Arhat Опубликовано 9 сентября, 2014 · Жалоба столкнулся с проблемой блокировки https страничек. Когда блокирую, например https://somepage.ru/id111111'>https://somepage.ru/id111111 в блок попадает весь https://somepage.ru/ и уже недоступен https://somepage.ru/id111122. кто сталкивался с подобной проблемой, как вы ее решили. Сейчас не так уж и много https в черном списке, но кто его знает что будет в будущем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 9 сентября, 2014 · Жалоба В https можно блокировать только весь сайт целиком, т.к. запрашиваемый URI шифруется. Нормально это не решается, насколько знаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Arhat Опубликовано 15 сентября, 2014 · Жалоба да вот и наши инженеры так и не решили. Проблема в том, что сейчас http://vk.com в списке, но могут внести https://vk.com и тогда весь вконтакте придется закрыть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 15 сентября, 2014 · Жалоба но могут внести https://vk.com и тогда весь вконтакте придется закрыть Беспокоит именно ВКонтакте или вообще ситуация? Если первое, то не думаю, что такая ситуация возникнет и не решится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Arhat Опубликовано 18 сентября, 2014 · Жалоба сейчас конечно беспокоит непосредственно ситуация вообще. но время от времени задаюсь вопросом, а что будет если..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 сентября, 2014 · Жалоба Ну я все же надеюсь, что в РКН представляют, что случится, если в реестр добавят https://google.com или https://vk.com. Да и администрация этих ресурсов тоже представляет, а потому будут заинтересованы, чтобы убрать со своих ресурсов те страницы, которые не устраивают РКН. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 24 ноября, 2014 · Жалоба вопрос в тему - у кого какой DPI Скат, поставил и забыл.... Мечта ленивого админа... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 25 ноября, 2014 · Жалоба вопрос в тему - у кого какой DPI Скат, поставил и забыл.... Мечта ленивого админа... Где почитать подробней ? :) И сколько примерно обойдётся для 5-10 Gbit ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 ноября, 2014 · Жалоба Где почитать подробней ? http://shop.nag.ru/catalog/15596.Servisnye-SHlyuzy У меня стоит СКАТ-6 (с аппаратной начинкой на апгрейд до 10), менее проблемной железки у меня нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 25 ноября, 2014 · Жалоба Где почитать подробней ? http://shop.nag.ru/catalog/15596.Servisnye-SHlyuzy У меня стоит СКАТ-6 (с аппаратной начинкой на апгрейд до 10), менее проблемной железки у меня нет. Я это видел, вы объясните пожалуйста что подразумевает под собой "Лицензия на неисключительное право использования СКАТ-6 Base" Что входит в лицензию, только право использования или уже готовое ПО ? Я полагаю необходимо, например, такую железку - http://shop.nag.ru/catalog/14605.SKAT/15405.Komplekty/15340.SKAT-6-HW-Base-NAG и к ней еще лицензию ? Поэтому я и попросил подробностей... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 ноября, 2014 · Жалоба Да вроде бы все очевидно. Неисключительное право — это право использовать. Права на само ПО (исключительные права) никто вам не даст. Покупается сервер, на него устанавливается ПО и активируется лицензия. СКАТ-6-HW-Base-NAG — это готовое решение, сервер+софт+лицензия, который просто включается в разрыв. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 25 ноября, 2014 (изменено) · Жалоба Да вроде бы все очевидно. Неисключительное право — это право использовать. Права на само ПО (исключительные права) никто вам не даст. Покупается сервер, на него устанавливается ПО и активируется лицензия. СКАТ-6-HW-Base-NAG — это готовое решение, сервер+софт+лицензия, который просто включается в разрыв. Понятно, спасибо. Примерно так и думал, но мало ли... Ну а соотвественно подобрать конфиг сервера к этопу ПО если не покупать готовое HW-Base-NAG (например к СКАТ-20 Entry) уже поможет консультация с их сапортом ? ПО СКАТ-6 является самой операционной системой или отдельным пакетом к какому то UNIX\Linux дистрибутиву ? Например, мы смотрели в сторону carbon soft reductor там это решение является rpm пакетом на базе Linux маршрутизатора. А здесь как ? Изменено 25 ноября, 2014 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 ноября, 2014 · Жалоба СКАТ это отдельное ПО, работает на ОС Linux. Саппорт рекомендует CentOS. Сервер попутно можно нагрузить какими-нибудь мелкими задачами. Сами они сервера не продают, но могут подобрать подходящий сервер под задачи у IT-града. Если брать сервера через их партнеров, то они сами установят на сервер и настроят СКАТ, приедет готовый к работе сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 ноября, 2014 · Жалоба Ну а соотвественно подобрать конфиг сервера к этопу ПО если не покупать готовое HW-Base-NAG (например к СКАТ-20 Entry) уже поможет консультация с их сапортом ? ПО СКАТ-6 является самой операционной системой или отдельным пакетом к какому то UNIX\Linux дистрибутиву ? Например, мы смотрели в сторону carbon soft reductor там это решение является rpm пакетом на базе Linux маршрутизатора. А здесь как ? Саппорт у них вполне неплохой. Скат - это пакет. Требования к железу очень строгие. Можно попросить демо-железяку, но придется ждать. Мы купили сервер по их требованиям, они дистанционно поставили демо, после тестирования купим лицензию. И возможно не entry level. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 30 декабря, 2014 (изменено) · Жалоба У нас для блокировки стоит CarbonReductor (вот уж где меньше всего напрягов (скормил эцп и забыл), затрат и если уж сервер сдохнет - на сеть не повлияет) - все же скат имхо для полисинга, а не для такой плешивой задачи как ркн. Сейчас если добавят и генерацию netflow - то вообще сказочная софтина будет. Изменено 30 декабря, 2014 пользователем SyJet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 31 декабря, 2014 · Жалоба вот уж где меньше всего напрягов (скормил эцп и забыл) Вот как раз "скормил ЭЦП" меня бы напрягло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 31 декабря, 2014 · Жалоба вот уж где меньше всего напрягов (скормил эцп и забыл) Вот как раз "скормил ЭЦП" меня бы напрягло. Стоп, а что напрягает в данном случае - закинуть p12 в каталог? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 31 декабря, 2014 · Жалоба Напрягает давать закрытый ключ от квалифицированной ЭЦП неизвестно кому. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 31 декабря, 2014 · Жалоба Напрягает давать закрытый ключ от квалифицированной ЭЦП неизвестно кому. Своему серверу, но если уж вы параноик - то грузите свои реестры - вам никто не запрещает. А суппорту биллинг не напрягает давать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
junjunk2 Опубликовано 2 января, 2015 (изменено) · Жалоба Господа, а почему не рассматриваются такие простые open-source решения, как snort и suricata? Легкий допил позволяет на более-менее серьезном железе отрабатывать >2гбит/с зеркалированного трафика, причем не только на задачи РКН, но и вообще на анализ трафика в сети. А если решать только задачи по списку РКН - так и вообще можно реализовать блокировку на основе unidirectional трафика. Опять же, если рассматривать этическую сторону, то фактически задача для операторов состоит в том, чтобы заблокировать ресурсы для проверки РКН. Судя по опыту, в РКН используется своя софтина для проверки списка, использующая стандартную виндовую библиотеку WinInet, которая однозначно не делает дополнительной фрагментации запросов к серверу, соответственно полностью восстанавливать HTTP сессию смысла не имеет... У меня сейчас довольно сильно переписанная suricata 1.4.7 справляется с ~500Mbits, 700Kpps исходящего трафика на 80 порт на железе 2 х Intel® Xeon® CPU 5150 @ 2.66GHz (всего 4 ядра) на сетевухе Broadcom BCM5708S (PCI-X) даже без PF_RING. И в случае срабатывания правила - делает редирект, а не просто дропает соединение. Соответственно не вижу смысла покупать СКАТ и т.