DNS фильтрация трафика

DNS фильтрация трафика

DNS представляет собой распределенную систему, используемую для получения данных о доменах. База данных поддерживается за счет иерархии серверов, работающих по протоколу DNS. DNS-фильтрация нужна из соображений производительности и безопасности.

Ключевые свойства

DNS обладает следующими характеристиками:

  1. Распределенность администрирования, хранения данных. Ответственность за части иерархической структуры лежит на плечах разных предприятий, лиц. Каждый узел сети хранит только ту информацию, которая находится в его компетенции.
  2. Кэширование данных. Чтобы снизить нагрузку на сеть, узел способен хранить дополнительную информацию, которая не соответствует зоне ответственности.
  3. Резервирование. Обслуживание своих зон обеспечивают серверы, разделенные и логически, и физически. Это исключает простой системы при сбое одного узла.

Работа DNS очень важна для Сети, так как для контакта с узлом требуются данные о его IP-адресе, а люди лучше воспринимают адреса из букв, чем цифровой набор. Иногда это позволяет использовать HTTP-серверы, отличающиеся именем запроса. Если сначала преобразование между IP-адресами и доменными проводилось с помощью файла hosts, который рассылался участникам сети, впоследствии начал активно использоваться автоматизированный механизм – Domain Name System.

Зачем нужна фильтрация DNS-запросов?

Читать далее

Фильтрация HTTPS трафика

Фильтрация HTTPS трафика

Совместно с разработчиками Carbon Soft мы подготовили статью о том, какие виды HTTPS фильтрации трафика существуют и как они работают в современных DPI-системах у российских операторов связи.


HTTPS – расширенный протокол HTTP, используемый для улучшения безопасности передачи данных. Передача данных осуществляется поверх протоколов шифрования TLS и SSL. Разработка SSL (Secure Sockets Layer) началась компанией Netscape Communications для добавления протокола HTTPS в одноименный браузер, чтобы обеспечить безопасность коммерческих сайтов в сети Интернет.

Методы фильтрации HTTPS-трафика

Читать далее

Как интернет-провайдеру выполнить все требования Роскомнадзора

Как интернет-провайдеру выполнить все требования Роскомнадзора

Прошел год как вступили в силу поправки в КоАП РФ, предусматривающие изменение размера ответственности за неисполнение операторами связи обязанности ограничивать или возобновлять доступ к информации, а именно увеличение следующих административных наказаний (штраф):

  • за неисполнение обязанности по ограничению доступа к сайту, включённому в реестр запрещенных ресурсов;
  • за неисполнение обязанности по возобновлению доступа, если ресурс исключён из реестра.

Согласно п.3 ст. 14.1 КоАП РФ такие нарушения наказываются штрафом от 3 до 5 тыс.руб. ‒ для должностных лиц, от 10 до 30 тыс.руб. ‒ для предпринимателей без образования юридического лица, от 50 до 100 тыс.руб. ‒ для юридических лиц.

Мы обновили список рекомендации по настройке и работе с Carbon Reductor DPI 8 и рекомендуем с ним ознакомиться, чтобы на 100% обезопасить Ваш бизнес.

Мигрируйте с Carbon Reductor 7 до Carbon Reductor DPI 8

Процесс миграции с Carbon Reductor 7 до Carbon Reductor DPI 8 займет всего лишь час времени и Вы ежемесячно будете получать новейшие возможности. Если Вы готовы заняться переходом, инженеры Carbon Soft Вам помогут. Все, кто работает по ценам 2017 года могут мигрировать бесплатно. Для получения помощи в миграции создайте заявку в Helpdesk.

Интегрируйте Carbon Reductor DPI 8 с АС «Ревизор»

Интеграция с АС «Ревизор» позволяет Читать далее

Фильтрация сетевого трафика

Фильтрация сетевого трафика

filtraciya-trafika

Фильтрация сетевого трафика необходима для ограничения доступа пользователей к определенной информации. Реализовывается путем использования специализированного программного и (или) аппаратного обеспечения.

Благодаря применению систем фильтрации трафика можно получить:

  • защиту от атак: шпионских программ, DDoS-атак и прочих;
  • невозможность посещения зараженных или нежелательных интернет-сайтов;
  • обнаружение средств слежения за активностью пользователей.

Современные сайты стали динамичнее, поэтому размер кода каждой страницы увеличился. Это открыло большие возможности для злоумышленников, которые могут незаметно внедрить даже малый программный текст, чтобы впоследствии совершить атаку. Благодаря url-фильтрации обеспечивается пропуск только безопасного содержимого, внешние угрозы блокируются.

Показатели контент-фильтров

Условно системы фильтрации сетевого трафика можно оценить по четырем параметрам:

  1. Подотчетность. Оценивается степень участия населения в политике фильтрации контента.
  2. Точность. Определяется успешность цензуры: избыточное или недостаточное блокирование.
  3. Прозрачность. Четкость параметров, позволяющих отнести трафик к запрещенному.
  4. Открытость. Пользователь получает достоверную информацию о посещении ресурса, отнесенного к запрещенным. Иначе происходит «маскировка» блокировки под технические неполадки.

