Comments 121
Мы построим свой собственный интернет! С блекджеком и шлюхами!
«Автоматический поисковик опасного контента в интернете»? А недельная подборка на email и топ-10 на сайте будут?
Безумие этого рода динозавров с мозгом размером с горошину не знает границ.
И жадность.
Больше похоже на насекомых с организацией типа семьи.
PS. Я помню это выражение, но тут похоже, что подключаемая к динозаврам армия больше похожа на муравьёв… или саранчу
PS. Я помню это выражение, но тут похоже, что подключаемая к динозаврам армия больше похожа на муравьёв… или саранчу
Как я понимаю, это сказал профессор из уютного, охраняемого университетского городка или научного центра? Или он с улицы Гарлема речь про «свободы интернета» толкнул?
Хм. Анонимусы думали, что они будут долбать Пентагон, а Пентагон поднимет лапки кверху и не будет находить способы противодействия? Ну вот, повеселились — и будет.
Так получилось, что я по роду деятельности плотно занимаюсь темой DPI. Так вот. Какой к чёртовой матери DPI у ЦАИР?! Не путайте тёплое с мягким. ЦАИР продаёт решение по URL-фильтрации, их система не способна отличить битторрент от скайпа, она способна лишь на то, чтобы распарсить HTTP GET и принять решение о блокировке такого запроса. Другое дело, их решение порой используется в паре с DPI-коробками разных вендоров. Но сам ЦАИР от темы DPI очень далеки.
У меня в черновиках уже года два лежит недописанная статья про DPI, всё никак руки не дойдут её дописать. Закончу очередной проект по внедрению этого хозяйства и доделаю, чесслово.
У меня в черновиках уже года два лежит недописанная статья про DPI, всё никак руки не дойдут её дописать. Закончу очередной проект по внедрению этого хозяйства и доделаю, чесслово.
ЦАИР продаёт решение по URL-фильтрации
По цене DPI?
Отнюдь. ЦАИР может работать по-разному, стоимость решения будет меняться:
1. Весь DNS-трафик пропускается через их сервер. Плохие запросы будут перенаправлены на портал при помощи левого DNS. Обходится на раз-два, что очевидно. Стоимость решения минимальная, затраты идут только на DNS-сервер и его связь с базой данных ЦАИР.
2. Весь трафик в сторону 80 порта пропускается через ЦАИР-серваки (при помощи PBR на маршрутизаторах) и проверяется на корректность URL, выцепленных из заголовков HTTP. Очевидная проблема — если сервер висит на порту 7638 (к примеру), он успешно пройдёт мимо. Стоимость решения дороже, т.к. железо должно уметь лопатить большой поток HTTP-трафика в режиме реального времени.
3. Весь HTTP-трафик пропускается через ЦАИР-серваки (при помощи интеллектуальной фильтрации на DPI) и проверяется на корректность URL. Такое решение позволит выцепить HTTP-трафик, живущий на любом экзотическом порту. По стоимости примерно похоже на предыдущий вариант. Из плюсов — на ЦАИР не будет залетать трафик потокового видео, вивущего на 80 порту. Такого трафика много, ресурсов он потребляет много.
4. DPI осуществляет запрос к базе данных ЦАИР на каждую новую HTTP-сессию, которая фиксируется на DPI. Это самое элегантное решение, требующее минимум вложений в железо ЦАИР, но зависящее от DPI. Однако не забываем, что DPI может использоваться и для других целей помимо URL-фильтрации.
1. Весь DNS-трафик пропускается через их сервер. Плохие запросы будут перенаправлены на портал при помощи левого DNS. Обходится на раз-два, что очевидно. Стоимость решения минимальная, затраты идут только на DNS-сервер и его связь с базой данных ЦАИР.
2. Весь трафик в сторону 80 порта пропускается через ЦАИР-серваки (при помощи PBR на маршрутизаторах) и проверяется на корректность URL, выцепленных из заголовков HTTP. Очевидная проблема — если сервер висит на порту 7638 (к примеру), он успешно пройдёт мимо. Стоимость решения дороже, т.к. железо должно уметь лопатить большой поток HTTP-трафика в режиме реального времени.
3. Весь HTTP-трафик пропускается через ЦАИР-серваки (при помощи интеллектуальной фильтрации на DPI) и проверяется на корректность URL. Такое решение позволит выцепить HTTP-трафик, живущий на любом экзотическом порту. По стоимости примерно похоже на предыдущий вариант. Из плюсов — на ЦАИР не будет залетать трафик потокового видео, вивущего на 80 порту. Такого трафика много, ресурсов он потребляет много.
4. DPI осуществляет запрос к базе данных ЦАИР на каждую новую HTTP-сессию, которая фиксируется на DPI. Это самое элегантное решение, требующее минимум вложений в железо ЦАИР, но зависящее от DPI. Однако не забываем, что DPI может использоваться и для других целей помимо URL-фильтрации.
внедряли четвертый вариант. Столкнулись с дикими лагами у абонентов. Отменили, увы.
SCE? Какого рода лаги если не секрет и кто виновник? Запрос к базе осуществлялся долго или же просто в принципе некорректно работало? Со слов ЦАИР у них всё круто отработано, никто не жалуется:) Хочу их носом ткнуть.
кластер из 2020, виновник — сервер ЦАИР в москве, к которому отправлялся запрос на классификацию урла. Проектом занимался не я, так что информацию могу дать только самую приблизительную.
был разговор хотя бы об увеличении размера локального кеша или о возможности хранить часть (наиболее часто используемую) БД url на местном кеше, но что-то заглохло.
был разговор хотя бы об увеличении размера локального кеша или о возможности хранить часть (наиболее часто используемую) БД url на местном кеше, но что-то заглохло.
Понятно, спасибо за инфу.
На каждый URL проходящий через систему происхоил запрос в удаленную базу для классификации? Я правильно Вас понял?
насколько мне известно, да.
Это гениально…
Вот вот, такого архитектурного песца я тоже ещё нигде не видел Oo.
Наверное, все-таки только новые урлы. И оно кешируется. Обязательно кешируется. Оно не может не кешироваться...*дергает веком*
Угу, он его не инспектирует, он его тупо блокирует…
Для DPI это элементарная задача, надо только рубильник включить.
Вы всё правильно написали, провокация взрыва. Для банков, видимо, будут требовать использование ГОСТ-шифрования, которое поддаётся вскрытию нашими спецслужбами. У меня в своё время был печальный опыт с заблокированным шифрованным трафиком в одном задрипанном отеле на территории СНГ — ни в VPN зайти, ни почту проверить, удовольствие сомнительное.
Если не сложно — ссылку на подтверждение возможности чтения ГОСТ-89 государственными структурами в студию дайте пожалуйста.
Тоже самое в своё время говорили про NSA — DES (когда они заставили выбрать свои S-блоки), но, как оказалось позднее, всё было только к лучшему: строгий контроль государственной структуры помог сделать шифр более стойким, чем могла сделать его в то время коммерческая структура IBM.
Тоже самое в своё время говорили про NSA — DES (когда они заставили выбрать свои S-блоки), но, как оказалось позднее, всё было только к лучшему: строгий контроль государственной структуры помог сделать шифр более стойким, чем могла сделать его в то время коммерческая структура IBM.
поскольку нету достоверно проверенной модели оценки стойкости S-блоков для входа на алгоритм шифрования ГОСТ-89, таким образом проверить блоки на наличие фундаментальных уязвимостей — проблематично. По поводу NSA-DES — там позже был проведен анализ и закладок обнаружено не было.
Теоретически такие опасения возможны.
Однако на практике простейшие проверки вроде статистического анализа входов-выходов S-блоков на отсутствие каких-либо проблем с равномерным распределением (какие были в одном из блоков DES), уже даёт защиту от большинства известных методов взлома, использующих именно недостатки S-блоков.
Все остальные проблемные места уже довольно хорошо исследованы. И, если не считать анекдотической работы Куртуа (он же автор XSL-«взлома» AES, если не ошибаюсь), на случайных ключах уязвимостей не нашли.
Сами S-блоки находятся тривиальным образом (если они, например, на печатной плате и не известны заранее). После чего простейший анализ позволяет убедиться, что статистических уязвимостей в них нет.
