Релиз Carbon Reductor 8.01.04 7215

Самое важное

Появилась возможность ограничивать действия в веб-интерфейсе. Настройка, выключение и управление сервером теперь разграничиваются правами доступа. Может быть 2 роли: уровень доступа администратор – редактирование, настройка, перезагрузка и т.д., менеджер – просмотр результатов работы. Пригодится на тот случай, если у Вас несколько человек, которые контролируют работу системы фильтрации и один ответственный — например, главный инженер, имеющий доступ к настройкам системы.

Мы оптимизировали интеграцию с маршрутизаторами. Для снижения нагрузки на маршрутизаторы оператора связи мы ввели возможность работы с целыми подсетями IP-адресов. Из-за повышения количества заблокированных IP-адресов в реестре запрещённых сайтов у некоторых маршрутизаторов возникали проблемы с производительностью – теперь их больше не будет.

Повышена отказоустойчивость при обработке списков – добавлена проверка URL на корректность. Ранее некорректные URL могли привести к сбою процесса обработки списка.

Веб-интерфейс

  • Графики со статистикой работы Carbon Reductor больше не очищаются при обновлении версии продукта.
  • Улучшена стабильность работы веб-интерфейса, исправлена ошибка, в редких случаях приводящая к его недоступности.

Мониторинг

  • Откорректирована работа системы диагностики. Наличие трафика в зеркале анализируется более корректно.
  • Добавлена система проверки статуса BGP сессии при интеграции с маршрутизаторами сети. Если BGP сессия не активна (например, маршрутизатор не отвечает), Carbon Reductor оповестит администратора о сбое в сети, который может привести к пропускам фильтрации.
  • Исправлена ошибка проверки статуса UPS. Это приводило к ложному оповещению администратора о его неисправности.

Фильтрация

Изменена логика разбора реестра для доменов с точкой на конце (для случаев записи example.com.). Теперь такие записи блокируются во всех вариациях, чтобы исключить влияние человеческого фактора при заполнении реестра.

Прочее

  • Режим обслуживания теперь поддерживает работу с хук-файлами (файлы с доп. настройками). Есть некоторые пользователи, которые используют их для собственных настроек.
  • Добавлена поддержка Zabbix-агента, что позволит дополнительно выполнять мониторинг сервера самостоятельно, помимо системы мониторинга Carbon Soft.
  • Исправлен запуск хук-файлов при старте Carbon Reductor.

Спасибо, что пользуетесь Carbon Reductor!

Релиз Carbon Billing 5.25.01

Добрый день! Новая версия Carbon Billing 5 уже вышла. Обо всех нововведениях расскажем в порядке важности.

Оргвопросы

Во-первых, мы наполнили веб-интерфейс подсказками – кнопками «i». Кнопки ведут на документацию по соответствующему функционалу. Да, они были и раньше, но недостаточно. Теперь подсказки стоят в большинстве разделов и напротив полей заполнения и выбора. Больше не нужно писать в техподдержку по вопросам функционала или самостоятельно искать статью в документации.

Во-вторых, разделили техподдержку на 2 линии, чтобы сократить время ответа и решения вопросов. Мы стремимся к тому, чтобы время реакции на любую заявку было до 1-го часа, а решение легких вопросов ещё быстрее. Инженеры заняты решением только технически сложных вопросов, не отвлечены на стандартные вопросы, которые может решить первая линия. Это сделает техподдержку для наших пользователей существенно лучше и быстрее.

Архив тарифов

По многочисленным просьбам мы реализовали архив тарифов. Если раньше тарифы старые, новые, тестовые были в списке тарифов вперемешку и создавали неудобства для пользователей биллинга, то теперь оператор при работе с тарифами будет видеть только те тарифы, которые находятся в работе. Не нужные в данный момент тарифы теперь находятся в архиве тарифов.

Система мониторинга

Улучшили систему мониторинга. Если в работе биллинга будут замечены ошибки, сотрудник техподдержки Carbon Soft узнает об этом и сообщит пользователю биллинга до того, как провайдеру сообщат его абоненты.

Читать далее

РосКомНадзор тестирует Carbon Reductor DPI

Добрый день!

Рады сообщить, что Роскомнадзор в данный момент тестирует решение по фильтрации запрещённых ресурсов Carbon Reductor DPI.

