Jump to content
Калькуляторы

DPI всего - блокировка VPN и других сервисов

Собстно...

Как я понимаю, СКАТ и другие блокировщики проверяют не весь трафик, а по IP адресам.

Если блокировать сервисы то придется вскрывать весь или почти весь трафик.

СКАТу наверное в принципе все равно, что вскрывать, только нагрузка вырастет...

А вот насколько? 

Share this post


Link to post
Share on other sites

16 минут назад, sergsa сказал:

Как я понимаю, СКАТ и другие блокировщики проверяют не весь трафик, а по IP адресам.

Если проверять только по IP адресам - то неизбежны ошибки. Скорее всего СКАТ смотрит весь трафик и так.

В любом случае вычислить IP сервисов попавших в черный список не должно быть трудно. Не сложнее фильтрации ютуба.

Тут в другом сложность - не всегда можно распознать VPN или отделить его от других сервисов, например, HTTPS или SSH.

И проверять то это сложно. Ревизор будет VPN сессии пытаться поднимать?

Share this post


Link to post
Share on other sites

3 часа назад, Tosha сказал:

Если проверять только по IP адресам - то неизбежны ошибки. Скорее всего СКАТ смотрит весь трафик и так.

Так они бывает выскакивают.

Я думаю, что они просеивают только трафик от определенных ip при ответе

проверить в принципе не сложно.

VPN отличить можно для этого нужно в пакет лезть, заголовки смотреть.

Не вижу проблемы ревизору vpn сессии поднимать

Share this post


Link to post
Share on other sites

В 30.10.2017 в 09:21, sergsa сказал:

Собстно...

Как я понимаю, СКАТ и другие блокировщики проверяют не весь трафик, а по IP адресам.

Если блокировать сервисы то придется вскрывать весь или почти весь трафик.

СКАТу наверное в принципе все равно, что вскрывать, только нагрузка вырастет...

А вот насколько? 

а с какой целью вопрос?

Share this post


Link to post
Share on other sites

22 часа назад, sergsa сказал:

VPN отличить можно для этого нужно в пакет лезть, заголовки смотреть.

Не совсем так. VPN'ов много, хороших и разных. Есть даже что-то over DNS, сталкивался.

Share this post


Link to post
Share on other sites

12 минут назад, Alex/AT сказал:

Не совсем так.

Скажем так — если VPN просто делает инкапсуляцию, без шифрования или какой-либо трансляции, то сделать его фильтрацию на базе существующей несложно.

Share this post


Link to post
Share on other sites

2 часа назад, alibek сказал:

Скажем так — если VPN просто делает инкапсуляцию, без шифрования или какой-либо трансляции, то сделать его фильтрацию на базе существующей несложно.

Боюсь стоит начать давить - половина тут же станет шифроваться.

Share this post


Link to post
Share on other sites

Нет, просто всякие самописные нестандартные способы (типа инкапсуляции в DNS или ICMP) перестанут использоваться и начнут использовать VPN, где шифрование предусмотрено изначально.

Share this post


Link to post
Share on other sites

В 30.10.2017 в 09:21, sergsa сказал:

Собстно...

Как я понимаю, СКАТ и другие блокировщики проверяют не весь трафик, а по IP адресам.

Если блокировать сервисы то придется вскрывать весь или почти весь трафик.

СКАТу наверное в принципе все равно, что вскрывать, только нагрузка вырастет...

А вот насколько? 

Блокировать пока нужно по Реестру Роскомнадзора, определять какие туда параметры вносить дело не оператора, даже если VPN. 

Share this post


Link to post
Share on other sites

В 31.10.2017 в 17:33, Информправо.рф сказал:

Блокировать пока нужно по Реестру Роскомнадзора, определять какие туда параметры вносить дело не оператора, даже если VPN. 

Как бы потом не прилипнуть за то,что "согласно реестру",а вот порта в реестре может и не быть.И имхо,DPI решение в данном случае может считаться проникновением в частную жизнь(ну или как то так)?! так как придется смотреть заголовки везде и всегда...а если я впн использую для авторизации пользователей?а если впн соединяет офисы?!и так далее,тогда что?!или всё же это не тотальный блок,а так как всегда?!

Share this post


Link to post
Share on other sites

56 минут назад, endyhide сказал:

..а если я впн использую для авторизации пользователей?а если впн соединяет офисы?!и так далее,тогда что?!или всё же это не тотальный блок,а так как всегда?!

 Да на здоровье, шифрование только не включайте, и на вас не будут смотреть косо. Хотите шифрование - сдайте ключи. Не хотите - ставьте ревизор внутри такой межгалактической сети. Дабы ваши галакты не смогли рассмотреть не нужный в стране контент, а если ревизор это увидит - то штрафы всей галактике. Живёшь в РФ, будь готов что не вся информация к тебе доедет. А уж если совсем трансгалакт-предприниматель - исполняй законы страны пребывания. Телепорты пока не запрещены, но ...

Share this post


Link to post
Share on other sites

 

12 часов назад, YuryD сказал:

Дабы ваши галакты не смогли рассмотреть не нужный в стране контент, а если ревизор это увидит - то штрафы всей галактике.

Получается проще как раньше,блокируем сайты и впны отдельно,только для ревизора....Хорошо бы не шифровать впн,тогда начнется воровство записей...как говорится с чем боролись на то и напоролись.

Share this post


Link to post
Share on other sites

o-o.jpeg

 

интересно, скоро обяжут в каждый планшет службу удаленного управления ключами шифрования встраивать с доступом кому-надо?

 

Share this post


Link to post
Share on other sites

В 24.11.2017 в 09:29, endyhide сказал:

 

Получается проще как раньше,блокируем сайты и впны отдельно,только для ревизора....Хорошо бы не шифровать впн,тогда начнется воровство записей...как говорится с чем боролись на то и напоролись.

 Ну уж, страсти-мордасти.... Те - кому реально шифрование нужно, сами обеспокоятся о построении криптотуннелей поверх публичного инета, что они и делают. Хотя-бы медики, в разрезе защиты персональных данных. Клиентбанки тоже шифрованные. В общем - не дело провайдера предоставлять клиенту крипто. А идея порочная, о блокировке только для ревизора. Ибо сорм всё видит, но не каждому скажет :)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.