На самом деле, для того же СОРМ2 поддержка со стороны оборудования нафиг не нужна. Зеркало порта (для >10G) обычно делается на пассивном сплиттере. Ещё конечно нужно собрать NAT-трансляции по syslog/netflow, но это умеет делать любое NAT-оборудование (есть даже модуль для linux ядра), а уж совсем на крайний случай у вендров СОРМа есть АнтиНАТы (вот пример norsi-trans.ru/catalog/anti-nat )
В других странах фича перехвата трафика называется lawful intercept (LI). По ней гуглятся большинство вендоров. Можно подкинуть идею журналистам, что Cisco/любой_другой_вендор помогает правительствам следить за их гражданами
Про сеансовые ключи речь и идёт, не знаю есть ли удобный модуль для nginx чтобы сохранять сеансовые ключи, а вот как это делать для java-приложений описано на хабре (могу поискать если не найдёте).
Вы можете сидеть на крупном сервисе без аккаунта (Ютуб) или с фейк-аккаунта для удобства или когда без регистрации сервис ограничен.
Для мобильных операторов львиную долю работы делает подрядчик. А в случае Билайна так сторонние организации выполняют почти всю техническую работу. И работу свою подтверждают фотками, если производится какая-либо работа в полях
Знать никому не запрещено. Ссылки на нормативку, статьи и прочую аналитику по теме сорма лежат на… Википедии
Вот оно всё, изучайте https://ru.wikipedia.org/wiki/СОРМ
Не хотите чтобы вас слушали, поднимайте туннель до Европы и сидите через него. В SSL верить нельзя, т.к. доподлинно неизвестно кто из крупных сервисов делится ключами с УФСБ
>Из документов стало понятно, что СОРМ подключается к сетям оператора и получает прямой доступ к трафику, включая голосовой и интернет-трафик.
Шок! Сенсация! Тысячи сотрудников различных операторов про это знают и никто не скрывает. на тематических конференациях, форумах и в соответсвующих чатах о сормах говорят открыто.
Рано или поздно, в любой сети, использующей STP случается авария (причины разные — баги ПО, проблемы мультивендорности, перегрузка CPU и т.д.)
Типичная проблема STP: с одной стороны «свитч сошёл с ума» (трафик, который должен обрабатываться на CPU не обрабатывается, а чип коммутации продолжает форвардить по загруженным в него настройкам). в этом случае, по окончанию таймаута stp, с ответной стороны, порт переходит в форвардинг и возникает l2-петля, одна из самых неприятных проблем в сети.
Ошибка дизайна STP в том, что трафик коммутируется, даже если нет нейбора.
На сегодняшний день, в ISP, стараются минимизировать использование STP, разбирая кольца, заменяя его на LAG-и и туннели поверх L3/MPLS (VXLAN/MPLS L2 tunnels).
Там где их не выгнали/не переквалифицировали в PO или другую роль, происходит адовая смесь олдскульных подходов в перемешку с новыми и как следствие становится ещё хуже чем было до попыток внедрения agile-based процессов.
Я соглашусь, что VTP может иметь какой-то смысл, если сеть конфигурится вручную (без всяких средств массовой автоматизации/оркестраторов/прочего). Но с учётом того, что современное админстрирование уходит от ручной настройки элементов ИТ-инфраструктуры (сетей, серверов, хралищ и прочего) в сторону написания описания желаемой конфигураций в выражениях инструментов автоматизации (того же ansible), использовать VTP просто нет смысла. Выше я уже об этом написал.
Ну и очевидный минус VTP это vendor-lock (открытые аналоги тоже не сильно удобно использовать). И внедряют VTP не потому что это реально полезная фича, а потому что этому учат на курсах Cisco, а сертифицированные специалисты рады внедрить то, чему их научили. А потом ленивые эксплуататоры воротят нос от того, когда им покупают какой-нибудь extreme вместо их любимой cisco.
В сетевом мире слишком много уделяется внимания «удобствам» в плане management-plane и зачастую выбор оборудования делается не из реальных характеристик (матрица коммутации, буфер, потребление электричества, размер, плотность портов), а из того, насколько удобно админу настраивать вланы на оборудовании.
В линкедин сидят HR-ы почти всех IT-компаний и их активность не стала ниже после блокировок. Да и вообще, большинство ИТ-специалистов вынуждены иметь средства обхода блокировок (т.к. из гугла часто попадаешь на заблокированные страницы по технической тематике), а следовательно, ИТ-шники там продолжили сидеть.
