[Умник]

13 минут назад, YuryD сказал:

Хорошая практика - иметь свой надежный, а остальные заблочить

Заблочить? На каком основании? Это какая-то общепринятая практика или вы сами практикуете, и только поэтому она "хорошая"?

[Andrei]

1 минуту назад, Умник сказал:

На каком основании?

Теперь на основании сабжа

[Умник]

Только что, Andrei сказал:

Теперь на основании сабжа

Из какого именно документа следует, что нужно блочить любые DNS-рекурсоры кроме заданных? Предусмотрена ли ответственность, если не заблокировать?

[YuryD]

Только что, Умник сказал:

Заблочить? На каком основании? Это какая-то общепринятая практика или вы сами практикуете, и только поэтому она "хорошая"?

 Мы живем в одной стране, основное подключение у меня pptp, выдаю свои днс с сервера. Захочется кому-то - заблочить чего-то, пусть указом будет. А уж заменить в днс-сервере зоны корневых серверов - ну мы тут живем. Остальное - понятно.

[Andrei]

13 минут назад, Умник сказал:

Из какого именно документа следует, что нужно блочить любые DNS-рекурсоры кроме заданных?

https://forum.nag.ru/index.php?/topic/153026-prikaz-221-svedeniya-v-roskomnadzor-prinyato/&do=findComment&comment=1630227

 

[YuryD]

14 минут назад, Умник сказал:

Из какого именно документа следует, что нужно блочить любые DNS-рекурсоры кроме заданных? Предусмотрена ли ответственность, если не заблокировать?

 Кроме подумать

[Умник]

14 минут назад, Andrei сказал:

https://forum.nag.ru/index.php?/topic/153026-prikaz-221-svedeniya-v-roskomnadzor-prinyato/&do=findComment&comment=1630227

 

Нет, не следует. Максимум следует только это:

1) Оператор изменяет настройки своего DNS-рекурсора (пересылает все запросы на указанные в документе DNS, использует альтернативную root-зону)

2) Оператор отдает по DHCP своим абонентам указанные в документе DNS-сервера

Про блокировку возможности использовать какой-нибудь 8.8.8.8 - ничего. Не исключаю, что такую блокировку будет выполнять ТСПУ. Но ТСПУ для оператора - "черный ящик", он это изменить не может.

Изменено 13 февраля, 2021 пользователем Умник

[YuryD]

7 минут назад, Умник сказал:

Нет, не следует. Максимум следует только это:

Про блокировку возможности использовать какой-нибудь 8.8.8.8 - ничего. Ни исключаю, что такую блокировку будет выполнять ТСПУ. Но ТСПУ для оператора - "черный ящик", он это изменить не может.

 Ё) Поместите  в реестр выгрузки 8,8,8,8, зачем тспу нужен. Механизм уже есть.

[ne-vlezay80]

1 час назад, YuryD сказал:

 Ё) Поместите  в реестр выгрузки 8,8,8,8, зачем тспу нужен. Механизм уже есть.

Можно прописать исключения

Изменено 13 февраля, 2021 пользователем ne-vlezay80

[Andrei]

2 часа назад, Умник сказал:

1) Оператор изменяет настройки своего DNS-рекурсора (пересылает все запросы на указанные в документе DNS, использует альтернативную root-зону)

Значит я как-то не так понимаю это требование.

Про то, что клиент себе может прописать любой DNS я разумеется понимаю.

[Bambuk]

Подскажите как быть. Есть LIR с кучкой AS и адресов. Сетевой инфраструктуры своей никакой нет. Все ресурсы сдает в аренду операторам.

РКН, видимо в RIPE нашло что AS числятся на этом LIR, и начало слать запросы о предоставлении инфы по 221 приказу.

Если в xml по этим AS указать в actor'ах этих операторов, которым сдаются ресурсы, будет ли этого достаточно?

Получится и LIR инфу по AS подаст и оператор?

[AdmSasha]

В 12.02.2021 в 17:27, Va-Bank сказал:

Какие вкладки имеются ввиду интересно, откуда качать файл зоны, как думаете?

Тот же вопрос. Где это?

[Andrei]

В 12.02.2021 в 13:39, Va-Bank сказал:

Прислали новое письмо от РКН с инструкциями и текстом:

Национальная система доменных имен!

Инструкция_для_ОС_по_подключению_к_НСДИ_v3.pdf

 

Вдогонку от надзора: "В связи с корректировкой настроек национальной системы доменных имен Центр мониторинга и управления сетью связи общего пользования просит не использовать высланную 12.02.2021 в Ваш адрес инструкцию до особого распоряжения"

[TRIada]

В 04.02.2021 в 18:32, EuPhobos сказал:

router bgp 3333

bgp router-id 3.3.3.3

address-family ipv4 vrf INTERNET

network 3.3.3.3 mask 255.255.x.y

neighbor 6.6.6.6 remote-as 6666

neighbor 6.6.6.6 description RKN

neighbor 6.6.6.6 ebgp-multihop 255

neighbor 6.6.6.6 update-source Loopback0

neighbor 6.6.6.6 activate neighbor 6.6.6.6 prefix-list DENY-ANY-PREFIXES in

В случае, если bgp в роутере уже есть, я меняю на:

neighbor 6.6.6.6 remote-as 65100

neighbor 6.6.6.6 local-as 65200  no-prepend replace-as

пусть 65100 будет ихний, а 65200 мой. так будет правильно?

