1. Для блокировка используем

[myth]

Добавил в заглушку немного php. Достает id из таблицы zap2_settings и выдает что-то вроде <embed hidden=true 21ddda7c9274645282f9ec5e4660154 </embed>

 

Надеюсь, это устроит господ?

[Antares]

8 часов назад, myth сказал:

Не очень понятен 8 пункт

 

 

 

В какое место странице, с какими тегами его вставлять? Меняется ли этот код от выгрузки к выгрузке?

 

Можно ли как-то использовать этот код для доставления хлопот оператору?

Так вроде ни где не сказано, чтобы его в заглушку пихать.

[myth]

Цитата

2. Информация, указанная в пункте 1 настоящих требований, должна размещаться на созданной в информационно-телекоммуникационной сети, в том числе в сети «Интернет», странице оператора связи или оператора связи, к которому осуществлено присоединение сети связи, или лица, предоставляющего оператору связи программы для электронно-вычислительных машин и (или) програаммно-аппаратные комплексы, позволяющие осуществлять анализ и фильтрацию трафика в сетях связи операторов связи  (далее – статическая страница), в формате HTML, без алгоритмов            динамического формирования кода страницы, размером не более 10 Кб. На статической странице также должен размещаться уникальный код (идентификатор), присваиваемый в соответствии с пунктом 8 требований к способам (методам) ограничения доступа к информационным ресурсам, утвержденным настоящим приказом.

 

[Antares]

16 минут назад, myth сказал:

в формате HTML, без алгоритмов  динамического формирования кода страницы

А каждый раз то код будет меняться...неувязочка

[arhead]

Вот бы взяли и сами сделали универсальную страницу блокировки и сказали вот образец делайте под свой вкус и цвет. Непонятно как еще Ревизор на это посмотрит, пропусков как нафигачит. Сейчас просто переадресация на сервер где фильтр но там только есть доменное имя а http серверов ни каких не стоит.

[Antares]

Вообще ничего менять не буду. Пока оставлю как есть. Будут вопросы, будем решать.

[oleg_n]

Да это не документ, а сплошное задание на квест. Не понятно как можно все пункты выполнить, что бы не вляпаться:

 

Quote

5. При наличии в записи выгрузки информации о доменном имени и при отсутствии информации об указателе страницы сайта в сети «Интернет», операторы связи осуществляют ограничение доступа ко всему информационному ресурсу по всем сетевым протоколам.

  Как это сделать без разрешения имён?..

 

Quote

1. При обращении пользователя к информационным ресурсам, доступ к которым ограничен на основании Федерального закона от 27.06.2006 № 149-ФЗ оператором связи должно размещаться информационное сообщение «Доступ к информационному ресурсу ограничен на основании Федерального закона «Об информации, информационных технологиях и о защите информации».

  Как это будет работать для не http-ресурсов?.. Которых сейчас в реестре 60%.

 

Изменено 21 марта, 2018 пользователем oleg_n

[myth]

12 минут назад, oleg_n сказал:

Как это сделать без разрешения имён?..

http/https - без проблем. Другое то все равно не проверяют

 

13 минут назад, oleg_n сказал:

Как это будет работать для не http-ресурсов?

или митм, или никак. Опять же, ревизор устраивает все, кроме 200 кода

[alibek]

Ну как сказать.

В реестре есть FTP, а при проверках ресурсы иногда пингуют.

А доменное имя в этих протоколах не предусмотрено.

На практике это скорее всего не вылезет, но в любом случае в безмозглости законодателей хорошего мало.

[oleg_n]

18 minutes ago, myth said:

http/https - без проблем.

  При чём здесь http(s)? Написано же ясно:

 

Quote

операторы связи осуществляют ограничение доступа ко всему информационному ресурсу по всем сетевым протоколам.

  Без разрешения имён это сделать нереально. А разрешать нельзя, т.к. можно заблочить сайты не из реестра.

