Д) Показывая заглушку о блокировке, оператор тем самым может решать какую-то свою проблему. Например, на прошлой неделе оператор (не мой, что и удивило) показывал такое при обращении на адреса CDN Akamai, которые ddos’или вероятно.
Г) Есть современные отечественные решения, например, DPI СКАТ. Там предусмотрена возможность фильтрации, но MITM нет. Блокировка в случае https будет осуществляться по ip-адресу из списка ркн. DPI у *городских* операторов используется для организации «безлимитных» тарифов. Раньше ставили б/у Cisco SCE, к примеру, а теперь есть отечественная альтернатива для кого-то.
Что касается обеспокоенных фильтрацией в школе родителей школьников, то им рекомендую поговорить с директором. Директор пояснит, что за фильтрацию он несет персональную ответственность перед проверяющими органами со всеми вытекающими последствиями.
Облцит не является монополистом в решениях фильтрации для школ. Вообще, работали они тогда только с федеральным оператором, который взялся лет 10 назад за выполнение нацпроекта «интернет в каждую школу». Сейчас школы самостоятельно оплачивают доступ в интернет и тут начинается всякое, что выходит за рамки обсуждения. Прошу обратить внимание, что у телекомов или их партнеров есть прокси сервер для школ, возможности которого ограничены производительностью и лицензиями. Через него нельзя пропустить трафик, например, более чем 100мбит/с. Ну никак не получится реализовать тоже самое для сотен гигабит абонентского трафика. Прокси стоит в операторской сети сбоку конкретно для VPN’а школ и NAT’ит конкретные сети. Количество этих сетей ограничено, так как оказывающие услуги фильтрации и разработчики тоже не дураки и хотят денег. Это конкретное решение под конкретную задачу и не более того.
У вас не работает сайт и вы думаете о аналогичном фильтре у вашего провайдера. Тут есть варианты и только один из них с MIT:
А)Есть около 20-30т ip-адресов в базе ркн. У оператора стоит сервер, который берет из базы ркн *ip-адреса*, отдает по протоколу BGP эти префиксы на маршрутизаторы оператора и тем самым замыкает необходимый трафик на себя. На сервере все пакеты дропаются без какой-либо проверки. Это простой и достаточный для соблюдения требований фильтрации вариант.
Б)В списке ркн есть доменные имена. Отсюда есть неправильный способ — попытаться разрезолвить такое доменное имя в адрес и полученный адрес далее маршрутизировать на свой сервер, где пакеты дропаются. Почему неправильный? Потому что владельцы зон могут вписать любой ip-адрес и тем самым заблокировать сайт ркн по ip, например. Говорят, такое бывает.
Вероятно, это ваш случай, т.к. такое возможно у небольших операторов. Попробуйте обратиться к нему для исправления ситуации или смените оператора. Уверен, что вам пойдут навстречу и исправят свой скрипт обработки бд ркн.
В) Тот же вариант с сервером и доменными именами. Отличие одно — инженер. Он борец за нашу и вашу свободу, живет не по лжи и т.д. Работает исключительно с доменными именами так как фильтрацию по ip категорически отвергает, но реализовать фильтрацию надо, деваться некуда. Ему необходимо смаршрутизировать адреса на свой прокси сервер и *расшифровать* урл в https запросе, сравнить со списком запрещенных доменных имен, урлов, дабы не заблокировать чего лишнего. Дальше рассказывать надо? Появляется MITM до всех адресов из базы ркн.
Такого никто никогда не требовал! В комментариях выше видел похожий случай, где оператор ссылается на ркн, как на причину вот такой реализации фильтрации. Я бы такого оператора самого послал в ркн.
Как излечиться от паранойи самостоятельно? Давайте попробуем разобраться.
Вас кто-то заставляет пользоваться *школьным* интернетом в личных целях на завирусованных школьных ПК на скоростях до 512кбит/с? Нет. Все то же самое доступно на смартфоне.
Пароль к почте что-нибудь даст? Нет. У параноиков настроена двухфакторная аутентификация.
Можно свести, конечно, всё к аналогу уязвимости солонки в студенческой столовой, но это не тот случай.
Конкретно на прокси-серверах для школ никто ничего не читает и задачи собирать пароли там нет. Все работает на самоходе и в редких случаях, когда не работает какой-то сайт, привлекается администратор и разработчики.
>Один из пользователей закрытой сети для образовательных учреждений Новосибирска рассказал, как можно достаточно легко автоматически заставить пользователей поделиться своими паролями с компетентными инстанциями.
Школьник переживает за свои пароли в vk и одноклассниках? Кому они нужны?
