عبور از دیوار اینترنت ملی جمهوری اسلامی-چگونه فیلترینگ جمهوری اسلامی را خنثی کنیم-بخش سوم

سام قندچی

http://www.ghandchi.com/485-filtershekan3.htm  

Bypassing IRI National Internet Wall-How to Neutralize IRI Filtering-Part 3

http://www.ghandchi.com/485-filtershekan3Eng.htm

بیش از یکسال پیش مقامات جمهوری اسلامی ایران خبر ساختن آنچه را که «اینترنت ملی» مینامیدند با هدف بالا بردن کیفیت ارتباط با اینترنت برای کابران در ایران در عین پائین آوردن هزینه برای آنها، اعلام کردند.

گروهی در جمهوری اسلامی دلائل روشن خود را برای به پیش راندن این ساختار جدید اینترنت در ایران داشت که ارتباطی به  اهداف غیر قابل نکوهش اعلام شده بالا نداشتند.  آنها میخواهند اینترنت گلوبال را در ایران به یک شبکه *اینترانت* بزرگ [لطفاً به دومین حرف الف توجه کنید]، یعنی چیزی شبیه *اینترانت های* قابل کنترل مؤسسات، ولی در سطح کل کشور که در آن *همه* سرویس های اینترنتی براحتی قابل فیلترکردن باشند، تبدیل کنند، همانگونه که اخیراً همه سرویس های گوگل در ایران را بنظر من برای آزمایش این سوپر زیربنای طرح باصطلاح «اینترنت ملی،» چند ساعتی قطع کردند، و البته بعداً گفتند که یک اشتباه بوده است.

نحوه فیلترینگ با استفاده از ساختار تازه به این شکل خواهد کرد که یک نفر مأمور اطلاعاتی همه آدرس سرویس های اینترنتی را که جمهوری اسلامی میخواهد سانسور شوند، جمع آوری میکند تا بوسیله «نول روتینگ» که بعداً توضیح میدهم، فیلتر شوند. بلوک کردن گوگل بدون شک از طریق «نول روتینگ» (روتینگ خالی null routing) آن بود که اساساً به این معنی است که آنها روتینگ (یعنی نحوه پیدا کردن راه به یک سرویس معین در اینترنت) را پخش نمیکنند یا که پخش میکنند ولی میگویند که آدرس ایستگاه بعدی  (یعنی روتر router بعدی) در خلأ /dev/null است.  به عبارت دیگر آنها آدرس را «نول روت» میکنند به جای آنکه دیگر از متدی که در 5 سال گذشته که میلیونها سایت را در آی اس پی ISP یعنی شرکت های خدمات دهنده فیلتر میکردند، استفاده کنند.

در نتیجه دیگر تأخیر زمانی بین درست کردن لیست ها توسط مأمورین اطلاعاتی و پیاده کردن فیلترینگ در آی اس پی ها که در پنج سال گذشته وجود داشت، از بین میرود.  همچنین اینها میتوانند فیلترینگ برمبنای هر قاعده ای را که انتخاب کنند، مثلاً نه فقط بر مبنای آدرس سایت ها و حتی نه فقط وب سایت ها  بلکه هر سرویسی نظیر ایمیل و با هر مبنائی که بخواهند را نیز به راحتی بلوگ کنند، مثلاً بر اساس اینکه در داخل حتی ایمیل هائی که منشاء آنها از سرور های گوگل یا یاهو یا هات میل باشد ایمیل کسی را که در آن یک سایت ممنوع شده یا یک پراکسی ذکر شده باشد، فیلتر کنند. 

در واقع جمهوری اسلامی چند سالی است ایمیل هائی که توسط سرویس دهندگان داخل ایران ارائه میشوند را بر مبنای همین قواعد مسدود میکند ولی با طرح اینترنت ملی این فیلترینگ را به استفاده کنندگان ایمیل های گوگل، یاهو، و هات میل و دیگر سرویس دهندگان بین المللی هم گسترش خواهد داد.  بنظر من این چیزی  بود که این دستگاههای اطلاعاتی داشتند چند هفته پیش تست میکردند ولی یکدفعه  دسترسی به کل گوگل از جمله دسترسی به موتور جستجوگر گوگل را  قطع کردند که آن آخری بنظر من هدفشان نبود و اشتباهشان در نوع درج آدرس سرویس در موقع تست بوده است. 