По итогам тестирования будет выдан официальный документ, подтверждающий работоспособность фильтра трафика и соответствие требованиям Роскомнадзора. Тестирование займет от 2-х до 4-х недель. О результатах мы также сообщим.


Спасибо, что пользуетесь Carbon Reductor!

Релиз Carbon Reductor 8.01.03 6100

Самое важное

В систему мониторинга добавлен анализатор трафика, обнаруживающий пропуски фильтрации, в том числе связанные с проблемами в сети провайдера. При обнаружении таковых будет отправлено уведомление администратору сервера фильтрации и в техническую поддержку Carbon Soft.

Также повышена надёжность системы фильтрации — добавлена интеграция с маршрутизаторами по OSPF для получения кратчайших маршрутов до абонентских машин. Благодаря этому ответный пакет от Carbon Reductor дойдёт в несколько раз быстрее до машины абонента, запрашивающей запрещённый ресурс.

Система бэкапов Carbon Reductor теперь позволяет скачать бэкап и восстановить работу сервера фильтрации из резервной копии с FTP-сервера с помощью одной команды.

Веб-интерфейс

Веб-интерфейс Carbon Reductor теперь показывает количество проверенных пакетов для любых имён сетевых интерфейсов, а не только «eth».

Фильтрация

  • Исправлена ошибка в системе разбора реестра, URL с номером порта теперь добавляются корректно.
  • Белые списки IP-адресов для https больше не влияют на фильтрацию при помощи SNI.

HTTPS-proxy

Добавлен тест проверки устаревания сертификата, полученного от центра сертификации Carbon Soft.

Прочее

  • По просьбам нескольких пользователей страница заглушки стала поддерживать код ответа «HTTP/451» «Недоступно по юридическим причинам» вместо «HTTP/200» «Доступ запрещен». Опционально.
  • Активация продукта стала быстрее, откорректирована логика работы с серверами.
  • Для экономии места на сервере автоматически удаляются отчёты, скачанные с портала АС «Ревизор», старше 14 дней.
  • Исправлена работа с интегрированными DNS-серверами. Ранее возникала ошибка из-за добавления в реестр доменов с пробелами.
  • Добавлена поддержка автоматической настройки DHCP-сервера для установки Carbon Reductor в разрыв запросного канала.

Спасибо, что пользуетесь Carbon Reductor!

Релиз Carbon Reductor 8.01.01 3423

Самое важное

Решена проблема с обновлением на новые версии продукта. Ранее была ошибка в системе, которая в некоторых случаях не позволяла выполнить обновление на последнюю версию.

Веб-интерфейс

  • Теперь при выполнении авторизации с неверной парой логин/пароль высвечивается ошибка.
  • Восстановлен график устаревания списков, а также исправлена логика его отрисовки. Теперь можно видеть дату изменения локального дампа.
  • Ранее, после устранения неисправностей, отображались старые ошибки — исправлено, в диагностике отображаются только актуальные ошибки.

Мониторинг

  • Добавлен тест, выполняющий проверку включения всех обязательных опций для обеспечения высокого качества фильтрации.
  • Исправлен тест для проверки гипертрейдинга — проверка не производится на процессорах семейства AMD.
  • Исправлена ошибка при проверке собственных списков провайдера, если в чёрном списке использовались подсети, то тест завершался с ошибкой.

Фильтрация

  • Из меню скрыты опции, которые являются обязательными для достижения уровня фильтрации, требуемого законодательством.
  • Исправлена ошибка рестарта, которая приводила к продолжительному выполнению режима обслуживания.
  • У серверов был отключен резолвер, чтобы избежать блокировки популярных ресурсов (vk.com, avito.ru и другие), функционал фильтрации при этом не пострадал.

Списки, выгрузки

Исправлена работа белых списков для ip_block. В некоторых случаях они не работали.

Обновление

В Carbon Reductor 7 внесены важные изменения, позволяющие быстро перейти на Carbon Reductor 8.

Прочее

  • В мастере установки вопрос о настройке сети отображался некорректно — исправлено.
  • Логирование dns запросов не используется, поэтому было удалено из menu и всех скриптов, которые его проверяли.

Спасибо, что пользуетесь Carbon Reductor!

Релиз Carbon Billing 5.24.01

Добрый день!