п. вещи с очень сильным железом только ради задачи закрытия ресурсов для РКН. Изменено 2 января, 2015 пользователем junjunk2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 3 января, 2015 · Жалоба Господа, а почему не рассматриваются такие простые open-source решения, как snort и suricata? Легкий допил позволяет на более-менее серьезном железе отрабатывать >2гбит/с зеркалированного трафика, причем не только на задачи РКН, но и вообще на анализ трафика в сети. А если решать только задачи по списку РКН - так и вообще можно реализовать блокировку на основе unidirectional трафика. Опять же, если рассматривать этическую сторону, то фактически задача для операторов состоит в том, чтобы заблокировать ресурсы для проверки РКН. Судя по опыту, в РКН используется своя софтина для проверки списка, использующая стандартную виндовую библиотеку WinInet, которая однозначно не делает дополнительной фрагментации запросов к серверу, соответственно полностью восстанавливать HTTP сессию смысла не имеет... У меня сейчас довольно сильно переписанная suricata 1.4.7 справляется с ~500Mbits, 700Kpps исходящего трафика на 80 порт на железе 2 х Intel® Xeon® CPU 5150 @ 2.66GHz (всего 4 ядра) на сетевухе Broadcom BCM5708S (PCI-X) даже без PF_RING. И в случае срабатывания правила - делает редирект, а не просто дропает соединение. Соответственно не вижу смысла покупать СКАТ и т.п. вещи с очень сильным железом только ради задачи закрытия ресурсов для РКН. Кому как проще. В теме уже с десяток копеечных решений с блек-джеком и редиректами :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tracert Опубликовано 3 января, 2015 · Жалоба Парни, начал разбираться с реестром, на носу проверка, скорее всего именно фильтрацию и будут проверять. Вопрос, получил список, в нем 3 поля IP, URL и домен, получаю по доменной записи порядка 2200 IP адресов. То, что присылает РоскоМнадзор в поле IP, не актуально больше чем на половину, после того как прошелся по доменам с резолвом, к моему списку добавляется еще 1300 фактически лишних ip РосКомНадзора, есть сайты типа blog-imgs-63.fc2.com они при резолве каждый раз выдают десяток новых адресов. Задача простая запихать в ipset список интересующих IP и затем перенаправлять запросы на Squid для подробного разбора, но в итоге не понимаю надо ли что-то, кроме URL брать в расчет из этого долбаного списка. Нахрена они дают IP если он не актуален вовсе. Смотрю фильтры аплинков, пропускают много, с другой стороны lostfilm.tv закрыт полностью, хотя в списке только один URL какой-то. Не понимаю. Что означают поля isdel к примеру. Вообще бред, вместо решения своих проблем, имея СОРМ на всех сетях связи, уже давно могли бы поименно переписать и поставить на учет всех, кто регулярно ходит на сайты с детской порнухой, и посадить тех кто туда по SSH ходит. Нет, вместо этого шторкой задергнули, и как бы проблема решена. Народ в Тор повалил, скоро очень захотят найти кто сказал что губернатор - лох, а не смогут ведь, сами себя загоняют. Вообще горизонт планирования отсутствует. И все затраты на СОРМ впустую... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 3 января, 2015 · Жалоба Не нужно заниматься самодеятельностью. Если в реестре указан домен или ссылка, то именно и их нужно блокировать, а не ресолвить IP-адрес. СОРМ для других задач. Он не блокирует трафик, а осуществляет перехват трафика по заданным критериям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 3 января, 2015 · Жалоба Не нужно заниматься самодеятельностью. Если в реестре указан домен или ссылка, то именно и их нужно блокировать, а не ресолвить IP-адрес. СОРМ для других задач. Он не блокирует трафик, а осуществляет перехват трафика по заданным критериям. Нужно резолвить. Остальное расскажите при проверке Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 3 января, 2015 · Жалоба Для https Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...