Я не вижу снижения активности среди моих контаков в линкеде.
Средства массовой автоматизации (тот же ansible и куча подобных открытых и проприетарных систем)
VTP решает лишь одну конкретную задачу — поддержание vlan database, при этом весь остальной конфиг всё равно нужно задавать. Если это массовая история, то уж лучше всё залить из того же ansible'а (да хоть банальным самопальным скриптом на bash), нет в этом случае смысла поддерживать vlan db таким сомнительным способом как VTP (или открытыми аналогами (коммент ниже))
VTP придумали тогда, когда всю сеть настраивали ручками и чтобы было легче прокинуть вланчик через большую цепочку свитчей. Сейчас мало кто в здравом уме вручную настраивает всю сеть без применения автоматизации.
Нет смысла. Указывать домен гугла имеет хоть какой-то смысл, т.к. google.com может резолвится во что угодно, в том числе в IP-адреса, которые гуглу не принадлежат (в случае направления на GGC)
У Сбера и подобных, IP-адреса весьма жёстко прибиты и будет довольно легко путём простейшего «детектора аномалий» и подобных методов вычислять владельцев таких прокси.
Единственный рабочий вариант это указание собственного домена, чтобы было максимально сложно находить такие прокси
То что сделали телеграмм сейчас (отправка google.com из клиента) это просто подарок для тех, кто занимается вычислением этих прокси. Без задания своего домена я бы не стал связываться.
В случае автобуса это преимущество. вот несколько кейсов:
1. У вас нет европейской симки (едите в первый раз СПБ-Таллин, симка утеряна, просрочена, etc). С учётом того, что автобус это самый дешёвый способ перемещаться и самый некомфортный, люди сильно экономят, в том числе на интернет-роуминге. Аналогично для граждан ЕС по отношению к российской симке
2. Фильмы и музыку далеко не все скачивают/кешируют, лень — двигатель прогресса. Понятно, что сделать это можно, но заморачиваться лень
3. У вас есть сим-карта конкретного оператора. Допустим, Билайна, а вы гражданин ЕС. Вы едите из Европу в РФ и где-то ловит МТС, где-то Мегафон, где-то Билайн. Роуминга между ними не будет. Оператор перевозок решает эту проблему (ну по крайней мере должен решать за счёт роуминговой симки, нескольких симок или другими тех.средствами)
Я, как гражданин РФ, почти никогда не пользуюсь публичным Wi-Fi в РФ, однако за границей довольно часто (хотя стараюсь минимизировать это, максимально быстро сделав себе мобильный инет)
Недавно ездил на luxexpress в Прибалтике. Всё понравилось, но есть одно но. На планшете установлен android 4.0.2 и в установленном браузере многие сайты «разъезжаются» (очевидно, браузер сильно устарел). Скорее всего, там установлены нонейм-планшеты, на которых уже ничего не обновить. Нужно как-то продумывать эту ситуацию
В других странах фича перехвата трафика называется lawful intercept (LI). По ней гуглятся большинство вендоров. Можно подкинуть идею журналистам, что Cisco/любой_другой_вендор помогает правительствам следить за их гражданами
Про сеансовые ключи речь и идёт, не знаю есть ли удобный модуль для nginx чтобы сохранять сеансовые ключи, а вот как это делать для java-приложений описано на хабре (могу поискать если не найдёте).
Вы можете сидеть на крупном сервисе без аккаунта (Ютуб) или с фейк-аккаунта для удобства или когда без регистрации сервис ограничен.
Для мобильных операторов львиную долю работы делает подрядчик. А в случае Билайна так сторонние организации выполняют почти всю техническую работу. И работу свою подтверждают фотками, если производится какая-либо работа в полях
Знать никому не запрещено. Ссылки на нормативку, статьи и прочую аналитику по теме сорма лежат на… Википедии
Вот оно всё, изучайте https://ru.wikipedia.org/wiki/СОРМ
Не хотите чтобы вас слушали, поднимайте туннель до Европы и сидите через него. В SSL верить нельзя, т.к. доподлинно неизвестно кто из крупных сервисов делится ключами с УФСБ
Шок! Сенсация! Тысячи сотрудников различных операторов про это знают и никто не скрывает. на тематических конференациях, форумах и в соответсвующих чатах о сормах говорят открыто.