Выпущена новая версия Carbon Billing 5. Вновь повышаем надёжность, отказоустойчивость биллинга, а также не забываем про новый функционал.

Надёжность, отказоустойчивость, безопасность

По нашим расследованиям падений БД, самой частой причиной было нарушение целостности файловой системы. Мы внедрили технологию теневой копии БД на отдельном разделе. Это позволило уменьшить вероятность повреждения БД до минимума, так как шанс, что обе файловые системы, работающие под разной нагрузкой, повредятся при ресете питания — крайне мала.

Для повышения безопасности добавлена возможность указывать нестандартный порт для ssh при установке биллинга. Также улучшена отказоустойчивость модулей отвечающих за сбор и агрегацию трафика.

Ядро биллинга

В ядре проведена работа по оптимимации кода, что в итоге снизило нагрузку на сервер и в целом ускорило работу биллинга. Сделана большая ревизия кода отвечающего за отправку событий, убраны лишние события и оптимизирована скорость обработки — теперь события обрабатываются в 2 раза быстрее. Улучшен алгоритм переключения лестницы скоростей по тарифу, теперь эти действия не засоряют аудит и потребляют меньше ресурсов.

  • Расширен функционал отчётности и взаиморасчётов операторов связи по агенсткой схеме для телефонии, теперь можно отдельно выставлять агентские счета по каждому вышестоящему оператору.
  • Исправлены ошибки перерасчёта.
  • Доработан функционал, отвечающий за привязку и обработку двух и более договоров на одном счёте. Теперь в одном акте, который высылается абоненту можно разграничить оказанные услуги по нескольким договорам. Также исправлены мелкие ошибки.
  • Улучшен функционал миграции с других биллингов — добавлена возможность повторной миграции в ускоренном режиме.
  • Некоторым пользователям при полном перерасчёте требовалось перерасчитать всю телефонию, в новой версии это возможно.
  • У пользователя при использовании опции «Сдвигать дату ежемесячного списания», переход на тариф просходил 1-го числа месяца, а не в дату, куда было сдвинуто списание — исправлено.

Веб-интерфейс администратора

Добавлен новый функционал по просьбе пользователей, исправлены мелкие ошибки и проведены некоторые улучшения.

  • Для удобства добавлена возможность сразу скачивать pdf при печати документов.
  • Улучшен алгоритм подсчёта абонентов в дереве абонентов, в некоторых случаях цифры были неправильными и исправлялись только ночью при полном перерасчёте дерева.
  • По многочисленным просьбам в расширенный поиск добавлена возможность массового изменения результата поиска. Например, это пригодится тогда, когда Вам необходимо по какому-то признаку поменять тариф абонентам.
  • В 2 раза увеличена скорость отклика информации по абоненту в веб-интерфейсе администратора.
  • Некоторым пользователям требовался рекурсивный поиск по группе абонентов — эта опция добавлена в расширенный поиск. При включённой опции поиск будет осуществляться и по группам и по подгруппам.
  • Исправлены ошибки веб-интерфейса, о которых Вы сообщили.
  • По просьбе нескольких пользователей добавлено поле для написания комментария в операциях прихода.
  • Добавлена необходимая запись в аудит, чтобы было очевидно, делался ли перерасчёт по абоненту и на какой период — в некоторых случаях это сложно было понять.
  • Если пользователь задавал недостаточно детальный поиск по абонентам в базе более 10 тыс. абонентов это приводило к ошибке поиска — исправлено.
  • Для интеграции с 1С добавлен обработчик для облачных решений.

Платформа

  • Переработана система изменения и генерации DHCP Subnets, теперь она работает предсказуемо и не дублирует данные.
  • Добавлена возможность восстановления базы данных из резервной копии сразу из веб-интерфейса.

Платёжные системы

  • Обновлён протокол работы с платёжной системой Uniteller.
  • Некоторые кассиры не могли понять зачислен ли платёж через веб-кассу и ошибочно проводили второй. Теперь подобные ситуации исключены, система сообщит о проведённом платеже всплывающим окном.
  • Добавлена платёжная система «PayKeeper» — больше возможностей оплаты для Ваших абонентов.

Спасибо, что пользуетесь Carbon Billing 5!

