Wie wir geschrieben haben, filtert die URL nach Rostelecom

Kürzlich erschien auf Habré ein Artikel über die Implementierung der URL-Filterung durch "Rostelecom" (RTK). Zufällig haben wir ihnen angeboten, dieses Problem zu lösen. Vor anderthalb Jahren und vor einem Jahr haben wir eine Entscheidung getroffen, die alle Tests bestanden hat und die Rostelecom einbeziehen wollte. Zu dieser Zeit geriet unser Laden in Ungnade, ja, das ist keine Frage der Technologie. Im Folgenden finden Sie daher alle Details unserer vorgeschlagenen Lösung. Was genau umgesetzt wird, weiß Gott.

DPI- und IP-Blockierung


Es lohnt sich wahrscheinlich, mit DPI zu beginnen. Es gibt einige davon im Netzwerk, aber wenn sie in den gesamten Datenverkehr eingebunden werden, würde dies RTK mehrere zehn Millionen Dollar kosten und ständig neue Investitionen im Zusammenhang mit der Zunahme des Verbrauchs durch die gelangweilte Bevölkerung erfordern. Weder der bisherige noch der derzeitige Staatschef haben sich dafür entschieden (vielleicht erst jetzt), denn die Einführung von DPI verspricht keine neuen Dienste mit spürbarem Einkommensvolumen.

Da das RTK zuvor verschiedene Ressourcen sperren musste (die Gerichte werden ohne Rücksicht auf die Gesetze beurteilt), erfolgte dies anhand von IP-Adressen. Dementsprechend löste die einfachste Filterung an den Grenzen das Problem. Das Problem mit der Registrierung verbotener Ressourcen wurde auf ähnliche Weise gelöst: Eine speziell geschulte Person entlud die Registrierung, gab URL und IP ein und fügte der Liste Einträge hinzu, und das Skript für die Regeln war die Zugriffsliste.

Filtrationsmanagement-Software


Wir haben die Kommunikation mit der Registrierung automatisiert, und hier gibt es, wie jeder versteht, keine Magie (sie ist nicht besonders präsent). Wir haben Änderungen an der Registrierung und der Implementierung der Zensur im Netzwerk aufgezeichnet. Wir haben kleine Tricks hinzugefügt, die mit der verteilten Verantwortungsstruktur im RTK-Netzwerk zusammenhängen, wobei einige Teilnehmer (insbesondere transzendente Operatoren) vom Filter ausgeschlossen wurden. Nun, die Gerichte wurden nicht abgesagt, so dass es möglich ist, jede Ressource aus einer Gerichtsentscheidung hinzuzufügen. Darüber hinaus konfiguriert die Verwaltungssoftware die Verkehrsumleitung zu den Filterknoten, erstellt Berichte zu Benutzersuchen, überwacht die Filterknoten und protokolliert alle Aktivitäten.



Verkehrsrotation und Filterung


Der von den Teilnehmern an IP-Adressen gesendete Datenverkehr, der blockierten URLs auf PE entspricht, wurde in ein spezielles VPN umgewandelt, in dem einige Router in der Zentrale fehlerhaft überprüft werden. Bei Verwendung von SCU / DCU (ähnliche Funktionen gibt es auch bei Fotzen) an der Grenze wurde der Datenverkehr von Abonnenten, die nicht gefiltert werden müssen, nach Quelladressen ausgeschlossen. Die von der Verwaltungssoftware generierte / 32-Route nach Registrierungs-IP-Adressen, Konfigurationsregeln auf dem zentralen Router und den Änderungen wurde wirksam. Ich erinnere mich, dass sie sich geweigert haben, BGP-Updates zu senden, weil dies nicht gut ist.

Auf zwei zentralen Routern haben wir das Kopieren des vorbeifahrenden Verkehrs bereits unter Berücksichtigung der Ports konfiguriert. Dementsprechend wurden für die gesamte RTK mehrere Megabits von der Kraft erhalten. Sie können entweder auf einen externen Server oder auf MS-DPC kopieren. Sowohl dort als auch dort war das Prinzip der Weiterverarbeitung dasselbe. Filtering Software fängt ein Paket ab, wenn es get mit einer URL aus der Liste enthält, dann wird der Helm auf die Serverseite zurückgesetzt und eine Weiterleitung zur Website an den Browser mit einer Geschichte darüber, wie moralische Grundsätze für die moderne russische Gesellschaft wichtig sind.

Die minimale Antwortzeit von Servern, die vor einem Jahr in die Registrierung eingetreten sind, überschritt 100 ms, und die Software, die die URL analysiert, gab eine Antwort von 5-6 ms bei einer Last von 3 Gbit / s zurück. Aus diesem Grund haben sie entschieden, dass es keinen Sinn macht, einen Proxy zu erstellen, dessen Zuverlässigkeit zu gewährleisten und so weiter. Wenn die Filtersoftware abstürzt, funktioniert alles, außer das Filtern ist klar. Auf Wunsch des RTK haben sie es zwar für zwei Filterserver gleichermaßen entworfen.

Jetzt ist klar, dass es möglich und etwas einfacher war, anstelle Ihrer Filtersoftware eine kleine DPI in der Mitte zu verwenden. Aber so haben wir einen anderen Operator gemacht. Es kann sich herausstellen, dass die ausgewählten Anbieter ihre Registrierungssoftware mit einer regulären DPI kombinieren, durch die nur der ausgewählte Datenverkehr geleitet wird. Zu dieser Zeit wollten wir verstehen, ob es mindestens eine Aufgabe gibt, die auf den Servicemodulen im Router und nicht außerhalb implementiert werden sollte. Die Tatsache, dass Juniper externen Entwicklern den Zugriff auf Module verwehrt hat, gibt eine klare Antwort auf diese Frage. Damals wurden wir jedoch immer noch von Zweifeln geplagt.

Bei den Kosten handelte es sich bei mehr als der Hälfte der fraglichen Millionen um Server, sodass für die dortige Software kein großer Gewinn geplant war.

Jetzt auch beliebt: