Пройдите любые проверки Роскомнадзора и АС “Ревизор”
с помощью фильтра трафика Carbon Reductor DPI X
Carbon Reductor DPI X успешно прошел тестирование Роскомнадзором и рекомендован как средство фильтрации.
В тестировании приняло участие 22 оператора связи. По итогам у всех провайдеров, установивших DPI систему в
соответствии с системными требованиями, достигнута 100% блокировка запрещённых сайтов.
Решение, а не инструмент
Мы разрабатываем и поддерживаем не столько ПО, сколько рабочее решение “под ключ” для выполнения
ФЗ-139, ФЗ-149, ФЗ-187, ФЗ-398, блокировки запрещённых ресурсов и прохождения проверок АС “Ревизор”.
С 2012 года мы внедрили более 350 функций и улучшений. За 9 лет мы стали экспертами в области фильтрации
и обработки трафика в России и вся наша экспертиза доступна Вам в простом элегантном решении.
Работает по схеме “зеркалирования трафика”*
Что никак не влияет на основную сеть интернет-провайдера и не отражается на работоспособности абонентов.
Сервер устанавливается “сбоку” сети, никак её не нагружает, не влияет на работу оборудования и абонентов.
Поддерживается обработка трафика дублируемого с маршрутизаторов (Redback, Cisco, Mikrotik и др.) и с коммутаторов.
Схема позволяет в 3-5 раз сократить расходы на оборудование, а внедрение займет всего лишь несколько рабочих дней.
Также Вы можете установить резервный сервер с Carbon Reductor DPI X. Лицензию на дополнительное ПО мы предоставим
бесплатно в рамках основной.
*возможна установка в разрыв запросного канала
Уникальные особенности и возможности в одном продукте
Работая над решением по фильтрации мы постепенно расширяемся и привносим больше новых возможностей
в продукт с каждым месяцем. И вот лишь некоторые из них, которые Вы можете использовать:
Интеллектуальные алгоритмы обработки списков
Имея большой опыт в разборе ситуаций, когда в списке появляются некорректные URL, мы разработали набор алгоритмов
предварительной корректировки списков. Кроме этого, мы разработали облачную систему проверки,
которая отлавливает сложные URL и сайты с нестандартным поведением, которые не блокируются
по URL. Такие сайты автоматически добавляются в Hotfix список IP фильтрации.
8 технологий фильтрации трафика
В зависимости от настроек, блокировка запрещённых сайтов происходит с точностью от URL до IP с уведомлением и без.
Поддерживаются: HTTP (URL), DNS, HTTPS (SNI, домены), BGP/OSPF (IP, blackhole/proxy), TCP/IP (IP + PORT), HSTS (прокси).
Колоссальная производительность
Система контроля и анализа трафика позволяет проверять до 900 000 пакетов в секунду сетевого трафика на ядро
процессора, до 50 Гбит/c на сервер. Мы разработали уникальный алгоритм поиска по 4-х уровневым сигнатурам,
исключили почти все блокировки внутри модулей ядра, провели глобальную оптимизацию многоядерной обработки,
что обеспечило многолетний запас прочности по размеру списка фильтрации — более 100 млн URL с возможностью
расширения до 2-х млрд URL.
Несколько источников списков и собственные списки провайдера
Поддерживается фильтрация трафика по реестру Роскомнадзора, спискам Минюста, черным и белым спискам провайдера.
Их предобработка обеспечивает запрет в любых браузерах и операционных системах.
Автоматическая оптимизация оборудования
Carbon Reductor DPI X автоматически оптимизирует Ваше оборудование сервера фильтрации, а специалисты отдела
продаж сконфигурируют систему для специализации на обработке трафика так, чтобы её эффективность повысилась
в разы, и Вам не нужно было обновлять оборудование лишний раз.
Единый веб-интерфейс для работы
Просматривайте статистику по 14 основным показателям и отслеживайте эффективность работы всех серверов
фильтрации в одном месте, составляйте отчёты и редактируйте собственные списки, пользуйтесь поиском по
реестру запрещённых сайтов: по URL, IP, домену или подсети.
