The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Построение системы фильтрации контента по реестру Роскомнадзора на базе CISCO и FreeBSD
В статье подробно рассмотрен один из вариантов фильтрации трафика по реестру
Роскомнадзора с помощью SQUID на базе FreeBSD, состыкованного с бекбоне CISCO
по протоколу WCCP2.

После долгих размышлений на тему фильтрации, производительности (если пустить в
фильтр весь http-трафик, то фильтрация должна осуществляться на скоростях более
гигабита в секунду), была выбрана следующая схема:



Трафик HTTP и HTTPS, выходящий из облака нашей сети (в примере VLAN90) через
наш бордер CISCO, мы будем сравнивать с ACL, содержащим IP-адреса, извлеченные
из списка Роскомнадзора. В случае совпадения, мы отправляем трафик по протоколу
WCCP (Web Cache Communication Protocol) на сервер(а)  SQUID. Данная схема
позволит нам избежать анализа всего трафика и анализировать только тот, который
идет на заявленные IP, что не может не сказаться положительно на общей
производительности системы.

Из минусов данной связки следует, что допустим если внесенный в реестр ресурс с
IP=3.3.3.3, доменом=bad.xxx и URL=http://www.bad.xxx/1.jpg переезжает на другой
IP, то фильтр работать не будет. Но с другой стороны актуализация списков
блокировки, это не наша проблема. Данный подход позволит нам с одной стороны не
тратится на дорогостоящие системы анализа проходящего трафика, с другой стороны
исключить "пионерский" подход блокировки всего ресурса по IP, а
блокировать только указанный в реестре Роскомнадзора контент. Связку по WCCP
лучше поднимать на приватных адресах, что бы не писать лишние ACL в SQUID .

И так, приступим к реализации. Для начала нам надо вытащить электронную подпись
с рутокена, полученного в роскомнадзоре. Для этого воспользуемся утилитой
P12FromGostCSP, и экспортируем подпись в формате PKSC#12.



Если экспорт удался, то можем перейти далее к построению системы. Если экспорт
не удался (у меня в одном случае из четырех было именно так), то автоматическая
загрузка реестра Роскомнадзора будет не доступна, и Вам придется файл качать и
выкладывать реестр руками.

Берем любой сервер на базе FreeBSD (я предпочитаю данную ОС, но ничего не
мешает Вам сделать по образу и подобию на любой *NIX машине), на котором мы
будем заниматься загрузкой базы Роскомнадзора, ее обработкой и у меня этот же
сервер как правило обеспечивает анализ и фильтрацию контента. Так как системный
OpenSSL в FreeBSD не поддерживает шифрование ГОСТ, ставим свежую версию из
портов. Это не затрагивает работоспособность всей системы, и портовый OpenSSL
прекрасно существует параллельно системному:

   # which openssl
   /usr/bin/openssl
   # openssl version
   OpenSSL 0.9.8y 5 Feb 2013
   # /usr/local/bin/openssl version
   OpenSSL 1.0.1e 11 Feb 2013
   #

Находим файл /usr/local/openssl/openssl.cnf и пишем в конец файла:

   [openssl_def]
   engines = engine_section
   [engine_section]
   gost = gost_section
   [gost_section]
   default_algorithms = ALL
   engine_id = gost
   #dynamic_path = /usr/local/lib/engines/libgost.so
   CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet
   
В начало этого файла пишем :

   openssl_conf = openssl_def

Копируем на сервер наш сертификат в формате PKSC#12 и конвертируем его в формат PEM:

   /usr/local/bin/openssl pkcs12 -in p12.pfx -out cert.pem -nodes -clcerts

Подготавливаем структуру директорий для работы наших скриптов и копируем туда
сконвертированный сертификат:

   mkdir /var/db/zapret-info/
   mkdir /var/db/zapret-info/cfg
   mkdir /var/db/zapret-info/arch
   cp cert.pem /var/db/zapret-info/cfg/
   mkdir /tftpboot

Создаем файл запрос в соответствии с требованиями Роскомнадзора (где данные
между тэгами изменены на данные вашей фирмы):

   echo '<operatorName>ООО "РОГА И КОПЫТА"</<operatorName>' > /var/db/zapret-info/cfg/request.xml
   echo '<inn>00XXXXXXXXXX</inn>' >> /var/db/zapret-info/cfg/request.xml 
   echo '<ogrn>XXXXXXXXXXXXX</ogrn>' >> /var/db/zapret-info/cfg/request.xml
   echo '<email>[email protected]</email>' >> /var/db/zapret-info/cfg/request.xml

В зависимости от раскладок системной консоли полученный файл
/var/db/zapret-info/cfg/request.xml необходимо сконвертировать в кодировку WINDOWS-1251.

