DNS фильтрация трафика

DNS представляет собой распределенную систему, используемую для получения данных о доменах. База данных поддерживается за счет иерархии серверов, работающих по протоколу DNS. DNS-фильтрация нужна из соображений производительности и безопасности.

Ключевые свойства

DNS обладает следующими характеристиками:

  1. Распределенность администрирования, хранения данных. Ответственность за части иерархической структуры лежит на плечах разных предприятий, лиц. Каждый узел сети хранит только ту информацию, которая находится в его компетенции.
  2. Кэширование данных. Чтобы снизить нагрузку на сеть, узел способен хранить дополнительную информацию, которая не соответствует зоне ответственности.
  3. Резервирование. Обслуживание своих зон обеспечивают серверы, разделенные и логически, и физически. Это исключает простой системы при сбое одного узла.

Работа DNS очень важна для Сети, так как для контакта с узлом требуются данные о его IP-адресе, а люди лучше воспринимают адреса из букв, чем цифровой набор. Иногда это позволяет использовать HTTP-серверы, отличающиеся именем запроса. Если сначала преобразование между IP-адресами и доменными проводилось с помощью файла hosts, который рассылался участникам сети, впоследствии начал активно использоваться автоматизированный механизм – Domain Name System.

Зачем нужна фильтрация DNS-запросов?

1. Для снижения нагрузки на сети оператора связи

Допустим, DNS-сервер работает в регионе как кэширующий, тогда он должен заниматься обработкой запросов только из местных сетей. Аналогично и с внешним оборудованием. Если DNS-сервер используется провайдером, он должен ускорять обработку запросов клиентов, которые находятся в его сети.

2. Для ограничения доступа к информации, распространение которой запрещено.

Способы фильтрации

  1. Пользовательский компьютер. ПО устанавливается на ПК. Используется для домашних пользователей, небольших предприятий. Пользователь должен непосредственно участвовать в процессе.
  2. Интернет-шлюз. Применяется государственными, образовательными, частными организациями. Контроль имеет обширные настройки, сохраняется скорость интернет-доступа. Обслуживанием занимается стороннее предприятие или штатный специалист.
  3. Фильтрация трафика оператором связи. Выполняет фильтрацию всего трафика использую программно-аппаратные или аппаратные комплексы.
  4. Международный уровень. Централизованное решение. Контроль осуществляется на государственном уровне. Метод требует немалых вложений.

В итоге используются специальные программы и аппаратно-программные комплексы. Пример – Carbon Reductor DPI X. Это программное обеспечение предлагается нашей компанией для операторов связи, которым необходимо выполнять фильтрацию трафика в своей сети.

Способы блокировки DNS-ресурсов с помощью Carbon Reductor DPI X

Подмена DNS (DNS Spoofing)

Для подмены DNS-запроса необходимо рассмотреть подробнее структуру DNS-пакета. Пакет DNS-протокола содержит в заголовке уникальный идентификатор(ID), которые указывает машинам, что они общаются в одной сессии. Также DNS-запрос в открытом виде содержит доменные имена ресурсов к которым обращается. При запросе абонента DNS-сервера об IP адресе заблокированного ресурса, Carbon Reductor DPI формирует ответный пакет, который содержит одинаковый идентификатор и IP-адрес страницы-блокировки от имени DNS-сервера. Для абонента данное соединение представляется в виде обращения к реальному DNS-серверу, только ответ DNS-сервера игнорируется, так как приходит позже.

Интеграция с DNS-сервером провайдера

Carbon Reductor DPI X содержит встроенный модуль интеграции с DNS-серверами оператора связи, который позволяет настроить блокировку доменов средствами DNS-сервера. Принцип работы заключается в следующем, Carbon Reductor DPI X локально генерирует конфигурационные файлы с DNS-зонами для заблокированных ресурсов и отправляет их на DNS-сервер оператора связи. Так как абоненты обращаются к нему по-умолчанию, в ответ получают страницу-блокировки.

О продукте Carbon Reductor DPI X

Carbon Reductor DPI X – комплексный продукт «под ключ», а не обычное программное обеспечение. Включает в себя учёт нескольких федеральных законов (ФЗ-436, ФЗ-398, ФЗ-187, ФЗ-149, ФЗ-139), которые относятся к блокированию запрещённых ресурсов. Продукт одобрен Роскомнадзором как рекомендуемое средство фильтрации трафика. ПО используют более 1200 операторов связи и интернет-провайдеров, в том числе такие компании как: АО «Газпром космические системы», АО «Российские Космические Системы», «Управление делами Президента РФ», АО «Уралвагонзавод», Филиалы ПАО «Ростелеком», ОАО «Межрегиональный ТранзитТелеком», АО «Цифра 1», АО «Мастертел» и так далее.