Классификация фильтрации трафика

Учитывая метод установки систем фильтрации, их делят на четыре группы:

  1. Международный уровень. Централизованный подход к фильтрации DNS-запросов на государственном уровне. Обеспечивается полнота контроля, хотя требуются большие затраты в организации метода.
  2. Уровень интернет-провайдеров. Для этого организации пользуются перечнями запрещенных сайтов, сформированными судами и государственными службами. Метод признан надежным, характеризуется доступной стоимостью.
  3. Уровень интернет-шлюза. Используется частными предприятиями, образовательными и государственными организациями. Требуется особое ПО, обеспечивающее фильтрацию. Метод сохраняет быстроту интернет-доступа, обеспечивая широту настройки контроля. Для этого требуется штатный или внештатный специалист либо привлечение сторонней специализированной организации.
  4. Уровень компьютера пользователя. ПО инсталлируется на ПК. Метод эффективен для домашнего использования, а также для применения на небольших предприятиях. Это доступное решение, хотя требует непосредственного участия пользователя.

filtr

Отсюда существуют системы:

  1. Аппаратно-программные комплексы. В этом случае требуется монтаж специализированного оборудования (коммутаторов для распределения трафика).
  2. Браузеры. Они способны обеспечить https-фильтрацию при использовании ПК детьми. Количество настроек ограничено, поэтому решение подходит для домашнего применения.
  3. Программы, встроенные в ОС. Еще один вариант родительского контроля.
  4. Специализированное ПО. Пример – Carbon Reductor DPI. ПО разработано и поддерживается нашей компанией. О нем стоит сказать отдельно, поскольку именно такое специализированное ПО актуально в текущих российских реалиях и федеральных законах.

Carbon Reductor DPI

ПО прошло тестирование, рекомендуется как эффективное средство фильтрации. Как свидетельствуют данные провайдеров, использующих эту систему, она показала свою эффективность на 100% в блокировке запрещенных интернет-ресурсов. Такой результат стал итогом более чем 7-летнего труда нашей компанией в области фильтрации и внедрения свыше 350 функций.

Выделим такие преимущества продукта:

  • блокирует ресурсы, отнесенные к запрещенным (автоматическая актуализация списков Минюста и Роскомнадзора);
  • выполняет ряд законов: ФЗ-436, ФЗ-398, ФЗ-187, ФЗ-149, ФЗ-139;
  • действует по схеме «зеркалирования трафика», что не влияет на работоспособность сети и скорость доступа в интернет для Ваших абонентов;
  • использует сразу 8 технологий фильтрации трафика, позволяет обрабатывать до 900 тысяч пакетов трафика в секунду;
  • обладает полноценным веб-интерфейсом для просмотра статистики, формирования отчетов и т. д.

abc92b6a548d7b56c36b7813c2b8db86

Отметим, что DPI (Deep Packet Inspection) является технологией фильтрации и классификации трафика по содержимому. Предполагает применение углубленного принципа, чем отличается от решений в виде брандмауэров, которые анализируют только пакеты. Большинство отечественных провайдеров используют именно такие системы. Они позволяют блокировать конкретные ссылки, находящиеся в реестре, исключая блокирование домена или IP-адреса.

DPI-системы способны определять и исключать работу вирусов, устранять ненужную информацию. Содержимое трафика анализируется на втором уровне модели OSI и выше. Используется статистическая информация.

Заключение

Сегодня на рынке присутствует множество инструментов разного уровня для эффективной фильтрации трафика. Учитывая важные факторы, DPI-системы считаются самыми уместными для этих целей. Используя подобные комплексы, провайдерам можно не просто обеспечить классификацию и фильтрацию сетевого трафика, но и повысить лояльность клиентов, прибыльность и другие бизнес-показатели, не выходя за рамки действующего законодательства.

DPI системы фильтрации трафика

DPI системы фильтрации трафика

DPI системы используют технологию накопления статистической информации, а также фильтрации и контроля сетевых пакетов, учитывая их содержание. Они работают по более глубокому принципу, чем брандмауэры, анализирующие лишь заголовки пакетов. Эта технология проверяет содержимое трафика на втором уровне модели OSI и выше. Системы могут идентифицировать и останавливать вирусы, отсекать ненужную информацию. Решение о блокировке может приниматься также по косвенным симптомам, по которым распознаются определенные протоколы и программы.

dpi системы

Обзор технологии и ситуации на рынке

Как свидетельствует статистика, за 5 лет в нашей стране значительно увеличилась группа пользователей, которые регулярно (как минимум один раз в течение 24 часов) подключаются к интернету. Если раньше этот показатель был на уровне 31%, сегодня он вырос до 57%. Если перевести эти данные в количество, получается около 66,5 млн человек.

С 2010 года отмечается стремительный рост мобильных пользователей. По статистике, на текущий момент больше трети всех посещений сайтов происходят со смартфонов (3/4 от общего количества) и прочих портативных устройств.

Несмотря на различные неблагоприятные факторы, эксперты прогнозируют дальнейшее увеличение мобильного трафика. Операторы вынуждены реагировать на изменения и искать дополнительные способы улучшения качества своих услуг, поэтому для них актуальной становится технология контроля сетевого трафика. Как считают эксперты, к 2020 году глобальный рынок DPI превысит 4,7 млрд долларов.

Что собой представляют DPI системы анализа и фильтрации пакетов?

Технология DPI позволяет не только оптимизировать пропускную способность канала, но и способна поднять уровень безопасности при работе с информацией. Интерес в нашей стране к подобным решениям подогрет на законодательном уровне. Государство требует от операторов связи ограничения доступа абонентов к неправомерному контенту.