البته اگر دست مقامات امنیتی ایران بود آنها همه سرویس های گوگل، یاهو، و ام اس اِن MSN را مدتها پیش مسدود کرده بودند اما آنها خوب میدانند که این سرویس ها برای مؤسسات تجاری و دولتی ایران حیاتی هستند و حتی با همه صرف هزینه های روی باصطلاح اینترنت ملی، خوب میدانند که اینترنت یک پدیده گلوبال است و آنها نمیتوانند جایگزینی همتای سرویس های گلوبال بسازند، و هدف آنها هم تولید چنان جایگزینی نیست که بتواند در سطح جهانی نظیر گوگل رقابت کند بلکه هدفشان بالا بردن دیوارهای سانسور در برابر هر آنچیزی است که کمترین اختلاف سلیفه ای با منویات جمهوری اسلامی داشته باشد.  بله این پرده آهنین تازه نیز برای هدف تقویت کردن دیوارهای زندان هائی که کابران اینترنت در ایران را از مطالب باصطلاح «نا مطلوب» در دنیای گلوبال اینترنت جدا میکند، ساخته میشود.

کثر متدهائی که اپوزیسیون ایران برای عبور از فیلترینگ در چند ساله اخیر استفاده میکرده است دیگر با جا افتادن ساختار «اینترنت ملی» رژیم، کار نخواهند کرد، و با توجه به آنچه بتازگی در مورد گوگل مشاهده کردیم، بنظر میرسد ما از موعدی که باید با این پرده آهنین جدید طرف شویم، فاصله زیادی نداریم.  اکثر توصیه های من در دو بخش قبلی این سری مقالات برای خنثی کردن فیلترینگ اینترنت بزودی دیگر کارآ نخواهند بود.  پراکسی های عمومی اچ تی تی پی http و حتی نوع امن شده آن https ممکن است زودتر از آنچه تصور کنیم، کار نکنند.  البته راه حل های شخصی نظیر سایفون که نیاز به داشتن دوستی با تبحر تکنیکی نسبتاً خوب در خارج دارد، هنوز کار خواهند کرد، گرچه راه حل خیلی راحتی نخواهد بود.  من جزئیات راه حل سایفون را برای آنها که هنوز علاقه مند باشند آنرا نصب کنند در مصاحبه ام با آقای احمد بهارلو در صدای آمریکا 9 ماه پیش، مفصلاً تشریح کرده ام :

http://www.ghandchi.com/samvoa021507.ram

همچنین راه حل دیگری که در مصاحبه بالا ذکر کردم، یعنی شبکه های «پی تو پی»  P2Pکار خواهند کرد، گرچه آن راه حل نیاز به این دارد که اقلاً یک کاربر در داخل شبکه بتواند مطالب سایت های ممنوع شده را بدست آورده و وارد شبکه کند.  در نتیجه برای آن یک نفر کماکان مسأله اینکه چگونه این کار را با استفاده از متد دیگری انجام دهد، مطرح است.  همچنین بایستی بگویم که شبکه های «پی تو پی» نظیر «بیت تورنت» BitTorrent هنوز در ایران آنقدر مرسوم نشده اند، و برای اکثر کاربران اینترنتی ممکن است که کار نکنند، چرا که همه شبکه های پی تو پی ممکن است نخواهند که مطالب سایت های ممنوعه را ارائه دهند، چرا که یک فضای مشترک است و به تصمیم جمعی بستگی دارد.  به هرحال من شبکه های «پی توپی» و نرم افزار «تور» TOR را در بخش دوم این سری بحث کردم و علاقمندان میتوانند به آن مقاله رجوع کنند:

http://www.ghandchi.com/452-filtershekan2Eng.htm

موضوع بحث من در این نوشتار راه مقابله با وضعیت تازه است و در واقع هرچه زودتر ساختاری پاسخگو به آنچه در حال شکل گیری است را بسازیم موقعی که دیوار باصطلاح «اینترنت ملی» کاملاً به کار بیافتد، توانمند تر خواهیم بود، چرا که ساختار اینترنت ملی نظیر بسر بردن  در داخل زندانی خواهد بود که ضخیم ترین دیوار ها را برای مانع شدن از فرار به دورمان ساخته باشند.