MITM в конкретном случае предназначен для расшифровки результатов поисковых выдач, блокировки контента по ключевым словам. Эти прокси-сервера ( usergate, например) помимо прочего осуществляют фильтрацию dns-запросов, поэтому в качестве dns в школьной сети можно указать любой публичный адрес. Дополнительная антивирусная проверка облегчает, надеюсь, жизнь немногочисленным ит-специалистам в школах.
За отсутствие фильтрации несет персональную ответственность директор школы, поэтому я понимаю и приветствую централизованные решения операторов связи. Еще нехватало, чтобы кроме ремонта и канцелярии пришлось на ИТ с родителей собирать.
Владимир, некоторое время назад cnews.ru блокировал доступ, если реклама не показывалась. Я честно перестал посещать этот ресурс, ничего не крал. Пусть сайты поступают аналогичным образом, если хотят. Это называется работа со своей целевой аудиторией, куда я не попадаю, но это не делает меня преступником, верно? Вы же хотите показывать рекламу и зарабатывать на кликах и т.п.? Вот и показывайте тем, кто согласен ее смотреть вместе с заурядным контентом. А я пойду на сайт ваших конкурентов.
Во второй половине 20 века прекрасно обходились без фейсбука, а электропочта до сих пор самый эффективный канал продаж в интернете. На большинство сайтов в интернете я не хожу, так как там «насрано», простите. Отключать фильтры избирательно для поддержки бизнеса? Нет такой мотивации. Попробуйте меня убедить спасать печатные сми и читать бесплатные журналы, изучать рекламу на всех страницах.
С момента использования adguard для андроид, программа удалила 17к рекламных попугаев и сэкономила 0.5гиг трафика. Из-за специфики ее работы программа «совместима» с любым приложением, поэтому даже если из хрома выпилят все плагины, то переживать не надо. Есть еще интересный браузер ghostery, который блокирует и показывает на сайтах скрипты метрик/аналитик/рекламных сетей и выпиливает разные соц.плагины
Дискуссии пользователя
Д) Показывая заглушку о блокировке, оператор тем самым может решать какую-то свою проблему. Например, на прошлой неделе оператор (не мой, что и удивило) показывал такое при обращении на адреса CDN Akamai, которые ddos’или вероятно.
Г) Есть современные отечественные решения, например, DPI СКАТ. Там предусмотрена возможность фильтрации, но MITM нет. Блокировка в случае https будет осуществляться по ip-адресу из списка ркн. DPI у *городских* операторов используется для организации «безлимитных» тарифов. Раньше ставили б/у Cisco SCE, к примеру, а теперь есть отечественная альтернатива для кого-то.
Что касается обеспокоенных фильтрацией в школе родителей школьников, то им рекомендую поговорить с директором. Директор пояснит, что за фильтрацию он несет персональную ответственность перед проверяющими органами со всеми вытекающими последствиями.
Облцит не является монополистом в решениях фильтрации для школ. Вообще, работали они тогда только с федеральным оператором, который взялся лет 10 назад за выполнение нацпроекта «интернет в каждую школу». Сейчас школы самостоятельно оплачивают доступ в интернет и тут начинается всякое, что выходит за рамки обсуждения. Прошу обратить внимание, что у телекомов или их партнеров есть прокси сервер для школ, возможности которого ограничены производительностью и лицензиями. Через него нельзя пропустить трафик, например, более чем 100мбит/с. Ну никак не получится реализовать тоже самое для сотен гигабит абонентского трафика. Прокси стоит в операторской сети сбоку конкретно для VPN’а школ и NAT’ит конкретные сети. Количество этих сетей ограничено, так как оказывающие услуги фильтрации и разработчики тоже не дураки и хотят денег. Это конкретное решение под конкретную задачу и не более того.
У вас не работает сайт и вы думаете о аналогичном фильтре у вашего провайдера. Тут есть варианты и только один из них с MIT:
А)Есть около 20-30т ip-адресов в базе ркн. У оператора стоит сервер, который берет из базы ркн *ip-адреса*, отдает по протоколу BGP эти префиксы на маршрутизаторы оператора и тем самым замыкает необходимый трафик на себя. На сервере все пакеты дропаются без какой-либо проверки. Это простой и достаточный для соблюдения требований фильтрации вариант.
Б)В списке ркн есть доменные имена. Отсюда есть неправильный способ — попытаться разрезолвить такое доменное имя в адрес и полученный адрес далее маршрутизировать на свой сервер, где пакеты дропаются. Почему неправильный? Потому что владельцы зон могут вписать любой ip-адрес и тем самым заблокировать сайт ркн по ip, например. Говорят, такое бывает.
