[snik_1900]

Если уж встаёт в полный рост вопрос локального резолвинга Оператором имен из Реестра в IP-адреса ("сетевые адреса"), которые ежечасно меняются "противником" -- не будет ли тут уже приемлемым подход БЛОКИРОВАНИЯ НАФИНГ ВСЕХ DNS-запросов и перенаправление на СВОИ DNS-серверы, в которых:

проблемные домены уже вырезаны подчистую

собственно редирект идет на "чистые" DNS-сервера, типа "семейных" и "детских" от Яндекс.DNS или там SkyDNS -- кто за этим следит

и не пошли бы они лесом, втыкая свои локальные гуглоDNS и прочие обходные пути?

 

А существует ли в природе нечто что умеет анализировать содержимое DNS-запроса. Что-то типа squid для DNS-запросов на который можно перенаправить вес трафик исходящего резолва, а он в свою очередь будет проверять есть или нет домен в списке и если есть сохранять отрезолвеный IP в файл? Файл можно потом каждый час обрабатывать и добавлять в спсиок зеркалируеиого на проксик трафика.

[Butch3r]

и не пошли бы они лесом, втыкая свои локальные гуглоDNS и прочие обходные пути?

Да они срадостью и улыбкой на лице пойдут куда скажите. Вот только штаф потом вам придёт.

[snvoronkov]

А существует ли в природе нечто что умеет анализировать содержимое DNS-запроса. Что-то типа squid для DNS-запросов на который можно перенаправить вес трафик исходящего резолва, а он в свою очередь будет проверять есть или нет домен в списке и если есть сохранять отрезолвеный IP в файл? Файл можно потом каждый час обрабатывать и добавлять в спсиок зеркалируеиого на проксик трафика.

https://ru.wikipedia.org/wiki/DNSSEC

 

Это сводит на нет все потуги.

[DimaM]

https://ru.wikipedia.org/wiki/DNSSEC

Это сводит на нет все потуги.

 

Еще есть dns crypt. Встроен в яндекс браузер:

https://habrahabr.ru/company/yandex/blog/280380/

[Ansy]

https://ru.wikipedia.org/wiki/DNSSEC

Это сводит на нет все потуги.

 

Еще есть dns crypt. Встроен в яндекс браузер:

https://habrahabr.ru/company/yandex/blog/280380/

[sarcasm] Пффф... гамно вопрос -- узаконить, чтоб использование левых DNS-серверов трактовалось тем же обходом блокировок -- как и Tor, VPN, прокси и прочие турбо-технологии. Если клиент полез в настройки сети очумелыми ручками -- ССЗБ и получит по рукам. [/sarcasm]

Уж если на MITM для https замахнулись -- чего мелочиться-то ;)

Изменено 10 мая, 2016 пользователем Ansy

[woddy]

и не пошли бы они лесом, втыкая свои локальные гуглоDNS и прочие обходные пути?

а как вы думаете, почему я пользуюсь гуглоднс еще с тех пор, когда блокировок никаких не было?

[snik_1900]

https://ru.wikipedia.org/wiki/DNSSEC

Это сводит на нет все потуги.

 

Проверки идут без DNSSEC и DNSCrypt. Вопрос максимально обезопасить себя при проверках.

53й порт завернуть на свой сервак для проверки. И мне будет глубоко безразлично, что САМЫЙ_УМНЫЙ_ПОЛЬЗОВАТЕЛЬ решил пользоваться DNSSEC.

[snvoronkov]

Проверки идут без DNSSEC и DNSCrypt. Вопрос максимально обезопасить себя при проверках.

53й порт завернуть на свой сервак для проверки. И мне будет глубоко безразлично, что САМЫЙ_УМНЫЙ_ПОЛЬЗОВАТЕЛЬ решил пользоваться DNSSEC.

И что кому-то работу приложений поломаете тоже безразлично?

 

А ведь есть и пользователи, которые свои DNS-сервера и зоны держат. И приложения есть, которые запросы строго к авторитетным серверам зон шлют...

 

Ежели вы это все сугубо для проверок городите, то сделайте им персональную песочницу и дело с концом. Зачем-же всем-то пользователям гадить?

[snik_1900]

Мне проще таких пользователей не заворачивать на сервер.

