[Irsi]

Молодому человеку, известному здесь под именем Irsi могу только предложить построить на стенде какой-либо комплект железяк, который позволит заблокировать все экземпляры MeinKampf в интернете - т.е. продемонстрировать стандартный компьютер (ровно один) со стандартным ПО, подключенный к интернету, и при этом с помощью L7-фильтрации защищенный ровно от одной позиции списка (книги Адольфа Шикльгрубера Mein Kampf) именно в той формулировке, в которой оная позиция сформулирована в списке.

А следом - собрать стенд, который позволяет полноценно фильтровать на L7 20Гбит потока.

 

А до тех пор, пока ни того, ни другого Irsi не сделает - предлагаю его хором отправить в игнор. Ибо человек реального провайдерского железа в глаза не видел, и при этом смеет давать советы невообразимого масштаба и невообразимой же глупости.

1. Для начала здесь идет речь о блокировках конкретных УРЛ, внимательно читаем тему - суд потребовал закрыть доступ именно к конкретному УРЛ, а не к некому абстрактному матерьялу.

2. 20 Гбит потока - лехко! Ну да сжульничаю - факт.:) Но тебе бы мальчик стоит выучить почему производительность сетевого оборудования измеряют в пакетах в секунду, а не в битах/байтах в секунду - тогда сможет перекрить пути к такому жульничеству.

3. Провайдерскоего железа я видел поболее тебя сынок.

[Irsi]

1. Современные средства L7-фильтрации позволяют легко и просто закрывать доступ к отдельно взятым страницам сайта.

2. Эти современные средства имеются в достаточном кол-ве у любого приличного ISP.

Значит большинство провайдеров (процентов этак 90) - неприличные. Нет у них таких средств.

Да нет - у 80% такое оборудование есть. Оно УЖЕ стоит - просто надо начать его использовать.

[Tima]

Да блин, все разжевывать надо, читаем - http://www.cisco.com/en/US/products/sw/sec...0808bc994.shtml

Ты как первый день замужем :)

Оно есть в таких забористых софтах, которые нормальный админ будет ставить только под прицелом пистолета :)

А в софтах для магистрального софта этого нет.

А если вдруг и есть, то при включении моментально убьет железку насмерть при проходящих объемах траффика.

 

И не забывай, что блокировать просят не говнотелеком в деревне нижнее мымрино, а магистралов.

[visir]

Да блин, все разжевывать надо, читаем - http://www.cisco.com/en/US/products/sw/sec...0808bc994.shtml

Как уже сказали, это только в маленьких энтерпрайзных коробках/софте. В SP-шном этого нет.

[Irsi]

Да блин, все разжевывать надо, читаем - http://www.cisco.com/en/US/products/sw/sec...0808bc994.shtml

Как уже сказали, это только в маленьких энтерпрайзных коробках/софте. В SP-шном этого нет.

Тут он есть:

home#sh ver

Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(24)T1, RELEASE SOFTWARE (fc3)

 

Я это собственно к чему - он есть во всех современных IOS-ах с ADVIPSERVICES. А смартнет реально стоит копейки.

[alks]

Как уже сказали, это только в маленьких энтерпрайзных коробках/софте. В SP-шном этого нет.

http://www.cisco.com/en/US/docs/ios/ios_xe...y_firew_xe.html

This module describes the Cisco IOS XE unidirectional firewall policy between groups of interfaces known as zones.

 

это для Cisco ASR который вполне можно считать операторским железом

не для магистралов конечно, но для ластмильщиков очень даже

 

вопрос только в том что все эти фичи очень и очень сырые

 

P.S.

 

в доке тут-же пишут

Application-level maps (also referred to as Layer 7 class maps) are not supported in Cisco IOS XE software.

но думаю что это только вопрос времени

Изменено 6 сентября, 2010 пользователем alks

[visir]

Да блин, все разжевывать надо, читаем - http://www.cisco.com/en/US/products/sw/sec...0808bc994.shtml

Как уже сказали, это только в маленьких энтерпрайзных коробках/софте. В SP-шном этого нет.

Тут он есть:

home#sh ver

Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(24)T1, RELEASE SOFTWARE (fc3)

 

Я это собственно к чему - он есть во всех современных IOS-ах с ADVIPSERVICES. А смартнет реально стоит копейки.

Cisco 870 - вот он, ваш уровень :)

Для него даже образа SP SERVICES нету. А для тяжелых коробок один только IOS стоит немало.

 

Если на 7200 еще можно это завести, ценой деградации производительности, то на 6500/7600/GSR/CRS - никак. Надеюсь, вам очевидно, почему ?

