Всем известно о «великом китайском файрволе» — системе фильтрации неугодных зарубежных веб-сайтов, которые недоступны для просмотра с территории Китая. В то же время, немногие знают, что эта же система используется также для блокировки отдельных китайских веб-сайтов от доступа извне, то есть из-за границы. Эти пропагандистские ресурсы предназначены исключительно «для внутреннего потребления».

В связи с этим возникает вполне естественный вопрос: почему же такое большое зловредных серверов, с которых по всему миру рассылается вредоносное ПО и спам, физически находятся в Китае? Анализ показывает, что Китай занимает первое место в мире по генерации вредоносного трафика.

Эффективность китайского файрвола вызывает некоторые сомнения и является предметом непрекращающегося обсуждения. Рассылка гигабайтов спама и вирусов с территории Китая — это ещё один аргумент в пользу тех, кто говорит о неэффективности файрвола. Иначе остаётся предположить, что «дыры» в файрволе оставляются с ведома китайских властей. Если вспомнить недавние новости, что в Китае начали формировать чуть ли не государственные бригады хакеров для ведения информационной войны, то в версию о намеренно «дырявом» файрволе вполне можно поверить.

Бесплатный сервис OpenDNS специализируется на фильтрации сетевого трафика. Он был запущен в середине 2006 года как инструмент для защиты пользователей от фишинга и других «нехороших» сайтов (гемблинг, порнография и т.д., там полсотни категорий, из которых можно выбирать). Вы прописываете IP-адрес в настройках DNS и больше можете никогда не вспоминать о его существовании. В то же время все запросы с этого момента будут проходить через него. Если попытаться загрузить какой-то из запрещённых сайтов — то вместо него в браузере появится страничка от OpenDNS с результатами поиска и контекстной рекламой.

За неполные два года своего существования OpenDNS стал чрезвычайно популярным сервисом, особенно среди корпоративных клиентов и образовательных учреждений. Ежедневно он обрабатывает около 7 млрд DNS-запросов и показывает 2 млн поисковых страниц. Только зарегистрированных аккаунтов насчитывается 500 тыс., но за каждым аккаунтом могут скрываться тысячи настоящих пользователей.

Оказывается, OpenDNS приносит своим создателям неплохие деньги: они получают около $20 000 в день за счёт контекстной рекламы, причём эксклюзивным поставщиком рекламы является Yahoo. Ни одна услуга OpenDNS не предоставляется за деньги, всё абсолютно бесплатно. Пополнение и обновление базы «вредоносных» сайтов осуществляется с помощью самих пользователей через Digg-подобный интерфейс.

via TechCrunch

Правительство Австралии запускает тестирование общенационального «большого файрвола» — единой системы фильтрации интернет-трафика для защиты своих граждан от непотребного интернет-контента. После запуска системы будут заблокированы 10 000 сайтов с «нелегальным» содержанием. Это часть государственной программы по обеспечению «кибербезопасности» страны с общим бюджетом $82 млн.

В ноябре министр связи Австралии пригласил к себе руководство крупнейших интернет-провайдеров и операторов сотовой связи и объяснил им условия участия в тестировании, которое начинается в декабре. В задачу провайдеров входит блокировать доступ к списку сайтов, который им поступает из Министерства. Составлением списка занимается бюро Australian Communications and Media Authority (оно же выставляет рейтинги кинофильмам).

Действия правительства уже вызвали шквал критики. Эксперты предупреждают о снижении общей скорости сёрфинга (во время тестов снижение скорости составило от 2% до 87%) и других технических проблемах (например, 3% ложных срабатываний, когда фильтруются вполне нормальные сайты). При этом эксперты вообще сомневаются в эффективности такой фильтрации, ведь основная часть нелегального контента идёт через P2P, который вовсе не фильтруется. Пользователи тоже не особенно рады: в Facebook уже собрано 85 000 подписей против этой государственной инициативы.

Приветствую тебя, товарищ!
С наступающим праздником труда! Спешу сообщить тебе вести с DNS полей проекта rejector.ru!



Статистика за последний месяц:

— всего DNS запросов — более 30 000 000;
— обработано DNS запросов (type A) — 18 680 533;
— из них ошибочных запросов — 716 822;
— заблокировано по желанию товарищей — 180 349;
— фишинговых запросов — 31 536;
— из них заблокировано по желанию товарищей — 3585;
— в DNS кэше — колеблется от 800 000 до 1 000 000 записей;
— среднее время ответа — <10 мс;
— средняя нагрузка на серверах ~ 2-3%.

