1. Для блокировка используем

[Arhat]

столкнулся с проблемой блокировки https страничек. Когда блокирую, например https://somepage.ru/id111111'>https://somepage.ru/id111111 в блок попадает весь https://somepage.ru/ и уже недоступен https://somepage.ru/id111122.

кто сталкивался с подобной проблемой, как вы ее решили. Сейчас не так уж и много https в черном списке, но кто его знает что будет в будущем.

[alibek]

В https можно блокировать только весь сайт целиком, т.к. запрашиваемый URI шифруется.

Нормально это не решается, насколько знаю.

[Arhat]

да вот и наши инженеры так и не решили. Проблема в том, что сейчас http://vk.com в списке, но могут внести https://vk.com и тогда весь вконтакте придется закрыть

[alibek]

но могут внести https://vk.com и тогда весь вконтакте придется закрыть

Беспокоит именно ВКонтакте или вообще ситуация?

Если первое, то не думаю, что такая ситуация возникнет и не решится.

[Arhat]

сейчас конечно беспокоит непосредственно ситуация вообще.

но время от времени задаюсь вопросом, а что будет если.....

[alibek]

Ну я все же надеюсь, что в РКН представляют, что случится, если в реестр добавят https://google.com или https://vk.com.

Да и администрация этих ресурсов тоже представляет, а потому будут заинтересованы, чтобы убрать со своих ресурсов те страницы, которые не устраивают РКН.

[YuryD]

вопрос в тему - у кого какой DPI

Скат, поставил и забыл.... Мечта ленивого админа...

[hsvt]

вопрос в тему - у кого какой DPI

Скат, поставил и забыл.... Мечта ленивого админа...

 

Где почитать подробней ? :) И сколько примерно обойдётся для 5-10 Gbit ?

[alibek]

Где почитать подробней ?

http://shop.nag.ru/catalog/15596.Servisnye-SHlyuzy

У меня стоит СКАТ-6 (с аппаратной начинкой на апгрейд до 10), менее проблемной железки у меня нет.

[hsvt]

Где почитать подробней ?

http://shop.nag.ru/catalog/15596.Servisnye-SHlyuzy

У меня стоит СКАТ-6 (с аппаратной начинкой на апгрейд до 10), менее проблемной железки у меня нет.

 

Я это видел, вы объясните пожалуйста что подразумевает под собой "Лицензия на неисключительное право использования СКАТ-6 Base" Что входит в лицензию, только право использования или уже готовое ПО ? Я полагаю необходимо, например, такую железку - http://shop.nag.ru/catalog/14605.SKAT/15405.Komplekty/15340.SKAT-6-HW-Base-NAG и к ней еще лицензию ? Поэтому я и попросил подробностей...

[alibek]

Да вроде бы все очевидно.

Неисключительное право — это право использовать. Права на само ПО (исключительные права) никто вам не даст.

Покупается сервер, на него устанавливается ПО и активируется лицензия.

СКАТ-6-HW-Base-NAG — это готовое решение, сервер+софт+лицензия, который просто включается в разрыв.

[hsvt]

Да вроде бы все очевидно.

Неисключительное право — это право использовать. Права на само ПО (исключительные права) никто вам не даст.

Покупается сервер, на него устанавливается ПО и активируется лицензия.

СКАТ-6-HW-Base-NAG — это готовое решение, сервер+софт+лицензия, который просто включается в разрыв.

 

Понятно, спасибо. Примерно так и думал, но мало ли... Ну а соотвественно подобрать конфиг сервера к этопу ПО если не покупать готовое HW-Base-NAG (например к СКАТ-20 Entry) уже поможет консультация с их сапортом ? ПО СКАТ-6 является самой операционной системой или отдельным пакетом к какому то UNIX\Linux дистрибутиву ? Например, мы смотрели в сторону carbon soft reductor там это решение является rpm пакетом на базе Linux маршрутизатора. А здесь как ?

Изменено 25 ноября, 2014 пользователем hsvt

[alibek]

СКАТ это отдельное ПО, работает на ОС Linux. Саппорт рекомендует CentOS. Сервер попутно можно нагрузить какими-нибудь мелкими задачами.

Сами они сервера не продают, но могут подобрать подходящий сервер под задачи у IT-града.

Если брать сервера через их партнеров, то они сами установят на сервер и настроят СКАТ, приедет готовый к работе сервер.

[YuryD]

Ну а соотвественно подобрать конфиг сервера к этопу ПО если не покупать готовое HW-Base-NAG (например к СКАТ-20 Entry) уже поможет консультация с их сапортом ? ПО СКАТ-6 является самой операционной системой или отдельным пакетом к какому то UNIX\Linux дистрибутиву ? Например, мы смотрели в сторону carbon soft reductor там это решение является rpm пакетом на базе Linux маршрутизатора. А здесь как ?

 

Саппорт у них вполне неплохой. Скат - это пакет. Требования к железу очень строгие. Можно попросить демо-железяку, но придется ждать. Мы купили сервер по их требованиям, они дистанционно поставили демо, после тестирования купим лицензию. И возможно не entry level.

[SyJet]

У нас для блокировки стоит CarbonReductor (вот уж где меньше всего напрягов (скормил эцп и забыл), затрат и если уж сервер сдохнет - на сеть не повлияет) - все же скат имхо для полисинга, а не для такой плешивой задачи как ркн.

Сейчас если добавят и генерацию netflow - то вообще сказочная софтина будет.

Изменено 30 декабря, 2014 пользователем SyJet

[alibek]

вот уж где меньше всего напрягов (скормил эцп и забыл)

Вот как раз "скормил ЭЦП" меня бы напрягло.