 

18 minutes ago, myth said:

Другое то все равно не проверяют

Хех :-). _Пока_ не проверяют. Есть приказ - остальное дело времени.

 

18 minutes ago, myth said:

29 minutes ago, oleg_n said:

Как это будет работать для не http-ресурсов?

или митм, или никак.

МИТМ работать не будет в современных браузерах для https. Про что-то кроме http(s) я, вообще, молчу. Как мы будем эту html-страничку запихивать в ftp или torrent?..

 

P.S. Нашёл реестр старый за июль 2017. Там 60% http uri.

Изменено 21 марта, 2018 пользователем oleg_n

[myth]

В случае FTP тоже не особо страшно, т.к все открытым текстом передается. Остальное проверить не реально, имхо. Ну, впрочем, на своем днс фильтрую тоже.

[oleg_n]

У кого-нибудь сохранились реестры за сентябрь, октябрь, ноябрь, декабрь, январь?

[admf]

1 минуту назад, oleg_n сказал:

У кого-нибудь сохранились реестры за сентябрь, октябрь, ноябрь, декабрь, январь?

все надо?

[oleg_n]

12 minutes ago, myth said:

В случае FTP тоже не особо страшно, т.к все открытым текстом передается.

Отлично. И где в нём мы домен возьмём: rfc959 ? Плюс есть такая штука как ftps, хотя, и без ftps домена взять негде в ftp.

 

7 minutes ago, admf said:

все надо?

По одному за месяц. В районе 10-х чисел.

Если сохранились реестры раньше 2017.07, то был бы за них благодарен, если не напряжно.

Изменено 21 марта, 2018 пользователем oleg_n

[myth]

7 минут назад, oleg_n сказал:

Отлично. И где в нём мы домен возьмём:

Хотя да, туплю чето.

[oleg_n]

21 minutes ago, admf said:

все надо?

 

19 minutes ago, oleg_n said:

В районе 10-х чисел.

Удобней даже если на 1-10 число. Т.е. по одному реестру из месяца на любое из чисел в дипазоне 1-10.

[myth]

Как вариант, брать ip из дампа у таких записей и в null заворачивать

[alibek]

Самое разумное — блокировать по хосту в тех протоколах, где это применимо (http/https).

И дополнительно не ресолвить запрещенные домены на своем DNS-сервере.

Опционально — на DPI блокировать DNS-запросы к запрещенным доменам, но это уже самодеятельность.

[alexwin]

13 часов назад, a290 сказал:

Можно DNS запросы с помощью DPI фильтровать. При попытке резолва запрещенного домена - дропать пакет с запросом и возвращать NXDOMAIN.

 

 

Главное,чтобы они не из под dnssec были.

[myth]

2 минуты назад, alibek сказал:

на DPI блокировать DNS-запросы к запрещенным доменам

на Extfilter, я думаю, такое вполне можно сделать

[alibek]

5 минут назад, myth сказал:

Как вариант, брать ip из дампа у таких записей и в null заворачивать

Не советую.

 

Только что, myth сказал:

на Extfilter, я думаю, такое вполне можно сделать

Разумеется возможно. Но не уверен, что такое следует делать.

По крайней мере пока такое явно не будет прописано в НПА или требованиях РКН.

Кроме того, с распространением шифрованного DNS это станет невозможно.

[myth]

без резолва, разумеется

[a290]

3 минуты назад, alexwin сказал:

Главное,чтобы они не из под dnssec были.

Насколько я знаю, в DNSSEC сам запрос не шифруется, а значит его можно просто дропнуть.

[myth]

Или испортить запрос/ответ

[alibek]

2 минуты назад, a290 сказал:

Насколько я знаю, в DNSSEC сам запрос не шифруется, а значит его можно просто дропнуть.

Да, только подписывается.

Поэтому подменить нельзя, но дропнуть можно.

Однако на подходе DNSCrypt.