mr.tom Опубликовано 19 апреля, 2014 · Жалоба Уважаемые коллеги, в рамках небольшого исследования собираем мнения и отзывы по используемым технологиям "отсева" нелегального контента. Задача: найти лучший вариант системы фильтрации контента по параметрам - стоимость внедрения/гибкость/быстродействие/масштабируемость. Для оператора фиксированной связи от 100 тыс абонентов. С возможностью избранной блокировки. Например, баннер с запрещенного сайта, без блокировки всей страницы. Прошу вас уделить пару минут и написать что используете вы и какие недостатки есть у вышей системы. Например: Блокировка url DNS сервером (направление на IP пустой страницы, вместо нужного) Недостатки: - не блокируется запрос по IP - блокируется вся страница, часть контента блокировать нельзя Блокировка по IP на пограничном маршрутизаторе. Недостатки: - Вместе с нелегальным контентом можно заблокировать кучу легального на том же IP "Гибкая" блокировка на уровне ПО маршрутизатора(Cisco SESM например) Недостатки: - дорого докупать SESM - ? Разбор входящего трафика и избранная блокировка системой DPI - очень дорого - требует высоких вычислительных мощностей Какие еще есть варианты с их достоинствами и недостатками? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 20 апреля, 2014 · Жалоба Блокировка url DNS сервером (направление на IP пустой страницы, вместо нужного) Недостатки: - не блокируется запрос по IP - блокируется вся страница, часть контента блокировать нельзя Блокировка по IP на пограничном маршрутизаторе. Недостатки: - Вместе с нелегальным контентом можно заблокировать кучу легального на том же IP если у вас 100к абонентов, то это не про вас. DPI, DPI, DPI и ещё раз DPI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 20 апреля, 2014 · Жалоба DPI и ещё раз DPI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 20 апреля, 2014 · Жалоба Ща ДимаМ про СКАТ расскажет... http://forum.nag.ru/forum/index.php?showtopic=89189&st=0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 20 апреля, 2014 · Жалоба Ща ДимаМ про СКАТ расскажет... А что плохого то? Недавно приобрели. Для реестра и списков минюста - само то, ещё и локальные списки добавлять можно. С него же ещё снимаем статистику по протоколам. Планируем опробовать и внедрить уведомление пользователей и рекламу. К сожалению шейпить умеет только исходящий трафик. Цена приемлемая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 20 апреля, 2014 · Жалоба А я не говорил, что СКАТ - это плохо... Хотя я, честно говоря, считал что должно быть ещё дешевле, в сравнении с SCE8000. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr.tom Опубликовано 20 апреля, 2014 (изменено) · Жалоба Спасибо. В целом остается два вопроса: 1. В чем недостатки DPI? А если у меня не 100к пользователей, а миллион? Сколько будет стоить железо, способное разобрать весь трафик? 2. Если ли еще альтернатива DPI? СКАТ, на первый взгляд, очень интересная идея. Изучу подробнее. Изменено 20 апреля, 2014 пользователем mr.tom Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr.tom Опубликовано 20 апреля, 2014 · Жалоба Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 20 апреля, 2014 · Жалоба Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего? Закон от операторов требует запретить доступ. Поэтому логичнее запретить запросы клиентов, чем ответы на них :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 20 апреля, 2014 · Жалоба Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего? С докой у него не очень. Так и не понял - разбирает он протоколы только по портам или и по содержимому тоже. Но на входящий трафик он никак не влияет(разве что косвенно через шейпинг исходящего), так что является ли он полноценным DPI это пожалуй не факт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 14 ноября, 2014 · Жалоба Я сначала подумал что СКАТ разбирает только исходящий трафик от клиента, но все же получается полноценный DPI с разбором всего входящего? С докой у него не очень. Так и не понял - разбирает он протоколы только по портам или и по содержимому тоже. Но на входящий трафик он никак не влияет(разве что косвенно через шейпинг исходящего), так что является ли он полноценным DPI это пожалуй не факт. С докой у них нормально, wiki на сайте. Требования по железу строгие достаточно, особенно по процу и сетевкам. А так - внедрение демо - несколько дней удалённо по ssh. запретинфо правильно отрабатывает, выгрузки хоть от них, хоть свои списки подкладывай. Первое впечатление - неплохой продукт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 14 ноября, 2014 · Жалоба С докой у них нормально, wiki на сайте. Требования по железу строгие достаточно, особенно по процу и сетевкам. А так - внедрение демо - несколько дней удалённо по ssh. запретинфо правильно отрабатывает, выгрузки хоть от них, хоть свои списки подкладывай. Первое впечатление - неплохой продукт. Навигация по разделам практически никакая. А я вот хотел бы доку себе одним файлом качнуть - много хочу? Вышло обновление - стал возможен шейпинг в обе стороны. Ещё не обновлялись пока. Мы его по акции в прошлом декабре заказали - по сравнению с текущими ценами нам он практически даром обошёлся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 14 ноября, 2014 · Жалоба Спасибо. В целом остается два вопроса: 1. В чем недостатки DPI? А если у меня не 100к пользователей, а миллион? Сколько будет стоить железо, способное разобрать весь трафик? 2. Если ли еще альтернатива DPI? СКАТ, на первый взгляд, очень интересная идея. Изучу подробнее. Корректней все же говорить не про кол-во пользователей, а про объем трафика/сек, требующий разбора. Плюс проблемы с секьюрными сессиями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 14 ноября, 2014 · Жалоба Навигация по разделам практически никакая. А я вот хотел бы доку себе одним файлом качнуть - много хочу? Я тоже хочу :) Может наши совместные хотелки сподвигнут их на подвиг ? И еще мне понравился алгоритм работы с запретинфо, хошь с облака бери, хошь сам. Причем ЭЦП в продукт не встраивается, что безопасно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 14 ноября, 2014 · Жалоба Я тоже хочу :) Может наши совместные хотелки сподвигнут их на подвиг ? И еще мне понравился алгоритм работы с запретинфо, хошь с облака бери, хошь сам. Причем ЭЦП в продукт не встраивается, что безопасно. Я периодически напоминаю им о доке. Вроде они говорили что если РКН показать договор на Скат то РКН не будет требовать скачивания реестра - не сталкивались с таким? Хотя иметь актуальный список под руками - может пригодиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 14 ноября, 2014 · Жалоба Я периодически напоминаю им о доке. Вроде они говорили что если РКН показать договор на Скат то РКН не будет требовать скачивания реестра - не сталкивались с таким? Хотя иметь актуальный список под руками - может пригодиться. Я не перестану сам забирать список. Про РКН - не везде одинаковые мнения и по скачиванию и по блокировке. Наши привели в пример карбонсофт, как удовлетворяющий их, в отличие от нашего рукописного. Но они еще Скат не щупали... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 18 ноября, 2014 · Жалоба Хихи. Скат прошел проверку ркн на 100%. Они охудивились и не поверили, теперь будут тестировать еще и еще. Хотя должно быть 146%, там еще и минюстовский список. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...