Роскомнадзор

Решения по глубокому анализу трафика позволяют:

  • бороться с терроризмом;
  • защищать от сетевых атак;
  • блокировать выполнение вредоносного ПО;
  • гарантировать скорость и качество доступа в интернет;
  • исключать сетевые перегрузи;
  • дифференцировать трафик, обеспечивать равномерность потока и распределение приоритетов.

Системы DPI помогают распределить нагрузку, чтобы пользователи не замечали снижение скорости и оставались довольны качеством связи. Такие системы в основном устанавливаются на границе сети оператора в разрыв имеющихся аплинков, которые уходят от пограничных маршрутизаторов. Это позволяет направлять весь входящий и исходящий трафик через DPI, что повышает точность контроля и мониторинга. Специфические задачи решаются путем установки оборудования ближе к конечным пользователям, на уровень CMTS и так далее.

Carbon Reductor DPI X

Операторы рынка уже давно оценили преимущества технологии DPI, однако не так много разработчиков, готовых предложить оптимальные решения для небольших и средних компаний. Одним из разработчиков такого ПО является наша компания. Мы создаем и поддерживаем актуальный продукт – Carbon Reductor DPI X.

Карбон Редуктор

Это программное решение:

  • автоматически не допускает трафик на ресурсы, находящиеся в списке Минюста и Роскомнадзора;
  • делает компанию полностью соответствующей российскому законодательству по ФЗ-436, ФЗ-398, ФЗ-187, ФЗ-149, ФЗ-139 (страхует от штрафов);
  • работает по схеме «зеркалирования трафика»;
  • использует 8 технологий фильтрации (поддерживаются: HSTS, TCP/IP, BGP/OSPF, HTTPS, DNS, HTTP);
  • способно проверять до 900 тысяч пакетов трафика в секунду;
  • имеет понятный веб-интерфейс;
  • использует минимум аппаратных ресурсов;
  • поддерживает IPv6.

Поскольку наши разработчики готовят изменения за несколько месяцев до поправок и рекомендаций, в распоряжении компаний всегда актуальный продукт, соответствующий текущим требованиям к анализу и фильтрации трафика.

Из чего состоит DPI?

DPI обеспечивает:

  • анализ трафика;
  • ограничение доступа абонентов к сайтам;
  • персонализацию сервисов;
  • ограничение использования некоторых сетевых протоколов.

Системы имеют такой состав:

  • PCC – разделяет физический поток данных на логические сессии;
  • PCRF – «мозг», использующий необходимые правила (установление параметров качества обслуживания, применение дополнительных сервисов и так далее);
  • PCEF – применяет PCC-правила к трафику, проводит тарификацию;
  • OCS – контроль баланса абонента, тарификация сервисов, применение скидок, подсчет объема услуг;
  • Billing – сохраняет данные о балансе абонентов, предоставляет доступ к ним серверу OCS;
  • Access network – сеть подключения абонента к поставщику услуг, содержит в себе все клиентские устройства;
  • Transcoding, optimization server – кэширование данных для улучшения пропускной способности;
  • AAA Server – идентифицирует абонентов, ведет учет используемых ресурсов (протокол RADIUS);
  • BBERF – сообщает PCRF об активации сессии с отправкой идентификатора абонента и прочих показателей для точного определения QoS-правил обслуживания;
  • UDR – обеспечивает хранение данных пользователей.

Варианты использования DPI систем

Предусмотрено 9 возможных сценариев:

  1. контроль и анализ трафика;
  2. его приоритизация;
  3. улучшение аплинков;
  4. равномерное распределение канала для всех абонентов;
  5. кэширование;
  6. оценка поведения участников сети;
  7. уведомление абонентов;
  8. ограничение доступа к определенным интернет-ресурсам;
  9. защита трафика от перехвата и прочих атак.

Необходимое оборудование для DPI систем

Программная часть системы способна работать продуктивнее при наличии определенного «железа». В основном, для этого используются готовые решения, в которые входит оборудование с предустановленным ПО.

Обычно стандартная комплектация DPI систем глубокой фильтрации трафика содержит:

  1. Сетевые карты с режимом Bypass, соединяющим интерфейсы на первом уровне. Даже если питание сервера внезапно прекращается, линк между портами продолжает действовать, пропуская трафик за счет питания от батарейки.
  2. Систему мониторинга. Дистанционно контролирует показатели сети и выводит их на экран.
  3. Два блока питания, способные заменить друг друга при необходимости.
  4. Два жестких диска, один или два процессора.

Оборудование для DPI

Для расширения функций могут подключаться внешние средства хранения. Поскольку в этом случае высокая скорость доступа не нужна, подходит решение в виде одной СХД (системы хранения данных) и нескольких дисковых полок, подключенных к ней.

Головное устройство оснащено двумя контроллерами, каждый из которых имеет порты для подключения к сети и полок расширения. Используется процессор Intel® Xeon® E5-2600 V4. Для повышения отказоустойчивости применяется два блока питания.

ОС SmartOS выполняет управление дисками. За счет применения технологии RAID-Z и новой файловой системы ZFS оборудование получает массу преимуществ:

  • контроль целостности логических и физических дисков;
  • минимизация фрагментации информации;
  • высокая скорость доступа к дискам.