***

یکی از همکاران سابق و زبدگان اینترنت اخیراً وقتی درباره وضعیت دیوار اینترنت ملی ایران و راه های تونل زدن به جهان خارج بحث میکردیم، یک پاردیم جدید جهت برخورد به موضوع فیلترینگ را در عبارات زیر مطرح کرد:

«تصور کن فقط محض خیال که اگر هر *روتر* در منطقه به یک سِرور پراکسی مبدل شود.»

اندیشه بالا پاسخ نیرومندی به پرده آهنین تازه جمهوری اسلامی ایران است.  بله اینترنت ملی جدید جمهوری اسلامی هر «روتر» که در کنترل وزارت ارتباطات و فناوری اطلاعات است را به یک برج زندان  تبدیل میکند، اما به عوض با پیشنهاد دوست من، هر «روتر» در *بیرون* از دیوارهای این زندان میتواند به یک سرور پراکسی مبدل شود.  پیشنهاد این خبره اینترنت بنظر من یکی از درخشان ترین اندیشه هائی است که من تاکنون درباره روش مقابله با فیلترینگ شنیده ام. دوست من ادامه داد که هر روتر هم اکنون این قابلیت را در خود دارد و مسأله فقط پیکربندی configuration این قابلیت روتر ها است.  مثلاً وی اشاره کرد که کمپانی سیسکو Cisco تصمیم نمیگیرد که مشتریانش به چه شکل روتر خود را پیکربندی کنند.

تونل زدن میـتواند با استفاده از تکنولوژی های مختلف انجام و در روتر پیکربندی  شود.  مثلاً IP/IP، GRE، IPsec، یا SSH و غیره.  بعنوان مثال فکر کنید که یک نفر میتواند به محل های متفاوتی از طریق SSH وصل شود و آن نقاط لازم نیست که دور یا نزدیک باشند.  فقط روتر است که بایستی SSH server خود را برای کسانی که کلید ورودی دارند، پیکربندی کند، تا آنها بتوانند به سرور دسترسی پیدا کنند.  مثلاً یک کاربری که از زیربنای تونل IPsec استفاده میکند ممکن است بتواند دهها جا در دنیا را از طریق تونل رمزی encrypted شده بوسیله لپ تاپ خود،  بنوردد.  شکل دیگر برای توصیف هر نوع ساحتار تونلی، همان «وی پی اِن» VPN است، که از نظر لغوی به معنی شبکه خصوصی مجازی است.  هر تکنیکی که به شما اجازه دهد یک ارتباط وی پی اِن VPN برقرار کنید، هدف عبور از اینترنت ملی را بر آورده میکند.

به عبارت دیگر اگر صاحبان روتر ها مثلاً آنهائی که هم اکنون پراکسی های اچ تی تی پی http برای ایرانیان فراهم میکنند، نظیر صدای آمریکا، بتوانند روتر های خود را با پیکربندی جدید، که هیچ خرج اضافی برایشان ندارد، به سرورهای وی پی اِن VPN تبدیل کنند، خواهند توانست به کاربران ایرانی کمک کنند که به دنیای خارج تونل بزنند.  اگر تعداد زیادی کلید های وی پی اِن، و تعدادی کلیدهای عمومی، پیش از آنکه مسدود شدن ایمیلها توسط اینترنت ملی جمهوری اسلامی بیشتر ارتباط با جهان خارج را مسدود کند، در دسترس مردم قرار گیرد، در آنصورت خیلی از کاربران وقتی که اینترنت ملی به کار افتد میتوانند با استفاده از آن کلیدها، به خارج تونل بزنند.

