Перейти к содержимому
Калькуляторы

Технические средства контроля за оператором

Надо свой вариант сообщать им или есть чтото стандартное?

Не колются. Местны радиочастотники говорят, что теперь им теперь надо ВСЕ over 40000 ссылок пройти руками, сделать скриншоты ОДНОЙ и ТОЙ-ЖЕ HTML-ки и вдавить капу типа "это заглушка".

 

...Шло второе десятилетие 21-го века...

 

 

В 200х км южнее Тюмени - при вводе системы было сказано, что заглушка у вас конечно хорошая, но не очень правильная, правильный текст выслали. И поправить голый html у нас заняло минут 5...

 

Наш текст, устраиваемый ими

Наш текст тоже раньше нормально учитывался. Видать коёбоська-софто-писатели поменялись.

что за писатели? Про кого это Вы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что за писатели? Про кого это Вы?

Писатели обновленного софта для "ревизор-коробочки". Про кого-же еще.

 

Из разговоров сложилось мнение, что мы не первые и не последние, у кого повылазили "неблокировки", оверлоад на скрипты и прочие "приятные" неожиданности от обновления. Конкретно не говорилось, но многие "особенности работы" коментировались без запинки и как-то рутинно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что за писатели? Про кого это Вы?

Писатели обновленного софта для "ревизор-коробочки". Про кого-же еще.

 

Из разговоров сложилось мнение, что мы не первые и не последние, у кого повылазили "неблокировки", оверлоад на скрипты и прочие "приятные" неожиданности от обновления. Конкретно не говорилось, но многие "особенности работы" коментировались без запинки и как-то рутинно.

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как-то рутинно . :) С органами надо дружить, но и это ничем может не помочь. Предупреждён - значит более вооружён.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нам прислали протокол о неблокировке со скриншотами. Блокировка производится по связке "IP + домен", строго согласно данным реестра, то есть на обработку перенаправляется трафик только на IP-адреса из реестра. Естественно, они не всегда соответствуют актуальным IP-адресам, но Роскомнадзору, похоже, все равно.

 

И что, собственно, нужно было делать? Резолвить адреса самостоятельно, игнорируя реестр? Не поможет ведь, не говоря уже о том, что следить за всем этим будет просто некому и некогда. Похоже, проще было весь трафик от "Ревизора" перенаправлять на блокировку.

 

 

Разгадка простая, мфи барыжит "шторой" для фильтрации неугодных ресурсов, одна из заявляемых фич заключается в том, что штора сама отслеживает изменение ip и блокирует его да же если адреса нет в реестре. Открою ещё одну тайну, конкурс на "ревизор" выигран благодаря букве "И" в названии компании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нам прислали протокол о неблокировке со скриншотами. Блокировка производится по связке "IP + домен", строго согласно данным реестра, то есть на обработку перенаправляется трафик только на IP-адреса из реестра. Естественно, они не всегда соответствуют актуальным IP-адресам, но Роскомнадзору, похоже, все равно.

 

И что, собственно, нужно было делать? Резолвить адреса самостоятельно, игнорируя реестр? Не поможет ведь, не говоря уже о том, что следить за всем этим будет просто некому и некогда. Похоже, проще было весь трафик от "Ревизора" перенаправлять на блокировку.

Давно уже ясно что у РКН в качестве IP в реестре туфта, например, совсем от других гуглокэшей.

Поэтому однозначно надо самостоятельно резолвить адреса.

Но есть десяток порталов, которые уж совсем интенсивно бегают по рандомным адресам и что делать с ними непонятно.

 

Мы судились по этому вопросу - мнение судьи: решения судов обязательны к исполнению независимо от... И если Вы не можете их исполнить на основе реестра - ищите другой способ. Раз взяли лицензию - исполняйте условия. Не можете - не надо было брать лицензию...

 

Мораль - решение на основе отфильтровывания части трафика нежизнеспособно. Надо фильтровать весь трафик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что за писатели? Про кого это Вы?

Писатели обновленного софта для "ревизор-коробочки". Про кого-же еще.

