1. Для блокировка используем

[oleg_n]

20 minutes ago, myth said:

Как вариант, брать ip из дампа у таких записей и в null заворачивать

  Это должно быть легально, но неправильно с точки зрения возможности блокировки нормальных ресурсов по ip.

[alexwin]

9 минут назад, a290 сказал:

Насколько я знаю, в DNSSEC сам запрос не шифруется, а значит его можно просто дропнуть.

Да,действительно.

[myth]

Но если за такую неблокировку начнут выписывать штрафы, то выбора не останется...

[oleg_n]

17 minutes ago, alibek said:

Самое разумное — блокировать по хосту в тех протоколах, где это применимо (http/https).

И дополнительно не ресолвить запрещенные домены на своем DNS-сервере.

Опционально — на DPI блокировать DNS-запросы к запрещенным доменам, но это уже самодеятельность.

Мы, например, сейчас так и делаем(http(s) + фильтрация dns-запросов для заблокированных доменов). И почему самодеятельность? Блокировать дополнительно dns-запросы это единственный способ максимально соответствовать требованиям РКН. К тому же в последнем приказе, который сейчас обсуждаем, это явно прописано.

[myth]

А отвечаете как? Резолвите в IP заглушки, или как-то еще?

[oleg_n]

18 minutes ago, alibek said:

Кроме того, с распространением шифрованного DNS это станет невозможно.

Шифрованный это как? Если имеется ввиду DNSSEC, то это только аутентификация данных(подпись ответа сервера самим сервером) - там ничего не шифруется, ни запрос, ни ответ. Поэтому подход с простым дропом запросов(без всяких NXDOMAIN) работает на ура.

[dee]

граждане , вы вообще видели как работает коробочка то ? 

ты хоть запретите ей любые dns  она всё равно по своим всё будет проверять и пофиг на ваши . вот все что то затревожились 

[oleg_n]

6 minutes ago, myth said:

А отвечаете как? Резолвите в IP заглушки, или как-то еще?

На dns-запросы? dns-запросы пока просто дропаем и всё. Нефиг с ними церемониться :-). Да и смысла нет делать для dns-запросов заглушки, если это https-запрос - современный браузер ничего не покажет пользователю всё равно.

 

3 minutes ago, dee said:

граждане , вы вообще видели как работает коробочка то ? 

ты хоть запретите ей любые dns  она всё равно по своим всё будет проверять и пофиг на ваши . вот все что то затревожились 

Коробочка это Ревизор?

Изменено 21 марта, 2018 пользователем oleg_n

[a290]

Только что, oleg_n сказал:

На dns-запросы? dns-запросы пока просто дропаем и всё. Нефиг с ними церемониться :-). Да и смысла нет делать для dns-запросов заглушки, если это https-запрос - современный браузер ничего не покажет пользователю всё равно.

Некоторые резолверы при дропе запроса начинают тупить - на минуту-две перестают резолвить любые домены. Поэтому nxdomain сделали.

[myth]

На случай помирания нашего днс мы выдаем альтернативным 8.8.8.8. Нам такое не подойдет

 

6 минут назад, oleg_n сказал:

если это https-запрос - современный браузер ничего не покажет пользователю всё равно.

Нас то не браузер интересует, а доволен ли ревизор...

[oleg_n]

4 minutes ago, a290 said:

Некоторые резолверы при дропе запроса начинают тупить - на минуту-две перестают резолвить любые домены. Поэтому nxdomain сделали.

Это их проблемы. Их же не расстреливают на месте, а просто 2 минуты тупит программа. NXDOMAIN, ЕМНИП, не будет работать с dnssec.

[a290]

1 минуту назад, myth сказал:

На случай помирания нашего днс мы выдаем альтернативным 8.8.8.8. Нам такое не подойдет

Почему? В DPI заворачивается весь исходящий от абонентов UDP 53 - хоть на свои DNS, хоть на 8.8.8.8.

[oleg_n]

5 minutes ago, myth said:

На случай помирания нашего днс мы выдаем альтернативным 8.8.8.8. Нам такое не подойдет

Не подойдёт что? Мы фильтруем _транзитный_ dns-трафик. Не важно к нашему dns он идёт или ещё куда.

[alexwin]

Кстати,я выше поднимал эту тему (про dns-spoofing) и автор ответил.

