vim Опубликовано 10 июня, 2017 (изменено) · Жалоба Ну и про костылить самому мысль поддерживаю. Костылить можно было "до ревизора". Сейчас же с большой долей вероятности любой штраф на того, кто костылил, и спишут. Докопаться они могут то кого угодно и вот пример: http://www.ordercom.ru/DpiSkat.pdf http://www.ordercom.ru/ITSK.zip Интересен вообще сам факт, каким образом они могли получить доказательства вины опреатора связи, если на АС Ревизор были работы по модернизации и она была не доступна в это время... Ну и плюс оператор скат испоьзует. А так, да, лучше прикрываться лицензированным решением, тут спору нет и так голова меньше болит... Изменено 10 июня, 2017 пользователем vim Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 10 июня, 2017 · Жалоба А так да лучше прикрываться лицензированным решением, так голова меньше болит... Угу. В первую очередь потому, что ответственность при этом смещается с личной персональной в сторону разработчика фильтра. Компании как таковой - едино, а вот у инженеров и внутреннего надзора в итоге становится куда меньше шансов получить регрессию. Ну и для компании при использовании такого решения, наверное, проще отбиться юристам в случае чего, хотя это конечно только личные домыслы, с практикой не сталкивался. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 10 июня, 2017 · Жалоба А вот из-за спешных реализаций как-раз и стала возможна атака такого масштаба через DNS... Самописные реализации запретинфо - это рукоблудство, или стремление зарекомендовать себя самописца как крутого спеца, без которого контора помре :) Каюсь, сам рукоблудил на заре времён, затем понЯл - пусть с гос***рством борются иные люди и за деньги. Купили ДПИ, что и у вас - и я не парюсь, сплю спокойно. Даже лк в ревизоре не открывал. советую всё таки в него заглядывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vim Опубликовано 10 июня, 2017 (изменено) · Жалоба А вот из-за спешных реализаций как-раз и стала возможна атака такого масштаба через DNS... Ни разу ни так. Тут не соглашусь и выше указывал почему. советую всё таки в него заглядывать. Вот и я про то же толкую, можно много интересного в отчетах почерпнуть))) И еще советую дамп трафика ревезора писать и сохранять, и переодически анлизировать и сравнивать с отчетами... Изменено 10 июня, 2017 пользователем vim Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 10 июня, 2017 · Жалоба советую всё таки в него заглядывать. Зачем ? Чтобы напрягать свою печень ? Есть купленный ДПИ, и я в него верю. Они сами разберутся с гос***ками и изменениями алгоритмов и списках блокировки, я за это техсаппорт оплачиваю. Прое.ут - в суде будет мой адвокат отстаивать мою честность. А контролировать проё.ы гос***ков - я для этого слишком стар. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 10 июня, 2017 · Жалоба А так да лучше прикрываться лицензированным решением, так голова меньше болит... Угу. В первую очередь потому, что ответственность при этом смещается с личной персональной в сторону разработчика фильтра. Компании как таковой - едино, а вот у инженеров и внутреннего надзора в итоге становится куда меньше шансов получить регрессию. Ну и для компании при использовании такого решения, наверное, проще отбиться юристам в случае чего, хотя это конечно только личные домыслы, с практикой не сталкивался. А что СКАТ или Карбон реально несут регрессно ответственность, если оператор, использующий их продукт, получает штраф за неблокировку? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 10 июня, 2017 · Жалоба А что СКАТ или Карбон реально несут регрессно ответственность, если оператор, использующий их продукт, получает штраф за неблокировку? Маловероятно. Я это в контексте того, что свалить ответственность за штраф (и, в зависимости от ситуации в компании, компенсацию такового) на инженера при наличии данных систем гораздо сложнее. А вот при наличии самописного решения варианты (опять же, конечно, в зависимости от ситуации в компании) рисуются отнюдь не самые радужные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 10 июня, 2017 · Жалоба Кому-нибудь звонили насчет блокировки ресурсов из белого списка ? Мне позвонили сегодня в районе 17-30 и сказали, что 2 сайта из списка недоступны, но какие именно они сказать не могут у них нет такой инфы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 10 июня, 2017 · Жалоба Угу. В первую очередь потому, что ответственность при этом смещается с личной персональной в сторону разработчика фильтра. Где это такое счастье, не подскажете? Отвественность несет оператор. А уж как он дальше ее будет перераспределять, это его внутреннее дело. Может написать в Спортлото (разрабу) а может сумму штрафа скомпенсировать через