Интегрирован с личным кабинетом с АС “Ревизор”
Вам не нужно постоянно заходить в личный кабинет АС «Ревизор» и проверять
работоспособность системы фильтрации, за Вас это сделает Carbon Reductor DPI X.
Carbon Reductor DPI X скачивает и анализирует отчёты из личного кабинета АС «Ревизор». Результаты
анализа отправляются в систему мониторинга для отслеживания корректности работы Вашего сервера фильтрации.
При любых форс-мажорных ситуациях разработчики будут оповещены о неполадках системой мониторинга,
сообщят о них администратору Carbon Reductor DPI X на Вашей стороне и решит проблему в самые кратчайшие сроки.
Глобальная система мониторинга Carbon Soft
О любых потенциальных проблемах она узнает быстрее Вас, автоматически решит возникшие задачи,
а инженеры помогут в этом. И всё это без Вашего участия.
Система мониторинга отслеживает DPI и сеть провайдера по более чем 70-ти показателям, которые могут повлиять на
работоспособность системы фильтрации. Автоматически устраняет мелкие проблемы, а при необходимости оповестит
Вас и вашего администратора.
Carbon Reductor DPI X выполняет все требования Роскомнадзора 24/7/365
Не беспокойтесь о новых требованиях РКН, какими бы они не были
Мы подготавливаем Carbon Reductor DPI X за 2 месяца до вступления в силу поправок и рекомендаций,
таким образом он содержит в себе самые свежие требования по фильтрации трафика.
Carbon Reductor DPI X блокирует только необходимые ресурсы
Опция «Эвристический DPI» повышает качество фильтрации сложных протоколов, например, мессенджеров с шифрованным трафиком. Благодаря проактивному анализу DPI блокирует только необходимый трафик, что повышает качество интернета для Ваших абонентов и уменьшает количество блокировок из-за непорядочных ресурсов.
С помощью опции «Статистический облачный DPI» мы более тонко настраиваем фильтры и более точечно блокируем ресурсы, благодаря сбору и обработке большого количества статистических данных со всех серверов фильтрации.
Принципиально новые возможности для операторов связи
Carbon Reductor DPI X не просто фильтр трафика по спискам Роскомнадзора. Используйте точку анализа трафика в своих целях, чтобы влиять на бизнес показатели, отслеживать безопасность сети и не только.
Оповещение абонентов
с возможностью подтверждения
Об отрицательном балансе, новых тарифах, важной информации, чрезвычайных происшествиях и т.д. Интеграция возможна с любыми биллингами представленными на рынке.
Обнаружение сетевых атак,
вирусов и аномального трафика в сети
Позволяет администраторам информационной безопасности выявлять сетевые угрозы и обеспечивать безопасность пользователей, а также контролировать нагрузку на свою сеть.
Бесплатный дублирующий сервер
Зарезервируйте систему фильтрации по схеме 2N или 2N+1. Ведь лицензия на дополнительный сервер предоставляется бесплатно.
Редактируемая страница-заглушка
Брендируйте оператора связи, показывайте рекламу или любую другую информацию на странице-заглушке.
Формирование отчётов
Получайте отчёты по количеству обращений к запрещённым ресурсам, URL- и IP-адресам по настраиваемому фильтру.
Многофункциональный веб-интерфейс
Роли «администратор» и «оператор». Отслеживайте состояние системы фильтрации. Смотрите журналы о результатах выгрузки реестра РКН. Работайте с помощью REST API.