 

А по поводу песочницы..... РКН любит посещать кафе, гостинницы, итд которым мы предоставляем интернет. Если там всплывёт не заблокированный сайт, а по данным проверки он заблокирован, то можно нарваться на крупные неприятности.

[snvoronkov]

Мне проще таких пользователей не заворачивать на сервер.

Вам привели пример приложения - Яндекс.Броузер.

Из провайдерского софта (сходу) - флюссоник для проверки лицензии спрашивает непосредственно у гугла и яндекса.

 

Его КАК заворачивать не будете? :-)

[ayf]

Комитет Госдумы по безопасности и противодействию коррупции во вторник рекомендовал принять в первом чтении так называемый антитеррористический пакет законопроектов, внесенный председателем комитета Ириной Яровой и председателем комитета Совета Федерации по обороне Виктором Озеровым.

Законопроект понизит до 14 лет минимальный возраст несения ответственности за террористические преступления, а также ужесточит наказания за них. Кроме того, операторы связи в течение трех лет будут хранить и предоставлять государственным органам сведения о совершенных абонентами звонках и отправленных сообщениях. Депутаты также хотят обязать компании раскрывать их содержание, а также изображения, звуки или «иные сообщения» пользователей.

[Andrei]

Комитет Госдумы по безопасности и противодействию коррупции во вторник рекомендовал принять в первом чтении так называемый антитеррористический пакет законопроектов, внесенный председателем комитета Ириной Яровой и председателем комитета Совета Федерации по обороне Виктором Озеровым.

Законопроект понизит до 14 лет минимальный возраст несения ответственности за террористические преступления, а также ужесточит наказания за них. Кроме того, операторы связи в течение трех лет будут хранить и предоставлять Fгосударственным органам сведения о совершенных абонентами звонках и отправленных сообщениях. Депутаты также хотят

обязать компании раскрывать их содержание, а также изображения, звуки или «иные сообщения» пользователей.

Вроде все профильные ведомства и правительство написали отрицательный отзыв на этот законопроект.

[snik_1900]

Вам привели пример приложения - Яндекс.Броузер.

ЯндексБроузер великолепно работает без dnscrypt.

 

Из провайдерского софта (сходу) - флюссоник для проверки лицензии спрашивает непосредственно у гугла и яндекса.

Его КАК заворачивать не будете? :-)

Я могу для особо продвинутых просто зеркалировать 53й порт. И пусть ломятся куда хотят. Мне нужен максимально полный список IP адресов сайтов попавших в реестр.

Изменено 11 мая, 2016 пользователем snik_1900

[Ansy]

Проверки идут без DNSSEC и DNSCrypt. Вопрос максимально обезопасить себя при проверках.

53й порт завернуть на свой сервак для проверки. И мне будет глубоко безразлично, что САМЫЙ_УМНЫЙ_ПОЛЬЗОВАТЕЛЬ решил пользоваться DNSSEC.

И что кому-то работу приложений поломаете тоже безразлично?

А ведь есть и пользователи, которые свои DNS-сервера и зоны держат. И приложения есть, которые запросы строго к авторитетным серверам зон шлют...

Ежели вы это все сугубо для проверок городите, то сделайте им персональную песочницу и дело с концом. Зачем-же всем-то пользователям гадить?

А это уже вопрос Договора с абонентом, можно и вписать ряд ограничений.

 

У некоторых региональных сотовых в Интернете заблокированы RDP и SSH например. И еще куча стандартных портов. Или еще круче -- открыты только стандартные, а остальное -- блок.

Можно открыть -- но не бесплатно, т.е. под вашу персональную ответственность.

 

И по умолчанию -- да, анальныйизирующий зонд от РКН не получит по умолчанию никаких специфических протоколов, и уж тем более DNS вполне кошерно можно завернуть на свой сервис.

[stas_k]

Можно открыть -- но не бесплатно, т.е. под вашу персональную ответственность.

Если не бесплатно - то под вашу ответственность должностного лица.

[Ansy]

Можно открыть -- но не бесплатно, т.е. под вашу персональную ответственность.

Если не бесплатно - то под вашу ответственность должностного лица.

Ну, поскольку это УЖЕ персональный Договор и отдельно оплачиваемая услуга:

1. Абонент может оказаться тоже Оператором связи -- со своими собственными Лицензиями и ответственностью.
   
2. Абонент берется "на карандаш", в Договоре с ним может быть указано его обязательство не использовать открытые дополнительно порты для противоправной деятельности с какими-то мерами (минимум -- надзор и оперативное закрытие) в случае нарушения.
   
3. Если Абонент использует свои собственные DNS -- кто ему мешает (да хоть в hosts) резолвить какие угодно домены в какие угодно IP? И тогда любой выход на IP из реестра будет приравнен к использованию обхода блокировок, на свой страх и риск (с возможностью сдачи такого Абонента карательнымнадзорным органам).
   

Во всяком случае, Абонент будет предупрежден, согласен (путем подписания Договора с персональными условиями и оплаты доп.услуги) и уже без претензий.

[stas_k]

(с возможностью сдачи такого Абонента карательнымнадзорным органам).

на каком основании?

[Sergey Gilfanov]

Мне одному кажется ненормальным, что представители оператора связи обсуждают, как эту самую связь испортить? Одно дело, когда из за бардака (нестандартные порты и протоколы работают хуже) каждый протокол пытается по 80 порту ходить, а то и вообще внутрь Http упаковаться. А специально-то портить зачем?

[DimaM]

Без dpi и аналогов все равно не обойтись, так как в реестре есть youtube (аж 232 записи),

врядли вы рискнете его полностью заблочить

[ayf]

Без dpi и аналогов все равно не обойтись, так как в реестре есть youtube (аж 232 записи),

врядли вы рискнете его полностью заблочить

 

Чой-то? :) Есть ответ РКН по данному поводу. Что нет никакого понятия типа "социально значимый ресурс" и надлежит блочить, раз есть в реестре.

Кстати ютуб у меня последнее время как-то коряво работает. Часто выдает: тайм-аут операции.

[mirdes]

Чой-то? :) Есть ответ РКН по данному поводу. Что нет никакого понятия типа "социально значимый ресурс" и надлежит блочить, раз есть в реестре.

Кстати ютуб у меня последнее время как-то коряво работает. Часто выдает: тайм-аут операции.

 

До покупки dpi блокировали полностью ютуб, примерно 7-10 дней продержались. Шквал звонков от недовольных клиентов. После руководство выделило деньги на покупку.

[Ansy]

Мне одному кажется ненормальным, что представители оператора связи обсуждают, как эту самую связь испортить? Одно дело, когда из за бардака (нестандартные порты и протоколы работают хуже) каждый протокол пытается по 80 порту ходить, а то и вообще внутрь Http упаковаться. А специально-то портить зачем?

Это не кажется -- это и есть ненормально. Страна, млин, такая -- тут много чего ненормального, тот же асфальт, укладываемый в лужи и снег.

Другой вопрос, долго ли оператор продержится, если за каждую незаблоченную ссылку по тридцатке-полтиннику выкладывать, да на судебные расходы ещё. Сам бизнес под вопросом окажется -- или клиенту плохо/медленно/не везде, или вообще НИКАК.

 

И да, метку [sarcasm] уже поднапрягает ставить, поскольку он чуть не в каждое сообщение этой темы просится.

[Ansy]

(с возможностью сдачи такого Абонента карательнымнадзорным органам).

на каком основании?

На основании объяснения Абоненту, что его специальные, ослабленные правила фильтрации, поскольку они не проходят по ОБЩЕЙ, "стерилизованной" схеме -- МОГУТ оказаться под специальным наблюдением, например, СОРМ :) Это вполне законно и обоснованно.

 

Другой вопрос, если клиент адекватный и законопослушный, и тем более технически подкованный -- его это не напряжет совершенно. А вот потенциальные засранцы наверное попытаются найти другого провайдера... или ВТИХУЮ обойти защиту "для всех" -- чего, надеюсь, не делает "Ревизор" от РКН/ГРЧЦ.

[stas_k]

МОГУТ оказаться под специальным наблюдением, например, СОРМ

Решать кто находится под наблюдением СОРМ далеко вне компетенции оператора связи. Лечите свою манию величия и синдром вахтера.

[disappointed]

Толку то от DPI ютубу, уже часто вижу по https его.

Ломать ДНС запросы к резволу https хостов? Скоро и они уйдут в туннели по типу DNSCrypt.

Сеть между абонентом и сервисом стала недоверенной.