Чтобы увеличить объем хранимых данных, JBOD подключается к головному устройству. На одной полке может размещаться до 70 дисков. Такой метод позволяет в ускоренном режиме увеличить объем системы хранения.

Схемы подключения DPI

Существует две основные схемы:

  1. Активная. Установка «в разрыв». Обеспечивает реализацию полного функционала. Устройство подключается после пограничного маршрутизатора в разрыв uplink. Благодаря такой схеме через DPI проходит весь трафик. Это открывает широкие функциональные возможности для его обработки. Однако в такой схеме есть минус. Если устройство выходит из строя, нарушается связь. Для этого рекомендуется использовать либо резервную платформу, либо Bypass устройства.
  2. Пассивная. «Зеркалирование трафика» происходит через оптические сплиттеры либо SPAN-порты. Подобная схема открывает доступ к множеству функций: предварительная фильтрация СОРМ, кэширование, переадресация запросов блокировки, онлайн-снятие click stream и так далее. Если сеть уже действует, такая схема позволяет за 1-2 дня внедрить DPI.

Заключение

Системы DPI достаточно сложны, чтобы уместить их подробное описание в одном информационном материале. Однако с учетом этих данных можно составить понятную картину, насколько продуктивными и востребованными являются подобные решения. В руках профессионалов системы DPI – ценные инструменты, улучшающие качества сервиса и безопасность абонентов, а в российской действительности полностью соответствовать законодательству и спокойно работать в качестве оператора связи.

Как стать интернет-провайдером?

Как стать интернет-провайдером?

set-kabel

Как стать провайдером интернета и построить прибыльный бизнес? С чего начать? Какое нужно оборудование и ПО? Как нанять и организовать персонал? Ответим на эти вопросы в данной статье.

Определение конкурентной среды

Текущие реалии рынка таковы, что новым и небольшим провайдерам бывает сложно. В крупных населённых пунктах федеральные компании («Ростелеком», «Билайн», «МТС» и прочие) продолжают подавлять и поглощать небольшие районные предприятия. Однако на рынке всё ещё есть актуальные ниши:

  • загородный частный сектор, поселки и деревни;
  • комплексные проекты городской квартальной застройки.

Часто в таких зонах существует высокий уровень спроса на интернет-услуги, однако никто из провайдеров не способен полноценно предоставить такой сервис, за исключением мобильных операторов. Это открывает широкие возможности для развития новых участников рынка. Но несмотря на все предпосылки, организация бизнеса по предоставлению населению интернет-доступа довольно сложная задача, которая нуждается в учете многих юридических аспектов и иногда вложений немалых средств.

Сколько стоит стать интернет-провайдером?

Если идея стать провайдером интернета требует реализации, нужно с чего-то начать. Стоит составить, пусть и простой, но бизнес-план. Он позволит учесть расходы и риски, способы привлечения средств и другие нюансы, которые способны повлиять на результат. Бизнес-план требует учёта непростых технических и экономических показателей. Если расчёты подтвердят экономическую целесообразность его реализации в разумные сроки, этим можно заниматься. Для реализации бизнес-плана нужно чётко понимать, кто и как будет платить деньги за услуги.

Как подсчитали специалисты, средняя сумма, которая необходима предприятию, чтобы стать полноценным интернет-провайдером, достигает около 5 млн рублей. В эту сумму входят следующие приблизительные расходы:

  • приобретение оборудования – 3 млн рублей;
  • оргтехника и мебель – 300 тыс. рублей;
  • подготовка помещений – 120 тыс. рублей;
  • регистрация юридического лица, получение лицензии – до 300 тыс. рублей;
  • реклама и прочие затраты – до 500 тыс. рублей.

В этом перечне не учтены расходы на аренду помещений и заработную плату специалистов. Это еще около 500 тыс. рублей ежемесячно. Теперь можно спрогнозировать доходность. Если привлечь около 5 тыс. клиентов (для микрорайона крупного города это не так много), выручка может достигать 4-5 млн. рублей ежемесячно. С такими показателями можно с легкостью добиться высокой рентабельности будущего бизнеса и окупаемости проекта.

Как подключать абонентов?

stat-internet-providerom

На основании выбранного способа подключения клиентов и видов предоставляемого сервиса будет определяться оборудование для интернет-провайдера, а также перечень необходимых разрешений.

Для поставки сигнала до точек распределения по абонентам можно использовать оптоволоконный канал. Несмотря на его дороговизну, он пользуется популярностью благодаря своим достоинствам:

  • малый вес и отличная пропускная способность;
  • полная информационная безопасность;
  • минимальные потери пакетов и задержки;
  • почти нет ограничений по длине.

Последняя миля до клиента может обеспечиваться несколькими методами:

  1. Wi-Fi. Провода не требуются, однако канал ограничен по скорости и надёжности.
  2. Оптика. Дорого и надежно. Подключение возможно по одной из технологий: xPON или Ethernet.
  3. Медный кабель. Доступный и популярный способ, отличающийся простотой установки.

В дополнение к основному сервису предоставления доступа в интернет можно продавать вспомогательные услуги:

  • VoIP-телефония;
  • цифровое телевидение IPTV;
  • серверные мощности (игры, хранение файлов);
  • сетевая безопасность (антивирусы).

Наличие такого спектра возможностей делает компанию привлекательной на конкурентном рынке.