Более того, государству вообще пофиг на такие вещи, как стойкие симметричные шифры. Хотя бы потому, что методом терморектального криптоанализа можно извлечь ключ либо у одной стороны (отправитель), либо у другой (получатель). Особенно если оба находятся на территории одной страны. В отличие от асиметричных шифров, где недоступность получателя делает невозможным чтение сообщений (если, конечно, у отправителя не осталось копий), а сам подход делает возможным увеличение размера группы отправителей до сколь угодно большого размера без компрометации ключа получателя. Вот с такими системами государство боролось и будет бороться. Симптомом является хотя бы тот факт, что ни в США, ни в России нет стандарта на шифрование с открытым ключом, хотя и есть стандарты на электронную подпись (что в общем-то, одно и то же, но вид сбоку).
Однако на практике простейшие проверки вроде статистического анализа входов-выходов S-блоков на отсутствие каких-либо проблем с равномерным распределением (какие были в одном из блоков DES), уже даёт защиту от большинства известных методов взлома, использующих именно недостатки S-блоков.
Все остальные проблемные места уже довольно хорошо исследованы. И, если не считать анекдотической работы Куртуа (он же автор XSL-«взлома» AES, если не ошибаюсь), на случайных ключах уязвимостей не нашли.
Сами S-блоки находятся тривиальным образом (если они, например, на печатной плате и не известны заранее). После чего простейший анализ позволяет убедиться, что статистических уязвимостей в них нет.
Более того, государству вообще пофиг на такие вещи, как стойкие симметричные шифры. Хотя бы потому, что методом терморектального криптоанализа можно извлечь ключ либо у одной стороны (отправитель), либо у другой (получатель). Особенно если оба находятся на территории одной страны. В отличие от асиметричных шифров, где недоступность получателя делает невозможным чтение сообщений (если, конечно, у отправителя не осталось копий), а сам подход делает возможным увеличение размера группы отправителей до сколь угодно большого размера без компрометации ключа получателя. Вот с такими системами государство боролось и будет бороться. Симптомом является хотя бы тот факт, что ни в США, ни в России нет стандарта на шифрование с открытым ключом, хотя и есть стандарты на электронную подпись (что в общем-то, одно и то же, но вид сбоку).
коммент удален
С одной стороны, да, провокация, но с другой — способ социальный взрыв если не остановить, то задержать.
А мне интересно — возможно ли блокировать https трафик только тот, что выходит за граница правового регулирования РФ? Т.е. блокировать только тот https, который хостится за границей. Российские банки не затронуты (зарубежные банки, как известно используются только для получения долларов от Госдепа), а те кто выкладывает «не правильный» контент на территории России вполне легко вычисляется и за ним выезжается. Профит? И не забываем про опыт нескольких «дружественных государств», которые вполне отключали (да и сейчас, вроде, где-то до сих пор не работает) весь https трафик. В Китае (если не ошибаюсь) полностью не доступен YouTube, в том числе.
В Беларуси перекрывали. Как видите — взрыв не произошёл, увы, хомячкам всё нипочём :(
VPN мало кто пользуется? Да ладно. Если учесть, что VPN используется не только «для обхода ограничений» в личном порядке, но и для своего прямого назначения — организации сетей между удалёнными офисами и работниками, то его закрывать невозможно. Т.е. встанут не только многие крупные предприятия, но и правительственные учреждения в том числе.
Люблю я тебя google за то, что все шифруете. Ведь знали, что надо!
Господа, добро пожаловать в мир защищенного интернета, теперь думаю все крупные проекты % на 95 введут у себя SSL.
Господа, добро пожаловать в мир защищенного интернета, теперь думаю все крупные проекты % на 95 введут у себя SSL.
Надо вконтакту срочно перейти на HTTPS. И HTTP точно не закроют :)
Давно уже :) vk.com
Там и галка в настройках соответствующая уже давно есть.
Почему-то вспомнилось, как один знакомый немец жаловался: «Как же надоела этот ваш трояно-вирусный сайт ви-контакт! Столько без от него» :) Пришлось объяснять, что это, видите ли, такая «социательная сеть».
Этот ваш союз электросвязи полные норкоманты и за все время своего существования не родили ни одного полезного документа.
О как.
Вот это вот список «бесполезных» документов. www.itu.int/ITU-T/info/structure.html
И только секция телекома… Про другие не говорю.
