Macil Опубликовано 22 ноября, 2012 · Жалоба Или может, опираясь на наличие урла блочить ип, но только с 443 портом?Сертификат передается в открытом виде. Может ли ваша DPI принимать решения, на основании содержимого полей сертификата? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Soltik Опубликовано 22 ноября, 2012 · Жалоба Сертификат передается в открытом виде. Может ли ваша DPI принимать решения, на основании содержимого полей сертификата? Есть возможность писать свои собственные скрипты сигнатур, но это такие дебри, что в них лезть совсем неохота. К тому же это мне надо вначале посетить этот хттпс, слить его сертификат, а потом его еще и пережевывать? Да ну их лесом! Для них буду ип блочить и все тут. DNS тоже не панацея, не только чужие днс и хостс спасают, но и просто сокс-прокси. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 22 ноября, 2012 · Жалоба Сертификат передается в открытом виде. Может ли ваша DPI принимать решения, на основании содержимого полей сертификата? И что, давно в сертификате звучит полностью запрашиваемый URL со всеми GET PARAMS какие указаны в реестре? Задача по закону заблокировать именно URL, никакой отсебятины. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grvs Опубликовано 22 ноября, 2012 (изменено) · Жалоба Владеет ли кто-нибудь информацией по протоколу Cisco CPA? Используется на оборудовании Cisco и Juniper для интеграции со сторонним сервером фильтрации URL. В оригинале это был SurfControl CPA Server. На данный момент, поддержку похоже запилили в ЦАИР. Но ессно никакой открытой информации нет. ЦАИР на вопрос о поддержке едреестра молчит. Изменено 22 ноября, 2012 пользователем grvs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
retimer Опубликовано 22 ноября, 2012 · Жалоба Интересно, а когда ручки РКН дотянутся до тор-сайтов *.onion Будет весело! Запасаемся попкорном :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 22 ноября, 2012 (изменено) · Жалоба К тому же это мне надо вначале посетить этот хттпс, слить его сертификат, а потом его еще и пережевывать?Зачем посещать-то? Раз DPI так и DPI. Всего-то нужно выловить сообщение Server Certificate (идет сразу после Server Hello). А уж x.509 любая DPI должна уметь парсить, ну в крайнем случае ASN.1. Изменено 22 ноября, 2012 пользователем Macil Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 22 ноября, 2012 · Жалоба Кстати, по поводу HTTPS: помнится, в пределах года от данного момента пробегало где-то на просторах, что уловили одну конторку в том, что у нее есть CA-level сертификатик, подписанный, кажется Verisign, что по факту означает, что оная конторка может штамповать по своему желанию валидные для любого браузера сертификаты на любой абсолютно хост, в т.ч. и эти ваши банк-клиентские морды. Конторка та, которая спалилась, декларативно занимается "исследованиями в области безопасности информационных систем (с)(г)(тм)". Теперь включаем режим "человек-ирси" и начинаем предрекать: 1. Как только нашим глашатаям гласности, свободы и демократии наверху кто-нибудь нашепчет, что хттпс все же можно фильтровать вот таким способом, вполне вероятен вариант построения великого файрвола на основе полученного за кулисами аналогичного сертификатика. 2. (и этого "человек-ирси" естественно, никогда бы не сказал) оный сертификат обязательно рано или поздно (скорее рано) утек бы из недр оператора файрвола в руки, готовые заплатить. Наверняка таких рук оказалась бы не одна пара. 3. Следствие из 2: просторы русского интернета получили бы новый воодушевляющий толчок на предмет "Банк (имябанка) в рамках борьбы с мошенничеством и хищением средств с Вашего счета просит Вас подтвердить Вашу личность. Этап первый: укажите правильный номер телефона, привязанный к Вашему банк-клиенту (внимание! при указании неправильного номера Ваш счет будет незамедлительно заблокирован!) Этап второй: введите код подтверждения, пришедший на Ваш номер" Это для примера. Схем будет много, говна - экскаватором не вычерпать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 22 ноября, 2012 · Жалоба Задача по закону заблокировать именно URL, никакой отсебятины.А зачем именно блокировать-то. Послал тихонько FIN в оба конца, и все ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ohfsgcscft Опубликовано 22 ноября, 2012 · Жалоба назревает новый бизинес - распостраниение hosts , можно с разбивкой по тематике ) Не то что бы бизнес, но там можно еще и любые нестандартные домены иметь и никто не разделегирует mysupersite Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ohfsgcscft Опубликовано 22 ноября, 2012 · Жалоба Кстати, по поводу HTTPS: помнится, в пределах года от данного момента пробегало где-то на просторах, что уловили одну конторку в том, что у нее есть CA-level сертификатик, подписанный, кажется Verisign, что по факту означает, что оная конторка может штамповать по своему желанию валидные для любого браузера сертификаты на любой абсолютно хост, в т.ч. и эти ваши банк-клиентские морды. насколько я понял если вы сами экспортируете в браузер сертификат на сайт браузер потом ругнется если встретит другой + можно (и нужно в вашем примере) по дефолту вырезать все рут сертификаты. но это глобальный писец конечно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 22 ноября, 2012 · Жалоба Отладил работающее решение по блокировке на базе Linux ( на базе l7-filters ) , за разумные деньги готов установить на ваш сервер. Блокирует по URL или его частям, работает целиком в пространстве ядра ( быстро ). Поддержки https, загрузки списка с "электронной подписью" и.