Основные возможности Carbon Reductor DPI X:

  1. Полная блокировка запрещённых ресурсов по спискам запрещённых сайтов Роскомнадзора и Минюста.
  2. Интеграция с АС «Ревизор». Автоматически скачивает и анализирует отчёты о блокировках.
  3. Система мониторинга сервера фильтрации и сети провайдера по 100+ показателям. Уведомляет администратора сервера об обнаруженных проблемах, а также техническую поддержку Carbon Soft.
  4. Готовые отчёты. Информация о количестве обращений к запрещённым ресурсам.
  5. Редактируемая страница-заглушка, может брендироваться, изменяться, отображать любые данные на усмотрение провайдера.
  6. Информирование абонентов о ЧС, промо-акциях интернет-провайдера. Продукт легко интегрируется с любым биллингом через готовые шаблоны.
  7. Детализированный веб-интерфейс. Можно работать с помощью REST API. Есть роли «администратора» и «оператора». Результаты выгрузки реестра РКН доступны к просмотру в журналах.
  8. Бесплатное предоставление дублирующего сервера. Система резервируется по схеме 2N либо 2N+1.

Упрощенный контроль над трафиком, простота установки, использования, исключение нарушений безопасности – всё это обеспечивает Carbon Reductor DPI X. Продукт гарантирует фильтрацию и классификацию трафика по содержимому, на тарифах SLA4 доступна финансовая страховка от штрафов Роскомнадзора.

Заключение

DPI-система способна заблокировать запросы DNS несколькими способами. DNS-фильтрация происходит за счет анализа содержимого трафика на втором уровне модели OSI и выше. Такое программное решение характеризуется простотой, эффективностью применения, позволяет соблюдать действующее законодательство в отношении фильтрации трафика.

Интернет-провайдеру ООО «Евгений» внедрён Carbon Billing 5, г. Санкт-Петербург

В интеграцию вошли следующие пункты, реализованные специалистами Carbon Soft:

  • Установка Carbon Billing 5 SoftRouter на сервер.
  • Помощь в настройке Quagga.
  • Настройка тарификации и услуг.
  • Тестирование корректности работы биллинга на абонентах.
  • Настройка авторизации в личном кабинете без ввода логина и пароля.
  • Создание отчётов по количеству скачанного трафика.
  • Подключение и настройка платёжной системы Яндекс.Касса.

Так как устанавливали версию продукта SoftRouter, интеграции с маршрутизаторами не потребовалось.

Внедрение прошло за 2 месяца. Абонентская база до 1000 абонентов.


Спасибо, что выбрали Carbon Billing 5!

Релиз Carbon Reductor DPI X 10.02.14.0125

Интеграция с маршрутизатором по BGP

В марте нам поступило достаточно много заявок на прерывающиеся BGP-сессии. В логах были записи о том, что некоторые операции выполняются медленно, причём день ото дня время выполнения росло. Первые записи о медленной работе появились в середине декабря. Особенно заметно это было на слабом железе.

Из-за медленной работы маршрутизаторы начинали считать что Carbon Reductor DPI X завис и рвали с ним BGP-сессию. Затем сессия восстанавливалась, но через пять минут всё повторялось. После синхронизации списков заблокированных IP-адресов с конфигурацией BGP/Zebra, запускалась принудительная полная синхронизация маршрутов с соседями, которая стала выполняться медленнее из-за того, что заблокированных IP-адресов стало много. Мы отключили полную пересинхронизацию при рестарте, без неё маршруты все равно попадут в маршрутизатор по основному алгоритму.

Читать далее

Релиз Carbon Billing 5.33.01

Самое важное

Обновление администраторского сайта

В новой версии биллинга мы провели большую работу по улучшению администраторского сайта. Исправлена вёрстка нескольких разделов, сделана более удобная пагинация, обновлены стили, доработан дизайн отдельных форм. Всё это должно сделать Вашу работу с интерфейсом биллинга ещё более удобной и быстрой.

