[NiTr0]

Необязательно.

Сначала передается сертификат, а потом, после установки туннеля, уже клиент указывает к какому хосту хочет получить доступ. И если сертификат выдан для другого хоста - всплывает уведомление об ошибке...

[big-town]

Привет всем. Предлагую свой способ. Не знаю, может ни один я такой умный, но я до всего дошел сам:). Переписывать лень, по дурости написал на хабре и за это был возведен в ранг "ЗЛО ВСЕЛЕНСКОГО МАСШТАБА" :)))

Вообщем кому интересно читайте

 

PS Админов просьба не пинать за ссылку, ну реально лень переписывать.

Изменено 16 марта, 2015 пользователем big-town

[Ivan_83]

руском такой же хернёй страдает.

Постоянно меня доставал блокировкой лоста. Пришлось обойти, без впн, прокси и прочего, чисто тонкая настройка на своей стороне.

Пробовал в начале пройти насквозь, но пейсатели сквида видимо такие варианты ещё лет 10 назад предусмотрели, а копаться в исходниках в поисках дыр (которых скорее всего нет) было не охота.

 

Они там ещё маленькие не понимают что затыкая рот они останутся только со своим мнением наедине и ничего не знают о злых замыслах %)

Но дрочилово с левым сертификатом реально напрягает, когда ты клиент этого.

[big-town]

Но дрочилово с левым сертификатом реально напрягает, когда ты клиент этого.

Вы это расскажите тем 1000 людей у кого хостинг окажется на том же IP что забаненый урл. :)))

 

Но а если серьезно подойти к вопросу, то законодатель обязывает тебя блокировать урл из шифрованного трафика, в списках вы не хуже меня знаете что присутствует именно урл. То есть значит он фактически вас обязывает "прослушивать" конфедициальную инфу, а другого способа кроме того что я привел нет. И я думаю что не будет. А если можно будет вмешиваться в шифрованный трафик без ведома пользователя, то тогда нахрена нужно такое шифрование.

К тому же я не изучаю содержимое https, я только фильтрую урл. Я думаю все знают анекдот "...ну аппарат то имеется" :) Так что ни чего криминального здесь не вижу. И по поводу, как там многие вопили на хабре про конституционные права. Вот как раз самовольно блокировать доступ к информации не ограниченной законом - это и есть прямое нарушение прав человека. Но там люди слышали только что хотели слышать. И сработал стадный инстинкт дизлайков :). Ну и напоследок, какова вероятность того что нормальный сайт с https окажется на одном ip с забаненым урлом? Ноль целых, хрен десятых. :)))

[big-town]

Пользуясь случаем хочу спросить, кто то уже получал такую бумажку? https://yadi.sk/i/YVuk4HL1fJ6jR

Какова вообще процедура взаимодействия? Я слышал что они "предлагают" ставить свои железки для для мониторинга, но интересно как это работает в реалити.

[Ivan_83]

Вы это расскажите тем 1000 людей у кого хостинг окажется на том же IP что забаненый урл. :)))

В случае https такое пока не распространено, а скоро и IPv6 будет, там на каждый сайт по 100 IP не жалко.

 

Но а если серьезно подойти к вопросу, то законодатель обязывает тебя блокировать урл из шифрованного трафика, в списках вы не хуже меня знаете что присутствует именно урл. То есть значит он фактически вас обязывает "прослушивать" конфедициальную инфу, а другого способа кроме того что я привел нет.

В каком именно месте?

А ничего что вы подменяете передаваемые данные?

(это я не про заглушку, а про сертификат)

 

Это плохая и вредная для инициатив тема, все блочат по IP и не парятся. Вы вмешиваетесь в траф, не такой как все и это повод на вас заработать палку для всяких проверяек по первому же заявлению абонента.

Вон даже люди которые которые целую контору только ради этой темы замутили и то деликатно дистанцируются от этой темы, ограничиваясь: "наше решение проходит все проверки" и "а ещё от него куча плюшек в виде приоритезации трафика", ибо как минимум не хотят стать врагами общества как максимум понимают что тема блокировок унылая чтобы развивать её дальше прохождения галочки ркн.

