mr.tom Posted April 19, 2014 Posted April 19, 2014 Уважаемые коллеги, в рамках небольшого исследования собираем мнения и отзывы по используемым технологиям "отсева" нелегального контента. Задача: найти лучший вариант системы фильтрации контента по параметрам - стоимость внедрения/гибкость/быстродействие/масштабируемость. Для оператора фиксированной связи от 100 тыс абонентов. С возможностью избранной блокировки. Например, баннер с запрещенного сайта, без блокировки всей страницы. Прошу вас уделить пару минут и написать что используете вы и какие недостатки есть у вышей системы. Например: Блокировка url DNS сервером (направление на IP пустой страницы, вместо нужного) Недостатки: - не блокируется запрос по IP - блокируется вся страница, часть контента блокировать нельзя Блокировка по IP на пограничном маршрутизаторе. Недостатки: - Вместе с нелегальным контентом можно заблокировать кучу легального на том же IP "Гибкая" блокировка на уровне ПО маршрутизатора(Cisco SESM например) Недостатки: - дорого докупать SESM - ? Разбор входящего трафика и избранная блокировка системой DPI - очень дорого - требует высоких вычислительных мощностей Какие еще есть варианты с их достоинствами и недостатками? Вставить ник Quote
Butch3r Posted April 20, 2014 Posted April 20, 2014 Блокировка url DNS сервером (направление на IP пустой страницы, вместо нужного) Недостатки: - не блокируется запрос по IP - блокируется вся страница, часть контента блокировать нельзя Блокировка по IP на пограничном маршрутизаторе. Недостатки: - Вместе с нелегальным контентом можно заблокировать кучу легального на том же IP если у вас 100к абонентов, то это не про вас. DPI, DPI, DPI и ещё раз DPI. Вставить ник Quote
Дятел Posted April 20, 2014 Posted April 20, 2014 Ща ДимаМ про СКАТ расскажет... http://forum.nag.ru/forum/index.php?showtopic=89189&st=0 Вставить ник Quote
NikAlexAn Posted April 20, 2014 Posted April 20, 2014 Ща ДимаМ про СКАТ расскажет... А что плохого то? Недавно приобрели. Для реестра и списков минюста - само то, ещё и локальные списки добавлять можно. С него же ещё снимаем статистику по протоколам. Планируем опробовать и внедрить уведомление пользователей и рекламу. К сожалению шейпить умеет только исходящий трафик. Цена приемлемая. Вставить ник Quote
Дятел Posted April 20, 2014 Posted April 20, 2014 А я не говорил, что СКАТ - это плохо... Хотя я, честно говоря, считал что должно быть ещё дешевле, в сравнении с SCE8000. Вставить ник Quote
mr.tom Posted April 20, 2014 Author Posted April 20, 2014 (edited) Спасибо. В целом остается два вопроса: 1. В чем недостатки DPI? А если у меня не 100к пользователей, а миллион? Сколько будет стоить железо, способное разобрать весь трафик? 2. Если ли еще альтернатива DPI? СКАТ, на первый взгляд, очень интересная идея. Изучу подробнее. Edited April 20, 2014 by mr.tom Вставить ник Quote
mr.tom Posted April 20, 2014 Author Posted April 20, 2014 Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего? Вставить ник Quote
YuryD Posted April 20, 2014 Posted April 20, 2014 Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего? Закон от операторов требует запретить доступ. Поэтому логичнее запретить запросы клиентов, чем ответы на них :) Вставить ник Quote
NikAlexAn Posted April 20, 2014 Posted April 20, 2014 Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего? С докой у него не очень. Так и не понял - разбирает он протоколы только по портам или и по содержимому тоже. Но на входящий трафик он никак не влияет(разве что косвенно через шейпинг исходящего), так что является ли он полноценным DPI это пожалуй не факт. Вставить ник Quote
YuryD Posted November 14, 2014 Posted November 14, 2014 Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего? С докой у него не очень. Так и не понял - разбирает он протоколы только по портам или и по содержимому тоже. Но на входящий трафик он никак не влияет(разве что косвенно через шейпинг исходящего), так что является ли он полноценным DPI это пожалуй не факт. С докой у них нормально, wiki на сайте. Требования по железу строгие достаточно, особенно по процу и сетевкам. А так - внедрение демо - несколько дней удалённо по ssh. запретинфо правильно отрабатывает, выгрузки хоть от них, хоть свои списки подкладывай. Первое впечатление - неплохой продукт. Вставить ник Quote
NikAlexAn Posted November 14, 2014 Posted November 14, 2014 С докой у них нормально, wiki на сайте. Требования по железу строгие достаточно, особенно по процу и сетевкам. А так - внедрение демо - несколько дней удалённо по ssh. запретинфо правильно отрабатывает, выгрузки хоть от них, хоть свои списки подкладывай. Первое впечатление - неплохой продукт. Навигация по разделам практически никакая. А я вот хотел бы доку себе одним файлом качнуть - много хочу? Вышло обновление - стал возможен шейпинг в обе стороны. Ещё не обновлялись пока. Мы его по акции в прошлом декабре заказали - по сравнению с текущими ценами нам он практически даром обошёлся. Вставить ник Quote
Rivia Posted November 14, 2014 Posted November 14, 2014 Спасибо. В целом остается два вопроса: 1. В чем недостатки DPI? А если у меня не 100к пользователей, а миллион? Сколько будет стоить железо, способное разобрать весь трафик? 2. Если ли еще альтернатива DPI? СКАТ, на первый взгляд, очень интересная идея. Изучу подробнее. Корректней все же говорить не про кол-во пользователей, а про объем трафика/сек, требующий разбора. Плюс проблемы с секьюрными сессиями. Вставить ник Quote
YuryD Posted November 14, 2014 Posted November 14, 2014 Навигация по разделам практически никакая. А я вот хотел бы доку себе одним файлом качнуть - много хочу? Я тоже хочу :) Может наши совместные хотелки сподвигнут их на подвиг ? И еще мне понравился алгоритм работы с запретинфо, хошь с облака бери, хошь сам. Причем ЭЦП в продукт не встраивается, что безопасно. Вставить ник Quote
NikAlexAn Posted November 14, 2014 Posted November 14, 2014 Я тоже хочу :) Может наши совместные хотелки сподвигнут их на подвиг ? И еще мне понравился алгоритм работы с запретинфо, хошь с облака бери, хошь сам. Причем ЭЦП в продукт не встраивается, что безопасно. Я периодически напоминаю им о доке. Вроде они говорили что если РКН показать договор на Скат то РКН не будет требовать скачивания реестра - не сталкивались с таким? Хотя иметь актуальный список под руками - может пригодиться. Вставить ник Quote
YuryD Posted November 14, 2014 Posted November 14, 2014 Я периодически напоминаю им о доке. Вроде они говорили что если РКН показать договор на Скат то РКН не будет требовать скачивания реестра - не сталкивались с таким? Хотя иметь актуальный список под руками - может пригодиться. Я не перестану сам забирать список. Про РКН - не везде одинаковые мнения и по скачиванию и по блокировке. Наши привели в пример карбонсофт, как удовлетворяющий их, в отличие от нашего рукописного. Но они еще Скат не щупали... Вставить ник Quote
YuryD Posted November 18, 2014 Posted November 18, 2014 Хихи. Скат прошел проверку ркн на 100%. Они охудивились и не поверили, теперь будут тестировать еще и еще. Хотя должно быть 146%, там еще и минюстовский список. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.