 

Из разговоров сложилось мнение, что мы не первые и не последние, у кого повылазили "неблокировки", оверлоад на скрипты и прочие "приятные" неожиданности от обновления. Конкретно не говорилось, но многие "особенности работы" коментировались без запинки и как-то рутинно.

http://nag.ru/news/newsline/30631/v-rossii-mogut-vvesti-edinyie-pravila-po-blokirovke-saytov.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Президент перед 23 февраля подписал ФЗ-18, по которому с 25 марта штраф 50-100 тр будет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ПС обновил инфо и выложил текст договора в редакции Оператора (в режиме правки, для желающих), который был подписан РЧЦ.

 

Это отлично, что оператор навязал свою волю.

 

Может и наши инициативы кончатся хорошо для нас.

 

Наши отправляли письмо - обоснования претензий плюс договор (у каждого немного свой) услуги размещения оборудования, с тарифами, естественно (у каждого свои).

 

Шаблон письма - может кому пригодиться - https://docs.google.com/document/d/18yzY-tuPtCEc1Ba0h3ZVKr5yOn0YgAyGSejDoCUpji8/edit?usp=sharing

и ответ на письмо получили, Алексей?

ПС позицию по Ревизору в суде расписал, пользуйтесь на здоровье!

http://nag.ru/articles/article/30436/tehnicheskie-sredstva-kontrolya-za-operatorom-obnovleno-.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

возможность осуществлять проверку результатов блокировки с использованием прокси-сервера;

А вот это прекрасная мина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ПС обновил инфо и выложил текст договора в редакции Оператора (в режиме правки, для желающих), который был подписан РЧЦ.

 

Это отлично, что оператор навязал свою волю.

 

Может и наши инициативы кончатся хорошо для нас.

 

Наши отправляли письмо - обоснования претензий плюс договор (у каждого немного свой) услуги размещения оборудования, с тарифами, естественно (у каждого свои).

 

Шаблон письма - может кому пригодиться - https://docs.google.com/document/d/18yzY-tuPtCEc1Ba0h3ZVKr5yOn0YgAyGSejDoCUpji8/edit?usp=sharing

и ответ на письмо получили, Алексей?

ПС позицию по Ревизору в суде расписал, пользуйтесь на здоровье!

http://nag.ru/articles/article/30436/tehnicheskie-sredstva-kontrolya-za-operatorom-obnovleno-.html

1 победа есть.

Новосибирск.

РКн отказался от иска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Практику достаточности 1% незаблокированных подтверждает ответ на вопрос 32 с официального сайта РКН, в котором, исполняющий обязанности начальника Отдела мониторинга интернет-ресурсов Управления информационных технологий Аппарата управления ФГУП "РЧЦ ЦФО" Минаков Владислав Алексеевич, утверждает, что: "На текущий момент в АС "Ревизор" формируются материалы по операторам связи, на сетях которых зафиксировано более 1% незаблокированных ресурсов".

провисело пару часов, удалено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Правильно ли я понимаю, что владелец любого "запрещенного" ресурса имеет возможность внесением в а-записи своего ресурса адреса любого публичного сервера заблокировать этот сервер?

 

Так как "Агент АС «Ревизор» проверяет доступность IP-адреса, который указан в Едином реестре, а также делает отдельные HTTP GET-запросы на все IP-адреса, полученные от DNS-сервера оператора связи. В связи с этим необходимо осуществлять блокировку как IP-адресов, указанных в реестре, так и IP-адресов, полученных от DNS-серверов."

Изменено пользователем Comper

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На меня выписано три протокола, в которых представлены скрины с ресурсами отсутствующими в реестре. При этом при обращении к "запрещенному" ресурсу он отдавал "302 Moved Temporarily" со ссылкой на не запрещенный ресурс. Как по вашему это справедливо?

Те обмен с "запрещенным" ресурсом прошел, но реально распространение информации с запрещенного ресурса на происходило.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Правильно ли я понимаю, что владелец любого "запрещенного" ресурса имеет возможность внесением в а-записи своего ресурса адреса любого публичного сервера заблокировать этот сервер?

