Принцип работы белых списков в автономном режиме
Белые списки без интернета работают за счет локального хранения разрешенных адресов (IP, доменов) или идентификаторов приложений непосредственно на устройстве или шлюзе. Локально фильтруется статический контент, заранее загруженные обновления и обращения к внутренним ресурсам. Подключение требуется только для первичной загрузки списка, его периодического обновления и проверки динамических данных (например, статуса лицензии или актуальности сертификатов), если это не закэшировано.
Механика локальной фильтрации
Суть белого списка (whitelist) — запретить всё, что явно не разрешено. В условиях отсутствия глобального интернета эта система опирается на локальные базы данных.
Где хранится список?
- На конечном устройстве: Антивирусы, фаерволы ОС (Windows Defender, iptables в Linux) и родительский контроль хранят базу разрешенных приложений и URL в локальной памяти.
- На сетевом шлюзе/роутере: Корпоративные маршрутизаторы и системы DPI (глубокой инспекции пакетов) держат таблицы ACL (Access Control Lists). Даже если внешний канал отключен, роутер продолжает пропускать трафик между локальными узлами, если он соответствует правилам.
Ключевой момент: Само решение «пропустить» или «заблокировать» принимается мгновенно и локально. Интернет нужен не для принятия решения в реальном времени, а для актуализации самих правил.
Что именно фильтруется локально?
- IP-адреса и подсети: Устройство сверяет адрес назначения с локальной таблицей. Совпадение есть — пакет уходит, нет — отбрасывается.
- Хеши исполняемых файлов: Антивирусные сканеры сравнивают контрольные суммы запускаемых программ с базой «доверенных» файлов, хранящейся на жестком диске.
- DNS-записи (локальные): Если используется локальный DNS-сервер с предустановленными записями, разрешение имен происходит внутри сети без обращения к внешним корням DNS.
Что требует подключения к сети
Несмотря на автономность фильтрации, полная изоляция невозможна для современных гибридных систем. Подключение (хотя бы эпизодическое) необходимо для следующих задач:
- Обновление сигнатур и списков: База «доверенных» ресурсов постоянно меняется. Новые версии приложений, обновленные сертификаты сайтов и новые домены госуслуг или банков должны быть добавлены в локальную копию списка.
- Проверка отзывных списков (CRL/OCSP): При использовании HTTPS браузер или приложение может попытаться проверить, не отозван ли сертификат безопасности. Без интернета эта проверка часто пропускается (что снижает безопасность) или блокирует доступ (строгий режим).
- Динамическая авторизация: Сервисы, требующие подтверждения прав пользователя в реальном времени (онлайн-банкинг, корпоративная почта), не будут работать, даже если их адрес есть в белом списке, так как сервер авторизации недоступен.
Риск устаревания: Если устройство долго находится в офлайне, его белый список становится «слепым». Оно может доверять уязвимым версиям ПО или заблокированным ресурсам, которые уже признаны опасными в глобальной сети.
Сравнение режимов работы
Для наглядности разделим процессы на те, что выполняются исключительно силами устройства, и те, что зависят от канала связи.
Локальные процессы против сетевых зависимостей
| Процесс | Работает без интернета? | Где принимается решение? |
|---|---|---|
| Доступ к локальному принтеру/сканеру | ✅ Да | Сетевой коммутатор / ОС |
| Запуск доверенного офлайн-приложения | ✅ Да | Антивирус / AppLocker |
| Открытие сайта из кэша браузера | ✅ Да | Браузер (локальное хранилище) |
| Проверка цифровой подписи файла | ⚠️ Частично | ОС (если корневые сертификаты локальны) |
| Обновление базы белых списков | ❌ Нет | Сервер обновлений вендора |
| Авторизация в онлайн-банке | ❌ Нет | Банк-эмитент (внешний сервер) |
| Проверка отзыва SSL-сертификата | ❌ Нет | Центр сертификации (OCSP) |
Типичные сценарии использования
1. Корпоративная интранет-сеть
В компаниях белые списки используются для изоляции критической инфраструктуры. Бухгалтерские ПК могут иметь доступ только к серверу 1С и локальному файлообменнику. Даже при обрыве внешнего интернета сотрудники продолжают работать, так как все необходимые ресурсы находятся внутри периметра, а фильтрация работает на уровне внутреннего фаервола.
2. Платежные терминалы и банкоматы
Устройства настроены на связь только с конкретными IP-адресами процессингового центра. Если основной канал падает, они могут переключаться на резервный (например, GSM), но список адресов для соединения жестко зашит в конфигурацию и не требует загрузки извне в момент транзакции.
3. Родительский контроль и кибербезопасность дома
Роутеры с функцией «Белый список» позволяют детям открывать только образовательные сайты. Если интернет отключат провайдером, список никуда не денется — он хранится в памяти роутера. Однако сами сайты открываться не будут из-за отсутствия физического соединения, хотя фильтрация продолжит работать (пытаясь направить трафик в никуда).
Частые ошибки при настройке
- Блокировка необходимых служб: Добавляя сайт в белый список, пользователи забывают разрешить сопутствующие домены (CDN, службы аналитики, серверы шрифтов). В итоге сайт грузится «криво» или не работает вовсе.
- Игнорирование портов: Белый список по домену не означает открытие всех портов. Для работы почты нужно разрешить не только
mail.google.com, но и порты 587/465. - Отсутствие плана обновления: В изолированных сетях (air-gapped) администраторы забывают регулярно заносить новые списки доверенных узлов через физические носители, из-за чего со временем парк ПО становится неуправляемым.
FAQ
Может ли белый список работать, если полностью выдернуть кабель интернета? Да, механизм фильтрации продолжит работать. Вы сможете обращаться к локальным ресурсам (принтеры, файлы, внутренние серверы), если они внесены в список. Внешние сайты будут недоступны не из-за фильтра, а из-за физического отсутствия связи.
Безопасно ли отключать проверку сертификатов в офлайне? Это компромисс. В строго изолированных системах часто отключают проверку OCSP/CRL, полагаясь на то, что локальная сеть доверенна. Однако это делает систему уязвимой для атак типа MitM (человек посередине) внутри самой локальной сети.
Как обновлять белые списки на устройствах без интернета? Используются методы «снеккернета» (перенос данных на физических носителях): скачивание актуальных баз на защищенном компьютере с интернетом, запись на USB-накопитель и ручная установка обновлений на изолированные машины.