 

Что касается абонентов, то они видят какое то сообщение об ошибке и закрывают сайт, мало кто ставит себе невесть какой сертификат; либо надпись: вас хочет поиметь: "ххххх", вы согласны? - дураков мало, недовольных куча.

А если и ставят, то глаз мозолит красная надпись про херовый сертификат и все знают кто виноват.

Уж лучше бы оно просто дропалось, чесно слово - меньше негатива.

 

Ваши заявления о том что вы там ничего не подсматриваете кроме URL гроша ломаного не стоят ни для кого.

Когда вопрос коснётся интернет банкинга и всего что связано с деньгами, вот тогда будет вою и вас на вилы будут поднимать.

[vurd]

Пользуясь случаем хочу спросить, кто то уже получал такую бумажку? https://yadi.sk/i/YVuk4HL1fJ6jR

Какова вообще процедура взаимодействия? Я слышал что они "предлагают" ставить свои железки для для мониторинга, но интересно как это работает в реалити.

 

Процедура простая.

Роскомнадзор поручил радиочастотному комитету разработать систему контроля, т.е. кучу проверяющих зондов. РЧК, как написано в документе, "планирует начать". И вас как оператора спрашивают сколько у вас точек фильтрации, для оценки средней температуры по больнице.

Фактически в реальности контрольные средства не существуют, они только планируются. В реалити это работает никак.

Кстати ходил слух, что дескать эти "анальные зонды" будут стоить для оператора ноль рублей.

[big-town]

Насколько я знаю из беседы с руководителем одного крупного провайдеры, то подобные девайсы уже установлены по сей день в нашей и соседней областях, которые мониторят запрещенные ссылки, в количестве чуть более 50 шт. У них это типа соревнования :). Смысл чего они хотят, в принципе понятен.

Меня больше интересует бюрократический вопрос. Вот предположим они получили данные по какойто ссылке, и что? Штраф? А например этот домен уже давно на другом IP. Проверьте сами сейчас процентов 50% этих ссылок доступны. Как будет происходить разбор полетов?

 

У меня есть горький опыт, когда мы меняли сертификат. Два дня после замены шла выгрузка, а затем запросы шли, а ответов не было. Человек ответственный за контроль успокаивался при виде первой смс (запрос отослан) и на вторую необращал внимания. РКН без разбора влепил штраф, директор решил не лезть на рожон и заплатил, правда потом подарил его этому пиплу который выгрузку прошляпил. А потом мы получаем памятку оператора по формату 2.1, где дана рекомендация сохранять файлы запросов для выяснения спорных ситуаций, видимо похожие прецеденты были.

 

Так вот и вопрос как это все будет выглядить?

[vurd]

Ну что вы как маленький. Берете девайс от РЧК, ставите его за файрволл. На файрволле разрешаете только сайт-коллектор, куда летит вся эта телеметрия. И всё :)

 

Странно, что стоит у кого-то, может быть это их собственные системы для проверки своих же фильтров? По крайней мере новость о разработке была не так давно и судя по письму там и конь не валялся.

 

Вот еще по теме http://forum.nag.ru/forum/index.php?showtopic=95104

[big-town]

Ну что вы как маленький. Берете девайс от РЧК, ставите его за файрволл. На файрволле разрешаете только сайт-коллектор, куда летит вся эта телеметрия. И всё :)

Честно скажу это первое что пришло мне в голову :).

[a_bubnov]

А верно ли я понимаю, что не существует ни одного готового автономного решения для фильтрации по списку Роскомнадзора - все, что здесь рекламировалось, так или иначе ходит на сервера производителя и лицензируется на определенный срок? Я понимаю резоны производителей и готов допустить, что их инфраструктура исключительно стабильна, но в любом случае остается риск того, что через год-два производитель исчезнет с рынка и обновить список / продлить лицензию окажется невозможным.

 

Тут есть несколько проблем и объяснений. Дело в том, что софт постоянно нужно "допиливать", т.к. формат списков Роскомнадзора, видимо, частенько меняется. И да, как правило, месячная подписка обеспечивает жизнеспособность компании производителя. У компании есть потребности - программисты, сотрудники поддержки, маркетинг и прочее, которые стоят очень дорого.