Скачиваем нижеприложенные скрипты. Скрипт download.pl был найден мной на
просторах Интернета и  упрощен, в оригинале он был чуток более замороченный.
Задача данного скрипта - создать, подписать и отправить запрос в
Роскомнадзор и загрузить реестр после отправки.


   #!/usr/bin/perl -w

   use strict;
   use SOAP::Lite;
   use MIME::Base64;
   use Sys::Syslog qw(:DEFAULT setlogsock);
   use POSIX qw(strftime);

   # XXX dirty!!!
   binmode STDOUT, ':utf8';
   binmode STDERR, ':utf8';


   my $BASE = "/var/db/zapret-info";

   my %n;
   ($n{sec},$n{min},$n{hour},$n{mday},$n{mon},$n{year},$n{wday},$n{yday},   $n{isdst}) = localtime(time());
   $n{year}+=1900;
   $n{mon}++;
   $n{mon}=~s/^(\\d)$/0$1/;
   $n{mday}=~s/^(\\d)$/0$1/;
   $n{hour}=~s/^(\\d)$/0$1/;
   $n{min}=~s/^(\\d)$/0$1/;
   $n{sec}=~s/^(\\d)$/0$1/;
   my $dt="$n{year}-$n{mon}-$n{mday}T$n{hour}:$n{min}:$n{sec}.000+04:00";
   my $dd="$n{year}$n{mon}$n{mday}$n{hour}";

   my $service = SOAP::Lite->service("http://www.zapret-info.gov.ru/services/OperatorRequest?wsdl");

   my $reqfn = "$BASE/request-$dd.xml";
   my $binfn = "$BASE/request-$dd.bin";
   my $xmlreqfn = "$BASE/cfg/request.xml";
   my $certfn = "$BASE/cfg/cert.pem";

   my $request="" ;
   open (XML, "<$xmlreqfn");
   while (<XML>) { $request .= $_; }
   close (XML);

   die "Resuest template not found in $xmlreqfn." if (length($request)==0);

   open (XMLREQ, ">$reqfn") or die "Can't create new request";
   print XMLREQ "<?xml version=\\"1.0\\" encoding=\\"windows-1251\\"?>\\n";
   print XMLREQ "<request>\\n\\t<requestTime>$dt</requestTime>\\n";
   print XMLREQ $request;
   print XMLREQ "</request>";
   close XMLREQ;

   system ("/usr/local/bin/openssl smime -sign -in $reqfn -out $binfn".
            " -signer $certfn -outform DER -nodetach");


   open XMLREQ, "<$reqfn" or die "Can't open $reqfn";
   my $xmlreq = do { local $/ = undef; <XMLREQ>; };
   close XMLREQ;

   open XMLREQSIG, "<$binfn" or die "Can't open $binfn";
   my $xmlreqsig = do { local $/ = undef; <XMLREQSIG>; };
   close XMLREQSIG;

   my @sendresult = $service->sendRequest(
        $xmlreq,
        $xmlreqsig );

   if ($sendresult[0] eq 'false') {
       mylog("error request $sendresult[1]");
   } elsif ($sendresult[0] eq 'true') {
       open (CODESTRING, ">$BASE/codestring");
       print CODESTRING $sendresult[2];
       close CODESTRING;
       mylog("sent request $binfn: $sendresult[1]");
   };

   if (-e "$BASE/codestring") {
       open CODESTRING, "$BASE/codestring";
       my $codestring = <CODESTRING>;
       close CODESTRING;

       my $cnt = 0;
       while(1) {
           my @getresult = $service->getResult($codestring);
           if ($getresult[0] eq 'false') {
               mylog ("$getresult[1]");
               sleep 60;
           } elsif ($getresult[0] eq 'true') {
               my $outarch = decode_base64($getresult[1]);
               open (OUT, ">$BASE/out.zip");
               print OUT $outarch;
               close OUT;
               unlink "$BASE/codestring";

               if (-e "$BASE/out.zip") {
                   system("/bin/mv $reqfn $BASE/arch/");
                   system("/bin/mv $binfn $BASE/arch/");
                   system("/bin/cp $BASE/out.zip $BASE/arch/out-$dt.zip");
                   system("/usr/bin/unzip -o $BASE/out.zip -d $BASE/dump");
                   unlink "$BASE/out.zip";
                   mylog ("Done.  Everything seems to be ok.");
                   exit 0;
               };
               mylog("Shouldn't reach. DEBUG ME!!!");
               exit 255;
           } else {
               mylog ("getresult is unknown");
               exit 255;
           };
           $cnt++;
           if ($cnt>30) {
               mylog ("too much tries, bailing out");
               exit 255;
           }
           };
           # notreached
   