Преимущества Carbon Reductor DPI X
| Carbon Reductor DPI X | Другое решение |
|---|---|
| Работает с зеркалом трафика, устанавливается сбоку сети, не влияет на работу оборудования и абонентов. | Устанавливается в разрыв с серьезными изменениями сети. Появляется единая точка отказа, нарушается стабильность работы абонентов. |
| Работает на стандартном железе и стандартном CentOS. Гибкий подход к подбору сервера без привязки к производителю. | Высокие системные требования, сложная конфигурация сервера. |
| Коробочное решение, устанавливается за 2 часа, тестовый период 2 месяца. | Длительная интеграция. Невозможно протестировать решение без покупки специализированного сервера. |
| Бесплатный Резервный сервер может работать как High Availability кластер или как двойная фильтрация. | Резервирование в поставку не входит. |
| Ежемесячные обновления входят в стоимость. Круглосуточная техническая поддержка от партнеров с опытом работы более 8 лет. Гарантированный SLA по видам и срокам работ. | Обновления и техническая поддержка за отдельную плату. Регламент поддержки явно не указан. |
| Оплата Сarbon Reductor DPI организована по подписке, нет необходимости вкладывать крупную сумму заранее. Полноценная демо-версия на 2 месяца. | Большая разовая оплата сервера и лицензии. |
| Круглосуточный автоматический мониторинг всех серверов позволяет моментально обнаружить проблемы и сразу же подключить наших инженеров к решению. | Не заявлено. |
| Reductor Satellite позволяет дополнительно к АС «Ревизору» контролировать правильность фильтрации, чтобы еще лучше защититься от ручных проверок прокуратурой из абонентской сети. | Не заявлено. |
Установка и настройка менее, чем за 2 часа
Carbon Reductor DPI X устанавливается с обычного образа usbflash.iso.
С этим справится даже фрилансер. Посмотрите видео-инструкцию:
Стоимость лицензий договорная
Калькулятор стоимости Carbon Reductor DPI X или обратитесь в отдел продаж по телефону 8 (800) 777-83-70
Скоро наш менеджер свяжется с вами.
Carbon Reductor
В статье рассматривается инсталляция и настройка Reductor для фильтрации трафика в режиме приёма зеркала с коммутатора. Рассматриваемая в статье связка может использоваться у малых и средних провайдеров доступа к сети Интернет для фильтрации трафика по новомодным и не очень законам (ФЗ-139, ФЗ-149, ФЗ-187), как бы неприятно это не было. Схема опробована в более чем ста инсталляциях, от 200 до 130 000 пользователей.
[править] Введение
Цель статьи — осветить как базовые нюансы настройки фильтрации, так и «фишечки» продукта, показать как проходит настройка с момента установки CentOS и настройки сети до получения результата в виде направления абонентов на страницу с уведомлением о блокировке при открытии запрещённых сайтов.
[править] Лицензии
Для ознакомления существует полнофункциональная демоверсия, скачать можно на официальном сайте. Демопериод ограничен 60-тью днями, в случае если вы с самого начала обратились в поддержку и интеграция задерживается по какой-либо причине (редкость, обычно 1-10 дней) — может быть продлён. Этого более чем достаточно, чтобы определиться с покупкой.
[править] Базовая схема сети. Краткое описание
На сервер фильтрации устанавливается дистрибутив CentOS 6 (пока только x86_64), на нём настраивается доступ в интернет, устанавливается RPM-пакет Carbon Reductor, проводится его настройка. На коммутаторе, ведущем к фронт-роутеру настраивается дублирование трафика на порт сервера фильтрации. Carbon Reductor анализирует этот трафик и на обращения к сайтам указанным в списке запрещённых формирует HTTP-пакет (или tcp-reset, если модуль редиректа отключен), отправляющийся к пользователю от имени запрашиваемого ресурса и перенаправляет пользователя на страницу с уведомлением о том, что данный сайт заблокирован.
Профиты данной схемы — отсутствие необходимости вносить изменения в уже существующую сеть, за исключением настройки зеркала трафика (затрагивает только центральный коммутатор), а также то, что Carbon Reductor абсолютно не влияет на качество доступа абонентов в сеть Интернет, и тем более не становится точкой отказа.
[править] Базовые настройки Carbon Reductor
[править] Установка CentOS 6.5
Для установки рекомендуется использовать CentOS 6.5 Minimal x86_64, добыть который можно с любого из [зеркал].
Внимание — CentOS 7, по крайней мере на октябрь 2014 не поддерживается!
[править] Настройка доступа в Интернет
Для того чтобы настроить доступ к сети, необходимо поправить конфигурационный файл:
/etc/sysconfig/network-scripts/ifcfg-eth0
или другой, в зависимости от того, через какую сетевую карту вы планируете ходить в интернет.