Используя услуги Реформал.ру было получено и обработано несколько пожеланий.

Как и во время президентских выборов 2001 и 2006 годов, сегодня 19 декабря 2010 года в день голосования на президентских выборах в Беларуси снова перестали работать оппозиционные сайты. По доброй традиции, фильтрация осуществляется ресурсами государственного провайдера-монополиста «Белетелеком», которому принадлежат все внешние интернет-каналы.

Шейпинг трафика осуществляется «китайским методом», и обойти такую защиту можно через анонимный прокси.

Кроме оппозиционных сайтов (charter97.org, electroname.com, ucpb.org и др.) заблокированы также все крупные почтовые провайдеры, включая Gmail (чтобы та же «Хартия» не рассылала новости подписчикам), сервис ICQ, сервис Google Docs и некоторые другие сайты. У некоторых правозащитников и активистов заблокированы телефоны. В то же время Google Reader, Facebook и Skype работают совершенно свободно. Поэтому сайт «Хартии'97» совершенно логично переехал на Facebook и там транслирует новости. Эти же новости можно читать через Google Reader.

Все, что известно о DLP-системах человеку неискушенному, можно уместить в трех словах: сложно, дорого, непонятно. Даже Википедия не знает, как правильнее: Data Leak Prevention или Data Loss Prevention. Хотя, суть технологии прямо соответствует названию: защита от случайных утечек данных. Ни больше, ни меньше. Мы зарелизили первый в России интернет-шлюз с модулем DLP. Может, вообще первый в мире (китайцы наверняка и это уже изобрели), хотя это так логично — фильтровать трафик именно на шлюзе, не вкорячивая отдельную систему до или после него. DLP-модуль не нужно внедрять или настраивать — он уже в дистрибутиве. Домашним пользователям за него даже не надо платить — качай, как говорится, лицензионное.

Сегодня я расскажу вам о том, как отфильтровать трафик в сети с помощью списков контроля доступа. Рассмотрим как они работают соответственно, что собой представляют, для чего предназначены. Позже я покажу как они настраиваются в Cisco IOS и выложу архив с лабораторными работами для закрепления ваших знаний.

Введение

ACL (Access Control List) — это набор текстовых выражений, которые что-то разрешают, либо что-то запрещают. Обычно ACL разрешает или запрещает IP-пакеты, но помимо всего прочего он может заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. Также ACL существует для различных сетевых протоколов (IP, IPX, AppleTalk и так далее). В основном применение списков доступа рассматривают с точки зрения пакетной фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда у вас стоит оборудование на границе Интернет и вашей частной сети и нужно отфильтровать ненужный трафик.

В блоге проекта Tor опубликовано обращение к операторам шлюзов Tor сделать апгрейд ПО до версии Tor 0.2.2.33 или Tor 0.2.3.4-alpha, чтобы пользователи из Ирана снова могли подключиться к сети анонимайзеров. Причина в том, что утром 13 сентября граничные маршрутизаторы Ирана начали распознавать и отфильтровывать трафик Tor.

Благодаря помощи сторонних специалистов удалось быстро понять, по каким именно признакам фильтруется трафик, и выпустить новую версию программы. К счастью, оказалось достаточно небольших исправлений на серверной стороне, чтобы десятки тысяч пользователей из Ирана снова получили возможность анонимного сёрфинга в Сети.

Tor пытается максимально замаскировать свой трафик под обычную HTTPS-сессию. В данном случае иранские маршрутизаторы распознали его по сроку действия цифрового сертификата SSL. В сети Tor сертификаты менялись каждые два часа, тогда как обычные удостоверяющие центры выдают SSL-сертификаты на год или больше.

Специалисты Tor уже подготовили свои действия в ответ на следующие попытки фильтрации трафика в Иране. Они считают более разумным не вносить изменения заблаговременно, а дождаться хода противника.

Постановление Европейского суда от 24 ноября поставило точку в длившемся 7 лет процессе между бельгийской ассоциацией копирастов авторов, композиторов и издателей SABAM и интернет-провайдером Scarlet. А заодно решение распространяется и на всю Европу.