در زیر لینک به چند سند راهنمائی درباره تونل زدن برای روتر های سیسکو که متداولترین روتر ها هستند و اینکه چگونه آنها را میشود با پیکربندی به سرور وی پی اِن VPN تبدیل کرد، لیست شده است:

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_8-3/ssh.html

http://www.ssh.com/support/documentation/online/ssh/adminguide/32/Port_Forwarding.html

همانگونه که دوست من گفت سازندگان سرور وی پی اِن «فقط تصور کنید اگر هر روتر در منطقه یه یک پراکسی برای SSH تبدیل شود، و با استفاده از شماره های پورت های رندم شده randomized port numbers و اعلام آدرس های متعدد برای روتر بشود جلوی فیلتر شدن SSH را گرفت. در آنصورت میشود به مردم گفت که به یک سیستم در خارج با کلید دانسته شده وصل شوند (هر کس باید کلید خود را داشته باشد اما دلیلی ندارد که نشود یک کلید *عمومی* برای این هدف ساخت) و بعد همه ترافیک از طریق این تونل هدایت شود.»  بله او درست میگوید این کار شدنی است.

مطمئن هستم متخصصین تکنیکی ایرانی و دوستان ایرانیان در دنیای خارج که همه این سالها با ساختن پروکسی های اچ تی تی پی http به ما کمک کردند، سرورهای وی پی اِن VPN هم برای استفاده مردم ایران نصب خواهند کرد و در این عصر تاریک اندیشی جمهوری اسلامی کاربران ایرانی اینترنت کماکان قادر خواهند شد که شبکه اینترنت را به شکل یک شبکه *گلوبال* و *نه* یک اینترانت ملی با پرده آهنین جمهوری اسلامی استفاده کنند، برعکس خواست مقامات متحجر جمهوری اسلامی که میخواهند بوسیله فیلترینگ ایرانیان را با شبکه ای ناقص در انزوا از بقیه جهان و حتی در انزوا از سایتهای ممنوع شده در داخل ایران، قرار دهند.

لازم است اشاره کنم که شرکتی در ایران هست که سرویس وی پی اِن VPN میفروشد:

http://www.goldvpn.ir

شاید ارزش آن را داشته باشد که به سرویس آنها نگاهی کرد، اما متأسفانه من آنها را شخصاً نمیشناسم.

امیدوارم آنهائی که برای جامعه اینترنتی ایران سرویس های با ارزش پراکسی در چند سال اخیر مهیا کردند اکنون سرویس مجانی وی پی اِن برای مردم در داخل ایران فراهم کنند.  امیدوارم که همآنها این کار را انجام دهند به ویژه که مردمی که به آنها برای سرویس پراکسی در پنج سال گذشته اعتماد کرده اند میتوانند به آنها برای سرویس وی پی اِن هم اعتماد کنند چرا که هرکسی که صاحب سرور است، میتواند آدرس اینترنتی مردم را ببیند، همانگونه که امروز فراهم کننده پراکسی های اچ تی تی پی http قادر است آدرس اینترنتی شما را ببیند.  دست کم اکثر سرور های پراکسی که من از آنها مطلع هستم، از جمله سایفون، این چنین کار میکنند. کمی دور از موضوع، بایستی ذکر کنم سایت هائی نظیر alexa.com  آمار ترافیکی که از پراکسی عبور میکند را حتی اگر بتوانند بخاطر خط مشی حقوق خصوصی privacy policy شان جمع آوری نمیکنند و در نتیجه آمار انها برای سایت های فیلتر شده کاملاً بی اعتبار است.

به بحث اصلی برگردم در گذشته من از توصیه وی پی اِن اجتناب میکردم چرا که گران بود و هزینه تهیه آن جهت ارائه به هزاران نفر میتوانست سر به فلک بزند.  اما امروز هر روتر شرکت سیسکو این توان را دارد که سرور وی پی اِن VPN بشود و فقط یک پیکربندی کردن روتر لازم است که صاحبان روتر ها بتوانند این سرویس را در اختیار مردم ایران قرار دهند.

به امید روزی که در ایرانی بدون سانسور زندگی کنیم.
 

سام قندچی، ناشر و سردبیر

ایرانسکوپ

http://www.iranscope.com

 20 مهر 1386

October 12, 2007

فهرست مقالات