Сделать это можно с помощью текстового редактора vi:
vi /etc/sysconfig/network-scripts/ifcfg-eth0
Для редактирования используем клавишу i — после нажатия в открытом файле появится возможность редактирования.
В файле необходимо изменить и добавить следующие поля:
DEVICE=eth0 IPADDR=здесь.ваш.ip.адрес NETMASK=здесь.ваша.сетевая.маска GATEWAY=здесь.укажите.ip.шлюза DEFROUTE=yes DNS1=здесь.укажите.ip.dns-сервера DNS2=здесь.укажите.ip.dns-сервера2 ONBOOT=yes TYPE=Ethernet NM_CONTROLLED=no BOOTPROTO=static
DEVICE=eth0 IPADDR=192.168.0.105 NETMASK=255.255.255.0 GATEWAY=192.168.0.1 DEFROUTE=yes DNS1=8.8.8.8 DNS2=8.8.4.4 ONBOOT=yes TYPE=Ethernet NM_CONTROLLED=no BOOTPROTO=static
[править] Установка нужных пакетов и самого reductor
sudo -s wget "http://download5.carbonsoft.ru/reductor/reductor_install" bash reductor_install
Стартуем и настраиваем до тех пор пока не будет ни одного FAIL’а.
/etc/init.d/reductor restart
[править] Консольное меню
Запускается после установки Carbon Reductor командой:
menu
Дефолтная кодировка, если вы выбрали русский язык — UTF-8, поэтому при подключении с помощью PuTTY в настройках (Change Preference -> Translation) вместо KOI8-R нужно выбирать UTF-8.
[править] Обновление Carbon Reductor
Внутри четыре пункта:
Запуск обновления. Все настройки и сертификаты сохраняются, старая версия копируется в папку /usr/local/old_Reductor.$version/.
Включить автоматическое обновление на все версии. В два часа ночи Carbon Reductor проверит, вышла ли новая версия и обновится на неё.
Включить обновление на критические исправления. В два часа ночи Carbon Reductor проверит не изменилась ли версия Reductor с последним критическим исправлением, и если установленная версия старее — обновится.
Обновить веб-интерфейс Reductor. Здесь всё итак ясно. Ориентировочно следующая master-версия будет выпущена в начале ноября 2014.
[править] Регистрация и активация Carbon Reductor
Данный пункт readonly, выдача регномера и кода активации полностью автоматические, происходят при старте Reductor и каждом обновлении списков URL.
Активационный код меняется раз в 10 дней, поэтому код активации приходит вместе со списками сигнатур.
Состояние активации можно наблюдать в верхней строчке локального меню.
[править] Запуск обновления списков
Необходимо только после длительного простоя сервера, либо в целях отладки. Инициализирует загрузку актуального реестра РосКомНадзора.
При повторном запуске все предыдущие процессы обновления завершается.
[править] Статистика работы
В этом пункте можно узнать:
- актуальность списков
- данные о сертификате
- количество пройденных через модуль пакетов,
- количество фактов блокировки сайтов,
- состояние регистрации и активации
- версию и время обновления carbon reductor и его веб-интерфейса
[править] Настройка сканирования трафика
Вызывает мастер настройки сети, который конфигурирует сеть так, чтобы трафик приходящий с коммутатора анализировался модулем фильтрации.
[править] Настройка приёма зеркала трафика
Внимание — ничего делать руками не нужно, всё делается автоматически через мастер настройки сети.
Информация ниже — просто информация для понимания того как всё работает.
Трафик с зеркального порта коммутатора ловится в iptables с помощью хитрой комбинации хаков:
- Включается ip_forward = 1
- Отключается rp_filter
- Добавляется правило в ebtables broute BROUTING
- Интерфейс в который приходит зеркало трафика добавляется в bridge
- Включается nf_bridge_call_iptables
- На slave-device в bridge вешается любой IP адрес (для чего приходится патчить /etc/sysconfig/network-scripts/ifup-eth, Carbon Reductor патчит его автоматически при каждом старте).
Важный момент — чтобы зеркало трафика действительно не влияло на нормальный трафик пользователей POLICY для filter FORWARD должен оставаться DROP, иначе — возможны петли в сети.
