[vim]

Ну и про костылить самому мысль поддерживаю. Костылить можно было "до ревизора". Сейчас же с большой долей вероятности любой штраф на того, кто костылил, и спишут.

Докопаться они могут то кого угодно и вот пример:

http://www.ordercom.ru/DpiSkat.pdf

http://www.ordercom.ru/ITSK.zip

Интересен вообще сам факт, каким образом они могли получить доказательства вины опреатора связи, если на АС Ревизор были работы по модернизации и она была не доступна в это время... Ну и плюс оператор скат испоьзует.

 

А так, да, лучше прикрываться лицензированным решением, тут спору нет и так голова меньше болит...

Изменено 10 июня, 2017 пользователем vim

[Alex/AT]

А так да лучше прикрываться лицензированным решением, так голова меньше болит...

Угу. В первую очередь потому, что ответственность при этом смещается с личной персональной в сторону разработчика фильтра. Компании как таковой - едино, а вот у инженеров и внутреннего надзора в итоге становится куда меньше шансов получить регрессию. Ну и для компании при использовании такого решения, наверное, проще отбиться юристам в случае чего, хотя это конечно только личные домыслы, с практикой не сталкивался.

[Butch3r]

А вот из-за спешных реализаций как-раз и стала возможна атака такого масштаба через DNS...

Самописные реализации запретинфо - это рукоблудство, или стремление зарекомендовать себя самописца как крутого спеца, без которого контора помре :) Каюсь, сам рукоблудил на заре времён, затем понЯл - пусть с гос***рством борются иные люди и за деньги. Купили ДПИ, что и у вас - и я не парюсь, сплю спокойно. Даже лк в ревизоре не открывал.

советую всё таки в него заглядывать.

[vim]

А вот из-за спешных реализаций как-раз и стала возможна атака такого масштаба через DNS...

Ни разу ни так. Тут не соглашусь и выше указывал почему.

 

советую всё таки в него заглядывать.

Вот и я про то же толкую, можно много интересного в отчетах почерпнуть))) И еще советую дамп трафика ревезора писать и сохранять, и переодически анлизировать и сравнивать с отчетами...

Изменено 10 июня, 2017 пользователем vim

[YuryD]

советую всё таки в него заглядывать.

Зачем ? Чтобы напрягать свою печень ? Есть купленный ДПИ, и я в него верю. Они сами разберутся с гос***ками и изменениями алгоритмов и списках блокировки, я за это техсаппорт оплачиваю. Прое.ут - в суде будет мой адвокат отстаивать мою честность. А контролировать проё.ы гос***ков - я для этого слишком стар.

[Andrei]

А так да лучше прикрываться лицензированным решением, так голова меньше болит...

Угу. В первую очередь потому, что ответственность при этом смещается с личной персональной в сторону разработчика фильтра. Компании как таковой - едино, а вот у инженеров и внутреннего надзора в итоге становится куда меньше шансов получить регрессию. Ну и для компании при использовании такого решения, наверное, проще отбиться юристам в случае чего, хотя это конечно только личные домыслы, с практикой не сталкивался.

А что СКАТ или Карбон реально несут регрессно ответственность, если оператор, использующий их продукт, получает штраф за неблокировку?

[Alex/AT]

А что СКАТ или Карбон реально несут регрессно ответственность, если оператор, использующий их продукт, получает штраф за неблокировку?

Маловероятно. Я это в контексте того, что свалить ответственность за штраф (и, в зависимости от ситуации в компании, компенсацию такового) на инженера при наличии данных систем гораздо сложнее.

А вот при наличии самописного решения варианты (опять же, конечно, в зависимости от ситуации в компании) рисуются отнюдь не самые радужные.

[Tem]

Кому-нибудь звонили насчет блокировки ресурсов из белого списка ?

Мне позвонили сегодня в районе 17-30 и сказали, что 2 сайта из списка недоступны, но какие именно они сказать не могут у них нет такой инфы.

[taf_321]

Угу. В первую очередь потому, что ответственность при этом смещается с личной персональной в сторону разработчика фильтра.

Где это такое счастье, не подскажете? Отвественность несет оператор. А уж как он дальше ее будет перераспределять, это его внутреннее дело. Может написать в Спортлото (разрабу) а может сумму штрафа скомпенсировать через депремирование свою техслужбы, которая в этому решению приставлена. Но разработчик в любом случае ни на копейку не раскошелится.

