admf Опубликовано 21 марта, 2018 · Жалоба Только что, oleg_n сказал: Спасибо! Файл за 2018.01 оказался обрезанным. Есть ещё за 2017.01 - 2017.06? Такой график убывания доли http в реестре получается: есть все начиная с 2014 года, сейчас перекачаю с сервера, залью по новой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LynxChaus Опубликовано 21 марта, 2018 (изменено) · Жалоба 8 minutes ago, oleg_n said: Такими темпами через год кол-во http-ресурсов в реестре будет стремится к 0%. К этому всё сразу и шло. И в 12 году было понятно, что всё плавно переедет под https/tor/даркнет, а у провайдера останется крутейший фильтр от аффилированной конторы за дохреллион бабла. 8 minutes ago, oleg_n said: Вопрос, ***а тратить ресурсы на: Для волшебной коробки. Чтоб отчеты были красивые. Изменено 21 марта, 2018 пользователем LynxChaus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба 5 minutes ago, LynxChaus said: Ага. Особенно в том месте, где надо разрезолвить server.localdomain.corp. Это легко можно решить как с настройкой прокси в браузерах. По-умолчанию, dnscrypt включен для всех сайтов. Если надо, добавляете домен/маску_домена в исключения. Для организаций этого хватит. Я не говорю, что так и будет, я говорю, что если google и прочие этого захотят, то сделают. Сколько было воплей от обладателей самоподписных сертификатов, когда браузеры вдруг разом перестали пускать на сайты с ними и что? 7 minutes ago, LynxChaus said: А я вот не хочу пользоваться ихним сервером - что мне делать? Ради бога. Возможно будет флажок, отключающий это. Но по-умолчанию он будет снят :-). 8 minutes ago, LynxChaus said: И браузером тоже. Это хорошо. Но большинство пользует chrome/firefox/ie/safari. И если туда добавят что-то, то это будет у всех почти. 6 minutes ago, LynxChaus said: 15 minutes ago, oleg_n said: Такими темпами через год кол-во http-ресурсов в реестре будет стремится к 0%. К этому всё сразу и шло. И в 12 году было понятно, что всё плавно переедет под https/tor/даркнет, а у провайдера останется крутейший фильтр от аффилированной конторы за дохреллион бабла. В 12 не думаю. А вот когда браузеры поубирали работу с самоподписными сертификатами, плюс google обещал отдавать приоритет https-сайтам, плюс подъехали как бы случайно letencrypt, тогда и стало очевидно что будет дальше :-). Я мож маньячу, но как-то это странно совпало с внедрением фильтрации по РКН-реестрам и выглядит как ответный ход :-). Но, это я, наверное, надумал :-). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 21 марта, 2018 (изменено) · Жалоба 34 minutes ago, oleg_n said: Достаточно гуглу сделать свои серверы dnscrypt(помоему они уже есть) и внедрить dnscrypt в chrome и этого будет достаточно. Насчёт DNSCrypt у гугла пока вроде бы не слышно, у гугла будет DNS over HTTPS. И уже есть. https://developers.google.com/speed/public-dns/docs/dns-over-https https://groups.google.com/forum/#!topic/public-dns-announce/p2iYauFuzIg Это называется доигрались доперехватывались DNS, гугл сказал так, на*уй хватит. В Firefox уже выкатывают, ну не без перегибов на местах: http://www.opennet.ru/opennews/art.shtml?num=48303 Изменено 21 марта, 2018 пользователем rm_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LynxChaus Опубликовано 21 марта, 2018 · Жалоба 6 minutes ago, oleg_n said: Это легко можно решить как с настройкой прокси в браузерах. По-умолчанию, dnscrypt включен для всех сайтов. Если надо, добавляете домен/маску_домена в исключения. Для организаций этого хватит. Для организаций у который больше 3х компьютеров - проще настроить DNSCrypt в одном роутере. У которых тысячи - в сервере торчащем наружу. Плясать с GPO вокруг настроек разнообразных изделий на основе хромиума и подобных - бесперспективняк. Вот пресс-релиз https://rkn.gov.ru/press/publications/news55998.htm гораздо более занятный. Вангую увеличение записей с blocktype=ip в ближайшие недели. Будет как с балкберри. Только вот куда побегут все гос-органы сидящие на этом-же телеграмме... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 марта, 2018 · Жалоба 10 минут назад, LynxChaus сказал: Только вот куда побегут все гос-органы сидящие на этом-же телеграмме... А что они к нему прибиты гвоздями? Куда скажут,туда и перебегут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kolunchik Опубликовано 21 марта, 2018 · Жалоба Разработчики Mozilla намерены провести в ночных сборках Firefox тестирование нового резолвера TTR (Trusted Recursive Resolver), предоставляющего возможность отправки DNS-запросов поверх HTTPS (DoH, DNS over HTTPS). Тестирование планируют провести в режиме opt-out (по умолчанию включено, но пользователь может выключить). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 марта, 2018 (изменено) · Жалоба 39 минут назад, LynxChaus сказал: Для волшебной коробки. Чтоб отчеты были красивые Да,имитация бурной деятельности давно уже стала стилем работы на всех уровнях. 43 минуты назад, LynxChaus сказал: ntop умеет. значит - есть. Тогда можно расслабляться. Пока. Цитата Существуют два теоретических способа блокировки интернет- и мобильных сервисов, рассказывает сотрудник сотового оператора. Первый – блокировать конкретные IP-адреса сервисов, что может быть затруднительно, если у сервиса их много или он способен их быстро менять. Второй – с помощью оборудования DPI (Deep packet inspection), которое способно вычленять отдельные сервисы во всем массиве трафика и снижать пропускную способность канала для этих сервисов, продолжает собеседник «Ведомостей». Но как это может выглядеть на практике – не известно: подобного тестирования не проводилось, отмечает он. Я тут ранее приводил документик 2012 года с описанием того,как китайский файерволл блочит тор. Работает в кратце это так: dpi выявляет сигнатуры тор-трафика (коннект к бриджу),потом на его дестинейшн аддресс набегают боты (мимикрирующие под тор-клиенты) и пытаются законектиться.Если бридж ответил,его айпишник попадает в бан. Лечение: обфускация трафика тор-клиента,чтобы наипать dpi (obfsproxy). Изменено 21 марта, 2018 пользователем alexwin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба 8 minutes ago, Kolunchik said: Разработчики Mozilla намерены провести в ночных сборках Firefox тестирование нового резолвера TTR (Trusted Recursive Resolver), предоставляющего возможность отправки DNS-запросов поверх HTTPS (DoH, DNS over HTTPS). Тестирование планируют провести в режиме opt-out (по умолчанию включено, но пользователь может выключить). Аха. Песня просто :-). Кто не делал до сих пор фильтрацию dns, может и не начинать :-D. Хотя, что б Ревизор был спокоен возможно стоит. Осталось гуглу подтянуться и >50% пользователей покрыто. А провайдеры страны, учитывая падающую к 0% долю http в реестре, остануться только с блокировкой по sni + ip. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 марта, 2018 (изменено) · Жалоба 23 минуты назад, oleg_n сказал: Хотя, что б Ревизор был спокоен возможно стоит Заставят блочить эти сервера по IP/SNI (но вроде как на горизонте замаячил encrypted SNI). Тут наверное потом только белый список интернетов либо MiTM госуровня. Но судя по тому,как резко ринулись после выборов [на Telegram],[это] уже не кажется фантастикой. Изменено 21 марта, 2018 пользователем alexwin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба 29 minutes ago, alexwin said: Я тут ранее приводил документик 2012 года с описанием того,как китайский файерволл блочит тор. Работает в кратце это так: dpi выявляет сигнатуры тор-трафика (коннект к бриджу),потом на его дестинейшн аддресс набегают боты (мимикрирующие под тор-клиенты) и пытаются законектиться.Если бридж ответил,его айпишник попадает в бан. Лечение: обфускация трафика тор-клиента,чтобы наипать dpi (obfsproxy). Да бросьте. Лечение - мамкиному школьнику дать пи#дюлей, что б не маялся фигнёй. Работать надо, делом заниматься. Какой нафиг тор? Что люди и от кого скрывают-то? Маразм какой-то. 10 minutes ago, alexwin said: Заставят блочить эти сервера по SNI (IP). Но вроде как на горизонте замаячил encrypted SNI. Посмотрел. Кошмар какой. Если будет оно(что-то с 2015 ковыряют и пока тихо и отл.), то это пипец. Только ip останется. 