Вот это вот список «бесполезных» документов. www.itu.int/ITU-T/info/structure.html
И только секция телекома… Про другие не говорю.
Ну и какая тут польза? Все что надо давно написано в рамках ietf понятным языком. А все иту-шное говно отмирает. Потому что пишут это норкоманы для норкоманов. После чего нет ни нормального интеропа, ни траблешутинга, ни прочего щасья инженерного.
Да да… Особенно серии G, Q, H, X.680-X.699 отлично ietf описыватся… А ну да, нет же ничего ethernet и TCP\IP…
ethernet к ietf никакого отношения не имеет. В чем полезность документов из вышеперечисленных серий ты пока не рассказал. Давай, докажи всем тут, что какой-нибудь H.323 расширяется, настраивается и сопровождается лучше и дешевле, чем SIP.
Или может ты хочешь нам поведать про то что сделало иту когда им рассказали что уже лет 10 строят сети на основе mpls? Давай, давай.
Или может ты хочешь нам поведать про то что сделало иту когда им рассказали что уже лет 10 строят сети на основе mpls? Давай, давай.
Это SIP то? Да, на уровне офиса и астерска, для баналього A-B-C звнока пойдет. Но как только начинается что-то серьезное И тот и другой расширяемые, только вот засада, когда 2 умных человека расширяют SIP они легко могут использовать одинокавые идетификаторы для разных приложений, разруливать коллизии грустно. В H323 такого не получится. Итд и итп. Ну и SIP это нифига не стандарт, каждый вендор его трактует как хочет. В моновендорной среде на базовой функциональности оно еще шевелится, а как только начинаются стыковки — все, приехали. Так что я за SS7 )
Ну я и говорю что для ряда людей есть их мнение и правильное. ) Удачи.
Ну я и говорю что для ряда людей есть их мнение и правильное. ) Удачи.
Что серьезное? Калл-центр — серьезное? Раздать телефонию через интернет абонентам у которых зоопарк тот еще? То что сип не стандарт вообще смешно.
окс7 отдельный разговор, ieft там руку приложил и сейчас хоть как то это можно использовать в существующих реалиях.
Тот же самый окс7 есть американский, европейский и вроде как японский. Много ли такого рода разброда и шатания в стандартах ietf? Я что-то за японский сип пока ничего не слышал.
окс7 отдельный разговор, ieft там руку приложил и сейчас хоть как то это можно использовать в существующих реалиях.
Тот же самый окс7 есть американский, европейский и вроде как японский. Много ли такого рода разброда и шатания в стандартах ietf? Я что-то за японский сип пока ничего не слышал.
Печально. DPI теперь у всех прочно ассоциируется с «демократизацией». А ведь сколько полезного можно делат с трафиком то…
Например?
PCEF/PCRF. QoS всякие… Дифференцированная тарификация. Много чего. Это просто инструмент
В целом это можно назвать одним словом — нарушение принципа сетевого нейтралитета, так?
Настройка приоритета голосового трафика над трафиком торрента — это для вас нарушение принципа сетевого нейтралитета?
Выделение минимальной полосы для потокового видео в трубе абонента, чтобы оно не забивалось трафиком какого-нибудь FTP — тоже нарушение?
Несомненно, что провайдеры не всегда будут пользоваться функциями DPI в хорошем для абонента смысле, но так и атомная энергия может оказаться в разных руках.
Выделение минимальной полосы для потокового видео в трубе абонента, чтобы оно не забивалось трафиком какого-нибудь FTP — тоже нарушение?
Несомненно, что провайдеры не всегда будут пользоваться функциями DPI в хорошем для абонента смысле, но так и атомная энергия может оказаться в разных руках.
Нет. В целом это можно назвать одним из методов traffic engineering.
Не путайте технологию и ее применение. Технология не может нарушать или не нарушать принципы, в отличие от конкретного применения.
Пример. Бесплатный доступ на определенные сайты. Например на *gov*.
Не путайте технологию и ее применение. Технология не может нарушать или не нарушать принципы, в отличие от конкретного применения.
Пример. Бесплатный доступ на определенные сайты. Например на *gov*.
О, еще вспомнил, как забыл не представляю. определение по сигнатурам вирусного трафика и его блокировка. Так же щупал коробку которая спам режет на сетевом уровне.