Как правильно оформить предприятие и получить лицензию?

Оптимальная форма собственности юридического лица – общество с ограниченной ответственностью (уставной фонд – от 10 тыс. рублей). Документы оформляются до 30 дней. Если обратиться к специализированным агентствам, можно сократить этот срок до недели и сэкономить время.

Для интернет-провайдеров обязательной является процедура получения лицензии. Если предоставляется только доступ в интернет, нужно получить два разрешения:

  • на передачу информации за исключением передачи голосовых данных;
  • на телематические услуги.

Роскомнадзор рассматривает заявление в течение 45 дней. Самостоятельная подача документов потребует около 12 тыс. рублей. Дополнительные услуги могут потребовать оформления новых лицензий.

Как найти помещения, спроектировать сеть и купить оборудование?

internet-provider

В основном, устройства размещаются в подвалах и на чердаках жилых домов. Чаще всего требуется лишь согласие управляющей компании. А вот для размещения сетевого и серверного оборудования центрального узла связи нужно отдельное помещение. В нем должно быть такое оснащение:

  • ИБП (источник бесперебойного питания);
  • заземление;
  • система кондиционирования;
  • противопожарная сигнализация.

Рекомендуется обеспечение круглосуточного доступа для оперативного реагирования на случай аварийных ситуаций.

Оборудование выбирается ориентируясь на время реакции производителя для восстановления при неисправности, спектр предоставляемых услуг и предполагаемой стартовой нагрузки. Стоит предусмотреть возможность расширения функциональности и увеличения производительности.

Чаще всего в первоначальный набор входят такие устройства:

  • ЗИП;
  • ИБП;
  • оборудование СОРМ;
  • административная панель;
  • оргтехника;
  • маршрутизаторы;
  • серверы для биллинга, контроля и разработок, почты и идентификации;
  • контрольное и пассивное оснащение.

Для предоставления клиентам доступа в интернет необходимо получить его от uplink-провайдера. Желательно иметь несколько подключений на случай, если один из них будет неэффективным в определенное время. Для понимания, о каких суммах идет речь, стоимость 1 Гбит/с может составить 200 тыс. рублей ежемесячно. Для экономии средств можно единоразово приобрести системы глубокого анализа трафика. Окупаемость такого оборудования – около 6 месяцев.

Поиск персонала и подготовка к работе

Квалифицированная команда нужна интернет-провайдеру не меньше, чем качественное оборудование. Определённый сервис можно отдать на аутсорсинг. Это позволит разгрузить выполнение задач хотя бы на начальном этапе.

Однако некоторые службы и специалисты должны быть штатными:

  • сетевые инженеры;
  • сотрудники технической поддержки;
  • администраторы;
  • маркетологи или специалисты по продвижению;
  • руководитель.

В штате достаточно иметь до 15 человек. Важно, чтобы команда поддерживала состояние услуг и предоставляла качественный доступ в интернет каждому абоненту. Это позволит повысить авторитет компании на рынке, способствуя работе «сарафанного радио».

Подбор программного обеспечения

В распоряжении интернет-провайдеров есть большой ассортимент различного ПО. Сейчас основным образом выделяются 2 решения, которыми пользуются более 1200 операторов связи.

Carbon Billing 5

Сертифицированная биллинговая система, способная поддерживать до 1,5 млн абонентов. Биллинг оснащён широким функционалом, прост в освоении, не требует технических знаний от менеджеров отдела продаж, а также не требователен к глубоким знаниям технических специалистов. Это делает его продуктивным вспомогательным средством для привлечения клиентов, а также роста лояльности существующих абонентов.

Carbon Billing

Carbon Billing 5 поддерживает свыше 50 моделей маршрутизаторов, что является техническим преимуществом для применения провайдерами. Подходит для организаций:

  • обеспечивающих спутниковый интернет;
  • предоставляющих каналы или беспроводной доступ;
  • действующих по технологии GPON;
  • дающих широкополосный доступ.

Carbon Billing 5 обеспечивает:

  • свыше 150 методов оплаты;
  • гибкость отчётности;
  • поддержку для абонентов функции автоматической оплаты;
  • индивидуальные тарифы;
  • доступный API;
  • встроенную CRM;
  • бесперебойную работу биллинга.

ПО поддерживает свыше 300 уникальных функций и возможностей, а компания Carbon Soft ежемесячно внедряет новые решения в течение уже 9 лет.

Carbon Reductor DPI

Бизнес по интернет-провайдингу достаточно серьёзно контролируется государством. В частности, операторы связи обязаны ограничивать доступ к конкретным ресурсам по спискам запрещённых сайтов от Роскомндазора и Минюста.

Carbon Reductor

Фильтрация трафика Carbon Reductor DPI позволяет пройти любые проверки Роскомнадзора и АС «Ревизор» и избежать проблем с законом.

Программный продукт:

  • выгружает и блокирует сайты из перечней Минюста и Роскомнадзора в автоматическом режиме;
  • гарантированно выполняет ФЗ-139; ФЗ-149; ФЗ-187; ФЗ-398; ФЗ-436;
  • поддерживает 8 технологий фильтрации;
  • обладает повышенной производительностью и надёжность (запас прочности до 2 млрд URL в системе фильтрации);
  • имеет полноценный веб-интерфейс для работы администратора;
  • использует минимум ресурсов оборудования провайдера;
  • имеет страховку от получения штрафов от Роскномнадзора;
  • поддерживает IPv6;

Обновление Carbon Reductor DPI подготавливается за 2 месяца до вступления в силу рекомендаций и поправок. Это позволяет провайдерам соблюдать актуальные требования относительно фильтрации трафика. Установить и настроить ПО можно в течение 2 часов.