 

Так как "Агент АС «Ревизор» проверяет доступность IP-адреса, который указан в Едином реестре, а также делает отдельные HTTP GET-запросы на все IP-адреса, полученные от DNS-сервера оператора связи. В связи с этим необходимо осуществлять блокировку как IP-адресов, указанных в реестре, так и IP-адресов, полученных от DNS-серверов."

Не совсем. Ревизор, как я понял, стучится по ip-адрес/адрес_страницы. Если IP-адрес в реестре не соответствует реальному, то страничка не откроется, если только там не оказалось такой же страницы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Правильно ли я понимаю, что владелец любого "запрещенного" ресурса имеет возможность внесением в а-записи своего ресурса адреса любого публичного сервера заблокировать этот сервер?

 

Так как "Агент АС «Ревизор» проверяет доступность IP-адреса, который указан в Едином реестре, а также делает отдельные HTTP GET-запросы на все IP-адреса, полученные от DNS-сервера оператора связи. В связи с этим необходимо осуществлять блокировку как IP-адресов, указанных в реестре, так и IP-адресов, полученных от DNS-серверов."

Не совсем. Ревизор, как я понял, стучится по ip-адрес/адрес_страницы. Если IP-адрес в реестре не соответствует реальному, то страничка не откроется, если только там не оказалось такой же страницы.

 

Если нет адреса страницы? только домен.

Исходя из формулировки "IP-адресов, указанных в реестре, так и IP-адресов, полученных от DNS-серверов" нужно банить все ip, что выдает DNS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Правильно ли я понимаю, что владелец любого "запрещенного" ресурса имеет возможность внесением в а-записи своего ресурса адреса любого публичного сервера заблокировать этот сервер?

 

Так как "Агент АС «Ревизор» проверяет доступность IP-адреса, который указан в Едином реестре, а также делает отдельные HTTP GET-запросы на все IP-адреса, полученные от DNS-сервера оператора связи. В связи с этим необходимо осуществлять блокировку как IP-адресов, указанных в реестре, так и IP-адресов, полученных от DNS-серверов."

Не совсем. Ревизор, как я понял, стучится по ip-адрес/адрес_страницы. Если IP-адрес в реестре не соответствует реальному, то страничка не откроется, если только там не оказалось такой же страницы.

 

Если нет адреса страницы? только домен.

Исходя из формулировки "IP-адресов, указанных в реестре, так и IP-адресов, полученных от DNS-серверов" нужно банить все ip, что выдает DNS.

Там указан тип блокировки. Если указано банить ip - то баним ip. Попробуйте отрезолвить CDN-сервисы, которых в списке навалом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Итак, конференция прошла, давайте подытожим. Если перевести сухой канцелярит на человеческий язык и добавить к уже известному, то получаем следующее:

 