депремирование свою техслужбы, которая в этому решению приставлена. Но разработчик в любом случае ни на копейку не раскошелится. Вот решит со вторника вендор, что списки на халяву это не рыночно (вон тут пишут какие там трудозатраты), и надо бы повышать финансовые показатели, и отрубит доступ к списку. Или их ДЦ затопит ливнем, оба сразу. Или вот более сейчас вероятный сценарий, в пресловутые А-записи внесут адреса обновлений списков СКАТ, и деревянные по пояс магистральщики забанят их к херам. Вот тут-то мы и запоем соловьями, ибо РКН ниипет что у наших DPI небыло доступа к серверам обновлений, доступ к серверам РКН был, и даже имеются записи что раз в час производились выгрузки. Учитывая то, что под раздачу попадал nag.ru, подсиралка, причастная к факапам тут пасется. В общем, дарю идею под лицензией MIT. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 10 июня, 2017 · Жалоба Купили ДПИ, что и у вас - и я не парюсь, сплю спокойно. Даже лк в ревизоре не открывал. Коммерческий ДПИ не гарантирует ничего. Бага с GET-запросом >MTU тому пример. Для скольки клиентов было бы приятной неожиданностью уведдимление о доступности, если бы не смотрели в лк на пропуски? Сам вендор еще долго бы на ручнике стоял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 10 июня, 2017 · Жалоба Где это такое счастье, не подскажете? Отвественность несет оператор. А уж как он дальше ее будет перераспределять, это его внутреннее дело. Может написать в Спортлото (разрабу) а может сумму штрафа скомпенсировать через депремирование свою техслужбы, которая в этому решению приставлена. Но разработчик в любом случае ни на копейку не раскошелится. Я не про то немножко. Регресс к разработчику - это очень маловероятно. Я про отсутствие у инженеров возможности влиять на работу blackbox системы фильтрации, т.е. оставлять инженеров виноватыми в такой ситуации уже нелогично. Что же до "где счастье" и "ответственность несёт оператор" - читайте внимательнее просто: Компании как таковой - едино Главный вопрос для инженера касательно всего этого бреда с овер и недоблокировками заключается в т.ч. в том, чтобы понесённые из-за очередной прихоти бюрократии компанией убытки не легли на собственную задницу всецело. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 10 июня, 2017 · Жалоба общем, дарю идею под лицензией MIT. не знаю как коллеги, но мы делаем так. Проверяем получили ли мы списки из облака СКАТа на "балалайку". Если не получили втечение 2-х часов, проверяем вообще списки менялись или нет (мы выгружаем списки сами так же) Если списки менялись - у другой "балалайки" случается внезапная "песочница". За все время работы "песочница" случалась 2 раза по нашей винеё :). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 10 июня, 2017 · Жалоба не знаю как коллеги, но мы делаем так. Проверяем получили ли мы списки из облака СКАТа на "балалайку". Если не получили втечение 2-х часов, проверяем вообще списки менялись или нет (мы выгружаем списки сами так же) Если списки менялись - у другой "балалайки" случается внезапная "песочница". За все время работы "песочница" случалась 2 раза по нашей винеё :). Почти то же самое, помимо СКАТа выгружаем списки сами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 10 июня, 2017 · Жалоба Я про отсутствие у инженеров возможности влиять на работу blackbox системы фильтрации, т.е. оставить инженеров виноватыми в такой ситуации уже нелогично. Как ни крути, но Лазарь Моисеевич был прав в своем "У каждой аварии есть имя, фамилия и должность." И тут на первый план выдвигаются персоналии отвественные за покупку и внедрение продукта. У мелкотравчатых операторов вдруг это одни и те же лица что и службы эксплуатации. И на законный вопрос дирекции "Так какого х....а вы нам советовали это покупать, если ни....я не понимаете как оно работает и какие риски оно привнесет?" отвечать все равно придется. Почти то же самое, помимо СКАТа выгружаем списки сами. Мы тоже выгружаем списки. СКАТ их готов выгружать от нашего имени, но раз в 24 часа, а это на границе допустимого. Но дело в том, что по факту результаты наших выгрузок до установленного у нас ДПИ не доходят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 10 июня, 2017 · Жалоба Как ни крути, но Лазарь Моисеевич был прав в своем "У каждой аварии есть имя, фамилия и должность." И тут на первый план выдвигаются персоналии отвественные за покупку и внедрение продукта. У мелкотравчатых операторов вдруг это одни и те же лица что и службы эксплуатации. И на законный вопрос дирекции "Так какого х....а вы нам советовали это покупать, если ни....