   } else {
           mylog ("codestring file not found");
   };
   
   sub mylog {
       my $logstring = $_[0];
       my($now_string);
       $now_string = strftime "%d-%m-%Y %H:%M:%S", localtime;
       print(STDERR $now_string." ".$logstring."\\n");
   };

   
В задачи скрипта xml-paser.pl входит обработка полученного реестра и подготовка
двух файлов - block.acl и denied.conf. Файл block.acl содержит правила
для нашей cisco и как правило загружается по tftp. Файл denied.conf содержит
URL для редиректора SQUID. Скрипт анализирует, префикс http или https указан в
URL и в соотвествии с данным префиксом генерирует ACL для CISCO. Для ресурсов с
множественныйми IP и/или URL, скрипт генерирует два ACL - как по порту
www, так и по порту 443 (так как реестр сам по себе сырой, и такие записи не
предусматривают однозначной трактовки какой протокол на каком IP использовать).



   #!/usr/bin/perl
   
   use XML::Simple;
   use Data::Dumper ;
   use Encode ;
   use URI::Escape;
   use Text::Iconv;
   
   $db_path='/var/db/zapret-info/' ;
   $tftp_root='/tftpboot' ;
   $query_ip='XXX.XXX.XXX.XXX' ;
   
   $simple=XML::Simple->new(       KeepRoot=>1,
                                   RootName=>'reg:register'
   );
   $xml=$simple->XMLin($db_path.'dump/dump.xml');
   my %list = %{$xml->{'reg:register'}->{'content'}};
   
   open(FURL, ">${db_path}denied.conf");
   open(FACL, ">${tftp_root}/block.acl");
   open(FTMP, ">/tmp/block.ip");
   print(FACL "no ip access-list extended WCCP_REDIRECT\\n");
   print(FACL "ip access-list extended WCCP_REDIRECT\\n");
   print(FACL "deny tcp host ${query_ip} any\\n");
   
   sub _url {
       eval {
           $url=shift;
           $url=~s/ //g;
           $url=uri_escape_utf8($url, "^A-Za-z0-9\\-\\._~:/\\?\\=\\&\\%");
           print(FURL $url."\\n");
       }
   }
   
   while ( my($key, $value) = each %list) {
       my $domain=$value->{'domain'} ;
       my $ip=$value->{'ip'} ;
       my $url=$value->{'url'} ;
   
       if(ref($ip) eq 'ARRAY'){
           my @ip_list=@{$ip};
           foreach $ip (@ip_list) {
               print(FTMP "$ip eq $port\\n");
               print(FTMP "$ip eq 443\\n");
           }
       } else {
           my $proto=substr($url, 0, 5) ;
           if ("\\L$proto" eq 'https') {
               $port = '443';
           } else {
               $port = 'www';
           }
           print(FTMP "$ip eq $port\\n");
       }
   
       if(ref($url) eq 'ARRAY'){
           my @url_list=@{$url};
           foreach $url (@url_list) { _url($url); }
       } else { _url($url); }
   }
   
   close(FTMP);
   open(FTMP ,"sort -u /tmp/block.ip|");
   while (<FTMP>) {
       $ip=$_;
       $ip=~s/
   //g;
       print(FACL "permit tcp any host $ip \\n");
   }
   close(FTMP);
   print(FACL "deny ip any any\\n");
   print(FACL "!\\n");
   print(FACL "end\\n");
   close(FACL);
   close(FURL);
   
   open(SER ,"${db_path}/serial");
   read(SER,$serial,6);
   close(SER);
   
   if (length($serial)==0) { $serial=0; }
   
   $serial+=1;
   
   open(SER ,">${db_path}/serial");
   printf(SER "%06d",$serial);
   close(SER);
   
   exit 0;
   

В начале данного файла надо установить значение переменных, в соответсвии с
Вашими настройками. Переменная $tftp_root должна быть установлена в
соответствии с настройками Вашего tftp-сервера, переменная $query_ip должна
содержать  IP-адрес интерфейса сервера, через который посылается в Интернет
фильтрованный трафик, для исключения образования кольцевой обработки запросов.

Для работы скриптов нам требуется установить следующие порты :

   cd /usr/ports/net/p5-SOAP-Lite; make install 
   cd /usr/ports/converters/p5-MIME-Base64; make install
   cd /usr/ports/sysutils/p5-Sys-Syslog; make install
   cd /usr/ports/textproc/p5-XML-Simple; make install
   cd /usr/ports/devel/p5-Data-Dumper; make install
   cd /usr/ports/converters/p5-Encode; make install
   cd /usr/ports/net/p5-URI; make install
   cd /usr/ports/converters/p5-Text-Iconv; make install

На данном этапе мы реализовали получение и разбор реестра Роскомнадзора в
требуемый для нас вид. Переходим к настройке нашего железа.

