[mr.tom]

Уважаемые коллеги, в рамках небольшого исследования собираем мнения и отзывы по используемым технологиям "отсева" нелегального контента.

Задача: найти лучший вариант системы фильтрации контента по параметрам - стоимость внедрения/гибкость/быстродействие/масштабируемость.

Для оператора фиксированной связи от 100 тыс абонентов. С возможностью избранной блокировки. Например, баннер с запрещенного сайта, без блокировки всей страницы.

 

Прошу вас уделить пару минут и написать что используете вы и какие недостатки есть у вышей системы.

Например:

Блокировка url DNS сервером (направление на IP пустой страницы, вместо нужного)

Недостатки:

- не блокируется запрос по IP

- блокируется вся страница, часть контента блокировать нельзя

 

Блокировка по IP на пограничном маршрутизаторе.

Недостатки:

- Вместе с нелегальным контентом можно заблокировать кучу легального на том же IP

 

"Гибкая" блокировка на уровне ПО маршрутизатора(Cisco SESM например)

Недостатки:

- дорого докупать SESM

- ?

 

Разбор входящего трафика и избранная блокировка системой DPI

- очень дорого

- требует высоких вычислительных мощностей

 

Какие еще есть варианты с их достоинствами и недостатками?

[Butch3r]

Блокировка url DNS сервером (направление на IP пустой страницы, вместо нужного)

Недостатки:

- не блокируется запрос по IP

- блокируется вся страница, часть контента блокировать нельзя

 

Блокировка по IP на пограничном маршрутизаторе.

Недостатки:

- Вместе с нелегальным контентом можно заблокировать кучу легального на том же IP

если у вас 100к абонентов, то это не про вас.

 

DPI, DPI, DPI и ещё раз DPI.

[saaremaa]

DPI и ещё раз DPI.

[Дятел]

Ща ДимаМ про СКАТ расскажет...

http://forum.nag.ru/forum/index.php?showtopic=89189&st=0

[NikAlexAn]

Ща ДимаМ про СКАТ расскажет...

 

А что плохого то?

Недавно приобрели.

Для реестра и списков минюста - само то, ещё и локальные списки добавлять можно.

С него же ещё снимаем статистику по протоколам.

Планируем опробовать и внедрить уведомление пользователей и рекламу.

К сожалению шейпить умеет только исходящий трафик.

Цена приемлемая.

[Дятел]

А я не говорил, что СКАТ - это плохо...

Хотя я, честно говоря, считал что должно быть ещё дешевле, в сравнении с SCE8000.

[mr.tom]

Спасибо. В целом остается два вопроса:

1. В чем недостатки DPI? А если у меня не 100к пользователей, а миллион? Сколько будет стоить железо, способное разобрать весь трафик?

2. Если ли еще альтернатива DPI? СКАТ, на первый взгляд, очень интересная идея. Изучу подробнее.

Изменено 20 апреля, 2014 пользователем mr.tom

[mr.tom]

Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего?

[YuryD]

Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего?

Закон от операторов требует запретить доступ. Поэтому логичнее запретить запросы клиентов, чем ответы на них :)

[NikAlexAn]

Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего?

С докой у него не очень.

Так и не понял - разбирает он протоколы только по портам или и по содержимому тоже.

Но на входящий трафик он никак не влияет(разве что косвенно через шейпинг исходящего), так что является ли он полноценным DPI это пожалуй не факт.

[YuryD]

Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего?

С докой у него не очень.

Так и не понял - разбирает он протоколы только по портам или и по содержимому тоже.

Но на входящий трафик он никак не влияет(разве что косвенно через шейпинг исходящего), так что является ли он полноценным DPI это пожалуй не факт.

 

С докой у них нормально, wiki на сайте. Требования по железу строгие достаточно, особенно по процу и сетевкам. А так - внедрение демо - несколько дней удалённо по ssh. запретинфо правильно отрабатывает, выгрузки хоть от них, хоть свои списки подкладывай. Первое впечатление - неплохой продукт.

[NikAlexAn]

С докой у них нормально, wiki на сайте. Требования по железу строгие достаточно, особенно по процу и сетевкам. А так - внедрение демо - несколько дней удалённо по ssh. запретинфо правильно отрабатывает, выгрузки хоть от них, хоть свои списки подкладывай. Первое впечатление - неплохой продукт.

Навигация по разделам практически никакая. А я вот хотел бы доку себе одним файлом качнуть - много хочу?

 

Вышло обновление - стал возможен шейпинг в обе стороны. Ещё не обновлялись пока.

Мы его по акции в прошлом декабре заказали - по сравнению с текущими ценами нам он практически даром обошёлся.

[Rivia]

Спасибо. В целом остается два вопроса:

1. В чем недостатки DPI? А если у меня не 100к пользователей, а миллион? Сколько будет стоить железо, способное разобрать весь трафик?

2. Если ли еще альтернатива DPI? СКАТ, на первый взгляд, очень интересная идея. Изучу подробнее.

Корректней все же говорить не про кол-во пользователей, а про объем трафика/сек, требующий разбора. Плюс проблемы с секьюрными сессиями.

[YuryD]

Навигация по разделам практически никакая. А я вот хотел бы доку себе одним файлом качнуть - много хочу?

 

Я тоже хочу :) Может наши совместные хотелки сподвигнут их на подвиг ?

И еще мне понравился алгоритм работы с запретинфо, хошь с облака бери, хошь сам. Причем ЭЦП в продукт не встраивается, что безопасно.

[NikAlexAn]

Я тоже хочу :) Может наши совместные хотелки сподвигнут их на подвиг ?

И еще мне понравился алгоритм работы с запретинфо, хошь с облака бери, хошь сам. Причем ЭЦП в продукт не встраивается, что безопасно.

Я периодически напоминаю им о доке.

Вроде они говорили что если РКН показать договор на Скат то РКН не будет требовать скачивания реестра - не сталкивались с таким? Хотя иметь актуальный список под руками - может пригодиться.

[YuryD]

Я периодически напоминаю им о доке.

Вроде они говорили что если РКН показать договор на Скат то РКН не будет требовать скачивания реестра - не сталкивались с таким? Хотя иметь актуальный список под руками - может пригодиться.

 

Я не перестану сам забирать список. Про РКН - не везде одинаковые мнения и по скачиванию и по блокировке. Наши привели в пример карбонсофт, как удовлетворяющий их, в отличие от нашего рукописного. Но они еще Скат не щупали...

[YuryD]

Хихи. Скат прошел проверку ркн на 100%. Они охудивились и не поверили, теперь будут тестировать еще и еще. Хотя должно быть 146%, там еще и минюстовский список.