Jump to content
Калькуляторы

Фильтрация трафика для школ Какой-то непонятный СИД (Сервер Исключения Доступа)

Народ, у меня вопрос. Мы тут озадачились вопросом предоставления инета школам, их, естессно, интересует вопрос фильтрации от порнухи.

 

Нарыли в инете вот такое распоряжение:

 

Руководителям высших органов

исполнительной власти субъектов

Российской Федерации,

осуществляющим управление

в сфере образования

 

24.12.2008 № 15-51-1167 ин/01-09

 

Во исполнение распоряжения Правительства Российской Федерации от 18.10.2007 № 1447-р, а также в рамках методического обеспечения проведения региональных конкурсов по предоставлению услуг связи для обеспечения безопасного доступа образовательных учреждений (далее — ОУ) к сети Интернет направляем технические требования к Интернет-провайдерам для подключения ОУ к централизованной системе исключения доступа к Интернет-ресурсам, несоответствующим задачам воспитания и образования учащихся.

 

Приложение на 2 л.

 

Технические требования к провайдерам для подключения

образовательных учреждений к централизованной системе исключения доступа к Интернет-ресурсам, несоответствующим задачам воспитания и образования (СИД)

 

Для подключения образовательных учреждений (далее — ОУ) к централизованной системе исключения доступа к Интернет-ресурсам, несоответствующим задачам воспитания и образования (СИД) и обеспечения ДНС - фильтрации, провайдеру предоставлена возможность подключения по одной из двух схем, приведенных ниже.

 

Схема 1. Провайдер обеспечивает непосредственное подключение ОУ к централизованной СИД.

В данной схеме подключения провайдер обеспечивает подключение ОУ непосредственно к центральной СИД, не используя какие-либо элементы СИД на своей стороне. Для нормальной работы СИД должны быть обеспечены следующие параметры подключения:

задержка распространения пакетов до серверов СИД (IP адреса 82.179.62.64 - 82.179.62.65) не более 500 мс;

доступность хотя бы двух из официальных корневых серверов:

A.ROOT-SERVERS.NET

B.ROOT-SERVERS.NET

C.ROOT-SERVERS.NET

D.ROOT-SERVERS.NET

E.ROOT-SERVERS.NET

F.ROOT-SERVERS.NET

G.ROOT-SERVERS.NET

H.ROOT-SERVERS.NET

I.ROOT-SERVERS.NET

J.ROOT-SERVERS.NET

K.ROOT-SERVERS.NET

L.ROOT-SERVERS.NET

M.ROOT-SERVERS.NET

не более 200 мс.

 

Схема 2. Провайдер обеспечивает подключение ОУ к централизованной СИД через вспомогательные сервера фильтрации.

 

Если провайдер не может выполнить условия схемы 1, то применяется данная схема подключения, которая предусматривает установку дополнительных вспомогательных серверов контентной фильтрации. В зависимости от числа подключаемых ОУ и параметров канала количество вспомогательных серверов может изменяться от 2 до 6. В случае задержки распространения пакетов до серверов СИД (IP адреса 82.179.62.64 - 82.179.62.65) не более 1000 мс, применяется два сервера, которые должны быть настроены в режиме DNS (cashe + forward) независимо от количества подключаемых ОУ. В случае больших задержек до серверов СИД, провайдер должен использовать 4 (если количество ОУ менее 2000) или 6 (если количество ОУ более 2000) вспомогательных серверов контентной фильтрации, обеспечивающих исключение доступа к ресурсам, несовместимым с целями и задачами воспитания и образования, с непосредственным взаимодействием с базой данных централизованной СИД.

Приложил заодно сканы, но там то же самое, что тут написано.

 

Так вот вопрос - совершенно непонятен порядок подключения (нас интересует "Схема 2" видимо). По телефону, что там указано, что-то невнятно мычат про товарища, который этим занимается, и до которого уже 4 месяца не получается дозвониться (каждый день звоним ;) ).

 

Кто-нибудь знает, что ето такое и с чем ето едят?

post-58557-1247053656_thumb.jpg

post-58557-1247053672_thumb.jpg

post-58557-1247053680_thumb.jpg

Share this post


Link to post
Share on other sites

Чёт не пойму. А Вы не можете дать клиенту задержку > 500мс?

Share this post


Link to post
Share on other sites

как я понял в схеме 2) просто хотят чтоб твои ДНС сервера делали запросы через их ДНС сервера + кеширование. их ДНСы собственно фильтрацией и занимаются.

 

почему-то на пиратскую бухту не пускают, а на торрентс.ру - вполне. поддержка отечественного производителя? :))))

Share this post


Link to post
Share on other sites

Мы просто поставили на обслуживание школ отдельный шлюз, который не пропускает запросы к прочим ДНС, а сам ресолвит только через СИД. Все проверки контролеров прошли успешно, школы работают.

Share this post


Link to post
Share on other sites

Как я понимаю, от различных проксей с туннелями эта шняга не спасает?

