[taf_321]

Ну почему же. Никто не мешает выключить облачные списки и использовать локальные.

 

Оно конечно да, но вот саму процедуру получения бинарных конфигов из dump.xml производитель прячет как комсомолка целку.

[alibek]

Конвертация в бинарные списки описана в Вики. А вот что касается алгоритма:

Во-первых это их бизнес. Во-вторых это не просто автоматическая конвертация, там есть оптимизация и исключения, которые делаются вручную.

[snvoronkov]

Ну почему же. Никто не мешает выключить облачные списки и использовать локальные.

 

Оно конечно да, но вот саму процедуру получения бинарных конфигов из dump.xml производитель прячет как комсомолка целку.

Там море ручной работы у них. И ресурсы сканируют, с серты выгружают...

 

(Не связанное со Скат)

 

А по вчерашему вообще класс!

 

МВД написал, что во вчерашнем трэше РКН неуиновен. А кто так не считает и, не дай бог, ещё и противоречащими фактами обладает - того накажут.

 

"Поезд, стой! Раз! Два!" (из анекдота).

[Andrei]

Да будет свет)

https://geektimes.ru/post/289947/

 

Ну и письмо от РКН прилетело только что, следующего содержания:

По поручению заместителя руководителя Роскомнадзора повторно напоминаем о
необходимости блокирования сайтов строго в соответствии с Реестром
Роскомнадзора (ЕАИС).

Нам тоже пришло по e-mail без подписей и бланков:

Уважаемые коллеги!

 

По поручению Роскомнадзора, сообщаю что до 16 июня 2017 года необходимо осуществлять ограничение доступа к Интернет - ресурсам только по тем IP-адресам, которые указаны в Реестре (не применяя DNS-резолвинг).

 

О получении данного сообщения прошу уведомить Управление Роскомнадзора по Челябинской области.

Я так понимаю, что 15 июня состоится МЕРОПРИЯТИЕ, а потом - "трава не расти"?

[fspi]

 

Я так понимаю, что 15 июня состоится МЕРОПРИЯТИЕ, а потом - "трава не расти"?

 

А как же дети,которых в интернетах со всех сторон атакуют педофилы,геи,террористы,торговцы наркотой итп??!!

[Alex/AT]

Это

Мнение: это - это как раз когда провайдеров заставляют блокировать любые неугодные ресурсы по спискам и просто противоречивым письмам, угрожая постоянно ужесточаемыми последствиями в случае неисполнения.

 

В DNS-зоны по определению можно писать, что угодно, и в сети без кривых фильтров никому это никогда не мешало и мешать не могло в принципе. Cлучай использования ответа DNS "не по прямому назначению" - это ССЗБ называется. А форсирование (через "ревизор", который как раз DNS-то использует по прямому назначению) использования данных, вносимых априори третьими лицами, для формирования списков системы фильтрации... ну, в общем, без комментариев.

 

И то, что "фильтраторы" налетели на проблему совершенно кривого дизайна своих "блокировок" - вполне предсказуемо, поскольку вся эта фильтрация грубейшим образом вторгается в годами отточенную схему функционирования сети. Странно, что случилось это вот только сейчас, поскольку "дыре", связанной с возможностью записать в DNS что угодно, которая не дыра, а особенность имплементации "фильтра", в общем-то, больше двух лет уже. Хотя вроде в новостях натыкался, что ещё в бородатом 2014 кто-то так по лайньюзам прошёлся, т.е. мысль не нова.

[visir]

В DNS-зоны по определению можно писать, что угодно

Ну это Вам очевидно. А у РКН сразу возникают вопросы: "А почему вы позволяете им писать в DNS что угодно?!" :D

[Alex/AT]

Ну это Вам очевидно. А у РКН сразу возникают вопросы: "А почему вы позволяете им писать в DNS что угодно?!" :D

Согласен :) Именно это и является отражением вопиющего уровня представлений о функционировании сети, с которым сеть глобальную лучше руками не трогать вообще :(

[ayf]

Ревизор мне сегодня выдал 29 страниц!!!! С пропусками. И пойди пойми, фильтровать или нет.

[saaremaa]

10.06.2017 33 листа "Отчет для оператора связи по имеющимся нарушениям" какой-то х...ни с пропусками. И пойди пойми, фильтровать или нет.

https://yadi.sk/d/kavG5gVo3JzMDF

[TES2]

Посмотрел отчет за вчера - порядка двухсот типа пропусков.