Вероятно, это ваш случай, т.к. такое возможно у небольших операторов. Попробуйте обратиться к нему для исправления ситуации или смените оператора. Уверен, что вам пойдут навстречу и исправят свой скрипт обработки бд ркн.
В) Тот же вариант с сервером и доменными именами. Отличие одно — инженер. Он борец за нашу и вашу свободу, живет не по лжи и т.д. Работает исключительно с доменными именами так как фильтрацию по ip категорически отвергает, но реализовать фильтрацию надо, деваться некуда. Ему необходимо смаршрутизировать адреса на свой прокси сервер и *расшифровать* урл в https запросе, сравнить со списком запрещенных доменных имен, урлов, дабы не заблокировать чего лишнего. Дальше рассказывать надо? Появляется MITM до всех адресов из базы ркн.
Такого никто никогда не требовал! В комментариях выше видел похожий случай, где оператор ссылается на ркн, как на причину вот такой реализации фильтрации. Я бы такого оператора самого послал в ркн.
Как излечиться от паранойи самостоятельно? Давайте попробуем разобраться.
Вас кто-то заставляет пользоваться *школьным* интернетом в личных целях на завирусованных школьных ПК на скоростях до 512кбит/с? Нет. Все то же самое доступно на смартфоне.
Пароль к почте что-нибудь даст? Нет. У параноиков настроена двухфакторная аутентификация.
Можно свести, конечно, всё к аналогу уязвимости солонки в студенческой столовой, но это не тот случай.
Есть пара ФЗ и смысла обсуждать их нет. Вот цитата http://www.consultant.ru/document/cons_doc_LAW_108808/9083b03e61777d3fe172fb3ef707a10e10688262/
Конкретно на прокси-серверах для школ никто ничего не читает и задачи собирать пароли там нет. Все работает на самоходе и в редких случаях, когда не работает какой-то сайт, привлекается администратор и разработчики.
>Один из пользователей закрытой сети для образовательных учреждений Новосибирска рассказал, как можно достаточно легко автоматически заставить пользователей поделиться своими паролями с компетентными инстанциями.
Школьник переживает за свои пароли в vk и одноклассниках? Кому они нужны?
MITM в конкретном случае предназначен для расшифровки результатов поисковых выдач, блокировки контента по ключевым словам. Эти прокси-сервера ( usergate, например) помимо прочего осуществляют фильтрацию dns-запросов, поэтому в качестве dns в школьной сети можно указать любой публичный адрес. Дополнительная антивирусная проверка облегчает, надеюсь, жизнь немногочисленным ит-специалистам в школах.
За отсутствие фильтрации несет персональную ответственность директор школы, поэтому я понимаю и приветствую централизованные решения операторов связи. Еще нехватало, чтобы кроме ремонта и канцелярии пришлось на ИТ с родителей собирать.
Андрей, спасибо за софт. Меня можете не благодарить, я так и не купил ничего пока :)
Adguard я впервые встретил как бесплатное расширение для яндекс.браузера. Забавно от них отчеты смотреть. Они совпадают примерно с долей их браузера?
https://m.adguard.com/en/welcome.html для мобильных.
Вот еще https://duckduckgo.com/ можно легально пользоваться, чтобы не обидеть покупателей контекстной рекламы яндекса и гугла.
Владимир, некоторое время назад cnews.ru блокировал доступ, если реклама не показывалась. Я честно перестал посещать этот ресурс, ничего не крал. Пусть сайты поступают аналогичным образом, если хотят. Это называется работа со своей целевой аудиторией, куда я не попадаю, но это не делает меня преступником, верно? Вы же хотите показывать рекламу и зарабатывать на кликах и т.п.? Вот и показывайте тем, кто согласен ее смотреть вместе с заурядным контентом. А я пойду на сайт ваших конкурентов.
Во второй половине 20 века прекрасно обходились без фейсбука, а электропочта до сих пор самый эффективный канал продаж в интернете. На большинство сайтов в интернете я не хожу, так как там «насрано», простите. Отключать фильтры избирательно для поддержки бизнеса? Нет такой мотивации. Попробуйте меня убедить спасать печатные сми и читать бесплатные журналы, изучать рекламу на всех страницах.
С момента использования adguard для андроид, программа удалила 17к рекламных попугаев и сэкономила 0.5гиг трафика. Из-за специфики ее работы программа «совместима» с любым приложением, поэтому даже если из хрома выпилят все плагины, то переживать не надо. Есть еще интересный браузер ghostery, который блокирует и показывает на сайтах скрипты метрик/аналитик/рекламных сетей и выпиливает разные соц.плагины
https://m.geektimes.ru/post/279420/
Боролись с блокировщиками?