Перейти к содержимому
Калькуляторы

Опубликована Процедура блокировки некошерной инфо

Ответить

Macil   

Macil
Опубликовано · Жалоба
Или может, опираясь на наличие урла блочить ип, но только с 443 портом?
Сертификат передается в открытом виде. Может ли ваша DPI принимать решения, на основании содержимого полей сертификата?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Soltik   

Soltik
Опубликовано · Жалоба

Сертификат передается в открытом виде. Может ли ваша DPI принимать решения, на основании содержимого полей сертификата?

Есть возможность писать свои собственные скрипты сигнатур, но это такие дебри, что в них лезть совсем неохота. К тому же это мне надо вначале посетить этот хттпс, слить его сертификат, а потом его еще и пережевывать? Да ну их лесом! Для них буду ип блочить и все тут.

DNS тоже не панацея, не только чужие днс и хостс спасают, но и просто сокс-прокси.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

GateKeeper   

GateKeeper
Опубликовано · Жалоба

Сертификат передается в открытом виде. Может ли ваша DPI принимать решения, на основании содержимого полей сертификата?

И что, давно в сертификате звучит полностью запрашиваемый URL со всеми GET PARAMS какие указаны в реестре? Задача по закону заблокировать именно URL, никакой отсебятины.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

grvs   

grvs
Опубликовано (изменено) · Жалоба

Владеет ли кто-нибудь информацией по протоколу Cisco CPA? Используется на оборудовании Cisco и Juniper для интеграции со сторонним сервером фильтрации URL. В оригинале это был SurfControl CPA Server. На данный момент, поддержку похоже запилили в ЦАИР. Но ессно никакой открытой информации нет. ЦАИР на вопрос о поддержке едреестра молчит.

Изменено пользователем grvs

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

retimer   

retimer
Опубликовано · Жалоба

Интересно, а когда ручки РКН дотянутся до тор-сайтов *.onion

Будет весело! Запасаемся попкорном :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Macil   

Macil
Опубликовано (изменено) · Жалоба
К тому же это мне надо вначале посетить этот хттпс, слить его сертификат, а потом его еще и пережевывать?
Зачем посещать-то? Раз DPI так и DPI. Всего-то нужно выловить сообщение Server Certificate (идет сразу после Server Hello). А уж x.509 любая DPI должна уметь парсить, ну в крайнем случае ASN.1.
Изменено пользователем Macil

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

GateKeeper   

GateKeeper
Опубликовано · Жалоба

Кстати, по поводу HTTPS: помнится, в пределах года от данного момента пробегало где-то на просторах, что уловили одну конторку в том, что у нее есть CA-level сертификатик, подписанный, кажется Verisign, что по факту означает, что оная конторка может штамповать по своему желанию валидные для любого браузера сертификаты на любой абсолютно хост, в т.ч. и эти ваши банк-клиентские морды. Конторка та, которая спалилась, декларативно занимается "исследованиями в области безопасности информационных систем (с)(г)(тм)". Теперь включаем режим "человек-ирси" и начинаем предрекать:

 

1. Как только нашим глашатаям гласности, свободы и демократии наверху кто-нибудь нашепчет, что хттпс все же можно фильтровать вот таким способом, вполне вероятен вариант построения великого файрвола на основе полученного за кулисами аналогичного сертификатика.

2. (и этого "человек-ирси" естественно, никогда бы не сказал) оный сертификат обязательно рано или поздно (скорее рано) утек бы из недр оператора файрвола в руки, готовые заплатить. Наверняка таких рук оказалась бы не одна пара.

3. Следствие из 2: просторы русского интернета получили бы новый воодушевляющий толчок на предмет "Банк (имябанка) в рамках борьбы с мошенничеством и хищением средств с Вашего счета просит Вас подтвердить Вашу личность. Этап первый: укажите правильный номер телефона, привязанный к Вашему банк-клиенту (внимание! при указании неправильного номера Ваш счет будет незамедлительно заблокирован!) Этап второй: введите код подтверждения, пришедший на Ваш номер" Это для примера. Схем будет много, говна - экскаватором не вычерпать.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Macil   

Macil
Опубликовано · Жалоба
Задача по закону заблокировать именно URL, никакой отсебятины.
А зачем именно блокировать-то. Послал тихонько FIN в оба конца, и все ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

ohfsgcscft   

ohfsgcscft
Опубликовано · Жалоба
назревает новый бизинес - распостраниение hosts , можно с разбивкой по тематике )

Не то что бы бизнес, но там можно еще и любые нестандартные домены иметь и никто не разделегирует mysupersite

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

ohfsgcscft   

ohfsgcscft
Опубликовано · Жалоба
Кстати, по поводу HTTPS: помнится, в пределах года от данного момента пробегало где-то на просторах, что уловили одну конторку в том, что у нее есть CA-level сертификатик, подписанный, кажется Verisign, что по факту означает, что оная конторка может штамповать по своему желанию валидные для любого браузера сертификаты на любой абсолютно хост, в т.ч. и эти ваши банк-клиентские морды.

насколько я понял если вы сами экспортируете в браузер сертификат на сайт браузер потом ругнется если встретит другой + можно (и нужно в вашем примере) по дефолту вырезать все рут сертификаты.

 

но это глобальный писец конечно

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

LostSoul   

LostSoul
Опубликовано · Жалоба

Отладил работающее решение по блокировке на базе Linux ( на базе l7-filters ) , за разумные деньги готов установить на ваш сервер.

