snik_1900 Опубликовано 10 мая, 2016 · Жалоба Если уж встаёт в полный рост вопрос локального резолвинга Оператором имен из Реестра в IP-адреса ("сетевые адреса"), которые ежечасно меняются "противником" -- не будет ли тут уже приемлемым подход БЛОКИРОВАНИЯ НАФИНГ ВСЕХ DNS-запросов и перенаправление на СВОИ DNS-серверы, в которых: проблемные домены уже вырезаны подчистую собственно редирект идет на "чистые" DNS-сервера, типа "семейных" и "детских" от Яндекс.DNS или там SkyDNS -- кто за этим следит и не пошли бы они лесом, втыкая свои локальные гуглоDNS и прочие обходные пути? А существует ли в природе нечто что умеет анализировать содержимое DNS-запроса. Что-то типа squid для DNS-запросов на который можно перенаправить вес трафик исходящего резолва, а он в свою очередь будет проверять есть или нет домен в списке и если есть сохранять отрезолвеный IP в файл? Файл можно потом каждый час обрабатывать и добавлять в спсиок зеркалируеиого на проксик трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 10 мая, 2016 · Жалоба и не пошли бы они лесом, втыкая свои локальные гуглоDNS и прочие обходные пути? Да они срадостью и улыбкой на лице пойдут куда скажите. Вот только штаф потом вам придёт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 10 мая, 2016 · Жалоба А существует ли в природе нечто что умеет анализировать содержимое DNS-запроса. Что-то типа squid для DNS-запросов на который можно перенаправить вес трафик исходящего резолва, а он в свою очередь будет проверять есть или нет домен в списке и если есть сохранять отрезолвеный IP в файл? Файл можно потом каждый час обрабатывать и добавлять в спсиок зеркалируеиого на проксик трафика. https://ru.wikipedia.org/wiki/DNSSEC Это сводит на нет все потуги. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 10 мая, 2016 · Жалоба https://ru.wikipedia.org/wiki/DNSSEC Это сводит на нет все потуги. Еще есть dns crypt. Встроен в яндекс браузер: https://habrahabr.ru/company/yandex/blog/280380/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 10 мая, 2016 (изменено) · Жалоба https://ru.wikipedia.org/wiki/DNSSEC Это сводит на нет все потуги. Еще есть dns crypt. Встроен в яндекс браузер: https://habrahabr.ru/company/yandex/blog/280380/ [sarcasm] Пффф... гамно вопрос -- узаконить, чтоб использование левых DNS-серверов трактовалось тем же обходом блокировок -- как и Tor, VPN, прокси и прочие турбо-технологии. Если клиент полез в настройки сети очумелыми ручками -- ССЗБ и получит по рукам. [/sarcasm] Уж если на MITM для https замахнулись -- чего мелочиться-то ;) Изменено 10 мая, 2016 пользователем Ansy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 10 мая, 2016 · Жалоба и не пошли бы они лесом, втыкая свои локальные гуглоDNS и прочие обходные пути? а как вы думаете, почему я пользуюсь гуглоднс еще с тех пор, когда блокировок никаких не было? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snik_1900 Опубликовано 10 мая, 2016 · Жалоба https://ru.wikipedia.org/wiki/DNSSEC Это сводит на нет все потуги. Проверки идут без DNSSEC и DNSCrypt. Вопрос максимально обезопасить себя при проверках. 53й порт завернуть на свой сервак для проверки. И мне будет глубоко безразлично, что САМЫЙ_УМНЫЙ_ПОЛЬЗОВАТЕЛЬ решил пользоваться DNSSEC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 10 мая, 2016 · Жалоба Проверки идут без DNSSEC и DNSCrypt. Вопрос максимально обезопасить себя при проверках. 53й порт завернуть на свой сервак для проверки. И мне будет глубоко безразлично, что САМЫЙ_УМНЫЙ_ПОЛЬЗОВАТЕЛЬ решил пользоваться DNSSEC. И что кому-то работу приложений поломаете тоже безразлично? А ведь есть и пользователи, которые свои DNS-сервера и зоны держат. И приложения есть, которые запросы строго к авторитетным серверам зон шлют... Ежели вы это все сугубо для проверок городите, то сделайте им персональную песочницу и дело с концом. Зачем-же всем-то пользователям гадить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snik_1900 Опубликовано 10 мая, 2016 · Жалоба Мне проще таких пользователей не заворачивать на сервер. А по поводу песочницы..... РКН любит посещать кафе, гостинницы, итд которым мы предоставляем интернет. Если там всплывёт не заблокированный сайт, а по данным проверки он заблокирован, то можно нарваться на крупные неприятности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 10 мая, 2016 · Жалоба Мне проще таких пользователей не заворачивать на сервер. Вам привели пример приложения - Яндекс.