12 minutes ago, alexwin said: Но судя по тому,как резко ринулись после выборов (на Telegram),уже не кажется фантастикой. Пашка Дуров как всегда, думает, что он не такой как все. Заблочат нах#р telegram и не будет у него аудитории из России. Ну и туда ему и дорога. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 марта, 2018 · Жалоба 1 минуту назад, oleg_n сказал: Да бросьте. Лечение - мамкиному школьнику дать пи#дюлей, что б не маялся фигнёй. Работать надо, делом заниматься. Какой нафиг тор? Что люди и от кого скрывают-то? Маразм какой-то. Не понял вас? Я вам сжатое содержание документа привел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба Провайдерам Интернет надо давать. Коммутаторы, серваки выбирать. Повышать качество услуг. А приходится какой-то фигнёй страдать и огребать штрафы из-за подобных дебилов, которые мужественно пытаются обходить блокировки РКН. Запарило это уже. Работы не в проворот. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 марта, 2018 (изменено) · Жалоба 1 час назад, oleg_n сказал: Пашка Дуров как всегда, думает, что он не такой как все. Заблочат нах#р telegram и не будет у него аудитории из России От интересно, он идейный или все же меркантильные интересы возьмут верх? Прям с нетерпением жду развязки. Изменено 21 марта, 2018 пользователем alexwin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба 14 minutes ago, alexwin said: Не понял вас? Я вам сжатое содержание документа привел. Да эт я про странных людей, которые носятся с encryption everywhere, при том, что им и скрывать-то нечего(как правило школьники или студенты, которым заняться нечем). Кому надо скрывать, те полагаться на шифрование telegram и т.п. не будут. У них свои примочки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 марта, 2018 (изменено) · Жалоба 19 минут назад, oleg_n сказал: (как правило школьники или студенты, которым заняться нечем) Да необязательно,вон к примеру Столлман,он хоть не студент и не школьник уже,и не за крипту,но тоже за Идею. 19 минут назад, oleg_n сказал: Кому надо скрывать, те полагаться на шифрование telegram и т.п. не будут. У них свои примочки. Эт верно. Даже просто банально доверять какие-то сверхсекретные данные какому-то сервису,владельцем которого является гражданское лицо,иными словами,лицо "подневольное". Где например 100500% гарантия,что тот же Дуров не сдал уже все что надо ЦРУ там и либо кому еще. Нет,я не утверждаю это,я просто обращаю внимание на риски,сопряженные с пользованием подобных сервисов (здравый смысл). Этот сервис,по сути,некая черная коробка (как он внутри устроен знает только Дуров и его разработчики),куда вы суете свои секретные и не очень данные. Несурьезно это как-то для профессиональных шпиенов. P.S. Хотя нет,Столлман тоже осуждаэ. P.P.S Цитата Итак, почему вы не должны использовать (читай — использоваться) Facebook. У меня никогда не было аккаунта в фейсбуке. Там есть пользователь с таким именем, но это какой-то самозванец. Публикация чьей-то фотографии в фейсбуке (или инстаграме) способствует слежке за этим человеком. Пожалуйста не публикуйте мои фотографии, равно как и чьи бы то ни было. (англ. яз.) А это уж че-то смахивает на манию преследования. Изменено 21 марта, 2018 пользователем alexwin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LynxChaus Опубликовано 21 марта, 2018 · Жалоба К вопросу о - у всех не фильтруется id="843639" ? Оно в размер как-то не лезет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 21 марта, 2018 · Жалоба Мне кажется простейшее решение это использование ответов DNS CNAME (с указанием чего-то типа fz139.mydomain.ru) для заблокированных ресурсов в т.ч и заблокированных только по домену или DNS RPZ для того же самого. Формально по всем протоколам ресурс будет заблочен. Дополнительно перенаправлять DNS трафик на свои сервера, лучше по round-robin. Мы так и делаем, правда не перенаправляем на свой DNS. Причем мы так делаем даже если блокировка только URL, а там указано http://block.ru/. 