Конфигурируем CISCO для работы с сервером SQUID по WCCP. Группа 0 используется
для отсылки http-трафика, группа 70 - для отсылки https-трафика.

   ip wccp 0 redirect-list WCCP_REDIRECT group-list 10 accelerated
   ip wccp 70 redirect-list WCCP_REDIRECT group-list 10 accelerated
   access-list 10 remark +++ WCCP_SQUID_PROXY +++
   access-list 10 permit 1.1.2.2

Создаем пользователя, который будет грузить access-листы и настраиваем rsh.

   username blocker privilege 15 password password
   no ip rcmd domain-lookup
   ip rcmd rsh-enable
   ip rcmd remote-host blocker 1.1.2.2 root enable

Ставим из портов SQUID. При выборе опций обязательно контролируем, что WCCP и
WCCP2 протоколы включены. Создаем конфиг (в примере для версии 3.2) /usr/local/etc/squid/squid.conf

   http_port 1.1.2.2:9090
   http_port 1.1.2.2:3128 transparent
   https_port 1.1.2.2:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/etc/squid/squid.pem
   always_direct allow all
   ssl_bump allow all
   sslproxy_cert_error allow all
   sslproxy_flags DONT_VERIFY_PEER
   sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/squid/ssl_db -M 4MB
   icp_port 0
   hierarchy_stoplist cgi-bin ?
   acl QUERY urlpath_regex cgi-bin \\?
   cache deny QUERY
   acl apache rep_header Server ^Apache
   cache_mem 1 MB
   cache_swap_low 90
   cache_swap_high 95
   maximum_object_size 1 KB
   maximum_object_size_in_memory 50 KB
   cache_replacement_policy heap LFUDA
   cache_dir ufs /var/squid/cache 1 1 1 no-store
   logfile_rotate 7
   dns_nameservers 8.8.8.8 8.8.4.4
   hosts_file /etc/hosts
   refresh_pattern ^ftp: 1440 20% 10080
   refresh_pattern ^gopher: 1440 0% 1440
   refresh_pattern . 0 20% 4320
   quick_abort_min 0 KB
   quick_abort_max 0 KB
   half_closed_clients off
   acl purge method PURGE
   acl CONNECT method CONNECT
   acl SSL_ports port 443
   acl Safe_ports port 80
   acl Safe_ports port 443 # https
   acl Safe_ports port 1025-65535 # unregistered ports
   http_access allow manager localhost
   http_access deny manager
   http_access allow purge localhost
   http_access deny purge
   http_access deny !Safe_ports
   http_access deny CONNECT !SSL_ports
   http_access allow localhost
   http_access allow all
   http_reply_access allow all
   icp_access allow all
   cache_mgr [email protected]
   cache_effective_group proxy
   memory_pools off
   log_icp_queries off
   cachemgr_passwd q1w2e3r4 all
   client_db off
   buffered_logs on
   wccp2_router 1.1.2.1
   wccp2_forwarding_method 2
   wccp2_return_method 2
   wccp2_assignment_method 2
   wccp2_service dynamic 0
   wccp2_service_info 0 protocol=tcp flags=dst_ip_hash,dst_port_hash priority=240 ports=80
   wccp2_service dynamic 70
   wccp2_service_info 70 protocol=tcp flags=dst_ip_hash,dst_port_hash priority=240 ports=443
   wccp2_address 1.1.2.2
   redirect_program /usr/local/etc/squid/redirector.pl
   url_rewrite_children 20 startup=10 idle=1 concurrency=0

Обратите внимание на строки wccp2_router и wccp2_address. Соответственно тут
должны быть адреса на интерфейсе со стороны CISCO и SQUID. Трафик на сервер
SQUID посылается путем замены MAC-адреса, без организации дополнительного GRE-тунеля.

