Jump to content
Калькуляторы

Отфильтрованные

Материал:

Как бы не относиться к идее фильтрации российского сегмента всемирной сети, как говорится Dura lex sed lex. Если поставлена задача фильтровать - значит нужно фильтровать. Следовательно, необходимо найти техническое решение поставленной задачи. В данной статье будет описание того, как это делается и описание существующих систем фильтрации в сравнительных характеристиках с целью найти оптимальное решение.

 

Полный текст

Share this post


Link to post
Share on other sites

Мне тут говорят, что это не все участники рынка. Говорят, что Касперский тоже имеет решение по фильтрации, например. Кого пропустил? Кинте в меня ссылкой, а?

Share this post


Link to post
Share on other sites

suricata - это же что-то типа Intrusion Prevention System? Ну, тогда это просто другого класса решение. Не про 139-ФЗ.

 

А вот тут еще один разраб нашелся. Барьер.

 

И хочу напомнить про коллекцию экранов с блокировками, а также еще разрабов фильтрующего ПО.

Share this post


Link to post
Share on other sites

У нас также есть решение данного вопроса, разработанное техническим отделом.

Если есть какие-либо предложения или вопросы,- прошу в личку.

Share this post


Link to post
Share on other sites
Софт с оригинальным названием "SkyDNS Zapret ISP" скачивает реестр запрещенных ресурсов с eais.rkn.gov.ru (ЭЦП, разумеется, присутствует) и разрешает домены из реестра в IP-адреса.

Как решается проблема, которая возникает, когда заблокированный hostname меняет в DNS свою A-запись, на A-запись kremlin.ru?

Share this post


Link to post
Share on other sites

Как решается проблема, которая возникает, когда заблокированный hostname меняет в DNS свою A-запись, на A-запись kremlin.ru?

 

Нет никакой проблемы. Потому что на следующем этапе проверяется уже URL блокированной страницы. А трафик к kremlin.ru просто пройдет через платформу без блокировки.

Share this post


Link to post
Share on other sites

У нас также есть решение данного вопроса, разработанное техническим отделом.

Если есть какие-либо предложения или вопросы,- прошу в личку.

вы продаете свое решение на "открытом рынке"? Есть страничка продукта? Это пока все вопросы.

 

Как решается проблема, которая возникает, когда заблокированный hostname меняет в DNS свою A-запись, на A-запись kremlin.ru?

На сколько я понимаю, блокировка осуществляется не по ДНС, а по url. Я же описал выше схему - сначала из списка разрешаются айпишники и по этому листу проводится чистовая проверка по 80/tcp, что достаточно для того, чтобы РКН был морально удовлетворен.

Share this post


Link to post
Share on other sites

Стоит у нас СКАТина Base 20я. Реестры выгружает под нашей подписью, списки отдельные поддерживает, по минюсту фильтрует, ставить можно и на свой сервер - им как понял принципиальна только сетевая. Мониторинг есть. Есть возможность апгрейда до версии Pro с полноценными вкусняшками - анализом, интеграцией с биллингом и т.п. Брали с их железом готовое решение. Вполне в разумные деньги

Share this post


Link to post
Share on other sites

им как понял принципиальна только сетевая

что за карта? Есть в ШопНаге?

Share this post


Link to post
Share on other sites

ценник для сетевой карточки не самый гуманный. Посему мой вывод о том, что DPI и системы фильтрации суть есть разные системы, можно считать верным.

И таки вопрос, что дает DPI кроме фильтра возникает снова.

Share this post


Link to post
Share on other sites

Конечно же СКАТ можно поставить и по классической схеме, но тогда большинство вкусностей DPI станет недоступно,

зато такое решение для фильтрации окажется самым бюджетным из указанных.

 

Фильтрация на DPI также более продвинута: можно фильтровать HTTP Proxy,Opera Mini/Turbo,

можно блокировать https не по IP, а по имени сайта (который указан в сертификате)- привет Akamai и прочим CDN.

 

Хорошо понятно отношение автора к технологии DPI как "наступлению на нейтральность" трафика.

Но... в мобильных сетях DPI - это часть стандарта построения сети (в стандартах 3GPP DPI "маскируется" под

термином PCEF) и основная причина использования DPI - необходимость выжать "более качественный" интернет

из того канала (частотного ресурса) что есть за счет приоритезации трафика.

 

Как это касается фиксированого сегмента?