С такими решениями ведение бизнеса интернет-провайдера упрощается в разы, улучшается лояльность абонентов и повышается рентабельность за счёт экономии на собственных ресурсах.

Окончательная реализация проекта

Монтаж оборудования и прокладка кабеля – важные составляющие для начала деятельности. Нужно подготовить проект узла связи и подать его на согласование в Роскомнадзор. На успех в этом деле влияет выбранное оборудование и программное оснащение. Оно должно быть сертифицировано и лицензировано. После получения экспертной оценки (1–12 месяцев) допускается ввод в эксплуатацию оборудования. Стоимость процедуры в пределах 100 тыс. рублей.

В качестве заключения

Правильно подготовившись к ведению бизнеса, можно достичь хороших результатов. И для этого придётся постоянно:

  • контролировать качество своих услуг;
  • совершенствовать используемое оборудование и ПО;
  • увеличивать скорость работы сети;
  • развивать внутренние сервисы и спектр предоставляемых услуг;
  • проявлять внимание к потребностям клиентов;
  • популяризировать свой бренд среди населения.

Только так можно достичь высокой рентабельности бизнеса и стать провайдером интернета!

Проверка операторов связи с помощью АС «Ревизор», практика наших пользователей

Проверка операторов связи с помощью АС «Ревизор», практика наших пользователей

Добрый день!

В связи с увеличением количества проверок АС «Ревизор» с декабря 2016 года у провайдеров появились вопросы и беспокойство на тему осуществления фильтрации трафика и штрафов от Роскомнадзора.

Мы отправили официальный запрос в Роскомнадзор с просьбой детально разъяснить механизм проверки фильтрации, выявления нарушений и процедуру наступления административной ответственности за отсутствие блокировки запрещенных ресурсов. Роскомнадзор прислали нам развёрнутый ответ. Мы скомпоновали его в максимально доступный вид и делимся им с Вами.

Данная статья содержит в себе как базовую информацию, известную каждому провайдеру с установленным АС «Ревизор», так и более развёрнутую, помогающую детально разобраться в вопросах законодательства.

Алгоритм проверки фильтрации и выявления нарушений

  1. Ресурс появляется в Едином реестре (обновляется ежедневно в 9.00 и 21.00 МСК).


  2. Согласно части 10 статьи 15.1 ФЗ-149 в течение суток с момента включения в Единый реестр запрещенного интернет-ресурса оператор связи, оказывающий услуги по предоставлению доступа к сети Интернет, обязан ограничить доступ к такому сайту в сети Интернет.


  3. Единый реестр выгружается оператором связи.
  4. Оператор связи обязан осуществлять блокировку запрещенных ресурсов согласно пунктам 1, 5 статьи 46 ФЗ-126 «О связи» порядок которой регулирует ФЗ-149.
  5. Филиалы ФГУП «РЧЦ ЦФО» осуществляют мониторинг фильтрации с помощью АС «Ревизор».


  6. Филиалы ФГУП «Радиочастотный центр Центрального федерального округа» (далее ‒ филиалы ФГУП «РЧЦ ЦФО») осуществляют мониторинг выполнения операторами связи требований по ограничению доступа к запрещенным интернет-ресурсам с использованием «Автоматизированной системы контроля за соблюдением операторами связи требований по ограничению доступа к сайтам в сети Интернет, содержащим информацию, распространение которой в РФ запрещено в соответствии с требованиями ФЗ-149″ (далее ‒ АС «Ревизор»). АС «Ревизор» введена в промышленную эксплуатацию приказом ФГУП «РЧЦ ЦФО» от 29.12.2016 № 354 (сертификат соответствия оборудования «Аппаратно-программный Агент АС «Ревизор» № ОС-1СУ-0496, срок действия с 05.10.2016 до 05.10.2019).


  7. При обнаружении факта отсутствия блокировки АС «Ревизор» делает скриншот незаблокированного ресурса. Представители РЧЦ передают информацию в ЕИС Роскомнадзора.


  8. Незаблокированной записью Единого реестра с признаками нарушения законодательства является запись Единого реестра, скриншот которой позволяет однозначно определить факт отсутствия блокировки интернет-ресурса оператором связи. Сформированные акты и протоколы мониторинга передаются сотрудниками филиалов ФГУП «РЧЦ ЦФО» в ЕИС Роскомнадзора. Акты мониторинга рассматриваются территориальными органами Роскомнадзора, на подведомственной территории которых осуществляет деятельность оператор связи, оказывающий услуги по предоставлению доступа к информации, распространяемой посредством сети Интернет.


  9. Роскомнадзор возбуждает дело об административном правонарушении.
  10. Решение по данному делу принимает суд.


  11. Согласно части 3 статьи 14.1 КоАП от 30.12.2001 № 195-ФЗ в случае признания нарушения судом может быть вынесено предупреждение или наложен административный штраф от 1,5 до 2 тыс.руб. ‒ для граждан, от 3 до 4 тыс.руб. ‒ для должностных лиц, от 30 до 40 тыс.руб. ‒ для юридических лиц.