Скрипт редиректора копируется в  /usr/local/etc/squid/:



   #!/usr/bin/perl

   use IO::Handle;
   use POSIX qw(strftime);
   use POSIX qw(setsid);
   
   my $db_path     = "/var/db/zapret-info/";
   my $block_url   = "http://my.domain/block/";
   my $log_file    = "/var/log/squid/redirector.log";
   
   $0 = 'redirect' ;
   $| = 1 ;
   my @banners ;
   my @X ;
   my $serial      =0;
   
   sub _log {
       my $log_str = shift;
       my $now_str = strftime "%d-%m-%Y %H:%M:%S", localtime;
       printf(FLOG "[%s] %s\\n", $now_str, $log_str);
   }
   
   sub _rule_refresh {
       open(SER ,"${db_path}/serial");
       read(SER,$num,6);
       close(SER);
   
       if (length($num)==0) { $num=0; }
       if ($num > $serial) {
           _log("Reading file ${db_path}/denied.conf serial ${num}");
           open (IN_FILE, "${db_path}/denied.conf") || die $!;
           my @tmp_data = <IN_FILE>;
           chomp @tmp_data;
           @banners=();
           push @banners, map { qr /\\Q$_\\E/ }  grep { ! /^\\s*$/ }       @tmp_data;
           close(IN_FILE);
           $serial=$num;
       }
   }
   
   $SIG{INT} = \\&_rule_refresh;
   open(FLOG, ">>${log_file}");
   $| = 1 ;
   FLOG->autoflush(1);
   _log("Redirector started.");
   
   while (<>) {
       chomp ;
       @X = split ;
       ($url, $who, $ident, $method) = @X ;
       _rule_refresh ;
       $url = $block_url if grep ($url=~/$_/i, @banners) ;
       print "$url $who $ident $method\\n" ;
   }
   
   _log("Redirector exited.");
   close(FLOG);
   exit 0;


В начале данного файла мы должны установить значение переменных $db_path,
$block_url, $log_file в соответствии с Вашими настройками. $db_path содержит
путь до директории с файлом denied.conf и serial, $block_url должен содержать
адрес страницы на которую мы перекидываем клиента при блокировании ресурса.

Что бы анализировать HTTPS-трафик, нам нужно сгенерировать самоподписанный сертификат:

   cd /usr/local/etc/squid/
   openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squid.pem -out squid.pem

Запускаем SQUID. Если все настроено верно, то на CISCO по команде sh ip wccp,
мы увидим что-то похожее на такое:

   #sh ip wccp
   Global WCCP information:
    Router information:
    Router Identifier: 1.1.1.1
    Protocol Version: 2.0
   
   Service Identifier: 0
    Number of Service Group Clients: 1
    Number of Service Group Routers: 1
   ...
    Redirect access-list: WCCP_REDIRECT
   ...

   Service Identifier: 70
    Number of Service Group Clients: 1
    Number of Service Group Routers: 1
   ...
    Redirect access-list: WCCP_REDIRECT
   ...

Если соединение WCCP2 установилось, мы может попробовать запустить трафик на
SQUID. Для этого в ipfw мы должны поставить правила переадресации трафика :

   ipfw add 100 fwd 1.1.2.2,3128 tcp from not me to any dst-port 80 via ${wccp_intf} in
   ipfw add 100 fwd 1.1.2.2,3129 tcp from not me to any dst-port 443 via ${wccp_intf} in

(где ${wccp_intf} - интерфейс для обмена wccp-трафиком)

На CISCO запускаем трафик на SQUID :

   conf t
   int vlan90
    ip wccp 0 redirect in
    ip wccp 70 redirect in

Для загрузки acl в CISCO поднимаем tftp-сервер, раскомментировав
соответствующую строку в /etc/inetd.conf и перезапустив inetd . Проверяем
загрузку правил по rsh, выполнив из консоли сервера :

   ( sleep 2 ; echo '' ; sleep 15 ) | rsh -l blocker 1.1.2.1 copy tftp://1.1.2.2/block.acl running-config ;

Проверяем в CISCO что правила загрузились. Если все отлично, создаем скрипт,
который мы включаем в на выполнение в крон :

   #!/bin/sh
   . /var/db/zapret-info/cfg/loader.conf
   /scripts/download.pl

   if [ $? -eq 0 ];
   then
    /scripts/xml-parser.pl
   else 
    exit 254 ;
   fi
   if [ $? -eq 0 ];
   then 
    ( sleep 2 ; echo '' ; sleep 15 ) | rsh -l blocker  ${cisco_address} copy tftp://${tftp_address}/block.acl running-config ;
   else 
    exit 253 ;
   fi
   exit 0;

Создадим файл конфигурации скрипта в /var/db/zapret-info/cfg/loader.conf

   echo 'cisco_address="1.1.2.1"' > /var/db/zapret-info/cfg/loader.conf
   echo 'tftp_address="1.1.2.2"' >> /var/db/zapret-into/cfg/loader.conf

Если Вы все сделали без ошибок и поняли идею, Вы получили работающий полностью
в автоматическом режиме сервер фильтрации трафика, синхронизированный с
реестром Роскомнадзора, фильтрующий ВСЕ (!) ресурсы внесенные в реестр, в том
числе URI написанные на русском языке и URI на защищенных SSL-ресурсах (для
пользователя соединение отдаётся с использованием самоподписанного сертификата).
 