А также. Не всегда есть возможность расширить канал (привет Сахалину), аварии у аплинков (привет всем многоногим операторам, падает один

из аплинков, а 100 резервирования обычно нет), и ... личная полочка у абонента наступает в соответствии с тарифным планом,

так что отсутствие полочки у оператора абонента не спасет, зато ему поможет приоритезация трафика внутри абонентской полосы

(торрентам приоритет назначают ниже чем потоковому видео).

 

С точки зрения оператора DPI это вообще клондайк, инвестиции в DPI окупаются на 1000% :)

PS И Остапа понесло... останавливаюсь пока не забанили

PPS На всякий случай: я технарь, а не маркетолог

Share this post


Link to post
Share on other sites

Фильтрация на DPI также более продвинута: можно фильтровать HTTP Proxy,Opera Mini/Turbo,

можно блокировать https не по IP, а по имени сайта (который указан в сертификате)- привет Akamai и прочим CDN.

Это, на самом деле, недостаток. У оператора нет задачи лишить связи абонента с его информресурсами - есть лишь задача удовлетворить РКН. Если мой оператор начнет резать http proxy, то он будет послан моментально.

 

С точки зрения оператора DPI это вообще клондайк, инвестиции в DPI окупаются на 1000% :)

Вот я и хочу понять как. Кроме экстремальных случаев с дефицитом полосы, вообще не вижу применений. Честно говоря, и "приоритезация" тоже выглядит несколько натянуто. Ибо хттп занимает в объеме считанные проценты, а видео и торренты резать все равно гики недовольны будут. А гики кричат громче довольных бабушек.

Share this post


Link to post
Share on other sites

Есть одно разумное применение фильтрации с DPI и централизованным управлением в масштабе страны. Которое никогда не будет сделано, ибо требует слишком большой кооперации провайдеров, министерства связи и антивирусных компаний. Это - глушение всяких DDoS, ботсетей итд итп. Идея в том, чтобы зарезать исходящий трафик компьютеров - ботов прямо на выходе от абонента. Не дожидаясь того момента, когда он каналы связи положит.

Share this post


Link to post
Share on other sites

С точки зрения оператора DPI это вообще клондайк, инвестиции в DPI окупаются на 1000% :)

Вот я и хочу понять как. Кроме экстремальных случаев с дефицитом полосы, вообще не вижу применений. Честно говоря, и "приоритезация" тоже выглядит несколько натянуто. Ибо хттп занимает в объеме считанные проценты, а видео и торренты резать все равно гики недовольны будут. А гики кричат громче довольных бабушек.

Никак, Дима лукавит как обычно, нормальный DPI выполняющий попутно функции браса в любом случае дороже обычного браса

единственные плюсы - при аварии на одном из аплинков можно зарезать p2p, ну и сделать приоретизацию в самой трубе клиента, все остальные ништяки при разнице в цене не кошерны

Насчет гиков все очень просто, пусть валят к другим операторам, воплей много а шерсти клок

 

ценник для сетевой карточки не самый гуманный. Посему мой вывод о том, что DPI и системы фильтрации суть есть разные системы, можно считать верным.

И таки вопрос, что дает DPI кроме фильтра возникает снова.

 

норм ценник, я тебе рекомендую вот здесь цены узнать

http://www.napatech.com/products

Share this post


Link to post
Share on other sites

to DimaM - а что вы в своем продукте карты напатеч не заюзали, они же как раз для dpi заточены, самый сок так сказать

если бы вы еще под них NAT запилили, я бы к вам первый в очереди стоял

Share this post


Link to post
Share on other sites

Насчет гиков все очень просто, пусть валят к другим операторам, воплей много а шерсти клок

проблема в том, что клиенты у интернет-провайдеров как раз гики, а не бабушки.

 

И да. Я таки жду хотя бы пять простых аргументов использования DPI в мирное время, доступное пониманию маркетолога

Share this post


Link to post
Share on other sites

Насчет гиков все очень просто, пусть валят к другим операторам, воплей много а шерсти клок

У гигов есть знакомые. Которые потом будут говорить 'компания N -- <чего-нибудь нелестное>'. И их будут немного слушать все остальные.

Share this post


Link to post
Share on other sites

Насчет гиков все очень просто, пусть валят к другим операторам, воплей много а шерсти клок

проблема в том, что клиенты у интернет-провайдеров как раз гики, а не бабушки.

