dot1x хорош, когда вы управляете клиентами, и клиенты умеют dot1x. А когда у вас в сети тыща свичей, 20 тыщ компов, роутеров, теплосчетчиков, лифтов, некоторые из которых даже о DHCP не слышали, то сбор маков очень помогает в поиске проблем
Тельнет был бы универсальным, если бы во всех железяках была одна и та же CLI, а тут вы напляшетесь с парсингом и написанием «языка» для каждого вендора/прошивки. Прошивку обновили, добавилась функция, добавилось поле/пробел/разделитель, к черту весь порядок парсинга под эту прошивку. Одно только command promt чего стоит, везде разное. Либо будете ждать по таймауту, что тоже криво.
Это хорошо, когда железка отдает по снмп «слепок», а не в реальном времени, проблема только в том, что приходится считывать сразу весь слепок. Но чтобы не напрягать сильно свитч, я считывал таблицы по полям с небольшим интервалом времени, а не всю сразу. В результате сталкиваемся с проблемой синхронизации полей: пока считываем первое-второе поле таблицы, в нее добавляется строка, и когда доходим до скажем пятого-седьмого поля, в них уже новые записи. Приходилось после этого таблицу склеивать самостоятельно, вычеркивая битые записи.
Имхо: SNMP хорош только с точки зрения универсальности, ибо не только серверы, но и свичи могут общаться на одном языке. Но как все-таки там все ущербно, эти таблицы скучные с неудобными индексами. Как все-таки не хватает SELECT `mac` WHERE `port`=1 или наоборот. В снмп-таблицах все строго и однобоко.
Трапы портов — далеко не выход. Что если на порту висит какой-нибудь хаб, за которым 5 абонентов? Получается порт поднят всегда, а маки то появляются, то пропадают. А вдруг порт флапает, будете собирать таблицу постоянно и уроните свич. И даже если брать трапы не на дерганье порта, а на появление маков (mac-tracking, mac-notifucation), редко какие железки такое могут. Если брать L2 dlink'и, то почти никто и не умеет.
И да, верно подмечено, с трапами работать будет сложнее, и сервер нужно будет писать асинхронный.
1. зайдите в гугл, наберите «курительные смеси купить»
2. тыкайте по первой ссылке, наш провайдер ее заблокирует
3. а теперь попробуйте под этой ссылкой тыкнуть стрелочку и посмотреть сохраненную гуглом копию
4. ????
5. PROFIT
сайт открылся, вывод: давайте всем заблокируем гуголь. Идиотизм, о каких блокировках может идти речь, если спецы в роскомнадзоре нихрена не понимают, либо понимают, но ничего не могут сделать. Лишь бы штрафов срубить со школ и провайдеров.
Не до конца понимаю, о каких ресурсах идет речь, если я в принципе не знаю, какими ресурсами можно обеспечить такой абсолютный контроль. Это я и попытался объяснить в последнем комменте. И даже если бы такие ресурсы существовали, то они нам не по карману. Цены на тот же DPI под наш канал — кошмар. А это даже далеко не 100% защита.
«По договору», к сожалению, ничего не могу сказать, я его не читал и не видел даже. Но если в договоре речь идет о блокировке запрещенных роскомнадзором сайтов, то я уже все описал, мы их блокируем. Если что-то иное, какие-то дополнительные блокировки, то я о них не в курсе.
Последствия разгребают и школы и провайдер, а не только школы. Если на ранних этапах, когда система только вводилась в эксплуатацию, где-то что-то проскочило и школа получила штраф, это не значит, что штраф не получил провайдер. Я просто не разглашаю инфу, но провайдеры тоже страдают, и штрафы тоже немаленькие.
Как это происходит, спрашиваете вы? Я уже объяснял, сайты меняют айпишники, добавляют ipv6, четкой процедуры проверки нет, проверяют как попало, в акты дописывают урлы задним числом. Нужно построить сильно мощную систему, чтобы она моментально (хотя бы в течение минуты) реагировала на такие изменения и тогда все равно не будет работать, потому как сервер роскомнадзора с этими списками просто ляжет. Знаете, я чувствую себя идиотом, когда заново начинаю пересказывать вам суть прошлых комментариев.
Отойдем немного от темы: если вы покупаете антивирус, он не защитит вас на 100% от всех вирусов, потому как это утопия. Только разработчик антивируса не платит за это штрафы, а мы платим, хотя ситуация одинаковая.
Да да да, все ваши идеи, к сожалению уже обсуждались у нас, только на полном серьезе, без сарказма, ибо мы уже давно являемся частью большого анекдота, со всеми этими законами. Это смешно со стороны, когда не представляешь до конца, как все работает, и что мы тоже жертва этой бюрократической машины.