У меня одного подобные новости вызывают желание поскорее научиться обходить эти средства открытого шпионажа?
Я что-то не понял. А DPI это такой утвержденный аналог китайского великого фаервола? Или я не догоняю, мы вообще где живем в Китае? (я и про Европу тоже говорю)
Кстати, вы видели сколько откликнулось народу на www.freeandopenweb.com — где-то 3 миллиона из N миллиардов. Так что всему офисному планктону мира как-то ****й на узаконенную слежку. =)
Кстати, вы видели сколько откликнулось народу на www.freeandopenweb.com — где-то 3 миллиона из N миллиардов. Так что всему офисному планктону мира как-то ****й на узаконенную слежку. =)
Офисному планктону всегда было на это наплевать, у них в голове живет миф под названием «честному человеку скрывать нечего». То, что этот миф — примитивное «взятие на слабО» и что человек, по идее, имеет право на личное пространство — их волнует мало (тех, кто об этом вообще задумывается, большинство вообще не интересуется этим вопросом)
Прочитал документ. Кто еще из комментаторов прочитал?
Наконец начались попытки стандартизировать такую клевую штуку как DPI. А вот как ее использовать — уже зависит от владельцев.
Те кто вопит о нарушении своих прав средствами DPI должны для полноты протестовать против ГОСТ по которому топоры изготавливают (ну или чего то подобного), ведь ими же зарубить можно…
С Лигой бороться надо… Интересно, почему всякие одиозные организации называют себя «лигами»? Суть у них наверное такая.
Наконец начались попытки стандартизировать такую клевую штуку как DPI. А вот как ее использовать — уже зависит от владельцев.
Те кто вопит о нарушении своих прав средствами DPI должны для полноты протестовать против ГОСТ по которому топоры изготавливают (ну или чего то подобного), ведь ими же зарубить можно…
С Лигой бороться надо… Интересно, почему всякие одиозные организации называют себя «лигами»? Суть у них наверное такая.
А в качестве каналов связи использовать свои спутники или длинноволновый телеграф?
Уж каналы-то государства всегда смогут контролировать.
Уж каналы-то государства всегда смогут контролировать.
«этот международный союз» только рад будет, если вы себя в это гетто своими же руками затолкаете.
Потому что это — гетто. Надежно огороженное, и самой своей сутью ограничивающее приток туда людей со стороны.
Потому что это — гетто. Надежно огороженное, и самой своей сутью ограничивающее приток туда людей со стороны.
Это слишком примитивный сценарий. Чиновники имеют власть только пока к ним обращаются за разрешениями. А создавать своими руками, пусть даже гетто, где их власть полностью отсутствует, они же не дураки. Да и вообще их власть заканчивается в тот момент, когда граждане массово перестают исполнять их запреты.
(например, BitTorrent или HTTPS)
Нельзя просто так взять и заблокировать конкретный URL в HTTPS.
А на блокировку всего шифрованного трафика никто не пойдёт.
Хотя от заказчиков я этот вопрос часто слышу.
Как выяснилось конкретный сервер в нехилом таком проценте юзеров можно замочить с помощью вот этой штуки:
en.wikipedia.org/wiki/Server_Name_Indication
en.wikipedia.org/wiki/Server_Name_Indication
А на блокировку всего шифрованного трафика никто не пойдёт.
Выше уже писали, что в Беларуси 19.12.2010 был заблокирован весь HTTPS. И ничего.
Это не может быть долгосрочной мерой.
Хотя, зная, что происходит в Узбекистане и Казахстане, я сомневаюсь иногда.
Хотя, зная, что происходит в Узбекистане и Казахстане, я сомневаюсь иногда.
Да ничего тут особенного не происходит, в узбекистана уже лет 6-10 есть узел защиты, через который идет весь трафик. В казахстане он только начинает работать. DPI есть и там и там.
Правда в текущем виде DPI этих стран легко обходится. Не работает фергана ( сайт такой) из узбекиста? нет проблем, любой http прокси за пределами узбекистана и все начинает работать. Но регуляторам на это глубоко пофиг, 99 процентов не понимают слов http «прокси», а значит все нормально.
