вы суть топика то уловили? смысл был развеять миф о Большой брате(хотя правильнее говорить все же Старшем брате) и рассказать как это на самом деле обстоит. Вот такая вот х… информационная безопасность. Но все довольны.
>>Что происходит, если кто-то из клиентов провайдера действительно продает запчасти от вертолетов или >>как-то иначе угрожает федеральной безопасности? Ну, просто звонят (или даже пишут по e-mail) и >>просят сделать tcpdump трафика с определенного адреса, а потом скинуть им на ftp. Провайдер берет и >>делает. Вот и все, собственно.
>Вы несете чушь.
он верно говорит. именно так все и обстоит. Я уже так 8 месяцев фсб предоставляю дампы трафика по конкретному человеку и скидываю их по фтп. Никакие датацентры для этого не нужны, скромненький комп под линухой за 5 тыщ рублей с этим справляется, правда 80гб хард время от времени забивается(раз в пару-тройку месяцев).
специальный софт выглядит таким вот образом:
stage1.sh:
#1/bin/bash
echo "\$ dailyupload `date +'%d%m%Y'`" | ftp -v 9.9.9.9 9999 >> /root/fsb/fsb.log
какой закон? формально я сотрудничаю с фсб, которая имеет право без всяких бумаг запрашивать интересующую их информацию. Так как у нас формально написана отмазка, что лет через н-цать мы сделаем СОРМ, то пока все это решается только так.
а может есть такая санкция, откуда Вам знать? у меня есть распоряжение начальства о сотрудничестве с человеком Н из ФСБ. Если это не ФСБ, то мы просим прислать официальный запрос(но там дело не в отслеживании уже, а просто кто заходил на подобный ресурс в такое-то время).
ну может одна часть и просто трындит, а другая еще активно где-то что-то делает. Я не говорил, что мы следим за какими-то сайтами в целом(ну кроме грузинский), а именно за конкретным человеком, который ходит по подобным ресурсам.
политические вопросы, это если человек занимается экстремистской деятельностью. ну сидит на всяких форумах вроде protivputina.ru или что-то типа такого. Пока у нас никто из пользователей не продавал запчасти от ми-24, так что я не знаю кто ими должен интересоваться :)
Работаю в интернет провайдере сетевым сис.админом уже 2.5 года. Ни раз приходилось взаимодействовать с органами. Сразу скажу: с фсб сотрудничать куда приятнее, чем с каким-нить отделом К. Эти ребята грамотные, четко знают что хотят и как это желают получить(чувствуется академия ФСБ за плечами). Но, к сожалению(а кому-то и к счастью), их интересуют лишь политические вопросы: антипутинцы и антимедведевцы, террористы и грузины(палим все запросы на грузинские сайты). А вот если вы будете угрожать кому-то через сеть, то скорее всего запрос придет из отдела К, которые не всегда четко могут сформулировать то, что они хотят. Вернее сказать они это формулируют по своему, с поправкой на то, что они мало представляют как мы даем людям доступ в сеть. В этом случае мы не будем делать какие-нибудь дампы при помощи tcpdump, а просто вышлем имена предполагаемых интересующих их людей. К примеру был недавно такой случай с одноклассниками.ру, где МВД делало запрос кто в такое-то время(вплоть до секунды) там был с такого-то IP (ip был натовский на район в 2500 юзверей). в итоге набралось человек 6(а вы как думали, сайт то популярный). Так что если вдруг кому позвонит дядя из отдела К, то не стоит хвататься за пачку успокоительного и пытаться удалить все, что было скачано по торрентам, возможно его интересует то, что вы кому-то угрожали когда-то… А торренты… пускай будут)
ну про протокол можно прочитать в вики и рфц, там просто использовались поля для логического адреса отправителя и получателя, а по сути «их arp» протокол был похож на udp в пределах физической сети из свичей L2 и с маленьким размером
какие-то кривоватые решения
первый сложен в реализации(я молчу про операцию скрещивания bind acl + sql — это вообще отдельно патчи писать надо), скорее всего будет существенная потеря в производительности, что совершенно не допустимо для dns сервиса.