[Стич]

2 часа назад, Andrei сказал:

Вдогонку от надзора: "В связи с корректировкой настроек национальной системы доменных имен Центр мониторинга и управления сетью связи общего пользования просит не использовать высланную 12.02.2021 в Ваш адрес инструкцию до особого распоряжения" 

Похоже нагрузку рассчитать не додумались.

[sdy_moscow]

Сплошной #Лавровий.

[Умник]

6 часов назад, Стич сказал:

Похоже нагрузку рассчитать не додумались.

Интересно, что если посмотреть traceroute и ping в lg разных операторов и прикинуть задержки, то выходит, что сеть 195.208.4.0/24 анонсируется anycast-ом в разных точках страны. Как минимум есть присутствие в Москве, Питере и Казане. Так что в зависимости от связанности оператора и политик маршрутизации трафика абоненты по стране будут видеть физически разные сервера.

[Умник]

Да, сеть есть на RS во всех городах присутствия MSK-IX по стране. Анонсирует ее neighbor ripndns. https://www.msk-ix.ru/dns/

 

Так что им не впервой. Просто в этот раз рекурсор, а не авторитативный.

[svcons]

 

Вот п.8 ст.56.2 ФЗ О связи: В случае, если операторы связи, собственники или иные владельцы технологических сетей связи имеют номер автономной системы, такие операторы связи, собственники или иные владельцы технологических сетей связи также обязаны:

4) в сроки, порядке, составе и формате, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, представлять в электронной форме в указанный федеральный орган исполнительной власти, в том числе по его требованию, информацию:...

 

Приказом 221 собственно и установлены сроки, порядок и состав предоставления информации.

П.8 приказа № 221: Посредством личного кабинета на Сайте обеспечивается:

8.1. Направление информации посредством заполнения электронных форм.

8.2. Размещение информации в формате XML, доступном для скачивания в личном кабинете на Сайте и содержащим поля к заполнению, полностью идентичные содержанию электронных форм, предусмотренных подпунктом 8.1 пункта 8 настоящего акта.

8.3. Получение технических условий организации автоматического взаимодействия систем управления сетями связи или средств связи с информационной системой.

 

Из приказа 221 никак не следует, что какой-то способ является приоритетным. Роскомнадзору не дано право устанавливать, например, обязательность предоставления информации именно путем автоматического взаимодействия с МЦУ.

 

А значит оператор сам может выбирать способ предоставления информации.

Например, если оператор предпочитает направлять информацию в виде XMLфайлов, то обязать его подключиться к их системе, в общем-то нельзя.

 

Думаю оттого такой странный способ - направить инструкции и не направлять официального письма, содержащего требование.

Получается операторы как-бы по своему желанию подключаются к ЦМУ...

 

Мы полагаем, есть все основания выбрать любой, предусмотренный приказом 221, способ отправки информации. О чем можно и уведомить Роскомнадзор. Хотя и такой обязанности нет.

 

Возвращаясь к форме, направления инструкций (без сопроводительного, без ЭП).

То как инструкции направлены ни к чему оператора не обязывает. Нет ни требования, ни предложения, ни обоснования. Есть только инструкции. Можно выразить Роскомназору благодарность за предоставленную информацию, а можно и не отвечать, ведь никакого ответа и не просят.

[Andrei]

2 минуты назад, svcons сказал:

никакого ответа и не просят.

В e-mail есть приписка: "Направляем инструкции для организации работы.  О получении сообщения прошу сообщить _тут_ФИО_сотрудника_надзора (_код_города)_тел_номер__. Обращаем внимание, направленные инструкции размещены и в ЛК владельца АС."

Конечно к этой приписке относится все, что вы написали выше

[Стич]

13 часов назад, Умник сказал:

Да, сеть есть на RS во всех городах присутствия MSK-IX по стране. Анонсирует ее neighbor ripndns. https://www.msk-ix.ru/dns/

 

Так что им не впервой. Просто в этот раз рекурсор, а не авторитативный. 

В этом то вся и разница обслужить запросы всех вирусов со всех устройств РФ.

Создали точку отказа.

[snvoronkov]

5 часов назад, Andrei сказал:

О получении сообщения прошу сообщить

Ну и сообщите, что получили. :-)

[ne-vlezay80]

Интересно, а кокому нибудь владельцу AS (не оператору) приходило ли требование об установке СОРМ?

[oller]

Не подскажите по настройки BGP для РКН

Как правильно настроить, чтобы только отдавать neighbor, но не принимать

Крайне не силен в сетях, пока вырисовывается следубщее

 

 neighbor RKN peer-group
 neighbor RKN remote-as 65211
 neighbor RKN prefix-list FIRMA out
 neighbor IP_RKN ebgp-multihop peer-group RKN 

[дядя Саша]

16 часов назад, oller сказал:

Как правильно настроить, чтобы только отдавать neighbor, но не принимать

 

Этот вариант чем плох?