В общем после настройки сетка обычно должна выглядеть следующим образом:
ip link 1. lo device 2. eth0 3. br0 4. eth1
В случае, если не удаётся растэгировать трафик на коммутаторе, придётся добавлять vlan-интерфейсы для каждого тэга.
[править] Настройка обновления списков РосКомНадзора
Товарищи, как и предполагалось изначально на своём сервере проверяют обращения провайдеров к их серверу с реестром. Тех, кто не скачивают реестр сперва предупреждают о том, что скачивать и фильтровать-то надо, дают на решение этой задачи срок от одного-двух дней до недели, через неделю если ничего не решено — выписывают штраф на 30 000 рублей, ещё через неделю на 60 000 рублей, а потом начинается разговор о лишении лицензии на провайдерскую деятельность.
Для настройки обновления достаточно в локальном меню вписать следующие поля:
[x] Включить автообновление списков Email для связи [ ] ИНН [ ] ОГРН [ ] Название компании [ ]
Подложить экспортированный закрытый ключ, сохранить настройки, после чего запустить обновление списков.
[править] Как собственно оно работает
Автоматическое обновление списков работает следующим образом.
- Из данных вводимых в меню и шаблона request.xml.tmplt генерируется файл request.xml в кодировке cp1251
- request.xml с помощью закрытого ключа и openssl с поддержкой libgost подписывается, получаем request.xml.sign.
- Данный файл используется PHP скриптом send.php, для запроса реестра запрещённых сайтов с сервера РосКомНадзора и в итоге возвращающим архив register.zip
- register.zip распаковывается, получаем из него dump.xml
- dump.xml парсится скриптом dumper.sh и возвращает список конкретных страниц, либо доменов, если конкретной страницы не указано.
- Если включена фильтрация HTTPS то дополнительно скриптом dumper_https.sh извлекаются ip адреса ресурсов доступных по протоколку https.
- Если включена опция использовать nslookup для получения ip-адресов, то nslookup «натравливается» на домен ресурса доступного по протоколу https и для фильтрации используются все ip адреса которые он возвращает.
- из всех списков URL экранируется и генерируется POST-запрос к серверу сигнатур
- сервер сигнатур возвращает ответ в формате » » который загружается через procfs в модуль фильтрации в ядре Linux.
[править] Настройка перенаправления на страницу о блокировке
Перенаправление на страницу о блокировке сайта доступно только на уровне подписки SLA2-сопровождение и SLA3-аутсорсинг, на SLA1-стандарт — пользователю посылается tcp-reset, разрывающий соединение. Реализует его target-модуль netfilter ipt_FORBIDDEN также разработанный Carbon Soft и являющийся частью RPM-пакета.
По сути он реализует внутриядерный TCP-session-hijack для пакетов попавшихся в условие фильтрующего правила.
- Пользователю посылается TCP пакет с флагами PSH/ACK и HTTP 302 Found в data, направляющий на страницу о блокировке.
- Вслед за ним для надёжности RST-пакет.
- И для максимальной надёжности от имени пользователя в сторону ресурса также посылается RST-пакет.
Для включения необходимо указать следующие опции:
[править] Настройка специфичных опций фильтрации трафика
[править] Блокировка доменов, даже если указана страница
Carbon Reductor будет обрезать GET запрос и блокировать весь домен. Данная опция сделана по запросу одного провайдера, лучше её не использовать, особенно при подключении списков Минюста — будет заблокирован весь vk.com и многие другие сайты.
[править] Блокировка HTTPS по IP из реестра
При обработке dump.xml из реестра РосКомНадзора будут извлекаться IP адресов https ресурсов, добавляться в ipset, и если dst ip соответствует одному из этих адресов — абоненту запросившему его будет послан tcp-reset.
[править] Блокировка HTTPS по IP из вывода nslookup по домену из реестра
При обработке dump.xml из реестра РосКомНадзора будут извлекаться домены https ресурсов, для каждого домена будет выполняться nslookup, из его вывода будут извлечены адреса, которые в свою очередь будут добавляться в ipset, и если dst ip соответствует одному из этих адресов — абоненту запросившему его будет послан tcp-reset.