1. Фильтры захвата

Анализаторы трафика являются полезным и эффективным инструментом в жизни администратора сети, они позволяют «увидеть» то что на самом деле передается в сети, чем упрощают диагностику разнообразных проблем или же изучение принципов работы тех или иных протоколов и технологий.
Однако в сети зачастую передается достаточно много разнообразных блоков данных, и если заставить вывести на экран все, что проходит через сетевой интерфейс, выделить то, что действительно необходимо, бывает проблематично.
Для решения этой проблемы в анализаторах трафика реализованы фильтры, которые разделены на два типа: фильтры захвата и фильтры отображения. Сегодня пойдет речь о первом типе фильтров – о фильтрах захвата.
Фильтры захвата, это разновидность фильтров, позволяющая ограничить захват кадров только теми, которые необходимы для анализа, уменьшив, таким образом, нагрузку на вычислительные ресурсы компьютера, а также упростив процесс анализа трафика.

1. Фильтры отображения

Анализаторы трафика являются полезным и эффективным инструментом в жизни администратора сети, они позволяют «увидеть» то что на самом деле передается в сети, чем упрощают диагностику разнообразных проблем или же изучение принципов работы тех или иных протоколов и технологий.
Однако в сети зачастую передается достаточно много разнообразных блоков данных, и если заставить вывести на экран все, что проходит через сетевой интерфейс, выделить то, что действительно необходимо, бывает проблематично.
Для решения этой проблемы в анализаторах трафика реализованы фильтры, которые разделены на два типа: фильтры захвата и фильтры отображения. В прошлый раз мы рассматривали фильтры захвата. Сегодня пойдет речь о втором типе фильтров – о фильтрах отображения.
Фильтры отображения, это разновидность фильтров, позволяющая отобразить только те кадры, которые необходимы в данный момент (принадлежат определенному протоколу и/или узлу), временно скрыв все остальные.
Правила написания фильтров отображения отличаются от правил написания фильтров захвата. Отличая не такие уж большие, но как правило достаточные для того что бы правило фильтра захвата без каких-либо изменений не работало будучи примененным как фильтр отображения.

Как и обещали, поговорим о технологиях блокировок сайтов.

Сначала – о методах политических

Которые мало отличаются от методов борьбы с неугодными СМИ, и эффективность которых повышается от параллельного использования современных средств сбора информации, и технических средств (а значит и от достойного финансирования).

Прежде всего, в мире распространена практика принятия законов, запрещающих публикацию информации определенного рода. Лидируют нарушение авторских прав и детская порнография – они запрещены почти во всем мире, вне зависимости от политической или религиозной принадлежности страны.

В развитых странах вследствие этого запрета довольно развита самоцензура. То есть уважающие себя ресурсы сами сомнительный контент отслеживают, и не размещают, или убирают по первому требованию. Некоторые международные сайты учитывают ситуацию в стране, и, несмотря на то, что формально под чужую юрисдикцию не попадают, все же фильтруют контент, учитывая пожелания правительства. Оставляя его открытым в других, более либеральных, странах. Например, ценя развивающийся китайский рынок, большинство компаний добровольно учитывают внутрикитайские ограничения.

В III квартале 2014 года «Ростелеком» наконец внедрит систему постраничной фильтрации интернет-трафика по URL.

До сих пор данный крупнейший и магистральный оператор связи осуществлял ограничение доступа к интернет-ресурсам по IP-адресу. Причем это зачастую происходило не только для пользователей данного провайдера в России, но и для клиентов тех операторов связи в смежных с Россией государствах (таких как Армения, Казахстан, Узбекистан, Молдова, Белоруссия и т.д.), кто получал интернет-трафик из России по магистрали.

Недавно на Хабре была статья о внедрении URL фильтрации «Ростелекомом» (РТК). Так случилось, что мы предлагали им решить эту задачу года полтора назад и год назад сделали решение, которое прошло все тесты и которое «Ростелеком» готов был включать. К тому моменту лавка наша выпала из милости, ну да это не вопрос техники. Посему все изложенное далее – это детали предложенного нами решения. Что точно внедрят, бог весть.

На днях нам пришло письмо от Роскомнадзора. Там было сказано, что и до нашей компании у них дошли руки.

В статье речь пойдёт о том, как эффективно и быстро можно настроить и управлять политиками веб-фильтрации, используя Sophos UTM — комплексное решение по обеспечению информационной безопасности предприятия. В конце статьи Вас ожидает Бонус при миграции с TMG или аналогичного решения.