    Считаем необходимым отметить, что 11.01.2017 в Госдуме принят во втором, основном чтении законопроект, дополняющий КоАП РФ новой статьей, которая вводит ответственность за неисполнение оператором связи обязанности ограничивать или возобновлять доступ к информации. Такое нарушение предлагается наказывать штрафом от 3 до 5 тыс.руб. ‒ для должностных лиц, от 10 до 30 тыс.руб. ‒ для предпринимателей без образования юридического лица, от 50 до 100 тыс.руб. ‒ для юридических лиц.

Важные моменты

Мы отметили ключевые факты, которые, в том числе, помогут в общении с представителями РКН или РЧЦ, если возникнет необходимость.

  • Проверки осуществляются регулярно, как плановые, так и внеплановые.
  • Оператору связи обязательно предоставляется доступ в личный кабинет АС «Ревизор» для проверки работы его DPI.


  • При заключении договора с филиалом ФГУП «РЧЦ ЦФО» в УФО об установке технического средства АС «Ревизор» оператору связи предоставляется доступ в личный кабинет АС «Ревизор», с помощью которого оператор связи может своевременно реагировать на случаи неблокирования доступа к запрещенным интернет-ресурсам.


  • На блокирование вновь включенных в Единый реестр интернет-ресурсов оператору связи дается не более 1 суток после их включения в Единый реестр. Также нужно обратить внимание на то, что ресурсы, добавленные в реестр в соответствии с ФЗ-398 (т.н. «экстремистские» сайты) должны быть заблокированы в течение 1 часа.
  • В НПА (нормативно-правовые акты) не предусмотрены такие понятия как «пропуски», «временные интервалы», «допуски по пропускам». Нарушением является факт отсутствия блокировки Единого реестра, будь это одна запись или сто.
  • Доказательством в суде должен быть скриншот позволяющий однозначно определить факт отсутствия блокировки.
  • Каждый оператор связи несёт ответственность за неисполнение обязанностей по блокировке ресурсов, даже если вышестоящий провайдер фильтрует трафик. Для того, чтобы полностью себя обезопасить у каждого оператора связи должно быть своё DPI решение.


  • При этом подчеркиваем, что оператор связи, использующий трафик, фильтрацию которого осуществляет присоединяющий оператор связи вышестоящего уровня, не освобождается от ответственности за неисполнение обязанности по ограничению доступа (Распоряжение Роскомнадзора от 07.07.2016 № 8, утверждающее Рекомендации по ограничению доступа к информации, распространяемой посредством сети Интернет, в порядке, установленном ФЗ-149).


  • Время на устранение неполадок не предусмотрено НПА (Но его может установить суд).
  • На текущий момент размер штрафа для юридических лиц составляет от 50 до 100 т.р.

Получается, что любой пропуск это штраф?

Законодательно да, но на самом деле нет.

Дело в том, что причины пропусков могут быть самые разные и они, если не изменять настройки ПО, всегда связаны с железом. Недавно мы написали статью с рекомендациями по повышению отказоустойчивости аппаратной части системы фильтрации.

Представители РКН и РЧЦ прекрасно понимают возможные технические неполадки и, подчеркиваем, всегда дают время на их устранение. Каждый факт неосуществления блокировки отдельно проверяется и дело дойдет до суда только в случаях, если:

  • Факт нарушения подтвердили представители РЧЦ проведением повторной проверки.
  • Проблема с фильтрацией не была решена в установленное время.

Фактически получить штраф в случае пропуска в принципе проблематично, потому что все условия для быстрого устранения неполадок есть.

Практика пользователей Carbon Reductor


Пример №1
Проблема: АС «Ревизор» зафиксировал пропуски, при попытке зайти на любой URL из отчёта страница была заблокирована. Пользователь обратился в техподдержку.

Процесс решения:

  1. Первичная диагностика сервера выявила низкую вычислительную мощность процессора, недостаточно оптимизированную работу процессора с сетевыми картами, а также отсутствие интеграции с DNS сервером и маршрутизатором.
  2. Был заменён процессор и корректно настроена его работа.
  3. Проведена интеграция с DNS сервером и маршрутизатором.
  4. Тестирование выявило небольшой процент пропусков.
  5. Детальная диагностика показала, что теряется ответный пакет после отправки с сервера фильтрации на АС «Ревизор», находящийся в локальной сети.
  6. Полученная информация позволила пользователю устранить неявную проблему в локальной сети.
  7. Повторная проверка пропусков не обнаружила.

Итог:
После проведенных работ пропуски не зафиксированы. Претензии со стороны Роскомнадзора к провайдеру были сняты. Дело в суде не рассматривалось.


Пример №2
Проблема: АС «Ревизор» зафиксировал пропуски по нестандартным портам — 8080, 8081.
Процесс решения:

  1. Первичная диагностика проблем не выявила.
  2. При детальном изучении трафика с тестовой машины, находящейся в локальной сети, выяснилось, что ответные пакеты по портам 8080, 8081 не доходили до «абонента».
  3. Совместно с пользователем, в режиме онлайн, мы выяснили, что пакеты от сервера фильтрации по нестандартным портам не попадали к абонентам, т.к. фильтровались ACL (Access Control List) на маршрутизаторе.
  4. Пользователь поправил ACL, отчёты АС «Ревизор» стали пустыми.