[myth]

в extfilter такой функционал был бы не лишним, имхо

[oleg_n]

26 minutes ago, alibek said:

Однако на подходе DNSCrypt.

Почитал про DNSCrypt. Не думаю, что в обозримом будущем это будет проблемой. Это не расширение dns-протокола, нужна установка на клиенте утилиты и мало dnscrypt-серверов пока.

Когда это станет проблемой, думаю, РКН просто будет требовать блокировки DNSCrypt-серверов занесением их ip в реестр. В общем, преувеличены опасения относительно DNSCrypt.

 

Пока браузеры это не будут делать сами(типа Яндекс-браузера :-)), проблем с DNSCrypt не будет.

[alexwin]

7 минут назад, myth сказал:

в extfilter такой функционал был бы не лишним, имхо

+1

[admf]

1 час назад, oleg_n сказал:

 

Удобней даже если на 1-10 число. Т.е. по одному реестру из месяца на любое из чисел в дипазоне 1-10.

https://yadi.sk/d/WwO1agjA3Tbr9M

[LynxChaus]

1 hour ago, a290 said:

Некоторые резолверы при дропе запроса начинают тупить - на минуту-две перестают резолвить любые домены.

Не некоторые, а виндовые. Называй вещи своими именами.

 

51 minutes ago, oleg_n said:

Пока браузеры это не будут делать сами(типа Яндекс-браузера :-)), проблем с DNSCrypt не будет.

Браузер резолвингом сам не занимается, для это есть встроенный в систему/роутер резолвер. Как только появится DNS-over-TLS в роутерах - тогда и начнется. Ну или в винде выкатят всем поддержку (во что я не верю).

 

[oleg_n]

4 minutes ago, LynxChaus said:

Браузер резолвингом сам не занимается, для это есть встроенный в систему/роутер резолвер.

И кто ему это запрещает делать? Браузерная полиция :-)? Это добровольное решение браузера передавать данную функцию ОС. Если браузеры так же бодро, как с блокированием самоподписных сертификатов, решат всей толпой внедрять DNSCrypt, то они это сделают без проблем.

 

https://yandex.ru/support/browser-classic/security/dnscrypt.xml

 

[alexwin]

5 минут назад, oleg_n сказал:

сли браузеры так же бодро, как с блокированием самоподписных сертификатов, решат всей толпой внедрять DNSCrypt

Тут надо чтобы еще администраторы зон стали бодро внедрять его поддержку.

[oleg_n]

4 minutes ago, alexwin said:

Тут надо чтобы еще администраторы зон стали бодро внедрять его поддержку.

:-)

Я Вас умоляю. Достаточно гуглу сделать свои серверы dnscrypt(помоему они уже есть) и внедрить dnscrypt в chrome и этого будет достаточно.

[alexwin]

Да,кстати,а как у DNSCrypt с маскировкой от DPI? Сигнатуры есть? А если найду? ;)

[oleg_n]

35 minutes ago, admf said:

https://yadi.sk/d/WwO1agjA3Tbr9M

Спасибо!

Файл за 2018.01 оказался обрезанным. Есть ещё за 2017.01 - 2017.06?

Такой график убывания доли http в реестре получается:

 

 

Такими темпами через год кол-во http-ресурсов в реестре будет стремится к 0%. Вопрос, ***а тратить ресурсы на:

 

Quote

1. При обращении пользователя к информационным ресурсам, доступ к которым ограничен на основании Федерального закона от 27.06.2006 № 149-ФЗ оператором связи должно размещаться информационное сообщение «Доступ к информационному ресурсу ограничен на основании Федерального закона «Об информации, информационных технологиях и о защите информации».

 

Изменено 21 марта, 2018 пользователем oleg_n

[LynxChaus]

11 minutes ago, oleg_n said:

И кто ему это запрещает делать? Браузерная полиция

Ага. Особенно в том месте, где надо разрезолвить server.localdomain.corp.

Ну и "стринги" в народе не популярны, и предлагают опять-же свой сервер. А я вот не хочу пользоваться ихним сервером - что мне делать? И браузером тоже.

Just now, alexwin said:

DNSCrypt с маскировкой от DPI? Сигнатуры есть?

ntop умеет. значит - есть.