 

Вот решит со вторника вендор, что списки на халяву это не рыночно (вон тут пишут какие там трудозатраты), и надо бы повышать финансовые показатели, и отрубит доступ к списку. Или их ДЦ затопит ливнем, оба сразу. Или вот более сейчас вероятный сценарий, в пресловутые А-записи внесут адреса обновлений списков СКАТ, и деревянные по пояс магистральщики забанят их к херам. Вот тут-то мы и запоем соловьями, ибо РКН ниипет что у наших DPI небыло доступа к серверам обновлений, доступ к серверам РКН был, и даже имеются записи что раз в час производились выгрузки. Учитывая то, что под раздачу попадал nag.ru, подсиралка, причастная к факапам тут пасется. В общем, дарю идею под лицензией MIT.

[taf_321]

Купили ДПИ, что и у вас - и я не парюсь, сплю спокойно. Даже лк в ревизоре не открывал.

Коммерческий ДПИ не гарантирует ничего. Бага с GET-запросом >MTU тому пример. Для скольки клиентов было бы приятной неожиданностью уведдимление о доступности, если бы не смотрели в лк на пропуски? Сам вендор еще долго бы на ручнике стоял.

[Alex/AT]

Где это такое счастье, не подскажете? Отвественность несет оператор. А уж как он дальше ее будет перераспределять, это его внутреннее дело. Может написать в Спортлото (разрабу) а может сумму штрафа скомпенсировать через депремирование свою техслужбы, которая в этому решению приставлена. Но разработчик в любом случае ни на копейку не раскошелится.

Я не про то немножко. Регресс к разработчику - это очень маловероятно. Я про отсутствие у инженеров возможности влиять на работу blackbox системы фильтрации, т.е. оставлять инженеров виноватыми в такой ситуации уже нелогично.

 

Что же до "где счастье" и "ответственность несёт оператор" - читайте внимательнее просто:

Компании как таковой - едино

Главный вопрос для инженера касательно всего этого бреда с овер и недоблокировками заключается в т.ч. в том, чтобы понесённые из-за очередной прихоти бюрократии компанией убытки не легли на собственную задницу всецело.

[saaremaa]

общем, дарю идею под лицензией MIT.

не знаю как коллеги, но мы делаем так. Проверяем получили ли мы списки из облака СКАТа на "балалайку". Если не получили втечение 2-х часов, проверяем вообще списки менялись или нет (мы выгружаем списки сами так же) Если списки менялись - у другой "балалайки" случается внезапная "песочница". За все время работы "песочница" случалась 2 раза по нашей винеё :).

[Alex/AT]

не знаю как коллеги, но мы делаем так. Проверяем получили ли мы списки из облака СКАТа на "балалайку". Если не получили втечение 2-х часов, проверяем вообще списки менялись или нет (мы выгружаем списки сами так же) Если списки менялись - у другой "балалайки" случается внезапная "песочница". За все время работы "песочница" случалась 2 раза по нашей винеё :).

Почти то же самое, помимо СКАТа выгружаем списки сами.

[taf_321]

Я про отсутствие у инженеров возможности влиять на работу blackbox системы фильтрации, т.е. оставить инженеров виноватыми в такой ситуации уже нелогично.

Как ни крути, но Лазарь Моисеевич был прав в своем "У каждой аварии есть имя, фамилия и должность." И тут на первый план выдвигаются персоналии отвественные за покупку и внедрение продукта. У мелкотравчатых операторов вдруг это одни и те же лица что и службы эксплуатации. И на законный вопрос дирекции "Так какого х....а вы нам советовали это покупать, если ни....я не понимаете как оно работает и какие риски оно привнесет?" отвечать все равно придется.

 

Почти то же самое, помимо СКАТа выгружаем списки сами.

Мы тоже выгружаем списки. СКАТ их готов выгружать от нашего имени, но раз в 24 часа, а это на границе допустимого. Но дело в том, что по факту результаты наших выгрузок до установленного у нас ДПИ не доходят.

[Alex/AT]

Как ни крути, но Лазарь Моисеевич был прав в своем "У каждой аварии есть имя, фамилия и должность." И тут на первый план выдвигаются персоналии отвественные за покупку и внедрение продукта. У мелкотравчатых операторов вдруг это одни и те же лица что и службы эксплуатации. И на законный вопрос дирекции "Так какого х....а вы нам советовали это покупать, если ни....я не понимаете как оно работает и какие риски оно привнесет?"

Очевидные риски, естественно, оговариваются до покупки.

Вопрос, да, скорее всего не редкий - требования по блокировкам приближаются к идеализации систем - все допуски по неблокировке минимальны, и несколько часов проблем с DPI могут вылиться в превышение этих допусков, выливающиеся в убытки.