 

в доке тут-же пишут

Application-level maps (also referred to as Layer 7 class maps) are not supported in Cisco IOS XE software.

но думаю что это только вопрос времени

А я так не думаю :-)

[Irsi]

Cisco 870 - вот он, ваш уровень :)

Для него даже образа SP SERVICES нету. А для тяжелых коробок один только IOS стоит немало.

Зайдите в конфигуратор и подивитесь - эти возможности есть для всех кошек, начиная с самых младших, что собственно я и показал. Кстати IOS стоит недорого, точнее не IOS, а smartnet разумеется. Да это зависит от модели разумеется, но по сравнению с ценой конкретной модели стоимость смартнета для нее - копейки.

Если на 7200 еще можно это завести, ценой деградации производительности, то на 6500/7600/GSR/CRS - никак. Надеюсь, вам очевидно, почему?

А для них есть специальные модули с аналогичной функциональностью.

[leiden]

Irsi - какой функционал, за какие деньги и когда можно будет включить для осуществления wirespeed DPI на MX960?

[Irsi]

leiden

Я практически не сталкивался с Juniper и знаком с ними весьма поверхностно - так что спросите у специалистов по данному железу. Я же вам могу рассказать за Cisco, что собственно и сделал выше.

К слову - в решении суда речь шла вовсе не о магистралах, а провайдерах доступа. Сумневаюсь я что у них стоят юпитеры, скорей всего - кошки как у большинства приличных. У неприличных - длинки, трикомы и самосбор на линаксе, но эти-то должны сдохнуть и чем быстрее - тем лучше для всех. И если подобные решения суда будут приближать этот момент - я только за.

[straus]

Опять скатились к обсуждению может/не может фильтровать.

Не должен фильтровать! Оператор/провайдер не занимается распространением. Точка!

 

(А вообще это полный идиотизм - запрещать один URL с информацией, которую можно найти во многих местах.)

[leiden]

У провайдеров доступа вовсю стоят Джуны - как M/MX так и E/EX серий. Как у альтернативных, так и у традиционных. Изучайте фактуру.

Ну и - дайте ответ на тот-же вопрос по ASR 1006/1013 и по 7606/7609.

[Irsi]

Опять скатились к обсуждению может/не может фильтровать.

Не должен фильтровать! Оператор/провайдер не занимается распространением. Точка!

 

(А вообще это полный идиотизм - запрещать один URL с информацией, которую можно найти во многих местах.)

Еще раз - фильтровать может, это имхо и обсуждать бессмысленно.

Далее - см. законы, он обязан фильтровать! Это стандартная практика, для примера я выше приводил английскую практику, там чтоб зафильтровать неугодный ресурс даже решения суда не надо.

Запрет урл - не идиотизм, я раньше объяснял почему. Задача вовсе не сделать информацию полностью недоступной - задача снизить ее доступность до такого уровня, когда она перестанет работать как пропагандистский инструмент.

[alks]

Не должен фильтровать! Оператор/провайдер не занимается распространением. Точка!

согласен!

что только вот делать когда поставят раком очередным идиотским не важно чьим решением/постановлением?

 

 

[Irsi]

Не должен фильтровать! Оператор/провайдер не занимается распространением. Точка!

согласен!

что только вот делать когда поставят раком очередным идиотским не важно чьим решением/постановлением?

Если вы хотите и далее переть против системы, при этом - самым идиотским образом, отрицая очевидные вещи, то готовьтесь стоять ряком регулярно и подолгу. Так что для вас выход один - расслабиться и получать удовольствие. Либо сменить свою неправильную точку зрения на правильную.

[martin74]

Возьмите уж человека на работу, пусть поумнеет....

[Галушко Дмитрий]

Постановили заблокировать только страничку с книгой Гитлера "Моя борьба".

Я Вас умоляю, ее в печатном виде было продано столько, что Интернет отдыхает. А в Интернете ее столько, что проще запретить Интернет в целом, чем судебными решениями запрещать доступ к ней...

Меня не надо умолять - умоляйте суд.

 

[Галушко Дмитрий]

что может помешать нашим блокировать отдельно взятую сраницу на ютубе

Сколько нужно времени, чтобы выложить этот же ролик на новой странице? Минуты три?

Сколько нужно времени на признание ролика на новой странице противоречащим закону? Месяца два?

...

Не 2 месяца, а полгода...

