«Ростелеком» откажется от блокировок по IP-адресу с конца мая Статьи редакции
«Ростелеком» с конца мая начнёт блокировать попавшие в реестр запрещённых ресурсов сайты по их URL-адресу, а не по IP. Об этом сообщает газета «Ведомости», ссылаясь на источник внутри компании.
Как пояснили в «Ростелекоме», внедряемый механизм фильтрации трафика не имеет ничего общего с системой DPI (Deep Packet Inspection), использующейся рядом других крупных провайдеров в России (например, «Вымпелкомом» и МТС).
Его разработку компания по итогам тендера заказала российской фирме Inline Telecom Solutions. Новая система блокировки, которая до июля будет работать в тестовом режиме, обошлась интернет-провайдеру в один миллион долларов США.
Ранее сообщалось о планах «Ростелекома» начать блокировку сайтов по URL на основе DPI. Однако позже использование этой системы сочли экономически нецелесообразным. По данным «Ведомостей», внедрение Deep Packet Inspection могло обойтись «Ростелекому» в 40-50 миллионов долларов.
В конце апреля из-за отсутствия технической возможности блокировать запрещенные страницы по URL, а не по IP-адресу, «Ростелеком» стал фигурантом судебного разбирательства с компанией Group-IB.
Фирма, занимающаяся борьбой с киберпреступностью, подала против «Ростелекома» иск, потребовав от провайдера 150 миллионов рублей компенсации за ущерб, нанесённый ошибочной блокировкой её официального сайта. Соответчиком по иску также стал Роскомнадзор.
«Ростелеком» заблокировал сайт Group-IB в ноябре 2013 года. Блокировка произошла из-за того, что IP-адрес, на котором располагался сайт, попал в реестр запрещённых ресурсов. Как оказалось, этот IP сайт Group-IB делил с форумом о наркотиках.
Реестр запрещённых ресурсов действует в России с конца 2012 года. Ввиду несовершенства существующих механизмов блокировки сайтов из-за попадания в реестр того или иного противозаконного ресурса регулярно страдают и десятки не нарушающих закон интернет-страниц.
#блокировка #Роскомнадзор #Ростелеком #госрегулирование #реестр_запрещённых_сайтов #блокировки #моментальная_блокировка_сайтов #DPI
Комментарий удален модератором
Верной дорогой идут. Блокировать по url очень мудро, например можно блокировать сразу домен верхнего уровня какой-нибудь там .us или .com. Хотя почему бы не закончить начатое и заблокировать .ru?
Ну да, .рф не зря же сделали.
Теперь будут блокировать по MAC-адресу
А с 1 августа - по номеру паспорта.
MAC-адрес можно подменить.
А может, это.. Ну, не блокировать? Так, мысли вслух...
Привел прогноз того метода, который будет использовать Ростелеком:
http://habrahabr.ru/post/222455/
Смачный подсос. Молодцы. Смотрите там не подавитесь, Ростелеком. Нормальные сайты закрывают статистику блогеров, чтобы их нельзя было приравнять к СМИ, а эти улучшают систему блокировки. Пиздец.
Подсос - это понятно, без него видимо не обошлось.
Только причем тут блогеры и СМИ? Если обычно провайдеры банят сайты из РосРеестра, типа форумов о наркотиках, самоубийствах, педофилии и разжигании нац.вражды? Как им поможет скрытие статистики, если сайты такого рода по закону должны быть забанены независимо от количества посетителей?
Как я понял он почему-то сравнивает сайты и провайдеров. Но не очень понимаю почему.
А что здесь непонятного? Я говорю, что нормальные сайты пытаются как-то помешать этим ограничивающим и херовым законам, а Ростелеком ищет способ блокировать так, чтоб прям наверняка.
Если вы про livejournal, то ЖЖ скорее прикрывает собственную задницу. Чтобы не нести ответственность за несколько тысяч блогеров, которые резко становятся СМИ, если что - попробуй докажи, что это именно СМИ. В этом случае ЖЖ кагбэ защищает своих пользователей, слегка прикрывая их статистику.
Зато во втором случае Ростелеком защищает livejournal.com от полной блокировки в России всего сайта (как это недавно было из-за журнала Навального), и заблокирует только конкретный нарушающий закон адрес сайта - в том числе и если это будет домен третьего уровня.