Ни одной из этих записей нет в реестре.

Сейчас min(content_id)=347, а у этих всех меньше

[zary7]

Это они так похоже тестируют белые списки.

Тоже открыл и при..ел.

Изменено 10 июня, 2017 пользователем zary7

[ayf]

Видимо надо срочно заблокировать:))) Правда РКН сказал, что делать ничего не надо. После выходных дадут информацию.

[SergoINFOLAN]

sdy_moscow ставлю класс!

[vim]

И то, что "фильтраторы" налетели на проблему совершенно кривого дизайна своих "блокировок" - вполне предсказуемо, поскольку вся эта фильтрация грубейшим образом вторгается в годами отточенную схему функционирования сети. Странно, что случилось это вот только сейчас, поскольку "дыре", связанной с возможностью записать в DNS что угодно, которая не дыра, а особенность имплементации "фильтра", в общем-то, больше двух лет уже. Хотя вроде в новостях натыкался, что ещё в бородатом 2014 кто-то так по лайньюзам прошёлся, т.е. мысль не нова.

Проблема в том, что в реестре присутсвуют ip адреса ресурсов, их там не должно быть априори. Блокировать нужно только применяя dpi, но не везде это реализуемо и не для всех протоколов. А с того момента как Ревизор начал проверять блокировку еще и по ip из реестра, а это произошло 03.02.2017 о чем было официальное письмо, появилась возможность такого рода "атак", даже на операторов, которые используют dpi. Вы посмотрите в реестр, там до сих пор присутсвуют ip-адреса добропорядочных ресурсов (vk.com и прочие) и некоторы записи относятся к ресурсам c https. Они же сами их резолвят и вносят их в реестр. А вминяют вину операторам за несоблюдение рекомендаций... Об этом сотрудникам РКН сообщалось неоднократно. Соответсвенно оператору сваязи, ничего не остаются как блокировать по ip, ибо не все dpi способны цеплять домен по sni, а уж uri вытащить без подмены сертификата вообще не возможно, но это уже посути mitm атака на абонента... Соответсвенно когда палка стрельнула, начали в срочном порядке рассылать белые списки не подлежащих блокировке, которые даже не смогли оформить надлежащим образом... Слов просто нет, тоже накипело...

Изменено 10 июня, 2017 пользователем vim

[Alex/AT]

Проблема в том, что в реестре присутсвуют ip адреса ресурсов, их там не должно быть в априоре. Блокировать нужно только применяя dpi, но не везде это реализуемо и не для всех протоколов.

Именно так. IP и домены :) В этом весь список, URL'ы уже не актуальны, из HTTPS их всё равно не разобрать. А полноценный DPI с поддержкой кучи протоколов - это реально очень дорого. Речь не про лицензии на софт, речь про само железо, которое при всём прочем нужно дублировать.

 

И да, вы правы, похоже именно отсутствие "ревизора" как раз и было недостающим звеном в цепочке продолбов, приведших к таким вот мисблокировкам.

 

"Белый список" - вообще жесть и прикол. *.google.* - теперь любой может завести свой www.google.запрещённыйресурс.tld и наслаждаться. Смысл "блокировок" окончательно утрачивается.

[vim]

Да увы, полнейшая безграмотность людей, не разбираешься не лезь! Даже в хорошо отлаженный и стабильный механизм достаточно безграмотно бросить один болт и этим все сломать.

 

Именно так. IP и домены :) В этом весь список, URL'ы уже не актуальны, из HTTPS их всё равно не разобрать. А полноценный DPI с поддержкой кучи протоколов - это реально очень дорого. Речь не про лицензии на софт, речь про само железо, которое при всём прочем нужно дублировать.

Смысла в ip адресах в реестре вообще нет благодаря round-robin dns, dns geolocation, virtualhosts и сервисам CDN - ip адреса становятся неактуальными практически сразу с момента попадания в реестр. Вот когда люди из РКН наконец то моймут, что ip адрес не может однозначно указыать на запрещенный ресурс, вот тогда может что-то и изменится... Ну а так дальше будет только хуже..., в связи с увеличением запрещенных ресурсов использующих https и CDN сервисы и ростом самого реестра.

 

sdy_moscow ставлю класс!

Полность поддерживаю sdy_moscow, все правильно написано!

Изменено 10 июня, 2017 пользователем vim

[taf_321]

Конвертация в бинарные списки описана в Вики. А вот что касается алгоритма:

Во-первых это их бизнес. Во-вторых это не просто автоматическая конвертация, там есть оптимизация и исключения, которые делаются вручную.

