[Alex/AT]

Уже разбанили

Ну и бардак там :)

Теперь на "сбои системы" будут списывать любой свой промах. Надо вводить суровую финансовую ответственность для "оператора реестра" за каждый сбой системы (допустим, $100000 за сбой). Таки он содержится на наши налоги.

Изменено 21 ноября, 2012 пользователем Alex/AT

[Bushi]

В половине записей этого реестра указанные IP адреса не соответствуют доменам. А Роскомнадзор рекомендует фильтровать по именно по IP. Вообще в итоге хрень получается.

[AlKov]

Вообще в итоге хрень получается.

А я, извиняюсь, НЕ я, а "ИСТОРИЯ" словами "КЛАССИКА" уже не раз говорили - http://video.mail.ru/mail/zhukova.50/3028/3038.html ;)

[Serhio Go]

В половине записей этого реестра указанные IP адреса не соответствуют доменам. А Роскомнадзор рекомендует фильтровать по именно по IP. Вообще в итоге хрень получается.

IP-адреса не соответствуют - потому как владельцы этих ресурсов оперативно меняют IP-адреса/хостинг-площадки.

Ну, и про возможность существования более одной А-записи в DNS мужики, видимо, не в курсе.

[yegorov-p]

На самом деле соответствуют, но строго тому, что видел роскомнадзор в момент внесения в реестр

[drdaeman]

На самом деле соответствуют, но строго тому, что видел роскомнадзор в момент внесения в реестр

При этом от сосача они заблокировали только один IPv4-адрес, хотя CloudFlare отдает несколько. От ютюба аналогично, хотя там вообще пачка. IPv6-адресов в реестре обнаружено не было вообще.

 

Так что видят они, гхм, несколько подслеповато.

[visir]

В половине записей этого реестра указанные IP адреса не соответствуют доменам. А Роскомнадзор рекомендует фильтровать по именно по IP. Вообще в итоге хрень получается.

А разве это ваши проблемы? :) Вы чего хотите, резолвить самостоятельно, типа вы умнее и у вас лучше получится? И потом оправдываться в суде за нарушение прав третьих лиц, чей IP вы "самовольно" заблочили? :)

[Soltik]

в реестре появилась пара строк с урлами https. Используем DPI для фильтрации урлов. Интересно, теперь еще добавлять отдельные, иные механизмы чтоб блочить по ip/домену?

Ведь от урла https совершенно никакой пользы, ибо он не виден, GET идет уже зашифрованный.

Или может, опираясь на наличие урла блочить ип, но только с 443 портом?

[vIv]

IP-адреса не соответствуют - потому как владельцы этих ресурсов оперативно меняют IP-адреса/хостинг-площадки.

Ааабалдеть! Какой неожиданный эффект! Какое неожиданное поведение противника! ТАК НЕЧЕСТНО!

 

в реестре появилась пара строк с урлами https. Используем DPI для фильтрации урлов. Интересно, теперь еще добавлять отдельные, иные механизмы чтоб блочить по ip/домену?

Ведь от урла https совершенно никакой пользы, ибо он не виден, GET идет уже зашифрованный.

Или может, опираясь на наличие урла блочить ип, но только с 443 портом?

Вы настройте просто фильтр на https://site.com/kisses.jpg

Не нашёлся - это проблема того, кто этот УРЛ внёс в реестр, не ваша. Как только найдётся чудак, который по https покажет искомый УРЛ, вы же сразу же и безоговорочно его задропаете, да? ;-)

Не совпадающего УРЛа - нет проблемы!

[Soltik]

ы настройте просто фильтр на https://site.com/kisses.jpg

Не нашёлся - это проблема того, кто этот УРЛ внёс в реестр, не ваша. Как только найдётся чудак, который по https покажет искомый УРЛ, вы же сразу же и безоговорочно его задропаете, да? ;-)

Не совпадающего УРЛа - нет проблемы!

Дык дядьки "оттуда" не будут проверять мои конфиги и убеждаться, что я его внес, они тыкнут на него в браузере, а он откроется, ибо никакой снифер его не проснифит в SSL-потоке. Остается помимо DPI еще и обычный блеклист на домены и IP ставить, и в таких случаях блочить по ним.

 

Вопрос к max1976, Дятел, alks, с кем обсуждали реализацию блеклиста на SCE через CLI-FTP-CSV. Есть идеи (у меня была:) )?

[vIv]

ы настройте просто фильтр на https://site.com/kisses.jpg

Не нашёлся - это проблема того, кто этот УРЛ внёс в реестр, не ваша. Как только найдётся чудак, который по https покажет искомый УРЛ, вы же сразу же и безоговорочно его задропаете, да? ;-)

Не совпадающего УРЛа - нет проблемы!