Броузер. Из провайдерского софта (сходу) - флюссоник для проверки лицензии спрашивает непосредственно у гугла и яндекса. Его КАК заворачивать не будете? :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 10 мая, 2016 · Жалоба Комитет Госдумы по безопасности и противодействию коррупции во вторник рекомендовал принять в первом чтении так называемый антитеррористический пакет законопроектов, внесенный председателем комитета Ириной Яровой и председателем комитета Совета Федерации по обороне Виктором Озеровым. Законопроект понизит до 14 лет минимальный возраст несения ответственности за террористические преступления, а также ужесточит наказания за них. Кроме того, операторы связи в течение трех лет будут хранить и предоставлять государственным органам сведения о совершенных абонентами звонках и отправленных сообщениях. Депутаты также хотят обязать компании раскрывать их содержание, а также изображения, звуки или «иные сообщения» пользователей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 11 мая, 2016 · Жалоба Комитет Госдумы по безопасности и противодействию коррупции во вторник рекомендовал принять в первом чтении так называемый антитеррористический пакет законопроектов, внесенный председателем комитета Ириной Яровой и председателем комитета Совета Федерации по обороне Виктором Озеровым. Законопроект понизит до 14 лет минимальный возраст несения ответственности за террористические преступления, а также ужесточит наказания за них. Кроме того, операторы связи в течение трех лет будут хранить и предоставлять Fгосударственным органам сведения о совершенных абонентами звонках и отправленных сообщениях. Депутаты также хотят обязать компании раскрывать их содержание, а также изображения, звуки или «иные сообщения» пользователей. Вроде все профильные ведомства и правительство написали отрицательный отзыв на этот законопроект. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snik_1900 Опубликовано 11 мая, 2016 (изменено) · Жалоба Вам привели пример приложения - Яндекс.Броузер. ЯндексБроузер великолепно работает без dnscrypt. Из провайдерского софта (сходу) - флюссоник для проверки лицензии спрашивает непосредственно у гугла и яндекса. Его КАК заворачивать не будете? :-) Я могу для особо продвинутых просто зеркалировать 53й порт. И пусть ломятся куда хотят. Мне нужен максимально полный список IP адресов сайтов попавших в реестр. Изменено 11 мая, 2016 пользователем snik_1900 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 11 мая, 2016 · Жалоба Проверки идут без DNSSEC и DNSCrypt. Вопрос максимально обезопасить себя при проверках. 53й порт завернуть на свой сервак для проверки. И мне будет глубоко безразлично, что САМЫЙ_УМНЫЙ_ПОЛЬЗОВАТЕЛЬ решил пользоваться DNSSEC. И что кому-то работу приложений поломаете тоже безразлично? А ведь есть и пользователи, которые свои DNS-сервера и зоны держат. И приложения есть, которые запросы строго к авторитетным серверам зон шлют... Ежели вы это все сугубо для проверок городите, то сделайте им персональную песочницу и дело с концом. Зачем-же всем-то пользователям гадить? А это уже вопрос Договора с абонентом, можно и вписать ряд ограничений. У некоторых региональных сотовых в Интернете заблокированы RDP и SSH например. И еще куча стандартных портов. Или еще круче -- открыты только стандартные, а остальное -- блок. Можно открыть -- но не бесплатно, т.е. под вашу персональную ответственность. И по умолчанию -- да, анальныйизирующий зонд от РКН не получит по умолчанию никаких специфических протоколов, и уж тем более DNS вполне кошерно можно завернуть на свой сервис. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 11 мая, 2016 · Жалоба Можно открыть -- но не бесплатно, т.е. под вашу персональную ответственность. Если не бесплатно - то под вашу ответственность должностного лица. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 11 мая, 2016 · Жалоба Можно открыть -- но не бесплатно, т.