22.11.2013 , Автор: Пережилин Юрий , Источник: http://www.ps-ax.ru/?p=35...
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Ограничение трафика

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, pavel_simple (ok), 10:53, 25/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для этого воспользуемся утилитой
    P12FromGostCSP, и экспортируем подпись в формате PKSC#12.

    за такой хостинг можно нарваться на неприятности -- лучше убрать от греха.

     
     
  • 2.33, Юрий (??), 20:08, 02/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >за такой хостинг можно нарваться на неприятности -- лучше убрать от греха.

    Цитата c кучи источников в инете :
    Утилита P12FromGostCSP доступна для свободного скачивания на сайте ООО "ЛИССИ-Крипто". (29.12.2011), источник - http://www.astera.ru/pr/67031/

    То что ЛИССИ-Софт захотел резко сейчас срубить бабла, увидев что стала популярной такой и изменил условия распространения - это извините уже постфактум действия. Версия в статье - абсолютно не имела ни каких ограничений и была свободной.

     
     
  • 3.34, pavel_simple (ok), 20:13, 02/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >>за такой хостинг можно нарваться на неприятности -- лучше убрать от греха.
    > Цитата c кучи источников в инете :
    > Утилита P12FromGostCSP доступна для свободного скачивания на сайте ООО "ЛИССИ-Крипто".
    > (29.12.2011), источник - http://www.astera.ru/pr/67031/
    > То что ЛИССИ-Софт захотел резко сейчас срубить бабла, увидев что стала популярной
    > такой и изменил условия распространения - это извините уже постфактум действия.
    > Версия в статье - абсолютно не имела ни каких ограничений и
    > была свободной.

    да --я знаю -- я сам качал её когда только роскомнадзор разрадился -- дело не в этом -- а в том что материалы имеющие копирайт имент свои правила распространения -- и сайту на котором оно вот так хостится никто права раздавать этот файл не давал. и не важно что утилита была безплатная.

     
     
  • 4.35, Юрий (??), 20:26, 02/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Не согласен - условия распространения ее не оговаривались ни какими лицензиями и ограничениями.
    Кстати еще - к их же сайта : http://www.lissi-crypto.ru/about/news/2011/12/33

    Они отдавали ее свободно, не накладывая ни каких ограничений. Это как если бы Вам сейчас подарили подарок, а потом постфактум через год, когда Вы его отдали другому, начали тыкать что а вот сейчас Вы не имеете права его передавать. Более того - в данной приложенной версии нет ни about экрана, ни условий использования, как в любом нормальном сойте при первом запуске... Так что вполне можно пободаться. А новые версии пускай продают :) мы же не их выложили.

     
     
  • 5.36, pavel_simple (ok), 20:36, 02/12/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не согласен - условия распространения ее не оговаривались ни какими лицензиями и
    > ограничениями.
    > Кстати еще - к их же сайта : http://www.lissi-crypto.ru/about/news/2011/12/33
    > Они отдавали ее свободно, не накладывая ни каких ограничений. Это как если
    > бы Вам сейчас подарили подарок, а потом постфактум через год, когда
    > Вы его отдали другому, начали тыкать что а вот сейчас Вы
    > не имеете права его передавать. Более того - в данной приложенной
    > версии нет ни about экрана, ни условий использования, как в любом
    > нормальном сойте при первом запуске... Так что вполне можно пободаться. А
    > новые версии пускай продают :) мы же не их выложили.

    лучше не нужно -- если вы считаете что бинарник лежит без лицензии то его мжно юзать и раздавать то вы глубоко ошибаетесь -- без лицензии означает только одно -- правообладатель не предоставил вам боговора по которому вы имеете право пользоваться его продуктом.

    зачем бодаться -- дело в том что google и так знает за данный файл, а вот бодаться -- это странное занятие никчему хорошему не ведущие. почитывайте изредка законодательство.

     

  • 1.2, pavel_simple (ok), 10:53, 25/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    P.S.
    http://soft.lissi.ru/products/price/#113
     
  • 1.3, Аноним (-), 11:08, 25/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    За SSL bump у провайдера надо яйца отрывать.
     
     
  • 2.5, Аноним (-), 17:27, 25/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ой, ну подумаешь, кулсисоп из такого прова данные твоей креды кардерам продаст. Это ж мелочи :).
     
  • 2.9, Гость (?), 08:46, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > За SSL bump у провайдера надо яйца отрывать.