Поэтому на вопрос а что думают власть придержащие о технологической составляющей, я на КРОСе и ответил: "Не думают." Технарей там нет. Одни бюрократы... Так что пока руки и мозги не дошли...

[straus]

Если вы хотите и далее переть против системы, при этом - самым идиотским образом, отрицая очевидные вещи, то готовьтесь стоять ряком регулярно и подолгу. Так что для вас выход один - расслабиться и получать удовольствие. Либо сменить свою неправильную точку зрения на правильную.

Ну когда лично тебя будут обвинять в преступлении, которого ты не совершал, ты не забудь свои слова. И не вздумай переть против системы, расслабься и получай удовольствие.

[visir]

Cisco 870 - вот он, ваш уровень :)

Для него даже образа SP SERVICES нету. А для тяжелых коробок один только IOS стоит немало.

Зайдите в конфигуратор и подивитесь - эти возможности есть для всех кошек, начиная с самых младших, что собственно я и показал. Кстати IOS стоит недорого, точнее не IOS, а smartnet разумеется. Да это зависит от модели разумеется, но по сравнению с ценой конкретной модели стоимость смартнета для нее - копейки.

Если на 7200 еще можно это завести, ценой деградации производительности, то на 6500/7600/GSR/CRS - никак. Надеюсь, вам очевидно, почему?

А для них есть специальные модули с аналогичной функциональностью.

Еще раз: в SP SERVICES, который "по умолчанию" продают провайдерам, его нет. Апгрейд на другой тип IOS-а стоит денег, смартнет сам по себе на него права не дает.

Дополнительные модули не могут пропускать через себя весь трафик - только его очень небольшую часть. Что на цисках, что на джунах.

 

Иными словами, забудьте про фильтрацию урл-ов на обычных маршрутизаторах - это не про операторов. Операторское решение - DPI. Да и тот до уровня магистралов не масштабируется.

[Irsi]

Если вы хотите и далее переть против системы, при этом - самым идиотским образом, отрицая очевидные вещи, то готовьтесь стоять ряком регулярно и подолгу. Так что для вас выход один - расслабиться и получать удовольствие. Либо сменить свою неправильную точку зрения на правильную.

Ну когда лично тебя будут обвинять в преступлении, которого ты не совершал, ты не забудь свои слова. И не вздумай переть против системы, расслабься и получай удовольствие.

Не подчиняться решению суда - преступление. Так что если суд постановил блокировать - блокируйте если решение суда вступило в силу. Все так любят кричать о своих правах, о правовом государстве и т.д., но как то забывают что кроме прав у них есть и обязанности раз, два - в правовом государстве все строится на том что решения суда вступившие в силу, обязательные для исполнения.

[Галушко Дмитрий]

Ой, да прочитайте же вы про современную L7-фильтрацию и про то как ее применют в образцовых демократических странах...

Давайте не будем дергать за страны. Судья вынес решение.

Если провайдер установит "фильтрацию", то он немного попадет, и ладно на бабки.

расскажите, как такой комплекс легализовать. процедура внедрения и дословную процедуру использования.

кто будет иметь доступ как к монитору, так и к "добавлялке"? все кому не поподя?

или же второй СОРМ за свои бабки будем прикручивать? и ладно сорм только "смотрит" на трафик, так тут же нужна еще какая-та логика, сообщить юзеру, почему он не может чтото качнуть или посмотреть. неговоря уже об "умельцах" которые сделают специальные файлы и будут дрюкать провайдеров что те вторгаются в их частную жизнь.

не говоря уже о том что наверняка такой комплекс у нас, в РФ, потребует лицензии.

А почему Вас беспокоит как исполнять решение?

Вот будет решение в отношении Вашей компании, будет задача...

п.с. Для особо интересующихся:

Статья 202 Гражданского процессуального кодеса. Разъяснение решения суда

 

1. В случае неясности решения суд, принявший его, по заявлению лиц, участвующих в деле, судебного пристава-исполнителя вправе разъяснить решение суда, не изменяя его содержания. Разъяснение решения суда допускается, если оно не приведено в исполнение и не истек срок, в течение которого решение суда может быть принудительно исполнено.

2. Вопрос о разъяснении решения суда рассматривается в судебном заседании. Лица, участвующие в деле, извещаются о времени и месте судебного заседания, однако их неявка не является препятствием к рассмотрению и разрешению вопроса о разъяснении решения суда.

3. На определение суда о разъяснении решения суда может быть подана частная жалоба.

Вот придет пристав (принудительное исполнение решений суда - это его дело), спросит: "исполнили". Отвечайте: "Нет... Не знаю как."