[править] Фильтрация всего трафика
Увеличивает нагрузку на модуль, так как придётся обрабатывать пакеты в том числе и торрентов, игр и многого другого. Тем не менее в проверке модуля они будут отброшены практически в самом начале, так как не будут иметь заголовков HTTP.
[править] Настройки значительно ускоряющие интеграцию и упрощающие сопровождение
Очень полезно автоматическое обновление на новые версии при их наличии раз в сутки. Процедура обновления уже обкатана и безопасна, а баги порой исправляются по 10 штук за день. Когда у продукта было 10-20 пользователей — было достаточно легко обновить каждого руками, а вот когда стало значительно больше — за всеми уследить сложно, и заметить людей сидящих со старой версией и не замечающих найденных и исправленных более месяца назад проблем становится ещё сложнее.
Также просто безумно облегчает жизнь и технической поддержке и администратору включение автоматической диагностики с отправкой отчётов об ошибках разработчикам и самому администратору. Ещё больше облегчает опция «пытаться исправлять найденные диагностикой ошибки», которая:
- форсированно пытается обновить списки, если они модифицировались более чем 6 часов назад
- правит параметры ядра для корректной работы, если их изменило стороннее ПО
- включает подробный вывод и советы по решению проблем в диагностике
Система контроля доступа абонентов
У Carbon Reductor DPI X есть REST-API для управления абонентами.
Это позволяет отправлять команды с помощью curl.
В текущей версии управление строится на добавлении и снятии политик для абонентов.
Абоненты идентифицируются по IP адресу, поэтому в случае снятия зеркала после NAT управление абонентами работать не будет.
Как работает API
http://адрес-carbon-reductor-dpi-x:порт/api/v1/policy/название-политики/ip-адрес-абонента
Поддерживается 4 вида политики:
- auth — абонент авторизован
- negbal — абонент в отрицательном балансе
- blocked — абонент заблокирован администратором
- notify — абоненту будет один раз показано уведомление
Не обязательно включать все политики — достаточно выбрать необходимые в мастере настройки в веб-интерфейсе.
Действие с политикой зависит от HTTP-метода:
- GET — узнать применена ли сейчас эта политика к абоненту
- POST — применить политику к абоненту
- DELETE — прекратить применять политику к абоненту
Примеры команд для управления абонентами
Пусть веб-интерфейс Carbon Reductor DPI X доступен по адресу http://10.30.40.1:8083.
Авторизовать абонента 10.30.40.50
curl -XPOST http://10.30.40.1:8083/api/v1/policy/auth/10.30.40.50
Проверить, перенаправляется ли абонент 10.30.40.50 на страницу отрицательного баланса
curl http://10.30.40.1:8083/api/v1/policy/negbal/10.30.40.50
Перестать блокировать абонента 10.30.40.50
curl -XDELETE http://10.30.40.1:8083/api/v1/policy/blocked/10.30.40.50
Показать абоненту 10.30.40.50 уведомление один раз:
curl -XPOST http://10.30.40.1:8083/api/v1/policy/notify/10.30.40.50
Что делать на биллинге
Настроить отправку команд. Многие биллинги делают это в виде bash-скрипта, в котором нужно определить нужные функции. Что-то вроде:
#!/bin/bash user_auth() < return 0 > user_auth_cancel() < return 0 > user_balance_negative() < return 0 > user_balance_positive() < return 0 > user_block() < return 0 > user_unblock() < return 0 >
Мы постараемся помочь с написанием таких скриптов, позже в этом разделе будут примеры скриптов для разных биллингов.
Интеграция с Carbon Billing 5
- Настройте НАС по статье: пользовательская схема
- Укажите скрипт reductor.sh
Мастер настройки системы контроля доступа абонентов.
| API доступен для всех авторизованных пользователей. Для того чтобы биллинг мог отправлять команды, необходимо добавить его IP-адрес в настройках |
Заходим на веб-интерфейс Carbon Reductor DPI X:
Переходим в Reductor -> Настройка Carbon Reductor DPI X -> Доступ к веб-интерфейсу -> указываем ip-адрес биллинга и сохраняем настройки.