Важная информация для пользователей Carbon Reductor 7

Уважаемые пользователи Carbon Reductor 7!

В связи участившимися случаями DNS подстановки IP адресов популярных сайтов, необходимо произвести/проверить настройку сервера.

  1. Включить опцию SNI фильтрации.
  2. Выключить опцию фильтрации с использованием DNS резолва.

Подробнее, о том как это правильно сделать, читайте в документации.

К сожалению, мы не можем изменить эти опции удаленно в текущей версии 7.

На всех серверах 8 версии продукта настройка произведена автоматически. Это будет возможно и в следующей версии Carbon Reductor 7, которая выйдет после 25 июня.


Спасибо, что пользуетесь Carbon Reductor!

Релиз Carbon Reductor 8.00.09 1175

Добрый день!

За последние пару месяцев разработчики хорошо потрудились и выложили крупное обновление в devel‑ветку. Обновление серверов пройдет автоматически.


Самое важное

Исправлена редкая ошибка, приводившая к зависаниям серверов (soft-lockup) и последующей перезагрузке. Всего было зафиксировано 4 случая за 3 месяца, они обошлись без последствий, благодаря использованию резервных серверов фильтрации.

Исправлены проблемы со стартом сервиса фильтрации при изменении параметров ipset, ранее приводило к запуску режима обслуживания и уведомлениям администраторов о возникшей проблеме.

Сервис bgp_blackhole теперь поддерживает работу с IP адресами подсетей.

Списки, реестр, выгрузки

Недавно мы обнаружили особенность работы АС «Ревизор» — он обновляет списки Роскомнадзора через час после того, как они обновятся в источнике. Carbon Reductor обновляет списки в течение нескольких минут после их изменения со стороны Роскомнадзора. Это привело к ситуации, когда АС «Ревизор» зафиксировал фиктивный пропуск по устаревшему списку — сайт, который ранее был заблокирован, разблокировали, но информация о нём в АС «Ревизор» обновилась позже, чем в Carbon Reductor. Теперь используются все списки за последние 24 часа (по умолчанию, но опционально) для исключения рассинхронизации с АС «Ревизор».

Добавлена возможность просматривать изменения выгруженных из реестра Роскомнадзора списков с помощью git в папке `/var/lib/reductor/rkn_history/lists/` (за исключением результатов резолвера и временных файлов от обработки списков).

Добавлена проверка отсутствия файлов запроса и подписи в утилите для выгрузки единого реестра с выводом ошибки понятным для администратора. В заблуждение попадали пользователи, переключившие выгрузку реестра с собственного сервера на выгрузку через Carbon Reductor с использованием запроса и подписи к серверу Роскомнадзора. Проверка работает как при запуске выгрузки, так и при автоматической диагностике сервера.

Добавлена возможность использования Крипто-Про для подписи запроса на сервере с Carbon Reductor 8.

Исправлено:

  • Список Минюста не отображался в веб-интерфейсе.
  • Работа белых списков IP адресов (https).
  • Просмотр информации о списках в веб-интерфейсе показывал информацию не обо всех списках.
  • Демон проверки единого реестра rknd отслеживал только срочные изменения, теперь отслеживает все (интервал проверки — раз в 5 минут).
  • Заполнение списка доменов ресурсов, использующих HSTS при выборе соответствующей опции в мастере настройки.

Интеграция с сетью провайдера

Добавлена поддержка интеграции Carbon Reductor с несколькими маршрутизаторами — система отправки команд (events.sh) теперь поддерживает список хук-файлов, в которых определяется порядок взаимодействия с каждым маршрутизатором.

Информация о сервере

  • В вывод информации о сервере добавлена оценка аппаратной части по шкале от 1 до 10 для того, чтобы Вы и техподдержка могли более полноценно контролировать актуальность Вашего сервера.
  • Вывод информации о сервере теперь показывает все установленные модели процессоров. Сделано для машин с несколькими разными процессорами.
  • Исправлен вывод информации о сервере: при использовании VLAN-интерфейсов для приема зеркала выводились неуместные ошибки ethtool.

Безопасность

Бывают случаи, когда локальная сеть не очень хорошо защищена, поэтому мы добавили пару вещей, которые дополнительно напомнят о безопасности Вашего сервера фильтрации:

  • Проверка смены пароля пользователя root в диагностике. Теперь отображается ошибка в случае использования стандартного пароля.
  • В мастере настройки предлагается использовать нестандартный порт для SSH. При использовании стандартного, диагностика будет выводить ошибку.

