[PhantomTLT]

Неверно. Оператор обязан блокировать то, что указано в реестре. Указан IP-адрес — значит должен блокировать IP-адрес. Указано доменное имя или URL — значит обязан блокировать сайт или страницу.

 

РКН вносит в реестр и IP и домен/хост и URL. Однако при наличии возможности блокировки по URL вы должны блокировать по URL, если нет возможности - тогда домен или IP. Мы консультировались с РКН (московским) на эту тему.

Собственно говоря мы и даем такую возможность, за смешные деньги и без начальных кап. затрат. Заодно возможность обхода блокировок по IP Ростелекома. Если бы Ростелеком не занимался ерундой по отношению к операторам связи, то наше решение было бы несколько иным.

 

Кстати, DPI если у вас один из каналов через Ростелеком - абсолютно бесполезен.

 

Опять же, если вам не мешает серый волк Ростелеком и вы не хотите гонять трафик через туннель, но при этом хотите фильтровать по URL, то мы можем предоставить доступ к API - установите у себя прокси, да и все.

[Bigmazy]

РКН вносит в реестр и IP и домен/хост и URL.

 

Расскажите как вы боритесьработаете со списком Минюста, например, последний сейчас номер 2142, если поискать то его можно найти на youtube, vk, и других различных системах.

Про youtube видел, что делать с трафиком vk, то же в туннель или с этим ничего не делаете?

Изменено 28 ноября, 2013 пользователем Bigmazy

[elcambino]

РКН вносит в реестр и IP и домен/хост и URL.

 

Расскажите как вы боритесьработаете со списком Минюста, например, последний сейчас номер 2142, если поискать то его можно найти на youtube, vk, и других различных системах.

Про youtube видел, что делать с трафиком vk, то же в туннель или с этим ничего не делаете?

[off]немного оффтопик - но кто как вообще с этим списком работает ? у нас прокуратура время от времени прибегает проверять урлы из него, а ответа на "что делать с кривыми урлами/записями типа "Социальная сеть вкнотакте по адресу http://www.vkontakte.ru" - нигаварят[/off]

[chapp]

Раз уж в этой теме не считается зазорным продвигать себя, то и мы не упустим возможность ;)

Мы предлагаем 14 программно-аппаратных комплексов для URL-фильтрации по символической цене (2014 рублей в год)

http://www.napalabs.ru/FZ-139.html

 

Полный комплект "под ключ":

- аппаратная часть (сервер с установленной DPI-платой 4x1GE);

- предустановленный софт, не требующий дополнительного лицензирования;

- настроенная система управления и мониторинга + ее хостинг в нашем облаке;

- поддержка ПО.

 

Т.е. полный функционал "из коробки"

 

URL-фильтрация осуществляется двумя способами

1. Отправляем HTTP-redirect на ваш сайт-заглушку

2. Подменяем ответ от DNS - поставляем ip вашего сайта-заглушки (толко в случае, если в списке указан домен целиком, например example.com. Т.е. если запись выглядит так example.com/something.html тогда блокировка по DNS не сработает, чтоб не затронуть другие страницы с сайта)

 

Обновление списков возможно как в автоматическом режиме из реестра РКН, так и в ручном. Т.е. в интерфейсе будет два списка, итоговый - результат их объединения.

 

Нам достаточно просто миррорить исходящий трафик от пользователей, т.е. подключать "в разрыв" необходимости нет. Таким образом установка нашего решения никак не скажется на отказоустойчивости вашей сети.

 

Буду рад ответить на любые вопросы, даже каверзные и неудобные ;)

[DimaM]

Мы предлагаем 14 программно-аппаратных комплексов для URL-фильтрации по символической цене (2014 рублей в год)

 

Каверзные вопросы говорите ? :)

 

Неубедительно: 2014 руб. в год не окупят железо, значит интерес в другом

 

система управления и мониторинга + ее хостинг в нашем облаке;

 

Вот это уже интереснее

 

Складываем 1+1:

- смотрим партнера http://www.napalabs.ru/Партнеры.html - он единственный - это ЭР-Телеком

- ЭР-Телеком ранее заявлял, что у них есть собственный DPI, думаю врядли у них есть два DPI :)

Вывод: компания аффилирована с ЭР-Телеком

 

Вопрос:

Какой интерес ЭР-Телеком раздавать "подарки" своим конкурентам ?

 

Ну как вопросик?

[PhantomTLT]

Расскажите как вы боритесьработаете со списком Минюста, например, последний сейчас номер 2142, если поискать то его можно найти на youtube, vk, и других различных системах.

Про youtube видел, что делать с трафиком vk, то же в туннель или с этим ничего не делаете?

 

Со списком Минюста не боремся. У клиента есть возможность вести в системе свои реестры. Они туда вносят решения судов, которые получили в свой адрес.

У нас же в планах сделать список Минюста доп. опцией, разумеется только те записи, где URL/домен указаны корректно.

[chapp]

Ну как вопросик?

Отличный вопрос ;)

Хотя мой коллега уже вкратце ответил в соседней теме.

 

Давайте начну отвечать с конца

 

Вопрос:

Какой интерес ЭР-Телеком раздавать "подарки" своим конкурентам ?

Мы не ЭР-Телеком, мы отдельная, независимая компания.

Зачем раздавать подарки - вопрос ни разу не технический, но раз уж он задан - постараюсь ответить.

Во-первых, мы хотим выйти на новых заказчиков, нам нужен повод рассказать о себе.

Во-вторых, это оборудование позволяет реализовать кучу другого функционала, помимо URL-фильтрации. Если оборудование уже будет установлено у заказчика, то мы просто сможем активировать новый функционал в случае необходимости, показать заказчику, как это работает уже на его сети и с его трафиком, при такой схеме взаимодействия вероятность продажи существенно возрастает.

В-третьих, у нас под конец года остается нереализованное оборудование, мы несем затраты, связанные с его хранением. А с учетом стремительного роста трафика в сетях, уже скоро мало кому будет интересен DPI с 4 гигабитными линками.

 

Складываем 1+1:

- смотрим партнера http://www.napalabs.ru/Партнеры.html - он единственный - это ЭР-Телеком

- ЭР-Телеком ранее заявлял, что у них есть собственный DPI, думаю врядли у них есть два DPI :)

Вывод: компания аффилирована с ЭР-Телеком

Аффилированность с ЭР-Телекомом заключается в том, что они - наши основные заказчики. В этом смысле мы действительно тесно связаны. Безусловно, такой крупный заказчик очень важен для нас, как и для них функционал DPI.

На счет их собственного DPI - покажите пруф, боюсь, фраза "вырвана" из контекста. Дело в том, что DPI, который мы предлагаем, развивался по сути вместе с ЭР-Телекомом, т.е. существенная часть функционала реализована в соответветствии с их потребностями. В этом плане они действительно принимали участие в разработке - составляли грамотные ТЗ на доработку, указывали на недочеты, помогали с нагрузочным тестированием. В конце концов у них сейчас есть отличный DPI, разработчком которого является наша компания.

Однако, очевидно, что потребности операторов связи во многом совпадают, а с учетом того, что мы всегда старались делать максимально гибкие решения, наш DPI с легкостью может использоваться на сетях любых операторов.

 

Например, в этой теме речь идет об URL-фильтрации, с учетом трендов в российском законодательстве она интересна всем без исключения операторам. У нас этот функционал реализован уже давно, на сетях ЭР-Телекома с их огрмными нагрузками и внушительной абонентской базой проблем с его работой не возникает даже во время DDoS-атак на сайты из блеклиста.

[alibek]

Со списком Минюста не боремся. У клиента есть возможность вести в системе свои реестры.

Это серьезный минус.

То есть клиент платит вам 3500 или 5000 рублей в месяц, а кроме этого должен держать человека, который будет вести списки Минюста.

 

Ну и мне интересен такой момент. Если вы заворачиваете на себя трафик таких медиахостингов, как youtube и vkontakte, то что у вас с пропускной способностью (железа и канала)?

Есть ли у вас какое-то соглашение с администрацией этих сервисов? Если нет, есть ли какой-то план на случай если они вдруг вас забанят (например гуглу может показаться подозрительным, что вы проксируете запросы)?

[Bigmazy]

Обновление списков возможно как в автоматическом режиме из реестра РКН, так и в ручном. Т.е. в интерфейсе будет два списка, итоговый - результат их объединения.

