Jump to content
Калькуляторы

"Умная" блокировка контента. Поиск идеального решения.

Уважаемые коллеги, в рамках небольшого исследования собираем мнения и отзывы по используемым технологиям "отсева" нелегального контента.

Задача: найти лучший вариант системы фильтрации контента по параметрам - стоимость внедрения/гибкость/быстродействие/масштабируемость.

Для оператора фиксированной связи от 100 тыс абонентов. С возможностью избранной блокировки. Например, баннер с запрещенного сайта, без блокировки всей страницы.

 

Прошу вас уделить пару минут и написать что используете вы и какие недостатки есть у вышей системы.

Например:

Блокировка url DNS сервером (направление на IP пустой страницы, вместо нужного)

Недостатки:

- не блокируется запрос по IP

- блокируется вся страница, часть контента блокировать нельзя

 

Блокировка по IP на пограничном маршрутизаторе.

Недостатки:

- Вместе с нелегальным контентом можно заблокировать кучу легального на том же IP

 

"Гибкая" блокировка на уровне ПО маршрутизатора(Cisco SESM например)

Недостатки:

- дорого докупать SESM

- ?

 

Разбор входящего трафика и избранная блокировка системой DPI

- очень дорого

- требует высоких вычислительных мощностей

 

Какие еще есть варианты с их достоинствами и недостатками?

Share this post


Link to post
Share on other sites

Блокировка url DNS сервером (направление на IP пустой страницы, вместо нужного)

Недостатки:

- не блокируется запрос по IP

- блокируется вся страница, часть контента блокировать нельзя

 

Блокировка по IP на пограничном маршрутизаторе.

Недостатки:

- Вместе с нелегальным контентом можно заблокировать кучу легального на том же IP

если у вас 100к абонентов, то это не про вас.

 

DPI, DPI, DPI и ещё раз DPI.

Share this post


Link to post
Share on other sites

Ща ДимаМ про СКАТ расскажет...

 

А что плохого то?

Недавно приобрели.

Для реестра и списков минюста - само то, ещё и локальные списки добавлять можно.

С него же ещё снимаем статистику по протоколам.

Планируем опробовать и внедрить уведомление пользователей и рекламу.

К сожалению шейпить умеет только исходящий трафик.

Цена приемлемая.

Share this post


Link to post
Share on other sites

А я не говорил, что СКАТ - это плохо...

Хотя я, честно говоря, считал что должно быть ещё дешевле, в сравнении с SCE8000.

Share this post


Link to post
Share on other sites

Спасибо. В целом остается два вопроса:

1. В чем недостатки DPI? А если у меня не 100к пользователей, а миллион? Сколько будет стоить железо, способное разобрать весь трафик?

2. Если ли еще альтернатива DPI? СКАТ, на первый взгляд, очень интересная идея. Изучу подробнее.

Edited by mr.tom

Share this post


Link to post
Share on other sites

Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего?

Share this post


Link to post
Share on other sites

Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего?

Закон от операторов требует запретить доступ. Поэтому логичнее запретить запросы клиентов, чем ответы на них :)

Share this post


Link to post
Share on other sites

Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего?

С докой у него не очень.

Так и не понял - разбирает он протоколы только по портам или и по содержимому тоже.

Но на входящий трафик он никак не влияет(разве что косвенно через шейпинг исходящего), так что является ли он полноценным DPI это пожалуй не факт.

Share this post


Link to post
Share on other sites

Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего?

С докой у него не очень.

Так и не понял - разбирает он протоколы только по портам или и по содержимому тоже.

Но на входящий трафик он никак не влияет(разве что косвенно через шейпинг исходящего), так что является ли он полноценным DPI это пожалуй не факт.

 

С докой у них нормально, wiki на сайте. Требования по железу строгие достаточно, особенно по процу и сетевкам. А так - внедрение демо - несколько дней удалённо по ssh. запретинфо правильно отрабатывает, выгрузки хоть от них, хоть свои списки подкладывай. Первое впечатление - неплохой продукт.

Share this post


Link to post
Share on other sites

С докой у них нормально, wiki на сайте. Требования по железу строгие достаточно, особенно по процу и сетевкам. А так - внедрение демо - несколько дней удалённо по ssh. запретинфо правильно отрабатывает, выгрузки хоть от них, хоть свои списки подкладывай. Первое впечатление - неплохой продукт.

Навигация по разделам практически никакая. А я вот хотел бы доку себе одним файлом качнуть - много хочу?

 

Вышло обновление - стал возможен шейпинг в обе стороны. Ещё не обновлялись пока.

Мы его по акции в прошлом декабре заказали - по сравнению с текущими ценами нам он практически даром обошёлся.

Share this post


Link to post
Share on other sites

Спасибо. В целом остается два вопроса:

1. В чем недостатки DPI? А если у меня не 100к пользователей, а миллион? Сколько будет стоить железо, способное разобрать весь трафик?

2. Если ли еще альтернатива DPI? СКАТ, на первый взгляд, очень интересная идея. Изучу подробнее.

Корректней все же говорить не про кол-во пользователей, а про объем трафика/сек, требующий разбора. Плюс проблемы с секьюрными сессиями.

Share this post


Link to post
Share on other sites

Навигация по разделам практически никакая. А я вот хотел бы доку себе одним файлом качнуть - много хочу?

 

Я тоже хочу :) Может наши совместные хотелки сподвигнут их на подвиг ?

И еще мне понравился алгоритм работы с запретинфо, хошь с облака бери, хошь сам. Причем ЭЦП в продукт не встраивается, что безопасно.

Share this post


Link to post
Share on other sites

Я тоже хочу :) Может наши совместные хотелки сподвигнут их на подвиг ?

И еще мне понравился алгоритм работы с запретинфо, хошь с облака бери, хошь сам. Причем ЭЦП в продукт не встраивается, что безопасно.

Я периодически напоминаю им о доке.

Вроде они говорили что если РКН показать договор на Скат то РКН не будет требовать скачивания реестра - не сталкивались с таким? Хотя иметь актуальный список под руками - может пригодиться.

Share this post


Link to post
Share on other sites

Я периодически напоминаю им о доке.

Вроде они говорили что если РКН показать договор на Скат то РКН не будет требовать скачивания реестра - не сталкивались с таким? Хотя иметь актуальный список под руками - может пригодиться.

 

Я не перестану сам забирать список. Про РКН - не везде одинаковые мнения и по скачиванию и по блокировке. Наши привели в пример карбонсофт, как удовлетворяющий их, в отличие от нашего рукописного. Но они еще Скат не щупали...

Share this post


Link to post
Share on other sites

Хихи. Скат прошел проверку ркн на 100%. Они охудивились и не поверили, теперь будут тестировать еще и еще. Хотя должно быть 146%, там еще и минюстовский список.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this