Итог:
Претензии со стороны Роскомнадзора к провайдеру были сняты. Дело до суда не дошло.

Резюмируя вышеописанное

Статистика показывает, что фиксируемые проблемы кроются либо в аппаратной части фильтрующего сервера, либо в специфике работы локальной сети.

В Радиочастном Центре работают грамотные и отзывчивые специалисты, которые идут навстречу при их информировании о проблеме и сроках её устранения. Их целью является не выписывание штрафов, а банальное соблюдение требований законодательства.


Спасибо, что пользуетесь продуктами Carbon Soft!

В Carbon Soft внедрён электронный документооборот

В Carbon Soft внедрён электронный документооборот

Уже половина клиентов Carbon Soft использует ЭДО. Ведущие компании России и мира давно отказались от бумажной волокиты и экономят время своих сотрудников. Поэтому предлагаем и остальным клиентам использовать ЭДО.

Все входящие документы для Вас бесплатны, сплошная экономия!

http://www.diadoc.ru

В плане его использования есть несколько плюсов:

  • Не нужно высылать бумажный акт, экономия времени и денег.
  • Надежное, бесплатное и бессрочное хранение документов на серверах.
  • Вы застрахованы от расхождений с контрагентом, так как обе стороны работают с одним и тем же файлом.

Спасибо, что пользуетесь продуктами Carbon Soft!

Страхуемся, чтобы на 200% проходить проверки АС «Ревизор»

Страхуемся, чтобы на 200% проходить проверки АС «Ревизор»

Мы решили дополнительно подстраховать пользователей Carbon Reductor от форс‑мажорных ситуаций в плане фильтрации.


Сейчас предполагается, что система фильтрации у провайдера должна работать идеально 100% времени. Мы прикладываем огромные усилия, чтобы это было действительно так, но причины пропусков в фильтрации не связаны непосредственно с продуктом.

Это могут быть сбои оборудования на сервере с Carbon Reductor: если внезапно выйдет из строя жёсткий диск, сервер, скорее всего, продолжит работу и даже будет продолжать осуществлять фильтрацию трафика, но не сможет выгрузить списки и добавить новые URL. Такая ситуация недавно случилась у одного из пользователей и, к сожалению, привела к штрафу в 30 тысяч рублей. Блоки питания, битые модули оперативной памяти, сетевые кабели — ситуация та же самая.

Часто бывает так, что полноценного мониторинга за сервером не настроено, а сотрудник, зарегистрированный в нашем helpdesk, получающий уведомления от нашего мониторинга, уволился. Соответственно, о возникшей проблеме, несмотря на наличие тикета в хелпдеске и отправленных писем, узнаёт не системный администратор через 5 минут, а директор, причём от РЧЦ или РКН. (Кстати, начиная с 2017 года мониторить состояние Carbon Reductor стало значительно легче, можете посмотреть примеры в документации).

Если проблемы в программном обеспечении Carbon Reductor и, используемой в качестве платформы, операционной системе мы можем исправлять и предотвращать, то с железом мы ничего сделать не можем, такова его материальная природа — оно подвержено поломкам.

Для того, чтобы предупредить форс-мажоры, от которых никто не застрахован, мы предлагаем нашим пользователям организовать резервный сервер с Carbon Reductor. Лицензия на этот сервер предоставляется безвозмездно если Вы уже пользуетесь Carbon Reductor.

Эта статья носит рекомендательный характер. Если для Вас сейчас накладно обустраивать второй сервер или нет возможности организовать ещё одно зеркало трафика, ничего страшного. Основной сервер как работает, так и будет работать, просто за ним нужно следить и обслуживать.

Ранее мы уже писали о том, как должен быть настроен сервер с Carbon Reductor.

В плане установки дополнительной копии Carbon Reductor в сеть оператора есть несколько плюсов:

  • Возможность самостоятельно обкатывать новые версии перед обновлением, то есть использовать второй Carbon Reductor как staging-сервер, а на основном отключить автоматическое обновление.
  • Снижение вероятности пропуска фильтрации из-за потери пакета (как анализируемого трафика, так и редиректов/разрывов) в сети провайдера (одновременно потерять два пакета — куда сложнее чем один).
  • Снижение вероятности пропуска фильтрации из-за выхода из строя аппаратной части.
  • Снижение вероятности пропуска фильтрации из-за плавающих проблем в программном обеспечении. Kernel panic, soft-lockup, повисания сети во время применения изменений настроек сети при большом числе VLAN, неисправная сетевая карта/рейд-контроллер и т.д.
  • Возможность спокойно проводить техническое обслуживание сервера с рестартом сети или перезагрузками (замена оборудования, обновления ядра Linux, установки параметров драйверам сетевых карт и других экспериментов).
  • Для пользователей 7-й версии возможность ознакомиться с 8-й версией до массового перехода.

Как активировать резервный редуктор:

  1. Скачайте с сайта Carbon Reductor.
  2. Установите на отдельный сервер.
  3. Протестируйте в режиме пробной версии.
  4. Отправьте регистрационный номер резервного редуктора на почту sales@carbonsoft.ru c пометкой «Активация резервного Carbon Reductor».
  5. Активация пройдет в течение суток.

Успехов и процветания! Спасибо, что пользуетесь Carbon Reductor!

Среди наших клиентов