Share this post


Link to post
Share on other sites

от прокси висящего на 80 порту точно не спасет)))

 

но это решается локальными политиками безопасности

Share this post


Link to post
Share on other sites
от прокси висящего на 80 порту точно не спасет)))
c учетом процента проникновения домашнего интернета - кому бы оно надо было, в школе заморачиваться с прокси через прокси.

Кстати, а интересно, как сквид отрабатывает запросы к внешним прокси на 80 порту?

Share this post


Link to post
Share on other sites

> но это решается локальными политиками безопасности

 

Интересно, кто еще эти политики писать будет. Мне не верится, что учитель информатики будет домен поднимать и поддерживать. И судя по истории, когда ответственного человека (вообще странно, что он один!!) не могут найти месяцами, значит, что бабло успешно попилили, на проект посадили студента, а в результате любой грамотный школьник смотрит прон. Что не очень хорошо отражается на генофонде - если все грамотные будут смотреть порно, то активнее размножаться начнут безграмотные.

 

Грустно все это.

Share this post


Link to post
Share on other sites
Мне не верится, что учитель информатики будет домен поднимать и поддерживать. И судя по истории, когда ответственного человека (вообще странно, что он один!!) не могут найти месяцами, значит, что бабло успешно попилили, на проект посадили студента,
цель проекта - дать инет в школы? или поддерживать школьный парк компов в порядке?

давайте отделять мух от котлет. почему-то в школах где я учился в свое время - был админ настаивающий политики. и в результате свободу можно было получить только сбросив биос и загрузившись с дискетки. что сделать достаточно сложно под присмотром учителя. и никакой гос.программы тогда еще не было...

Share this post


Link to post
Share on other sites

Я-то откуда знаю цели проекта? Сейчас видно только одно - один из путей - это фильтрация контента. Которую успешно слили? попилили?

 

А если оффтопить, когда я учился в школе, у нас была сеть на мотороллах кажется. Уже не помню, в общем такие компы, похожие на спекртрум, мы на них еще на бейсике посадку на луну фигачили.

Share this post


Link to post
Share on other sites

Возможно можно найти или дома поднять OpenVPN сервак и цеплятся к нему по любому доступному порту, а дальше через него всё что угодно в обход любых политик гнать.

Share this post


Link to post
Share on other sites

почему-то в школах где я учился в свое время - был админ настаивающий политики. и в результате свободу можно было получить только сбросив биос и загрузившись с дискетки. что сделать достаточно сложно под присмотром учителя. и никакой гос.программы тогда еще не было...[/color]

А блин! ЗдОрово! :-))) Админ в школах!!! Хоррошо!

Share this post


Link to post
Share on other sites

Возможно можно найти или дома поднять OpenVPN сервак и цеплятся к нему по любому доступному порту, а дальше через него всё что угодно в обход любых политик гнать.

Ага, а если чистого инета нет? Ну типа мастдай осилить может каждый, и ису посилить поставить не трудно будет и школоте, в т.ч. учителю школоты.

Share this post


Link to post
Share on other sites

и ису посилить поставить не трудно будет и школоте, в т.ч. учителю школоты.

и бабла за лицензию к ИСЕ отстегнуть из своего кармана... или иметь с прокурором разговоры.

Share this post


Link to post
Share on other sites

Хм... iptables + squid = no problem (=

 

А вобще это будет замечательно, если учителя осилят что-то кроме выни.

Edited by Aliech

Share this post


Link to post
Share on other sites
Хм... iptables + squid = no problem (=
Базу сквида с порнушными сайтами сами пополнять будете?

 

Share this post


Link to post
Share on other sites
Хм... iptables + squid = no problem (=
А не поможет. Надо или закрыть все, открыть нужное - либо никак, так как можно вот по простому запросу посмотреть прон:

 

http://images.google.ru/images?hl=ru&q...mp;aq=f&oq=

 

уже про это писали не раз, когда только синтера пилили школьный инет.

Share this post


Link to post
Share on other sites

Свинья всегда грязи найдёт.

 

Не в школе дак дома или у друзей, достаточно вспомнить ещё нашу молодость и VHS видаки...

 

А скоро большинство будет ходить со своими нетбуками, благо они подешевели до уровня тетриса.

И WiFiMax также опустится через пару лет по доступности ценам, и будет только учитель с фильтрами мучатся :)

 

Да собственно уже сейчас никто не запрещает на мокрых кисов смотреть на любом уроке через мобильную оперу даже на довольно дешовых фуфлонах.

 

Подход ошибочен. Нужно не запрещать а правильно давать информацию.

Share this post


Link to post
Share on other sites
Подход ошибочен. Нужно не запрещать а правильно давать информацию.
Единственно правильным подходом является выполнение распоряжения правительства Российской Федерации о подключении образовательных учреждений к централизованной системе исключения доступа к Интернет-ресурсам, несоответствующим задачам воспитания и образования. ;)

 

Share this post


Link to post
Share on other sites
Подход ошибочен. Нужно не запрещать а правильно давать информацию.

Как в ролике:

эпизод с уроком на тему "строение тела". )))

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this