Режим обслуживания

Стабилизирована работа режима обслуживания, теперь он запускается при любом рестарте файрвола, даже если не требуется изменять ipset и модули фильтрации.

Прочее

Добавлено:

  • Возможность указать несколько IP-адресов АС «Ревизор» через пробел на случай необходимости проведения технического обслуживания сервера.
  • Добавлена возможность сбора дампа трафика от АС «Ревизор» с помощью инструкции с примерами. Помогает для отладки вновь установленного сервера.
  • Диагностика возможности зацикливания HTTPS-прокси, если HSTS-ресурс резолвится редуктором в его собственный IP адрес. Такое может происходить в случае, если осуществляется фильтрация с помощью DNS-сервера провайдера и при этом и страница заглушка и прокси-сервер находятся на одном сервере.

Исправлено:

  • Минорные ошибки в новом контейнере bgp_blackhole.
  • Вывод ошибок диагностики в веб-интерфейсе теперь показывает только текущие проблемы.
  • Запуск активации мог приводить к уходу сервиса reductor в режим обслуживания при неприменённых ручных изменениях в модулях фильтрации или конфигурации ipset.
  • Выводящиеся в веб-интерфейсе ссылки вели на документацию по Carbon Reductor 7.
  • Мастер настройки зеркала трафика мог не отображать некоторые сетевые устройства.
  • У некоторых вновь пришедших пользователей возникали проблемы с установкой с DVD-диска, теперь установка работает исправно.
  • Утилита cache_ctl не работала.
  • Примеры утилиты list_ctl содержали упоминания старого формата списков.
  • Проблема с правами на временные файлы nginx приводила к отображению веб-интерфейса без CSS.
  • Имена ipset в firewall теперь соответствуют спискам, которые в них загружаются.
  • Проверка наличия трафика теперь использует счётчики модулей фильтрации вместо запуска tcpdump, так же учитывается включены модули или нет.

Спасибо, что пользуетесь Carbon Reductor!

Критичные изменения от АС «Ревизор» для страницы-заглушки

АС «Ревизор» изменил анализ ответа от страницы-заглушки и может неверно засчитывать пропуски.

Все серверы с Carbon Reductor обновлены автоматически.

Для полной уверенности, а также если у Вас используется своя страница-заглушка, Вам необходимо проверить руками запрос вида:
telnet IP_Адрес_заглушки 80
Escape character is '^]'.
GET /.

Примечание: точка после слеш обязательна для этой проверки.

Верный ответ должен быть код 200 и с выводом страницы-заглушки.

Если ответ 301 Moved Permanently — значит воспользуйтесь инструкцией:
http://docs.carbonsoft.ru/pages/viewpage.action?pageId=77791244


Спасибо, что пользуетесь продуктами Carbon Soft!

Проверка операторов связи с помощью АС «Ревизор», практика наших пользователей

Добрый день!

В связи с увеличением количества проверок АС «Ревизор» с декабря 2016 года у провайдеров появились вопросы и беспокойство на тему осуществления фильтрации трафика и штрафов от Роскомнадзора.

Мы отправили официальный запрос в Роскомнадзор с просьбой детально разъяснить механизм проверки фильтрации, выявления нарушений и процедуру наступления административной ответственности за отсутствие блокировки запрещенных ресурсов. Роскомнадзор прислали нам развёрнутый ответ. Мы скомпоновали его в максимально доступный вид и делимся им с Вами.

Данная статья содержит в себе как базовую информацию, известную каждому провайдеру с установленным АС «Ревизор», так и более развёрнутую, помогающую детально разобраться в вопросах законодательства.

Алгоритм проверки фильтрации и выявления нарушений

  1. Ресурс появляется в Едином реестре (обновляется ежедневно в 9.00 и 21.00 МСК).


  2. Согласно части 10 статьи 15.1 ФЗ-149 в течение суток с момента включения в Единый реестр запрещенного интернет-ресурса оператор связи, оказывающий услуги по предоставлению доступа к сети Интернет, обязан ограничить доступ к такому сайту в сети Интернет.