Блокирует по URL или его частям, работает целиком в пространстве ядра ( быстро ). Поддержки https, загрузки списка с "электронной подписью" и.т.п. еще пока не реализовано.

Пишите в личку.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Macil   

Macil
Опубликовано · Жалоба
Кстати, по поводу HTTPS
Пробегало... Подробностей не помню. Только это был не VeriSign, конечно же, а какой-то заштатный CA. Mozilla Foundation била себя пяткой в грудь, забаним мол... Вот только чем это все закончилось? Вроде бы абсолютно ничем.

 

Все-равно хеш сертификата подделать невозможно. Поэтому, бдительность и еще раз бдительность.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Soltik   

Soltik
Опубликовано · Жалоба

Зачем посещать-то? Раз DPI так и DPI. Всего-то нужно выловить сообщение Server Certificate (идет сразу после Server Hello). А уж x509 любая DPI должна уметь парсить, ну в крайнем случае ASN.1.

Ну вот есть у меня урл и есть ssl запрос на ip адрес. А что дальше? Каким мне образом связать никому неизвестный ip с каким-то там сертификатом с имеющимся урлом? Никак.

Я же говорю, это мне надо урл из реестра посетить вначале, слить его сертификат, а уже потом искать его в запросах.

Нет уж, блочить по сертификатам нам директив не давали. Я читаю инструкцию так: если есть возможность блочить урл - блочить его, если нет такой возможности (а при хттпс ее нет), то блочить IP. Вот и все.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

elcambino   

elcambino
Опубликовано · Жалоба

Отладил работающее решение по блокировке на базе Linux ( на базе l7-filters ) , за разумные деньги готов установить на ваш сервер.

Блокирует по URL или его частям, работает целиком в пространстве ядра ( быстро ). Поддержки https, загрузки списка с "электронной подписью" и.т.п. еще пока не реализовано.

Пишите в личку.

магистралы все равно блочат по ip :-D

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

GateKeeper   

GateKeeper
Опубликовано · Жалоба

Все-равно хеш сертификата подделать невозможно. Поэтому, бдительность и еще раз бдительность.

Ты предлагаешь всем пользователям-блондинкам отслеживать какие-то непонятные хэши? А банкам на каждой странице высвечивать плашку в пол-экрана "Хэш нашего сертификата такой-то, убедитесь в том, что Вы получили именно наш сертификат"?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

yegorov-p   

yegorov-p
Опубликовано · Жалоба

Интересно, а когда ручки РКН дотянутся до тор-сайтов *.onion

Будет весело! Запасаемся попкорном :)

Ничего не будет. Чтобы зайти на луковичные сайты, нужно знать, что это такое и как им ваще пользоваться, а РКН этого не умеет =)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Macil   

Macil
Опубликовано · Жалоба
Каким мне образом связать никому неизвестный ip с каким-то там сертификатом с имеющимся урлом? Никак.
В сертификате есть поле host.

 

На одном IP и порту может быть только один сертификат. Не вдуплили нетскейповцы, что вначале должен посылаться Client Hello c тегом, а только затем - Server Hello. Этот печальный факт означает что твоей DPI придется разбирать TLS намного меньше, чем должно бы.

 

Посмотри на проблему немного под другим углом. Ведь TLS != HTTPS. Т.е. можно блочить достаточно широкий класс программ начиная ото всяких "анонимайзеров", заканчивая т.н. "SSL VPN".

 

Ты предлагаешь всем пользователям-блондинкам отслеживать какие-то непонятные хэши?
Нет, я предлагаю разработчикам соответствующих программ вести базу well-known сертификатов.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

LostSoul   

LostSoul
Опубликовано · Жалоба

магистралы все равно блочат по ip :-D

Ну, мы в Москве. Ретн, Андерсы и.т.п. вроде не блочат) По крайней мере руттрекер и луркмор у меня не пропадали из доступности.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

snvoronkov   

snvoronkov
Опубликовано · Жалоба

По крайней мере руттрекер и луркмор у меня не пропадали из доступности.

 

Рутрекера в выгрузке и небыло никогда. А лукоморье адрес поменяло еще до того, как массово заметить успели.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Stak   

Stak
Опубликовано · Жалоба

Отладил работающее решение по блокировке на базе Linux ( на базе l7-filters ) , за разумные деньги готов установить на ваш сервер.

Блокирует по URL или его частям, работает целиком в пространстве ядра ( быстро ). Поддержки https, загрузки списка с "электронной подписью" и.т.п. еще пока не реализовано.

Пишите в личку.

 

работает только inline? или на ассиметричном (аплинк онли) трафике тоже?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

MMM   

MMM
Опубликовано · Жалоба

На одном IP и порту может быть только один сертификат.

не совсем верно...

http://en.wikipedia.org/wiki/Server_Name_Indication

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Alex/AT   

Alex/AT
Опубликовано · Жалоба
Просвяти, пожалуйста, КАК. С учетом наличия внешних серверов и необходимости сохранить клиентам их master/slave и DNSSEC.

DPI есть - всё просто: заворачивайте все запросы только к заблокированным доменам на свой сервер.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

KaraVan   

KaraVan
Опубликовано · Жалоба

А как проще всего BGP-speaker на линуксе организовать?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

snvoronkov   

snvoronkov
Опубликовано · Жалоба

А как проще всего BGP-speaker на линуксе организовать?

 

quagga?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Перейти к списку тем У нага