Интеграция с АТОЛ Онлайн

АТОЛ Онлайн – это облачный сервис, который предоставляет возможность взять онлайн кассу в аренду с целью соответствия требованиям 54-ФЗ для регистрации расчётов с использованием электронного средства платежа в сети Интернет. Теперь Вы можете легко подключить АТОЛ Онлайн для веб-кассы в биллинге.

Поддержка терминалов Verifone от Сбербанка

Один из самых популярных в России типов платёжных терминалов теперь поддерживается в Carbon Billing 5 и позволяет принимать оплату напрямую на Ваш расчётный счёт в Сбербанке.

Контроль дублирования абонентов

Читать далее

Опыт использования Carbon Billing 5 от оператора связи «Азимут»

Веб-сайт: http://aztel.ru/
Рассказывала: руководитель абонентского отдела ООО ПФК «Азимут», Наталья Николаевна Аксёнова.
Задавал вопросы: директор проекта Carbon Billing 5, Кучаев Денис Дмитриевич.

Информация о проекте

Свердловская область, г. Первоуральск.
Абонентская база: до 2000 юридических лиц.
Биллинг в эксплуатации с февраля 2015 года.
Читать далее

График работы технической поддержки c 8 по 11 марта 2019

Поддержка в праздники будет оказываться через портал HelpDesk. Рекомендуем не проводить никаких работ до 11 марта.

День Время работы (МСК)
8 — 10 марта* Выходной день
11 марта 8:00 — 16:00

* Круглосуточная поддержка по критичным вопросам оказывается в обычном режиме.

Также в случае форс-мажора на SLA Стандарт вы можете дать интернет всем.

Интеграции Carbon Reductor DPI X в феврале

Добрый день!

C начала 2019 инженеры внедрили систему фильтрации Carbon Reductor DPI X более 10-ти интернет-провайдерам:

  • ООО «Контур ПЛЮС»
  • ООО «ТЕСЛАТЕЛ»
  • ООО «Телеком.ру»
  • ООО «Нетком-Р»
  • ООО «Интернет АС»
  • ООО «Экспресс Телеком»
  • ООО «Эридан»
  • ООО «Ясень СГ»
  • ООО «ОКБ Прогресс»
  • ООО «Медиагранд»
  • ООО «Роскомсвязь»
  • УК «Связь»
  • ООО «Сибирская интернет компания»
  • ИП Курочкин

Спасибо, что выбрали Carbon Reductor DPI X!

Интернет-провайдеру ИП Зеленецкий внедрён Carbon Billing 5, республика Бурятия

Веб-сайт: http://rayline.ru

В интеграцию вошли следующие пункты, реализованные специалистами Carbon Soft:

  • Проведена интеграция с 10 BRAS’ами MikroTik по схеме PPPoE MikroTik-Simple:
    • Добавлены правила редиректа.
    • Настроен masquerade серых сетей на MikroTik.
    • Настроена отправка RADIUS запросов на биллинг.
    • Настроена авторизация PPPoE.
    • Настроено управление скоростью доступа в интернет у абонентов.
  • Настроен скрипт отправки событий на BRAS по смене состояния абонентов в биллинге.
  • Выполнена миграция всей абонентской БД, включая тарифы, пулы, услуги.
  • Подключена и настроена платёжная система Яндекс.Касса.

Внедрение прошло за 1,5 месяца. Абонентская база до 2000 абонентов.


Спасибо, что выбрали Carbon Billing 5!

Отзыв о Carbon Reductor DPI от ООО «Касат», г. Владивосток

Веб-сайт: http://касат.рф

Почему выбрали именно Carbon Reductor DPI?
Ну, скорее всего, потому что есть аутсорсинг. Это самое основное.

На данный момент техническая поддержка устраивает, достаточно ли быстро решались вопросы?
На счёт Carbon Reductor редко, когда приходится писать в поддержку. Там минимальное количество обращений. Всё устраивает.

Пропуски трафика были за время использования?
Они были, но связаны с проблемами не Редуктора, а с нашими техническими проблемами, например, доступ в сеть интернет отваливался и так далее.

Есть ли предложения по улучшению функциональности?
В принципе, тот функционал, который есть, нас полностью устраивает. Пожеланий нет.

Ваша оценка по десятибалльной шкале?
Ну, наверное, максимум брать не будем. 9 точно дам – чтобы было куда расти.


Колесников Антон Андреевич, директор ООО «Касат», г. Владивосток.


Спасибо, что выбрали Carbon Reductor DPI!

Среди наших клиентов