     
  1. "Ревизор" - не средство измерений. Ревизор - это что-то вроде фильтровалки, "грепалки", только с расширенным функционалом.
  2. "Ревизор" - только часть системы мониторинга. В работе участвует и другое ПО. Окончательные решения о формировании протоколов принимают сотрудники центра управления.
  3. С 19-го января "Ревизор" "улучшил" алгоритм проверки. Теперь "Ревизор", устанавливает соединения не только на IP-адреса, возвращаемые DNS (используются только DNS, выданные оператором), но и на IP-адреса из реестра (URL в обоих случаях запрашивается одинаковый).
  4. "Ревизор" выполняет проверку всего списка раз в сутки (ночью) и каждый час (с 00 минут) для записей с пометкой "Генпрокуратура". Таким образом, список в системе фильтрации должен быть актуален к началу каждого часа.
  5. Проверка выполняется в два прохода. На первом проходе запрашивается html-код страниц и формируется список "подозрительных" ресурсов. Именно этот список мы затем видим в личном кабинете. На втором проходе делается скриншот ресурсов из "подозрительного" списка. Сам "Ревизор" сделать скриншот не в состоянии, поэтому он поднимает туннель до центра управления, а сами скриншоты делает другое ПО из этого ЦУ. Время между первым и вторым проходом может достигать нескольких десятков минут. Наличие скриншота говорит о том, что ресурс был доступен дважды в разные моменты времени.
  6. Результаты второго прохода дополнительно перепроверяются оператором при помощи специального софта, который выкидывает из получившегося списка ресурсы с HTTP-кодом, отличного от 200, а также ресурсы, для которых не был получен скриншот. То, что осталось, изучается вручную на наличие правонарушений и может попасть в протокол.
  7. Текущее количество нарушений среди операторов не позволяет центру управления мониторить всех и вся в режиме non-stop. Поэтому протоколы получают, в первую очередь, те, у кого больше всего "пропусков".
  8. Тот самый пресловутый 1% - это не допуск и не погрешность, это порог "пропусков", при превышении которого на оператора связи с вероятностью 99% будет обращено пристальное внимание.
  9. Этот 1% вычисляется дважды - отдельно для общего числа всех записей и отдельно для списка Генпрокуратуры. Если у вас больше 1% по одному из списков, то вас проверят. Если меньше, то проверят тоже, но могут просто не успеть.
  10. Программный ревизор используется для мониторинга наряду с аппаратным. Раньше не планировалось его использовать, но теперь вот как то так... Протоколы через него также могут быть составлены.

P.S. Информация о технических подробностях работы системы мониторинга получена от коллег по отрасли в результате общения с сотрудниками частотного центра. Это информация может быть искажена в процессе пересказа, являться устаревшей или намеренно вводящей в заблуждение. Так что доверять ей на 100% нельзя, но принимать во внимание можно и нужно. Сами сотрудники ЧЦ не раз заявляли, что все может поменяться в любой момент. Плюс внутренние инструкции и процедуры могут отличаться для различных регионов.

 

Выводы:


     
  1. Фильтрация на основе фейковых DNS-ответов или анонсов некоторых сетей на фильтр неэффективна.
  2. Без DPI получить качественное решение проблемы нельзя.
  3. "Пропуски" в отчетах в личном кабинете не гарантируют получение протокола о нарушении.
  4. Ревизор в каком то смысле сам препятствует эффективной фильтрации ресурсов, поскольку может "замусоривать" отчет тем, что не является нарушениями с точки зрения системы мониторинга в целом (см вопрос №65 концеренции).
     

Уточнения и исправления приветствуются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот как раз недавно видел статью о том, как на 200% обезопаситься и пройти проверки ревизора http://www.carbonsoft.ru/на-200-проходим-проверки-ас-ревизор/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот как раз недавно видел статью о том, как на 200% обезопаситься и пройти проверки ревизора http://www.carbonsoft.ru/на-200-проходим-проверки-ас-ревизор/

Забавно читать статью созданную теми, чья софт на не смогла заблочить.

Только по офиц.статистике http://forum.nag.ru/forum/index.php?showtopic=123162&st=150&p=1379829&fromsearch=1entry1379829

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати на Комньюс статья вышла http://www.comnews.ru/content/106208/2017-03-06/operatory-ishchut-zashchity-ot-revizora

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, прошу поделиться информацией был ли у Вас протокол об АП по ревизору, к которому прилагалось несколько актов мониторинга разными датами. Можно в личку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 победа есть.

Новосибирск.

РКн отказался от иска.

 

Можно ссылку на дело в арбитраже для ознакомления?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 победа есть.

Новосибирск.

РКн отказался от иска.

 

Можно ссылку на дело в арбитраже для ознакомления?

так в нескольких темах Форума решения выкладывал.

По просьбам трудящихся, буду обобщать и выкладывать позитив здесь:

http://www.ordercom.ru/Revizor.htm

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас вроде получилось справится с этим TP-Link'ом по следующей схеме

revizorro.jpg

в такой конфигурации получается 0-1 пропусков в сутки, против 50-100 без нее.

Реализация элементарная, если интересно - поделюсь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.