Теперь к вам такой вопрос - как Вы боритесьработаете со списком Минюста?

[chapp]

Теперь к вам такой вопрос - как Вы боритесьработаете со списком Минюста?

Предоставляем возможность добавлять записи в список вручную.

Как уже писали выше, ни у кого нет однозначного понимания, в каком случае и какие записи из списка должны попадать в блэклист.

[Diman_xxxx]

Раз уж в этой теме не считается зазорным продвигать себя, то и мы не упустим возможность ;)

Мы предлагаем 14 программно-аппаратных комплексов для URL-фильтрации по символической цене (2014 рублей в год)

http://www.napalabs.ru/FZ-139.html

 

Сколько стоит лайт версия и фулфарш версия ?

 

+ самая скромная (4GE порта) платформа ?

Изменено 30 ноября, 2013 пользователем Diman_xxxx

[Bigmazy]

У нас же в планах сделать список Минюста доп. опцией, разумеется только те записи, где URL/домен указаны корректно.

Понятно. А с https как поступаете, в РКН такое есть?

 

Теперь к вам такой вопрос - как Вы боритесьработаете со списком Минюста?

Предоставляем возможность добавлять записи в список вручную.

Как уже писали выше, ни у кого нет однозначного понимания, в каком случае и какие записи из списка должны попадать в блэклист.

То же про https вопрос такой же, как блокируете.

 

По работе блокировке в режиме зеркалирования, вопрос следующий, понятно, что отправлятся RST пакет, понятно что на windows заблокирует.

Что происходит с линкс лайк системами, у которых встроена защита от таких RST пакетов, а их количество растет планшетные и мобильные устройства?

[chapp]

То же про https вопрос такой же, как блокируете.

В случае с https можем заблокировать только домен целиком - в момент резолва подменяем ответ от DNS. Соответственно, для этого нужно, чтоб нам помимо пользовательского трафика сливался трафик от вашего DNS-сервера во внешку.

 

По работе блокировке в режиме зеркалирования, вопрос следующий, понятно, что отправлятся RST пакет, понятно что на windows заблокирует.

Что происходит с линкс лайк системами, у которых встроена защита от таких RST пакетов, а их количество растет планшетные и мобильные устройства?

Мы отвечаем от имени удаленной стороны (к которой ушел запрос). В случае HTTP отправляем редирект (302) в рамках открытой TCP-сессии на заданный URL, в случае DNS отвечаем резолвом на заданный ip-адрес. Для любой операционной системы и приложения это выглядит как нормальный ответ от другой стороны, до сих пор я не сталкивался со случаями, что на каком-то устройстве это не работает.

[Bigmazy]

По работе блокировке в режиме зеркалирования, вопрос следующий, понятно, что отправлятся RST пакет, понятно что на windows заблокирует.

Что происходит с линкс лайк системами, у которых встроена защита от таких RST пакетов, а их количество растет планшетные и мобильные устройства?

Мы отвечаем от имени удаленной стороны (к которой ушел запрос). В случае HTTP отправляем редирект (302) в рамках открытой TCP-сессии на заданный URL, в случае DNS отвечаем резолвом на заданный ip-адрес. Для любой операционной системы и приложения это выглядит как нормальный ответ от другой стороны, до сих пор я не сталкивался со случаями, что на каком-то устройстве это не работает.

то есть в режиме зеркалирования трафика(работа без разрыва) отвечаете 302 ответом браузеру клиента?

что происходит, когда клиенту приходят ответы со стороны сервера и от вашего устройства?

[chapp]

Мы отвечаем от имени удаленной стороны (к которой ушел запрос). В случае HTTP отправляем редирект (302) в рамках открытой TCP-сессии на заданный URL, в случае DNS отвечаем резолвом на заданный ip-адрес. Для любой операционной системы и приложения это выглядит как нормальный ответ от другой стороны, до сих пор я не сталкивался со случаями, что на каком-то устройстве это не работает.

то есть в режиме зеркалирования трафика(работа без разрыва) отвечаете 302 ответом браузеру клиента?

Да, именно так

 

что происходит, когда клиенту приходят ответы со стороны сервера и от вашего устройства?