    Ну раз ты такой умный - предложи другой способ контроля трафика в корпоративной среде. Не держи в себе.

     
     
  • 3.17, Аноним (-), 01:07, 29/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > За SSL bump у провайдера
    > у провайдера

    Какая нахрен корпоративная среда?

     
     
  • 4.18, Гость (?), 01:12, 29/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Та самая, в которой внедряют подобные решения.
     
     
  • 5.20, Аноним (-), 16:55, 30/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем корпоративщикам фильтрация по роскомнадзоровским спискам, если их провайдеры уже фильтруют трафик и вообще делать это обзывают только самих провайдеров?
    Более того, в статье ничего не говорится про корпоративные сети, а при этом сам автор работает в домашнем провайдере dnlab.ru
     
  • 3.31, Аноним (-), 14:14, 02/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну раз ты такой умный - предложи другой способ контроля трафика в
    > корпоративной среде. Не держи в себе.

    Пригнать роту надзирателей с автоматами, пару овчарок, все такое прочее. Расставить надзирателей за спиной сотрудников, приковать их к рабочему столу на всякий случай. При таком раскладе они стопроцентно зассут корпоративные данные тырить.

     

  • 1.4, nikosd (ok), 15:09, 25/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В списке  есть   и  vk.com  и youtu.be   и   т.п., снижение  от пропуска только нужного трафика  ( пробовали  у себя  с анонсом сетей через лишний  маршрутизатор) чуть более  50%  общего потока..
    про https -  а вроде  на днях  не было таких ресурсов в списке.
     
     
  • 2.11, Гость (?), 08:53, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > про https -  а вроде  на днях  не было
    > таких ресурсов в списке.

    Если даже и нет, то скоро появятся.

    Интересней другое, когда появятся спонсоры, которые оплатят поддержку TLS SNI в сквиде.
    http://wiki.squid-cache.org/Features/SslPeekAndSplice

     
     
  • 3.27, Юрий (??), 12:34, 02/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Уже давно там :
    # cat denied.conf | grep -c https://
    45
     

  • 1.6, Crazy Alex (ok), 17:16, 26/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мды, вот такие нынче полезные советы....
     
     
  • 2.10, Гость (?), 08:47, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Мды, вот такие нынче полезные советы....

    Мда, вот такие нынче полезные комментарии...

     
  • 2.21, Аноним (-), 00:35, 01/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Мды, вот такие нынче полезные советы....

    Как дружно кинулись свободолюбивые айтишнеги подлизывать власти ж.пу......

     
  • 2.30, Аноним (-), 14:11, 02/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Мды, вот такие нынче полезные советы....

    Ну дык пЫoнер-провайдеры с фряхой чешут репу как не загнуться окончательно, получив в табло от властей. Вот так и живем...

     

  • 1.8, aurved (?), 20:04, 26/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если и не получится с помощью утилиты P12FromGostCSP вытащить подпись в формате PKSC#12, то можно подписывать из командной строки и в windows и в linux например с помощью КриптоПро (хоть и не бесплатная прога, но поможет автоматизировать). Недавно в одном из советов в коментах был пример как это сделать -- http://itmemo.ru/2012/12/sozdanie-fayla-otkreplennoy-elektronnoy-podpisi-v-fo
     
  • 1.12, анонимммм (?), 09:40, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Данный метод фильтрации не гуд т.к. при использовании технологии wccp пользователи будут ходить через прокси (у всех будет 1 адрес),кто хочет сказать что метод transparent не светит ip адрес - вы создайте действуюшую лабу согласно описанию и сами убедитесь как палится что вы пускаете клиентов через прокси.
     
     
  • 2.22, Аноним (-), 00:36, 01/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Данный метод фильтрации не гуд т.к. при использовании технологии wccp пользователи будут
    > ходить через прокси (у всех будет 1 адрес),кто хочет сказать что
    > метод transparent не светит ip адрес - вы создайте действуюшую лабу
    > согласно описанию и сами убедитесь как палится что вы пускаете клиентов
    > через прокси.

    Урюк, ты хоть раз правильно настроенный транспарентник видал? Я не говорю, чтобы самому настроить - ты только сорцы из репов ставить умеешь.

     
  • 2.32, Юрий (??), 15:20, 02/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Данный метод фильтрации не гуд т.к. при использовании технологии wccp пользователи будут ходить
    > через прокси (у всех будет 1 адрес),кто хочет сказать что метод transparent не светит ip адрес -
    > вы создайте действуюшую лабу согласно описанию и сами убедитесь как палится что вы пускаете
    > клиентов через прокси.