И этот вопрос в случае проблем с системой упирается как раз в то самое, заранее оговоренное + то, что идеальных систем не бывает. Если понимания нет в принципе, то лучше сразу другую компанию поискать.

 

У нас вообще был совершенно идиотский случай с фильтрацией: один из Карбонов, в зеркале (он иначе не умеет), медный гигабитный порт (в конкретном месте больше не надо). Стоял себе и работал. Тут "ревизор" подоспел тихонько. Ну, стояло себе, и стояло. В один прекрасный момент этот самый порт завалился на 100М, похоже кабель деградировал (был надломлен изначально и дошёл до кондиции, или тело кабеля было совсем дрянь, или ещё что) - задеть никто не мог. Соответственно трафик до зеркала потерялся на 70-80%, и пропусков на "ревизоре" налетело будь здоров. В итоге перетянули всё на СКАТ в транзит, с отключенным байпассом, лучше пусть в случае чего деградирует абонентский трафик, чем фильтрация, потенциального ущерба всё равно меньше.

 

Мы тоже выгружаем списки. СКАТ их готов выгружать от нашего имени, но раз в 24 часа, а это на границе допустимого. Но дело в том, что по факту результаты наших выгрузок до установленного у нас ДПИ не доходят.

Да, СКАТ забирает списки с головы, наши до него не долетают. Мы выгружаем сами примерно каждые 1-4 часа, чтобы иметь представление о том, что было в списках на энный момент, если возникнут разногласия.

[YuryD]

Как ни крути, но Лазарь Моисеевич был прав в своем "У каждой аварии есть имя, фамилия и должность." И тут на первый план выдвигаются персоналии отвественные за покупку и внедрение продукта. У мелкотравчатых операторов вдруг это одни и те же лица что и службы эксплуатации. И на законный вопрос дирекции "Так какого х....а вы нам советовали это покупать,

Вы чего ? Я всегда отвечаю за все мои действия, купить железяку или дпи. Я - честный бизнес, обычный мелкий провайдер.

[Alex/AT]

Вы чего? Я всегда отвечаю за все мои действия, купить железяку или дпи. Я - честный бизнес, обычный мелкий провайдер.

Тут речь о другом: представьте: описали все риски, купили DPI, возникли пропуски в связи с проблемой софта или железа DPI. Решить её, допустим, решили, но "ревизор" пропусков уже нарегистрировал выше крыши, грозит штраф.

Естественно, ответственность оператор понесёт. Но перевалить ответственность на инженеров в этом случае... только если реально проблема связана с тем, что сами инженеры и накосячили. Тогда да - без вариантов.

Нет, тут понятно - надо и самостоятельно чекать фильтрацию, и т.п., но есть такая штука, как время реакции. "Ревизору" же таковое до лампочки. А потому никакие DPI 100% от проблем не страхуют.

 

Я вообще этот вопрос сейчас мусолю в ключе сравнения коммерческого DPI с самописным решением, не более. В случае самописного решения и проблем с ним поле ответственности однозначно на том, кто писал.

[taf_321]

Да, СКАТ забирает списки с головы, наши до него не долетают. Мы выгружаем сами примерно каждые 1-4 часа, чтобы иметь представление о том, что было в списках на энный момент, если возникнут разногласия.

Вы не находите ... хм... порочности этой схемы? Раз любите аналогии, вот у вас автомобиль, но руль с колесами у вас никак не связан. Баранка просто посылает сигналы на сервер управления в облаке, и уже оттуда приходят команды на рулевой механизм. Даже так, управляющий сервер вообще игнорирует ваши телодвижения, и шлет команды так, как считает нужным. Собственно, все пользователи СКАТа (да и карбона, как я понимаю) выступают пассажирами такого автомобиля.

 

Ничего не имею против облачных технологий (просто предубеждения человека, видевшего какая дикая лапша скрывается за красивыми фасадами этих "облаков"), но когда от надежности и добросовестности работы стороннего сервиса, который по сути не несет никакой перед тобой отвестственности, зависит наступление или не наступление админстративного или уголовного преследования по отношению к тебе, лично мне как-то неспокойно. Все же хочется по старинке направлять колеса куда надо мне здесь и сейчас, а не куда решит далекий сервер и через 4 часа.

[YuryD]

Вы чего? Я всегда отвечаю за все мои действия, купить железяку или дпи. Я - честный бизнес, обычный мелкий провайдер.

Тут речь о другом: представьте: описали все риски, купили DPI, возникли пропуски в связи с проблемой софта DPI. Решить её, допустим, решили, но "ревизор" пропусков уже нарегистрировал выше крыши, грозит штраф.