— Полноценная контентная фильтрация невозможна. Даже при использовании DPI результат будет далек от 100%. А упоминать ИИ совершенно бессмысленно, потому как проблема далеко не только в самих списках, а в выковыривании информации из трафика. И даже если закупать дорогое железо, которое будет это делать (DPI), обыкновенное шифрование/сжатие нагнет всю систему без труда. А вы же понимаете, что если провайдеры начнут фильтровать контент не по урлам/адресам, а по самому контенту, резко начнут развиваться методы шифрования/стеганографии потока. Прокси-серверы начнут расти как грибы.
— Совершенно верно. Если человек захочет попасть на запретный сайт, он это сделает, его ничто не остановит. Все провайдеры и технические специалисты это понимают, и поэтому видят всю глупость этой затеи. Очередной распил/рычаг/бюрократия/сочи.
— Провайдер фильтрует контент в соответствии с законом. В законе сказано, что провайдер не отвечает за активные действия пользователя по обходу блокировок (или как-то так, я фиговый юрист, знаете ли). Все способы, что я описывал выше — активные. А лучше нам с вами объединиться и с этим вопросом («Может прекратите обманывать школы и местных пользователей интернета, выставляя провайдеров в дурном свете и т. д.») обратиться к государству.
Вообще, ваша идея фильтрации по белым спискам — это и есть пока единственный выход, который уже есть в списке наших задач.
То, что вы делаете для школы — это большое дело, конечно. Я тоже 7 лет назад работал в школе, но не смог там задержаться, поэтому вам плюсик.
Вообще фильтрацией занимаюсь не я, но расскажу немного теории и практики, с которой столкнулись.
Самый простой и неумышленный пример обхода блокировки:
Вот вы например в курсе, что 7 винда по дефолту поддерживает ipv4 туннель для ipv6 сайтов? То есть роскомнадзор дает урл или ип сайта, который нужно блокировать, а этот сайт делает себе ipv6 адрес, и винда без проблем на него попадет через майкрософтовский тередо интерфейс, который выключить сможет далеко не каждый пользователь, пока ему не написать подробный мануал.
Или вот еще способ: в гугле переводчике указываете урл сайта, который перевести, а затем отказываетесь от перевода. В результате гугл любезно предоставляет юзеру туннель до запрещенного сайта. Что нам теперь заблокировать гуголь?
Кроме того, сайты, которые попадают в черный список, начинают активно менять айпишники. А уж если говорить о формате, предоставляемых списков, которые нужно парсить, то хочется плакать. Да и много там тонкостей, которые без знания дела, не учитывались первое время.
Чистым экспериментом будет только тот, при котором проверяющий втыкает наш кабель в девственно-чистый без вирусов компьютер, с выключенным вайфаем, без указаний сторонних днс, без проксей, без опера-турбо, ssh-туннелей, тор, анонимайзеров, с выключенным ipv6, тередо и прочих (даже неумышленных) способов обхода блокировок.
А поскольку в законе не указана четкая процедура проверки таких сайтов (зайти в класс и открыть с любого компа сайт с суицидами — это бред какой-то), школам и остается только фильтрация по белым спискам.
Я как раз там тружусь. Какие «штатные» фильтры, не понял. Знаю только, что мы фильтруем список запрещенных роскомнадзором сайтов. Но про это целая история. Тут действительно выход только в том, чтобы школам работать по белым спискам.
Проверяющий человек, который гуглит курительные смеси с любого компа даже не потрудится проверить все, как следовало бы специалисту. Убедиться во всех источниках/назначениях/резолвингах/проксях и т. д. К сожалению, каламбур имеет место быть.
Если бы фокус падал на окно, можно было бы случайно разрешить действие, которое не нужно разрешать. Печатаешь текст, в это время появляется окошко Outpost разрешить, заблокировать, по умолчанию стоит на разрешить. А ты увлеченно печатаешь текст, смотришь на клаву. Допечатываешь, поднимаешь глаза, видишь окошко Аутпоста, но по инерции нажимаешь Enter, чтобы отправить сообщение, и тем самым разрешаешь действие. Фокус должен быть вне кнопок UAC.
Баян. Я так пол года назад обходил блокировку винды, когда она требует код активации уже после демонстрационного периода. Тока я не восемь секунд шифт держал, а быстренько по шифту шлепал. Так быстрей))
ИМХО, это не один вирусмейкер, а контора, в которую входят не только хакеры, но и, наверняка, всякие аналитики, юристы и т. д. Уж больно все слажено работает.
Имхо: SNMP хорош только с точки зрения универсальности, ибо не только серверы, но и свичи могут общаться на одном языке. Но как все-таки там все ущербно, эти таблицы скучные с неудобными индексами. Как все-таки не хватает SELECT `mac` WHERE `port`=1 или наоборот. В снмп-таблицах все строго и однобоко.
И да, верно подмечено, с трапами работать будет сложнее, и сервер нужно будет писать асинхронный.
1. зайдите в гугл, наберите «курительные смеси купить»
2. тыкайте по первой ссылке, наш провайдер ее заблокирует
3. а теперь попробуйте под этой ссылкой тыкнуть стрелочку и посмотреть сохраненную гуглом копию
4. ????