Переходим в меню Reductor DPI X > Абоненты > Система контроля доступа абонентов
Шаг 1. Выберите необходимые функции.
Шаг 2. Расширенные настройки авторизации абонентов.
Можно включить авторизацию абонентов по мак-адресу.
Но в таком случае на шаге 3 обязательно нужно указать абонентскую подсеть. Есть техническое ограничение — абоненты должны быть в одной IPv4-сети с маской /16 (255.255.0.0) или меньшего размера.
Шаг 4. Выбираем режим блокировки для абонентов.
На данной странице выбираем режим блокировок, применяемых к не авторизованным или заблокированным администратором абонентам, а также к неплательщикам.
Шаг 5. Настройка однократных уведомлений абонентов
Шаг 6. Выбираем способ подтверждения абонентом просмотра уведомления.
Шаг 7. Настройка страниц-заглушек.
Выбираем расположение страниц-заглушек.
Шаг 8. Настраиваем веб-сервер.
Вводим имя интерфейса и ip-адреса страниц-заглушек.
Вводим и нажимаем .
Шаг 9. Настройка перенаправлений HTTP-запросов.
На данной странице можно указать адреса страниц, расположенных не на Carbon Reductor DPI X.
Вводим и нажимаем .
Шаг 10. Проверяем настройки.
Проверяем, если все верно, нажимаем .
Шаг 11. Настраиваем сеть и применяем настройки.
После настройки сети подключаемся к сервера по SSH и вводим команды в консоли:
| service network restart /app/reductor/service restart |
Страницы находятся здесь:
/app/blockpage/var/www.d/
Carbon Reductor
Компания Carbon Soft 8 ноября 2018 года сообщила о выпуске обновленной версии DPI (deep packet inspection) решения для фильтрации трафика по спискам Роскомнадзора для операторов связи и интернет-провайдеров.
Как известно, с 1 ноября произошли существенные изменения в системах фильтрации трафика в России. Роскомнадзор изменил формат выгрузок для операторов связи, теперь там присутствует формат для IPv6-записей. Разработчик ПО добавил поддержку нового типа реестра, унифицировал файрволл, добавил поддержку анонсирования IPv6-адресов по динамическому протоколу маршрутизации BGP (один из способов фильтрации трафика).
По данным на 8 ноября, IPv6-записей в реестре ещё не добавлено. Вероятно, они появятся в ближайшие дни, так как весь механизм государственное ведомство уже подготовило.
Для рядовых абонентов эти изменения означают то, что, даже пользуясь IPv6-адресом для выхода интернет, пользователь не сможет посетить запрещённые в России сайты.
Обновленный веб-интерфейс
12 июля 2018 года компания разработчик Carbon Soft анонсировала обновленный веб-интерфейс в Carbon Reductor DPI X, который полностью переработан на основе пользовательского опыта и предпочтений.
Навигация — все разделы продукта собраны в левом навигационном меню, разделенном на категории и подкатегории. Графики со статистикой работы сервера для большей информативности. Раздел «Мониторинг», который отображает проблемы обнаруженные интеллектуальной системой мониторинга Carbon Soft.
Схема работы Carbon Reductor DPI X
Ещё одно из нововведений — добавленный поиск по реестру запрещённых сайтов. Реализованный поиск позволяет быстро найти блокируемый ресурс и увидеть подробную информацию по нему. Введённая функциональность поможет интернет-провайдерам выяснять причины блокировки ресурсов и в разы быстрее отвечать на запросы абонентов.
В представленном веб-интерфейсе также добавлена возможность просматривать и анализировать работу всех модулей фильтрации Carbon Reductor DPI X в зависимости от типа трафика: HTTP/HTTPS/DNS. По графикам можно отследить количество проверенных и заблокированных пакетов по периодам — день или месяц. Внешний вид графиков тоже был переработан для большей информативности.
Carbon Reductor DPI X
22 мая 2018 года компания Carbon Soft заявила о выпуске релиз-версии очередного продукта Carbon Reductor DPI X для интернет-провайдеров. ПО даст возможность операторам связи не только фильтровать трафик, но и влиять на бизнес показатели, отслеживать безопасность сети, оповещать абонентов и не только.
Разработчики анонсировали список возможностей, которые станут доступны в 2018 году. Часть из них уже доступна в devel-версии, а именно:
Оповещение абонентов о чрезвычайных ситуациях, при отрицательном балансе, новых тарифах.
Carbon Reductor DPI X интегрируется с биллингом провайдера и позволит оповещать абонентов о любой желаемой информации. Это можно легко настроить на самом сервере в панели управления.
Обнаружение сетевых атак, вирусов и аномального трафика.
Модуль позволит выявлять DDoS-атаки и реагировать на них до того, как абоненты будут обращаться с проблемами к технической поддержке провайдера. Более того, можно будет отследить аномалии трафика не связанные с безопасностью, а, например, с неполадками внутри сети и на оборудовании.
Централизованное управление несколькими серверами, единый интерфейс, API.
Carbon Reductor DPI X получит специальный интерфейс, позволяющий работать с сервером фильтрации с помощью набора задокументированных методов. Веб-интерфейс нацелен быть распределённым, интернет-провайдеры смогут видеть всю информацию по нескольким серверам фильтрации в одном месте. С помощью этого можно эффективно отслеживать нагрузку и получать полные данные со статистикой обращений к запрещёнными ресурсам.
Технологии фильтрации и оперативная разблокировка ресурсов.
С помощью опций DPI интернет-провайдеры смогут более точечно блокировать запрещённые ресурсы и повысить качество фильтрации сложных протоколов, например, мессенджеров с фильтрованным трафиком. Carbon Soft совместно с Роскомнадзором и Радиочастотным Центром работают в этом направлении, чтобы фильтрация не отражалась на обычных пользователях рунета.
Помимо этого, разработчики добавили 2 способа для оперативной разблокировки случайно разблокированных ресурсов. Это интеграция с DNS-серверами провайдера и специально сформированные белые списки, в которые включены такие ресурсы и сервисы как Google, YouTube, PSN, социальные сети и так далее.
Ко всему прочему в Carbon Reductor DPI X будут доступны:
- Собственная система облачного мониторинга для контроля нагрузки и состояния серверов фильтрации.
- Интеграция с АС «Ревизор», позволяющая оперативно реагировать на любые внештатные ситуации.
- Организация High-availability кластера для дублирования систем фильтрации по схеме 2N.
- Редактируемая страница-заглушка для брендинга операторов связи и показа рекламы.
- Оперативный поиск запрещённых ресурсов в реестре.
- Свежая документация с интеллектуальным поиском необходимой информации.
2016: Carbon Reductor 8.0.0
Российский производитель программного обеспечения для операторов связи Carbon Soft обновил в декабре 2016 года Carbon Reductor — фильтр трафика запрещенных сайтов до версии 8.0.0.
Главная особенность обновления — продукт перенесён на платформу Carbon Platform 5, на биллинговой системе Carbon Billing 5. Положительные тезисы нововведения:
- увеличение скорости разработки в несколько раз;
- установка с универсального образа ISO, который автоматически сделает надёжную разбивку дисков, используемую платформой Carbon;
- автодиагностика системы теперь происходит раз в 5 минут, а не раз в час, как ранее;
- загрузка списков в ядро стала отказоустойчивее;
- новая система обновления, позволяющая получать только полностью проверенные обновления;
Carbon Reductor 8.0.0 внедрен у 5 операторов связи и в скором времени все 400 операторов, использующие фильтр трафика от Carbon Soft будут переведены на новую версию, что сделает выполнение закона о блокировке запрещенных сайтов еще лучше.
См. также
- Авторское право в интернете
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая
- Цензура (контроль) в интернете. Опыт России, Роскомнадзор, ГРЧЦ
- Закон о регулировании Рунета
- VPN и приватность (анонимность, анонимайзеры)
- Автономный интернет в России
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Ястреб-М Статистика телефонных разговоров
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Ревизор — система контроля блокировки сайтов в России