е. под вашу персональную ответственность. Если не бесплатно - то под вашу ответственность должностного лица. Ну, поскольку это УЖЕ персональный Договор и отдельно оплачиваемая услуга: Абонент может оказаться тоже Оператором связи -- со своими собственными Лицензиями и ответственностью. Абонент берется "на карандаш", в Договоре с ним может быть указано его обязательство не использовать открытые дополнительно порты для противоправной деятельности с какими-то мерами (минимум -- надзор и оперативное закрытие) в случае нарушения. Если Абонент использует свои собственные DNS -- кто ему мешает (да хоть в hosts) резолвить какие угодно домены в какие угодно IP? И тогда любой выход на IP из реестра будет приравнен к использованию обхода блокировок, на свой страх и риск (с возможностью сдачи такого Абонента карательнымнадзорным органам). Во всяком случае, Абонент будет предупрежден, согласен (путем подписания Договора с персональными условиями и оплаты доп.услуги) и уже без претензий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 11 мая, 2016 · Жалоба (с возможностью сдачи такого Абонента карательнымнадзорным органам). на каком основании? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 11 мая, 2016 · Жалоба Мне одному кажется ненормальным, что представители оператора связи обсуждают, как эту самую связь испортить? Одно дело, когда из за бардака (нестандартные порты и протоколы работают хуже) каждый протокол пытается по 80 порту ходить, а то и вообще внутрь Http упаковаться. А специально-то портить зачем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 11 мая, 2016 · Жалоба Без dpi и аналогов все равно не обойтись, так как в реестре есть youtube (аж 232 записи), врядли вы рискнете его полностью заблочить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 11 мая, 2016 · Жалоба Без dpi и аналогов все равно не обойтись, так как в реестре есть youtube (аж 232 записи), врядли вы рискнете его полностью заблочить Чой-то? :) Есть ответ РКН по данному поводу. Что нет никакого понятия типа "социально значимый ресурс" и надлежит блочить, раз есть в реестре. Кстати ютуб у меня последнее время как-то коряво работает. Часто выдает: тайм-аут операции. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mirdes Опубликовано 12 мая, 2016 · Жалоба Чой-то? :) Есть ответ РКН по данному поводу. Что нет никакого понятия типа "социально значимый ресурс" и надлежит блочить, раз есть в реестре. Кстати ютуб у меня последнее время как-то коряво работает. Часто выдает: тайм-аут операции. До покупки dpi блокировали полностью ютуб, примерно 7-10 дней продержались. Шквал звонков от недовольных клиентов. После руководство выделило деньги на покупку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 12 мая, 2016 · Жалоба Мне одному кажется ненормальным, что представители оператора связи обсуждают, как эту самую связь испортить? Одно дело, когда из за бардака (нестандартные порты и протоколы работают хуже) каждый протокол пытается по 80 порту ходить, а то и вообще внутрь Http упаковаться. А специально-то портить зачем? Это не кажется -- это и есть ненормально. Страна, млин, такая -- тут много чего ненормального, тот же асфальт, укладываемый в лужи и снег. Другой вопрос, долго ли оператор продержится, если за каждую незаблоченную ссылку по тридцатке-полтиннику выкладывать, да на судебные расходы ещё. Сам бизнес под вопросом окажется -- или клиенту плохо/медленно/не везде, или вообще НИКАК. И да, метку [sarcasm] уже поднапрягает ставить, поскольку он чуть не в каждое сообщение этой темы просится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 12 мая, 2016 · Жалоба (с возможностью сдачи такого Абонента карательнымнадзорным органам). на каком основании? На основании объяснения Абоненту, что его специальные, ослабленные правила фильтрации, поскольку они не проходят по ОБЩЕЙ, "стерилизованной" схеме -- МОГУТ оказаться под специальным наблюдением, например, СОРМ :) Это вполне законно и обоснованно. Другой вопрос, если клиент адекватный и законопослушный, и тем более технически подкованный -- его это не напряжет совершенно. А вот потенциальные засранцы наверное попытаются найти другого провайдера... или ВТИХУЮ обойти защиту "для всех" -- чего, надеюсь, не делает "Ревизор" от РКН/ГРЧЦ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 12 мая, 2016 · Жалоба МОГУТ оказаться под специальным наблюдением, например, СОРМ Решать кто находится под наблюдением СОРМ далеко вне компетенции оператора связи. Лечите свою манию величия и синдром вахтера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 12 мая, 2016 · Жалоба Толку то от DPI ютубу, уже часто вижу по https его. Ломать ДНС запросы к резволу https хостов? Скоро и они уйдут в туннели по типу DNSCrypt. Сеть между абонентом и сервисом стала недоверенной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...