 

По моему мнению покупать один раз еще более рискованно, потому что а) потратите много денег и сразу; б) компании, которые продают что-то один раз могут закрыться через месяц, ведь вся их масштабируемость бизнеса строится на количестве продаж. 1 месяц - 10 продаж по 250 000 руб, след. месяц - 2 продажи по 250 000 руб. (от этого никто не застрахован), следовательно, ресурсы будет брать неоткуда. Этот риск есть. С подпиской же все иначе - под клиента выделяют определенные ресурсы, которые входят в стоимость подписки, в зависимости от тарифа (разработка, обновление, интеграция, тех. поддержка, решение проблем, исправление критических багов и т.д.)

 

И да, в случае подписки, разочаровавшись в продукте, вы не потеряете много денег :) Наоборот будут заинтересованы, чтобы вы не уходили, расстаться отдав сумму за месяц намного проще. Следовательно, качество работы таких компаний выше, как мне кажется. Да что там я, посмотрите на западные и американские сервисы - все постепенно внедряют эту модель, видимо, скоро все будут так работать

[DimaM]

Тут есть несколько проблем и объяснений

 

В этой стройной и логичной схеме есть как минимум исключение в виде продукта СКАТ.

Лицензия (entry - это на фильтрацию) оплачивается один раз при покупке и ее стоимость соизмерима с годовой оплатой за тот же Карбон.

На периоде в 10 лет получается существенная экономия.

Тех. поддержка в последующие годы опциональна.

Черные списки можно скачивать у поставщика системы (автоматически) или готовить их самостоятельно (ручками).

Можно организовать автоматическую раздачу своих списков по филиалам и дружественным компаниям.

 

Почему это возможно коммерчески ?

Потому что эта функциональность используется как бюджетный способ привлечь оператора ознакомится с продуктом

и другими его возможностями. Продукт окупается НЕ за счет фильтрации.

 

Раз это реклама продукта, то почему тогда это не бесплатно?

Потому что тогда этот метод продвижения не работает.

 

Почему не работает?

Не знаю (в маркетинге я не силен). Возможно это какая-то психологическая особенность в отношении к бесплатному:

был эксперимент по бесплатной раздаче лицензии в течении почти полугода и он себя не оправдал.

 

PS Вот такой получился FAQ :)

[YuryD]

Тут есть несколько проблем и объяснений

 

В этой стройной и логичной схеме есть как минимум исключение в виде продукта СКАТ.

Лицензия (entry - это на фильтрацию) оплачивается один раз при покупке и ее стоимость соизмерима с годовой оплатой за тот же Карбон.

На периоде в 10 лет получается существенная экономия.

У Ската есть и свои плюсы, и минусы. Главный плюс - купил, поставил и забыл. Главный минус - требования к железу суровые, особенно к сетевкам с байпас, соотв железо дороговатое. Поэтому для Ската проще купить целиком бандл, сервер+софт, чем городить тот-же карбон на железке из склада. И по лицензии - карбон начальный вроде держит до 10000 записей, скат начальный - вроде 100000. И не надо каждый месяц платить...

[DimaM]

Главный минус - требования к железу суровые, особенно к сетевкам с байпас

 

Bypass совсем необязателен, но удобен.

При желании фильтрацию можно поставить на зеркальный трафик, но по понятным причинам такой способ установки dpi производителю не интересен :)

Канал можно резервировать и другими способами, например, через LAG/LACP или используя возможности маршрутизатора.

Поэтому часто именно средние и крупные операторы берут сетевки без bypass.

[d1mko0]

успел купить скат40 ентри в декабре, сетевки с байпасом, тогда ценник еще не так сильно кусался, сейчас особо не парюсь насчёт фильтрации,

пока запускали правда было геморою чуть-чуть, когда покупали ентру версию обещали дать попробовать полноценную лицензию, пока правда

руки не дошли спросить )

покупал сервак+софт

Изменено 21 марта, 2015 пользователем d1mko0

[ne-vlezay80]

А кстати, как на счёт nfq_filter

[Tea]

а почему никто не пишет про SkyDNS?

 

[Ivan_83]

Так и про яндекс днс не пишут и про OpenDNS никто не пишет, не надо никому тут.

[guеst]

ну почему ж не надо, в энтерпрайзе используем яндекс.днс