я не понимаете как оно работает и какие риски оно привнесет?" Очевидные риски, естественно, оговариваются до покупки. Вопрос, да, скорее всего не редкий - требования по блокировкам приближаются к идеализации систем - все допуски по неблокировке минимальны, и несколько часов проблем с DPI могут вылиться в превышение этих допусков, выливающиеся в убытки. И этот вопрос в случае проблем с системой упирается как раз в то самое, заранее оговоренное + то, что идеальных систем не бывает. Если понимания нет в принципе, то лучше сразу другую компанию поискать. У нас вообще был совершенно идиотский случай с фильтрацией: один из Карбонов, в зеркале (он иначе не умеет), медный гигабитный порт (в конкретном месте больше не надо). Стоял себе и работал. Тут "ревизор" подоспел тихонько. Ну, стояло себе, и стояло. В один прекрасный момент этот самый порт завалился на 100М, похоже кабель деградировал (был надломлен изначально и дошёл до кондиции, или тело кабеля было совсем дрянь, или ещё что) - задеть никто не мог. Соответственно трафик до зеркала потерялся на 70-80%, и пропусков на "ревизоре" налетело будь здоров. В итоге перетянули всё на СКАТ в транзит, с отключенным байпассом, лучше пусть в случае чего деградирует абонентский трафик, чем фильтрация, потенциального ущерба всё равно меньше. Мы тоже выгружаем списки. СКАТ их готов выгружать от нашего имени, но раз в 24 часа, а это на границе допустимого. Но дело в том, что по факту результаты наших выгрузок до установленного у нас ДПИ не доходят. Да, СКАТ забирает списки с головы, наши до него не долетают. Мы выгружаем сами примерно каждые 1-4 часа, чтобы иметь представление о том, что было в списках на энный момент, если возникнут разногласия. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 10 июня, 2017 · Жалоба Как ни крути, но Лазарь Моисеевич был прав в своем "У каждой аварии есть имя, фамилия и должность." И тут на первый план выдвигаются персоналии отвественные за покупку и внедрение продукта. У мелкотравчатых операторов вдруг это одни и те же лица что и службы эксплуатации. И на законный вопрос дирекции "Так какого х....а вы нам советовали это покупать, Вы чего ? Я всегда отвечаю за все мои действия, купить железяку или дпи. Я - честный бизнес, обычный мелкий провайдер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 10 июня, 2017 · Жалоба Вы чего? Я всегда отвечаю за все мои действия, купить железяку или дпи. Я - честный бизнес, обычный мелкий провайдер. Тут речь о другом: представьте: описали все риски, купили DPI, возникли пропуски в связи с проблемой софта или железа DPI. Решить её, допустим, решили, но "ревизор" пропусков уже нарегистрировал выше крыши, грозит штраф. Естественно, ответственность оператор понесёт. Но перевалить ответственность на инженеров в этом случае... только если реально проблема связана с тем, что сами инженеры и накосячили. Тогда да - без вариантов. Нет, тут понятно - надо и самостоятельно чекать фильтрацию, и т.п., но есть такая штука, как время реакции. "Ревизору" же таковое до лампочки. А потому никакие DPI 100% от проблем не страхуют. Я вообще этот вопрос сейчас мусолю в ключе сравнения коммерческого DPI с самописным решением, не более. В случае самописного решения и проблем с ним поле ответственности однозначно на том, кто писал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 10 июня, 2017 · Жалоба Да, СКАТ забирает списки с головы, наши до него не долетают. Мы выгружаем сами примерно каждые 1-4 часа, чтобы иметь представление о том, что было в списках на энный момент, если возникнут разногласия. Вы не находите ... хм... порочности этой схемы? Раз любите аналогии, вот у вас автомобиль, но руль с колесами у вас никак не связан. Баранка просто посылает сигналы на сервер управления в облаке, и уже оттуда приходят команды на рулевой механизм. Даже так, управляющий сервер вообще игнорирует ваши телодвижения, и шлет команды так, как считает нужным. Собственно, все пользователи СКАТа (да и карбона, как я понимаю) выступают пассажирами такого автомобиля. Ничего не имею против облачных технологий (просто предубеждения человека, видевшего какая дикая лапша скрывается за красивыми фасадами этих "облаков"), но когда от надежности и добросовестности работы стороннего сервиса, который по сути не несет никакой перед тобой отвестственности, зависит наступление или не наступление админстративного или уголовного преследования по отношению к тебе, лично мне как-то неспокойно. Все же хочется по старинке направлять колеса куда надо мне здесь и сейчас, а не куда решит далекий сервер и через 4 часа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 10 июня, 2017 · Жалоба Вы чего? Я всегда отвечаю за все мои действия, купить железяку или дпи. Я - честный бизнес, обычный мелкий провайдер. Тут речь о другом: представьте: описали все риски, купили DPI, возникли пропуски в связи с проблемой софта DPI. Решить её, допустим, решили, но "ревизор" пропусков уже нарегистрировал выше крыши, грозит штраф. Гипотедически ? Ну хорошо, сдох физически сервер со скатом. Я - пишу покаянное письмо, что старая схема фильтрации будет блочить по IP. Это худший случай. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 10 июня, 2017 · Жалоба когда от надежности и добросовестности работы стороннего сервиса, который по сути не несет никакой перед тобой отвестственности, зависит наступление или не наступление...Вы не находите ... хм... порочности этой схемы? Нахожу. Мне не нравится то, что я не могу быстро вручную скорректировать работу фильтра при необходимости. С другой стороны, парсинг того бреда, что называется "реестром" - это та ещё тема. Там и слеши обратные в URL пролетают (\), и много прочих весёлых несоответствий. Теперь вот "белые списки" придумали в дополнение. Всё это постоянно корректировать - тут минимум 2 человека на 8/5 нужно, в лучшем случае, и ещё смену поддержки 24/7 для снижения времени реагирования контролем фильтра нагрузить. Раз любите аналогии, вот у вас автомобиль, но руль с колесами у вас никак не связан. Хуже. Руля нет вообще, управляется машинка полностью из облака. Есть только кнопка вкл-выкл. Ну, техобслуживание ещё можно провести аккуратно. Ещё можно позвонить в "ЦУП" и попросить "руль" довернуть. Не быстро. Правда, всё неплохо со СКАТ'ом. Фильтрует шустро и стабильно, списки обновляются каждый час, всякие новшества от РКН учитывают быстро. Есть минимальная возможность добавить локально заданные IP/URL в блокировку через консоль. То есть, едет вроде как очень даже. В штатном режиме. Карбон с точки зрения UI и управляемости выглядел интереснее - списки выгружает локально, плюс там можно через вёб-морду в реальном времени и посмотреть, что загружено, и поправить чёрные-белые списки вручную, и сразу же их применить. Беда карбона только в том, что он кроме как в зеркале, работать не умеет никак, а зеркало для фильтрации - это слишком уж рискованная затея. Гипотедически ? Ну хорошо, сдох физически сервер со скатом. Я - пишу покаянное письмо, что старая схема фильтрации будет блочить по IP. Это худший случай. Не сдох, сдох - это хороший вариант, просто деградация (если серверов >1) или даунтайм у абонентов и "ревизора". Хуже. Гипотетически: Всплыл нетривиальный баг в софте, половина запросов рандомно с середины ночи не блокируется. Техсаппорт говорит "разбираемся, нужно несколько часов". Пропусков на "ревизоре" к этому времени уже набежало более 1%, т.е. приедет протокол независимо от того, включим мы старую систему "блочить всё по IP" или нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 10 июня, 2017 · Жалоба колеса куда надо мне здесь и сейчас, а не куда решит далекий сервер и через 4 часа. Вы задеёте скользкий вопрос,о доверии... Не доверять - нельзя, у нас за уралом - принято доверять людям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 10 июня, 2017 · Жалоба бизнес ничего личного... о каком доверии (когда ..."ну дебилы (с)")? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 10 июня, 2017 · Жалоба Хуже. Руля нет вообще, управляется машинка полностью из облака. Есть только кнопка вкл-выкл. Ну, техобслуживание ещё можно провести аккуратно. Ещё можно позвонить в "ЦУП" и попросить "руль" довернуть. Не быстро. Вот в том-то и проблема. И кому как не оператору связи знать как широк список причин, по которым сервис может перестать быть доступным. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 10 июня, 2017 · Жалоба Вот в том-то и проблема. И кому как не оператору связи знать как широк список причин, по которым сервис может перестать быть доступным. Ну если просто список не обновляется - Zabbix это быстро увидит. Гораздо серьёзнее может встать проблема с софтом, например. Но самописный софт возможностей возникновения таких проблем потенциально будет иметь ещё больше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TRIada Опубликовано 11 июня, 2017 · Жалоба Меня всегда умиляла эта степень ответственности за пропуски. Т.е. что-то с dpi случилось, ты узнаешь через день в отчете лк сайта ревизор. Как будто один день пропуска и кто-то умер на другом конце сетевого кабеля увидев сайт с марихуаной или навальным... Я только за, если нарушения не устраняются в течении ну хотя бы недели, т.е. злостные нарушения, а когда тебя уже ставят перед фактом - это уже перебор. Эта штука(ревизор аппаратный) хотя бы пиликает? может смски рассылает: "чувак, с dpi что-то не так, пропустило столько-то, исправь в течении часа итп"? А кто-нибудь штрафует полицейских, чиновников за необработку заявки в течении суток на 100к? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...