    И что здесь такого ? Ну будут ходить на сайты IP которых внесены в РОСКОМНАДЗОР через прокси. Что ВАС в это смущает ? Идея как раз в том что только сайты IP которых внесены в реестр ходят через прокси, а не все подряд.

     

  • 1.13, Roskom (?), 13:35, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Короче, мега способ:)

    cat dump.xml | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' | sort | uniq > /etc/ipfw/ipfw.table3 && /etc/rc.d/ipfw restart

    Ну и в файле IPFW

    #Table 3
    cat /etc/ipfw/ipfw.table3 | while read ip; do
    ipfw table 3 add $ip
    done
    $cmd 100 deny tcp from any to table\(3\) dst-port 80,443 via $fe0

     
     
  • 2.14, pavel_simple (ok), 14:11, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Короче, мега способ:)
    > cat dump.xml | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}'
    > | sort | uniq > /etc/ipfw/ipfw.table3 && /etc/rc.d/ipfw restart
    > Ну и в файле IPFW
    > #Table 3
    > cat /etc/ipfw/ipfw.table3 | while read ip; do
    > ipfw table 3 add $ip
    > done
    > $cmd 100 deny tcp from any to table\(3\) dst-port 80,443 via $fe0

    чур меня, чур!

     
     
  • 3.40, Дядя_Федор (?), 08:48, 03/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ага - блочить по IP-адресам офигенно мудрое решение. Пользователи обрадуются, конечно. :) Хотя формально закон это позволяет.
     
     
  • 4.45, an (??), 15:28, 04/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    это в каком месте простите?
    Написано мутно, но....

    то что так делает ростелеком не значит, что закон это позволяет.
    по ростелекому давно лишение лицензии плачет :)

     
     
  • 5.47, Дядя_Федор (?), 08:41, 09/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > это в каком месте простите?

    В месте, описывающем обязанности оператора связи. В том самом Законе, который в июле 2012 был подписан предводителем стерхов, а в ноябре вступил в действие. Он же - 139-ФЗ от 28.07.2012. Почитайте комментарии РАЭК - http://raec.ru/upload/files/popravki-89417-6_280612.pdf Или блог гугля - http://googlerussiablog.blogspot.com/2012/07/blog-post.html

    > то что так делает ростелеком не значит, что закон это позволяет.
    > по ростелекому давно лишение лицензии плачет :)

    Ростелек? Лишить лицензии? Не верю! :) "Он же памятник!" Ознакомьтесь на досуге - как создавался так называемый "Мегателеком", он же "Связьинвест". И чьи ущи торчат при создании этого мега-супер-провайдера.

     

  • 1.15, Alpha (?), 16:26, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зато нахрен прокся не нужна! Трафик должен идти напрямую, без всяких костылей:)
     
  • 1.28, Дмитрий (??), 12:38, 02/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нам тут звонили, впаривали какой-то фильтр редуктор   говорят самый быстрый. Но что-то я не верю чтобы софтверное было быстрее аппаратного.Если че у нас SCE, работает без проблем,но хотя не дешево
     
     
  • 2.49, nikosd (ok), 12:29, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Нам тут звонили, впаривали какой-то фильтр редуктор   говорят самый быстрый.
    > Но что-то я не верю чтобы софтверное было быстрее аппаратного.Если че
    > у нас SCE, работает без проблем,но хотя не дешево

    Очень правильное решение, про самый  быстрый  не знаю ( да  при его  идеологии  это и не нужно), правда  в сетях со сложной  структурой    можно рехнуться  его  внедрять .. .
    Идеологически - mirror  трафика на анализатор  и посылка RST  клиенту и серверу.  Зеркалить только  выбранный  кусок  трафика ( ip +  порт - увлекательно )..
    P.S.  при виде  MPS, QiQ и т.п   меток анализатор впадает в  ступор, так что найти точку установки  оказалось не так  просто..

     

  • 1.39, DmitriyM (ok), 23:51, 02/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Рекомендую посмотреть презентацию с конференции операторов связи, там как раз обсуждался вопрос фильтрации http://www.nag.ru/user/notes/24105/prezentatsiya-s-konferentsii-operatorov-sv
     
  • 1.42, wohy (?), 17:58, 03/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Напоминает нигерийский вирус.
    Скачайте список, сами фильтруйте на его основе.
     
     
  • 2.44, Дядя_Федор (?), 08:17, 04/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Напоминает нигерийский вирус.
    > Скачайте список, сами фильтруйте на его основе.

    Правительству и президенту спасибо скажите за это. И судя по последним новостям "тематика" списочка постепенно расширяется. Что, собственно, итак было очевидно для любого здравомыслящего человека после ноября прошлого года.


     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру