[alibek]

http://vigruzki.rkn.gov.ru/docs/description_for_operators_actual.pdf

На странице 5 все подробно описано.

[Rick]

Обратите внимание изменилась "Памятка оператору связи" версия 4.7 от 14.07.2016

Изменено 14 июля, 2016 пользователем Rick

[DimaM]

Формирование выгрузки с описанными изменениями будет производиться начиная с 15.08.2016:

Для атрибута blockType тега content добавлено дополнительное возможное значение «domainmask», указывающее на блокировку реестровой записи по маске доменного имени. При этом значение доменного имени в реестровой записи с блокировкой типа «domain-mask» будет указано с маской в виде «*.domain.com».

 

PS

graniru дошли уже в реестре до 669 поддомена, я уже гадал на сколько терпения хватит?

[bike]

В России заблокировали платежные сервисы Qiwi и Skrill

 

Желтая пресса или ещё не внесли?

[snvoronkov]

В России заблокировали платежные сервисы Qiwi и Skrill

 

Желтая пресса или ещё не внесли?

Жёлтая. Внесли в реестр. В выгрузке будет через 3 дня, если не пошевелятся.

[Andrei]

Экономика и бизнес 14 июля, 20:48 UTC+3

Роскомнадзор внес сайт Qiwi в реестр запрещенной информации

 

МОСКВА, 14 июля. /ТАСС/. Роскомнадзор внес сайт платежного сервиса Qiwi в реестр запрещенной информации. Об этом сообщил ТАСС руководитель пресс-службы ведомства Вадим Ампелонский.

"Да, внесли", - сказал он, отвечая на соответствующий вопрос.

В реестр также был внесен информационный сайт другого платежного сервиса - Skrill, уточнил Ампелонский.

 

Подробнее на ТАСС:

http://tass.ru/ekonomika/3455346

 

 

В реестре есть только http://casino-qiwi.com и http://qiwiklad.biz

[Rick]

Кроме "Памятки оператору связи", также появилось новое распоряжение "О рекомендациях по ограничению доступа к информации, ... " от 07.07.2016г.

[Ansy]

Кроме "Памятки оператору связи", также появилось новое распоряжение "О рекомендациях по ограничению доступа к информации, ... " от 07.07.2016г.

Ну что, господа Операторы? Кто там возмущался, что запросы к DNS некошерно фильтровать и подменять?

Теперь это ОФИЦИАЛЬНАЯ РЕКОМЕНДАЦИЯ, пункт 10.

Обновленные Рекомендации

Изменено 15 июля, 2016 пользователем Ansy

[MATPOC]

Кроме "Памятки оператору связи", также появилось новое распоряжение "О рекомендациях по ограничению доступа к информации, ... " от 07.07.2016г.

Да, обленились в РКН - скан документа в pdf выложили. И фантазия в РКН опять разбушевалась - п.10:

 

10. При наличии в записи выгрузки информации о доменном имени и сетевом адресе при отсутствии информации об указателе страницы сайта в сети "Интернет", операторам связи рекомендуется ограничивать доступ ко всему информационному ресурсу, включая все сетевые протоколы.

[Notius]

включая все сетевые протоколы.

Ну а как ещё, если предлагается фильтровать DNS?

 

Кстати, «Ревизор» до сих пор по умолчанию вообще не запрашивает DNS, а тупо шерстит готовый список IP/URL?

[MATPOC]

10. При наличии в записи выгрузки информации о доменном имени и сетевом адресе при отсутствии информации об указателе страницы сайта в сети "Интернет", операторам связи рекомендуется ограничивать доступ ко всему информационному ресурсу, включая все сетевые протоколы.

Ну а как ещё, если предлагается фильтровать DNS?

Если фильтровать все сетевые протоколы, то это равнозначно блокировке по IP.. Только в HTTP и НTTPS есть возможность на одном IP держать несколько сайтов. У некоторых ftpd серверов есть экспериментальные возможности так же делать сайты, но не все клиенты про это знают. И вряд ли про это знают DPI.Так что если следовать последним рекомендациям РКН, то эти домены надо блокировать по указанному в реестре IP. А если там не будет указан IP? DPI знает про http, некоторые умеют https, и они заблокируют http и https запросы этот домен. Но что если клиент пойдёт по ftp? DPI не знает про то,что он идёт на указанный домен, IP в блекхоле нет, и запрос пройдёт. А если ревизор будет следовать рекомендациям РКН и будет проверять пинги на этот домен? Пинг прошёл - не выполняешь требования. То есть всё таки придётся все DNS запросы заворачивать на свой сервер?

[Ansy]

Сделали бы они ужо ОДИН СВОЙ РАССЕЙСКИЙ "кошерный" DNS и вели бы его сами, синхронизируя со своим реестром... а Операторам перехватывать запросы -- и втудыть их качель.

 

Это канеш жОстко... но не так, как "кетайцкий большой фаервол"... и уж точно проще и реальнее, чем "взрывпакет Яровой".

 

Куды катимсо?...

[snvoronkov]

Сделали бы они ужо ОДИН СВОЙ РАССЕЙСКИЙ "кошерный" DNS и вели бы его сами, синхронизируя со своим реестром... а Операторам перехватывать запросы -- и втудыть их качель.

Э-э-э? ВСЕ домены на одном DNS-сервисе? А оно не опухнет, часом? (В протоколе не только запросы резолва есть.)

[Ansy]

Сделали бы они ужо ОДИН СВОЙ РАССЕЙСКИЙ "кошерный" DNS и вели бы его сами, синхронизируя со своим реестром... а Операторам перехватывать запросы -- и втудыть их качель.

Э-э-э? ВСЕ домены на одном DNS-сервисе? А оно не опухнет, часом? (В протоколе не только запросы резолва есть.)

Я бы канеш предпочел, чтоб опухла Яровая сотоварищи, или депутаты, принимающие эти дебильные законы о блокировках... но они сами технически такую штуку не осилят, ибо убоги умишком.

Ну, тогда меньшее из зол -- пусть РКН опухает и заботится о мощности сервисов... вы таки предпочитаете, чтоб у операторов связи голова об этом болела? Или все же пусть у выдумщиков законов и регулировщиков отрасли? Думать РАНЬШЕ надо было, когда законы проталкивали...

 

И чем вам плохо если какой-то регулировочный сервис крупно облажается и впихнет в реестр адреса, например, банковской сферы, госуслуг, тормознёт обмен налоговой отчетностью "в последний день"? А они ведь могут -- они САМИ создали ЕДИНУЮ точку отказа всего Рунета. И далее -- вопрос только времени, когда проявится вся ущербность этой конструкции.

 

Только хотелось бы, чтоб к этому моменту поменьше крови у отрасли успели выпить...

Изменено 19 июля, 2016 пользователем Ansy

[AN111]

infobukmeker.com устал работать и стал резолвится в 46.61.232.10 (он же eais.rkn.gov.ru, он же vigruzki.rkn.gov.ru)

 

У кого фильтрация по IP с резолвингом - превед и возможная невыгрузка реестра.

[Ansy]

Микротик обновил прошивку, свою RouterOS.

 

Анонсирована интересная штука -- возможность добавлять ДОМЕННЫЕ ИМЕНА в список адресов для фаервола.

v6.36 [current] is released!
...
*) firewall - allow to add domain name to address-lists (dynamic entries for resolved addresses will be added to specified list);

Попробовал всунуть имя сайтика -- автоматически через несколько секунд появилась ДИНАМИЧЕСКАЯ запись с его IP-адресом.

Попробовал Яндекс -- автоматически вписались НЕСКОЛЬКО отрезолвленных его IP-адресов :)

 

Походу эта фича прилично упрощает реализацию фильтров блокировки запретного списка и увеличивает её надежность. Особенно когда с перехватом DNS-запросов.

 

Остаются неясными моменты обновления этих динамических записей -- как часто перепроверяет и насколько оперативно обновляет список IP-адресов.

Есть подозрение, что в этом задействовано TTL самих DNS-записей в кэше. Для Яндекса это один час на данный момент.

Пробовал выставить при задании адресов предусмотренный там таймаут -- но в DNS-кэше появилось ДРУГОЕ значение счетчика. Со значением TTL из вывода dig для домена как-то не кореллирует, надо уточнять.

[nickD]

О великая коробочка микротик она магическим

Образом хосты резолвить научилась и ip блокировать и заблочит она магией своей не мыслимой самое неблокируемое. Ибо нет микротику равных в силе его.

Это вы еще с сетью 52.0.0.0/8 не знакомы ;)

[Ansy]

О великая коробочка микротик она магическим

Образом хосты резолвить научилась и ip блокировать и заблочит она магией своей не мыслимой самое неблокируемое. Ибо нет микротику равных в силе его.

Это вы еще с сетью 52.0.0.0/8 не знакомы ;)

Не очень понял ваш сарказм... есть там в системе штатный кэширующий DNS-сервер, как и в каждой домашней роутеромыльнице -- это ни разу не чудо.

Есть и списки IP-адресов, чтоб в ОДНО правило фаервола впихнуть сразу кучку их (коих, заметьте, УЖЕ ЗА 22 ТЫСЯЧИ!) а это уже не каждой мыльнице по зубам.

 

Ну и чем плохо, что сама железка сумеет резолвить и блочить домены? Вы таки желаете на отдельном сервере делать это еже... а кстати, как часто? И мучить флэш перезаливкой 22К айпишников в железку? Или отслеживать и менять каждый IP? Рискуя нарваться на штраф?

 

Умеет железка что-то делать достаточно хорошо -- пусть и делает. Добавились полезные фичи -- опробуем и тоже в работу запустим.

Лишний рубеж обороны не помешает, тем более за TTL при обновлении резолва само следит. Для небольших по трафику сетей -- вполне достаточно.

[Sergey Gilfanov]

Ну и чем плохо, что сама железка сумеет резолвить и блочить домены? Вы таки желаете на отдельном сервере делать это еже... а кстати, как часто? И мучить флэш перезаливкой 22К айпишников в железку? Или отслеживать и менять каждый IP? Рискуя нарваться на штраф?

Вот почему до сих пор никто из заблокированных свой домен на адреса (все) корневых и гуглояндоксевских DNS не отмапил? Или все же было? Железка умеет делать исключения, чтобы не заносить в список отрезолвленного то, что не надо?

[Ansy]

Ну и чем плохо, что сама железка сумеет резолвить и блочить домены? Вы таки желаете на отдельном сервере делать это еже... а кстати, как часто? И мучить флэш перезаливкой 22К айпишников в железку? Или отслеживать и менять каждый IP? Рискуя нарваться на штраф?

Вот почему до сих пор никто из заблокированных свой домен на адреса (все) корневых и гуглояндоксевских DNS не отмапил? Или все же было? Железка умеет делать исключения, чтобы не заносить в список отрезолвленного то, что не надо?

То есть обновленные "Рекомендации по ограничению доступа к информации..." в Распоряжении РКН от 07.07.2016 № 8 вам еще не присылали?

С разделом 10, в котором "рекомендуется ограничивать доступ к доменному имени посредством фильтрации запросов ко всем серверам DNS"?

 

И да, я ТОЖЕ ОЧЕНЬ жду диверсий с отмапливанием заблокированными товарищами своих доменных имен на IP-адреса каких-нибудь ОЧЕНЬ значимых публичных сервисов, желательно в РФ и желательно значимых для депутатов и правительства. Чтобы всем стал наконец очевиден бесперспективняк выбранного ими пути. Идем к этому... жалко, что медленно.

 

P.S. А исключения низзя делать... железка не субъект права, и правОв таких не имеет, как и ответственность на неё не переложишь.

Так что пущай уж по БУКВЕ закона блокирует, каким бы дебильным он ни был.

 

P.P.S. Это мы еще до реализаций "взрывпакета Яровой" не добрались, там ваще с логикой здравого смысла глухо -- а как её в машинную вписывать?

Это ж надо удумать... типа как в кровеносной системе на КАЖДОЙ развилке сосудов складировать (КУДА?!) ВСЮ ПРОХОДЯЩУЮ кровь сроком на ТРИ ГОДА??!!!

[snvoronkov]

С разделом 10, в котором "рекомендуется ограничивать доступ к доменному имени посредством фильтрации запросов ко всем серверам DNS"?

Тама приписочка есть "Операторам связи, не использующим DPI". Очень значимая приписочка.

[st_re]

Ну и чем плохо, что сама железка сумеет резолвить и блочить домены? Вы таки желаете на отдельном сервере делать это еже... а кстати, как часто? И мучить флэш перезаливкой 22К айпишников в железку? Или отслеживать и менять каждый IP? Рискуя нарваться на штраф?

Вы блочите по IP на основе ресолва ? на заголовок Host не глядя ? нюню.....

[onlime_user]

А чем им RIPE NCC помешала то?

Они же вроде даже не хостеры.

https://geektimes.ru/post/278854/

[nn677]

"рекомендуется ограничить доступ к доменному имени посредством фильтрации запросов ко всем серверам DNS" пункт 10 в распоряжении от 07.07.2016.

Кто-нибудь блокирует 53 порт в мир?

[snvoronkov]

"рекомендуется ограничить доступ к доменному имени посредством фильтрации запросов ко всем серверам DNS" пункт 10 в распоряжении от 07.07.2016.

Кто-нибудь блокирует 53 порт в мир?

Если нет DPI...