Ростелеком не ищет способ блокирования, Ростелеком ищет способ сделать так, чтобы у его пользователей не блокировались остальные, непричастные к нарушениям сайты, а вы могли и дальше читать своих любимых блогеров.
Я тоже путаю Ростелеком и Розкомнадзор.
Да это же пример был, вы что) Простите, что некорректно выразился. Чуть-чуть выше я Серпу ответил - там же ответ на ваш вопрос.
Что-то как-то странно. Что они имеют ввиду, когда говорят, что это не DPI? Ведь это именно DPI и есть. Или, неужели, им сделали фильтрующий прокси-сервер за миллион долларов?
Наверное, имеется ввиду, что DPI пропускает весь трафик, а тут только траф на IP в реестре заворачивается.
Конечно прокся, пропустить весь их трафик через DPI будет стоить далеко за $1 млн.
Комментарий недоступен
DPI — не протокол, и DPI не позволяет использовать правила на уровне приложений, вы что-то путаете. Грубо говоря, DPI умеет определять тип трафика и доставать из него информацию, свойственную этому типу.
Комментарий недоступен
Это не firewall, DPI, как правило, умеет только определять тип трафика и маркировать его, а что вы с ним будете делать, это уже не его забота. Он не определяет "приложение", он определяет протокол. Это, скорее, придирка, и в общем вы правы.
я думаю, что так:
http://tjournal.ru/paper/page-by-page#comment630362
Понятно, обычный прокси, вероятно, с локальными BGP-анонсами IP-адресов, которые необходимо фильтровать. Собственно, так большинство мелких и средних провайдеров делает. Это не стоит миллион долларов.
Комментарий недоступен
Анонсы внесенных в реестр IP-адресов (/32). Это не проще, чем фаерволлить, но позволяет блокировать определенные URL, а не IP.
Комментарий недоступен
Ну так это оно и есть, только через BGP, так удобней же. Почему извращение-то?
Эххх.... заживём теперь. Россия с колен поднимается.
теперь будет проще по названию урла определять, что было заблокировано. Эффект Стрейзанд примет большие масштабы.
Тонко
А клиентов в Ростелеком принудительно загонять будут?
Не знаю как у вас, а в моём городе-миллионнике у многих псевдо 3G это единственная альтернатива ростелеку.
В наше время случайный сарказм часто воплощается в реальность.
Я вообще не из России, но статьи про "Ростелеком" буду комментить
Не делил, а после первой блокировки форум поменял в DNS записях своего домена старые IP адреса на адреса Group-IB.
Не делил, а после первой блокировки форум поменял в DNS записях своего домена старые IP адреса на адреса Group-IB.
Комментарий недоступен
"обошлась интернет-провайдеру в один миллион долларов США" ... не обнищают!
Будет ли эта система работать с https трафиком? Если да, то каким образом?
Я знаю одного провайдера, который подменял сертификат на все https-сайты, чтобы блокировать URL внутри шифрованного трафика. Крайне надеюсь, что Ростелеком такого не будет делать.
Кто ему их выдавал? Или пользователи были вынуждены доверять любым сертификатам?
Да. Это был самоподписной сертификат на все домены (SubjectAltNameDNS = *). При заходе на любой https-сайт браузер ругался, и если пользователь хоть раз примет такой сертификат, то больше ни один сайт ругаться не будет.
У меня на работе айтишники такую же порнографию сделали - всем сайтам вместо реального сертификата подставляется самопальный, выданный якобы "IronPort-HTTPS-test", при этом сроки действия соответствую реальному.
Как сказал один айтишник, сделали по требованию нашей безопасности, чтобы могли читать зашифрованный трафик
Комментарий недоступен
Да, твиттер в Хроме через эти костыли не открывается вообще, фэйсбук открывается без стилей
Ты только что рассказал причину моих бед на позапрошлой работе... и теперь я знаю чем занимались админы.
ЕМНИП в январе как раз таки Ростелеком включал https прокси с подменой сертификатов на свой wildcard
Не совсем так. Они просто "блокировали" весь https-трафик. Т.е. они отдавали свой сертификат (CN = rt.ru), и если вы его примите и зайдете на сайт, то вам скажут, что он заблокирован, вот и все.
Проксирование велось на избранные сайты (точно проксировались сайты, совпадающие с членами Реестра по IP, но были и сайты, с Реестром отношений никогда не имевшие)
Телепатическим, видимо...