Что такое Sophos UTM или Определимся с терминами

Sophos UTM относится к классу решений Unified Thread Management, комплексным решением для обеспечения безопасности и организации сетевой инфраструктуры. Оно объединяет функции маршрутизации, межсетевого экрана, NGFW, IDS/IPS, организации веб-доступа, технологию DPI, организацию VPN-каналов, WAF, email-защиту от спама, безопасность рабочих мест. Каждый из функциональных модулей объединён в одном устройстве в едином веб-интерфейсе и включается в зависимости от изменившихся потребностей. Sophos UTM поддерживает Аппаратное, Программное или Виртуальное развёртывание.

История Sophos UTM насчитывает около 15 лет. В 2000 г. в Карлсруэ была основана компания Astaro. Она предложила рынку визионерский взгляд на проблемы обеспечения сетевой безопасности. Модульная архитектура и простота использования позволили компании через 10 лет получить 56000 инсталляций в 60 странах. В 2011 году произошло слияние Astaro и Sophos, в результате которого появилось решение Sophos UTM, расширившее безопасность на рабочие места. Решение разрабатывают и поддерживают в Германии и по сей день.

В России система работает более чем у 1000 заказчиков, от небольших организаций с одним администратором до больших компаний, имеющих офисы в каждом городе нашей страны.

Сегодня мы остановимся на функции организации веб-доступа.

Доступ по Ethernet невозможен без сетевых карточек (NIC). На небольших скоростях (до 1G) NIC встраивают в материнки, а на больших (10G/40G) NIC размещается на отдельной PCIe плате. Основным ядром такой платы является интегральный чип (ASIC), который занимается приемом/отправкой пакетов на самом низком уровне. Для большинства задач возможностей этого чипа хватит с лихвой.

Что делать, если возможностей сетевой карточки не хватает? Либо задача требует максимально близкого доступа к низкому уровню? Тогда на сцену выходят платы с перепрограммируемой логикой — ПЛИС (FPGA).

Какие задачи на них решают, что размещают, а так же самых интересных представителей вы увидите под катом!

Осторожно, будут картинки!

МКС («Медиакоммуникационный союз», в учредителях: «СТС Медиа», «Ростелеком», «МТС», «Мегафон», «Вымпелком», «Газпром-Медиа») в лице главы Сергея Петрова выступил против продвигаемой ЛБИ («Лига безопасного интернета») инициативы о создании «чистого интернета». Об этом одновременно сообщают издания «Коммерсант» и «Ведомости» со ссылкой на собственные источники.

В письме г-на Петрова руководителю Роскомнадзора Александру Жарову в частности отмечается, что алгоритмы семантической фильтрации в реальном времени (включая методики Deep Packet Inspection) можно применять только к текстовому контенту, исключая видео и графику. Кроме этого, не существует аппаратно-программных комплексов, позволяющих фильтровать и анализировать шифрованный трафик, составляющий от 25% до 40% от всего трафика в сети.

Прежде чем перейти к описанию системы, которая отвечает за фильтрацию доступа операторами связи, отметим, что теперь Роскомнадзор займется и контролем над работой поисковых систем.

В начале года утвержден порядок контроля и перечень мероприятий по соблюдению операторами поисковых систем требований прекратить выдачу сведений об интернет-ресурсах, доступ к которым ограничен на территории Российской Федерации.

Соответствующий приказ Роскомнадзора от 7 ноября 2017 года № 229 зарегистрирован в Министерстве юстиции России.

Компания Variti специализируется на защите от ботов и DDoS-атак, а также проводит стресс- и нагрузочное тестирование. Поскольку мы работаем как международный сервис, нам крайне важно обеспечить бесперебойный обмен информацией между серверами и кластерами в режиме реального времени. На конференции Saint HighLoad++ 2019 разработчик Variti Антон Барабанов рассказал, как мы используем UDP и Tarantool, почему взяли именно такую связку, и как нам пришлось переписывать модуль Tarantool с Lua на C.

По ссылке можно также почитать тезисы доклада, а ниже под спойлером — посмотреть видео.


Когда мы начали делать сервис фильтрации трафика, мы сразу решили не заниматься IP-транзитом, а защищать HTTP, API и игровые сервисы. Таким образом, мы терминируем трафик на уровне L7 в протоколе TCP и передаем его дальше. Защита на L3&4 при этом происходит автоматически. На схеме ниже представлена схема сервиса: запросы от людей проходят через кластер, то есть серверы и сетевое оборудование, а боты (показаны в виде привидения) фильтруются.



Для фильтрации необходимо разбивать трафик на отдельные запросы, точно и быстро анализировать сессии и, так как мы не блокируем по IP-адресам, внутри соединения с одного IP-адреса определять ботов и людей.