Если бы они раздавали свою шушлайку даром и стригли бабосы на подписке, вопров нет. А так получается что они за дикие бабки впарили продукт без реализации полного функционала. Если по лицензии Entry должно быть решение фильтрации "под ключ" то и работать одно должно без завязки на сервера производителя.

[YuryD]

Если бы они раздавали свою шушлайку даром и стригли бабосы на подписке, вопров нет. А так получается что они за дикие бабки впарили продукт без реализации полного функционала. Если по лицензии Entry должно быть решение фильтрации "под ключ" то и работать одно должно без завязки на сервера производителя.

 

Ну и чего вы на них так обижены ? Энтри есть и работает как положено, претензий по пропускам или неработе от контролирующих за пару лет не было. Ах, денюг просят ? Ну там большая часть на железо приходится, и они таки сразу заботятся, чтобы решение работало надёжно, закладывая несколько завышенные требования по железу. Это нормально. А сервера и сетевые карты скат не производит :)

[saaremaa]

Если по лицензии Entry должно быть решение фильтрации "под ключ" то и работать одно должно без завязки на сервера производителя.

Покупая антивирус он должен работать " без завязки на сервера производителя." 24x7? Мы брали решение Entry, готовили списки сами, потом плюнули и перешли на подписку потому что - тупо дешевле в человеко часах. Хотя помоему обоновления и без подписки работают - сейчас уже и не помню.

UPD. Поправил цитирование. Извиняюсь.

[snvoronkov]

Да будет свет)

https://geektimes.ru/post/289947/

Просмотрел пост. Прочитал.

 

Про магистралов - редкостный гон. На ТТК-шный сквид клиенты наткнулись с полгода назад. Потом была эпопея с тем что мы сами, по своей воле отказывались от такой "фильтрации"...

 

Магистралы никого не принуждают: если можете сами - делайте сами. Им нужна отмаза, т.к. РКН от них толи потребовал, толи намекнул, что фильтруйте всё. В том числе транзит. И пришло это счастье давненько.

 

А вот из-за спешных реализаций как-раз и стала возможна атака такого масштаба через DNS...

[YuryD]

Если по лицензии Entry должно быть решение фильтрации "под ключ" то и работать одно должно без завязки на сервера производителя.

Покупая антивирус он должен работать " без завязки на сервера производителя." 24x7? Мы брали решение Entry, готовили списки сами, потом плюнули и перешли на подписку потому что - тупо дешевле в человеко часах. Хотя помоему обоновления и без подписки работают - сейчас уже и не помню.

 

Коллега, прошу внимательнее цитировать, а то получается что Вы мне ответили, хотя я тоже за скат всеми лапами.

[YuryD]

А вот из-за спешных реализаций как-раз и стала возможна атака такого масштаба через DNS...

Самописные реализации запретинфо - это рукоблудство, или стремление зарекомендовать себя самописца как крутого спеца, без которого контора помре :) Каюсь, сам рукоблудил на заре времён, затем понЯл - пусть с гос***рством борются иные люди и за деньги. Купили ДПИ, что и у вас - и я не парюсь, сплю спокойно. Даже лк в ревизоре не открывал.

[Alex/AT]

Ну и чего вы на них так обижены ? Энтри есть и работает как положено, претензий по пропускам или неработе от контролирующих за пару лет не было. Ах, денюг просят ? Ну там большая часть на железо приходится, и они таки сразу заботятся, чтобы решение работало надёжно, закладывая несколько завышенные требования по железу. Это нормально. А сервера и сетевые карты скат не производит :)

На самом деле да. Решение в плане софта совершенно копеечное, основные затраты тут на железо.

Ну и про костылить самому мысль поддерживаю. Костылить можно было "до ревизора". Сейчас же с большой долей вероятности любой штраф на того, кто костылил, и спишут.

[YuryD]

Ну и про костылить самому мысль поддерживаю. Костылить можно было "до ревизора". Сейчас же с большой долей вероятности любой штраф на того, кто костылил, и спишут.

Тут конечно сапописки восстанут, но им долго и больно РКН будет обьяснять, чего им можно, а чего нельзя. Ну пусть самописцы прощитают свою полезность, зряплату за пару лет их существования, налоги, и судебные издержки от их действ. И идут в мелкий саппорт или в дворники, на выбор начальства.