Гипотедически ? Ну хорошо, сдох физически сервер со скатом. Я - пишу покаянное письмо, что старая схема фильтрации будет блочить по IP. Это худший случай.

[Alex/AT]

когда от надежности и добросовестности работы стороннего сервиса, который по сути не несет никакой перед тобой отвестственности, зависит наступление или не наступление...

Вы не находите ... хм... порочности этой схемы?

Нахожу. Мне не нравится то, что я не могу быстро вручную скорректировать работу фильтра при необходимости. С другой стороны, парсинг того бреда, что называется "реестром" - это та ещё тема. Там и слеши обратные в URL пролетают (\), и много прочих весёлых несоответствий. Теперь вот "белые списки" придумали в дополнение. Всё это постоянно корректировать - тут минимум 2 человека на 8/5 нужно, в лучшем случае, и ещё смену поддержки 24/7 для снижения времени реагирования контролем фильтра нагрузить.

 

Раз любите аналогии, вот у вас автомобиль, но руль с колесами у вас никак не связан.

Хуже. Руля нет вообще, управляется машинка полностью из облака. Есть только кнопка вкл-выкл. Ну, техобслуживание ещё можно провести аккуратно. Ещё можно позвонить в "ЦУП" и попросить "руль" довернуть. Не быстро.

 

Правда, всё неплохо со СКАТ'ом. Фильтрует шустро и стабильно, списки обновляются каждый час, всякие новшества от РКН учитывают быстро. Есть минимальная возможность добавить локально заданные IP/URL в блокировку через консоль. То есть, едет вроде как очень даже. В штатном режиме.

 

Карбон с точки зрения UI и управляемости выглядел интереснее - списки выгружает локально, плюс там можно через вёб-морду в реальном времени и посмотреть, что загружено, и поправить чёрные-белые списки вручную, и сразу же их применить. Беда карбона только в том, что он кроме как в зеркале, работать не умеет никак, а зеркало для фильтрации - это слишком уж рискованная затея.

 

Гипотедически ? Ну хорошо, сдох физически сервер со скатом. Я - пишу покаянное письмо, что старая схема фильтрации будет блочить по IP. Это худший случай.

Не сдох, сдох - это хороший вариант, просто деградация (если серверов >1) или даунтайм у абонентов и "ревизора". Хуже. Гипотетически:

Всплыл нетривиальный баг в софте, половина запросов рандомно с середины ночи не блокируется. Техсаппорт говорит "разбираемся, нужно несколько часов". Пропусков на "ревизоре" к этому времени уже набежало более 1%, т.е. приедет протокол независимо от того, включим мы старую систему "блочить всё по IP" или нет.

[YuryD]

колеса куда надо мне здесь и сейчас, а не куда решит далекий сервер и через 4 часа.

 

Вы задеёте скользкий вопрос,о доверии... Не доверять - нельзя, у нас за уралом - принято доверять людям.

[remos]

бизнес ничего личного... о каком доверии (когда ..."ну дебилы (с)")?

[taf_321]

Хуже. Руля нет вообще, управляется машинка полностью из облака. Есть только кнопка вкл-выкл. Ну, техобслуживание ещё можно провести аккуратно. Ещё можно позвонить в "ЦУП" и попросить "руль" довернуть. Не быстро.

Вот в том-то и проблема. И кому как не оператору связи знать как широк список причин, по которым сервис может перестать быть доступным.

[Alex/AT]

Вот в том-то и проблема. И кому как не оператору связи знать как широк список причин, по которым сервис может перестать быть доступным.

Ну если просто список не обновляется - Zabbix это быстро увидит. Гораздо серьёзнее может встать проблема с софтом, например. Но самописный софт возможностей возникновения таких проблем потенциально будет иметь ещё больше.

[TRIada]

Меня всегда умиляла эта степень ответственности за пропуски. Т.е. что-то с dpi случилось, ты узнаешь через день в отчете лк сайта ревизор. Как будто один день пропуска и кто-то умер на другом конце сетевого кабеля увидев сайт с марихуаной или навальным... Я только за, если нарушения не устраняются в течении ну хотя бы недели, т.е. злостные нарушения, а когда тебя уже ставят перед фактом - это уже перебор. Эта штука(ревизор аппаратный) хотя бы пиликает? может смски рассылает: "чувак, с dpi что-то не так, пропустило столько-то, исправь в течении часа итп"? А кто-нибудь штрафует полицейских, чиновников за необработку заявки в течении суток на 100к?