т.п. еще пока не реализовано. Пишите в личку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 22 ноября, 2012 · Жалоба Кстати, по поводу HTTPSПробегало... Подробностей не помню. Только это был не VeriSign, конечно же, а какой-то заштатный CA. Mozilla Foundation била себя пяткой в грудь, забаним мол... Вот только чем это все закончилось? Вроде бы абсолютно ничем. Все-равно хеш сертификата подделать невозможно. Поэтому, бдительность и еще раз бдительность. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Soltik Опубликовано 22 ноября, 2012 · Жалоба Зачем посещать-то? Раз DPI так и DPI. Всего-то нужно выловить сообщение Server Certificate (идет сразу после Server Hello). А уж x509 любая DPI должна уметь парсить, ну в крайнем случае ASN.1. Ну вот есть у меня урл и есть ssl запрос на ip адрес. А что дальше? Каким мне образом связать никому неизвестный ip с каким-то там сертификатом с имеющимся урлом? Никак. Я же говорю, это мне надо урл из реестра посетить вначале, слить его сертификат, а уже потом искать его в запросах. Нет уж, блочить по сертификатам нам директив не давали. Я читаю инструкцию так: если есть возможность блочить урл - блочить его, если нет такой возможности (а при хттпс ее нет), то блочить IP. Вот и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
elcambino Опубликовано 22 ноября, 2012 · Жалоба Отладил работающее решение по блокировке на базе Linux ( на базе l7-filters ) , за разумные деньги готов установить на ваш сервер. Блокирует по URL или его частям, работает целиком в пространстве ядра ( быстро ). Поддержки https, загрузки списка с "электронной подписью" и.т.п. еще пока не реализовано. Пишите в личку. магистралы все равно блочат по ip :-D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 22 ноября, 2012 · Жалоба Все-равно хеш сертификата подделать невозможно. Поэтому, бдительность и еще раз бдительность. Ты предлагаешь всем пользователям-блондинкам отслеживать какие-то непонятные хэши? А банкам на каждой странице высвечивать плашку в пол-экрана "Хэш нашего сертификата такой-то, убедитесь в том, что Вы получили именно наш сертификат"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 22 ноября, 2012 · Жалоба Интересно, а когда ручки РКН дотянутся до тор-сайтов *.onion Будет весело! Запасаемся попкорном :) Ничего не будет. Чтобы зайти на луковичные сайты, нужно знать, что это такое и как им ваще пользоваться, а РКН этого не умеет =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 22 ноября, 2012 · Жалоба Каким мне образом связать никому неизвестный ip с каким-то там сертификатом с имеющимся урлом? Никак.В сертификате есть поле host. На одном IP и порту может быть только один сертификат. Не вдуплили нетскейповцы, что вначале должен посылаться Client Hello c тегом, а только затем - Server Hello. Этот печальный факт означает что твоей DPI придется разбирать TLS намного меньше, чем должно бы. Посмотри на проблему немного под другим углом. Ведь TLS != HTTPS. Т.е. можно блочить достаточно широкий класс программ начиная ото всяких "анонимайзеров", заканчивая т.н. "SSL VPN". Ты предлагаешь всем пользователям-блондинкам отслеживать какие-то непонятные хэши?Нет, я предлагаю разработчикам соответствующих программ вести базу well-known сертификатов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 22 ноября, 2012 · Жалоба магистралы все равно блочат по ip :-D Ну, мы в Москве. Ретн, Андерсы и.т.п. вроде не блочат) По крайней мере руттрекер и луркмор у меня не пропадали из доступности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 22 ноября, 2012 · Жалоба По крайней мере руттрекер и луркмор у меня не пропадали из доступности. Рутрекера в выгрузке и небыло никогда. А лукоморье адрес поменяло еще до того, как массово заметить успели. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 22 ноября, 2012 · Жалоба Отладил работающее решение по блокировке на базе Linux ( на базе l7-filters ) , за разумные деньги готов установить на ваш сервер. Блокирует по URL или его частям, работает целиком в пространстве ядра ( быстро ). Поддержки https, загрузки списка с "электронной подписью" и.т.п. еще пока не реализовано. Пишите в личку. работает только inline? или на ассиметричном (аплинк онли) трафике тоже? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 22 ноября, 2012 · Жалоба На одном IP и порту может быть только один сертификат. не совсем верно... http://en.wikipedia.org/wiki/Server_Name_Indication Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 22 ноября, 2012 · Жалоба Просвяти, пожалуйста, КАК. С учетом наличия внешних серверов и необходимости сохранить клиентам их master/slave и DNSSEC. DPI есть - всё просто: заворачивайте все запросы только к заблокированным доменам на свой сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 22 ноября, 2012 · Жалоба Retn в принципе не блочит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KaraVan Опубликовано 22 ноября, 2012 · Жалоба А как проще всего BGP-speaker на линуксе организовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 22 ноября, 2012 · Жалоба А как проще всего BGP-speaker на линуксе организовать? quagga? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...