5. PROFIT
сайт открылся, вывод: давайте всем заблокируем гуголь. Идиотизм, о каких блокировках может идти речь, если спецы в роскомнадзоре нихрена не понимают, либо понимают, но ничего не могут сделать. Лишь бы штрафов срубить со школ и провайдеров.
«По договору», к сожалению, ничего не могу сказать, я его не читал и не видел даже. Но если в договоре речь идет о блокировке запрещенных роскомнадзором сайтов, то я уже все описал, мы их блокируем. Если что-то иное, какие-то дополнительные блокировки, то я о них не в курсе.
Последствия разгребают и школы и провайдер, а не только школы. Если на ранних этапах, когда система только вводилась в эксплуатацию, где-то что-то проскочило и школа получила штраф, это не значит, что штраф не получил провайдер. Я просто не разглашаю инфу, но провайдеры тоже страдают, и штрафы тоже немаленькие.
Как это происходит, спрашиваете вы? Я уже объяснял, сайты меняют айпишники, добавляют ipv6, четкой процедуры проверки нет, проверяют как попало, в акты дописывают урлы задним числом. Нужно построить сильно мощную систему, чтобы она моментально (хотя бы в течение минуты) реагировала на такие изменения и тогда все равно не будет работать, потому как сервер роскомнадзора с этими списками просто ляжет. Знаете, я чувствую себя идиотом, когда заново начинаю пересказывать вам суть прошлых комментариев.
Отойдем немного от темы: если вы покупаете антивирус, он не защитит вас на 100% от всех вирусов, потому как это утопия. Только разработчик антивируса не платит за это штрафы, а мы платим, хотя ситуация одинаковая.
— Полноценная контентная фильтрация невозможна. Даже при использовании DPI результат будет далек от 100%. А упоминать ИИ совершенно бессмысленно, потому как проблема далеко не только в самих списках, а в выковыривании информации из трафика. И даже если закупать дорогое железо, которое будет это делать (DPI), обыкновенное шифрование/сжатие нагнет всю систему без труда. А вы же понимаете, что если провайдеры начнут фильтровать контент не по урлам/адресам, а по самому контенту, резко начнут развиваться методы шифрования/стеганографии потока. Прокси-серверы начнут расти как грибы.
— Совершенно верно. Если человек захочет попасть на запретный сайт, он это сделает, его ничто не остановит. Все провайдеры и технические специалисты это понимают, и поэтому видят всю глупость этой затеи. Очередной распил/рычаг/бюрократия/сочи.
— Провайдер фильтрует контент в соответствии с законом. В законе сказано, что провайдер не отвечает за активные действия пользователя по обходу блокировок (или как-то так, я фиговый юрист, знаете ли). Все способы, что я описывал выше — активные. А лучше нам с вами объединиться и с этим вопросом («Может прекратите обманывать школы и местных пользователей интернета, выставляя провайдеров в дурном свете и т. д.») обратиться к государству.
Вообще, ваша идея фильтрации по белым спискам — это и есть пока единственный выход, который уже есть в списке наших задач.
То, что вы делаете для школы — это большое дело, конечно. Я тоже 7 лет назад работал в школе, но не смог там задержаться, поэтому вам плюсик.
Самый простой и неумышленный пример обхода блокировки:
Вот вы например в курсе, что 7 винда по дефолту поддерживает ipv4 туннель для ipv6 сайтов? То есть роскомнадзор дает урл или ип сайта, который нужно блокировать, а этот сайт делает себе ipv6 адрес, и винда без проблем на него попадет через майкрософтовский тередо интерфейс, который выключить сможет далеко не каждый пользователь, пока ему не написать подробный мануал.
Или вот еще способ: в гугле переводчике указываете урл сайта, который перевести, а затем отказываетесь от перевода. В результате гугл любезно предоставляет юзеру туннель до запрещенного сайта. Что нам теперь заблокировать гуголь?
Кроме того, сайты, которые попадают в черный список, начинают активно менять айпишники. А уж если говорить о формате, предоставляемых списков, которые нужно парсить, то хочется плакать. Да и много там тонкостей, которые без знания дела, не учитывались первое время.
Чистым экспериментом будет только тот, при котором проверяющий втыкает наш кабель в девственно-чистый без вирусов компьютер, с выключенным вайфаем, без указаний сторонних днс, без проксей, без опера-турбо, ssh-туннелей, тор, анонимайзеров, с выключенным ipv6, тередо и прочих (даже неумышленных) способов обхода блокировок.
А поскольку в законе не указана четкая процедура проверки таких сайтов (зайти в класс и открыть с любого компа сайт с суицидами — это бред какой-то), школам и остается только фильтрация по белым спискам.
Проверяющий человек, который гуглит курительные смеси с любого компа даже не потрудится проверить все, как следовало бы специалисту. Убедиться во всех источниках/назначениях/резолвингах/проксях и т. д. К сожалению, каламбур имеет место быть.
P. S.: сам хочу))