3 минуты назад, LynxChaus сказал: К вопросу о - у всех не фильтруется id="843639" ? Оно в размер как-то не лезет. Проскакивал пару раз. Постоянно добавляют IP адреса и домены в него, сама запись от 24 октября 2017, а записи постоянно пополняют. Я вот думаю им кто-нибудь посоветует заблочить весь *.compute-1.amazonaws.com? Это ведь всё поддомены одного пользователя нафига блокировать каждый, там их уже пи..дец сколько. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба 4 minutes ago, SokolovS said: Мне кажется простейшее решение это использование ответов DNS CNAME (с указанием чего-то типа fz139.mydomain.ru) для заблокированных ресурсов в т.ч и заблокированных только по домену или DNS RPZ для того же самого. Это не работает для dnssec и https. 6 minutes ago, SokolovS said: Формально по всем протоколам ресурс будет заблочен. Это понятно, что "формально". Но в приказе такой формулировки нет :-). И если человек использует dnscrypt, dns over https или банальный hosts, то фильтрация dns ни в каком виде работать не будет. И "ограничение доступа ко всему информационному ресурсу по всем сетевым протоколам" не работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LynxChaus Опубликовано 21 марта, 2018 · Жалоба 6 minutes ago, SokolovS said: Проскакивал пару раз. Это вчерашняя запись. И не про амазон. Кто бы сказал, что они на амазоне с таким упорством гоняют.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба Я имею ввиду, что уточнения в данном приказе не имеют смысла и польностью не выполнимы. Кто-то фильтрует dns, кто-то нет, кто-то просто дропает пакеты, кто-то перенаправляет на страницу с инфой о блокировке. Как-то всё это работает. И надо успокоиться и думать о грядущих dnscrypt, dns over https, encrypted sni, а не заниматься фигнёй и не подкидывать провайдерам новые квесты. 15 minutes ago, LynxChaus said: К вопросу о - у всех не фильтруется id="843639" ? Оно в размер как-то не лезет. У меня за последнии 3 дня таких пропусков не было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 марта, 2018 · Жалоба 4 минуты назад, oleg_n сказал: польностью не выполнимы Чебурнет без вас обойдется,если не могете - сдавайте лицензию ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 21 марта, 2018 · Жалоба 1 минуту назад, oleg_n сказал: Это не работает для dnssec и https. Это понятно, что "формально". Но в приказе такой формулировки нет :-). И если человек использует dnscrypt, dns over https или банальный hosts, то фильтрация dns ни в каком виде работать не будет. И "ограничение доступа ко всему информационному ресурсу по всем сетевым протоколам" не работает. Не понял, почему не работает для https? Что https ресурсы не требуют резольвинга? А уже на своем сервере сделать в nginx return 444; (сброс соединения) проблем не вызовет. Опять же любые параметры, которые не соответствуют договорным должны считаться "нестандартными настройками". Или вы будете сами настаивать на использовании dnssec по договору? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LynxChaus Опубликовано 21 марта, 2018 · Жалоба 7 minutes ago, oleg_n said: У меня за последнии 3 дня таких пропусков не было. Это вопрос времени. Конкретно в этой записи URL больше 1024 байт, который не лезет в то, что максимально возможно у nfqfilter/extfilter /** * Maximum accepted length of search/replace pattern */ #define AC_PATTRN_MAX_LENGTH 1024 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 марта, 2018 (изменено) · Жалоба 2 минуты назад, LynxChaus сказал: Это вопрос времени. Конкретно в этой записи URL больше 1024 байт, который не лезет в то, что максимально возможно у nfqfilter/extfilter /** * Maximum accepted length of search/replace pattern */ #define AC_PATTRN_MAX_LENGTH 1024 Думаете,мамкины хактивисты уже ищут дыры? Константу поправить на 2048 приватное значение > 1024 и перекомпилять. Изменено 21 марта, 2018 пользователем alexwin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...