На наге регулярно обсуждают как зеркалировать и т.д. и т.п., проблемы на приёмке и прочее. Вот один из сотен тредов forum.nag.ru/index.php?/topic/135002-passivnoe-zerkalo-dlya-sorm-i-ne-tolko-cherez-splitter
Типичная проблема STP: с одной стороны «свитч сошёл с ума» (трафик, который должен обрабатываться на CPU не обрабатывается, а чип коммутации продолжает форвардить по загруженным в него настройкам). в этом случае, по окончанию таймаута stp, с ответной стороны, порт переходит в форвардинг и возникает l2-петля, одна из самых неприятных проблем в сети.
Ошибка дизайна STP в том, что трафик коммутируется, даже если нет нейбора.
На сегодняшний день, в ISP, стараются минимизировать использование STP, разбирая кольца, заменяя его на LAG-и и туннели поверх L3/MPLS (VXLAN/MPLS L2 tunnels).
>Менеджер проектов
>agile
/0
Заголовк супер. Машина сломалась потому что не заводится
Ну и очевидный минус VTP это vendor-lock (открытые аналоги тоже не сильно удобно использовать). И внедряют VTP не потому что это реально полезная фича, а потому что этому учат на курсах Cisco, а сертифицированные специалисты рады внедрить то, чему их научили. А потом ленивые эксплуататоры воротят нос от того, когда им покупают какой-нибудь extreme вместо их любимой cisco.
В сетевом мире слишком много уделяется внимания «удобствам» в плане management-plane и зачастую выбор оборудования делается не из реальных характеристик (матрица коммутации, буфер, потребление электричества, размер, плотность портов), а из того, насколько удобно админу настраивать вланы на оборудовании.
Это не так. У гугла тысячи GGC-шек, которые висят на IP-адресах операторов, которые их себе ставят
Хм… Это троллинг? Вот первая ссылка из Гугла https://learningnetwork.cisco.com/blogs/vip-perspectives/2017/08/10/automating-cisco-using-ansible
Я не вижу снижения активности среди моих контаков в линкеде.
P.S. Работник моего круга, залогинься
VTP решает лишь одну конкретную задачу — поддержание vlan database, при этом весь остальной конфиг всё равно нужно задавать. Если это массовая история, то уж лучше всё залить из того же ansible'а (да хоть банальным самопальным скриптом на bash), нет в этом случае смысла поддерживать vlan db таким сомнительным способом как VTP (или открытыми аналогами (коммент ниже))
VTP придумали тогда, когда всю сеть настраивали ручками и чтобы было легче прокинуть вланчик через большую цепочку свитчей. Сейчас мало кто в здравом уме вручную настраивает всю сеть без применения автоматизации.
У Сбера и подобных, IP-адреса весьма жёстко прибиты и будет довольно легко путём простейшего «детектора аномалий» и подобных методов вычислять владельцев таких прокси.
Единственный рабочий вариант это указание собственного домена, чтобы было максимально сложно находить такие прокси
То что сделали телеграмм сейчас (отправка google.com из клиента) это просто подарок для тех, кто занимается вычислением этих прокси. Без задания своего домена я бы не стал связываться.
1. У вас нет европейской симки (едите в первый раз СПБ-Таллин, симка утеряна, просрочена, etc). С учётом того, что автобус это самый дешёвый способ перемещаться и самый некомфортный, люди сильно экономят, в том числе на интернет-роуминге. Аналогично для граждан ЕС по отношению к российской симке
2. Фильмы и музыку далеко не все скачивают/кешируют, лень — двигатель прогресса. Понятно, что сделать это можно, но заморачиваться лень
3. У вас есть сим-карта конкретного оператора. Допустим, Билайна, а вы гражданин ЕС. Вы едите из Европу в РФ и где-то ловит МТС, где-то Мегафон, где-то Билайн. Роуминга между ними не будет. Оператор перевозок решает эту проблему (ну по крайней мере должен решать за счёт роуминговой симки, нескольких симок или другими тех.средствами)
Я, как гражданин РФ, почти никогда не пользуюсь публичным Wi-Fi в РФ, однако за границей довольно часто (хотя стараюсь минимизировать это, максимально быстро сделав себе мобильный инет)