Наш ответ приходит раньше, поэтому настоящий игнорируется

[PhantomTLT]

У нас же в планах сделать список Минюста доп. опцией, разумеется только те записи, где URL/домен указаны корректно.

Понятно. А с https как поступаете, в РКН такое есть?

 

Так же как все - блокируем по IP. Вернее IP:443

[chapp]

У нас же в планах сделать список Минюста доп. опцией, разумеется только те записи, где URL/домен указаны корректно.

Понятно. А с https как поступаете, в РКН такое есть?

 

Так же как все - блокируем по IP. Вернее IP:443

Как минимум два способа есть не блокировать IP:443 полностью (а вдруг там несколько сайтов живет или запрещенный сайт на другой ip переедет)

1. В момент установления TLS домен передается в открытом виде (SNI), в этот момент вполне можно поймать и заблокировать это соединение

2. Не дать отрезолвить домен

 

Во втором случае можно показать пользователю страницу-заглушку с указанием причины блокировки, и он не будет волноваться, что интернет опять глючит. Единственный нюанс - браузер сругается на сертификат.

[PhantomTLT]

 

Как минимум два способа есть не блокировать IP:443 полностью (а вдруг там несколько сайтов живет или запрещенный сайт на другой ip переедет)

1. В момент установления TLS домен передается в открытом виде (SNI), в этот момент вполне можно поймать и заблокировать это соединение

2. Не дать отрезолвить домен

 

Во втором случае можно показать пользователю страницу-заглушку с указанием причины блокировки, и он не будет волноваться, что интернет опять глючит. Единственный нюанс - браузер сругается на сертификат.

 

Показать пользователю сообщение (с неправильным сертификатом) не проблема. Но, это так же может заставить пользователя волноваться.

По SNI - спасибо за идею, подумаем как реализовать.

[enp]

А верно ли я понимаю, что не существует ни одного готового автономного решения для фильтрации по списку Роскомнадзора - все, что здесь рекламировалось, так или иначе ходит на сервера производителя и лицензируется на определенный срок? Я понимаю резоны производителей и готов допустить, что их инфраструктура исключительно стабильна, но в любом случае остается риск того, что через год-два производитель исчезнет с рынка и обновить список / продлить лицензию окажется невозможным.

[dignity]

А верно ли я понимаю, что не существует ни одного готового автономного решения для фильтрации по списку Роскомнадзора - все, что здесь рекламировалось, так или иначе ходит на сервера производителя и лицензируется на определенный срок? Я понимаю резоны производителей и готов допустить, что их инфраструктура исключительно стабильна, но в любом случае остается риск того, что через год-два производитель исчезнет с рынка и обновить список / продлить лицензию окажется невозможным.

Yo! Squid + PDNS, оно существует.

[enp]

Yo! Squid + PDNS, оно существует.

 

Ну речь шла о проприетарных решениях, со свободными такие трюки, очевидно, невозможны :)

 

Кстати, насчет PDNS - речь о перехвате DNS-запросов или есть еще какие-то работающие решения? И есть ли вообще смысл в фильтрации по DNS, если делать фильтрацию по URL?

[dignity]

Кстати, насчет PDNS - речь о перехвате DNS-запросов или есть еще какие-то работающие решения? И есть ли вообще смысл в фильтрации по DNS, если делать фильтрацию по URL?

Есть - https. По URL вы не обработаете HTTPS.

[enp]

По URL вы не обработаете HTTPS.

 

В случае HTTPS с очень высокой вероятностью мы имеем выделенный IP - т.е. можно его заблокировать и успокоиться, разве не так?

 

Кстати, возвращаясь к первоначальному вопросу: представители DPI СКАТ ответили, что список URL на отключение при желании можно формировать самостоятельно (и это явно описано в документации). Для проверки лицензий СКАТ никуда не ходит, а вместо этого привязывается к сетевой карте с PF_RING™ DNA. Т.е. из рисков, связанных с исчезновением вендора, остается лишь выход карты из строя + будущие критичные баги, которые будет некому устранить.

[dignity]

Согласен

[alibek]

В случае HTTPS с очень высокой вероятностью мы имеем выделенный IP - т.е. можно его заблокировать и успокоиться, разве не так?

Необязательно.

На гуглосайтах есть https, а IP не выделенные.

Да и тенденция есть по более массовому использованию https.