  3. Единый реестр выгружается оператором связи.
  4. Оператор связи обязан осуществлять блокировку запрещенных ресурсов согласно пунктам 1, 5 статьи 46 ФЗ-126 «О связи» порядок которой регулирует ФЗ-149.
  5. Филиалы ФГУП «РЧЦ ЦФО» осуществляют мониторинг фильтрации с помощью АС «Ревизор».


  6. Филиалы ФГУП «Радиочастотный центр Центрального федерального округа» (далее ‒ филиалы ФГУП «РЧЦ ЦФО») осуществляют мониторинг выполнения операторами связи требований по ограничению доступа к запрещенным интернет-ресурсам с использованием «Автоматизированной системы контроля за соблюдением операторами связи требований по ограничению доступа к сайтам в сети Интернет, содержащим информацию, распространение которой в РФ запрещено в соответствии с требованиями ФЗ-149″ (далее ‒ АС «Ревизор»). АС «Ревизор» введена в промышленную эксплуатацию приказом ФГУП «РЧЦ ЦФО» от 29.12.2016 № 354 (сертификат соответствия оборудования «Аппаратно-программный Агент АС «Ревизор» № ОС-1СУ-0496, срок действия с 05.10.2016 до 05.10.2019).


  7. При обнаружении факта отсутствия блокировки АС «Ревизор» делает скриншот незаблокированного ресурса. Представители РЧЦ передают информацию в ЕИС Роскомнадзора.


  8. Незаблокированной записью Единого реестра с признаками нарушения законодательства является запись Единого реестра, скриншот которой позволяет однозначно определить факт отсутствия блокировки интернет-ресурса оператором связи. Сформированные акты и протоколы мониторинга передаются сотрудниками филиалов ФГУП «РЧЦ ЦФО» в ЕИС Роскомнадзора. Акты мониторинга рассматриваются территориальными органами Роскомнадзора, на подведомственной территории которых осуществляет деятельность оператор связи, оказывающий услуги по предоставлению доступа к информации, распространяемой посредством сети Интернет.


  9. Роскомнадзор возбуждает дело об административном правонарушении.
  10. Решение по данному делу принимает суд.


  11. Согласно части 3 статьи 14.1 КоАП от 30.12.2001 № 195-ФЗ в случае признания нарушения судом может быть вынесено предупреждение или наложен административный штраф от 1,5 до 2 тыс.руб. ‒ для граждан, от 3 до 4 тыс.руб. ‒ для должностных лиц, от 30 до 40 тыс.руб. ‒ для юридических лиц.


    Считаем необходимым отметить, что 11.01.2017 в Госдуме принят во втором, основном чтении законопроект, дополняющий КоАП РФ новой статьей, которая вводит ответственность за неисполнение оператором связи обязанности ограничивать или возобновлять доступ к информации. Такое нарушение предлагается наказывать штрафом от 3 до 5 тыс.руб. ‒ для должностных лиц, от 10 до 30 тыс.руб. ‒ для предпринимателей без образования юридического лица, от 50 до 100 тыс.руб. ‒ для юридических лиц.

Важные моменты

Мы отметили ключевые факты, которые, в том числе, помогут в общении с представителями РКН или РЧЦ, если возникнет необходимость.

  • Проверки осуществляются регулярно, как плановые, так и внеплановые.
  • Оператору связи обязательно предоставляется доступ в личный кабинет АС «Ревизор» для проверки работы его DPI.


  • При заключении договора с филиалом ФГУП «РЧЦ ЦФО» в УФО об установке технического средства АС «Ревизор» оператору связи предоставляется доступ в личный кабинет АС «Ревизор», с помощью которого оператор связи может своевременно реагировать на случаи неблокирования доступа к запрещенным интернет-ресурсам.


  • На блокирование вновь включенных в Единый реестр интернет-ресурсов оператору связи дается не более 1 суток после их включения в Единый реестр. Также нужно обратить внимание на то, что ресурсы, добавленные в реестр в соответствии с ФЗ-398 (т.н. «экстремистские» сайты) должны быть заблокированы в течение 1 часа.
  • В НПА (нормативно-правовые акты) не предусмотрены такие понятия как «пропуски», «временные интервалы», «допуски по пропускам». Нарушением является факт отсутствия блокировки Единого реестра, будь это одна запись или сто.
  • Доказательством в суде должен быть скриншот позволяющий однозначно определить факт отсутствия блокировки.
  • Каждый оператор связи несёт ответственность за неисполнение обязанностей по блокировке ресурсов, даже если вышестоящий провайдер фильтрует трафик. Для того, чтобы полностью себя обезопасить у каждого оператора связи должно быть своё DPI решение.