Дык дядьки "оттуда" не будут проверять мои конфиги и убеждаться, что я его внес, они тыкнут на него в браузере, а он откроется, ибо никакой снифер его не проснифит в SSL-потоке. Остается помимо DPI еще и обычный блеклист на домены и IP ставить, и в таких случаях блочить по ним.

Пакетный анализатор в разрыв рабочей станции, - да хоть тот же WireShark.

 

- Есть УРЛ? Нет УРла? Какие вопросы?

[Soltik]

- Есть УРЛ? Нет УРла? Какие вопросы?

Не, они снифер тоже ставить не будут. Они открывают браузер, открывают линк, а потом говорят, что за нафиг!?!? ну! ну! ну!

[с3845]

А я просто в ДНС блокирую и все.

[snvoronkov]

А я просто в ДНС блокирую и все.

 

С как там с блокирование резолвинга через 8.8.8.8 ?

 

А с http://www.opendns.com/technology/dnscrypt/ ?

 

Клиенты, у которых master/slave сервера еще не съели? А у которых оно еще и на DNSSEC?

[с3845]

А я просто в ДНС блокирую и все.

 

С как там с блокирование резолвинга через 8.8.8.8 ?

 

А с http://www.opendns.com/technology/dnscrypt/ ?

 

Клиенты, у которых master/slave сервера еще не съели? А у которых оно еще и на DNSSEC?

у меня клиентов немного, я им запретил ходить на чужие dns сервера

[karpa13a]

я им запретил ходить на чужие dns сервера

а потом ругаемся что у нас не демократия а тоталитаризм

[elcambino]

А я просто в ДНС блокирую и все.

 

С как там с блокирование резолвинга через 8.8.8.8 ?

 

А с http://www.opendns.com/technology/dnscrypt/ ?

 

Клиенты, у которых master/slave сервера еще не съели? А у которых оно еще и на DNSSEC?

у меня клиентов немного, я им запретил ходить на чужие dns сервера

3апретите им ходить в чужой интернет, что уж тут

[с3845]

я им запретил ходить на чужие dns сервера

а потом ругаемся что у нас не демократия а тоталитаризм

им же лучше. это образовательные учреждения, а к ним тоже приходят с проверками

да и не против они

Изменено 22 ноября, 2012 пользователем с3845

[izuware]

назревает новый бизинес - распостраниение hosts , можно с разбивкой по тематике )

[yegorov-p]

На самом деле соответствуют, но строго тому, что видел роскомнадзор в момент внесения в реестр

При этом от сосача они заблокировали только один IPv4-адрес, хотя CloudFlare отдает несколько. От ютюба аналогично, хотя там вообще пачка. IPv6-адресов в реестре обнаружено не было вообще.

 

Так что видят они, гхм, несколько подслеповато.

Ну да =)

Я не удивлюсь, если там у них эти сорокалетние тетушки-эксперты, когда выпиливают сайт, пингуют его и заносят тот единственный адрес в реестр =)

[elcambino]

На самом деле соответствуют, но строго тому, что видел роскомнадзор в момент внесения в реестр

При этом от сосача они заблокировали только один IPv4-адрес, хотя CloudFlare отдает несколько. От ютюба аналогично, хотя там вообще пачка. IPv6-адресов в реестре обнаружено не было вообще.

 

Так что видят они, гхм, несколько подслеповато.

Ну да =)

Я не удивлюсь, если там у них эти сорокалетние тетушки-эксперты, когда выпиливают сайт, пингуют его и заносят тот единственный адрес в реестр =)

тетушки ? пингуют ?

[Ivan_83]

Фигня вопрос: ДНС на нестандартном порту или туннель.

[snvoronkov]

Ну да =)

Я не удивлюсь, если там у них эти сорокалетние тетушки-эксперты, когда выпиливают сайт, пингуют его и заносят тот единственный адрес в реестр =)

тетушки ? пингуют ?

 

А "у них кнопка есть"! Во!

[Alex/AT]

в реестре появилась пара строк с урлами https. Используем DPI для фильтрации урлов.

Ну ССЗБ, чего :) Изначально же было ясно, что DPI - не панацея.

Блокируйте по DNS, максимально точечный в этом случае вариант.

[snvoronkov]

Блокируйте по DNS, максимально точечный в этом случае вариант.

 

Просвяти, пожалуйста, КАК. С учетом наличия внешних серверов и необходимости сохранить клиентам их master/slave и DNSSEC.