 

И да. Я таки жду хотя бы пять простых аргументов использования DPI в мирное время, доступное пониманию маркетолога

 

гиков в общей массе клиентов дай бог пол процента, если не меньше, я вообще смотрю что большинству клиентов по барабану какой у них оператор

ди и гики разные бывают, у кого-то фетишь яблока включаю тв приставки у кого-то что-то другое, а гики торентоводы сериалов блу-рей пусть отправляются к конкурентам ))

 

все вместе

1. резать траф в случае аварии и таким образом обеспечить более быстрый интернет в период аварии

2. использовать как брас

3. в личку тебе написал. Пункт стоит всех 5

4. анализ трафика на предмет размышления куда катимся и какие тенденции намечаются

5. приоретизация трафика в трубе клиента, субъективно улучшает качество интернета. По моим тестам это выглядело так:

есть пакет на 5 мбит, полностью забиваем трубу торрентом, потом включаем ютуб HD, циска, при этом, сразу отдает нужную полосу ютубу и на небольшой

период клиент получает трубу скажем 12мбит/c. После этого циска зажимает торрент до уровня чтобы гарантировано влезал ютуб. Субъективно ты сразу смотришь ютуб без тормозов

 

ps с тебя бутылка вискаря

Share this post


Link to post
Share on other sites

гиков в общей массе клиентов дай бог пол процента, если не меньше, я вообще смотрю что большинству клиентов по барабану какой у них оператор

тут имеется нюанс формулировки, ибо гиком можно называть любого, кто знает о компьютерах чуточку больше бабушек, и таких в Стране порядка 20 млн. Но фича в том, что гики 146% подключены, а бабушки - нет.

 

Я ничуть не пытаюсь как-то унизить технологию и отвергнуть реально классные технические решения. Просто пытаюсь разобраться, набрать аргументации, и возможно войти в стан приверженцев. Но как техномаркетолог я знаю и разбираюсь в технологиях. Может быть хуже специалиста-инженера, но лучше, чем журналист газеты Гудок.

 

Давай я попробую ответить на твои аргументы контраргументами, которые касаются денег компании и отношениями с клиентами. Без какого-то желания холивара и запинать ногами.

 

1. резать траф в случае аварии и таким образом обеспечить более быстрый интернет в период аварии

Ок. Принимается. И да, для провов с хилыми аплинками тоже интересно. Но. С точки зрения инвестиций в оборудование, не выгоднее ли обеспечить бесперебойную работу вообще? Ну там резервирование аплинков, расширение оных в нужное время и вот это вот все.

 

 

2. использовать как брас

Я не обладаю полной информацией, но что-то мне подсказывает, что просто брас сильно дешевле браса с DPI.

 

 

3. в личку тебе написал. Пункт стоит всех 5

Можно было и в паблик :) Принимается. Но что если враги будут использовать этот канал для коммуникаций? Это ж снижение обороноспособности Страны! (аффтар сам напишет, если захочет, но там не самый очевидный плюс со многими "если")

 

4. анализ трафика на предмет размышления куда катимся и какие тенденции намечаются

Вот тут можно подробнее? Например, мы узнаем, что самый популярный сайт - VC. Что нам даст это знание? Какие решения могут быть приняты на основании этих знаний? При условии, что мы таки занимаемся услугами доступа в интернет, а не баннероной рекламой.

 

5. приоретизация трафика в трубе клиента, субъективно улучшает качество интернета. По моим тестам это выглядело так:

есть пакет на 5 мбит, полностью забиваем трубу торрентом, потом включаем ютуб HD, циска, при этом, сразу отдает нужную полосу ютубу и на небольшой

период клиент получает трубу скажем 12мбит/c. После этого циска зажимает торрент до уровня чтобы гарантировано влезал ютуб. Субъективно ты сразу смотришь ютуб без тормозов

Это ж функция интернет-кэшей и всяческих CDN. Никакой приоритезацией ты все равно не сможешь преодолеть законы физики распространения сигнала. Тут, предчувствую, холивар Dumb Pipe VS Premium Service. Но сей вопрос интересен философически и выходит за рамки данной дискуссии.

 

Просто ответь, надо ли приоритезировать траф до Скайпа, если Мсфт не заплатит за это ни копейки, а качество связи все равно будет зависеть от двух концов трубы - твоей и абонента с которым скайпятся, находящимся в ебенях и по GPRS?

 

Общий вывод - приоритезация бессмыслена, если за нее никто не платит. Если есть кто-то, кто платит, немедленно сообщите - я хочу послать за ним карету скорой помощи узнать почему он это делает. Ноуки для :)

 

ps с тебя бутылка вискаря

виски - националпредательство. Только водка.

 

Кстати, а что у нас нового на рынке CDN? Как-то тема погасла. Или под ковром творятся темные делишки?

Share this post


Link to post
Share on other sites

нормальный DPI выполняющий попутно функции браса в любом случае дороже обычного браса

 

Это imho не так. Во многих случаях BRAS излишество (IPoE - это какой уже процент провайдеров?).

Нарезать канал абонентам и организовать Captive Portal можно на СКАТ, причем с фишками

типа DPI приоритезации, а раздать адреса может DHCP или Radius.

 

В ценах я не силен, но один из клиентов сказал, что плата для Cisco обошлась бы ему в 3 млн руб.

Стоимость лицензии СКАТ-20 Сomplete на канал 10G 640 тыс руб

Share this post


Link to post
Share on other sites

Лишний раз убеждаюсь что в спине каждого маркетолога должен торчать топор, чисто для профилактики ))

 

Объясняю

 

тут имеется нюанс формулировки, ибо гиком можно называть любого, кто знает о компьютерах чуточку больше бабушек

В моей формулировке гик это тот кто хочет утилизировать свою полосу 24x7 на 100%, с точки зрения клиента он абсолютно прав, с моей нет, но это реалии жизни

Ок. Принимается. И да, для провов с хилыми аплинками тоже интересно. Но. С точки зрения инвестиций в оборудование, не выгоднее ли обеспечить бесперебойную работу вообще? Ну там резервирование аплинков, расширение оных в нужное время и вот это вот все.

Резервировать зачастую невозможно, и никто берст не дает, поэтому вариантов как понимаешь, не особо, а так есть возможность более менее дать клиенту нормальный интернет

Я не обладаю полной информацией, но что-то мне подсказывает, что просто брас сильно дешевле браса с DPI.

раза так в 4, если брать новый

Вот тут можно подробнее? Например, мы узнаем, что самый популярный сайт - VC. Что нам даст это знание? Какие решения могут быть приняты на основании этих знаний? При условии, что мы таки занимаемся услугами доступа в интернет, а не баннероной рекламой.

тут много вариантов, во первых видно кому нужна приоретизация а кому нет, для предлагаемых продаванами кеш систем сразу видно есть ли в них необходимость, пример akamai

вообщем это отдельная тема для разговора и явно не для уровня пусть и хорошей бутылки водки, я понятно изъясняюсь? ))

Это ж функция интернет-кэшей и всяческих CDN. Никакой приоритезацией ты все равно не сможешь преодолеть законы физики распространения сигнала. Тут, предчувствую, холивар Dumb Pipe VS Premium Service. Но сей вопрос интересен философически и выходит за рамки данной дискуссии.

 

Просто ответь, надо ли приоритезировать траф до Скайпа, если Мсфт не заплатит за это ни копейки, а качество связи все равно будет зависеть от двух концов трубы - твоей и абонента с которым скайпятся, находящимся в ебенях и по GPRS?

Я буду приоретизировать траф который востребован наибольшим числом платежеспособных клиентов. А скайпом интенсивно пользуются бабушки и люди среднего возраста т.е. наиболее платежеспособные клиенты, и если появится новый сервис которым будет пользоваться именно эта часть клиентов я буду его ставить вверх, вне зависимости от того заплатит мне поставщик или нет

 

Принципиально, мы можем повлиять только на свою сторону, и почему бы этого не сделать если есть такая возможность? Пока сынок тянет торрент у мамы не будет лагать скайп, все довольны и исправно платят абонентку, саппорт спит

виски - националпредательство. Только водка.

Жмот! хрен тебе а не печеньки ))

Share this post


Link to post
Share on other sites

to DimaM - а что вы в своем продукте карты напатеч не заюзали, они же как раз для dpi заточены, самый сок так сказать

если бы вы еще под них NAT запилили, я бы к вам первый в очереди стоял

 

Подозреваю, что с napatech не удалось бы предложить гуманный ценник

А NAT запилим если будет спрос, в нашем случае это не проблема

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this