Правда в текущем виде DPI этих стран легко обходится. Не работает фергана ( сайт такой) из узбекиста? нет проблем, любой http прокси за пределами узбекистана и все начинает работать. Но регуляторам на это глубоко пофиг, 99 процентов не понимают слов http «прокси», а значит все нормально.
А на блокировку всего шифрованного трафика никто не пойдёт.
агу, просто сделают выход в интернет только через прокси, с авторизацией по биометрическому паспорту :)
Неуважаемые, МСЭ и ООН!
Мы — граждане Сети. Перестаньте диктовать, что нам делать — и мы не станем говорить, куда вам следует идти.
Ваши попытки контролировать Сеть не вызывают в нас ничего кроме смеси отвращения с жалостью, и в очередной раз подтверждают факт утраты вами всякой связи с реальностью.
Вы слишком поздно опомнились! Сейчас уже бесполезно пытаться запрещать и регулировать: впору задуматься о предоставлении Киберпространству суверенитета, и выработке концепции мирного сосуществования. На наших условиях.
Вы имеете дело не с «кучкой возомнивших о себе умников», а со сверх-сверхдержавой, эдаким надгосударством, легко и непринужденно вмешивающейся во внешнюю и внутреннюю политику сильнейших государств. Смотрите сами:
— Население — 2,5 миллиарда человек (больше, чем у Индии и Китая вместе взятых)
— Денежная единица — Bitcoin (но хождение имеют любые валюты).
— Политическое устройство — распределённая технократия
— Армия — пока в ней не возникало необходимости: ополчение справляется. А ещё в Интернете на стороне Свободы играет Математика.
Чем тягаться с Сетью — идите лучше покачайте нефть. Пока еще можете.
Мы — граждане Сети. Перестаньте диктовать, что нам делать — и мы не станем говорить, куда вам следует идти.
Ваши попытки контролировать Сеть не вызывают в нас ничего кроме смеси отвращения с жалостью, и в очередной раз подтверждают факт утраты вами всякой связи с реальностью.
Вы слишком поздно опомнились! Сейчас уже бесполезно пытаться запрещать и регулировать: впору задуматься о предоставлении Киберпространству суверенитета, и выработке концепции мирного сосуществования. На наших условиях.
Вы имеете дело не с «кучкой возомнивших о себе умников», а со сверх-сверхдержавой, эдаким надгосударством, легко и непринужденно вмешивающейся во внешнюю и внутреннюю политику сильнейших государств. Смотрите сами:
— Население — 2,5 миллиарда человек (больше, чем у Индии и Китая вместе взятых)
— Денежная единица — Bitcoin (но хождение имеют любые валюты).
— Политическое устройство — распределённая технократия
— Армия — пока в ней не возникало необходимости: ополчение справляется. А ещё в Интернете на стороне Свободы играет Математика.
Чем тягаться с Сетью — идите лучше покачайте нефть. Пока еще можете.
А что у таких систем с разбором SPDY?
Не является ли переход на него хотя бы временным лекарством?
Не является ли переход на него хотя бы временным лекарством?
Технические спецификации Y.2770 не предусматривают инспекции зашифрованного трафика
И это самое главное.
Поисковики уже давно научились индексировать HTTPS, а массовый переход потенциально опасных сайтов на HTTPS полностью поставит крест на идее DPI.
И в отличии от различных VPN туннелей тут от пользователя вообще не потребуется каких-либо активных действий.
Это все очень и очень ужасно. Вспоминаю книжки Гибсона, ей-ей, да грядет темное будущее.
оффтопик: ЛБИ нужновлитьпереименовать в ЛГБТ, ибо другим «словом» язык их назвать не поворачивается.
оффтопик: ЛБИ нужно
Выхода два: либо в i2p со своими проектами/доменами/порталами/пользователями и свободой слова, либо к динозаврам в какой-нибудь закрытый фидо и иже с ними.
Тенденция очень печальная, хотя ни когда бы не подумал, что протянутся руки загребущие к «нашим интернетам».
Тенденция очень печальная, хотя ни когда бы не подумал, что протянутся руки загребущие к «нашим интернетам».
Как-то совсем уж мрачно это все выглядит. Больно стремительно вырастает из ниоткуда Великий Китайский Фаервол :(
Sign up to leave a comment.
Международный союз электросвязи утвердил рекомендации на Deep Packet Inspection