[SyJet]

вот уж где меньше всего напрягов (скормил эцп и забыл)

Вот как раз "скормил ЭЦП" меня бы напрягло.

Стоп, а что напрягает в данном случае - закинуть p12 в каталог?

[alibek]

Напрягает давать закрытый ключ от квалифицированной ЭЦП неизвестно кому.

[SyJet]

Напрягает давать закрытый ключ от квалифицированной ЭЦП неизвестно кому.

Своему серверу, но если уж вы параноик - то грузите свои реестры - вам никто не запрещает.

А суппорту биллинг не напрягает давать?

[junjunk2]

Господа, а почему не рассматриваются такие простые open-source решения, как snort и suricata?

Легкий допил позволяет на более-менее серьезном железе отрабатывать >2гбит/с зеркалированного трафика, причем не только на задачи РКН, но и вообще на анализ трафика в сети.

А если решать только задачи по списку РКН - так и вообще можно реализовать блокировку на основе unidirectional трафика. Опять же, если рассматривать этическую сторону, то фактически задача для операторов состоит в том, чтобы заблокировать ресурсы для проверки РКН. Судя по опыту, в РКН используется своя софтина для проверки списка, использующая стандартную виндовую библиотеку WinInet, которая однозначно не делает дополнительной фрагментации запросов к серверу, соответственно полностью восстанавливать HTTP сессию смысла не имеет...

У меня сейчас довольно сильно переписанная suricata 1.4.7 справляется с ~500Mbits, 700Kpps исходящего трафика на 80 порт на железе 2 х Intel® Xeon® CPU 5150 @ 2.66GHz (всего 4 ядра) на сетевухе Broadcom BCM5708S (PCI-X) даже без PF_RING. И в случае срабатывания правила - делает редирект, а не просто дропает соединение.

Соответственно не вижу смысла покупать СКАТ и т.п. вещи с очень сильным железом только ради задачи закрытия ресурсов для РКН.

Изменено 2 января, 2015 пользователем junjunk2

[Wingman]

Господа, а почему не рассматриваются такие простые open-source решения, как snort и suricata?

Легкий допил позволяет на более-менее серьезном железе отрабатывать >2гбит/с зеркалированного трафика, причем не только на задачи РКН, но и вообще на анализ трафика в сети.

А если решать только задачи по списку РКН - так и вообще можно реализовать блокировку на основе unidirectional трафика. Опять же, если рассматривать этическую сторону, то фактически задача для операторов состоит в том, чтобы заблокировать ресурсы для проверки РКН. Судя по опыту, в РКН используется своя софтина для проверки списка, использующая стандартную виндовую библиотеку WinInet, которая однозначно не делает дополнительной фрагментации запросов к серверу, соответственно полностью восстанавливать HTTP сессию смысла не имеет...

У меня сейчас довольно сильно переписанная suricata 1.4.7 справляется с ~500Mbits, 700Kpps исходящего трафика на 80 порт на железе 2 х Intel® Xeon® CPU 5150 @ 2.66GHz (всего 4 ядра) на сетевухе Broadcom BCM5708S (PCI-X) даже без PF_RING. И в случае срабатывания правила - делает редирект, а не просто дропает соединение.

Соответственно не вижу смысла покупать СКАТ и т.п. вещи с очень сильным железом только ради задачи закрытия ресурсов для РКН.

 

Кому как проще. В теме уже с десяток копеечных решений с блек-джеком и редиректами :)

[Tracert]

Парни, начал разбираться с реестром, на носу проверка, скорее всего именно фильтрацию и будут проверять. Вопрос, получил список, в нем 3 поля IP, URL и домен, получаю по доменной записи порядка 2200 IP адресов. То, что присылает РоскоМнадзор в поле IP, не актуально больше чем на половину, после того как прошелся по доменам с резолвом, к моему списку добавляется еще 1300 фактически лишних ip РосКомНадзора, есть сайты типа blog-imgs-63.fc2.com они при резолве каждый раз выдают десяток новых адресов.

 

Задача простая запихать в ipset список интересующих IP и затем перенаправлять запросы на Squid для подробного разбора, но в итоге не понимаю надо ли что-то, кроме URL брать в расчет из этого долбаного списка. Нахрена они дают IP если он не актуален вовсе. Смотрю фильтры аплинков, пропускают много, с другой стороны lostfilm.tv закрыт полностью, хотя в списке только один URL какой-то. Не понимаю. Что означают поля isdel к примеру.

 

Вообще бред, вместо решения своих проблем, имея СОРМ на всех сетях связи, уже давно могли бы поименно переписать и поставить на учет всех, кто регулярно ходит на сайты с детской порнухой, и посадить тех кто туда по SSH ходит. Нет, вместо этого шторкой задергнули, и как бы проблема решена. Народ в Тор повалил, скоро очень захотят найти кто сказал что губернатор - лох, а не смогут ведь, сами себя загоняют. Вообще горизонт планирования отсутствует. И все затраты на СОРМ впустую...

[alibek]

Не нужно заниматься самодеятельностью.

Если в реестре указан домен или ссылка, то именно и их нужно блокировать, а не ресолвить IP-адрес.

СОРМ для других задач. Он не блокирует трафик, а осуществляет перехват трафика по заданным критериям.

[SyJet]

Не нужно заниматься самодеятельностью.

Если в реестре указан домен или ссылка, то именно и их нужно блокировать, а не ресолвить IP-адрес.

СОРМ для других задач. Он не блокирует трафик, а осуществляет перехват трафика по заданным критериям.

Нужно резолвить. Остальное расскажите при проверке

[SyJet]

Для https