  • При этом подчеркиваем, что оператор связи, использующий трафик, фильтрацию которого осуществляет присоединяющий оператор связи вышестоящего уровня, не освобождается от ответственности за неисполнение обязанности по ограничению доступа (Распоряжение Роскомнадзора от 07.07.2016 № 8, утверждающее Рекомендации по ограничению доступа к информации, распространяемой посредством сети Интернет, в порядке, установленном ФЗ-149).


  • Время на устранение неполадок не предусмотрено НПА (Но его может установить суд).
  • На текущий момент размер штрафа для юридических лиц составляет от 50 до 100 т.р.

Получается, что любой пропуск это штраф?

Законодательно да, но на самом деле нет.

Дело в том, что причины пропусков могут быть самые разные и они, если не изменять настройки ПО, всегда связаны с железом. Недавно мы написали статью с рекомендациями по повышению отказоустойчивости аппаратной части системы фильтрации.

Представители РКН и РЧЦ прекрасно понимают возможные технические неполадки и, подчеркиваем, всегда дают время на их устранение. Каждый факт неосуществления блокировки отдельно проверяется и дело дойдет до суда только в случаях, если:

  • Факт нарушения подтвердили представители РЧЦ проведением повторной проверки.
  • Проблема с фильтрацией не была решена в установленное время.

Фактически получить штраф в случае пропуска в принципе проблематично, потому что все условия для быстрого устранения неполадок есть.

Практика пользователей Carbon Reductor


Пример №1
Проблема: АС «Ревизор» зафиксировал пропуски, при попытке зайти на любой URL из отчёта страница была заблокирована. Пользователь обратился в техподдержку.

Процесс решения:

  1. Первичная диагностика сервера выявила низкую вычислительную мощность процессора, недостаточно оптимизированную работу процессора с сетевыми картами, а также отсутствие интеграции с DNS сервером и маршрутизатором.
  2. Был заменён процессор и корректно настроена его работа.
  3. Проведена интеграция с DNS сервером и маршрутизатором.
  4. Тестирование выявило небольшой процент пропусков.
  5. Детальная диагностика показала, что теряется ответный пакет после отправки с сервера фильтрации на АС «Ревизор», находящийся в локальной сети.
  6. Полученная информация позволила пользователю устранить неявную проблему в локальной сети.
  7. Повторная проверка пропусков не обнаружила.

Итог:
После проведенных работ пропуски не зафиксированы. Претензии со стороны Роскомнадзора к провайдеру были сняты. Дело в суде не рассматривалось.


Пример №2
Проблема: АС «Ревизор» зафиксировал пропуски по нестандартным портам — 8080, 8081.
Процесс решения:

  1. Первичная диагностика проблем не выявила.
  2. При детальном изучении трафика с тестовой машины, находящейся в локальной сети, выяснилось, что ответные пакеты по портам 8080, 8081 не доходили до «абонента».
  3. Совместно с пользователем, в режиме онлайн, мы выяснили, что пакеты от сервера фильтрации по нестандартным портам не попадали к абонентам, т.к. фильтровались ACL (Access Control List) на маршрутизаторе.
  4. Пользователь поправил ACL, отчёты АС «Ревизор» стали пустыми.

Итог:
Претензии со стороны Роскомнадзора к провайдеру были сняты. Дело до суда не дошло.

Резюмируя вышеописанное

Статистика показывает, что фиксируемые проблемы кроются либо в аппаратной части фильтрующего сервера, либо в специфике работы локальной сети.

В Радиочастном Центре работают грамотные и отзывчивые специалисты, которые идут навстречу при их информировании о проблеме и сроках её устранения. Их целью является не выписывание штрафов, а банальное соблюдение требований законодательства.


Спасибо, что пользуетесь продуктами Carbon Soft!

Среди наших клиентов

Азимут Цифра 1 Завод РТА Инжинэт АЛРОСА УрФУ