а второй… я работаю в провайдере уже не первый год, на какие только ухищрения не приходится идти, чтобы убрать одно правило из фаервола для увеличения производительности. А тут так просто решили — давайте сделаем еще одну таблицу… Что касается переадресации всего трафика на 80 порт локального сервера — бред полнейший. Ну вот у человека кончились деньги, он заходит на сайт гугля, его перекидывает на страничку прова «пора платить» — это понятно, тут даже не обязательно, чтобы у человека днс работал(редирект делается обычно по ипу). Но зачем это делать для других протоколов? Неужели вы думаете, что если человек будет пробовать залогиниться в аське, то он туда получит это сообщение? А в итоге мы получим кучу бесполезный запросов на вебсервер с разных протоколов, включая днс.
А эффективное решение в данном случае очень простое:
у провайдера 2 днс сервера, первый из них доступен только при открытом инете, второй же доступен и при закрытом, но он в состоянии резолвить только допустимые адреса, а именно: домен провайдера и разрешенные сайты(скажем те, через которые он может оплатить инет).
На сколько мне известно, что большинство сетевых ОС не распределяет нагрузку перед указанными днс, а шлет все по первому, а уже если он не доступен, то по второму и т.д. Так что это не должно вызвать затруднений.
на что народ только не идет… в моей сети я помню какие-то студенты траффик в arp запросы инкапсулировали…
а вообще, чтобы пост был достойным тематики, куда его поместили, не плохо было бы разместить в нем средство противодействия
сам там не был(хоть и живу рядом), но на сколько мне известно, для нее правила те же, что и для публичных библиотек — это я про фундаментальную библиотеку МГУ
в библиотеку или столовую ?)
в столовую кто угодно может прийти, она на территории мгу находится, рядом с корпусом, где расположена компания оптического оборудования ПОИСК ТР
>Вы несете чушь.
он верно говорит. именно так все и обстоит. Я уже так 8 месяцев фсб предоставляю дампы трафика по конкретному человеку и скидываю их по фтп. Никакие датацентры для этого не нужны, скромненький комп под линухой за 5 тыщ рублей с этим справляется, правда 80гб хард время от времени забивается(раз в пару-тройку месяцев).
специальный софт выглядит таким вот образом:
stage1.sh:
#1/bin/bash
echo "\$ dailyupload `date +'%d%m%Y'`" | ftp -v 9.9.9.9 9999 >> /root/fsb/fsb.log
stage2.sh:
#!/bin/bash
currentdate=`/usr/bin/date +%d%m%Y`;
/usr/bin/killall tcpdump; /usr/bin/screen -dmS for_FSB /usr/local/bin/tcpdump -i eth1.11 host 10.1.1.1 -s 0 -C 150M -w /root/fsb/$currentdate-10.1.1.1.cap >> /root/fsb/fsb.log
и в кроне
59 23 * * * /root/fsb/stage1.sh
1 0 * * * /root/fsb/stage2.sh
первый сложен в реализации(я молчу про операцию скрещивания bind acl + sql — это вообще отдельно патчи писать надо), скорее всего будет существенная потеря в производительности, что совершенно не допустимо для dns сервиса.
а второй… я работаю в провайдере уже не первый год, на какие только ухищрения не приходится идти, чтобы убрать одно правило из фаервола для увеличения производительности. А тут так просто решили — давайте сделаем еще одну таблицу… Что касается переадресации всего трафика на 80 порт локального сервера — бред полнейший. Ну вот у человека кончились деньги, он заходит на сайт гугля, его перекидывает на страничку прова «пора платить» — это понятно, тут даже не обязательно, чтобы у человека днс работал(редирект делается обычно по ипу). Но зачем это делать для других протоколов? Неужели вы думаете, что если человек будет пробовать залогиниться в аське, то он туда получит это сообщение? А в итоге мы получим кучу бесполезный запросов на вебсервер с разных протоколов, включая днс.
А эффективное решение в данном случае очень простое:
у провайдера 2 днс сервера, первый из них доступен только при открытом инете, второй же доступен и при закрытом, но он в состоянии резолвить только допустимые адреса, а именно: домен провайдера и разрешенные сайты(скажем те, через которые он может оплатить инет).
На сколько мне известно, что большинство сетевых ОС не распределяет нагрузку перед указанными днс, а шлет все по первому, а уже если он не доступен, то по второму и т.д. Так что это не должно вызвать затруднений.
а вообще, чтобы пост был достойным тематики, куда его поместили, не плохо было бы разместить в нем средство противодействия
в столовую кто угодно может прийти, она на территории мгу находится, рядом с корпусом, где расположена компания оптического оборудования ПОИСК ТР