Robot_NagNews Posted September 29, 2014 · Report post Материал: Как бы не относиться к идее фильтрации российского сегмента всемирной сети, как говорится Dura lex sed lex. Если поставлена задача фильтровать - значит нужно фильтровать. Следовательно, необходимо найти техническое решение поставленной задачи. В данной статье будет описание того, как это делается и описание существующих систем фильтрации в сравнительных характеристиках с целью найти оптимальное решение. Полный текст Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wanderer_from Posted September 29, 2014 · Report post Мне тут говорят, что это не все участники рынка. Говорят, что Касперский тоже имеет решение по фильтрации, например. Кого пропустил? Кинте в меня ссылкой, а? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ichthyandr Posted September 29, 2014 · Report post использование snort/suricata в кач-ве DPI нет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wanderer_from Posted September 29, 2014 · Report post suricata - это же что-то типа Intrusion Prevention System? Ну, тогда это просто другого класса решение. Не про 139-ФЗ. А вот тут еще один разраб нашелся. Барьер. И хочу напомнить про коллекцию экранов с блокировками, а также еще разрабов фильтрующего ПО. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
plusinfo Posted September 29, 2014 · Report post У нас также есть решение данного вопроса, разработанное техническим отделом. Если есть какие-либо предложения или вопросы,- прошу в личку. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted September 29, 2014 · Report post Софт с оригинальным названием "SkyDNS Zapret ISP" скачивает реестр запрещенных ресурсов с eais.rkn.gov.ru (ЭЦП, разумеется, присутствует) и разрешает домены из реестра в IP-адреса. Как решается проблема, которая возникает, когда заблокированный hostname меняет в DNS свою A-запись, на A-запись kremlin.ru? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Мор Posted September 30, 2014 · Report post Как решается проблема, которая возникает, когда заблокированный hostname меняет в DNS свою A-запись, на A-запись kremlin.ru? Нет никакой проблемы. Потому что на следующем этапе проверяется уже URL блокированной страницы. А трафик к kremlin.ru просто пройдет через платформу без блокировки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wanderer_from Posted September 30, 2014 · Report post У нас также есть решение данного вопроса, разработанное техническим отделом. Если есть какие-либо предложения или вопросы,- прошу в личку. вы продаете свое решение на "открытом рынке"? Есть страничка продукта? Это пока все вопросы. Как решается проблема, которая возникает, когда заблокированный hostname меняет в DNS свою A-запись, на A-запись kremlin.ru? На сколько я понимаю, блокировка осуществляется не по ДНС, а по url. Я же описал выше схему - сначала из списка разрешаются айпишники и по этому листу проводится чистовая проверка по 80/tcp, что достаточно для того, чтобы РКН был морально удовлетворен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
joker38 Posted September 30, 2014 · Report post Стоит у нас СКАТина Base 20я. Реестры выгружает под нашей подписью, списки отдельные поддерживает, по минюсту фильтрует, ставить можно и на свой сервер - им как понял принципиальна только сетевая. Мониторинг есть. Есть возможность апгрейда до версии Pro с полноценными вкусняшками - анализом, интеграцией с биллингом и т.п. Брали с их железом готовое решение. Вполне в разумные деньги Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wanderer_from Posted September 30, 2014 · Report post им как понял принципиальна только сетевая что за карта? Есть в ШопНаге? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
joker38 Posted September 30, 2014 · Report post http://shop.nag.ru/catalog/00006.Servery/02273.Setevye-karty/14857.PE210G2BPI9-SR-SD-NEO http://shop.nag.ru/catalog/00006.Servery/02273.Setevye-karty/14815.PE210G2BPI9-LR-SD Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wanderer_from Posted September 30, 2014 · Report post ценник для сетевой карточки не самый гуманный. Посему мой вывод о том, что DPI и системы фильтрации суть есть разные системы, можно считать верным. И таки вопрос, что дает DPI кроме фильтра возникает снова. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DimaM Posted September 30, 2014 · Report post Конечно же СКАТ можно поставить и по классической схеме, но тогда большинство вкусностей DPI станет недоступно, зато такое решение для фильтрации окажется самым бюджетным из указанных. Фильтрация на DPI также более продвинута: можно фильтровать HTTP Proxy,Opera Mini/Turbo, можно блокировать https не по IP, а по имени сайта (который указан в сертификате)- привет Akamai и прочим CDN. Хорошо понятно отношение автора к технологии DPI как "наступлению на нейтральность" трафика. Но... в мобильных сетях DPI - это часть стандарта построения сети (в стандартах 3GPP DPI "маскируется" под термином PCEF) и основная причина использования DPI - необходимость выжать "более качественный" интернет из того канала (частотного ресурса) что есть за счет приоритезации трафика. Как это касается фиксированого сегмента? А также. Не всегда есть возможность расширить канал (привет Сахалину), аварии у аплинков (привет всем многоногим операторам, падает один из аплинков, а 100 резервирования обычно нет), и ... личная полочка у абонента наступает в соответствии с тарифным планом, так что отсутствие полочки у оператора абонента не спасет, зато ему поможет приоритезация трафика внутри абонентской полосы (торрентам приоритет назначают ниже чем потоковому видео). С точки зрения оператора DPI это вообще клондайк, инвестиции в DPI окупаются на 1000% :) PS И Остапа понесло... останавливаюсь пока не забанили PPS На всякий случай: я технарь, а не маркетолог Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wanderer_from Posted September 30, 2014 · Report post Фильтрация на DPI также более продвинута: можно фильтровать HTTP Proxy,Opera Mini/Turbo, можно блокировать https не по IP, а по имени сайта (который указан в сертификате)- привет Akamai и прочим CDN. Это, на самом деле, недостаток. У оператора нет задачи лишить связи абонента с его информресурсами - есть лишь задача удовлетворить РКН. Если мой оператор начнет резать http proxy, то он будет послан моментально. С точки зрения оператора DPI это вообще клондайк, инвестиции в DPI окупаются на 1000% :) Вот я и хочу понять как. Кроме экстремальных случаев с дефицитом полосы, вообще не вижу применений. Честно говоря, и "приоритезация" тоже выглядит несколько натянуто. Ибо хттп занимает в объеме считанные проценты, а видео и торренты резать все равно гики недовольны будут. А гики кричат громче довольных бабушек. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted September 30, 2014 · Report post Есть одно разумное применение фильтрации с DPI и централизованным управлением в масштабе страны. Которое никогда не будет сделано, ибо требует слишком большой кооперации провайдеров, министерства связи и антивирусных компаний. Это - глушение всяких DDoS, ботсетей итд итп. Идея в том, чтобы зарезать исходящий трафик компьютеров - ботов прямо на выходе от абонента. Не дожидаясь того момента, когда он каналы связи положит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alks Posted September 30, 2014 · Report post С точки зрения оператора DPI это вообще клондайк, инвестиции в DPI окупаются на 1000% :) Вот я и хочу понять как. Кроме экстремальных случаев с дефицитом полосы, вообще не вижу применений. Честно говоря, и "приоритезация" тоже выглядит несколько натянуто. Ибо хттп занимает в объеме считанные проценты, а видео и торренты резать все равно гики недовольны будут. А гики кричат громче довольных бабушек. Никак, Дима лукавит как обычно, нормальный DPI выполняющий попутно функции браса в любом случае дороже обычного браса единственные плюсы - при аварии на одном из аплинков можно зарезать p2p, ну и сделать приоретизацию в самой трубе клиента, все остальные ништяки при разнице в цене не кошерны Насчет гиков все очень просто, пусть валят к другим операторам, воплей много а шерсти клок ценник для сетевой карточки не самый гуманный. Посему мой вывод о том, что DPI и системы фильтрации суть есть разные системы, можно считать верным. И таки вопрос, что дает DPI кроме фильтра возникает снова. норм ценник, я тебе рекомендую вот здесь цены узнать http://www.napatech.com/products Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alks Posted September 30, 2014 · Report post to DimaM - а что вы в своем продукте карты напатеч не заюзали, они же как раз для dpi заточены, самый сок так сказать если бы вы еще под них NAT запилили, я бы к вам первый в очереди стоял Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wanderer_from Posted September 30, 2014 · Report post Насчет гиков все очень просто, пусть валят к другим операторам, воплей много а шерсти клок проблема в том, что клиенты у интернет-провайдеров как раз гики, а не бабушки. И да. Я таки жду хотя бы пять простых аргументов использования DPI в мирное время, доступное пониманию маркетолога Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted September 30, 2014 · Report post Насчет гиков все очень просто, пусть валят к другим операторам, воплей много а шерсти клок У гигов есть знакомые. Которые потом будут говорить 'компания N -- <чего-нибудь нелестное>'. И их будут немного слушать все остальные. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alks Posted September 30, 2014 · Report post Насчет гиков все очень просто, пусть валят к другим операторам, воплей много а шерсти клок проблема в том, что клиенты у интернет-провайдеров как раз гики, а не бабушки. И да. Я таки жду хотя бы пять простых аргументов использования DPI в мирное время, доступное пониманию маркетолога гиков в общей массе клиентов дай бог пол процента, если не меньше, я вообще смотрю что большинству клиентов по барабану какой у них оператор ди и гики разные бывают, у кого-то фетишь яблока включаю тв приставки у кого-то что-то другое, а гики торентоводы сериалов блу-рей пусть отправляются к конкурентам )) все вместе 1. резать траф в случае аварии и таким образом обеспечить более быстрый интернет в период аварии 2. использовать как брас 3. в личку тебе написал. Пункт стоит всех 5 4. анализ трафика на предмет размышления куда катимся и какие тенденции намечаются 5. приоретизация трафика в трубе клиента, субъективно улучшает качество интернета. По моим тестам это выглядело так: есть пакет на 5 мбит, полностью забиваем трубу торрентом, потом включаем ютуб HD, циска, при этом, сразу отдает нужную полосу ютубу и на небольшой период клиент получает трубу скажем 12мбит/c. После этого циска зажимает торрент до уровня чтобы гарантировано влезал ютуб. Субъективно ты сразу смотришь ютуб без тормозов ps с тебя бутылка вискаря Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wanderer_from Posted September 30, 2014 · Report post гиков в общей массе клиентов дай бог пол процента, если не меньше, я вообще смотрю что большинству клиентов по барабану какой у них оператор тут имеется нюанс формулировки, ибо гиком можно называть любого, кто знает о компьютерах чуточку больше бабушек, и таких в Стране порядка 20 млн. Но фича в том, что гики 146% подключены, а бабушки - нет. Я ничуть не пытаюсь как-то унизить технологию и отвергнуть реально классные технические решения. Просто пытаюсь разобраться, набрать аргументации, и возможно войти в стан приверженцев. Но как техномаркетолог я знаю и разбираюсь в технологиях. Может быть хуже специалиста-инженера, но лучше, чем журналист газеты Гудок. Давай я попробую ответить на твои аргументы контраргументами, которые касаются денег компании и отношениями с клиентами. Без какого-то желания холивара и запинать ногами. 1. резать траф в случае аварии и таким образом обеспечить более быстрый интернет в период аварии Ок. Принимается. И да, для провов с хилыми аплинками тоже интересно. Но. С точки зрения инвестиций в оборудование, не выгоднее ли обеспечить бесперебойную работу вообще? Ну там резервирование аплинков, расширение оных в нужное время и вот это вот все. 2. использовать как брас Я не обладаю полной информацией, но что-то мне подсказывает, что просто брас сильно дешевле браса с DPI. 3. в личку тебе написал. Пункт стоит всех 5 Можно было и в паблик :) Принимается. Но что если враги будут использовать этот канал для коммуникаций? Это ж снижение обороноспособности Страны! (аффтар сам напишет, если захочет, но там не самый очевидный плюс со многими "если") 4. анализ трафика на предмет размышления куда катимся и какие тенденции намечаются Вот тут можно подробнее? Например, мы узнаем, что самый популярный сайт - VC. Что нам даст это знание? Какие решения могут быть приняты на основании этих знаний? При условии, что мы таки занимаемся услугами доступа в интернет, а не баннероной рекламой. 5. приоретизация трафика в трубе клиента, субъективно улучшает качество интернета. По моим тестам это выглядело так: есть пакет на 5 мбит, полностью забиваем трубу торрентом, потом включаем ютуб HD, циска, при этом, сразу отдает нужную полосу ютубу и на небольшой период клиент получает трубу скажем 12мбит/c. После этого циска зажимает торрент до уровня чтобы гарантировано влезал ютуб. Субъективно ты сразу смотришь ютуб без тормозов Это ж функция интернет-кэшей и всяческих CDN. Никакой приоритезацией ты все равно не сможешь преодолеть законы физики распространения сигнала. Тут, предчувствую, холивар Dumb Pipe VS Premium Service. Но сей вопрос интересен философически и выходит за рамки данной дискуссии. Просто ответь, надо ли приоритезировать траф до Скайпа, если Мсфт не заплатит за это ни копейки, а качество связи все равно будет зависеть от двух концов трубы - твоей и абонента с которым скайпятся, находящимся в ебенях и по GPRS? Общий вывод - приоритезация бессмыслена, если за нее никто не платит. Если есть кто-то, кто платит, немедленно сообщите - я хочу послать за ним карету скорой помощи узнать почему он это делает. Ноуки для :) ps с тебя бутылка вискаря виски - националпредательство. Только водка. Кстати, а что у нас нового на рынке CDN? Как-то тема погасла. Или под ковром творятся темные делишки? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DimaM Posted September 30, 2014 · Report post нормальный DPI выполняющий попутно функции браса в любом случае дороже обычного браса Это imho не так. Во многих случаях BRAS излишество (IPoE - это какой уже процент провайдеров?). Нарезать канал абонентам и организовать Captive Portal можно на СКАТ, причем с фишками типа DPI приоритезации, а раздать адреса может DHCP или Radius. В ценах я не силен, но один из клиентов сказал, что плата для Cisco обошлась бы ему в 3 млн руб. Стоимость лицензии СКАТ-20 Сomplete на канал 10G 640 тыс руб Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alks Posted September 30, 2014 · Report post Лишний раз убеждаюсь что в спине каждого маркетолога должен торчать топор, чисто для профилактики )) Объясняю тут имеется нюанс формулировки, ибо гиком можно называть любого, кто знает о компьютерах чуточку больше бабушек В моей формулировке гик это тот кто хочет утилизировать свою полосу 24x7 на 100%, с точки зрения клиента он абсолютно прав, с моей нет, но это реалии жизни Ок. Принимается. И да, для провов с хилыми аплинками тоже интересно. Но. С точки зрения инвестиций в оборудование, не выгоднее ли обеспечить бесперебойную работу вообще? Ну там резервирование аплинков, расширение оных в нужное время и вот это вот все. Резервировать зачастую невозможно, и никто берст не дает, поэтому вариантов как понимаешь, не особо, а так есть возможность более менее дать клиенту нормальный интернет Я не обладаю полной информацией, но что-то мне подсказывает, что просто брас сильно дешевле браса с DPI. раза так в 4, если брать новый Вот тут можно подробнее? Например, мы узнаем, что самый популярный сайт - VC. Что нам даст это знание? Какие решения могут быть приняты на основании этих знаний? При условии, что мы таки занимаемся услугами доступа в интернет, а не баннероной рекламой. тут много вариантов, во первых видно кому нужна приоретизация а кому нет, для предлагаемых продаванами кеш систем сразу видно есть ли в них необходимость, пример akamai вообщем это отдельная тема для разговора и явно не для уровня пусть и хорошей бутылки водки, я понятно изъясняюсь? )) Это ж функция интернет-кэшей и всяческих CDN. Никакой приоритезацией ты все равно не сможешь преодолеть законы физики распространения сигнала. Тут, предчувствую, холивар Dumb Pipe VS Premium Service. Но сей вопрос интересен философически и выходит за рамки данной дискуссии. Просто ответь, надо ли приоритезировать траф до Скайпа, если Мсфт не заплатит за это ни копейки, а качество связи все равно будет зависеть от двух концов трубы - твоей и абонента с которым скайпятся, находящимся в ебенях и по GPRS? Я буду приоретизировать траф который востребован наибольшим числом платежеспособных клиентов. А скайпом интенсивно пользуются бабушки и люди среднего возраста т.е. наиболее платежеспособные клиенты, и если появится новый сервис которым будет пользоваться именно эта часть клиентов я буду его ставить вверх, вне зависимости от того заплатит мне поставщик или нет Принципиально, мы можем повлиять только на свою сторону, и почему бы этого не сделать если есть такая возможность? Пока сынок тянет торрент у мамы не будет лагать скайп, все довольны и исправно платят абонентку, саппорт спит виски - националпредательство. Только водка. Жмот! хрен тебе а не печеньки )) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PhantomTLT Posted September 30, 2014 · Report post В статье забыли упомянуть http://cyberfilter.ru Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DimaM Posted September 30, 2014 · Report post to DimaM - а что вы в своем продукте карты напатеч не заюзали, они же как раз для dpi заточены, самый сок так сказать если бы вы еще под них NAT запилили, я бы к вам первый в очереди стоял Подозреваю, что с napatech не удалось бы предложить гуманный ценник А NAT запилим если будет спрос, в нашем случае это не проблема Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...