Пусть пристав в суд идет за разъяснением.

Благо, исполнительский сбор за неисполнение вышеуказанного судебного решения составит пять тысяч рублей...

Но это, если суд разъяснит, а Вы все равно не сможете...

[Irsi]

Вон Галушко Дмитрий гораздо лучше меня объясняет как крутить системой, оставаясь в рамках ее правил. Что собственно и понятно - он юрист, он знает как лучше меня - техноря. Который может объяснить как технически реализовать решение суда, если его советы не помогли и исполнять все же придется. :)

Короче у вас выбор - либо исполнить решение суда, либо нанать юриста, который сможет оттягивать это до бесконечности. Но только хочу заметить что в данном случае дешевле будет исполнить - хорошие юристы нынче очень дорогие...

[Галушко Дмитрий]

На сегодня в России действует два закона по теме терроризма.

 

Закон «О противодействии терроризму» был принят Государственной Думой 26 февраля 2006 года, одобрен Советом Федерации 1 марта 2006 года и подписан Президентом РФ 6 марта 2006 года.

 

6 марта 2006 года был принят также Закон № 35-ФЗ, которым были внесены изменения в Закон « О борьбе с терроризмом». В итоге, из 29 статей этого Закона после внесенных изменений осталось всего 6.

 

Утратила силу и статья 15 Закона «О борьбе с терроризмом». Именно в ней было прописано в той редакции "Не допускается распространение информации, служащей пропаганде или оправданию терроризма и экстремизма."

 

И тут сорока на хвосте принесла, что законы на этот счёт будут делать ещё более либеральными. Хотя некоторые (особенно спецура) этому противятся.

Не надо вводить народ в заблуждение и смешивать территоризм с экстремизмом.

Вынесенное решение - именно по экстремизму.

Здесь основной закон: Федеральный закон от 25.07.2002 N 114-ФЗ (ред. от 29.04.2008) "О противодействии экстремистской деятельности"

 

 

Вон Галушко Дмитрий гораздо лучше меня объясняет как крутить системой, оставаясь в рамках ее правил. Что собственно и понятно - он юрист, он знает как лучше меня - техноря. Который может объяснить как технически реализовать решение суда, если его советы не помогли и исполнять все же придется. :)

Короче у вас выбор - либо исполнить решение суда, либо нанать юриста, который сможет оттягивать это до бесконечности. Но только хочу заметить что в данном случае дешевле будет исполнить - хорошие юристы нынче очень дорогие...

Irsi, с хорошим человеком всегда можно договориться.

 

Опять скатились к обсуждению может/не может фильтровать.

Не должен фильтровать! Оператор/провайдер не занимается распространением. Точка!

...

А прокурорские и суд умные, и об этом и не говорят. Просто: заблокировать доступ к экстремистским материалам. Иначе была бы

Статья 20.29. КоАП Производство и распространение экстремистских материалов

Массовое распространение экстремистских материалов, включенных в опубликованный федеральный список экстремистских материалов, а равно их производство либо хранение в целях массового распространения -

влечет наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей либо административный арест на срок до пятнадцати суток с конфискацией указанных материалов и оборудования, использованного для их производства; на должностных лиц - от двух тысяч до пяти тысяч рублей с конфискацией указанных материалов и оборудования, использованного для их производства; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей или административное приостановление деятельности на срок до девяноста суток с конфискацией указанных материалов и оборудования, использованного для их производства.

[karpa13a]

Галушко Дмитрий

так вот именно, что указанные решения (по фильтрации урла а не блокировки ипе) противоречат охране тайне переписки.

и меня совершенно не интересует техническая сторона. меня интересует её "бумажная" часть.

а именно, для начала:

порядок ввода в эксплуатацию. циски это или железные-чёрные-коробки. неважно.

порядок обслуживания. кто имеет доступ. откуда железка будет "узнавать" о том что кто-то где-то-чтото заблокировал? с сайта минюста? в каком формате(утвержден?)? документ кем подписан? министром? электронно?

в случае если в этом списке "случайно" будет кремлин.ру али налог.ру кто понесет ответственность?

тот кто подписал этот список или таки же провайдер?) который не оказал услугу надлежащева качества.

и это только малая часть "глупых" вопросов которые будут озвучены.

и как-раз таки от всего этого потом вторично придется отбиваться в суде. причем уже не по экстремизму а по лицензионным условиям.

 

причем если тут лепиться коап за распространение, то за вторжение в частную жись уже УК.

Изменено 6 сентября, 2010 пользователем karpa13a