهوري اسلامي که ميخواهند بوسيله فيلترينگ ايرانيان را با شبکه اي ناقص در انزوا از بقيه جهان و حتي در انزوا از سايتهاي ممنوع شده در داخل ايران، قرار دهند.

لازم است اشاره کنم که شرکتي در ايران هست که سرويس وي پي اِن VPN ميفروشد:

http://www.goldvpn.ir

شايد ارزش آن را داشته باشد که به سرويس آنها نگاهي کرد، اما متأسفانه من آنها را شخصاً نميشناسم.

من اميدوارم آنهائي که براي جامعه اينترنتي ايران سرويس هاي با ارزش پراکسي در چند سال اخير مهيا کردند اکنون سرويس مجاني وي پي اِن براي مردم در داخل ايران فراهم کنند. اميدوارم که همآنها اين کار را انجام دهند به ويژه که مردمي که به آنها براي سرويس پراکسي در پنج سال گذشته اعتماد کرده اند ميتوانند به آنها براي سرويس وي پي اِن هم اعتماد کنند چرا که هرکسي که صاحب سرور است، ميتواند آدرس اينترنتي مردم را ببيند، همانگونه که امروز فراهم کننده پراکسي هاي اچ تي تي پي http قادر است آدرس اينترنتي شما را ببيند. دست کم اکثر سرور هاي پراکسي که من از آنها مطلع هستم، از جمله سايفون، اين چنين کار ميکنند. کمي دور از موضوع، بايستي ذکر کنم سايت هائي نظير alexa.com آمار ترافيکي که از پراکسي عبور ميکند را حتي اگر بتوانند بخاطر خط مشي حقوق خصوصي privacy policy شان جمع آوري نميکنند و در نتيجه آمار انها براي سايت هاي فيلتر شده کاملاً بي اعتبار است.

به بحث اصلي برگردم در گذشته من از توصيه وي پي اِن اجتناب ميکردم چرا که گران بود و هزينه تهيه آن جهت ارائه به هزاران نفر ميتوانست سر به فلک بزند. اما امروز هر روتر شرکت سيسکو اين توان را دارد که سرور وي پي اِن VPN بشود و فقط يک پيکربندي کردن روتر لازم است که صاحبان روتر ها بتوانند اين سرويس را در اختيار مردم ايران قرار دهند.

به اميد روزي که در ايراني بدون سانسور زندگي کنيم.

سام قندچي، ناشر و سردبير
ايرانسکوپ
http://www.iranscope.com
20 مهر 1386
October 12, 2006

متن مقاله به انگليسي
http://www.ghandchi.com/485-filtershekan3Eng.htm

مطالب مرتبط
چگونه فيلترينگ جمهوري اسلامي را خنثي کنيم (بخش اول)
http://www.ghandchi.com/424-filtershekan.htm

چگونه فيلترينگ جمهوري اسلامي را خنثي کنيم (بخش دوم)
http://www.ghandchi.com/452-filtershekan2.htm